Triển khai Edge Transport Server trên hệ thống Exchange 2007

GIỚI THIỆU
Trong hệ thống Exchange 2007, Edge Transport Server là 1 Server cung cấp chức năng vận chuyển mail SMTP, cung cấp các chức năng lọc Spam Mail sau đó vận chuyển vào Hub Transport. Edge Transport Server phải nằm ngoài hệ thống AD của Forest, do đó phải được cài đặt lên 1 Stand-Alone Server. Trên thực tế, để tăng tính bảo mật cho hệ thống, người ta thường cài Edge Transport Server trong vùng DMZ. Bài lab này trình bày cách cài đặt và cấu hình Edge Transport Server trong mạng LAN để vận chuyển Mail Internet thay thế cho Hub Transport Server

Mặc dù Edge Transport Server bị tách ly với hệ thống AD, nhưng thật ra nó vẫn liên lạc được với AD thông qua 1 tập hợp các quá trình xử lý được gọi là EdgeSync (cái này chạy trên Hub Transport Server). Từ đó, nó cũng là 1 phần của AD vì có liên lạc với Hub Transport Server. Edge Transport Server sử dụng ADAM (Active Directory Application Mode) để lưu trữ các thông tin cần thiết về AD như Accepted Domain, Recipients, Safe Sender, Send Connector … và danh sách của các Hub Transport Server trong hệ thống (Nó sẽ sử dụng danh sách này để tự phát sinh ra các connector mà bạn không cần phải tạo bằng tay)
Quá trình đồng bộ hóa EdgeSync sẽ diễn ra chỉ theo 1 chiều từ AD tới ADAM (có nghĩa là ADAM không hề đưa dữ liệu gì cho AD). Quá trình đồng bộ này diễn ra mỗi 1 giờ hay mỗi 4 giờ

Lưu ý nếu dùng Edge Transport Server để làm smarthost cho các Server Exchange 2003 Relay mail thì không thể đồng bộ cấu hình và các recipient từ AD tới ADAM bởi vì cái này chỉ có ở Hub Transport Server của Exchange 2007.

Edge Transport Server có 1 Jet Database để luân chuyển các thư vào và ra. Khi 1 thư vào, nó được chứa trong Jet Database và sẵn sàng được chyển đi, Edge Transport Server sẽ tìm Recipient (chứa trong ADAM) để chuyển thư.

Nếu bạn cài nhiều Edge Transport Server trong hệ thống, thì các Edge Transport Server sẽ sử dụng cơ chế Round Robin của DNS để Load Balancing.

Các yêu cầu để cài đặt Edge Transport Server:
Edge Transport Server chỉ có thể cài lên Stand-Alone Server sử dụng Windows 2003 SP1 hoặc Windows 2003 R2 Standard (Lưu ý không thể cài lên Member Server vì Exchange 2007 không hỗ trợ chuyện này). Nếu cài lên DMZ thì Edge Transport Server nên có 2 Card mạng (1 dùng giao tiếp với Internal, 1 dùng giao tiếp với Internet) để dễ dàng qui định các Port và Service trên mỗi Card mạng (Ví dụ: dùng Security Configuration Wizard – SCW để đồng bộ LDAP chỉ với hệ thống Internal). Nhưng lựa chọn thế nào là do bạn thôi, Edge Transport Server hoàn toàn có thể chạy tốt trong DMZ chỉ với 1 Card mạng.

Edge Transport Server sử dụng ADAM như 1 nơi lưu trữ để động bộ các Recipients và các cấu hình. Nên bắt buộc trên máy này phải có cài ADAM
Hãy nói lời “Say Goodbye” với SMTP và NNTP của Windows:
Không giống với Exchange 2000 và Exchange 2003 (2 phiên bản này đều cần SMTP và NNTP). NNTP là 1 Protocol không được hỗ trợ ở Exchange 2007, Exchange 2007 chỉ sử dụng SMTP service của chính nó xây dựng sẵn thôi. Muốn biết tại sao thì bạn hãy hỏi Exchange Product Group  Nhưng bạn cần biết rằng, Exchange 2007 giảm bớt hiểm họa bị tấn công DoS

MÔ HÌNH BÀI LAB

Bài Lab này sử dụng 2 máy tính
- PC01: Là 1 máy Domain Controller (DC) đã cài đặt Exchange 2007 gồm các Role Hub Transport, Mailbox và Client Access
- PC27: Là 1 Stand-alone Server chạy Windows Server 2003 SP1 (máy này không Join vào Domain)
Domain sử dụng trong bài lab là nhatnghe.local

THỰC HIỆN:
1. Chuẩn bị:
Trên Edge Transport Server (PC27)
- Khai báo Prefered DNS Server về máy DC (PC01)
- Chỉnh Suffix DNS thành nhatnghe.local

