Wydawnictwo Helion
ul. Chopina 6
44-100 Gliwice
tel. (32)230-98-63
IDZ DO
IDZ DO
KATALOG KSI¥¯EK
KATALOG KSI¥¯EK
TWÓJ KOSZYK
TWÓJ KOSZYK
CENNIK I INFORMACJE
CENNIK I INFORMACJE
CZYTELNIA
CZYTELNIA
Exchange 2000.NET
Server. Czarna ksiêga
Autorzy: Philip G. Schein, Evan Benjamin, Cherry Beado
T³umaczenie: Marcin Jêdrysiak
ISBN: 83-7197-698-4
Tytu³ orygina³u:
Format: B5, stron: 718
Ksi¹¿ka zawiera gotowe rozwi¹zania typowych problemów, jakie mo¿esz napotkaæ
w czasie zarz¹dzania nowym systemem obs³ugi wiadomoci i pracy grupowej,
stanowi¹cym integraln¹ czêæ platformy .NET. W tej ksi¹¿ce przedstawiono krok po
kroku procedury implementacji us³ug i zarz¹dzania nimi. Mo¿esz tu znaleæ tak¿e plany
tworzenia przep³ywów pracy oraz wyczerpuj¹ce informacje na temat platformy
Exchange 2000.
•
Najwa¿niejsze dane o topologii sieci, strukturze organizacyjnej, potrzebach
u¿ytkowników i celach projektu
•
Konfiguracja i wdra¿anie us³ug Exchange 2000 w celu obs³ugi pracy grupowej
i
zarz¹dzania us³ugami czasu rzeczywistego
•
Optymalizacja wydajnoci Exchange 2000 w wiêkszym rodowisku
Windows 2000
•
Zaawansowane funkcje architektury .NET, które pozwalaj¹ na zwiêkszenie
niezawodnoci, skalowalnoci i wydajnoci
•
Rozszerzanie zakresu dostêpnych funkcji przy u¿yciu takich jêzyków jak
ASP i XML
•
Uzyskiwanie dostêpu do zasobów wiedzy w Web Storage System
Spis treści
Wstęp ................................................................................................... 21
Część I
Wprowadzenie do platformy Windows 2000
oraz systemów obsługi wiadomości
25
Rozdział 1. Przesyłanie wiadomości i praca grupowa ................................................ 27
Usługi skalowalne...............................................................................................................28
Inicjatywa .NET ...........................................................................................................29
Zmiana paradygmatu w kierunku zarządzania wiedzą.................................................31
Projektowanie ...............................................................................................................36
Narzędzia administracyjne: dostęp do serwera ............................................................37
Usługi rozproszone.......................................................................................................39
Fizyczna topologia..............................................................................................................39
Infrastruktura magazynowania danych...............................................................................40
Warstwa bazy danych...................................................................................................42
Grupa baz danych .........................................................................................................42
Konfiguracja rozproszona ............................................................................................43
Klastrowanie.................................................................................................................44
Web Storage System ....................................................................................................44
Architektura OWA .......................................................................................................48
Protokoły obsługiwane przez OWA.............................................................................51
Rozszerzalność .............................................................................................................54
Usługi internetowe .......................................................................................................55
Usługi pracy grupowej w czasie rzeczywistym..................................................................55
Usługa Microsoft Exchange Chat.................................................................................56
Błyskawiczne wiadomości ...........................................................................................57
Część II
Planowanie wdrożenia Exchange 2000
61
Rozdział 2. Systemy obsługi wiadomości.................................................................. 63
Podstawowe funkcje serwera Exchange 2000 ....................................................................63
Do czego może służyć serwer Exchange?....................................................................64
Exchange 2000 — przegląd .........................................................................................64
Idealny serwer obsługi wiadomości .............................................................................65
W jaki sposób Exchange 2000 spełnia kryteria?..........................................................66
Zalety Exchange 2000 ..................................................................................................73
Przypadek Exchange 2000..................................................................................................76
Ostrożny optymizm ......................................................................................................77
Przemyślenia końcowe .......................................................................................................81
Porady i planowanie dla Windows 2000 ......................................................................81
6
Exchange 2000 .NET Server. Czarna księga
Rozdział 3. Tworzenie wizji ...................................................................................... 87
Wprowadzenie ..........................................................................................................................87
Opis wizji............................................................................................................................88
Cele organizacji ............................................................................................................88
Określenie problemu ....................................................................................................89
Proponowane rozwiązanie............................................................................................90
Analiza ryzyka..............................................................................................................90
Zakres projektu.............................................................................................................90
Zasady planowania .............................................................................................................91
Użycie modelu procesu ................................................................................................91
Schemat operacyjny .....................................................................................................92
Zarządzanie ciągłością działania ..................................................................................93
Środki zapewniające ciągłość działania .......................................................................95
Zarządzanie usługami...................................................................................................95
Zarządzanie zmianami..................................................................................................96
Zarządzanie problemami ..............................................................................................97
Analiza potrzeb ...................................................................................................................98
Zdefiniowanie potrzeb konsumentów ..........................................................................98
Dostęp do istniejących zasobów i infrastruktury .......................................................100
Planowanie wdrożenia ......................................................................................................103
Tworzenie planu organizacyjnego..............................................................................103
Tworzenie infrastruktury sprzętowej..........................................................................103
Ustalenie celów badania pilotażowego.............................................................................106
Gotowe rozwiązania................................................................................................................107
Etapy zarządzania projektem ............................................................................................107
Wykonanie analizy wpływu na działanie firmy ...............................................................107
Wykonanie analizy ryzyka ...............................................................................................108
Ocena kosztów i korzyści umowy o poziomie świadczonych usług (SLA).....................109
Zapewnienie możliwości przywrócenia usługi.................................................................109
Projektowanie badania pilotażowego ...............................................................................109
Przeprowadzenie analizy luk ............................................................................................110
Tworzenie planu zapewnienia ciągłości działania............................................................110
Tworzenie protokołu komunikacji dla działu wsparcia technicznego..............................111
Tworzenie planu usunięcia katastrofy ..............................................................................112
Ocena środowiska.............................................................................................................112
Planowanie działań przed wdrożeniem ............................................................................113
Planowanie folderów publicznych....................................................................................113
Obliczanie przestrzeni dyskowej ......................................................................................113
Rozdział 4. Planowanie implementacji ................................................................... 115
Wprowadzenie ........................................................................................................................115
Metodologia zarządzania projektem.................................................................................115
Planowanie celów.......................................................................................................116
Postrzegane korzyści ..................................................................................................118
Ustalenie celów badania pilotażowego.............................................................................119
Implementacja planu.........................................................................................................120
Podstawowe narzędzia do zarządzania.......................................................................121
Struktura fizyczna.......................................................................................................122
Oprogramowanie serwera aplikacji............................................................................122
Infrastruktura sieciowa ...............................................................................................124
Komponenty usług katalogowych ..............................................................................124
Struktura logiczna Active Directory...........................................................................125
Komponenty logiczne Active Directory.....................................................................130
Role administracyjne ..................................................................................................132
Spis treści
7
Grupy Active Directory..............................................................................................132
Zasady ........................................................................................................................133
Domyślne zasady adresatów ......................................................................................133
Struktura Exchange 2000..................................................................................................134
Zarządzanie adresatami ..............................................................................................134
Standardy nazewnictwa ..............................................................................................135
Foldery publiczne .......................................................................................................136
Obce systemy pocztowe .............................................................................................138
Usługi RTC.................................................................................................................138
Gotowe rozwiązania................................................................................................................140
Identyfikacja zadań wykonywanych przed instalacją.......................................................140
Ustalenie zakresu grup Active Directory..........................................................................140
Planowanie przestrzeni nazw DNS...................................................................................141
Planowanie kontekstów nazewnictwa ..............................................................................142
Zarządzanie kontenerem Configuration ...........................................................................143
Planowanie zarządzania adresatami .................................................................................143
Konfiguracja ustawień adresatów.....................................................................................143
Usuwanie zasad adresatów ...............................................................................................144
Definiowanie nowych zasad adresatów............................................................................145
Ustalenie zakresu grup......................................................................................................145
Tworzenie grup zabezpieczeń i grup dystrybucyjnych ....................................................146
Wykonanie kontroli obcego systemu pocztowego ...........................................................146
Rozdział 5. Planowanie obiektów adresatów .......................................................... 147
Wprowadzenie ........................................................................................................................147
Nowe koncepcje w Exchange 2000 ..................................................................................147
Obiekty katalogowe w Exchange 2000 ......................................................................149
Modele administracyjne obiektów adresatów ............................................................157
Klasyczni adresaci w Exchange 2000...............................................................................159
Znaczenie ADC dla zarządzania adresatami ..............................................................159
Gotowe rozwiązania................................................................................................................161
Tworzenie obiektu adresata z włączoną obsługą skrzynki pocztowej..............................161
Dodanie informacji o skrzynce pocztowej dla istniejących użytkowników.....................163
Tworzenie obiektu adresata z włączoną obsługą poczty ..................................................164
Włączenie obsługi poczty dla grupy zabezpieczeń lub dystrybucyjnej............................167
Planowanie dostępu adresatów do Exchange 2000
tylko przy użyciu klienta opartego na MAPI .................................................................167
Włączanie obsługi poczty dla grup w środowisku z wieloma domenami ........................170
Optymalizacja ruchu replikacji dla grup z włączoną obsługą poczty...............................171
Planowanie skrzynki pocztowej poczmistrza ...................................................................171
Planowanie dedykowanych skrzynek pocztowych
z wyłączonymi kontami użytkowników.........................................................................172
Ustalenie liczby skrzynek pocztowych,
jaka może być dodana do pojedynczego serwera Exchange 2000.................................172
Ustawienie limitów magazynów dla obiektów adresatów................................................173
Użycie zasad adresatów dla obiektów adresatów .............................................................174
Aktualizacja obiektów adresatów przy użyciu usługi Recipient Update..........................176
Implementacja grup administracyjnych i przydzielenie im uprawnień ............................177
Utworzone grupy administracyjne nie są widoczne w System Managerze......................178
Rozdział 6. Planowanie topologii lokalizacji............................................................ 181
Wprowadzenie ........................................................................................................................181
Organizacja firmy .............................................................................................................182
Tworzenie struktury fizycznej....................................................................................183
Struktura sieci.............................................................................................................183
8
Exchange 2000 .NET Server. Czarna księga
Protokoły ....................................................................................................................184
Serwery wirtualne.......................................................................................................187
Komponenty Exchange.....................................................................................................188
Jądro transportowe .....................................................................................................188
Współpraca komponentów .........................................................................................191
Planowanie grup trasowania .............................................................................................193
Tworzenie grupy trasowania ......................................................................................194
Rola głównego serwera grupy trasowania..................................................................194
Trasowanie informacji w Active Directory i DNS.....................................................195
Trasowanie wiadomości i rozwijanie grup.................................................................195
Trasowanie stanu łącza...............................................................................................195
Łącza lokalizacji.........................................................................................................196
Podsumowanie..................................................................................................................197
Gotowe rozwiązania................................................................................................................198
Planowanie struktury jednostek organizacyjnych ............................................................198
Dostęp do zasobów wiedzy przy użyciu przeglądarki......................................................198
Kwestia typu grup Active Directory.................................................................................198
Ustalenie zakresu grup Active Directory..........................................................................199
Tworzenie grup w trybie mieszanym ...............................................................................201
Tworzenie grup z włączoną obsługą poczty .....................................................................201
Planowanie grup zabezpieczeń Active Directory .............................................................201
Planowanie grup dystrybucyjnych Active Directory........................................................202
Planowanie granic lokalizacji ...........................................................................................202
Ustalenie liczby serwerów katalogu globalnego ..............................................................202
Oszacowanie wielkości bazy danych katalogu globalnego ..............................................203
Ustalenie wielkości serwera katalogu globalnego ............................................................203
Planowanie rozmieszczenia serwerów katalogu globalnego ............................................204
Wybór atrybutów do replikacji w katalogu globalnym ....................................................205
Planowanie strategii trasowania .......................................................................................205
Planowanie przepływu wiadomości systemowych między lokalizacjami .......................206
Planowanie sposobu połączenia lokalizacji......................................................................207
Sprawdzenie dostępności ESMTP ....................................................................................207
Włączenie obsługi ESMTP...............................................................................................207
Żądanie ETRN/TURN z innego serwera ..........................................................................208
Rozdział 7. Planowanie usług ................................................................................ 209
Wprowadzenie ........................................................................................................................209
Rejestracja użytkowników poprzez Active Directory, a nie usługi KM ..........................209
Schematy Microsoftu i TCO ......................................................................................211
Narzędzia administracyjne................................................................................................212
Współpraca ról administracyjnych .............................................................................212
Zarządzanie adresatami ....................................................................................................218
Struktura domeny .......................................................................................................219
Modele administracyjne .............................................................................................220
Wyspecjalizowane narzędzia do zarządzania adresatami ..........................................221
Zarządzanie uprawnieniami .......................................................................................222
Zasady ........................................................................................................................223
Zarządzanie serwerem ......................................................................................................224
Modele administracyjne .............................................................................................225
Narzędzia obsługujące zarządzanie serwerem ...........................................................226
Zasady systemowe i grupy .........................................................................................227
Inne obszary administracyjne ...........................................................................................228
Grupy zabezpieczeń i dystrybucyjne..........................................................................228
Foldery publiczne .......................................................................................................228
Spis treści
9
RTC...................................................................................................................................229
Technologie i koncepcje pracy grupowej...................................................................229
Usługa KM w Exchange 2000....................................................................................235
Outsourcing usług pracy grupowej ...................................................................................237
Gotowe rozwiązania................................................................................................................237
Łączenie z serwerem Exchange w celu uzyskania usługi ................................................237
Tworzenie konsoli MMC..................................................................................................238
Tworzenie dyskietki ratunkowej.......................................................................................239
Modyfikacja klucza rejestru MMC RestrictAuthorMode.................................................240
Modyfikacja klucza rejestru MMC RestrictToPermittedSnapins.....................................241
Instalacja i zarządzanie usługami certyfikatów ................................................................242
Instalacja ośrodka certyfikacji ..........................................................................................242
Instalacja usług KM ..........................................................................................................243
Przyznanie uprawnień Manage dla usług KM..................................................................244
Rejestracja użytkowników w usługach KM .....................................................................245
Tworzenie społeczności pogawędek.................................................................................246
Tworzenie kanału pogawędek ..........................................................................................247
Tworzenie listy ograniczonych pogawędek......................................................................248
Wyłączenie społeczności pogawędek bez jej usunięcia ...................................................249
Usunięcie społeczności pogawędek..................................................................................249
Rozwiązywanie problemów związanym z usługami IM ..................................................250
Tworzenie nowej społeczności pogawędek......................................................................250
Instalacja usług IM ...........................................................................................................251
Zmiana zasad haseł dla serwera IM..................................................................................251
Ograniczenie liczby połączeń IM .....................................................................................251
Zapewnienie dostępu do usługi IM...................................................................................252
Konfiguracja domyślnych ustawień kanału IM i opcji językowych ................................252
Tworzenie klasy użytkowników pogawędek....................................................................253
Tworzenie blokady użytkownika dla kanału IRC ............................................................254
Rejestracja użytkowników poprzez Active Directory, a nie usługi KM ..........................254
Część III Instalacja i konfiguracja Exchange 2000
257
Rozdział 8. Zabezpieczenia, katastrofy i przywracanie ............................................ 259
Wprowadzenie ........................................................................................................................259
Dlaczego bezpieczeństwo jest ważne? .............................................................................259
Środki ochrony sieci ...................................................................................................260
Środki zabezpieczające chronią przed katastrofą .......................................................265
Uniwersalny plan awaryjny? ............................................................................................271
Powiązana technologia ...............................................................................................272
Uwaga na temat klastrów Exchange 2000 .................................................................273
Strategie archiwizacji i przywracania.........................................................................274
Użycie ESEUTIL i ISINTEG do zapewnienia spójności bazy danych......................282
Gotowe rozwiązania................................................................................................................283
Zabezpieczenie krytycznych magazynów skrzynek pocztowych.....................................283
Usunięcie skrzynki pocztowej w Exchange 2000 ............................................................284
Konfiguracja okresu zachowania usuniętych elementów.................................................285
Konfiguracja okresu zachowania usuniętej skrzynki pocztowej ......................................286
Przyłączenie usuniętej skrzynki pocztowej do nowego obiektu użytkownika .................286
Przywrócenie skrzynki pocztowej z kopii zapasowej ......................................................287
Zmiana nazwy LegacyExchangeDN dla serwera odtwarzania ........................................290
Utworzenie wirtualnego serwera SMTP...........................................................................291
Konfiguracja uwierzytelniania dla serwerów wirtualnych SMTP....................................293
Ograniczenie połączeń do serwerów wirtualnych według adresów IP lub domen ..........295
10
Exchange 2000 .NET Server. Czarna księga
Tworzenie obiektu GPO dla domeny ...............................................................................296
Instalacja przystawki Security Analysis and Configuration .............................................299
Planowanie optymalnej konfiguracji RAID .....................................................................300
Wyłączenie EFS dla wszystkich użytkowników w domenie ...........................................301
Sprawdzenie spójności baz danych przy użyciu ISINTEG i ESEUTIL...........................303
Usuwanie problemów z użyciem uprawnień zabezpieczeń
z powodu brakującej zakładki Security..........................................................................304
Rozdział 9. Kwestie związane z serwerem Exchange .............................................. 307
Wprowadzenie ........................................................................................................................307
Kwestie związane z bezpieczeństwem serwera ................................................................308
Użycie zabezpieczeń wiadomości ..............................................................................309
Zarządzanie treścią .....................................................................................................313
Zabezpieczenia antywirusowe....................................................................................315
Kwestie związane z DNS i TCP/IP ..................................................................................317
Użycie DNS do zapytań Active Directory .................................................................318
DNS używany w konfiguracji frontonu i zaplecza ....................................................318
Integracja usługi Active Directory z istniejącymi serwerami DNS ...........................319
Exchange 2000 i TCP/IP ............................................................................................320
Kwestie związane z delegacją praw .................................................................................321
Wszystko zaczęło się od projektu Active Directory... ...............................................321
... po czym nadeszło zarządzanie systemem Exchange..............................................323
Delegacja kontroli ......................................................................................................324
Jeszcze bardziej szczegółowa kontrola nad Exchange 2000......................................324
Kwestie związane z migracją serwera Exchange 5.5 .......................................................325
Gotowe rozwiązania................................................................................................................333
Konfiguracja formatów wiadomości dla serwera wirtualnego POP3...............................333
Konfiguracja opcji zmiany formatu wiadomości dla poszczególnych użytkowników ....334
Konfiguracja formatów MIME dla domyślnego formatu wiadomości internetowych ....336
Użycie kreatora reguł w Outlooku 2000 do zarządzania treścią .........................................336
Użycie filtrów treści wiadomości w programie Outlook..................................................340
Wybór właściwego oprogramowania do zarządzania treścią ...........................................341
Niewłaściwe użycie poczty na serwerze Exchange 2000.................................................342
Aktualizacja zabezpieczeń poczty w Outlooku 2000 .......................................................343
Łączenie Exchange 2000 z Internetem przy użyciu statycznego adresu IP .....................345
Ustawienie numerów portów TCP/IP
dla firewalla w środowisku Exchange trybu mieszanego ..............................................346
Użycie kreatora Delegation of Control do przydzielenia uprawnień ...............................347
Ograniczenie dostępu do folderów publicznych w Outlooku 2000..................................349
Konwersja uniwersalnych grup dystrybucyjnych
do uniwersalnych grup zabezpieczeń
w celu zabezpieczenia dostępu do folderów publicznych..............................................351
Instalacja łącznika ADC z umową połączenia
w środowisku Exchange trybu mieszanego ...................................................................352
Rozdział 10. Instalacja podstawowych komponentów ............................................... 357
Wprowadzenie ........................................................................................................................357
Grupy magazynowania .....................................................................................................357
Komunikacja internetowa .................................................................................................358
Dodatkowe serwery wirtualne SMTP ........................................................................358
Brama pocztowa .........................................................................................................358
Łącznik SMTP............................................................................................................359
Konfiguracja DNS ......................................................................................................359
Spis treści
11
Active Directory ...............................................................................................................360
Instalacja lasu .............................................................................................................360
Ustawienie domen ......................................................................................................365
Ustawienie skrzynek pocztowych ..............................................................................367
Instalacja Exchange 2000 .................................................................................................368
Komponenty Exchange 2000 .....................................................................................369
Narzędzia do zarządzania systemem Exchange .........................................................369
Praca grupowa w czasie rzeczywistym (RTC)...........................................................370
Gotowe rozwiązania................................................................................................................370
Instalacja komponentów Exchange 2000 .........................................................................370
Instalacja Exchange 2000 w lesie bez wcześniejszych wersji Exchange .........................371
Instalacja Exchange 2000 w lesie z wcześniejszymi wersjami Exchange .......................372
Instalacja dodatkowych serwerów Exchange 2000 ..........................................................374
Instalacja Exchange 2000 na serwerach członkowskich Windows 2000 .........................374
Instalacja serwera Exchange 2000 na klastrowanych serwerach .....................................375
Zautomatyzowana instalacja Exchange 2000 ...................................................................375
Transfer roli Schema Master ............................................................................................375
Transfer roli Schema Master w przypadku awarii............................................................376
Ustawienie w rejestrze praw do zapisu schematu.............................................................377
Konfiguracja System Attendant w Exchange 2000 ..........................................................378
Konfiguracja Information Store........................................................................................381
Ustawienie właściwości skrzynki pocztowej....................................................................382
Tworzenie nowego drzewa folderów publicznych ...........................................................385
Dodanie magazynu folderów publicznych .......................................................................386
Ustawienie właściwości magazynu folderów publicznych ..............................................386
Zmiana serwera domowego folderów publicznych ..........................................................388
Replikacja folderów publicznych .....................................................................................388
Planowanie replikacji dla wszystkich folderów w bazie danych......................................389
Planowanie replikacji dla pojedynczego folderu ..............................................................389
Instalacja usługi IM ..........................................................................................................390
Konfiguracja usług IM......................................................................................................390
Włączenie usługi IM dla użytkowników ..........................................................................391
Instalacja klienta MSN Messenger Service ......................................................................392
Konfiguracja usługi pogawędek .......................................................................................393
Tworzenie społeczności pogawędek dla wybranej grupy administracyjnej.....................393
Łączenie społeczności pogawędek z serwerem ................................................................394
Usunięcie społeczności pogawędek z serwera .................................................................395
Czasowe wyłączenie społeczności pogawędek ................................................................395
Skasowanie społeczności pogawędek z serwera ..............................................................396
Tworzenie kanałów pogawędek .......................................................................................396
Konfiguracja połączenia internetowego ...........................................................................396
Tworzenie dodatkowych serwerów wirtualnych SMTP...................................................396
Tworzenie łącznika SMTP ...............................................................................................397
Konfiguracja połączenia NNTP........................................................................................398
Konfiguracja wirtualnego serwera NNTP ........................................................................398
Tworzenie grup dyskusyjnych ..........................................................................................399
Konfiguracja funkcji śledzenia wiadomości.....................................................................400
Dodanie elementu konfiguracji przy użyciu MMC ..........................................................400
Konfiguracja widoku Taskpad w konsoli .........................................................................400
Ustalenie obciążenia roboczego przy użyciu Load Simulator..........................................402
Badanie wydajności przy użyciu LoadSim.......................................................................402
Tworzenie topologii LoadSim ..........................................................................................403
12
Exchange 2000 .NET Server. Czarna księga
