Административные группы служат для объединения почтовых хранилищ, системных политик, групп маршрутизации, серверов в единую точку управления.
Руководствуясь результатами обследования, для каждого домена в структуре AD создается отдельная Административная Группа. Права управления объектами, содержащимися в административной группе, делегируются членам группы Domain Admins текущего домена. В дальнейшем, на местах, администраторы могут самостоятельно изменить группу (добавить группу) управляющую выделенной административной группой.
Название группы
Управляется
Ассоциированный домен
ENT1 Administrative Group 1
COMPANY\RootAdmin
ENT1\Domain Admins
ENT1.company
5.1.1 Серверы
В каждой из Административных Групп присутствует набор из трех серверов. Первый является Front-End сервером, выполняющим так же функции Bridgehead-сервера. Второй и третий образуют кластер, представляющий два виртуальных Back-end сервера.
Сервисы Разбиение по серверам В приведенной таблице представлен перечень сервисов, необходимых для корректного функционирования серверов Почтовой Системы, с разбиением по типу сервера:
Сервис
Комментарий
Режим функционирования
Front-End
Back-End
Microsoft Exchange Routing Engine
Сервис необходим для функционирования маршрутизации
Automatic
Automatic
IPSec Services
Обеспечивает e безопасность end - to - end соединений и применение IPSec политик для back - End сервера
Automatic
Automatic
IIS Admin Service
Сервис необходим для функционирования Microsoft Exchange Routing Engine
Automatic
Automatic
World Wide Web Publishing Service
Сервис необходим для обеспечения доступа к ресурсам сервера клиентов OWA и OMA .
Automatic
Automatic
Microsoft Exchange IMAP 4
Сервис необходим для обеспечения доступа по протоколу IMAP 4.
Disabled
Disabled
Microsoft Exchange Information Store
Сервис необходим при наличии на сервере пользовательских почтовых ящиков либо общих папок
Disabled
Automatic
Microsoft Exchange POP3
Сервис необходим для обеспечения доступа по протоколу POP 3.
Disabled
Disabled
Microsoft Search
Сервис является механизмом индексации баз данных для полнотекстового поиска.
Disabled
Automatic
Microsoft Exchange Event Service
Сервис необходим только для совместимости с предыдущими версиями Exchange .
Disabled
Disabled
Microsoft Exchange Site Replication Service
Сервис необходим только для совместимости с предыдущими версиями Exchange .
Disabled
Disabled
Microsoft Exchange Management
Сервис позволяет проводить аудит проходящих через почтовую систему сообщений и в рабочем режиме не используется.
Disabled
Automatic
Microsoft Exchange MTA Stacks
Сервис необходим только для совместимости с предыдущими версиями Exchange и для работы X .400 коннектора.
Disabled
Disabled
RPC Locator
Сервис, обеспечивавший взаимодействие с контроллерами доменов. В настоящее время не используется.
Disabled
Disabled
SMTP
Сервис необходим для обеспечения доступа по протоколу POP 3, а так же для передачи сообщений между серверами внутри организации.
Automatic
Automatic
NNTP
Сервис необходим для функционирования групп новостей.
Disabled
Disabled
Windows Management Instrumentation
Сервис WMI
Disabled
Automatic
Exchange System Attendant
Сервис необходим для администрирования, управления Exchange и сопровождения некоторых функций (например, сервиса SMTP ).
Automatic
Automatic
NTLM Security Support Provider
Сервис NTLM
Disabled
Automatic
Репликация общих папок
Основная информация конфигурации организации Exchange реплицируется на уровне AD и была проработана этапе планирования AD.
В то же время, существует информация, которая реплицируется самими серверами организации Exchange, например общие папки.
В данном случае, при отсутствии групп маршрутизации (кроме группы по умолчанию), достаточно установок Exchange по умолчанию (а именно репликация по изменению).
5.1.2 Группы хранения
Для обеспечения отказоустойчивости, гибкости управления, а так же возможности применения различных политик, целесообразно сгруппировать пользовательские почтовые ящики в раздельные группы хранения.
Для каждой из Административных Групп указанных в проекте предусмотрено создание трех групп хранения (storage groups).
Группа хранения
Описание
Office Storage Group
Группа для хранения почтовых ящиков сотрудников офиса.
VIP Storage Group
Группа для хранения почтовых ящиков дирекции и сотрудников ИТ департамента
Guest Storage Group
Группа для хранения почтовых ящиков гостей организации и сторонних разработчиков
В каждой из этих групп хранения создается по одному хранилищу почтовых ящиков.