- Restart máy
- Cài đặt các thành phần cần thiết gồm: Net Framework 2.0 và các hotfix cần thiết, MMC 3.0, Power Shell, ADAM SP1 (Các thành phần này bạn đều có thể download từ trang Web của Microsoft)
Trên PC01, Mở DNS, tạo 1 host cho máy PC27 và tạo MX Record trỏ về Host này

2. Cài đặt:
- Ra Command Line, chuyển vào thư mục chứa Source Exchange 2007, đánh lệnh Setup /r:e (R là Role, E là Edge Transport)

3. Cấu hình ADAM ADSI Edit
Lần lượt tạo 2 Connection kết nối vào AD là Còniguration và Recipients







Sau khi hoàn tất bạn Save Console này lại để dễ dàng kiểm tra sau khi hoàn tất cài đặt

4. Cài và cấu hình SCW (Security Configuration Wizard)
Vì Edge Transport Server nằm ngoài DMZ nên nó sẽ dễ bị tấn công hơn những thằng nằm trong Internal, vì vậy cần bảo vệ nó kỹ càng hơn. Bạn có thể bảo vệ cho Edge Transport Server bằng Security Configuration Wizards (SCW), 1 công cụ giúp giảm nguy cơ bị tấn công, là 1 công cụ sử dụng dễ dàng để bản vệ Edge Transport Server.
- Cài SCW: Mở Control Panel -- Add/Remove Programs -- Add/Remove Windows Components -- Chọn Security Configuration Wizard

- Copy 2 File Exchange2007.XML và Exchange2007Edge.XML từ thư mục C:\Programs Files\Microsoft\Exchange Server\Scripts sang thư mục C:\Windows\security\msscw\kbs



- Đăng ký 2 File này với SCW bằng 2 lệnh sau:


- Sau khi hoàn tất, bạn nhớ Restart máy rồi tiếp tục thực hiện các bước sau:
- Cấu hình SCW: Chạy Security Configuration Wizard:

- Tạo 1 Policy mới

- Tên Server để mặc định

- Sau khi hoàn tất, nhất nút View Configuration Database để kiểm tra

- Nếu thành công, bạn sẽ thấy xuất hiện loại Server đã được đăng ký là Exchange 2007 Edge Transport xuất hiện trong danh sách

- Nhấn Next để tiếp tục

- Các hộp thoại tiếp theo để nguyên cấu hình mặc định








- Hộp thoại Open Port and Approve Application, bạn cần qui định các Port được phép truy cập gồm 50389 và 50636. Vì Edge Transport Server đồng bộ thông tin từ AD vào ADAM theo 1 lịch trình định sẵn và sử dụng Protocol LDAP, Protocol này dùng 2 port là 50389 và 50636). Nếu Edge Transport Server có 2 Card mạng thì chọn 50389, nhấn nút Advanced, qua Tab Local Interface Restrictions, chọn Over the following local interface, sau đó Check vào Card mạng dùng giao tiếp với Internal, làm y như vậy với Port 50636  Mô hình này, Edge Transport Server chỉ có 1 Card mạng thì không cần làm bước này.

- Nhấn Add, nhập 50389, chọn TCP

- Nhấn Add, nhập 50636, chọn TCP

- Kiểm tra 2 Port 50389 và 50636 đã xuất hiện trong danh sách -- Next

- Kiểm tra thông tin -- Next

- Các hộp thoại Registry Settings, Audit Policy, bạn đánh dấu Skip this sesion để bỏ qua bớt các bước cấu hình không cần thiết và Next



- Đặt tên File lưu trữ Policy tùy ý, trong ví dụ này tôi đặt là Edge.XML

- Hệ thống nhắc nhở bạn Restart máy sau khi Apply Policy -- OK

- Chọn Apply Now -- Next

- Policy đã Apply xong, nhấn Next

- Finish

- Mở Network Connections, bạn kiểm tra, Card mạng đã bật Firewall

- Mở Control Panel -- Windows Firewall -- Tab Exceptions, kiểm tra 2 Port 50389 và 50636 đã được loại trừ

- Xong bước này bạn nhớ Restart máy, hệ thống có nhắc nhở trước mà

5. Tạo và Import Edge Subscription File
Bước này để thiết lập mối liên kết 1 chiều từ AD tới ADAM (sử dụng EdgeSync Service)
- Tạo Edge Subscription File trên máy PC27 (Edge Transport Server): Mở Exhchange Management Shell, đánh lệnh New- EdgeSubscription
Hệ thống yêu cầu đặt tên và đường dẫn cho File, nhập C:\EdgeSubscription.XML (tạo File này nằm trong gốc ổ đĩa C:\), sau đó nhấn Y để xác nhận.