Rozdział 11. Tworzenie strategii trasowania............................................................. 405
Wprowadzenie ........................................................................................................................405
Komponenty transportowe w Exchange 2000 ..................................................................405
Faza 1. Istniejące środowisko w organizacji ....................................................................408
Faza 2. Planowanie grup trasowania ................................................................................410
Trasowanie w Exchange 5.5 i koegzystencja z Exchange 2000 ................................410
Tworzenie grup trasowania i ich granic .....................................................................411
Faza 3. Przepływ wiadomości w Exchange 2000 przy użyciu łączników .......................414
Topologia przepływu wiadomości w Exchange 2000................................................414
Architektura przepływu wiadomości w Exchange 2000 ............................................415
Implementacja łączników wiadomości ......................................................................417
Optymalizacja i rozwiązywanie problemów
z trasowaniem wiadomości w Exchange 2000...............................................................421
Narzędzia Exchange 2000 używane do rozwiązywania problemów .........................422
Gotowe rozwiązania................................................................................................................425
Zrozumienie koncepcji trasowania wiadomości w Exchange 5.5 ....................................425
Planowanie pojedynczych grup trasowania w organizacji ...............................................425
Planowanie wielu grup trasowania w organizacji ............................................................426
Wdrożenie replik folderów publicznych w zdalnych grupach trasowania .......................426
Tworzenie strategii grup trasowania na podstawie modeli administracyjnych ................428
Wybór serwera RGM w grupie trasowania ......................................................................428
Tworzenie nowej grupy trasowania przy użyciu System Managera ................................430
Przenoszenie serwerów między grupami trasowania przy użyciu System Managera......430
Użycie funkcji trasowania stanu łącza dla wszystkich łączników w Exchange 2000 ......431
Ustalenie adresów docelowych serwerów przyczółkowych
przy użyciu łącznika SMTP ...........................................................................................431
Utworzenie łącznika RGC przy użyciu przystawki Exchange System Manager .............431
Ustalenie adresów docelowych serwerów przyczółkowych dla łącznika RGC ...............433
Konfiguracja łącznika X.400 opartego na protokole TCP/IP ...........................................433
Kontrola kolejek SMTP przy użyciu narzędzia Queue Viewer w System Managerze ....435
Usuwanie i zatrzymywanie wiadomości w kolejkach SMTP
przy użyciu System Managera .......................................................................................435
Automatyczne zarządzanie wzrostem kolejki w System Managerze ...............................436
Użycie funkcji śledzenia wiadomości w Exchange 2000.................................................439
Włączenie dzienników protokołów dla wirtualnego serwera SMTP ...............................441
Włączenie dzienników diagnostycznych dla serwera Exchange 2000.............................443
Rozdział 12. Instalacja oprogramowania klienckiego ................................................ 447
Wprowadzenie ........................................................................................................................447
Protokoły Exchange 2000.................................................................................................447
Protokoły internetowe ................................................................................................447
Protokół MAPI ...........................................................................................................456
Implementacja klientów Exchange...................................................................................457
Microsoft Exchange Client.........................................................................................457
Klienci Outlook ..........................................................................................................458
Aktualizacja do Outlooka 2000 ..................................................................................466
Konfiguracja klientów internetowych ........................................................................467
Gotowe rozwiązania................................................................................................................468
Instalacja Exchange Serwer i klienta Outlook na tym samym komputerze .....................468
Zmuszenie użytkowników do wybrania profilu klienta Outlook .....................................469
Konfiguracja profili dla klientów Outlook .......................................................................470
Dodanie magazynu folderów osobistych w kliencie Outlook.............................................470
Utworzenie pliku folderu trybu offline w Outlooku 2000................................................471
Konfiguracja ustawień folderu trybu offline w Outlooku 2000 .......................................471
Konfiguracja stanu połączenia offline w Outlooku 2000 .................................................471
Spis treści
13
Udostępnianie książki adresowej trybu offline dla użytkowników ..................................472
Konfiguracja zdalnej poczty w Outlooku 2000 ................................................................472
Włączanie Asystenta podczas nieobecności .....................................................................473
Tworzenie nowej reguły w Outlooku 2000 ......................................................................475
Konfiguracja wirtualnego serwera SMTP ........................................................................476
Konfiguracja i kontrolowanie dostępu do wirtualnego serwera POP3.............................477
Część IV Zarządzanie i optymalizacja Exchange 2000
479
Rozdział 13. Administracja systemu ........................................................................ 481
Wprowadzenie ........................................................................................................................481
Modele administracyjne....................................................................................................481
Grupy administracyjne ...............................................................................................482
Aktualny model administracyjny ...............................................................................482
Grupy trasowania..............................................................................................................482
Administracja funkcją trasowania ..............................................................................483
Zarządzanie połączeniami między serwerami Exchange ...........................................483
Zarządzanie serwerem ......................................................................................................484
Aspekty zarządzania serwerem Exchange..................................................................484
Zarządzanie serwerami Exchange 2000 w trybie mieszanym....................................485
Zasady administracyjne ..............................................................................................485
Grupy zabezpieczeń a grupy dystrybucyjne...............................................................487
Zarządzanie adresatami ....................................................................................................487
Foldery publiczne .............................................................................................................488
Typy modeli administracyjnych .......................................................................................489
Zarządzanie scentralizowane......................................................................................489
Zarządzanie rozproszone (zdecentralizowane)...........................................................491
Zarządzanie mieszane.................................................................................................493
Kiedy należy użyć RGC?..................................................................................................495
Procedury zabezpieczeń dla poczty elektronicznej ..........................................................495
Gotowe rozwiązania................................................................................................................496
Tworzenie zasad systemowych.........................................................................................496
Wyświetlenie grup administracyjnych .......................................................................496
Wyświetlenie folderu zasad systemowych.................................................................496
Tworzenie zasady serwera..........................................................................................497
Tworzenie zasady magazynu skrzynek pocztowych..................................................497
Tworzenie zasady magazynu publicznego .................................................................499
Tworzenie nowej zasady adresatów ...........................................................................501
Stosowanie i weryfikacja zasad..................................................................................502
Zarządzanie adresatami ....................................................................................................502
Tworzenie użytkownika z włączoną obsługą skrzynki pocztowej.............................502
Tworzenie użytkownika z włączoną obsługą poczty .................................................503
Tworzenie kontaktu z włączoną obsługą poczty ........................................................504
Tworzenie grupy z włączoną obsługą poczty.............................................................505
Włączenie obsługi skrzynki pocztowej dla istniejącego użytkownika.......................505
Przeniesienie skrzynki pocztowej.....................................................................................506
Usunięcie skrzynki pocztowej ..........................................................................................506
Zarządzanie adresami emailowymi ..................................................................................507
Dodanie nowego adresu .............................................................................................507
Modyfikacja adresu dla użytkownika z włączoną obsługą skrzynki pocztowej ........507
Tworzenie adresu emailowego dla adresata z włączoną obsługą poczty .........................508
Ustawienie głównego adresu ............................................................................................508
Konfiguracja ustawień wiadomości ...........................................................................509
Ustawienie limitów wielkości wiadomości przychodzących .....................................510
14
Exchange 2000 .NET Server. Czarna księga
Ustawienie limitów wielkości wiadomości wychodzących .......................................510
Ustawienie ograniczeń poczty dla użytkowników
z włączoną obsługą skrzynki pocztowej ..................................................................511
Delegacja uprawnień do wysyłania wiadomości ..............................................................511
Ustawienie adresu przekazywania ....................................................................................512
Ustawienie limitów adresatów..........................................................................................512
Konfiguracja maksymalnej liczby adresatów wiadomości...............................................512
Ustawienie limitu wielkości skrzynek pocztowych..........................................................513
Konfiguracja okresu zachowania usuniętych elementów.................................................513
Ustawienie limitu wielkości wiadomości .........................................................................514
Ustawienie limitu maksymalnej wielkości wiadomości...................................................514
Ustawienie ograniczeń wiadomości dla adresatów z włączoną obsługą poczty ..............514
Włączanie i wyłączanie funkcji Exchange .......................................................................515
Instalacja łącznika SMTP .................................................................................................515
Przeglądanie właściwości łącznika SMTP .......................................................................516
Ustawienie terminarza połączenia ....................................................................................517
Konfiguracja opcji doręczania RGC.................................................................................517
Rozdział 14. Obsługa i rozwiązywanie problemów ..................................................... 519
Wprowadzenie ........................................................................................................................519
Ustalenie celów obsługi organizacji z Exchange 2000.....................................................520
Tworzenie celów obsługi dla zarządzania zasobami..................................................520
Tworzenie celów obsługi dla poziomów usług w organizacji ...................................525
Zmiany w konfiguracji systemu .................................................................................526
Narzędzia do obsługi i monitorowania Exchange 2000 ...................................................527
Użycie monitorów serwera w celu konserwacji Exchange 2000 ...............................528
Obsługa kolejek wiadomości......................................................................................530
Obsługa i optymalizacja plików baz danych i grup magazynowania.........................533
Sztuka rozwiązywania problemów ...................................................................................536
Rozwiązywanie problemów z komunikacją serwerów Exchange 2000.....................538
Ścieżka wiadomości ...................................................................................................539
Rozwiązywanie problemów z Active Directory ........................................................542
Gotowe rozwiązania................................................................................................................543
Monitorowanie obciążenia procesora w Exchange 2000 .................................................543
Optymalizacja wykorzystania pamięci w Exchange 2000 ...............................................543
Optymalizacja pamięci wirtualnej dla serwerów z ponad 1 GB RAM ............................544
Konfiguracja monitora do śledzenia dostępnej pamięci wirtualnej..................................547
Konfiguracja powiadomień wysyłanych
w przypadku spadku dostępnej pamięci wirtualnej .......................................................549
Ustawienie limitów liczby wiadomości SMTP w kolejkach ............................................551
Manipulacja kolejkami SMTP w System Managerze ......................................................552
Instalacja zestawu Service Pack w przypadku problemów
z kolejkami wiadomości dla łączników zewnętrznych ..................................................554
Wykonanie defragmentacji baz danych w trybie offline ..................................................554
Uruchomienie narzędzia Eseutil w trybie Repair
lub Integrity z przełącznikami /X lub /V........................................................................555
Sprawdzanie spójności baz danych ..................................................................................556
Włączenie dzienników cyklicznych dla grupy magazynowania ......................................557
Zapisanie plików dzienników transakcji w innym katalogu lub na innym dysku ............557
Rozdział 15. Łączenie z innymi systemami obsługi wiadomości ................................. 559
Wprowadzenie ........................................................................................................................559
Migracja obcych systemów obsługi wiadomości do Exchange 2000 ........................561
Łącznik MS Mail Connector for PC Networks ..........................................................562
Spis treści
15
Łącznik Exchange Lotus Notes Connector.......................................................................564
Konfiguracja synchronizacji katalogów ...........................................................................565
Konfiguracja terminarza Dirsync ...............................................................................566
Synchronizacja katalogu cc:Mail ...............................................................................566
Łącznik Novell GroupWise Connector ............................................................................567
Przygotowanie systemu ..............................................................................................567
Synchronizacja katalogów z GroupWise ...................................................................568
Mobile Information Server (MIS) ....................................................................................569
Outlook Mobile Access i Outlook Mobile Manager ..................................................569
Gotowe rozwiązania................................................................................................................570
Przeglądanie zainstalowanych łączników do obcych systemów ......................................570
Instalacja łącznika Exchange MS Mail Connector for PC Networks...............................570
Sprawdzenie prawidłowej instalacji łącznika MS Mail....................................................571
Konfiguracja przepływu wiadomości przez łącznik MS Mail .........................................571
Tworzenie PCMTA ..........................................................................................................572
Tworzenie serwera Exchange 2000 Dirsync i komponentu wysyłającego żądanie .........573
Tworzenie łącznika Schedule+ Free/Busy........................................................................573
Konfiguracja łącznika Schedule+ Free/Busy....................................................................574
Rozwiązywanie problemów z łącznikiem MS Mail .........................................................574
Rozwiązywanie problemów z usługą Dirsync..................................................................575
Typowy problem: Dirsync nie działa ze względu na błąd Fatal 203 Rebuild Error......575
Konfiguracja łącznika Lotus Notes ..................................................................................575
Tworzenie identyfikatora Lotus Notes .............................................................................576
Instalacja klienta Notes.....................................................................................................577
Konfiguracja serwera Lotus Notes/Domino .....................................................................577
Instalacja łącznika Lotus Notes ........................................................................................578
Konfiguracja łącznika Lotus Notes ..................................................................................578
Ustawienie połączenia z serwerem Lotus Notes ..............................................................579
Wybór i konfiguracja kontenera Import ...........................................................................579
Wybór kontenera Export...................................................................................................580
Konfiguracja trasowania wiadomości...............................................................................581
Uruchomienie usługi łącznika ..........................................................................................582
Testowanie połączenia między serwerem Exchange i Lotus Notes .................................582
Wybranie książek adresowych Notes do synchronizacji..................................................583
Kontrola propagacji grup Lotus Notes do Exchange........................................................584
Wyłączenie propagacji grup Lotus Notes do Exchange ...................................................584
Ręczne żądanie aktualizacji katalogu ...............................................................................584
Instalacja łącznika Lotus cc:Mail Connector....................................................................585
Konfiguracja łącznika Lotus cc:Mail................................................................................586
Konfiguracja zakładki Post Office....................................................................................587
Konfiguracja zakładki Advanced .....................................................................................588
Konfiguracja zakładki Address Space ..............................................................................588
Konfiguracja zakładki Import Container ..........................................................................589
Wybór i konfiguracja kontenera Import ...........................................................................589
Eksport kontaktów poprzez kontener Export ...................................................................591
Zakładka Delivery Restriction....................................................................................591
Ograniczenie doręczania wiadomości do Lotus cc:Mail ..................................................591
Konfiguracja terminarza Dirsync .....................................................................................592
Testowanie połączenia......................................................................................................592
Przygotowanie środowiska Novell GroupWise................................................................593
Tworzenie i konfiguracja bramy API dla GroupWise 4.x ................................................593
Tworzenie i konfiguracja bramy API dla GroupWise 5.x ................................................594
Aktywacja list dystrybucyjnych w GroupWise ................................................................595
Utworzenie zewnętrznej obcej domeny w GroupWise 4.x ..............................................596
16
Exchange 2000 .NET Server. Czarna księga
Utworzenie zewnętrznej obcej domeny w GroupWise 5.x ..............................................596
Utworzenie grupy NTGateway.........................................................................................597
Konfiguracja łącznika Novell GroupWise........................................................................597
Okno właściwości łącznika Novell GroupWise ...............................................................598
Import wpisów katalogu z GroupWise do Exchange .......................................................600
Rozdział 16. Web Storage System i tablice konsolidujące ........................................ 601
Wprowadzenie ........................................................................................................................601
Zarządzanie wiedzą ..........................................................................................................602
Definicje usług ...........................................................................................................604
Definicja architektury.................................................................................................605
Wymagania wobec platformy ....................................................................................606
Web Storage System.........................................................................................................607
Obsługa zasobów........................................................................................................608
Obsługa zdarzeń .........................................................................................................609
Obsługa przepływów pracy ........................................................................................609
Formularze internetowe (Web Forms) .......................................................................611
Portale i e-commerce ........................................................................................................612
Tablice konsolidacyjne .....................................................................................................614
Zabezpieczenia tablic konsolidacyjnych ....................................................................615
Tworzenie przenośnych komponentów Web Parts ....................................................616
Architektura tablicy konsolidującej............................................................................616
Tworzenie komponentów Web Parts................................................................................619
Gotowe rozwiązania................................................................................................................621
Uruchomienie narzędzia Proxy Configuration w celu obsługi ServerXMLHTTP ..........621
Utworzenie egzemplarza Web Storage dla tablicy konsolidującej...................................622
Modyfikacja podstawowych właściwości tablicy konsolidacyjnej ..................................623
Utworzenie projektu cyfrowej tablicy konsolidującej ......................................................624
Dodanie komponentów Web Parts do tablicy konsolidacyjnej
poprzez Office Developer ..............................................................................................624
Użycie folderów WWW z tablicą File System.................................................................625
Ustawienie zabezpieczeń dla tablicy File System ............................................................625
Instalacja tablicy File System Digital Dashboard.............................................................626
Konfiguracja tablicy File System Digital Dashboard .......................................................626
Tworzenie pierwszej cyfrowej tablicy konsolidacyjnej ...................................................627
Instalacja Web Part Builder ..............................................................................................628
Użycie narzędzia Web Part Builder do stworzenia komponentów Web Parts .................628
Dodanie komponentów Web Parts ...................................................................................629
Tworzenie tablicy konsolidującej przy użyciu komponentów Web Parts........................629
Podgląd i testowanie tablicy konsolidującej.....................................................................630
Wdrożenie tablicy konsolidującej Exchange Server ........................................................630
Rejestracja ujścia zdarzeń przepływu pracy w folderze ...................................................630
Pierwsze uruchomienie serwera SharePoint Portal Server ...............................................631
Rozdział 17. Formularze Outlooka i przepływy pracy Exchange ................................... 633
Wprowadzenie ........................................................................................................................633
Tworzenie systemów pracy grupowej ..............................................................................634
Aplikacje pocztowe ....................................................................................................635
Architektura aplikacji przepływu pracy dla serwera Exchange .................................637
Projektowanie aplikacji przepływu pracy dla serwera Exchange.....................................638
Aplikacje przepływu pracy.........................................................................................640
Zdarzenia przepływu pracy...............................................................................................642
Kolejność zdarzeń ......................................................................................................643
Mechanizm przepływu pracy .....................................................................................645
Skrypty przepływu pracy............................................................................................646
Spis treści
17
Proces przepływu pracy..............................................................................................646
Użycie Workflow Designer Design Surface ..............................................................648
Dodawanie i modyfikacja stanów przepływu pracy...................................................648
Gotowe rozwiązania................................................................................................................648
Modyfikacja widoków poprzez interfejs Outlooka ..........................................................649
Utworzenie nowego widoku formularza Outlooka...........................................................649
Publikacja formularza Outlooka .......................................................................................649
Przygotowanie Exchange do obsługi folderów zespołowych ..........................................650
Tworzenie folderu zespołowego.......................................................................................650
Usunięcie formularza z biblioteki osobistych formularzy................................................651
Tworzenie procesu przepływu pracy w WDE 2000 .........................................................651
Dodanie stanów do schematu przepływu pracy................................................................652
Dodanie operacji do stanów..............................................................................................652
Konfiguracja Exchange 2000 w celu projektowania przepływów pracy .........................653
Dodanie użytkownika do dwóch ról COM+.....................................................................653
Uruchomienie aplikacji przepływu pracy poprzez wybrane konto użytkownika.............654
Utworzenie folderu Exchange dla projektu ......................................................................655
Dodanie folderu publicznego przy użyciu Internet Explorera..........................................655
Utworzenie projektu i procesu przepływu pracy ..............................................................655
Projektowanie procesu przepływu pracy w WDE 2000 ...................................................657
Dodanie stanu przepływu pracy........................................................................................657
Zmiana nazwy stanu lub zdarzenia...................................................................................658
Ustawienie podpisu stanu lub przejścia ............................................................................658
Usunięcie stanu .................................................................................................................658
Dodanie lub modyfikacja przejścia przepływu pracy.......................................................659
Wielokrotne dodanie obiektów w trybie Sticky ...............................................................659
Zmiana typu przejścia.......................................................................................................659
Usunięcie procesu przepływu pracy dla Exchange 2000 .................................................660
Włączenie funkcji usuwania błędów skryptów
oraz zachowanie informacji o powodzeniu....................................................................660
Utworzenie procedur ze wspólnymi skryptami ................................................................660
Kopiowanie procesu przepływu pracy dla Exchange 2000 ..............................................661
Aktywacja procesu przepływu pracy................................................................................662
Zmiana widoku schematu przepływu pracy .....................................................................662
Przeglądanie i drukowanie przepływu pracy ....................................................................663
Drukowanie schematu przepływu pracy...........................................................................663
Testowanie przepływu pracy dla Exchange 2000 ............................................................663
Rozdział 18. Obiekty CDO i procesy Exchange ......................................................... 665
Wprowadzenie ........................................................................................................................665
Web Storage System.........................................................................................................665
Przebudowa Outlook Web Access .............................................................................666
Dostęp do danych Exchange ......................................................................................666
Dostawcy źródła danych...................................................................................................667
Serwerowe komponenty ActiveX.....................................................................................671
Global.asa ...................................................................................................................672
ASP.NET ....................................................................................................................673
Obiekty CDO ....................................................................................................................673
CDO dla Windows 2000 ............................................................................................674
CDO dla Exchange 2000 ............................................................................................675
Podsystemy CDO .......................................................................................................675
Przepływy procesów i CDO .......................................................................................676
Procesy i XML..................................................................................................................677
Transformacja XML w MS Access............................................................................679
Kompatybilność przeglądarek ....................................................................................679
18
Exchange 2000 .NET Server. Czarna księga
Struktura .NET..................................................................................................................680
ASP.NET ....................................................................................................................682
Przyszłość z .NET ......................................................................................................683
Exchange 2000 i droga kupca...........................................................................................684
Gotowe rozwiązania................................................................................................................685
Zmiana litery dysku dla systemu plików Exchange 2000 ................................................685
Przeglądanie pierwotnego katalogu Exchange 2000 ........................................................685
Instalacja nowego parsera MSXML .................................................................................686
Zmiana haseł OWA poprzez IIS.......................................................................................687
Rejestracja ujścia zdarzeń.................................................................................................688
Izolacja aplikacji w pamięci .............................................................................................689
Tworzenie pliku Global.asa ..............................................................................................689
Łączenie z magazynami danych .......................................................................................690
Użycie plików nagłówkowych do utworzenia ciągów połączenia ...................................691
Użycie metody Open ........................................................................................................692
Zapytanie o argumenty ciągu połączenia ODBC .............................................................692
Nawiązanie połączenia ADO............................................................................................692
Nawiązanie połączenia bez nazwy źródła danych............................................................693
Ustalenie typu treści .........................................................................................................693
Manipulacja obiektami Record.........................................................................................693
Dodanie do wiadomości informacji o kontakcie przy użyciu CDOEX............................693
Użycie SMTP do wysłania wiadomości emailowej .........................................................694
Włączenie obsługi klientów MAPI poprzez firewall........................................................694
Tworzenie skryptu konsoli wejścia i wyjścia ...................................................................695
Słowniczek .......................................................................................... 697
Skorowidz ........................................................................................... 719
Rozdział 9.
Kwestie związane
z serwerem Exchange
Wprowadzenie
We wcześniejszych rozdziałach tej książki omówiliśmy pewnie zagadnienia związane z im-
plementacją różnych komponentów serwera, takich jak magazyny skrzynek pocztowych
i grupy magazynowania. Aby można było lepiej zrozumieć strukturę serwera Exchange
2000, została przedstawiona także obsługa wiadomości. Nie zapomnieliśmy o kwestii przy-
wracania pracy serwera po wystąpieniu różnego rodzaju katastrof. Czytelnik poznał zalety
architektury Exchange 2000 oraz sposób wyboru usług dla różnych środowisk pracy.
Ten rozdział stanowi uzupełnienie wcześniejszych rozdziałów książki, w których skupiliśmy
się na projektowaniu serwera w zakresie poszczególnych komponentów. Teraz skoncen-
trujemy się na trasowaniu wiadomości i administracji systemem. Większość instalacji
Exchange 2000 może być podzielona według następujących typów wykonywanych
czynności:
Zabezpieczenia — te czynności są związane z wdrażaniem lub rozszerzaniem
narzędzi zabezpieczeń, które zostały stworzone specjalnie dla Exchange 2000;
służą one m.in. do zarządzania treścią, wykrywania włamań, wykrywania i usuwania
wirusów, a także do blokowania niepożądanej poczty reklamowej (tak zwany spam).
W tym rozdziale omówimy szczegółowo MIME i S/MIME (Secure MIME),
a także planowanie zarządzania treścią poczty elektronicznej i zabezpieczeniami
antywirusowymi.
Sieć — te działania obejmują konfigurację i zarządzanie usługą DNS dla serwera
Exchange 2000, a także kwestie związane z integracją Exchange 2000 z modelem
komunikacji sieciowej TCP/IP. W rozdziale przyjrzymy się dokładnie integracji
DNS z Exchange 2000 oraz portom TCP/IP, które są niezbędne dla tej platformy.
Adresaci — czynności związane z ogólną konfiguracją i zarządzaniem obiektów
adresatów, takich jak magazyny skrzynek pocztowych, grupy magazynowania
i magazyny folderów publicznych. Wspomnimy także o implementacji tych obiektów
do celów kontroli dostępu i zarządzania uprawnieniami. Zostanie przedstawiona
kwestia implementacji grup magazynowania i grup administracyjnych, włączając
w najlepsze sposoby zarządzanie procesem delegacji uprawnień w firmie.
308
Część III
Instalacja i konfiguracja Exchange 2000
Migracja — czynności związane z migracją i aktualizacją wcześniejszych wersji
serwera Exchange 5.5, a także z zapewnieniem koegzystencji Exchange 2000
i wcześniejszych wersji platform Exchange. Skupimy się na umożliwieniu obsługi
folderów publicznych w Exchange 5.5 i Exchange 2000, włączając w to właściwy
sposób użycia łącznika ADC (Active Directory Connector).
W tym rozdziale znajduje się wiele przydatnych rozwiązań, które z pewnością będziesz
mógł wykorzystać we własnym środowisku.
