Главная Exchange/UC, Без рубрики, Новое Exchange Server 2010 Edge Server и Microsoft Threat Management Gateway
  • Exchange Server 2010 Edge Server и Microsoft Threat Management Gateway

    usb-email Для повышения уровня безопасности в среде Exchange Server 2010 вы можете использовать Edge Transport Server, установленный в демилитаризованной зоне (DMZ) либо в сети периметра. По умолчанию в Edge Transport Server включена функция фильтрации спама, а после установки Forefront Protection for Exchange на Edge Transport Server вы также включаете и антивирусную защиту.

    Письма из Интернета принимаются серверами Edge Transport, на них отсеиваются письма, содержащие вирусы и спам, а затем результаты пересылаются серверам Hub Transport, расположенным во внутренней сети предприятия.

    Сервера с ролью Client Access располагаются во внутренней сети предприятия и предоставляют пользователям доступ к их почтовым ящикам. Локализация Client Access серверов не поддерживается. Более подробную информацию, касающуюся CAS серверов и DMZ можно получить на сайте Exchange Teamhttp://msexchangeteam.com/archive/2009/10/21/452929.aspx

    Вы можете использовать Microsoft ISA Server 2006 в DMZ и ISA сервер может «публиковать» службы Exchange, такие как OWA, Outlook Anywhere или ActiveSync, но невозможно объединить ISA сервер и Edge Transport на одном физическом сервере, не говоря уже о Forefront Protection for Exchange.

    Threat Management Gateway (TMG)

    Forefront Threat Management Gateway (TMG) 2010 это приемник ISA 2006, он содержит много компонентов, которые будут интересны администраторам Exchange. Одно из таких улучшений состоит в том, что теперь вы можете устанавливать Edge Server, TMG и Forefront Protection for Exchange на один (физический) сервер.

    Рис.1: Edge Server, TMG и Forefront Protection for Exchange на одном сервере.

    Очевидно, что преимущество этого решения состоит в том, что вам нужен только один физический сервер. Таким образом, вы сохраните дополнительные лицензии на Windows, но не нужно забывать, что вам потребует более мощный сервер с дополнительным питанием и охлаждением.

    Чтобы установить комбинацию Edge Server, Forefront Protection for Exchange и Threat Management Gateway, необходимо сделать следующие шаги:

    1. Установить Windows Server 2008 R2
    2. Установить Active Directory Lightweight Directory Services (LDS)
    3. Установить Exchange 2010 Edge Transport Server
    4. Установить Forefront Protection for Exchange
    5. Установить Forefront Threat Management Gateway

    Windows Server 2008 R2

    Первый шаг состоит в том, чтобы установить Windows Server 2008 R2. Это сервер на базе платформы x64, который, естественно, необходим для Exchange Server 2010. Но, кстати, TMG тоже 64-битное приложение, в то время как ISA сервер устанавливался на 32-х битную систему.

    После установки Windows Server 2008 R2 убедитесь, что сервер подключен как к внешней сети Интернет, так и к внутренней сети предприятия. После установки сервера необходимо настроить его внутренние и внешние сетевые параметры. Не забудьте установить последние обновления.

    Установка Edge Transport Server

    Чтобы установить компоненты, необходимые для Exchange Server 2010 Edge Transport Server откройте консоль командной строки и перейдете в папку \Scripts установочного диска. Выполните следующую команду:

    ServerManagerCmd.exe –InputPath Exchange-Edge.XML

    Появится сообщение об ошибке, касающееся ServerManagerCmd. Хоть это и действительно так, но на этом шаге не стоит обращать на него внимание. Перезагрузите сервер, когда необходимое программное обеспечение будет установлено.

    Установка Edge Transport Server может быть выполнена при помощи графической консоли. Management Tools (средства управления) будут установлены автоматически.

    После установки Edge Transport сервер, пришло время установить службу EdgeSync. EdgeSync Service отвечает за синхронизацию информации между Hub Transport Server и Edge Transport Server. Для настройки Edge Synchronization на сервере Edge Transport, откройте консоль управления Exchange (Exchange Management Shell) и выполните следующую команду:

    New-EdgeSubscription –FileName C:\Edge-TMG.XML

    Далее скопируйте полученный Edge-TMG.XML файл на внутренний Hub Transport сервер и импортируйте его. После импорта может быть запущенна синхронизация. Чтобы выполнить эти действия, зайдите на Hub Transport сервер, откройте консоль управления Exchange и выполните следующую команду:

    $Temp = Get-Content -Path “C:\Edge-TMG.xml” -Encoding Byte -ReadCount 0

    New-EdgeSubscription -FileData $Temp -Site “Default-First-Site”

    Start-EdgeSynchronization

    Убедитесь что результат выполнения команды Start-EdgeSynchronization успешен. Результат будет выведен в консоли:


    Рис 2: Edge Synchronization успешно запущена.

    После успешной настройки Edge Synchronization можно приступить к тестированию функционала SMTP и посмотреть, можете ли вы получать/отправлять письма со своего почтового ящика Exchange Server 2010 в/из Интернета. Если все хорошо, то перейдем к следующему шагу.

