В Exchange 2013 с пакетом обновления 1 снова появилась роль пограничного транспортного сервера. Это прекрасно, однако вы не получите графического интерфейса управления и будете вынуждены работать с сервером с использованием PowerShell (даже в накопительном пакете CU7). Это само по себе не радует, но гораздо важнее понять, сможет ли роль пограничного транспортного сервера Exchange 2013 выполнять необходимую очистку почты. Возможно и так, однако специализированное устройство для защиты электронной почты все же справится лучше.
Выпуская Exchange 2013 RTM, программисты Microsoft забыли дополнить готовый для развертывания пакет ролью пограничного транспортного сервера (ET). Впрочем, возможно, от роли пограничного транспортного сервера отказались преднамеренно. Так или иначе, потребителям сообщили, что они могут продолжать использовать пограничные транспортные серверы Exchange 2010, и все будет в порядке. Так оно и было (если не обращать внимания на жалобы).
В Exchange 2013 SP1 нам вернули роль пограничного транспортного сервера. За исключением потери функций антивирусной проверки, в новой версии обеспечены функции Exchange 2010 на базе программного кода Exchange 2013. Антивирусная проверка отныне выполняется почтовым сервером Exchange 2013. Однако средств борьбы со зловредными программами в сервере почтовых ящиков может оказаться недостаточно для нужд вашей компании. В этом случае можно попытаться развернуть специализированное антивирусное устройство или пропустить входящий поток почты через «облачную» службу анти-спама.
Важное отличие, на котором стоит остановиться, — отсутствие графического интерфейса у обновленного сервера (дополнительные сведения о настройке пограничного транспортного сервера Exchange 2013 можно найти в блоге MVP по адресу www.jaapwesselius.com/2014/06/01/exchange-2013-sp1-edge-transport-server/). Управлять необходимо через PowerShell, что довело некоторых администраторов почти до нервного срыва. В появившихся с тех пор трех накопительных пакетах обновлений не было сделано никаких шагов в сторону графического интерфейса, поэтому командная строка остается единственным вариантом.
Очевидно, что у задержки с поставками пограничного транспортного сервера Exchange 2013 две причины. Во-первых, Microsoft надо было выяснить, нужен ли кому-нибудь этот компонент. Во-вторых, требуется решить, как заменить консоль управления Exchange (EMC) на основе MMC, используемую в Exchange 2010, не задействуя всех элементов IIS, необходимых для работы центра администрирования Exchange 2013 (EAC). Вам не нужен полностью настроенный и функциональный сервер, размещенный вне демилитаризованной зоны, не так ли? Если, конечно, вы не собираетесь открыть хакерам все ворота.
Соответственно, Exchange 2013 ET функционирует как специализированное устройство, а для настройки соединения между ним и организацией Exchange, с которой предстоит установить связь, требуется PowerShell. Мне приходилось слышать мнение, что администраторам не нравится PowerShell, но это не всегда так. Если специалисты, работающие с Exchange, не могут открыть PowerShell и ввести несколько команд, им стоит подумать о смене рода деятельности. Возможно, им лучше заняться миграцией на Office 365, — я слышал, это очень перспективная область.
Да, синтаксис PowerShell порой необычный, если не сказать странный. Да, это возврат к временам, когда господствовали интерфейсы управления командной строки. И нет, вы не подхватите микроба Linux, погружаясь слишком глубоко в PowerShell. Кроме того, настройка пограничного транспортного сервера — разовая операция, которая займет не более часа вместе с созданием подписки Edgesync (http://technet.microsoft.com/en-us/library/bb232177(v=exchg.141).aspx). Полагаю, один час работы с PowerShell по силам почти каждому специалисту.
Шумиха вокруг отсутствия графического интерфейса ничего не стоит, если вспомнить, в чем состоит значение Exchange 2013 ET. Гораздо важнее понять, существует ли по-прежнему потребность в этой серверной роли? Как выясняется, пограничный транспортный сервер в некоторых случаях все еще необходим.