5.1.3 Протоколы
Для каждого из используемых почтовым сервером протоколов программа установки Microsoft Exchange разворачивает виртуальный сервер. В таблице приведен перечень этих виртуальных серверов и указанно состояние (активен/отключен) для Front-end и Back-End серверов.
Функция
Протокол
Статус
Описание
Front-end
HTTP
Активен
Используется для поддержки OWA и OMA
IMAP4
Отключен
Используется для удаленного доступа к содержимому почтового ящика по протоколу IMAP 4
NNTP
Отключен
Протокол новостных групп, не используется
POP3
Отключен
Протокол выгрузки содержимого почтового ящика на клиентскую машину. Отключен.
SMTP
Активен
Протокол обмена сообщениями
X .400
Отключен
Протокол обмена сообщениями. Отключен.
Back-end
HTTP
Отключен
Не используется.
IMAP4
Отключен
Не используется.
NNTP
Отключен
Не используется.
POP3
Отключен
Не используется.
SMTP
Активен
Используется для связей с серверами организации.
X.400
Отключен
Не используется.
SMTP
Протокол SMTP, а именно его расширение ESMTP, является основным транспортом в Почтовой Системе Exchange.
Сервера Организации используют SMTP для передачи корреспонденции и репликации общих папок. С другой стороны, этот протокол так же может использоваться пользователями для отправки почтовых сообщений и для приема корреспонденции от внешних адресатов.
Для SMTP соединений вводятся следующие ограничения: • Фильтрация соединений (установки Global Settings) • Запрет пересылки
Виртуальные серверы SMTP функционируют на всех серверах Exchange.
Pop3, IMAP4
Виртуальные серверы pop3 и imap4 по умолчанию отключены из соображений безопасности. В случае необходимости, они могут быть активированы (с запуском соответствующих сервисов). В таком случае, доступ к серверам должен быть разрешен только по SSL/TLS шифрованному соединению.
HTTP(s), Outlook Web Access (OWA, OMA)
Front-end сервера конфигурируются для обеспечения доступа к почтовым ящикам через WEB интерфейс OWA. Для этого на серверах активируются сервисы IIS со следующими параметрами для Default Web Site:
• Запрещен анонимный вход • Аутентификация: o Integrated Windows o Basic • Требуется SSL o Требуется 128-битное шифрование
Для обеспечения SSL соединений IIS серверам должны быть выданы сертификаты центром сертификации.
RPC over HTTP(s)
По аналогии с доступом по HTTPS, IIS серверы также обеспечивают доступ по RPC, выполняя роль RPC proxy.
Для корректного функционирования RPC over HTTPS серверы и клиенты должны удовлетворять следующим требованиям:
Серверы
MS Exchange 2003 + SP1
Поддержка RPC proxy
Поддержка SSL
Клиенты
MS Outlook 2003
Пакет обновления RPC для MS Outlook
5.1.4 Системные политики
В каждой Административной Группе должен быть активирован контейнер системных политик. Системные политики позволяют облегчить управление серверами, хранилищами сообщений и общими папками.
В контейнере системных политик каждой Административной Группы создаются следующие политики:
Политика
Раздел политики
Функции
Public Store Policy
General
Описывает связи с хранилищем и свойства передачи текста
Database
Устанавливает интервал обслуживания
Replication
Расписание и параметры репликации
Limits
Ограничения на размеры элемента хранения и предпринимаемы действия
Full-text Indexing
Расписание проведения индексирования базы для ускорения поиска
Mailbox Store Policy
General
Позволяет выбрать сервис общих папок и адресную книгу.
Описывает свойства передачи текста
Database
Устанавливает интервал обслуживания
Limits
Ограничения на размеры элемента хранения и предпринимаемы действия
Full-text Indexing
Расписание проведения индексирования базы для ускорения поиска
Server Policy
General
Устанавливает параметры журналирования и отслеживания.
В рамках проекта каждая политика создается с полным набором параметров. В дальнейшем, при возникновении необходимости дифференцировать политики для различных объектов внутри Административной Группы, возможно разнесение части разделов политики и создание новых политик со своими наборами разделов.
5.1.5 Группы маршрутизации
В контейнере Routing Groups создается одна группа маршрутизации (группа по умолчанию), объединяющая три сервера.
Коннекторы В случае необходимости обеспечения более четкой маршрутизации сообщений, либо обмена сообщениями с другими почтовыми системами, будет использован механизм коннекторов.
Имеющиеся группы серверов обеспечивают автоматическую маршрутизацию сообщений в рамках Почтовой Организации.