Kwestie związane z bezpieczeństwem serwera
Bezpieczeństwo stanowi jedno z największych zmartwień każdego administratora poczty
elektronicznej, a administracja serwerem Exchange nie jest tu wyjątkiem. Podobnie jak inne
systemy pocztowe, serwery Exchange muszą być zabezpieczone przed wieloma zagro-
żeniami, takimi jak złośliwe elementy sterujące ActiveX i szkodliwe wirusy. Zabezpieczając
serwery Exchange 2000, należy wykorzystać rozwiązania zarówno sprzętowe, jak i pro-
gramowe. Obejmuje to między innymi:
Użycie sprzętowych firewalli do blokowania niepożądanego ruchu internetowego,
który może zawierać szkodliwe wirusy sprzętowe lub inne niepotrzebne rzeczy.
Użycie szyfrowania i uwierzytelniania dla zewnętrznych klientów internetowych,
którzy próbują uzyskać dostęp do serwera Exchange w sieci lokalnej. Dostępne
technologie to, na przykład, S/MIME i szyfrowanie SSL (Secure Sockets Layer).
Instalacja na serwerach Exchange oprogramowania do zarządzania treścią,
co pozwoli na filtrowanie niepożądanych załączników lub emaili zawierających
niebezpieczny kod VBScript i elementy sterujące ActiveX.
Instalacja oprogramowania antywirusowego na wszystkich serwerach Exchange
w celu usunięcia wszystkich wirusów pochodzących z zainfekowanych
serwerów zewnętrznych.
Wdrożenie systemu wykrywania włamań, który będzie monitorował potencjalne
ataki typu DoS (odmowa świadczenia usługi). Takie ataki są czasami rozpoczynane
przez złośliwe wirusy komputerowe lub aplikacje zawierające konie trojańskie.
Wirus komputerowy to program, który jest ukryty wewnątrz innej aplikacji, i który
wykonuje replikację własnego kodu lub innych plików w celu wykonania szkodliwych
zadań, takich jak wymazanie dysku twardego. Z kolei koń trojański to niereplikujący
się złośliwy program, który czyni coś szkodliwego; gdyby użytkownicy wiedzieli
o istnieniu takiego konia w systemie, nie aprobowaliby jego działania. W niektórych
przypadkach wirus może być odmianą konia trojańskiego, ponieważ może zarażać
inne programy (czyli również przekształcać je w konie trojańskie).
We wcześniejszych rozdziałach zasugerowano pewne procedury pozwalające na zwiększenie
bezpieczeństwa. Takie rozwiązania obejmują zarówno użycie skomplikowanych haseł
składających się z kombinacji liter i cyfr, jak i wykorzystanie metod uwierzytelniania w Win-
dows 2000, włączając w to metodę Digest Authentication, która zapewnia szyfrowanie
haseł. Jednakże hasła nie stanowią pełnego rozwiązania zabezpieczeń w organizacji.
Administratorzy dobrze wiedzą, iż konieczne jest zastosowanie innych środków ochronnych
w celu pełnej ochrony zasobów. Wymaga to implementacji narzędzi sprzętowych i progra-
mowych, które zostały zaprojektowane specjalnie w tym celu.
Rozdział 9.
Kwestie związane z serwerem Exchange
309
Kwestia użycia firewalli oraz ochrony przed atakami DoS została już omówiona w po-
przednich rozdziałach tej książki, teraz więc skoncentrujemy się na zbadaniu innych
tematów, takich jak dokładne omówienie protokołu MIME i użycie oprogramowania do
zarządzania treścią w czasie wdrożenia Exchange 2000.
Użycie zabezpieczeń wiadomości
Ruch emailowy jest zwykle chroniony przy użyciu zabezpieczeń sesji lub zabezpieczeń
wiadomości. Pierwsza metoda wykorzystuje, na przykład, szyfrowanie SSL do stworzenia
bezpiecznych tuneli lub kanałów pomiędzy serwerem pocztowym (takim jak Exchange
2000) i klientem (na przykład, Outlook 2000). W czasie procesu dostarczania wiadomości
wykorzystywane jest uwierzytelnianie i szyfrowanie. Z kolei zabezpieczenia wiadomości
obejmują raczej metody ochrony treści wiadomości, a nie kanału, przez który jest ona prze-
syłana. Infrastruktura klucza publicznego (PKI) zapewnia oba rodzaje zabezpieczeń. PKI
jest połączeniem wielu komponentów, włączając w to ośrodki certyfikacji (CA) i inne ośrodki,
które pomagają w uwierzytelnieniu użytkowników zaangażowanych w proces wymiany
danych. PKI wykorzystuje różne technologie, takie jak podpisy cyfrowe i pieczętowanie
wiadomości, w celu usunięcia wszelkich potencjalnych zagrożeń bezpieczeństwa poczty
elektronicznej.
Rozważając kwestie zaawansowanych zabezpieczeń w Exchange 2000, bardzo łatwo jest
pomylić ze sobą różne technologie. Dla przykładu, SSL i S/MIME są zwykle wymieniane
wspólnie, ale tak naprawdę są używane do kompletnie różnych zastosowań. SSL jest nie-
zbędny w czasie szyfrowanej komunikacji między serwerami frontonu a zdalnymi klientami
internetowymi, którzy uzyskują dostęp do skrzynek pocztowych na zabezpieczonych
serwerach zaplecza. S/MIME to standardowy protokół internetowy, który pozwala na wy-
mianę podpisanych wiadomości przy użyciu dowolnego klienta obsługującego ten protokół
(na przykład, Outlook Express). S/MIME to bezpieczna metoda przesyłania poczty elektro-
nicznej przy użyciu systemu szyfrowania RSA (Rivest-Shamir-Adleman). RSA jest stoso-
wany w większości przeglądarek internetowych Microsoftu i Netscape, aczkolwiek zapewnia
tylko podstawowe zabezpieczenia w porównaniu z innymi metodami, takimi jak 3DES
(Triple Data Encryption Standard) ze 168-bitowym szyfrowaniem lub uwierzytelnianie
SHA-1. S/MIME został zaproponowany zespołowi IETF jako standard; konkurencję
stanowi dla niego protokół znany jako PGP/MIME (Pretty Good Privacy/Multipurpose
Internet Mail Extensions). Zrozumienie protokołu MIME pozwoli docenić zabezpieczenia
wiadomości przy użyciu S/MIME.
Protokół MIME jest opisany w RFC 1521 i definiuje sposób organizacji wiadomości. Róż-
nica między MIME i S/MIME polega na tym, iż ten drugi protokół definiuje sposób, w jaki
informacje o szyfrowaniu i cyfrowe certyfikaty mogą stanowić część treści wiadomości
emailowych.
Protokół S/MIME korzysta z tej samej składni, co Public-Key Cryptography Standard
format #7.
MIME stanowi rozszerzenie protokołu internetowego SMTP i pozwala na użycie go do
wymiany poprzez Internet różnych plików danych, takich jak dźwięk i wideo. Celem MIME
było rozszerzenie prostego standardu SMTP, tak aby klient pocztowy mógł obsłużyć
różne typy danych, a nie tylko zwyczajny tekst w formacie ASCII. Serwery Exchange
zwykle dołączają nagłówek MIME na początku każdej transmisji danych przez Internet.
310
Część III
Instalacja i konfiguracja Exchange 2000
Programy pocztowe, jak na przykład Outlook 2000, używają nagłówka MIME w celu
wybrania właściwej aplikacji dla danych zdefiniowanych przez ten nagłówek. Może
wystąpić konieczność pobrania odpowiedniego typu aplikacji, na przykład odtwarzacza
MP3, jeśli taki typ danych został opisanych w nagłówku, a klient lub przeglądarka nie
ma wbudowanych odpowiednich funkcji. Wszystkie nowe typy danych MIME, jakie się
pojawiają, są rejestrowane przez Private Internet Corporation for Assigned Names and
Numbers (ICANN), znany wcześniej jako IANA (Internet Assigned Numbers Authority).
Więcej szczegółów na temat specyfikacji MIME można znaleźć w RFC 1521 i RFC 1522,
które są modyfikacją oryginalnej specyfikacji protokołu SMTP, zdefiniowanego przez RFC
821. RFC znajduje się na witrynie internetowej IETF pod adresem www.ietf.org/rfc.html.
We wcześniejszych wersjach serwera Exchange wszystkie wiadomości MIME były na-
tychmiast konwertowane do formatu MAPI. Nie był to jednak jedyny format wiadomości
emailowych, ponieważ zależało to od miejsca, skąd wysyłano pocztę. Dostępne formaty
poczty elektronicznej obejmowały:
EDB — ten typ pliku reprezentował bazy danych Information Store w Exchange 5.5.
MAPI — standard definiujący interfejsy programu oraz właściwości używane do
wyświetlenia wiadomości emailowej. Wiadomość MAPI nie może być jednocześnie
pokazywana jako macierzysta wiadomość MIME.
MIME — standard używany do przedstawienia nagłówka, treści lub załączników
wiadomości.
MTA — agent MTA w Exchange 5.5 używany do trasowania wiadomości między
serwerami. Exchange 2000 do tego celu korzysta z protokołu SMTP, a MTA służy
do łączenia się z klasycznymi serwerami Exchange 5.5.
NNTP — standardowy protokół internetowy używany do pobrania wiadomości
z grup dyskusyjnych.
POP3 — standardowy protokół internetowy używany tylko do pobrania wiadomości.
SMTP — standardowy protokół internetowy służący do wysyłania wiadomości
emailowych.
Po konwersji wiadomości do formatu MAPI, oryginalny format MIME zostaje usunięty
na zawsze. Jeśli jednak klient POP3 zażąda takiej wiadomości, to, w zależności od kon-
figuracji, serwer Exchange dokona ponownej konwersji do MIME. Exchange 2000 zmienił
ten sposób postępowania, gdyż przechowywane są oryginalne wiadomości MIME bez
konieczności konwersji do formatu MAPI. Jest to możliwe, gdyż wszystkie wiadomości
MIME pobrane przez protokoły SMTP, NNTP lub HTTP są automatycznie umieszczane
w pliku z rozszerzeniem .stm. Ten plik to w rzeczywistości baza danych, w której składo-
wana jest zawartość MIME dla wszystkich wiadomości użytkowników (włączając w to
magazyny danych skrzynek pocztowych i folderów publicznych).
Funkcja magazynowania wiadomości w formacie MIME stała się bardzo popularna,
ponieważ użytkownicy mogą zobaczyć wiadomości dokładnie tak, jak zostały wysłane.
Nie ma możliwości utraty części danych z powodu błędnej konwersji.
Należy pamiętać, iż na każdą skrzynkę pocztową składają się dwa pliki — EDB i SMT.
Kiedy usługa SMTP w Exchange 2000 otrzymuje wiadomość, jej zawartość MIME jest
umieszczana w pliku STM. Usługa odczytuje następnie wszystkie nagłówki wiadomości
Rozdział 9.
Kwestie związane z serwerem Exchange
311
i umieszcza jej pola (takie jak Od i Temat) w pliku EDB jako właściwości MAPI (plik
EDB zawiera tabelę Messages do przechowywania takich informacji). Plik EDB posiada
wskaźnik do pliku STM, dzięki czemu wszystkie komponenty otrzymują informacje, gdzie
należy odczytać macierzystą zawartość MIME dla użytkownika.
Ponieważ koncentrujemy się tu na porównaniu MIME i MAPI, trzeba rozważyć kilka
scenariuszy, kiedy wiadomości są, lub nie są, konwertowane do macierzystego formatu
MIME (idealna sytuacja). Użytkownicy Outlooka powinni wiedzieć, iż ten program tworzy
wiadomości jako zestaw właściwości MAPI, a Exchange konwertuje taki zestaw do MIME
— w zależności od miejsca docelowego wiadomości. Nawet Outlook Web Access (OWA)
2002 nie potrafi utworzyć lub odczytać wiadomości w macierzystym formacie MIME.
Taka konwersja jest wykonywana, jeśli odbiorca poczty jest oddalony lub znajduje się na
tym samym serwerze, co nadawca. Jeśli nadawca i odbiorca są umieszczeni w tym samym
magazynie skrzynek pocztowym (a więc w tej samej grupie magazynowania), wszystkie
wiadomości są doręczane do adresata jako zestaw właściwości MAPI, a nie w formacie
MIME.
Ciekawostką jest, że wiadomości kierowane do innych serwerów Exchange 5.5 były
wysyłane przez MTA jako zestaw właściwości MAPI. Jeśli poczta była kierowana do
odbiorców SMTP znajdujących się poza organizacją, łącznik Internet Mail Connector
(IMC) wykonywał jej konwersję do MIME.
Protokoły NNTP, HTTP, POP3 i IMAP4 pozwalają na żądanie wiadomości w formacie
MIME. Jeśli wykorzystywany jest NNTP, wszystkie wiadomości są automatycznie kon-
wertowane do tego formatu (wiadomości MIME są wysyłane bez konwersji). W przy-
padku protokołu HTTP wiadomości MAPI są konwertowane do formatu MIME, a wia-
domości MIME są przesyłane strumieniowo do przeglądarki internetowej bez żadnych
modyfikacji. Jeśli używane są protokoły POP3 lub IMAP4, wiele zależy od wybranych
ustawień serwera. Kontrola konfiguracji serwerów wirtualnych POP3 lub IMAP4 może
być wykonana poprzez przystawkę MMC System Manager (zobacz rysunek 9.1). Dostępne
opcje pozwalają na przesyłanie treści wiadomości w formacie tekstowym, HTML lub
jako połączenie obu tych metod.
Rysunek 9.1.
Zakładka formatu
wiadomości
dla serwera
wirtualnego POP3
w System Managerze
312
Część III
Instalacja i konfiguracja Exchange 2000
Microsoft wprowadził nowy format wiadomości o nazwie Transport Neutral Encapsulation
Format (TNEF), który występuje tylko w Exchange 2000. TNEF pozwala na przedsta-
wienie danych typu rich-text w wiadomościach Outlooka 2000 w formacie MIME. Ten
nowy format stanowi binarny załącznik do wiadomości; tylko klienci MAPI (Outlook
2000 lub wcześniejsze wersje) znają sposób dekodowania tego formatu. Kiedy wiadomości
są wysyłane między serwerami w różnych organizacjach, trudno jest zagwarantować
integralność danych typu rich-text w Outlooku, a niektóre dane (takie jak obiekty OLE)
nie mogą być użyte w standardowym formacie MIME. W takich sytuacjach pomóc może
format TNEF. W zakładce Internet Message Format w System Managerze możliwe jest
skonfigurowanie konwersji wychodzących wiadomości do formatów MIME, UUEncode
(Unix-to-Unix Encode) lub TNEF. Należy tylko pamiętać, iż ta konfiguracja odnosi się
wyłącznie do wiadomości MAPI, gdyż macierzyste wiadomości MIME nie są nigdy
konwertowane przy użyciu tych opcji.
Ponieważ Exchange 2000 do komunikacji między serwerami wykorzystuje protokół
SMTP, konieczna jest konwersja wszystkich wiadomości MAPI do formatu TNEF przed
przesłaniem do innego serwera. Jeśli wiadomość w formacie TNEF jest przesyłana przy
użyciu protokołów HTTP, NNTP lub SMTP, jest ona umieszczana w pliku EDB bazy
danych wiadomości, a nie w pliku STM.
Przy korzystaniu z OWA 2000 trzeba wiedzieć, iż nie potrafi on odczytać ani utworzyć
żadnych wiadomości w macierzystym formacie MIME. OWA pozwala przeglądarkom
internetowym (takim jak IE 5) na wysłanie żądania wiadomości z dowolnego serwera
Exchange; serwer dokonuje konwersji wiadomości emailowych do formy strony inter-
netowej w celu wyświetlenia w przeglądarce. Końcowy format wiadomości dla OWA to
MAPI, a nie MIME. Administrator powinien znać również typy formatów, jakie Exchange
2000 wykorzystuje do składowania wiadomości w bazach danych. W każdym momencie
wiadomość istnieje w trzech podstawowych formatach — MIME, skonwertowane MIME
i MAPI. Należy pamiętać o następujących kwestiach:
Jeśli klient MAPI żąda wiadomości MIME, Exchange 2000 dokonuje jej konwersji
do stanu przekonwertowanego MIME i tworzy wpis w tabeli załączników bazy
danych EDB. Oryginalna zawartość MIME pozostaje w pliku MIME w magazynie
skrzynki pocztowej.
Ponieważ każda skrzynka pocztowa ma pliki EDB i STM, powinno się pamiętać,
iż właściwości treści wiadomości w pliku EDB nie zawierają samej treści. Pliki
EDB wskazują położenie zawartości oryginalnej wiadomości (w formacie MIME)
w pliku STM dla skrzynki pocztowej.
Pełny format MIME oznacza, iż plik STM przechowuje oryginalną zawartość MIME
wszystkich wiadomości. W pliku EDB znajdują się nagłówki i inne właściwości.
Tryb przekonwertowanego MIME oznacza, iż plik STM zawiera oryginalną
zawartość wiadomości, a w pliku EDB znajdują się wszystkie jej nagłówki.
Właściwości wszystkich załączników są umieszczane w tabeli załączników, która
również stanowi część pliku EDB dla każdej skrzynki pocztowej.
Pełny format MAPI oznacza, iż treść wiadomości i wszystkie inne właściwości
znajdują się w tabeli wiadomości w pliku EDB dla skrzynki pocztowej. Wszystkie
załączniki i dane wiadomości są umieszczone w tabeli załączników w pliku EDB.
Rozdział 9.
Kwestie związane z serwerem Exchange
313
Poznanie tych formatów pozwoli na zrozumienie sytuacji, kiedy klienci modyfikują
wiadomości emailowe. W przypadku klientów MAPI wiadomość pozostaje w formacie
MAPI, a wszystkie dane odnoszące się do wiadomości są przenoszone z pliku STM. Cała
wiadomość — treść i załączniki — jest zapisywana w formacie MAPI w magazynie skrzynki
pocztowej. Jeśli do modyfikacji wiadomości użyto protokołów zgodnych z MIME, wia-
domość pozostaje w formacie MIME. Należy jednak wiedzieć o sytuacjach, kiedy nie
jest możliwy dostęp do macierzystej zawartości MIME. Niektórzy administratorzy korzy-
stają z narzędzia Exchange 5.5 o nazwie Move Mailbox do przenoszenia użytkowników
między serwerami. W takim przypadku wszystkie wiadomości mają format MIME, ale
wiadomości przechodzące przez łącznik X.400 są konwertowane do formatu MAPI. Pod-
sumowując, Exchange 2000 obsługuje wiadomości MIME w całkowicie odmienny sposób
niż wcześniejsze wersje Exchange. O wiele rzadziej wykonywana jest konwersja do formatu
MAPI, a ponadto zapewniona jest większa integralność poczty.
Jeśli format MIME decyduje o sposobie organizacji wiadomości, to S/MIME wpływa
na sposób dołączenia do treści wiadomości informacji o szyfrowaniu i cyfrowych certy-
fikatach. Wykorzystanie S/MIME oznacza konieczność wdrożenia PKI, czyli systemu
używającego ośrodka certyfikacji i cyfrowych certyfikatów do uwierzytelnienia wszystkich
użytkowników komunikacji elektronicznej, włącznie z pocztą emailową. Usługi certyfi-
katów Windows 2000 pozwalają na instalację PKI. Wdrożenie S/MIME dla klientów
Outlook 2000 jest możliwe dzięki usłudze Key Management (KM) w Exchange 2000.
Outlook jest odpowiedzialny za szyfrowanie (lub pieczętowanie) i podpisywanie wszyst-
kich wiadomości.
Cyfrowe certyfikaty to obiekty zawierające dwie ważne informacje — klucz publiczny
i właściciela certyfikatu. Ośrodek certyfikacji (CA) próbuje zweryfikować powiązanie
między kluczem publicznym i organizacją, do której należy właściwy klucz prywatny.
PKI w Windows 2000 używa certyfikatów zgodnych ze standardem X.509 v3, aczkolwiek
istnieją jeszcze inne formy certyfikatów (na przykład, zgodne ze standardem Pretty Good
Privacy). CA to godna zaufania organizacja, która wystawia innym organizacjom certy-
fikaty na podstawie ustalonych kryteriów, nazywanych zasadami. Takie zasady są publi-
kowane w odpowiednim dokumencie opisującym proces certyfikacji. Główne typy ośrodków
certyfikacji, jakie są używane przez infrastrukturę PKI (a jednocześnie przez protokół
S/MIME), to:
Macierzysty ośrodek certyfikacji — ekwiwalent samopodpisanego CA, w którym
klucz publiczny certyfikatu jest jednocześnie kluczem używanym do jego weryfikacji.
Wystawca certyfikatu jest nazywany właścicielem. Wszystkie macierzyste ośrodki
certyfikacji są bezwarunkowo godne zaufania klientów, a samopodpisany CA jest
automatycznie macierzystym ośrodkiem certyfikacji.
Podległy ośrodek certyfikacji — sytuacja, w której klucz publiczny certyfikatu
różni się od klucza używanego do jego weryfikacji.
Zarządzanie treścią
Zarządzanie pocztą elektroniczną nabiera coraz większego znaczenia, ponieważ każdego
dnia zwiększa się liczba wirusów komputerowych w wiadomościach emailowych i za-
łącznikach. Najpierw omówimy znaczenie implementacji aktywnego schematu zarządzania
treścią, a następnie pokażemy sposoby ochrony przez złośliwymi wirusami, które mogą
spowodować chaos w systemie obsługi wiadomości.
314
Część III
Instalacja i konfiguracja Exchange 2000
Zarządzanie zawartością poczty elektronicznej to coś więcej, niż tylko próba powstrzymania
epidemii wirusów. Specjalne oprogramowanie potrafi odfiltrować niewłaściwą treść lub
kod zawarty w wiadomości lub jej załączniku. Administratorzy tworzą filtry w taki sposób,
aby przechwycić niektóre słowa kluczowe — od tylko denerwujących, aż po bardzo
obelżywe. Programy do zarządzania treścią mogą również blokować niepożądane wiado-
mości, dzięki czemu użytkownicy nie są bombardowani bezużytecznymi reklamami. Innym
sposobem wykorzystania tego oprogramowania jest filtrowanie słów powiązanych z witry-
nami internetowymi tylko dla dorosłych lub z materiałami pornograficznymi. Możliwe jest
także filtrowanie poczty wychodzącej, dzięki czemu wrażliwe informacje firmowe nie są
przypadkiem wysłane na zewnątrz organizacji.
Wiele organizacji wprowadza obecnie własne zasady, które definiują typ i formę danych,
jakie mogą być przesyłane do osób na zewnątrz firmy. Wszyscy użytkownicy, podpisując
umowę o zatrudnieniu, muszą zapoznać się z tymi zasadami.
Zarządzanie treścią może być wprowadzone na bramach SMTP w organizacji lub bezpo-
średnio na serwerach Exchange 5.5 lub Exchange 2000. Możliwe jest również włączenie
odpowiednich funkcji w programach pocztowych użytkowników. Większość produktów
została stworzona w taki sposób, aby obsługiwać zarządzanie treścią na bramach SMTP
połączonych bezpośrednio z serwerem Exchange 2000. Coraz większa grupa producentów
tworzy jednak oprogramowanie działające bezpośrednio na serwerach Exchange 2000.
Autorzy tej książki używali z powodzeniem programu MailSweeper firmy Baltimore
Technologies. MailSweeper może być zainstalowany na większości serwerów SMTP,
które łączą się z Exchange 2000 poprzez łącznik SMTP. Inne produkty tego typu to,
na przykład, Mail Essentials for Exchange Server firmy GFI (www.gfi.com/me/
mailessentials.htm) oraz InterScan VirusWall firmy Trend Micro (www.antivirus.com/
products/isem).
Jeśli koszt oprogramowania do zarządzania zawartością wydaje się być zbyt wysoki, do tego
celu można wykorzystać funkcje umieszczone w kliencie Outlook 2000 (nazwane Kreator
reguł i Asystent skrzynki odbiorczej). Outlook zapewnia także filtry niepożądanej poczty
(Wiadomości-śmieci) i treści dla osób dorosłych, które identyfikują wiadomości na pod-
stawie wybranych słów kluczowych. Takie filtry nie zapewniają jednak pełnej skuteczności,
co sprawia, iż w niektórych organizacjach konieczne jest wdrożenie komercyjnego opro-
gramowania do zarządzania treścią. Choć Outlook pozwala na oznaczenie kolorem niepożą-
danych wiadomości ze źródeł zewnętrznych, to konieczna jest implementacja tej funkcji
dla każdego klienta oddzielnie, przez co taka procedura jest mało wygodna dla dużych
organizacji.
