Установленный сервер Microsoft Exchange Server 2007 не будет полностью функциональным, если не настроить его конфигурацию. Задачи настройки существенно различаются в зависимости от организации Exchange Server (например, от числа серверов и задач, выполняемых серверами) и ролей, установленных на сервере.

Вместо анализа всех возможных параметров в данной статье акцент сделан на общих задачах настройки и начальной наладке наиболее широко используемых серверных ролей Mailbox, Client Access и Hub Transport. Список задач приведен во врезке «Этапы настройки сервера Exchange 2007».

Общие задачи настройки

Одна из чрезвычайно полезных особенностей Exchange 2007 заключается в том, что администратору не приходится гадать о задачах настройки, которые следует выполнить после установки. Список послеустановочных задач развертывания легко найти, открыв консоль Exchange Management Console и щелкнув на контейнере Microsoft Exchange, чтобы увидеть окно Exchange Server 2007 Finalize Deployment. Как показано на экране 1, большинство задач организовано по серверным ролям. Однако первые две задачи в списке применяются ко всем серверам Exchange 2007, независимо от присвоенных им ролей.

Экран 1. Просмотр задач по настройке в Exchange Management Console

Ввод ключа продукта. Первая задача настройки для всех серверов Exchange 2007 — ввод ключа продукта, но эту задачу рекомендуется отложить на более позднее время. Exchange 2007 будет полноценно работать без ключа продукта в течение 120 дней. Сообщение о числе дней, оставшихся до обязательного ввода ключа продукта, выдается каждый раз, когда пользователь открывает консоль управления Exchange Management Console. Обычно продукты Microsoft можно активировать лишь определенное число раз; в Exchange 2007 нет истинной активации, но используется аналогичная оперативная процедура. Отложив ввод ключа продукта на более поздний срок, администратор сможет устранить неполадки, не предпринимая попыток активации, если придется переустанавливать Exchange или переносить Exchange на другое аппаратное оборудование.

Запуск анализатора ExBPA. Следующая задача в списке — запуск анализатора Exchange Server Best Practices Analyzer (ExBPA), с помощью которого можно проверить, настроен ли сервер Exchange на оптимальный режим в плане производительности и безопасности. ExBPA входит в состав Exchange 2007, но его можно загрузить отдельно с сайта Microsoft (http://www.microsoft.com/downloads/details.aspx?FamilyID=dbab201f-4bee-4943-ac22e2ddbd258df3). Как показано на экране 2, с помощью анализатора ExBPA можно даже проверить готовность существующей организации и сетевой инфраструктуры к установке Exchange 2007.

Экран 2. Проверка на готовность к Exchange 2007 с помощью ExBPA

Компания Microsoft рекомендует запускать ExBPA сразу же после установки. В отчете ExBPA могут содержаться сведения о слишком многих недостатках; отчасти это объясняется тем, что сервер еще окончательно не настроен. Отчет может пригодиться в процессе настройки. Дополнительные сведения о применении ExBPA для настройки Exchange приведены в статье «Аналитический инструмент ExBPA», опубликованной в Windows IT Pro/RE № 1 за 2005 г. После завершения настройки сервера можно вновь запустить ExBPA, чтобы убедиться в отсутствии каких-либо недостатков.

Настройка сервера почтовых ящиков

Первая задача для сервера почтовых ящиков — настроить распространение автономной адресной книги (Offline Address Book, OAB) для клиентов Microsoft Office Outlook 2007. Через Web можно разместить OAB на сервере клиентского доступа и послать адресную книгу любому клиенту Outlook 2007, подключенному к Internet.

Если в организации есть сервер клиентского доступа, то для распространения OAB через Web нужно перейти по древовидной структуре в консоли Exchange Management Console к узлу Organization ConfigurationMailbox. Там следует щелкнуть на контейнере Mailbox, а затем на вкладке Offline Address Book, чтобы показать ссылку на адресную книгу, выбираемую по умолчанию. Щелкните на ссылке правой кнопкой мыши и выберите пункт Properties из контекстного меню. В списке Properties нужно выбрать вкладку Distribution и установить флажок Enable Web-based distribution. Далее следует нажать кнопку Add и выбрать виртуальный каталог OAB. Виртуальный каталог OAB формируется автоматически при развертывании сервера клиентского доступа.

Последний шаг процедуры — связать URL с виртуальным каталогом OAB, чтобы клиенты Outlook 2007 могли обращаться к адресной книге. Перейдите по древовидной структуре консоли к Server ConfigurationClient Access. По щелчку на контейнере Client Access в панели подробностей отображается список серверов клиентского доступа. Выберите сервер, на котором размещается виртуальный каталог OAB, и в нижней половине панели появится несколько вкладок для этого сервера. Необходимо перейти на вкладку Offline Address Book Distribution, чтобы увидеть список URL-адресов OAB. Щелкните на URL правой кнопкой мыши и выберите пункт Properties из контекстного меню. В списке OAB Properties нужно выбрать вкладку URLs, в которой уже содержится внутренний URL. Следует ввести внешний URL, с помощью которого клиенты Outlook 2007 смогут обращаться к OAB.