Самая очевидная причина в том, что наличие пограничного транспортного сервера Exchange 2013 позволяет компании запускать одну версию Exchange для всех серверных ролей. Это не принципиально, но, как правило, предпочтительно иметь везде одну и ту же версию любого программного продукта.
Другая причина — ощущение удовлетворенности от того, что все элементы системы электронной почты происходят из одного источника. Учитывая, что сегодня вместе с Exchange широко используются аппаратные устройства (такие как балансировщики нагрузки), это довод не очень веский, но, как ни странно, он значим в некоторых случаях.
Третья причина состоит в том, что некоторые компании используют пограничные транспортные серверы между серверами Exchange и другими почтовыми серверами в компании, в том числе в гибридной организации, где почтовые сообщения пересылаются в Office 365 (http://community.office365.com/en-us/blogs/office_365_community_blog/archive/2012/01/16/hybrid-deployments-configuring-edge-transport-servers.aspx).
Кроме того, роль пограничного транспортного сервера располагает средствами фильтрации получаемых сообщений, в которых используется информация о пользователях, содержащаяся в Active Directory и синхронизируемая с пограничным сервером через подписку в организации Exchange.
Очевидно, это самые распространенные причины, но наверняка существуют и другие. Полагаю, мне на них укажут.
Однако все эти причины ничего не будут значить, если Microsoft не сможет предоставить пограничный транспортный сервер с функциональными возможностями, необходимыми потребителям. Компания отступила от своей приверженности локальным продуктам безопасности, «выбросив за борт» TMG и UAG, чтобы сосредоточиться на «облачных» службах безопасности, таких как Exchange Online Protection (служба EOP — необходима для Office 365, office.microsoft.com/en-us/exchange/microsoft-exchange-online-protection-email-filter-and-anti-spam-protection-email-security-email-spam-FX103763969.aspx). Не является ли запоздалое появление пограничного транспортного сервера Exchange еще одним признаком того, что это очередной продукт безопасности, выпуск которого будет прекращен? Я не утверждаю, что это произойдет, но мне приходилось слышать такие мнения. Несомненно, из этой информации не стоит делать далеко идущие выводы.
Вероятно, самый актуальный вопрос: существует ли альтернатива? Поставщики, специализирующиеся на таких устройствах, как Cisco IronPort (www.ironport.com/index.html) и Barracuda (www.barracuda.com/products/spamfirewall), заявят, что их решения более экономичны и лучше справляются с задачей очистки почтового потока, хотя и без синхронизации информации Active Directory и списков безопасности, как в ET. Эти продукты очень полезны и заслуживают внимания в качестве серверов-бастионов.
Однако зачем вообще обновлять пограничные транспортные серверы Exchange 2010? Ведь они совместимы с Exchange 2013. Один из ответов: версия Exchange 2013 располагает таким же базовым программным кодом, как и другие серверные роли Exchange 2013. Главное, что можно установить пограничный транспортный сервер Exchange 2013 на Windows 2012 R2. А поскольку это новый программный продукт, то срок его поддержки будет более длительным. Признаю, что эти причины не выглядят очень убедительными.
Обратите внимание, что пограничные транспортные серверы Exchange 2013 можно использовать с инфраструктурой Exchange 2010, если серверы Exchange 2010 представлены SP3 RU5 или более новыми версиями.
Пограничные транспортные серверы Exchange 2013 выполняют задачу, для которой они были спроектированы, и это не основная линия защиты от вирусов и других зловредных программ (но спам блокируется). Нужно отметить, что только роль хранилища почтовых ящиков Exchange 2013 располагает механизмом противодействия зловредным программам (с ограниченными возможностями). Несмотря на это функции новейшей версии ET могут вполне соответствовать вашим нуждам. Если это так, вам понравится, что роль возвращена в Exchange 2013 SP1. С другой стороны, существует еще варианты, с которыми полезно познакомиться, прежде чем делать выбор.