Zasady poczty przychodzącej w Outlooku nie będą nigdy tak skuteczne, jak umieszczone
na serwerze komercyjne oprogramowanie do zarządzania treścią. Dzieje się tak, gdyż
zasady Outlooka są stosowane, tylko jeśli ten program pocztowy działa na komputerze
użytkownika. Nie jest również możliwe przeniesienie wiadomości do osobistego
magazynu wiadomości lub pliku PST (takie pliki znajdują się na komputerze lokalnym).
Te zasady nie będą działały w przypadku klienta OWA, ponieważ nie jest możliwa
konfiguracja zasad przy użyciu OWA.
Znajdujące się na końcu tego rozdziału rozwiązanie Wybór właściwego oprogramowania
do zarządzania treścią zawiera najważniejsze informacje związane z wybraniem programu
oferującego niezbędny zakres funkcji. Takie funkcje nie zawsze są obecne w programach
antywirusowych, przez co nie należy przekazywać tym programom zadania zarządzania
Rozdział 9.
Kwestie związane z serwerem Exchange
315
treścią (choć obecnie niektóre narzędzia antywirusowe zawierają właściwe wtyczki do tego
celu). Programy antywirusowe zwykle nie skanują informacji zaszyfrowanych w jaki-
kolwiek sposób (na przykład, plików ZIP zabezpieczonych hasłem). Dobre oprogramowanie
do zarządzania treścią może filtrować pliki tego typu, co pozwala na wykonanie dalszych
analiz lub podjęcie odpowiednich działań.
Jeśli w wyniku użycia oprogramowania do zarządzania treścią można zaobserwować
nadmierną liczbę niepożądanych wiadomości reklamowych, należy założyć, iż serwer
Exchange 2000 jest używany jako serwer spamowy lub typu open-relay. Oznacza to,
iż jakiś zewnętrzny użytkownik wykorzystuje ten serwer pocztowy do trasowania swojej
poczty. W najgorszym przypadku może to świadczyć o użyciu serwerów firmowych
do przeprowadzania ataków DoS na innych serwerach zewnętrznych.
Zabezpieczenia antywirusowe
Wirusy przesyłane przez systemy pocztowe tylko w 1999 r. spowodowały straty firm
w wysokości 8 miliardów dolarów. Należy doliczyć do tego także koszty usunięcia tych
złośliwych programów. Większość programów antywirusowych koncentruje się na stronie
klienckiej, jednak coraz więcej organizacji poszukuje programów serwerowych działających
na skalę całej organizacji. Dzieje się tak, gdyż rosnąca liczba wirusów jest rozprzestrzeniana
w sieciach LAN i WAN oraz poprzez bezpośrednie połączenia między serwerami. Opro-
gramowanie antywirusowe powinno być zainstalowane w różnych miejscach organizacji,
podobnie zresztą jak programy do zarządzania treścią.
Administratorzy powinni zapoznać się z zasadami wyszukiwania wirusów, włączając w to
kwestię mechanizmu antywirusowego i sygnatur wirusów. Mechanizm antywirusowy zaj-
muje się wyszukiwaniem wirusów w całej pamięci systemu, podczas gdy plik sygnatur
wirusów dostarcza dla niego wzory kodu wirusów. Większość programów antywirusowych
używa mechanizmu wyszukiwania w celu znalezienia wirusów zgodnych ze wzorcem
sygnatury wirusa. Należy jednak pamiętać, iż spora część takich programów nie zapobiega
rozprzestrzenianiu się koni trojańskich w organizacji, co powoduje konieczność użycia
innych narzędzi do tego celu. Największym problemem dla administratorów jest szybkie
tempo replikacji i rozprzestrzeniania się wirusów, przez co klienci nie mają czasu na aktu-
alizację sygnatur wirusów. Z tego powodu niektórzy producenci udostępniają serwery
aktualizacji takich sygnatur, dzięki czemu aktualizacja oprogramowania na wielu kom-
puterach odbywa się prawie natychmiast.
Microsoft wprowadził w Exchange 5.5 z zestawem SP3 nowy interfejs API do wyszuki-
wania wirusów. Ten interfejs został stworzony pod kątem architektury Exchange i obsłu-
guje funkcje specyficzne dla tej platformy, jak, na przykład, istnienie jednego egzemplarza
wiadomości w Information Store.
Ten interfejs jest używany tylko w Exchange 5.5 z SP3 oraz w Exchange 2000. W tym
drugim przypadku konieczna jest instalacja zestawu Service Pack 2 dla Windows 2000.
Interfejs API pozwala programistom Exchange na stworzenie własnych programów, które
wykrywają wszystkie niebezpieczne wiadomości na serwerze Exchange 2000. Interfejs
ma postać biblioteki DLL, do której dostęp uzyskuje Web Storage System (WSS). Podsu-
mowując, interfejs wyszukujący wirusy rozpoczyna działanie po załadowaniu do pamięci
biblioteki DLL i uruchomieniu Information Store (lub Web Store). Jeśli taka biblioteka
316
Część III
Instalacja i konfiguracja Exchange 2000
zostanie zainstalowana na każdym serwerze Exchange 2000, widoczny stanie się spadek
wydajności, ponieważ biblioteka będzie skanowała wszystkie wiadomości docierające
do WSS. Załączniki są zapisywane w tabeli załączników, a użytkownicy chcący uzyskać
załącznik mogą użyć odpowiedniego wskaźnika.
Wielu producentów nie stworzyło jeszcze oprogramowania antywirusowego, które mogłoby
być zainstalowane bezpośrednio na serwerze Exchange 2000, i które byłoby kompatybilne
z interfejsem API do wyszukiwania wirusów. Z tego powodu zalecane jest wdrożenie
programów antywirusowych na wszystkich proxy lub bramach SMTP, a nawet na samych
stacjach roboczych. W Exchange 2000 nie jest możliwe zapisywanie informacji o wiado-
mościach zawierających wirusy, a co gorsza, zaszyfrowane wiadomości nie będą ska-
nowane przez interfejs API, chyba że zostaną one odszyfrowane wraz z załącznikami.
Lepszym rozwiązaniem jest instalacja oprogramowania antywirusowego lub śledzącego
konie trojańskie bezpośrednio na serwerach, a nie na stacjach roboczych, ponieważ
działanie procesu skanowania na serwerze powoduje redukcję ruchu sieciowego.
Drugą przyczyną jest fakt, iż obecność wirusa w załączniku wiadomości wysyłanej
do wielu osób spowoduje wywołanie tylko jednego alarmu, a nie wielu (co może się
zdarzyć, jeśli zarażone wiadomości dotrą do komputerów użytkowników).
Należy upewnić się, czy wszyscy pracownicy firmy mają niezbędną wiedzę na temat wiru-
sów i sposobów ich rozprzestrzeniania się przy użyciu typowych programów pocztowych,
takich jak Outlook 2000 i Outlook Express. Nie wszystkie wirusy mogą rozprzestrzeniać
się poprzez pocztę elektroniczną, ponieważ zostały napisane w językach skryptowych (na
przykład JavaScript lub VBScript). Użytkownicy powinni znać różnicę pomiędzy wirusami
i robakami. Robak to program, który automatycznie rozprzestrzenia się poprzez połączenia
sieciowe (bez bezpośredniego wpływu użytkownika). Konie trojańskie wymagają wykona-
nia jakiejś czynności przez użytkownika, takiej jak kliknięcie pliku EXE, dzięki czemu
możliwe będzie uruchomienie złośliwej aplikacji w środowisku sieciowym. Większość
istniejących obecnie wirusów ma formę robaka lub konia trojańskiego; ironią jest to, iż
wiele programów antywirusowych nie pozwala na dokładne wyszukiwanie koni trojańskich,
które mogą zawierać złośliwego robaka zarażającego automatycznie i bez wiedzy użyt-
kownika wrażliwe systemy komputerowe.
Aby lepiej poznać różnice między poszczególnymi typami wirusów, zalecamy odwiedzenie
stron internetowych producentów oprogramowania, na przykład www.mcafee.com lub
www.symantec.com. Aktualne informacje na temat kwestii zabezpieczeń można znaleźć
na stronie www.symantec.com/avcenter/security.
Wyszukiwanie wirusów na stacjach roboczych użytkowników jest praktyką wykonywaną
przez większość administratorów Exchange. Wiele klienckich programów antywirusowych
próbuje sprawdzać wszystkie zapisywane na dysk pliki pod kątem obecności w nich znanych
sygnatur wirusów. Zalecane jest użycie programów pocztowych z wbudowanymi funkcjami
zabezpieczeń, jak, na przykład, Outlook. Jeśli wykorzystywany jest Outlook 2000 SR-1,
możliwe jest automatyczne zapisywanie na dysku niektórych plików załączników przed
ich otwarciem przez użytkownika. Niezależnie od wykorzystywanego programu pocztowego,
należy pamiętać o aktualizacji oprogramowania antywirusowego; na przykład firma Sy-
mantec udostępnia funkcję LiveUpdate do aktualizacji programów na komputerach z dostęp-
nym połączeniem internetowym.
Rozdział 9.
Kwestie związane z serwerem Exchange
317
Ponieważ wirusy zyskały tak wielką popularność, Microsoft wprowadził w 1999 r. poprawkę
Attachment Security Patch dla Outlooka w wersjach 97, 98 i 2000, która wymusza zapisanie
na dysku niektórych załączników przed ich uruchomieniem lub otwarciem. W czerwcu
2000 r. Microsoft udostępnił aktualizację Outlook Email Security Update, która nie tylko
blokuje dostęp użytkowników do złośliwych typów plików, ale wyświetla ostrzeżenia przy
próbie uzyskania dostępu do informacji w Outlooku przez złośliwy kod. Ta aktualizacja
zapewnia następujące funkcje zabezpieczeń:
Zwiększony poziom domyślnych zabezpieczeń — domyślne ustawienie strefy
zabezpieczeń internetowych zostało zmienione z Internet na Witryny
z ograniczeniami. Na tym poziomie wyłączone są domyślnie aktywne skrypty.
Dozór modelu obiektu — wyświetlane jest ostrzeżenie, jeśli zewnętrzny program
próbuje uzyskać dostęp do książki adresowej Outlooka.
Zabezpieczenia załączników emailowych — uniemożliwia dostęp do niektórych
typów plików, jeśli zostały one wysłane w formie załączników emailowych.
Obejmuje to pliki wykonywalne oraz pliki .vbs (pliki skryptów VBScript).
Użycie Outlook Email Security Update spowoduje spadek wydajności Outlooka, ponieważ
zapewniany jest wyższy poziom zabezpieczeń. Należy jednak zauważyć, iż ta aktualizacja
nie rozwiązuje pewnych słabych punktów w samym Outlooku.
Należy pamiętać, iż bezpieczeństwo Outlooka jest zależne od używanej wersji i zainstalo-
wanych aktualizacji. Przykładem może być Outlook 2000, który jest bardziej wrażliwy
na zagrożenia, gdyż udostępnia więcej funkcji programowania, niż wcześniejsze wersje.
Outlook 97 nie potrafi interpretować nawet prostych poleceń HTML, dzięki czemu ryzyko
zarażenia wirusem jest o wiele niższe niż w przypadku Outlooka 2000. Przeglądanie
wiadomości tekstowych lub w formacie RTF (Rich Text Format) jest zawsze bezpieczne;
zagrożenie mogą spowodować jedynie załączniki do takiej poczty. Wiadomości HTML
stanowią znaczne zagrożenie, chyba że strefy zabezpieczeń w przeglądarce internetowej
zostaną prawidłowo skonfigurowane. Wiadomości tego typu mogą zawierać złośliwe skrypty
lub elementy sterujące ActiveX, które są ukrytymi wirusami. Elementy ActiveX będą zawsze
uruchamiane automatycznie, chyba że zostanie wyłączona odpowiednia opcja w ustawie-
niach przeglądarki.
W celu zabezpieczenia systemu należy wyłączyć domyślne działanie plików VBScript
(z rozszerzeniem .vbs) oraz zablokować Windows Script Host, który stanowi bramę
wejściową dla robaków VBS. Więcej informacji na temat tych czynności można znaleźć
na stronie www.zdnet.com/zdhelp/stories/main/0,5594,2568111,00.html.
Kwestie związane z DNS i TCP/IP
W czasie monitorowania i rozwiązywania problemów związanych z Exchange 2000 należy
pamiętać o powiązaniach i zależnościach między serwerem Exchange i usługą DNS za-
pewnianą przez Windows 2000 Server. Zarówno DNS, jak i serwer Exchange korzystają
z usług stosu protokołów TCP/IP. Nie jest możliwa instalacja Exchange 2000 bez Active
Directory, a Active Directory nie będzie działać prawidłowo bez DNS. Istnieją jednak
również inne przyczyny, dla których Exchange 2000 jest zależny od tej usługi. Serwery
Exchange wykorzystują usługę DNS do przeszukiwania serwerów katalogu globalnego
w lesie Windows 2000, a także do wyszukiwania adresów innych serwerów obsługi
318
Część III
Instalacja i konfiguracja Exchange 2000
wiadomości. DNS jest niezbędny za każdym razem, kiedy Exchange wysyła wiadomość.
Inne zastosowania usługi DNS obejmują trasowanie wiadomości, komunikację między
frontonem i zapleczem, a także obsługę błyskawicznych wiadomości.
Użycie DNS do zapytań Active Directory
Wszystkie obiekty w środowisku obsługi wiadomości znajdują się w bazie danych Active
Directory na serwerze Windows 2000. Obejmuje to wszystkie serwery skrzynek pocztowych,
foldery publiczne, użytkowników i łączniki. Serwery Exchange regularnie wykorzystują
te informacje poprzez usługę DNS w celu wyszukania konkretnych rekordów zasobów
(rekordy SRV) oraz poprzez zapytania serwerów protokołu LDAP. Większość serwerów
katalogu globalnego jest używana do jednoczesnej obsługi rekordów SRV i protokołu LDAP.
Nie jest wprawdzie wymagane użycie serwera katalogu globalnego do obsługi LDAP, ale
Exchange będzie szukał serwera tego typu. Z tego powodu wielu administratorów łączy
wszystkie te funkcje na jednym serwerze katalogu globalnego. Taki serwer przechowuje
rekordy właściwości i informacje odnoszące się do struktury Active Directory, włączając
w to nazwy lokalizacji i domen. Serwer Exchange 2000 wyszukujący rekordy SRV na
serwerze DNS „wie”, iż zawierają one pełną złożoną nazwę domeny kontrolera domeny,
który działa jako serwer katalogu globalnego. Zapytanie o nazwę serwera katalogu global-
nego zwraca również jego adres IP.
Większość zapytań DNS jest zwykle umieszczana w pamięci podręcznej serwera
Exchange, dzięki czemu kolejne zapytania serwera DNS będą trwały krócej. Ten okres
jest znany jako czas życia (ang. Time To Live — TTL); TTL decyduje o czasie ważności
odpowiedzi na zapytanie DNS.
DNS używany w konfiguracji frontonu i zaplecza
Architektura frontonu i zaplecza może być wprowadzona, jeśli wielu użytkowników uzy-
skuje dostęp do serwera skrzynek pocztowych lub folderów publicznych poprzez firewall
lub serwer proxy. Taka konfiguracja frontonu i zaplecza wykorzystuje DNS do zapytań
Active Directory o serwer zawierający skrzynkę pocztową użytkownika lub folder pu-
bliczny. Wyobraź sobie, iż serwer frontonu otrzymuje poprzez Internet wiadomość od
jednego z pracowników, który pracuje w domu i używa połączenia modemowego w celu
połączenia się z siecią. Serwer frontonu próbuje znaleźć właściwy serwer zaplecza ze
skrzynką pocztową tego użytkownika, dzięki czemu może przekazać dalej wiadomość.
Jest to wykonywane poprzez wysłanie zapytania do Active Directory i przeszukanie DNS
w celu znalezienia serwera LDAP (jak wspomniano wcześniej, prawdopodobnie będzie to
serwer katalogu globalnego). Serwer frontonu wysyła zapytanie do serwera DNS o nazwę
i adres IP serwera zaplecza lub wykorzystuje przyczółkowy serwer pocztowy do przekaza-
nia wiadomości do odpowiedniej skrzynki. Serwery frontonu nie tylko przekazują wiado-
mości odebrane z Internetu, ale również odczytują wiadomości bezpośrednio z serwera
zaplecza. Zdarza się to za każdym razem, kiedy użytkownik, korzystając z protokołów
HTTP, POP3 lub IMAP4, uzyskuje dostęp do informacji już zapisanych w Information
Store na serwerze ze skrzynką pocztową użytkownika. Serwer frontonu wyszukuje w Active
Directory nazwę serwera zaplecza, a następnie pobiera jego adres IP z serwera DNS. Jeśli
uzyska się odpowiednie informacje, nawiązana zostaje bezpośrednia komunikacja między
serwerami frontonu i zaplecza (pod warunkiem iż połączenie klienta pozostaje aktywne).
Rozdział 9.
Kwestie związane z serwerem Exchange
319
Integracja usługi Active Directory z istniejącymi serwerami DNS
Czasami konieczna będzie integracja usług Active Directory z istniejącym serwerem
opartym na systemie Windows NT lub innym systemie operacyjnym. W takim przypadku
konieczne jest zapewnienie obsługi Active Directory i powiązanych rekordów SRV przez
serwer DNS. Dobrym pomysłem będzie także zaplanowanie funkcji dynamicznej aktualizacji
DNS w Windows 2000. Wprowadzenie usług Active Directory do istniejącej infrastruktury
DNS oznacza konieczność wykorzystania nowej przestrzeni nazw Active Directory. Ta nowa
przestrzeń nazw może albo zostać dołączona do już istniejącej przestrzeni nazw DNS,
albo ją zastąpić. Wybór właściwej drogi jest zależny od tego, czy usługi DNS są zapewniane
przez serwer z systemem Windows NT 4, czy też komputer z inną wersją oprogramowania
do obsługi DNS.
Przykładem oprogramowania do obsługi DNS, które nie pochodzi z Microsoftu, jest
pakiet METAIP 4.1 DHCP/DNS firmy Checkpoint Software, który integruje usługi DHCP
i DNS na jednym komputerze, zapewniając jednocześnie uwierzytelnianie RADIUS
oraz funkcję przeszukiwania LDAP.
Jeśli w organizacji wykorzystywane są usługi DNS systemu Windows NT 4, zalecana jest
aktualizacja sieci do Windows 2000. Implementacja DNS Microsoftu jest oparta na opro-
gramowaniu Berkeley BIND 8.x. Jeśli usługi DNS są zapewniane przez oprogramowanie
innych firm, należy sprawdzić możliwość aktualizacji do wersji Windows 2000, która
obsługuje rekordy SRV i dynamiczną aktualizację. W przypadku gdy taka możliwość nie
występuje, może być konieczne dodanie kolejnego serwera DNS, który zapewnia takie
funkcje, a następnie delegacja niektórych stref DNS do nowego serwera.
Rekordy SRV w DNS odnoszą się do rekordów zasobów, które wskazują położenie
serwera konkretnego protokołu oraz domeny. Ten typ rekordu DNS pozwala
administratorom na użycie wielu serwerów w danej domenie, dzięki czemu możliwe
jest przenoszenie usług między serwerami bez większego wysiłku. Możliwe jest również
wyznaczenie jednego komputera jako głównego serwera dla danej usługi (na przykład,
FTP), a pozostałych serwerów w domenie jako serwerów zapasowych. Rekordy SRV
rozwiązują problem związany z koniecznością posiadania dokładnego adresu serwera
w celu skontaktowania się z nim.
Jeśli w sieci znajdują się serwery DNS nie oparte na systemie Microsoftu (na przykład,
serwery Unix), należy powoli wprowadzać serwery DNS Windows 2000 jako serwery
drugorzędne, dzięki czemu będzie możliwy transfer stref. Taki proces powinien zakończyć
się bez zniszczenia lub uszkodzenia powiązanych rekordów zasobów. Po wykonaniu procesu
transferu możliwa jest aktualizacja drugorzędnych stref DNS do strefy zintegrowanej
z Active Directory, a następnie bezpieczne usunięcie z sieci głównych serwerów DNS.
Wybierając lub konfigurując strefy, należy pamiętać, iż dostępne są następujące typy stref:
Standardowa strefa główna — główna kopia nowej strefy zapisana
w standardowym pliku tekstowym. Możliwe jest zarządzenie strefą główną
na tym samym komputerze, na którym została utworzona.
Standardowa strefa drugorzędna — replika lub kopia istniejącej strefy; strefy
tego typu mają atrybut tylko do odczytu i są zapisane w standardowym pliku
tekstowym. Nie jest możliwa konfiguracja strefy drugorzędnej bez wcześniejszej
konfiguracji strefy głównej. Tworząc strefę zapasową, należy podać główny
serwer, który może przekazać informacje strefy do serwera DNS zawierającego
standardową strefę drugorzędną.
320
Część III
Instalacja i konfiguracja Exchange 2000
Strefa zintegrowana z Active Directory — główna kopia nowej strefy;
wykorzystuje usługi Active Directory do replikacji plików strefy. W przypadku
tego typu strefy nie występują standardowe transfery strefy, gdyż pliki strefy są
replikowane wraz z replikacją bazy danych Active Directory.
Przy wdrażaniu Exchange 2000 w nowym środowisku Active Directory lub Windows 2000
z DNS celem administratora powinno być zaprojektowanie wydajnej topologii replikacji,
przy jednoczesnej minimalizacji ogólnego ruchu replikacji. Można to osiągnąć poprzez
właściwą konfigurację domeny i topologii lokalizacji w taki sposób, aby każda domena
Active Directory była powiązana z jedną strefą DNS. Takie strefy są zwykle umieszczane
na serwerze DNS, który działa na kontrolerze domeny lub serwerze katalogu globalnego
w tej domenie. Wszystkie strefy powinny być zintegrowane z Active Directory (opisano
to w ostatnim punkcie wcześniejszej listy). Serwery DNS należy zaplanować z uwzględ-
nieniem kwestii odporności na awarie. Oznacza to użycie co najmniej dwóch kontrolerów
domeny w każdej domenie (lub co najmniej jednego kontrolera domeny w każdej loka-
lizacji Windows 2000).
Exchange 2000 i TCP/IP
Wszystkie usługi wykorzystywane przez Exchange 2000 są zależne od działania stosu
protokołów TCP/IP. Nawet macierzysty protokół transportowy SMTP jest członkiem ta-
kiego stosu, podobnie jak NNTP i HTTP. Proste problemy z połączeniami z innymi kom-
puterami mogą być rozwiązane przy użyciu narzędzia wiersza poleceń PING. Do tego celu
konieczne jest podanie znanego adresu IP, co przedstawiono na poniższym przykładzie:
Systemy Exchange 5.5 i Exchange 2000 korzystają z różnych portów TCP i UDP (zobacz
tabela 9.1).
Tabela 9.1.
Porty używane przez Exchange 5.5 i Exchange 2000
Numer portu
Nazwa protokołu lub usługi korzystającej z tego portu
25
Usługa SMTP
53
Usługa DNS
80
Protokół HTTP
102
Usługa X.400
135
Usługa RPC (zdalne wywołanie procedury)
143
Usługa IMAP4
110
Usługa POP3
119
Usługa NNTP
389
Protokół LDAP
443
HTTP z SSL
465
SMTP z SSL
563
NNTP z SSL
993
IMAP4 z SSL
995
POP3 z SSL
6667
Protokół IRC
Rozdział 9.
Kwestie związane z serwerem Exchange
321
Wiedza na temat portów używanych przez różne usługi i protokoły jest bardzo przydatna
przy rozwiązywaniu problemów z niektórymi usługami, które nie działają prawidłowo.
Taka sytuacja może wystąpić, jeśli dwie usługi korzystają z portu o tym samym numerze
lub jeśli używany jest port zarezerwowany dla innej usługi. W ramce poniżej przedstawiono
numery portów wykorzystywane przez konie trojańskie, takie jak Deep Throat i Happy99.
Porty używane przez znane konie trojańskie
Konie trojańskie mogą wykorzystać dowolny port TCP lub UDP na większości systemów
komputerowych, ale część z nich kieruje się do zarezerwowanych portów TCP i UDP, takich
jak 31337 lub 12345. Czasami można wykryć również próby ataku na porty TCP i UDP, które
zwykle nie są używane. Może świadczyć to o obecności złośliwego użytkownika, który próbuje
połączyć się z koniem trojańskim wewnątrz sieci lokalnej. Tabela 9.2 przedstawia niektóre
domyślne porty używane przez niektóre dobrze znane konie trojańskie (stan na początek 2001 r.).