- Đồng bộ thời gian với máy PC01 (lưu ý nếu 2 máy không đồng bộ thời gian thì bước kế tiếp sẽ bị lỗi): Mở Command Line, đánh lệnh

- Trên PC01 (Hub Transport Server): Copy File EdgeSubscription.XML từ máy PC27 (Edge Transport Server) về để Import
- Import Egde Subscription File: Mở Exchange Management Console -- Organization Configuration -- Hub Transport -- Tab Edge Subscriptions -- New Edge Subscriptions

- Nhấn Browse, chọn File đã Copy -- Next

- Hệ thống thông báo quá trình Import thành công

- Bắt đầu quá trình đồng bộ giữa Hub Transport Server và Edge Transport Server: Mở Exchange Management Shell, đánh lệnh Start-EdgeSynchronization và kiểm tra kết quả là Success

- Máy Edge Transport Server đã đồng bộ xong và xuất hiện trong danh sách Edge Subscription

- Qua Tab Send Connector kiểm tra, hệ thống tự tạo ra 2 Send Connector mới

Bạn lưu ý nếu trên Hub Transport có Send Connector thì xóa đi vì nó không dùng cái này mà dùng cái EdgeSync–Default-First-Site-Name to the internet. Nếu Receive Connector Default PCXX có cấp quyền cho Anonymous thì cũng bỏ quyền luôn vì nếu không thì Hub Transport không tự nhận Mail bằng Recive Connector này mà nhờ Edge Transport vận chuyển Mail sang, Mail vào sẽ nhận từ cai Receive Connector tên là Default Internal receive connector PCXX trên Edge Transport Server, sau đó chuyển sang Hub Transport Server

Tới đây bạn đã cài đặt và cấu hình thành công Edge Transport Server, công việc tiếp theo là kiểm tra kết quả cài đặt


thay đổi nội dung bởi: nhoc_hamhochoi, 11-04-2009 lúc 08:53
Trả Lời Với Trích Dẫn
Đã có 14 người gửi lời cảm ơn phuongnam vì bài viết hữu ích này:
anhtrungat, gadaubac, gamaytinh, girlxinh, Hoc, ketsaivan, letridd, maumuadong, ruanyuyong, saochoiga, secret, sulivan, SVIT, tontu102

Sponsored links

  #2
Old 16-10-2008, 14:09
Nhất Nghệ Support Team
 
Tham gia ngày: May 2007
Bài gởi: 1,060
Thanks: 21
Thanked 229 Times in 69 Posts
 
6. Kiểm tra trên Edge Tranport Server
- Mở ADAM ADSIEdit, bung Recipients -- OU=MsExchangeGateway, bạn sẽ thấy xuất hiện CN=Recipients, trong đó có chứa các User được đồng bộ từ AD

- Mở Exchange Management Console, kiểm tra các Send Connector và Receive Connector theo các hình dưới

Mở thuộc tính, kiểm tra các Tab như hình





Mở thuộc tính, kiểm tra các Tab như hình


7. Kiểm tra trên Hub Tranport Server
- Mở Exchange Management Console, kiểm tra các Send Connector

Mở thuộc tính, kiểm tra các Tab như hình



8. Kiểm tra việc gửi Mail
Tạo 1 Mailbox User tùy ý và cấu hình Microsoft Outlook, sau đó thử gửi 1 lá Mail ra ngoài Internet

Bạn kiểm tra hộp Mail ngoài Internet sẽ thấy nhận Mail

Để chắc chắn lá Mail này được gửi đi từ Edge Transport, bạn có thể thử như sau:
- Trên Edge Transport Server, bạn khai báo sai Default Gateway (để máy này không ra Internet được), sau đó gửi Mail lại, Mail sẽ nằm trong Queue của Edge Transport, bạn kiểm tra bằng cách vào Toolbox -- Queue Viewer

9. Kiểm tra việc nhận Mail
Để kiểm tra nhanh chóng, bạn có thể dựng thêm 1 Mail Server nội bộ để gửi Mail hoặc dùng Outlook Express khai báo 1 Account để gửi Mail hoặc dùng SMTP Command để đẩy Mail trực tiếp vào Edge Transport Server (Nếu bạn đã học MCSA, có thể tham khảo bài LAB SMTP trong môn 236 để thực hiện). bạn sẽ thấy các User nhận Mail. Muốn kiểm chứng rõ hơn, bạn có thể Disable Card mạng máy Hub Transport để máy Edge Transport không vận chuyển Mail vào được rồi xem dùng Queue Viewer để xem Queue của Edge Transport