    Установка Forefront Protection for Exchange (FPE)

    Когда вы запускаете графическую установку Exchange 2010, то на заставке, самая последняя опция – это “Install Microsoft Forefront Protection 2010 for Exchange Server”.


    Рис 3: Заставка установки Exchange.

    Если вы выберете эту опцию, то будете перенаправлены на сайт Microsoft, где сможете скачать FPE. После закачки запустите ForefrontExchangeSetup.exe. Пройдите по шагам мастера и установите Forefront Protection for Exchange. На странице настройки анти-спама (Anti spam Configuration) выберите “Enable anti-spam” later.

    Примечание: Если мы сейчас включим функцию анти-спама, то позже, она не будет включена автоматически при установке TMG.

    После установки не выбирайте “Launch the Forefront Online Protection for Exchange Gateway installation program”. Нажмите Finish для выхода из программы установки.

    Примечание: Опция Launch the Forefront Online Protection for Exchange Gateway installation program – это опция относится к FOPE продукту. FOPE – это решение на основе компьютерного облака по обеспечению защиты от спама, вредоносного ПО и соответствия требованиям политики электронной почты.

    В консоли администрирования вы увидите, что модули сканирования сразу не обновились.


    Figure 4: Сразу модули сканирования не обновлены.

    По истечении некоторого времени (около 15 минут), вы получите сообщение, что модули обновлены, и желтый знак восклицания сменится на зеленую галочку.

    Устанавливаем Forefront Threat Management Gateway

    Последний и наиболее интересный шаг – это установка Threat Management Gateway (TMG) на только что установленный Edge Transport Server. Вставьте установочный диск и запустите инсталляцию. Вы увидите графическую заставку:

    Figure 5: окно установки TMG (standard edition)

    Выберите “Run Preparation Tool”, чтобы установить необходимое программное обеспечение. Следуйте по шагам Forefront TMG Preparation Tool визарда. Выберите опцию “Forefront TMG Services and Management”, чтобы установить утилиты управления и службы TMG.


    Рис 6: Выбор “Forefront TMG services and Management”

    Необходимое программное обеспечение будет автоматически установлено и после завершения инсталляции можно будет сразу запустить визард установки TMG.


    Рис 7: Запуск установки Forefront TMG

    Нажмите Finish и установка начнется автоматически. Следуйте шагам мастера, примите лицензионное соглашение и введите имя пользователя, название организации и серийный номер. Продолжайте установку, пока не дойдете до настройки параметров внутренней сети. На моем тестовом оборудовании есть 2 сети. Публичная сеть, которая соединена с интернетом и частная (внутренняя) сеть. Exchange сервер подключен к этой сети.


    Рис 8: Выберите внутреннюю (частную) сеть

    Нажмите Next, чтобы продолжить установку TMG на сервер. Инсталляция займет некоторое время.


    Рис 9: Нужно приблизительно 19 минут, чтобы установить TMG на Edge Server.

    После окончания установки нажмите Finish. Также, вы можете поставить галочку напротив “Launch Forefront TMG Management when the wizard closes” и консоль управления будет открыта автоматически.


    Рис. 10

    Теперь TMG сервер установлен поверх сервера Edge Transport. В результате этого, Hub Transport сервер, который раньше работал с данным Edge Transport сервером прекратит свою работу. Все потому, что TMG – это firewall и соответственно он должен быть настроен, прежде чем работать дальше.

    В следующих статьях мы поговорим о различных комбинациях Edge Server, Forefront Protection for Exchange и Threat Management Gateway.

    Оригинал статьи

    Автор: Jaap Wesselius

    Перевод: Алексей Богомолов

Комментарии

  1. Подскажие, а есть антивирусноеантиспам решение не требующее отдельного экземпляра ОС? Т.е. все роли на одном сервере. Для малых компаний накладно еще одна лицензия на ОС, железо (отказоустойчивое), ИБП и т.п.
    Или есть ли рекомендации по запуску этой конфигурации на виртуальной машине?

  2. Начнем с того, что хотите вы или нет, но TMG настоятельно рекомендуется ставить на отдельный хост (можно и виртуальный, только сетевые интерфейсы надо настроить нормально), таким образом, вам все равно нужен отдельный экземпляр ОС. Можно купить Win 2008 R2 Server Enterprise, таким образом у вас будет 4 виртуальных машины Win2008R2Ent.
    Кстати, при установке Edge роли Exchange`a вам ещё понадобится отдельная лицензия на сам Exchange!
    Не забывайте, что TMG сам имеет встроенные средства фильтрации спама и вирусов! Так что возможно вам Forefront Protection for Exchange и не нужен.
    Если фирма не большая, то лучше посмотреть в сторону Windows Small Business Server, вот он устанавливается на одну машину (не считая SQL сервера).

  3. Здравствуйте! Подскажите пожалуйста чем обусловлена такая последовательность установки? Можно ли поставить Edge на уже установленный TMG? TMG должен быть членом домена?

  4. По большому счету, последовательность тут не важна, так что можно поставить Edge н уже установленный TMG. TMG может быть членом домена, но лучше оставить его в рабочей группе и установить службы облегченного доступа к каталогам ADLDS. Про то, как настроить отправку/получение почты через Edje можно почитать тут – http://www.alexxhost.ru/2010/05/edge-transport-exchange-2010.html