Nie oznacza to, iż ta lista jest pełna; więcej informacji na temat numerów portów używanych przez
konie trojańskie można znaleźć na stronie www.sans.org.
Dla przykładu, protokół POP3 z SSL korzysta z portu 995, podobnie jak protokół IRC z SSL.
Możliwa jest zmiana numerów portów w przypadku powstania konfliktu lub jeśli wybrana
grupa użytkowników ma łączyć się przy użyciu określonego protokołu, takiego jak X.400.
Administrator może nawet skonfigurować firewall w taki sposób, aby odrzucane były
wszystkie próby uzyskania dostępu do portu używanego domyślnie przez serwer Exchange
(przykład takiego rozwiązania można znaleźć w podrozdziale Ustawienie numerów
portów TCP/IP dla firewalla w środowisku Exchange w trybie mieszanym). Tabela 9.3
przedstawia listę portów TCP/IP, które są używane wyłącznie przez Exchange 2000 i Win-
dows 2000.
Kwestie związane z delegacją praw
W tym podrozdziale zostaną omówione trzy tematy odnoszące się do przekazania kontroli
nad serwerem Exchange 2000 dla wybranych użytkowników w organizacji. Omówiona zo-
stanie również kwestia zabezpieczenia środowiska Exchange poprzez przyznanie użytkow-
nikom ograniczonego dostępu do informacji znajdujących się na serwerze.
Wszystko zaczęło się od projektu Active Directory...
Każde wdrożenie Exchange 2000 rozpoczyna się od właściwego zaplanowania Active
Directory. Przedstawiliśmy już kwestie tworzenia domen, lokalizacji i jednostek organi-
zacyjnych, a także wyjaśniliśmy różnice między fizycznym obiektem Active Directory
(takim jak domena) a logicznym obiektem (na przykład, jednostka organizacyjna). Zakła-
damy, iż organizacja została zaprojektowana z uwzględnieniem struktury geopolitycznej.
Domeny zostały utworzone zgodnie z rozmieszczeniem lokalizacji, co pomogło w utwo-
rzeniu jednostek organizacyjnych wewnątrz tych domen. Skonfigurowano następnie kreatora
Delegation of Control Wizard w celu przydzielenia wybranym użytkownikom lub grupom
uprawnień do tych obiektów jednostek organizacyjnych. Infrastruktura Active Directory
nabrała kształtu. W czasie fazy projektowania Active Directory uwzględniono następu-
jące kwestie:
322
Część III
Instalacja i konfiguracja Exchange 2000
Tabela 9.2.
Numery portów używane przez niektóre konie trojańskie
Nazwa konia trojańskiego
Używany port TCP
Death
port 2
Senna Spy FTP Server
port 20
Blade Runner
port 21
Fire HacKer
port 23
Happy99, Antigen
port 25
Deep Throat
port 41
DMSetup
port 59
Firehotcker
port 79
CGI Backdoor, RingZero
port 80
Hidden Port
port 99
ProMail Trojan
port 110
Happy99
port 119
NetTaxi
port 142
Infector
port 146
Backage
port 334
TCP Wrappers Trojan
port 421
RPC Backdoor
port 514
Net Administrator, Phase Zero
port 555
Secret Service
port 605
Attack FTP, Cain & Abel
port 666
AimSPY
port 777
Dark Shadow
port 911
Doly Trojan
porty 1010, 1011, 1012, 1015 i 1016
WinHole
porty 1080, 1081, 1082 i 1083
Remote Administration Tool (RAT)
porty 1095, 1097, 1098 i 1099
BackDoor-G, SubSeven
port 1243
VooDoo Doll
port 1245
Matrix
port 1269
Millenium Worm
port 1338
Utworzono globalne grupy zabezpieczeń wewnątrz jednostek organizacyjnych,
dzięki czemu przydzielanie uprawnień jest prostym zadaniem; użytkownicy mogą
być z łatwością dodawani lub usuwani z grup.
Wszystkie serwery komunikujące się ze sobą umieszczono w tej samej lokalizacji
Windows 2000, ponieważ wymagają one szybkiego połączenia między sobą;
dzięki takiemu postępowaniu zredukowano również ruch replikacji.
W każdej lokalizacji Active Directory umieszczono co najmniej dwa serwery
katalogu globalnego w celu obsługi procesu logowania oraz zapewnienia
odporności na awarie.
Rozdział 9.
Kwestie związane z serwerem Exchange
323
Tabela 9.3.
Lista portów używanych przez Exchange 2000 i Windows 2000 Server
Numer portu
Nazwa protokołu lub usługi korzystającej z tego portu
80
Usługa IM otwierająca sesję przy użyciu protokołu RVP (Rendezvous Protocol)
88
Protokół uwierzytelniania Kerberos
379
Usługa replikacji lokalizacji korzystająca z protokołu LDAP
522
Usługa User Locater dla Microsoft NetMeeting
691
Usługa aktualizacji informacji stanu łącza
995
Protokół POP3 lub IRC z SSL
1720
Usługa wideokonferencji
1731
Usługa audiokonferencji
3268
Wyszukiwanie LDAP na serwerach katalogu globalnego
3269
Wyszukiwanie LDAP na serwerach katalogu globalnego z włączonym SSL
Zawsze wybierano hierarchię jednostek organizacyjnych, a nie hierarchię domeny,
ponieważ przenoszenie użytkowników lub grup między różnymi jednostkami
organizacyjnymi jest łatwiejsze, niż przenoszenie tych obiektów między różnymi
domenami. Łatwiejszy jest również proces przydzielania uprawnień dla jednostki
organizacyjnej, niż dla domeny.
... po czym nadeszło zarządzanie systemem Exchange
Po wdrożeniu wszystkich elementów Active Directory kolejna logiczna faza instalacji
Exchange 2000 koncentruje się wokół tworzenia i wdrożenia grup administracyjnych i grup
magazynowania w celu dalszej delegacji uprawnień do serwera Exchange. Schemat Active
Directory został zaktualizowany poprzez uruchomienie programu instalacyjnego z prze-
łącznikiem /ForestPrep. W ten sposób zostały utworzone wszystkie grupy serwera Exchange,
a także obiekt Organization w kontekście nazewnictwa Active Directory. Instalacja Ex-
change 2000 utworzyła również domyślną grupę administracyjną o nazwie First Admini-
strative Group, która nie była widoczna aż do momentu włączenia jej we właściwościach
obiektu organizacyjnego w przystawce MMC System Manager. Lokalizacje Exchange 5.5
nie będą funkcjonowały już jako zakresy administracyjne w organizacjach z Exchange 2000,
ponieważ zostały zastąpione przez grupy administracyjne z serwerami. Zarządzanie syste-
mem obejmuje teraz tworzenie jednostki organizacyjnej, tworzenie grupy wewnątrz tej
jednostki, umieszczenie w grupie kont do zarządzania, a następnie przydzielenie tej grupy do
grupy administracyjnej. Po rozmieszczeniu grup administracyjnych możliwe jest przekazanie
kontroli nad nimi różnym administratorom w organizacji poprzez użycie kreatora Delegation
of Control Wizard dla każdej grupy administracyjnej w System Managerze. Dla każdej
grupy tego typu możliwe jest przydzielenie jednej z trzech ról administracyjnych:
Exchange View Only Administrator — pozwala użytkownikom na przeglądanie
informacji konfiguracji, ale nie umożliwia dokonywania jakichkolwiek zmian.
Exchange Administrator — pozwala użytkownikom na pełną administrację
serwerem Exchange, ale bez możliwości modyfikacji uprawnień.
324
Część III
Instalacja i konfiguracja Exchange 2000
Exchange Full Administrator — pozwala użytkownikom na pełną administrację
serwerem Exchange oraz na modyfikację uprawnień. Dzięki tej opcji użytkownicy
mogą kontrolować dostęp do Exchange 2000.
Delegacja kontroli
Kreator Delegation of Control Wizard kontroluje dostęp do Exchange, nie przyznając nikomu
lokalnego dostępu administracyjnego ani praw do modyfikacji lokalnego rejestru. Jeśli
użytkownik potrzebuje takich praw, musi stać się członkiem grupy lokalnych administra-
torów dla komputera, którym chcą zarządzać. Delegacja kontroli do użytkownika lub grupy
nie oznacza jednak, iż ten użytkownik lub grupa muszą być członkiem globalnej grupy za-
bezpieczeń, takiej jak Domain Admins lub Enterprise Admins. Należy jednak kontrolować
poziom, na jakim delegowane są uprawnienia, ponieważ użycie kreatora Delegation of
Control Wizard na poziomie Organization oznacza, iż użytkownicy uzyskają pewne prawa
administracyjne w całej strukturze organizacji.
Oprócz trzech opisanych wcześniej ról możliwe jest także przydzielenie użytkownikom
lub grupie roli menedżera skrzynki pocztowej, dzięki czemu będą mogli włączać obsługę
skrzynek pocztowych dla innych użytkowników i grup. Aby uzyskać tę rolę, należy
jednak umieścić użytkownika w lokalnej grupie zabezpieczeń Account Operators.
Konieczne jest również zdefiniowanie limitów dostępu i zasad w grupach magazynowania
na każdym serwerze. Grupy magazynowania pozwalają na umieszczenie wielu prywatnych
i publicznych baz danych na każdym serwerze. Każdy serwer może zawierać nie więcej
niż cztery takie grupy, a w każdej grupie może znaleźć się maksymalnie pięć baz danych.
Każdy serwer Exchange 2000 uruchamia tylko jeden egzemplarz usługi Store.exe, w ramach
której mogą funkcjonować grupy magazynowania. Każda grupa stanowi pojedynczy eg-
zemplarz struktury bazy danych ESE (Extensible Storage Engine). Obsługuje on wszystkie
bazy danych w danej grupie magazynowania. Niezależnie od liczby baz danych w grupie,
każda grupa musi być powiązana tylko z jednym zestawem plików dziennika transakcji.
Każda grupa magazynowania powinna zawierać inną klasę użytkowników lub grup i być
skonfigurowana dla różnych odbiorców i zasad serwera. Dostępne zasady obejmują usta-
wienia maksymalnej wielkości wiadomości i skrzynek pocztowych, a także okres przecho-
wywania usuniętych wiadomości. Głównym celem tej fazy zarządzania serwerem jest
umieszczenie w grupach magazynowania wszystkich użytkowników według ich typu,
w efekcie czego zostanie zachowana funkcja Exchange pozwalająca na magazynowanie
wyłącznie jednego egzemplarza. Dzięki takiemu postępowaniu każdy magazyn Information
Store będzie zawierał tylko jedną kopię fizyczną każdej wiadomości, podczas gdy adresaci
będą korzystali ze wskaźników do tych wiadomości.
Jeszcze bardziej szczegółowa kontrola nad Exchange 2000
Możliwe jest zdefiniowanie kontroli nad elementami Active Directory i obiektami Exchange
2000, takimi jak grupy magazynowania i jednostki administracyjne. Jeszcze bardziej
szczegółowe poziomy dostępu mogą być skonfigurowane poprzez ograniczenie sposobów,
w jaki wybrani użytkownicy mogą przeglądać informacje. Aby tego dokonać, konieczne jest
zarządzanie widokami globalnej listy adresowej (GAL) i widokami folderów publicznych.
Rozdział 9.
Kwestie związane z serwerem Exchange
325
Model kontroli dostępu wykorzystywany przez Exchange 2000 przypomina model znany
już z Windows 2000 Server. Ten system operacyjny umożliwia kontrolę dostępu do
większości obiektów w sieci poprzez przydzielenie deskryptorów zabezpieczeń dla obiektów
w Active Directory. Taki deskryptor zawiera listę wszystkich użytkowników, którzy
mają dostęp do obiektu, a także uprawnienia przyznane tym osobom. Model kontroli
dostępu w Exchange 2000 różni się od modelu w Exchange 5.5; kontrola jest możliwa na
różnych poziomach obiektu, włączając w to poziom kontenera, elementu lub właściwości.
Główna różnica między metodami kontroli dostępu w obu tych systemach obsługi wiado-
mości polega na tym, iż Exchange 2000 korzysta z bardziej bezpośredniego powiązania
pomiędzy kontem użytkownika w Active Directory i skrzynką pocztową dla tego konta,
która znajduje się na serwerze Exchange.
Główną przyczyną, dla której należy zdefiniować taką kontrolę dla listy GAL, jest fakt, iż
domyślnie zawiera ona widok wszystkich obiektów z obsługą poczty w organizacji, a cza-
sami nie wszyscy użytkownicy powinni mieć dostęp do informacji tego typu. Lista GAL
pozwala użytkownikom na przeszukiwanie Active Directory przy użyciu LDAP na porcie
389, a także łączy informacje ze wszystkich serwerów katalogu globalnego w lesie Windows
2000. Utworzenie pewnego typu partycji wewnątrz listy GAL spowoduje ograniczenie
informacji dostępnych dla użytkowników, dzięki czemu nie będą oni przytłoczeni ogromną
liczbą danych w czasie wyszukiwania użytkownika lub grupy. Oznacza to, iż możliwe jest
utworzenie wielu list GAL, z których każda będzie zawierała oddzielne zasady kontroli
dostępu dla różnych klas użytkowników.
Filtrowanie widoków GAL może ułatwić pracę administratora, aczkolwiek może spowo-
dować pewien problem. Wyobraź sobie, iż Jan i Marek są wewnętrznymi użytkownikami
tego samego systemu pocztowego, ale znajdują się w różnych grupach administracyjnych
lub jednostkach organizacyjnych. Lista GAL jest filtrowana, dzięki czemu każdy użytkownik
widzi w programie Outlook inną część GAL. Kiedy Jan próbuje wysłać wiadomość do
Marka, używając tylko jego nazwiska, Outlook odrzuci tę wiadomość, jeśli Marek nie pojawi
się na liście GAL Jana. Nadawca może rozwiązać ten problem poprzez użycie adresu proxy
SMTP adresata, a nie jego nazwiska.
Także foldery publiczne często sprawiają problemy administratorom, ponieważ służą one za
„śmietnik” dla danych, które nie są ważne lub nie powinny znaleźć się w tym miejscu.
Użytkownicy postrzegają takie foldery jako miejsce magazynowania niepotrzebnych emaili
lub dokumentów. Hierarchia folderów publicznych powinna składać się z folderów macie-
rzystych i potomnych. Dla przykładu, folder macierzysty może otrzymać nazwę Sprzedaż,
podczas gdy jego foldery potomne otrzymają nazwy zgodne z regionami działu sprzedaży,
takimi jak Północ, Zachód, itp. Exchange 2000 zapewnia wiele sposobów konfiguracji
dostępu do folderów publicznych poprzez przeglądanie właściwości każdego folderu
w System Managerze. Dostępne opcje obejmują m.in. ukrycie folderu publicznego na
wszystkich listach adresowych lub ukrycie go dla wszystkich użytkowników, którzy nie
mają właściwych praw dostępu.
Kwestie związane z migracją serwera Exchange 5.5
W tym podrozdziale zostaną omówione kwestie migracji, włączając w to współpracę między
serwerami Exchange 5.5 i Exchange 2000, a także planowanie i konfigurację łącznika
ADC w Exchange 2000. Obie te kwestie występują w organizacjach Exchange trybu mie-
szanego i są związane z użyciem obiektów znanych jako umowy połączenia.
326
Część III
Instalacja i konfiguracja Exchange 2000
W organizacji trybu mieszanego używane są serwery zarówno Exchange 2000, jak i Ex-
change 5.5. Decydując się na aktualizację lub migrację organizacji do najnowszej wersji
Exchange, należy przenieść wszystkie informacje katalogowe Exchange 5.5 do bazy danych
Active Directory w Windows 2000. Migracja informacji oznacza ręczną replikację lub
odtworzenie danych użytkowników i kontaktów, które były obsługiwane przez klasyczne
serwery Exchange. Aby pomóc w przeprowadzeniu migracji, Microsoft dostarczył na-
rzędzie ADC (Active Directory Connector), które działa na wszystkich serwerach Windows
2000 i pozwala na synchronizację oraz replikację informacji między katalogami Exchange
5.5 i Windows 2000. Najpierw zajmiemy się skutkami instalacji ADC, a następnie wy-
korzystamy uzyskane informacje w celu zapewnienia współpracy folderów publicznych
w obu systemach obsługi wiadomości.
Łącznik ADC ma wersje dla Windows 2000 i Exchange 2000. Wersja Windows 2000 po-
zwala na replikację informacji obiektu między Exchange 5.5 i Active Directory, umożli-
wiając jednocześnie administratorowi Windows 2000 zarządzanie katalogiem Exchange
5.5. Łącznik ADC w Exchange 2000 replikuje te same informacje katalogowe, co wersja
dla Windows 2000, ale umożliwia jednocześnie replikację danych konfiguracji między
platformami Exchange.
Choć dostępne są dwie wersje łącznika ADC, nie oznacza to, iż należy zainstalować je
jednocześnie. Prawdę mówiąc, w czasie instalacji Exchange 2000 łącznik ADC dla
Windows 2000 (jeśli istnieje) jest zastępowany wersją dla Exchange 2000.
Konfiguracja replikacji między katalogami jest możliwa dzięki użyciu umowy połączenia.
Replikacja takich informacji pozwala użytkownikom na wyszukiwanie w Active Directory
obiektów znajdujących się na ich listach GAL. Lista GAL w Exchange 5.5 nie korzysta
z Active Directory, ponieważ użytkownicy przeszukują bazę danych katalogu na serwerach
Exchange 5.5. Należy pamiętać, iż podstawową funkcją Active Directory jest zastąpienie
oryginalnego pliku bazy danych katalogu DIR.EDB na wszystkich serwerach Exchange
2000. Łącznik ADC może zarządzać jednocześnie kilkoma umowami połączenia; możliwa
jest również konfiguracja wielu takich umów, nawet w przypadku istnienia tylko jednej
lokalizacji Exchange 5.5. W idealnej sytuacji wiele umów połączenia powinno komuni-
kować się z wieloma lokalizacjami Exchange 5.5.
Lokalizacja Exchange 5.5 różni się od lokalizacji Windows 2000. Pierwszy typ
lokalizacji to fizyczny zakres definiowany przez grupę serwerów Exchange 5.5, które
komunikują się ze sobą poprzez szybkie połączenie sieciowe. Lokalizacja Windows
2000 odnosi się do zakresu podsieci IP składających się z serwerów, które także
komunikują się poprzez szybkie łącza. Exchange 5.5 umieszcza oddzielne magazyny
katalogu na każdym serwerze, podczas gdy Windows 2000 integruje wszystkie obiekty
w centralnym katalogu Active Directory.
Wszystkie umowy połączenia zawierają różne informacje, takie jak docelowe serwery,
replikowane obiekty oraz terminarz replikacji. Bardzo ważną kwestią jest zdefiniowanie
kierunku replikacji, ponieważ możliwe jest wykonanie tego procesu zarówno z katalogu
Exchange 5.5, jak i do niego. Exchange 5.5 jest mniej elastyczny, ponieważ do magazy-
nowania większości danych adresatów używany jest tylko jeden kontener; zwykle jest to
kontener Recipients w narzędziu Exchange 5.5 Administrator. Exchange 2000 pozwala
na utworzenie wielu kontenerów w Active Directory — są to kontenery jednostek orga-
nizacyjnych. Ta sytuacja ma wpływ na tworzone umowy połączenia; należy pamiętać,
iż administrator nie jest zmuszony do replikacji obiektów tylko do jednego kontenera.
Rozdział 9.
Kwestie związane z serwerem Exchange
327
Możliwa jest synchronizacja wielu kontenerów Recipients z Exchange 5.5 do jednego
kontenera Active Directory oraz replikacja wielu kontenerów Active Directory do jednego
kontenera Recipients w Exchange 5.5.
Umowy połączenia mogą być definiowane jako jedno- lub dwukierunkowe. Jednokierun-
kowa umowa oznacza, iż informacje są replikowane z Exchange 5.5 do Active Directory
lub odwrotnie. Dwukierunkowa umowa połączenia pozwala na replikację danych w obu
kierunkach. W większości przypadków wybierane są umowy jednokierunkowe, co pozwala
na automatyczną aktualizację Active Directory po modyfikacji katalogu Exchange 5.5.
Tylko jedna umowa połączenia jest wymagana do replikacji całej organizacji Exchange
5.5 do Active Directory, należy jednak rozważyć użycie wielu takich umów ze względu na
długi czas replikacji, szczególnie w przypadku dużych lokalizacji Exchange 5.5. Użycie
większej liczby umów połączenia do jednoczesnej replikacji grupy obiektów jest bardziej
efektywne i redukuje ruch replikacji; ma to duże znaczenie w przypadku zaplanowania
replikacji na okres poza szczytem. Zastosowanie umów połączenia oznacza także ko-
nieczność podjęcia decyzji o miejscu administracji większością obiektów katalogu. Jeśli
zdecydowano się na administrację wszystkimi obiektami bezpośrednio z Active Directory,
można do tego celu użyć przystawki Active Directory Users and Computers. W takiej
sytuacji należy się upewnić, czy umowy połączenia są skonfigurowane jako jednokierun-
kowe oraz czy każda taka umowa ma prawa zapisu w każdym katalogu Exchange 5.5.
To rozwiązanie pozwala na automatyczne zapisywanie i replikację w katalogach Exchange
5.5 wszystkich nowych obiektów utworzonych w Active Directory. Jeśli jednak zdecydo-
wano się na użycie klasycznego programu Exchange 5.5 Administrator do zarządzania
użytkownikami i grupami, to wszystkie umowy połączenia powinny być skonfigurowane
jako jednokierunkowe do Active Directory; takie umowy nie muszą posiadać uprawnień
zapisu do katalogu Exchange 5.5.
Najbardziej elastycznym rozwiązaniem będzie utworzenie w kontenerze Recipients w Ex-
change 5.5 oddzielnych podkontenerów dla użytkowników, grup lub list dystrybucyjnych,
a następnie replikacja każdego podkontenera do powiązanego kontenera Active Directory
przy użyciu oddzielnej umowy połączenia. Taki schemat pozwala na tworzenie nowych
kont zarówno w Exchange 5.5, jak i Exchange 2000, szczególnie w przypadku użycia
dwukierunkowych umów połączenia. Umowa tego typu przyznaje każdemu katalogowi
uprawnienia zapisu w drugim katalogu. Poniżej przedstawiono najważniejsze zalecenia
związane z tworzeniem umów połączenia:
Jeśli istnieje tylko jedna lokalizacja Exchange 5.5, należy skonfigurować
jednokierunkową umowę połączenia w celu zachowania tej samej konfiguracji
w Active Directory.
Każdy użytkownik z prawami Enterprise Admin lub Schema Admin może utworzyć
nową umowę połączenia poprzez wskazanie magazynu katalogu Exchange 5.5
oraz usługi Active Directory w Windows 2000 jako dwóch końców połączenia.
Wdrażając Exchange 2000, należy użyć łącznika ADC z Exchange 2000, ponieważ
rozszerza on funkcje prostego łącznika ADC z Windows 2000, który jest instalowany
wraz z systemem. ADC w Windows 2000 replikuje dane adresatów, podczas gdy
ADC w Exchange 2000 replikuje także informacje konfiguracji.
Exchange 2000 może bezpośrednio dostarczać wiadomości do serwerów Exchange
5.5 przy użyciu wywołań RPC (a nie protokołu SMTP), ponieważ dzięki specjalnym
umowom połączenia Configuration Connection Agreement (ConfigCA) przechowuje
informacje o konfiguracji Exchange 5.5.
328
Część III
Instalacja i konfiguracja Exchange 2000
Umowa ConfigCA replikuje informacje pomiędzy kontenerem Configuration
w Exchange 5.5 i kontekstem nazewnictwa konfiguracji w Active Directory.
Umowa ConfigCA jest tworzona automatycznie przy każdej aktualizacji
serwera Exchange 5.5 do Exchange 2000 lub w czasie instalacji Exchange 2000
w lokalizacji Exchange 5.5. Tylko łącznik ADC z Exchange 2000 potrafi utworzyć
umowę ConfigCA; łącznik ADC z Windows 2000 nie posiada takiej funkcji.
Administrator powinien zdecydować się na wybór Active Directory lub Exchange
5.5 do zarządzania wszystkimi obiektami. Choć Active Directory potrafi zarządzać
wszystkimi obiektami, czasami konieczne będzie użycie mieszanego trybu
zarządzania. Jednoczesne użycie narzędzi Exchange 5.5 Administrator i Active
Directory Users and Computers do modyfikacji atrybutów tego samego obiektu
powoduje powstanie błędów lub konfliktów. W takiej sytuacji wybierane są
ostatnie dokonane zmiany.
Dwa główne typy umów połączenia, jakie są widoczne w przystawce MMC
Connector Management, to umowy użytkowników i konfiguracji. Umowy
połączenia użytkowników replikują obiekty adresatów i ich dane, podczas gdy
umowy konfiguracji replikują informacje o konfiguracji Exchange 2000.
Łącznik ADC odgrywa ogromną rolę, ponieważ może być użyty do replikacji i synchro-
nizacji skrzynek publicznych, folderów publicznych i innych ważnych danych systemowych.
Czas replikacji jest jednak ważniejszy niż to, co jest replikowane. Możliwe jest ustawienie
ADC na replikację nawet co 5 sekund, co wpływa jednak na wydajność sieci i serwera ze
względu na zwiększone obciążenie procesora i większy ruch pakietów. ADC używa proto-
kołu LDAP do uzyskania dostępu do różnych katalogów; częste zapytania LDAP mogą
znacznie obniżyć wydajność w dużych sieciach.
Choć Microsoft zdecydowanie to odradza, możliwa jest modyfikacja rejestru w celu
modyfikacji domyślnego okresu replikacji (co pięć sekund). Otwórz edytor rejestru
i do klucza HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSADC\
Parameters dodaj wartość DWORD o nazwie Synch Sleep Delay. Wartość DWORD
powinna być wyższa niż 5 sekund (na przykład, 600 sekund, czyli 10 minut), dzięki
czemu wydłuża się interwał replikacji Exchange 2000.
Czytelnik może zastanawiać się, czy jest możliwa kontrola mapowania atrybutów indywi-
dualnych obiektów, gdyż głównym celem łącznika ADC jest synchronizacja atrybutów
obiektów pomiędzy katalogami Exchange 5.5 i Active Directory. Atrybuty to, między innymi,
adresy, nazwy i numery telefoniczne dla różnych obiektów, takich jak użytkownicy. Micro-
soft stworzył przystawkę MMC do obsługi ADC o nazwie Active Directory Connector
Manager, która zawiera wstępnie zdefiniowany zestaw atrybutów, jakie można włączyć
to terminarza synchronizacji. Takie atrybuty (na przykład, nazwy i adresy) mogą być auto-
matycznie synchronizowane z Active Directory po utworzeniu umowy połączenia między
kontenerem Exchange 5.5 i docelowym kontenerem w Active Directory (takim jak jednostka
organizacyjna). Aby zmienić domyślną listę i dodać własne atrybuty, należy zmodyfikować
domyślną zasadę ADC przy użyciu przystawki Active Directory Connector Manager. Mo-
dyfikacja tej zasady oznacza dodanie atrybutów nie zsynchronizowanych automatycznie,
ale także usunięcie atrybutów, które nie będą potrzebne w Active Directory (na przykład,
w przypadku ich replikacji z alternatywnego źródła lub katalogu; mogą to być nazwy wła-
snych adresatów, którzy nie będą mieli włączonej obsługi skrzynki pocztowej w Windows
Rozdział 9.
Kwestie związane z serwerem Exchange
329
2000). Rysunek 9.2 pokazuje atrybuty, jakie mogą być wybrane w czasie synchronizacji
z Exchange 5.5 do Active Directory poprzez zakładkę From Exchange w przystawce
Active Directory Connector Manager.
Rysunek 9.2.
Wybór atrybutów
w zakładce
From Exchange
w przystawce Active
Directory Connector
Manager
Wszystkie reguły mapowania atrybutów są definiowane poprzez zasadę Default ADC Policy.
Łącznik ADC wymusza stosowania tych reguł dla każdej powiązanej umowy połączenia.
Należy pamiętać, iż możliwe jest ustawienie oddzielnych reguł mapowania dla każdej
konfigurowanej umowy połączenia. W momencie pierwszej instalacji łącznika ADC
tworzone są tabele mapowania atrybutów przy wykorzystaniu plików tekstowych umiesz-
czonych na płycie instalacyjnej Exchange 2000. Pliki te mają nazwy local.map i remote.map
i umieszczone są w katalogu ADC\i386. W obu tych plikach można znaleźć reguły ma-
powania, które decydują o różnych atrybutach i ustawieniach zasady Default ADC Policy.
Dla przykładu, pliki local.map decydują o atrybucie msExchServer2SchemaMap, który
definiuje reguły mapowania atrybutów z Exchange 5.5 do Active Directory. Zwykle nie
należy ingerować w reguły mapowania atrybutów powiązane z domyślną zasadą ADC, po-
nieważ wszystkie atrybuty obiektów w Exchange 5.5 są automatycznie powiązane ze swoimi
odpowiednikami w Active Directory. Instalacja łącznika ADC definiuje domyślne ma-
powanie pomiędzy dwoma usługami katalogowymi.
Koniecznie trzeba zrozumieć różnice między środowiskami trybu mieszanego
i macierzystego, gdyż odnoszą się one zarówno do Exchange 2000, jak i do Windows
2000 Server. Domena Windows 2000 trybu mieszanego implikuje obecność w tej
samej domenie lub lesie kontrolerów domeny pracujących w systemach starszych niż
Windows 2000. Organizacja Exchange 2000 trybu mieszanego implikuje koegzystencję
z serwerami Exchange 5.5. Z kolei w domenie Windows 2000 w trybie macierzystym
nie występują żadne kontrolery domeny z systemami starszymi niż Windows 2000,
podczas gdy organizacja Exchange 2000 w trybie macierzystym oznacza brak
jakichkolwiek serwerów Exchange 5.5. Możliwa jest instalacja platformy Exchange
trybu mieszanego w macierzystej domenie Windows, podobnie jak instalacja
Exchange trybu macierzystego w domenie Windows trybu mieszanego.
330
Część III
Instalacja i konfiguracja Exchange 2000
Inną ważną kwestią jest współpraca folderów publicznych w Exchange 5.5 i Exchange 2000.
Pewne subtelne powiązanie łączy funkcję ADC z koncepcją przydzielania uprawnień do
folderów publicznych w Exchange 2000. Aby zrozumieć to powiązanie, należy docenić
zmiany w zakresie kontroli dostępu wymagane przez Exchange 2000. W przeciwieństwie do
domeny Windows 2000 trybu mieszanego, domena Windows 2000 w trybie macierzystym
umożliwia prawidłową administrację folderów publicznych w Exchange 2000.
Administracja folderami publicznymi zmieniła się od czasów Exchange 5.5. Istnienie
środowiska Exchange trybu mieszanego wymaga replikacji i migracji folderów publicznych
do Exchange 2000. Wcześniejszy opis umów połączenia może być rozciągnięty również
na foldery publiczne, ponieważ ADC zapewnia specjalną umowę połączenia dla folderów
publicznych (inne umowy połączenia obejmują umowy użytkowników i konfiguracji). Ta
umowa połączenia jest odpowiedzialna za synchronizację adresów emailowych folderów
publicznych Exchange 5.5 do Active Directory, co pozwala użytkownikom Exchange 2000
z włączoną obsługą skrzynek pocztowych na wysyłanie wiadomości emailowych do tych
folderów publicznych (co było możliwe w Exchange 5.5). W czasie replikacji folderów
publicznych między Exchange 5.5 i Exchange 2000 mogą wystąpić problemy, jeśli te obiekty
służą jako adresaci dla list dystrybucyjnych Exchange 5.5. W trakcie konfiguracji umowy
połączenia użytkowników w celu synchronizacji listy dystrybucyjnej Exchange 5.5 z Active
Directory tworzony jest specjalny typ obiektu grupy o nazwie uniwersalna grupa dystry-
bucyjna. Nie jest jednak możliwe dołączenie do niej adresu emailowego folderu publicz-
nego, chyba że został on konkretnie zdefiniowany w Active Directory, a umowy połączenia
użytkowników nie są w stanie zdefiniować tego adresu. Z tego powodu istnieje koniecz-
ność utworzenia oddzielnej umowy połączenia dla folderów publicznych.
Początkowo umowy połączeń oferowały funkcję automatycznej replikacji adresów
emailowych folderów publicznych. Niestety, opcja ta została usunięta w ostatniej
chwili, co doprowadziło do powstania umów połączenia folderów publicznych.
Umowy połączenia adresów emailowych synchronizują adresy emailowe wszystkich folde-
rów publicznych Exchange 5.5 do Active Directory lub wszystkich folderów publicznych
Exchange 2000 do katalogu Exchange 5.5. Takie umowy pomagają również w administracji
folderów publicznych Exchange 5.5 przy użyciu przystawki MMC System Manager oraz
folderów Exchange 2000 poprzez program Exchange 5.5 Administrator. Wszystkie foldery
publiczne, które mają adresy emailowe, są w Exchange 5.5 automatycznie z nimi powiązane.
Wszystkie wpisy folderów publicznych w katalogu są domyślnie ukryte na liście GAL.
Pracując w środowisku Exchange 2000 trybu mieszanego, trzeba zrozumieć wszystkie
domyślne zachowania folderów publicznych. Microsoft znacznie ułatwił konfigurację umów
połączenia folderów publicznych w porównaniu z takimi umowami dla użytkowników.
Wszystkie umowy folderów publicznych są automatycznie konfigurowane jako połączenia
dwukierunkowe.
Uprawnienia folderów publicznych są obsługiwane w Exchange 2000 inaczej, niż w przy-
padku Exchange 5.5. Starsza wersja tej platformy używa list kontroli dostępu (ACL) do
zarządzania dostępem do folderów publicznych. Lista ACL nie jest uważana za wyróżniającą
właściwość folderu publicznego. Z kolei Exchange 2000 traktuje ACL jako bezpośrednią
właściwość folderu; jest ona umieszczona w magazynie folderów publicznych i zawiera
identyfikatory zabezpieczeń dla wszystkich użytkowników lub grup, które mają prawa do
danego folderu publicznego. Exchange 5.5 używa właściwości obiektu o nazwie Distingu-
ished Name do identyfikacji wszystkich użytkowników, których uprawnienia do folderu
publicznego zostały skonfigurowane poprzez ACL. Z kolei Exchange 2000 używa do tego
Rozdział 9.
Kwestie związane z serwerem Exchange
331
samego celu identyfikatora zabezpieczeń obiektu zapisanego w Active Directory, dzięki
czemu wszystkie dane ACL są konwertowane, kiedy folder publiczny jest replikowany
z Exchange 5.5 do bazy danych magazynu folderu publicznego w Exchange 2000.
Powiązanie między ADC i replikacją folderów publicznych z Exchange 5.5 do Exchange
2000 staje się ważne, ponieważ listy ACL takich folderów korzystały z list dystrybucyjnych.
Innymi słowy, listy dystrybucyjne kontrolowały dostęp do folderów publicznych. Jak wspo-
mniano wcześniej, nie oznacza to, iż możliwa jest replikacja listy dystrybucyjnej Exchange
5.5 do Active Directory, ponieważ Exchange 2000 używa teraz pewnych typów grup do
kontrolowania dostępu do folderów publicznych.
Dlaczego typy grup sprawiają takie problemy w Windows 2000?
Niektóre obiekty Exchange 5.5 stają się innymi obiektami po replikacji do Exchange 2000. Dla
przykładu, obiekt adresata w Exchange 5.5 może stać się w Active Directory obiektem z włączoną
obsługą poczty lub skrzynki pocztowej. Jest to zależne od tego, czy nowy obiekt posiada tylko adres
emailowy, czy też jest powiązany ze skrzynką pocztową w Active Directory. Własny adresat
w Exchange 5.5 zawsze staje się obiektem z włączoną obsługą poczty, a nie z włączoną obsługą
skrzynki pocztowej. Lista dystrybucyjna staje się w Exchange 2000 obiektem grupy z włączoną obsługą
poczty. Możliwe jest zdefiniowanie różnych obiektów grup w zależności od typu lub zakresu grupy.
Dwie kategorie typu grupy obejmują:
Grupy zabezpieczeń — używane do przydzielania uprawnień do zasobów w strukturze lasu
Windows 2000.
Grupy dystrybucyjne — używane w przypadku funkcji nie związanych z zabezpieczeniami.
Grupa tego typu może służyć do wysłania wiadomości emailowej jednocześnie do grupy
użytkowników i nigdy nie może być użyta do przydzielenia uprawnień do zasobów.
Trzy kategorie zakresu grupy obejmują:
Grupy lokalnej domeny — używane do przydzielania uprawnień do zasobów. W grupie mogą
znaleźć się użytkownicy z dowolnej domeny w lesie, ale mogą oni uzyskać dostęp jedynie
do zasobów ulokowanych w domenie, w której została utworzona grupa.
Grupy globalne — używane do organizacji użytkowników z podobnymi potrzebami w zakresie
dostępu. W grupie mogą znaleźć się użytkownicy tylko z domeny, w której została utworzona
grupa; członkowie grupy będą mieli dostęp do zasobów dowolnej domeny w lesie.
Grupy uniwersalne — używane do przydzielania zasobów w wielu domenach. W grupie można
umieścić użytkowników z dowolnej domeny, którzy będą mieli dostęp do dowolnej domeny
w lesie. Grupy uniwersalne mogą być z kolei podzielone na:
uniwersalne grupy zabezpieczeń — dostępne tylko w środowisku Windows 2000 trybu
macierzystego
uniwersalne grupy dystrybucyjne — dostępne w środowisku Windows 2000 trybu
mieszanego lub macierzystego, ale używane głównie w środowisku mieszanym w celu
wysyłania wiadomości emailowych jednocześnie do wielu użytkowników.
Typ grupy determinuje sposób jej użycia, podczas gdy zakres grupy decyduje o miejscu w sieci,
gdzie grupa jest użyta. Możliwa jest konwersja wszystkich grup lokalnej domeny i globalnych do grup
uniwersalnych, ale tylko w przypadku, gdy Windows 2000 działa w trybie macierzystym (takie grupy
nie mogą zawierać innych grup o tym zakresie, jeśli planowana jest konwersja do grupy uniwersalnej).
Microsoft zaleca wykorzystanie następującej strategii tworzenia grup w celu zredukowania liczby
procesów przydzielania uprawnień w organizacji:
332
Część III
Instalacja i konfiguracja Exchange 2000
1.
Przydziel użytkowników z podobnymi potrzebami do nowej lub istniejącej grupy globalnej.
2.
Utwórz grupy lokalnej domeny dla wszystkich zasobów, które będą udostępniane (na przykład,
drukarki sieciowe lub pliki).
3.
Dodaj grupy globalne do grup domeny lokalnej powiązanych z zasobami, do których potrzebny
jest dostęp.
4.
Przydziel właściwe uprawnienia do grupy domeny lokalnej z kroku 3.
Być może łatwiejsze wyda się przydzielenie użytkowników bezpośrednio do grupy domeny lokalnej,
a następnie przyznanie tej grupie uprawnień do zasobów. Jednakże ta strategia nie pozwoli członkom
grupy na użycie zasobów znajdujących się poza domeną lokalną. Tylko członkowie grupy globalnej
i uniwersalnej grupy zabezpieczeń mogą uzyskać dostęp do zasobów w dowolnej domenie.
Umieszczenie użytkowników bezpośrednio w grupach dystrybucyjnych i przydzielenie
im uprawnień również nie jest praktyczne, ponieważ w tym przypadku wymagana jest
praca w trybie macierzystym Windows 2000. W przypadku obecności serwerów
Windows NT 4 konieczne są jednak funkcje trybu mieszanego Windows 2000.
Listy dystrybucyjne Exchange 5.5 zostały zastąpione w Exchange 2000 przez grupy uni-
wersalne z włączoną obsługą poczty. Uniwersalne grupy zabezpieczeń z włączoną obsługą
poczty również mogą zastąpić listy dystrybucyjne, ale może się to zdarzyć tylko w przy-
padku organizacji z lasem Windows 2000 trybu macierzystego (zobacz hasło Dlaczego
typy grup sprawiają takie problemy w Windows 2000?). W lesie Windows 2000 trybu
mieszanego możliwa jest praca jedynie z uniwersalnymi grupami dystrybucyjnymi, a nie
uniwersalnymi grupami zabezpieczeń. W takich przypadkach częściej stosowane są grupy
dystrybucyjne, gdyż możliwe jest uniknięcie sytuacji, w której omyłkowo zostaną przyznane
prawa dostępu do ważnych zasobów (co zdarza się automatycznie w przypadku grup zabez-
pieczeń). Łącznik ADC replikuje wszystkie listy dystrybucyjne Exchange 5.5 z uniwer-
salnymi grupami dystrybucyjnymi w Active Directory; grupy tego typu nie mogą decydo-
wać o dostępie do folderów publicznych w Exchange 2000. Windows 2000 Server pozwala
jedynie głównym obiektom zabezpieczeń na kontrolowanie dostępu do synchronizowanych
obiektów, a uniwersalne grupy dystrybucyjne nie są uważane za takie obiekty. W niektórych
przypadkach grupa tego typu może być przekonwertowana do uniwersalnej grupy zabez-
pieczeń. Dzieje się tak, kiedy foldery publiczne są aktualizowane do Exchange 2000 lub jeśli
Outlook jest używany do przydzielenia uprawnień do folderów publicznych w Exchange
2000. Ponieważ uniwersalne grupy zabezpieczeń mogą wymusić dostęp do folderów pu-
blicznych, w czasie replikacji list dystrybucyjnych Exchange 5.5 do Active Directory należy
upewnić się, czy wszystkie domeny Windows 2000 pracują w trybie macierzystym. Kiedy
tworzona jest umowa połączenia użytkowników w celu replikacji listy dystrybucyjnej,
łącznik ADC poinformuje o domenie Windows 2000, która nie pracuje w trybie macie-
rzystym.
Powiązane rozwiązania
Strona
Planowanie folderów publicznych
Ustalenie zakresu grup
Tworzenie grup zabezpieczeń i grup dystrybucyjnych
Ustalenie zakresu grup Active Directory
Planowanie grup zabezpieczeń Active Directory
Rozdział 9.
Kwestie związane z serwerem Exchange
333
Gotowe rozwiązania
Konfiguracja formatów wiadomości
dla serwera wirtualnego POP3
Wszystkie opcje serwera wirtualnego POP3 można skonfigurować poprzez przystawkę
MMC Exchange 2000 System Manager. Aby tego dokonać:
1.
Otwórz przystawkę System Manager poprzez wybranie Start|Programs|Microsoft
Exchange| System Manager.
2.
Kliknij symbol + przy ikonie folderu Administrative Groups, a następnie
symbol + przy kontenerze First Administrative Group.
3.
W ten sam sposób rozwiń kolejno kontener Servers, obiekt logiczny Server
i podkontener Protocols.
4.
Rozwiń folder POP3 wewnątrz kontenera Protocol, aby ujawnić obiekt Default
POP3 Virtual Server. Kliknij prawym przyciskiem myszy ten obiekt i wybierz
polecenie Properties.
5.
Na ekranie pojawi się automatycznie zakładka General okna dialogowego
Default POP3 Virtual Server Properties. Kliknij zakładkę Message Format
(zobacz rysunek 9.3).
Rysunek 9.3.
Zakładka Message
Format w oknie
dialogowym
Default POP3
Virtual Server
Properties
6.
Zauważ, iż domyślnym schematem kodowania MIME jest HTML (opcja Provide
Message Body As HTML). Kliknij opcję Exchange Rich-Text Format (w sposób
pokazany przez wskaźnik myszy na rysunku 9.4) i przyjrzyj się domyślnym
ustawieniom MIME. Kliknij OK, aby powrócić do konsoli System Manager.
334
Część III
Instalacja i konfiguracja Exchange 2000
Rysunek 9.4.
Zakładka Message
Format pokazująca
ustawienie Exchange
Rich-Text Format
Konfiguracja opcji zmiany formatu wiadomości
dla poszczególnych użytkowników
Kiedy użytkownicy żądają przesłania wiadomości poprzez protokół POP3 lub IMAP4,
możliwe jest skonfigurowanie opcji dostarczenia wiadomości w formie prostego tekstu
lub HTML (lub w obu tych formatach). Możliwa jest również zmiana tych domyślnych
ustawień dla poszczególnych użytkowników. Aby tego dokonać:
1.
Otwórz przystawkę MMC Active Directory Users and Computers.
2.
Kliknij kontener Users, a następnie kliknij prawym przyciskiem myszy ten kontener
i wybierz polecenie View|Advanced Features (zobacz rysunek 9.5).
Rysunek 9.5.
Udostępnienie
zaawansowanych
funkcji dla kontenera
Users w przystawce
Active Directory
Users and Computers
Rozdział 9.
Kwestie związane z serwerem Exchange
335
3.
Kliknij dwukrotnie wybranego użytkownika i w pojawiającym się oknie
właściwości wybierz zakładkę Exchange Advanced. Kliknij następnie przycisk
Protocol Settings w środkowej części zakładki (zobacz rysunek 9.6).
Rysunek 9.6.
Konfiguracja
ustawień protokołu
dla użytkownika
w zakładce Exchange
Advanced w oknie
Active Directory
Users and Computers
4.
Kliknij dwukrotnie protokół POP3, który pojawi się w oknie dialogowym
Protocols. Poczekaj na pojawienie się okna dialogowego POP3 Protocol Details
(zobacz rysunek 9.7) i wyłącz opcję Use Protocol Defaults. Możesz skonfigurować
wybrane opcje dla użytkownika. Po zakończeniu konfiguracji kliknij OK, aby
powrócić do okna dialogowego Protocols.
Rysunek 9.7.
Okno dialogowe
POP3 Protocol
Details
336
Część III
Instalacja i konfiguracja Exchange 2000
5.
Kliknij OK, aby powrócić do okna właściwości użytkownika. Kolejne kliknięcie
przycisku OK spowoduje powrót do konsoli Active Directory Users and Computers.
Kliknij symbol X w prawym górnym rogu okna, aby zamknąć interfejs Active
Directory Users and Computers.
Konfiguracja formatów MIME
dla domyślnego formatu wiadomości internetowych
Aby poprzez Exchange System Manager skonfigurować formaty MIME dla obiektu Internet
Message Format w kontenerze Global Settings w obiekcie Organizational:
1.
Otwórz przystawkę MMC Exchange System Manager i kliknij symbol + w pobliżu
kontenera Global Settings. Pojawi się obiekt Internet Message Formats.
2.
Kliknij ten obiekt, a w panelu szczegółów po prawej stronie pojawi się format
Default (z podaną nazwą domeny *). Kliknij ten obiekt prawym przyciskiem
myszy i wybierz polecenie Properties.
3.
Pojawi się ekran Default Properties. Wybierz zakładkę Message Format; domyślnie
wybrane tu kodowanie MIME to tekst (Provide Message Body As Plain Text).
Aby zmienić domyślne kodowanie na HTML, wybierz opcję Provide Message
Body As HTML, zaznacz Apply Content Settings To Non-MAPI Clients (zastosuj
ustawienia treści dla klientów innych niż MAPI) i kliknij OK, aby powrócić
do konsoli Exchange System Manager (zobacz rysunek 9.8).
Rysunek 9.8.
Wybór ustawień
MIME dla
domyślnego
formatu wiadomości
internetowych
w System
Managerze
4.
Zamknij konsolę System Manager poprzez wybranie z menu polecenia Console|Exit.
Użycie kreatora reguł w Outlooku 2000 do zarządzania treścią
Bardzo ważną funkcją każdej aplikacji pocztowej jest możliwość wydajnego przetwarzania
zarówno przychodzących, jak i wychodzących wiadomości. Outlook zapewnia taką funkcję
przy użyciu Kreatora reguł, który pozwala na zdefiniowanie określonych działań wyko-
nywanych dla wiadomości przychodzących i wychodzących. Kreator może być wykorzy-
Rozdział 9.
Kwestie związane z serwerem Exchange
337
stany do przydzielenia kategorii dla wiadomości na podstawie ich zawartości. Możliwe
jest nawet ustawienie zawiadomień, które będą alarmowały użytkownika po dotarciu ważnej
wiadomości do skrzynki pocztowej. Kolejną opcją jest oflagowanie wiadomości pocho-
dzących od wybranych nadawców.
Użytkownicy Outlooka 97 i 98 mogą użyć Asystenta skrzynki odbiorczej do emulacji
funkcji Kreatora reguł. Kreator jest instalowany automatycznie wraz z klientami
Outlook 98 i Outlook 2000. W przypadku Outlooka 97 konieczna jest ręczna instalacja.
Kreator reguł może współpracować z Asystentem skrzynki odbiorczej w programie Outlook
Express, aby filtrować i sortować wiadomości emailowe, które nie spełniają określonych
kryteriów. Podstawowa różnica między tymi dwoma narzędziami to fakt, iż Kreator reguł
przetwarza wiadomości przychodzące i wychodzące, podczas gdy Asystent skrzynki od-
biorczej obsługuje tylko przychodzącą pocztę, ale może jednocześnie przekazywać dalej
wiadomości emailowe bez zmiany jej zawartości. Po pierwszym uruchomieniu Kreator
reguł w Outlooku 2000 użytkownik zostanie zapytany o chęć konwersji wszystkich istnie-
jących reguł asystenta skrzynki odbiorczej. Aby potwierdzić taką konwersję, kliknij Tak,
a następnie OK. Przekonwertowane zostaną wszystkie reguły z wyjątkiem tych, które
zawierają własne warunki formularza.
Jeśli używana jest wersja Exchange wcześniejsza niż 5.5, mogą pojawić się pewne
problemy związane z konwersją reguł, ponieważ Kreator reguł w Outlooku 2000, oprócz
nowych reguł, zachowuje jednocześnie wszystkie stare reguły Asystenta skrzynki
odbiorczej. Taka kombinacja plików może spowodować niepotrzebne zajęcie cennego
miejsca na dyskach twardych serwera.
Aby użyć Kreatora reguł w programie Outlook 2000:
1.
Uruchom Outlooka i wybierz polecenie Narzędzia|Kreator reguł. Pojawi się okno
dialogowe Kreator reguł. Kliknij Nowa i wybierz typ reguły, którą chcesz utworzyć.
2.
Kliknij regułę Przypisywanie kategorii na podstawie treści. W dużym polu
tekstowym pojawi się opis reguły (zobacz rysunek 9.9).
Rysunek 9.9.
Kreator reguł
z wybraną regułą
Przypisywanie
kategorii na
podstawie treści
3.
Kliknij Dalej, aby wybrać warunek do sprawdzenia. Zauważ, iż automatycznie
jest już zaznaczona opcja zawierającej określone słowa w temacie lub w tekście;
możesz jednak ją wyłączyć. My jednak pozostawimy tę opcję i przyjrzymy się
338
Część III
Instalacja i konfiguracja Exchange 2000
sposobowi tworzenia opisu reguły w polu tekstowym poniżej. Kliknij podkreślone
łącze określone słowa, aby podać słowa lub frazy, które będą wyszukiwane
w treści lub temacie wszystkich wiadomości emailowych.
4.
W polu tekstowym Dodaj nowy wpisz $$$ earn money i kliknij Dodaj, aby dodać
te słowa do listy wyszukiwania (zobacz rysunek 9.10). Kliknij OK, aby powrócić
do okna Kreator reguł.
Rysunek 9.10.
Okno dialogowe
Wyszukiwanie tekstu
pokazujące słowa
i frazy, które będą
używane jako filtry
5.
Zauważ, iż dodane słowa pojawiły się w polu Opis reguły na dole ekranu. Kliknij łącze
podaj kategorię i wprowadź nazwę kategorii, którą chcesz monitorować (na przykład,
Śmieci). Jeśli zawartość pola Opis reguły wygląda poprawnie, kliknij Dalej.
Dodając nowe słowa lub frazy w kroku 4., możesz zostać ostrzeżony, iż te reguły
nie będą działały poprawnie w wersjach Outlooka starszych, niż aktualnie używana
(w naszym przykładzie używamy Outlooka 2000). Jeśli to akceptujesz, kliknij Tak;
w przeciwnym przypadku odpowiedz Nie na pytanie o chęć utworzenia tej reguły.
6.
W kolejnym oknie kreatora wybierz właściwą opcję w odpowiedzi na pytanie
o czynność, jaka powinna być wykonana z wiadomością (Co chcesz zrobić z tą
wiadomością?). Dostępne opcje to m.in. Przypisz ją do kategorii lub Usuń ją.
Kliknij Dalej.
7.
Zignoruj kolejne okno pytające o wyjątki do reguły — Podaj ewentualne wyjątki
i kliknij Dalej.
8.
W kolejnym oknie podaj nazwę tej reguły poprzez wpisanie w polu tekstowym
słów
. Zaznacz opcję Uruchom tę regułę dla wiadomości znajdujących się
w „Skrzynka odbiorcza”. Opcja Włącz tę regułę jest zaznaczona automatycznie
(zobacz rysunek 9.11). Kliknij Zakończ, aby zakończyć tworzenie reguły.
Rysunek 9.11.
Podanie nazwy nowej
reguły i jej włączenie
Rozdział 9.
Kwestie związane z serwerem Exchange
339
9.
Jeśli pojawi się komunikat informujący, iż Ta reguła jest regułą klienta, działającą
tylko przy uruchomionym programie Outlook (zobacz rysunek 9.12), kliknij OK,
aby powrócić do okna dialogowego Kreator reguł.
Rysunek 9.12.
Okno dialogowe
pokazujące status
nowej reguły
10.
W pojawiającym się oknie dialogowym przyjrzyj się dostępnym teraz opcjom.
Możliwe jest utworzenie nowej reguły lub skopiowanie, modyfikacja, zmiana
nazwy i usunięcie właśnie utworzonej reguły. Kliknij przycisk Uruchom teraz,
aby otworzyć okno dialogowe Uruchamianie reguł (zobacz rysunek 9.13).
Rysunek 9.13.
Okno dialogowe
Uruchamianie reguł
11.
Zaznacz pole wyboru w pobliżu nowej zasady i upewnij się, czy w polu tekstowym
obok napisu Uruchom w folderze pojawił się folder Skrzynka odbiorcza. Kliknij
przycisk Uruchom teraz, a następnie Zamknij. Kliknij OK, aby zamknąć okno
Kreator reguł i powrócić do interfejsu Outlooka 2000.
340
Część III
Instalacja i konfiguracja Exchange 2000
Użycie filtrów treści wiadomości w programie Outlook
Filtry treści mogą być zastosowane w uzupełnieniu do Kreatora reguł, który został opisany
we wcześniejszym rozwiązaniu. Aby włączyć te filtry w programie Outlook:
1.
Otwórz program pocztowy Outlook i kliknij menu Widok. Upewnij się, czy
zaznaczono opcję Pasek Outlook, a następnie powróć do głównego ekranu Outlooka.
2.
Kliknij ikonę Organizuj w pasku narzędzi, aby pojawił się ekran pokazany
na rysunku 9.14.
Rysunek 9.14.
Ekran Outlooka
po kliknięciu
przycisku Organizuj
w pasku narzędzi
3.
Kliknij łącze Wiadomości-śmieci w sekcji Organizuj: Skrzynka odbiorcza.
Pojawi się ekran podobny do tego, który został przedstawiony na rysunku 9.15.
Rysunek 9.15.
Opcje niepożądanej
poczty w Outlooku 2000
Rozdział 9.
Kwestie związane z serwerem Exchange
341
4.
Upewnij się, czy w pierwszym wierszu w tej sekcji pojawia się napis Automatycznie
koloruj wiadomości-śmieci, wybierz kolor czerwony, a następnie kliknij Włącz.
W drugim wierszu powinien znaleźć się napis Automatycznie koloruj wiadomości
„dla dorosłych”. Wybierz kolor fioletowy i kliknij Włącz.
5.
Kliknij ikonę Organizuj w pasku narzędzi Outlooka, aby wyłączyć ten ekran.
Wybór właściwego oprogramowania do zarządzania treścią
Wybierając właściwy pakiet oprogramowania do zarządzania treścią, należy upewnić się,
czy zawiera pewien minimalny zestaw funkcji. Wybrany pakiet będzie służył nie tylko
do prostego blokowania poczty, ale również do inteligentnego trasowania wiadomości
w organizacji. Oprogramowanie tego typu powinno być zainstalowane w wielu punktach
dostępowych organizacji, włączając w to bramy SMTP i programy pocztowe. Upewnij
się, czy wybrany pakiet udostępnia następujące funkcje:
Kontrola obecności skryptów HTML oraz plików wykonywalnych i .vbs — program
powinien wyszukiwać wszystkie rodzaje aktywnej treści przychodzących wiadomości,
włączając w to pliki wykonywalne, pliki ActiveX oraz pliki z rozszerzeniem .vbs
(VBScript). Za wprowadzenie szkodliwych wirusów do organizacji często są
obciążane właśnie takie skrypty. Niektóre programy antywirusowe posiadają
funkcję skanowania wiadomości w poszukiwaniu takiej zawartości.
Obsługa obcych języków — dobre oprogramowanie do zarządzania treścią powinno
rozpoznawać szkodliwe treści w językach innych, niż tylko angielski. Oznacza to
konieczność obsługi znaków narodowych dla popularnych języków, włączając
w to oczywiście język polski.
Ochrona zaszyfrowanej komunikacji — większość pakietów antywirusowych
nie potrafi skanować zaszyfrowanych informacji, ale większość programów do
zarządzania treścią ma funkcję blokowania zaszyfrowanych wiadomości i ich
załączników.
Integracja z Windows 2000 — wybrany pakiet powinien obsługiwać wszystkie
funkcje Active Directory i Windows 2000. Oprogramowanie powinno być
zarządzane i monitorowane przy użyciu własnej przystawki MMC. Inną opcją
jest integracja z już istniejącymi przystawkami Exchange 2000 i Windows 2000.
Użycie analizy słownikowej — dobre oprogramowanie do zarządzania treścią
sprawdza zarówno zawartość wiadomości, jak i wszystkie załączniki. Konieczna
jest również funkcja logicznego filtrowania według kombinacji słów.
Pod adresem www.slipstick.com/addins znajduje się doskonała strona internetowa, która
zawiera omówienie różnych pakietów oprogramowania do zarządzania treścią dla Exchange
2000. Do przeszukania tej strony użyj słów kluczowych Content Control lub Automatic
Message Processing. Wiele z programów działa jako wtyczki lub dodatki do serwera Ex-
change 2000, podczas gdy inne pakiety działają tylko z programami pocztowymi lub na
bramach SMTP. Wiele narzędzi tego typu współpracuje również z narzędziami antywi-
rusowymi oraz oferuje dodatkowe funkcje, takie jak archiwizacja wiadomości.
342
Część III
Instalacja i konfiguracja Exchange 2000
Niewłaściwe użycie poczty na serwerze Exchange 2000
Niektórzy użytkownicy — poprzez użycie firmowego serwera poczty do przekazywania
poczty — mogą wywołać chaos w nie spodziewających się niczego organizacjach. Takie
osoby masowo wysyłają pocztę reklamową, podając domenę organizacji jako adres zwrotny.
Ponieważ wykorzystana jest nazwa firmowej domeny, odbiorcy spamu mogą uznać daną
organizację za źródło wiadomości. Serwer Exchange 2000 będzie musiał obsłużyć wszystkie
raporty niedoręczonej poczty (NDR) wygenerowane przez wiadomości, które nie dotarły
do miejsca docelowego.
Exchange 2000 nie wykrywa różnicy pomiędzy pocztą elektroniczną wysyłaną do popraw-
nych i „oszukanych” użytkowników w organizacji. Bardzo trudne jest również filtrowanie
całej poczty SMTP, która nie należy do organizacji. Istnieją jednak organizacje (takie jak
Mail Abuse Prevention System LLC — MAPS) prowadzące kampanie w celu ochrony sys-
temów pocztowych przed osobami rozsyłającymi spam (takie osoby są nazywane spa-
merami).
Aby uzyskać dodatkowe informacje na temat nie nastawionej na zysk organizacji MAPS,
która pomaga śledzić osoby niewłaściwie korzystające z systemów pocztowych, zajrzyj
na stronę http://maps.vix.com.
Zadaniem administratora jest ochrona serwera przed użyciem go do przesyłania wiado-
mości przez osoby z zewnątrz organizacji (tzw. open-relay). Zdarza się to, kiedy serwer
Exchange 2000 przetwarza wiadomości, których nadawca i odbiorca nie są członkami
organizacji. W niektórych przypadkach użycie serwera do przekazywania poczty może
jednak pomóc w rozwiązywaniu problemów (na przykład, do przetestowania łączności
między wieloma systemami w pojedynczej sieci).
Spamerzy korzystają z otwartych serwerów do rozprzestrzeniania niepożądanej poczty
w Internecie. Oznacza to, iż wiele serwerów Exchange może stać się ofiarą takich planów.
Należy powstrzymać wszystkie takie próby, ponieważ mogą one spowodować poważne pro-
blemy systemów pocztowych poprzez niepotrzebne zajęcie pasma sieciowego lub wyko-
rzystanie mocy procesora. W najgorszym przypadku dana organizacja może znaleźć się na
czarnej liście organizacji MAPS, która zawiera dane dostawców usług internetowych
przyczyniających się do rozsyłania spamu. Zmiany na liście dokonują się w czasie rzeczy-
wistym, przez co dostawca usług może znaleźć się na niej natychmiast po otrzymaniu
spamu. Czarna lista została umieszczona na serwerze http://maps.vix.com. Warto również
odwiedzić stronę projektu Anti-Spam Project pod adresem www.bitgate.com/spam. Można
tam znaleźć listę domen rozsyłających spam, a także narzędzie do filtrowania poczty o na-
zwie BlackMail. Po zainstalowaniu program filtruje pocztę przychodzącą, wykorzystując
zdefiniowane kryteria.
Microsoft już w sierpniu 1999 r. rozwiązał kwestię serwerów pocztowych przekazujących
spam, publikując poprawkę o nazwie Exchange 5.5 post-SP2 hotfix. Ta poprawka usunęła
możliwość przekazywania poczty oraz zamknęła lukę w zabezpieczeniach, która pozwalała
na użycie usługi IMS (Internet Mail Service) do przesyłania kapsułkowanych wiadomości
SMTP. Większość środków ochronnych powinna być zgodna z RFC 2505, które zawiera
rekomendacje antyspamowe dla agentów MTA SMTP. To RFC zidentyfikowało problemy
związane ze spamem i opisało funkcje MTA SMTP, które zredukują efekty spamu.
Rozdział 9.
Kwestie związane z serwerem Exchange
343
Jeśli organizacja została dodana do czarnej listy MAPS z serwerami, które są otwarte na
przekazywanie poczty przez osoby z zewnątrz, to członkowie organizacji nie będą mogli
wysyłać żadnej poczty, nawet jeśli wcześniej było to możliwe. Ta czarna lista jest dostępna
na stronie MAPS pod adresem www.mailabuse.org. Administrator może skontaktować
się z usługą MAPS Relay Spam Stopper w celu usunięcia serwera z czarnej listy. MAPS
przetestuje serwer i sprawdzi, czy usunięto wszystkie dziury w zabezpieczeniach, a na-
stępnie usunie serwer z listy.
Aktualizacja zabezpieczeń poczty w Outlooku 2000
Możliwe jest zabezpieczenie programu pocztowego Outlook przed potencjalnie niebez-
piecznymi robakami i wirusami, ale wiele zależy od używanej wersji programu i zastoso-
wanych poprawek zabezpieczeń. Wirusy mają wpływ na trzy różne obszary Outlooka:
Panel podglądu — wyłączenie tego panelu nie zabezpiecza przed atakiem wirusów
na system. Wszystkie elementy sterujące ActiveX uruchamiają się automatycznie
w tym panelu. Panel podglądu w Outlooku jest znacznie bezpieczniejszy, niż
w Outlooku 98, ponieważ cała aktywna zawartość (włączając w to elementy
sterujące ActiveX i Active Scripting) jest wyłączana niezależnie od ustawień
strefy zabezpieczeń.
Otwarte wiadomości — otwarcie wiadomości tekstowej lub RTF jest zawsze
bezpieczne. Otworzenie wiadomości HTML może już spowodować problemy,
ponieważ może ona zawierać kod Active Scripting lub elementy sterujące ActiveX
z wirusami.
Załączniki — jest to część wiadomości, która stwarza najwięcej zagrożeń. Załączniki
nie mogą być otwarte bez wiedzy użytkownika, gdyż wymagają wykonania
określonej czynności. Office 2000 w wersji SR-1 wyświetla zapytanie w przypadku
próby uruchomienia plików wykonywalnych w Outlooku. Monitorowanych jest
około 20 typów plików i rozszerzeń, włączając w to rozszerzenia .vbs, .bat i .zip.
Ze względu na coraz większą liczbę niebezpiecznych wirusów, takich jak ILOVEYOU.VBS,
Microsoft opublikował poprawkę Outlook Email Security Update dla Outlooka 98 i Outlooka
2000, która rozwiązała wiele dziur w zabezpieczeniach. W skład poprawki weszły nastę-
pujące komponenty:
Komponent uniemożliwiający użytkownikom otwarcie lub zapisanie plików,
które mogą zawierać niebezpieczny lub złośliwy kod. Zaufani użytkownicy
mogą otrzymać uprawnienia dostępu do niektórych typów załączników lub
uprawnienia do użycia klienta OWA. Użytkownicy, którzy nie zostali utworzeni
na serwerze Exchange, nie mogą w żaden sposób uzyskać dostępu do tych
załączników przy użyciu Outlooka.
Komponent konfigurujący strefy zabezpieczeń Outlooka i blokujący wykonanie
niektórych skryptów w formularzach Outlooka, chyba że te formularze zostaną
umieszczone w bibliotece formularzy.
Komponent Outlook Object Model Guard, który zapewnia kod blokujący dostęp
do książki adresowej Outlooka.
344
Część III
Instalacja i konfiguracja Exchange 2000
Przed opublikowaniem Email Security Update Microsoft przedstawił poprawkę o nazwie
Attachment Security, która uniemożliwiała użytkownikom otwarcie załączników w Outlooku.
Ta wersja została jednak wycofana po wprowadzeniu podobnych funkcji w wersji Office
2000 SP-1. Ciągle dostępna jest jednak poprawka Attachment Security dla Outlooka 98.
Poprawka Email Security Update wyświetla ostrzeżenie przy próbie uruchomienia załącz-
nika z określonym rozszerzeniem, ale nie wykrywa ani nie usuwa wirusów z zarażonych
plików; jeśli taki plik zostanie zapisany na dysku i uruchomiony, w systemie znajdzie się
wirus. Ta poprawka nie będzie miała żadnego wpływu na macierzyste dokumenty Office
z rozszerzeniami .doc, .xls i .ppt, podobnie jak na pliki z rozszerzeniem .shs (obiekt wycinka)
lub .vbs (pliki skryptów).
Ta poprawka definiuje określone poziomy załączników na podstawie rozszerzenia plików.
Dla przykładu, załączniki poziomu 1 są uważane za niebezpieczne; w tej grupie znalazły
się wszystkie rozszerzenia plików powiązane ze skryptami. Oznacza to, iż nie jest możliwy
dostęp do załączników, jeśli zainstalowano tę poprawkę. Niektóre niebezpieczne typy
plików zostały przedstawione w tabeli 9.4.
Tabela 9.4.
Rozszerzenia plików uważane za niebezpieczne w Outlooku 2000
Nazwa rozszerzenia pliku
Typ rozszerzenia pliku
.adp
Projekt Access 2000
.bas
Moduł klasy Visual Basic
.cmd
Skrypt poleceń Windows NT/2000
.com
Plik wykonywalny MS-DOS
.exe
Dowolny plik wykonywalny
.hlp
Dowolny plik pomocy
.js
Dowolny plik JavaScript
.lnk
Dowolny plik skrótu
.mdb
Dowolny program Access 97/2000
.msi
Pakiet instalatora Windows
.mst
Plik źródłowy Microsoft Visual Test
.pif
Plik Microsoft Program Information (skrót do programu MS-DOS)
.scr
Dowolny plik wygaszacza ekranu
.url
Dowolny adres internetowy
.vbs
Dowolny plik lub program VBScript
.wsh
Dowolny plik Windows Script Host
W przeciwieństwie do poziomu 1, załączniki poziomu 2 nie są uważane za niebezpieczne,
wymagają jednak wysokiego poziomu zabezpieczeń. Po otrzymaniu załącznika poziomu 2
użytkownik zostanie zapytany o chęć zapisania go na dysku; nie jest możliwe urucho-
mienie lub przeglądania załącznika z samej wiadomości. Ta aktualizacja będzie działała,
tylko jeśli w systemie zainstalowano Outlooka w wersji SR-1. Należy pamiętać, iż popraw-
ka stanowi integralny komponent Outlooka; aby ją usunąć, należy odinstalować cały pakiet,
którego część stanowi Outlook, czyli Microsoft Office 2000 (lub Microsoft Office 97).
Rozdział 9.
Kwestie związane z serwerem Exchange
345
Poniżej przedstawiono uwagi końcowe dotyczące poprawki Outlook Email Security
Update:
W All Public Folders należy utworzyć folder najwyższego poziomu o nazwie
Outlook Security Settings. Outlook bada wszystkie formularze umieszczone
w tym folderze dla ustalenia ustawień zabezpieczeń dla każdego użytkownika.
Jeśli wiadomość z niebezpiecznym załącznikiem poziomu 1 zostanie przekazana
dalej (forward), to załącznik nie zostanie dołączony. Ta funkcja może być
używana w celu usunięcia wszystkich niebezpiecznych załączników z otrzymanej
wiadomości emailowej. Przesłanie wiadomości do samego siebie usuwa załącznik,
ponieważ przekazane wiadomości nie zawierają załączników.
Jeśli na stacji roboczej zainstalowano samodzielną wersję Outlooka 2000,
a następnie zostanie wykonana próba aktualizacji tego komputera do pełnej wersji
Office SR-1, instalacja poprawki Outlook Email Security Update nie powiedzie się.
Dzieje się tak, ponieważ nie uruchomiono wcześniej aktualizacji Office 2000 SR-1
Update w celu wymuszenia aktualizacji Outlooka do wersji SR-1. Dopiero po
wykonaniu tej czynności można zainstalować Outlook Email Security Update.
Jeśli poprawka zostanie instalowana dla klienta Outlook 98, a następnie odbędzie
się próba jego aktualizacji do Outlooka 2000, to zabezpieczenia nie zostaną
zaktualizowane. Konieczna jest ręczna instalacja Outlook Email Security Update
w wersji dla Outlooka 2000.
Łączenie Exchange 2000 z Internetem
przy użyciu statycznego adresu IP
Administrator może skonfigurować serwer Exchange 2000 przy użyciu statycznego adresu
IP, jaki został przyznany przez dostawcę usług internetowych. Nie jest konieczna rejestracja
nazw DNS dla tego adresu IP, ale wykonanie tej czynności i skonfigurowanie właściwych
rekordów wymiany poczty (MX) w bazie danych DNS oznacza, iż możliwe jest użycie
„przyjaznych” nazw DNS, zamiast „nieprzyjaznych” adresów IP (zobacz ramka Konfi-
guracja DNS dla poczty emailowej). Aby zarejestrować nazwę domeny, odwiedź stronę
www.nask.pl.
Konfiguracja DNS dla poczty emailowej
Poniższy przykład ilustruje sposób funkcjonowania serwera DNS w zakresie poczty elektronicznej,
a w szczególności pod względem rekordów MX. Wyobraź sobie, iż konfigurowany jest serwer pocztowy
o nazwie Orion (z serwerem Exchange) dla firmy o nazwie Caramel. W firmie działa również serwer DNS
na komputerze z Windows 2000 Server o nazwie Fantom. Zewnętrzny użytkownik Tomasz chce wysłać
dwie wiadomości emailowe do szefa firmy, którego adres to Malinowski@Caramel.com (nazwa
Malinowski została skonfigurowana na tym serwerze pocztowym jako obiekt adresata z włączoną
obsługą skrzynki pocztowej). W jaki sposób te dwa emaile odnajdą serwer pocztowy Orion, dzięki
czemu zostaną dostarczone na adres Malinowski@Caramel.com?
Odpowiedź na to pytanie może być ustalona dopiero po zrozumieniu struktury Internetu. W Sieci
umieszczone są serwery najwyższego poziomu, które znają położenie każdego serwera DNS
z informacjami o domenie *.com (co oznacza każdą nazwę domeny, która kończy się przyrostkiem
.com). Serwer pocztowy na komputerze Tomasza (zewnętrzny użytkownik wysyłający wiadomości)
zapyta serwer sieci szkieletowej o informacje dotyczące domeny Caramel.com. Serwer odpowie, iż
ta domena jest obsługiwana przez serwer domeny umieszczony pod adresem Fantom.Caramel.com.
346
Część III
Instalacja i konfiguracja Exchange 2000
Po znalezieniu serwera DNS dla domeny Caramel.com komputer Tomasza zapyta go o informacje na
temat tej domeny. Serwer nazw zainstalowany na Fantomie sprawdzi swoje rekordy zasobów i wyśle
odpowiedź do komputera Tomasza w zewnętrznej domenie. Wysłane informacje obejmują rekordy MX
i A oraz wskazują, iż wszystkie wiadomości dla domeny Caramel.com powinny być przesłane na serwer
Orion.Caramel.com. Tym razem dostarczony zostanie również adres TCP/IP tego serwera. Używając
tego adresu, Tomasz może skierować swoje wiadomości emailowe do serwera Orion.Caramel.com,
który następnie przekaże je na adres Malinowski@Caramel.com.
Obecność rekordów MX w bazie danych DNS jest wymagana, jeśli serwer ma odbierać pocztę emailową
bezpośrednio z Internetu, ponieważ informują one inne serwery pocztowe o sposobie trasowania poczty.
Rekordy MX dokonują konwersji domen, które nie wskazują żadnego konkretnego serwera, do pełnej
złożonej nazwy domeny, a także trasują wiadomości z danego serwera do innego serwera obsługującego
serwer pocztowy (na przykład, Exchange 2000).
Poniżej przedstawiono sposób tworzenia rekordu MX (wraz z powiązanym rekordem zasobu A, który
przekształca nazwę serwera pocztowego do adresu IP) w bazie danych na serwerze DNS o nazwie
Fantom. Pierwszy wiersz to wpis rekordu MX, drugi wiersz zawiera wpis dla rekordu A, który identyfikuje
adres IP serwera pocztowego Orion (którego adres IP to 192.168.10.5).
Szczegółowe informacje na temat rekordów MX znajdują się pod adresem
http://supportnet.merit.edu/m-spectop/t-dns/mx.html. Możesz również przeczytać
RFC 974, aby poznać sposób, w jaki systemy poczty internetowej trasują wiadomości
na podstawie informacji zapewnianych przez systemy DNS (co opisano w RFC 882
i RFC 883). RFC 974 jest umieszczony pod adresem www.faqs.org/rfcs974.html.
Ustawienie numerów portów TCP/IP dla firewalla
w środowisku Exchange trybu mieszanego
W czasie instalacji firewalla lub routera internetowego może wystąpić konieczność kon-
figuracji Information Store w Exchange 5.5 i usług katalogowych w celu użycia wstępnie
zdefiniowanych numerów portów TCP. Niektóre firewalle mogą mieć problemy z akcepta-
cją numerów portów TCP, jakie są wymagane przez serwer Exchange do komunikacji
RPC. W takiej sytuacji konieczne jest dodanie do konfiguracji firewalla lub listy dostępowej
portu o numerze 135, a następnie konfiguracja Exchange na pracę z portami dozwolonymi
przez firewall.
Konfiguracja portu RPC dla Information Store w Exchange 5.5 może być wykonana
przy użyciu edytora rejestru (regedit lub regedt32.exe). Aby zmienić port RPC dla usługi
katalogowej w Exchange 5.5:
1.
Uruchom edytor rejestru poprzez kliknięcie Start|Run i wpisanie
w polu Open.
2.
Przejdź do podklucza HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\MSExchangeDS\Parameters. Wybierz z menu polecenie Edit|Add Value
w sposób pokazany na rysunku 9.16.
3.
Pojawi się okno dialogowe Add Value; jako wartość DWORD podaj
i kliknij OK. W kolejnym oknie dialogowym DWORD Editor wybierz opcję
Decimal i podaj numer portu (taki jak 135). Przykład pokazano na rysunku 9.17.
Rozdział 9.
Kwestie związane z serwerem Exchange
347
Rysunek 9.16.
Dodanie
nowej wartości
do istniejącego
klucza rejestru
Rysunek 9.17.
Okno dialogowe
Add Value oraz
okno dialogowe
DWORD Editor
dla nowej wartości
rejestru
4.
Po zakończeniu zamknij edytor rejestru poprzez wybranie polecenia Registry|Exit.
Użycie kreatora Delegation of Control
do przydzielenia uprawnień
Możliwa jest delegacja kontroli nad obiektami w Windows 2000 dla niektórych użytkow-
ników, co pozwoli na wykonanie zadań administracyjnych dla tych obiektów. Do celów
delegacji kontroli nad różnymi obiektami w Windows 2000 i Exchange 2000 służy kreator
Delegation of Control Wizard. Użyj tego kreatora do przydzielenia użytkownikom lub
grupom odpowiednich uprawnień, dzięki czemu możliwe będzie utworzenie obiektów
w jednostce organizacyjnej. Możliwe jest również przydzielenie uprawnień dla użytkow-
ników, przez co uzyskają oni prawo modyfikacji uprawnień do atrybutów obiektu (na przy-
kład, prawo do zmiany haseł innych użytkowników w jednostce organizacyjnej). Aby tego
dokonać:
348
Część III
Instalacja i konfiguracja Exchange 2000
1.
Otwórz przystawkę Active Directory Users and Computers (wybierz
Start|Programs|Administrative Tools|Active Directory Users and Computers).
2.
Wybierz obiekt, dla którego chcesz przekazać kontrolę (możesz wybrać obiekt
domeny lokalizacji lub jednostki organizacyjnej). Kliknij prawym przyciskiem
myszy obiekt domeny i wybierz polecenie Delegate Control.
3.
Pojawi się okno powitalne Welcome To The Delegation Of Control Wizard.
Kliknij Next.
4.
W oknie dialogowym Users Or Groups kliknij przycisk Add, aby wybrać
użytkowników lub grupy, którym zostanie przekazana kontrola.
5.
Pojawi się okno dialogowe Select Users, Computers, Or Groups. Kliknij
użytkownika lub grupę, którym chcesz przekazać kontrolę (użyj klawisza Ctrl,
aby wybrać kilku użytkowników lub kilka grup), a następnie kliknij przycisk Add
w środkowej części okna. Kliknij OK, aby powrócić do okna Users Or Groups.
6.
Kliknij Next, dzięki czemu pojawi się okno Tasks To Delegate, które zostało pokazane
na rysunku 9.18. Tutaj możliwe jest zdefiniowanie delegowanych zadań.
Rysunek 9.18.
Ekran Tasks
To Delegate
w kreatorze
Delegation
Of Control
7.
W sekcji Delegate The Following Common Tasks zaznacz dwie opcje o nazwach
Join A Computer To The Domain (przyłącz komputer do domeny) oraz Manage
Group Policy Links (zarządzaj łączami zasad grup). Kliknij Next.
8.
Pojawi się końcowe okno kreatora Completing The Delegation Of Control Wizard.
Możesz przejrzeć tu wszystkie informacje zawarte w podsumowaniu. Kliknij
Finish, aby zakończyć pracę kreatora Delegation Of Control, po czym powrócisz
do konsoli Active Directory Users and Computers.
Ta sama procedura może być wykonana w przystawce MMC Exchange System Manager
do przydzielenia użytkownikom lub grupom ról administracyjnych dla grup administra-
cyjnych. Możliwa jest delegacja kontroli do użytkowników bez konieczności umieszczenia
ich w ważniejszych grupach, takich jak globalna grupa zabezpieczeń Domain Admins.
Rozdział 9.
Kwestie związane z serwerem Exchange
349
Delegacja kontroli może odbywać się również na poziomie organizacyjnym lub grupy
administracyjnej. Przy użyciu kreatora można przydzielić następujące uprawnienia:
Exchange Administrator — użytkownik lub grupa mogą w pełni administrować
informacjami systemowymi serwera Exchange, ale bez kontroli dostępu
do organizacji lub możliwości modyfikacji uprawnień do innych obiektów.
Exchange Full Administrator — użytkownik lub grupa mogą w pełni administrować
informacjami systemowymi serwera Exchange oraz modyfikować uprawnienia.
Exchange View Only Administrator — użytkownik lub grupa mogą przeglądać
informacje konfiguracji Exchange.
Mailbox Manager — użytkownik lub grupa mogą włączać obsługę skrzynki
pocztowej innym użytkownikom, grupom lub kontaktom; konieczne jest jednak
dodanie takiego użytkownika lub grupy również do właściwej grupy zabezpieczeń
Windows 2000, jak, na przykład, Account Operators. Ta opcja pojawia się tylko
w przypadku konfiguracji uprawnień na poziomie grupy administracyjnej.
Ograniczenie dostępu
do folderów publicznych w Outlooku 2000
Foldery publiczne mogą być utworzone przy użyciu przystawki MMC Exchange System
Manager lub programu Outlook. W obu tych przypadkach właściwości folderu publicznego
mogą być skonfigurowane w taki sposób, aby ograniczyć dostęp dla niektórych użytkow-
ników lub grup w celu delegacji uprawnień. Aby tego dokonać:
1.
Uruchom Microsoft Outlook 2000 i na liście Folders rozwiń kontener Public
Folders. Kliknij prawym przyciskiem myszy All Public Folders i wybierz polecenie
New Folder.
2.
W polu Create New Folder wprowadź nazwę
dla nowego folderu
publicznego, w polu Folder Contains wybierz Mail Items, a następnie
w wyświetlonej poniżej hierarchii folderów kliknij All Public Folders. Kliknij OK.
3.
Kliknij No, kiedy zostaniesz zapytany o chęć utworzenia skrótu dla tego folderu
publicznego w pasku narzędzi Outlooka.
4.
Kliknij prawym przyciskiem myszy nowy folder publiczny w drzewie All Public
Folders i wybierz polecenie Properties. Kliknij zakładkę Permission i przyjrzyj
się domyślnym właściwościom (zobacz rysunek 9.19).
5.
Na liście Name zaznacz konto Administrator, a następnie rozwiń listę Roles
w celu wyświetlenia ról dla tego folderu publicznego, które mogą być przydzielone
dla użytkowników lub grup:
Owner — przyznaje wszystkie uprawnienia do tego folderu, dzięki czemu
użytkownicy mogą czytać, tworzyć, modyfikować i usuwać wszystkie elementy
w tym folderze.
Publishing Editor — przyznaje użytkownikom uprawnienia do tworzenia,
modyfikacji, czytania i usuwania wszystkich elementów w tym folderze,
a także do tworzenia podfolderów.
350
Część III
Instalacja i konfiguracja Exchange 2000
Rysunek 9.19.
Zakładka
Permissions
dla nowego folderu
publicznego
w Outlooku 2000
Editor — przyznaje użytkownikom uprawnienia do tworzenia, modyfikacji,
czytania i usuwania wszystkich elementów w tym folderze.
Publishing Author — przyznaje użytkownikom uprawnienia do tworzenia
i czytania elementów w tym folderze lub do modyfikacji i usuwania utworzonych
przez nich elementów.
Author — przyznaje użytkownikom uprawnienia do tworzenia i czytania
elementów w tym folderze, a także do modyfikacji i usuwania utworzonych
przez nich elementów.
Nonediting Author — przyznaje użytkownikom uprawnienia do tworzenia
i czytania elementów w tym folderze.
Reviewer — przyznaje użytkownikom uprawnienia tylko do odczytu tego
folderu.
Contributor — przyznaje użytkownikom uprawnienia do tworzenia elementów
w tym folderze publicznym bez możliwości przeglądania jego zawartości.
None — brak jakichkolwiek uprawnień do tego folderu.
6.
Wybierz rolę Publishing Editor i przyjrzyj się opcjom dla tej roli. Zauważ także,
iż ten użytkownik może teraz edytować i usuwać wszystkie elementy. Folder może
stać się „niewidzialny” dla tego użytkownika poprzez usunięcie opcji Folder Visible.
7.
Kliknij OK, aby powrócić do ekranu Outlooka 2000.
Rozdział 9.
Kwestie związane z serwerem Exchange
351
Konwersja uniwersalnych grup dystrybucyjnych
do uniwersalnych grup zabezpieczeń w celu
zabezpieczenia dostępu do folderów publicznych
Listy dystrybucyjne były używane do kontroli dostępu do folderów publicznych w Exchange
5.5. Takie listy zostały zastąpione przez uniwersalne grupy dystrybucyjne Active Directory
w Windows 2000. Konwersją list dystrybucyjnych Exchange 5.5 zajmuje się łącznik ADC.
Choć uniwersalne grupy dystrybucyjne mogą rozwijać listy adresów emailowych podobnie
jak listy dystrybucyjne, to nie mogą być zakwalifikowane jako główny obiekt zabezpieczeń
w Windows 2000. Z tego powodu takie grupy nie mogą być użyte do przydzielania
uprawnień do folderów publicznych. Aby zabezpieczyć dostęp do folderów publicznych
w Exchange 2000, konieczne jest utworzenie uniwersalnych grup zabezpieczeń.
Uniwersalna grupa dystrybucyjna może być przekonwertowana do uniwersalnej grupy
zabezpieczeń, tylko jeśli domena Windows 2000 działa w trybie macierzystym. Istnieją
pewne warunki, które umożliwiają taką konwersję grup w celu zapewnienia dostępu do
folderów publicznych:
Jeśli folder publiczny Exchange 5.5 jest replikowany do Exchange 2000, a lista
ACL tego folderu wykorzystuje uniwersalną grupę dystrybucyjną, to łącznik ADC
tworzy tymczasową uniwersalną grupę dystrybucyjną w Windows 2000 przed jej
konwersją do uniwersalnej grupy zabezpieczeń.
Jeśli aktualizowany jest magazyn folderów publicznych Exchange 5.5, a lista ACL
tego obiektu wykorzystuje uniwersalną grupę dystrybucyjną, to magazyn folderów
publicznych Exchange 2000 dokona konwersji wszystkich uniwersalnych grup
dystrybucyjnych, jakie zostaną utworzone przez ADC, do uniwersalnych grup
zabezpieczeń.
Jeśli do listy ACL folderu publicznego w Exchange 2000 zostanie dodana
uniwersalna grupa dystrybucyjna, to magazyn folderów publicznych przekonwertuje
tę grupę do uniwersalnej grupy zabezpieczeń.
Jeśli uniwersalna grupa dystrybucyjna nie zostanie przekonwertowana do uniwersalnej
grupy zabezpieczeń (gdy proces konwersji nie powiódł się), magazyn folderów publicznych
Exchange 2000 będzie próbował powtórzyć ten proces, kiedy jakiś użytkownik spróbuje
uzyskać dostęp do folderu. Może się to zdarzyć, jeśli uniwersalna grupa dystrybucyjna działa
w domenie Windows 2000 trybu mieszanego. Administrator może natknąć się w Ex-
change 2000 na problemy, jeśli uniwersalna grupa dystrybucyjna została przekonwertowana
do uniwersalnej grupy zabezpieczeń, a następnie ręcznie przekształcona z powrotem do
grupy dystrybucyjnej. Kiedy użytkownik spróbuje uzyskać dostęp do tego folderu publicz-
nego, to tym razem uniwersalna grupa dystrybucyjna nie zostanie automatycznie prze-
konwertowana do grupy zabezpieczeń. W tym celu należy zmienić odpowiednie upraw-
nienia grupy dystrybucyjnej.
Magazyn folderów publicznych nie dokona konwersji uniwersalnej grupy dystrybucyjnej,
która została dodana do istniejącej uniwersalnej grupy zabezpieczeń.
352
Część III
Instalacja i konfiguracja Exchange 2000
Instalacja łącznika ADC z umową połączenia
w środowisku Exchange trybu mieszanego
W czasie migracji do Exchange 2000 bardzo ważna jest konsolidacja dwóch elementów
— skrzynki pocztowej Exchange 5.5 i jej głównego konta Windows NT 4 — w jeden
obiekt użytkownika z włączoną obsługą poczty lub skrzynki pocztowej w Windows 2000.
Przed wdrożeniem pierwszego serwera Exchange 2000 w bazie danych Active Directory
należy umieścić obiekty użytkowników z Exchange 5.5. Jest to konieczne, ponieważ Ex-
change 2000 nie ma bezpośredniego dostępu do bazy danych katalogu Exchange 5.5. Aby
migracja systemu powiodła się, należy zapewnić wzajemną synchronizację między katalo-
giem Exchange 5.5 i Active Directory w Windows 2000.
Aby tego dokonać, konieczna jest instalacja i konfiguracja łącznika ADC z Exchange 2000.
Łącznik będzie wymagany aż do momentu aktualizacji wszystkich serwerów Exchange 5.5
do Exchange 2000. Od tej chwili organizacja z Exchange 2000 będzie działała w trybie ma-
cierzystym.
Aby zainstalować łącznik ADC z Exchange 2000, należy spełnić następujące wymagania:
Łącznik ADC jest instalowany na serwerze członkowskim z Windows 2000
i Exchange 2000. Konieczna jest również instalacja zestawu SP-1 dla Windows
2000 Server.
Konto Windows 2000 używane do instalacji łącznika ADC nie jest kontem usługi
Exchange 5.5, ale musi być zalogowane w tej samej domenie, co serwer Exchange.
Konto używane do instalacji łącznika ADC musi mieć uprawnienia Exchange 2000
Enterprise Admins do serwera członkowskiego, a także prawa Domain Admins
do wszystkich domen, z którymi będzie się łączył ADC. To konto wymaga również
uprawnień Server Operator dla serwera Exchange 5.5.
Konieczne jest wdrożenie wszystkich niezbędnych usług Windows 2000 i DNS,
włączając w to funkcję dynamicznej aktualizacji DNS.
Docelowy punkt końcowy ADC powinien zawierać serwer Exchange 5.5 z zestawem
poprawek SP-3.
Aby zainstalować i skonfigurować łącznik ADC:
1.
Umieść płytę instalacyjną Exchange 2000 w napędzie CD-ROM i kliknij Start|Run.
W oknie dialogowym Open podaj ścieżkę do pliku wykonywalnego ADC na płycie,
wpisując następujące polecenie (podaj literę dysku dla napędu CD):
NKVGTCAF[UMW !"#$%&$$
2.
Kliknij OK, aby kontynuować.
3.
Kiedy pojawi się ekran powitalny Active Directory Connector Setup Wizard,
kliknij Next. Na kolejnym ekranie Component Selection wybierz opcje
Microsoft Active Directory Connector Service Component i Microsoft Active
Directory Connector Management Components, a następnie kliknij Next
(zobacz rysunek 9.20).
Rozdział 9.
Kwestie związane z serwerem Exchange
353
Rysunek 9.20.
Ekran wyboru
komponentów
w kreatorze
Active Directory
Connection
Setup Wizard
4.
Na ekranie Install Location zaakceptuj domyślne położenie ADC (C:\Program
Files\MSADC) i kliknij Next.
5.
Na ekranie Service Account podaj nazwę użytkownika i hasło, jakie będzie
używane do uruchomienia łącznika ADC. Kliknij Next.
6.
Na kolejnym ekranie pojawi się pasek postępu instalacji łącznika ADC. Jest to
dowód aktualizacji schematu Windows 2000. Po zakończeniu tego etapu instalacji
pojawi się końcowe okno Completing The Active Directory Connector Installation
Wizard. Kliknij Finish.
7.
Otwórz narzędzie ADC poprzez wybranie Start|Programs|Microsoft
Exchange|Active Directory Connector. Pojawi się konsola Active Directory
Connector Management.
8.
Kliknij prawym przyciskiem myszy łącznik ADC w panelu po lewej stronie konsoli
i wybierz polecenie New|Connection Agreement. Pojawi się ekran Properties.
9.
W polu Name zakładki General wpisz nazwę
i kliknij opcję Two-way
(replikacja dwukierunkowa) w sekcji Replication Direction (zobacz rysunek 9.21).
Wybranie tej opcji spowoduje wyświetlenie nowego okna komunikatu, w którym
należy podać konto Windows 2000 z uprawnieniami do zapisu w katalogu Exchange
5.5. Kliknij OK.
10.
Wybierz zakładkę Connections i sprawdź, czy w polu Windows Server
Information znajduje się właściwy serwer, oraz czy wybrany sposób
uwierzytelniania (Authentication) to Windows Challenge/Response.
11.
W sekcji Connect As kliknij Modify. Pojawi się okno dialogowe Connect As
(Windows Server). Wpisz nazwę konta Administrator i podaj hasło administratora.
Kliknij OK.
12.
W sekcji Exchange Server Information w zakładce Connections podaj nazwę
serwera Exchange 5.5 i zmień numer portu na
(nie 389).
354
Część III
Instalacja i konfiguracja Exchange 2000
Rysunek 9.21.
Ekran właściwości
dla nowej umowy
połączenia ADC
13.
W sekcji Connect As kliknij ponownie Modify. W kolejnym oknie dialogowym
Connect As (Exchange Server) wpisz
i podaj hasło administratora
Exchange. Kliknij OK.
14.
Wybierz zakładkę Schedule i wybierz przełącznik Always (zawsze) jako terminarz
replikacji. Zaznacz również opcję Replicate The Entire Directory The Next Time
The Agreement Is Run (wykonaj replikację całego katalogu, kiedy umowa zostanie
następnym razem uruchomiona).
Ostatnia część procedury instalacji i konfiguracji łącznika ADC jest związana z wyborem
kontenerów, które będą źródłem i miejscem docelowym dla replikacji obiektów. Aby tego
dokonać:
1.
W zakładce From Exchange kliknij Add, aby wybrać kontener Recipient, z którego
pobierane będą aktualizacje obiektów. Kiedy pojawi się okno dialogowe Choose
A Container, przejdź do serwera Exchange 5.5 i wybierz kontener Recipients.
Kliknij OK.
2.
Kliknij Modify w sekcji Default Destination (domyślne miejsce docelowe),
a następnie wybierz Users Container w oknie dialogowym Choose A Container.
Przejdź do zakładki From Windows.
3.
Kliknij Add, aby wybrać kontener jednostki organizacyjnej, z którego będą
pobierane aktualizacje. Kiedy pojawi się okno dialogowe Choose A Container,
zaznacz jednostkę organizacyjną Users i kliknij OK.
4.
Kliknij Modify w sekcji Default Destination, a następnie wybierz kontener
Recipients w oknie dialogowym Choose A Container. Kliknij OK. Na dole
okna zaznacz również opcję Replicate Secured Active Directory Objects To The
Exchange Directory (replikuj zabezpieczone obiekty Active Directory do katalogu
Exchange) i kliknij OK po raz ostatni.
Rozdział 9.
Kwestie związane z serwerem Exchange
355
W tym momencie łącznik ADC jest już zainstalowany i skonfigurowany. Być może
pojawią się okna dialogowe potwierdzające następujące kwestie (potwierdź je, klikając OK):
Pierwsze okno dialogowe informuje, iż jest to pierwsza umowa połączenia
w organizacji.
Kolejne okno dialogowe informuje, iż domena Windows 2000 działa w trybie
mieszanym.
Ostatnie okno dialogowe informuje, że Exchange 2000 utworzył uniwersalne
grupy zabezpieczeń dla ADC.
Skonfigurowana umowa połączenia umożliwia replikację obiektów użytkowników między
katalogiem Exchange 5.5 i Active Directory poprzez utworzenie wyłączonych kont Windows
2000 dla każdej skrzynki pocztowej Exchange 5.5, która nie jest powiązana z obiektem
Active Directory. Po zakończeniu tej procedury możesz zamknąć konsolę ADC Mana-
gement (lub adcadmin.exe).
Wyszukiwarka
Podobne podstrony:
Exchange 2000 NET Server Czarna ksiega ex20bb
Exchange 2000 NET Server Czarna ksiega ex20bb
Exchange 2000 NET Server Czarna ksiega 2
Exchange 2000 NET Server Czarna ksiega
Exchange 2000NET Server Czarna ksiega
Visual Studio NET NET Framework Czarna ksiega 2
Windows 2000 TCP IP Czarna ksiega wtcpbb
Windows 2000 TCP IP Czarna ksiega
Visual Studio NET NET Framework Czarna ksiega vsnetb
Visual Studio NET NET Framework Czarna ksiega vsnetb
Windows 2000 TCP IP Czarna ksiega 3
Visual Studio NET NET Framework Czarna ksiega vsnetb
Windows 2000 TCP IP Czarna ksiega wtcpbb
Visual Studio NET NET Framework Czarna ksiega
Visual Studio NET NET Framework Czarna ksiega vsnetb
Visual Studio NET NET Framework Czarna księga
Windows 2000 Server Architektura i implementacja Czarna ksiega w20abb
Windows 2000 Server Architektura i implementacja Czarna ksiega w20abb
Windows 2000 Server Architektura i implementacja Czarna ksiega 3
więcej podobnych podstron