Клиенты Microsoft Office Outlook 2003 и более ранних версий не могут обращаться к OAB с использованием Web-ссылки. Для этих клиентов необходимо создать общую папку и разместить в ней OAB. Предполагается, что на сервере уже есть общая папка; если ее нет, то инструкции по созданию папки можно получить, пройдя по ссылке Configure Offline Address Book (OAB) distribution for Outlook 2003 and earlier clients в списке задач.

Затем нужно пройти по древовидной структуре в консоли к Organization ConfigurationMailbox и выбрать вкладку Offline Address Book в панели подробностей. Щелкните правой кнопкой мыши на Default Offline Address List и выберите пункт Properties из контекстного меню. В списке Default Offline Address List Properties следует перейти на вкладку Distribution. Выберите тип унаследованных клиентов, которые необходимо поддерживать (экран 3), а затем установите флажок Enable public folder distribution.

Экран 3. Настройка Offline Address Book для унаследованных клиентов

Настройка сервера клиентского доступа

В разделе клиентского доступа списка послеустановочных задач содержатся две задачи: настройки шифрования Secure Sockets Layer (SSL) и настройки Exchange ActiveSync (EAS). Однако иногда, при определенной настройке организации Exchange, выполнять эти задачи необязательно.

Настройка шифрования SSL. Сертификат SSL необходим для шифрования при подключении клиента Microsoft Outlook Web Access (OWA) к серверу клиентского доступа. Сертификат SSL не требуется только при переносе SSL-шифрования на другое устройство в целях экономии ресурсов сервера Exchange.

К счастью, Exchange 2007 обеспечивает гибкий выбор типов сертификата. Можно использовать самозаверяющие сертификаты Exchange 2007, купить SSL-сертификат в центре сертификатов (Certificate Authority, CA) или получить сертификат из центра сертификатов инфраструктуры общего ключа (PKI). Самозаверяющие сертификаты хороши тем, что они бесплатны и удобны для развертывания. Однако источнику самозаверяющих сертификатов доверяют только внутри организации. Доверие к сертификату из коммерческого центра сертификатов выше, но и стоимость его будет совсем другой.

Самозаверяющий сертификат необходимо генерировать с помощью команды New-ExchangeCertificate оболочки Exchange Management Shell:

New-ExchangeCertificate -GenerateRequest `

–domainname `

–FriendlyName `

–privatekeyexportable:$true `

–path c:cert_myserver.txt

В предыдущей команде yourdomain.com заменяется на имя домена. Можно ввести несколько доменов, разделенных запятыми. FriendlyName — имя генерируемого сертификата, выводимое на экран; в нем не должно быть более 64 символов. На экране 4 приведен образец команды и ее результатов.

Экран 4. Запуск команды New-ExchangeCertificate для запроса сертификата

Независимо от способа приобретения SSL-сертификата, процедура его установки в основном одинакова. Откройте оболочку Exchange Management Shell и введите следующую команду, в которой c: ewcert.cer — путь и имя файла для импортируемого сертификата:

Import-ExchangeCertificate `

–path c: ewcert.cer

Затем следует скопировать отпечаток (или дайджест) данных сертификата в буфер обмена с помощью команды

Dir certLocalMachineMy |fl

Если отображается несколько сертификатов, следует выбрать подходящий сертификат по описательному имени. Затем используйте информацию из буфера обмена, чтобы активировать сертификат на Web-узле по умолчанию с помощью команды

Enable-ExchangeCertificate -thumbprint `

`

–services «IIS,IMAP,POP»

Последний этап процесса — убедиться, что Microsoft IIS настроен на SSL-шифрование виртуальных каталогов. Выберите диспетчер Internet Information Services (IIS) Manager из меню Administrative Tools. В древовидной структуре IIS Manager следует перейти к Web-узлу Default и развернуть контейнер, чтобы показать список виртуальных каталогов в Web-узле по умолчанию. Щелкните правой кнопкой мыши на каждом из этих каталогов и выберите пункт Properties из контекстного меню. В списке Properties нужно щелкнуть на вкладке Directory Security, а затем открыть диалоговое окно Secure Communications с помощью команды Edit из раздела Secure Communications. Установите флажки Require Secure Channel и Require 128-Bit Encryption. Дважды щелкните на кнопке OK и перейдите к следующему виртуальному каталогу. После этой операции требуется перезапустить службы POP3 и IMAP.

Настройка EAS. Необходимость в настройке EAS возникает только в том случае, если часть пользователей в организации отправляют и принимают электронную почту с помощью мобильных устройств. В данной статье предполагается, что все мобильные пользователи работают с устройствами Windows Mobile 5.0; более старые версии не поддерживаются.

Прежде всего нужно создать новую политику EAS для почтовых ящиков. В консоли Exchange Management Console следует перейти в раздел Organization ConfigurationClient Access. Щелкните на ссылке New Exchange ActiveSync Mailbox Policy в панели Actions. В консоли Exchange Management Console открывается экран, в котором можно ввести детали политики почтовых ящиков. На экране 5 показано, как вводится имя для создаваемой политики и задается ряд требований к безопасности, большинство из которых относится к паролю устройства. Выберите требования, соответствующие особенностям организации, а затем щелкните на New, чтобы создать политику.

Экран 5. Настройка безопасности в политике EAS

Помните, что вновь созданная политика не активна; политика EAS вступает в силу после того, как будет назначена одному или нескольким почтовым ящикам. Поэтому можно создать несколько политик EAS и назначить различные политики разным пользователям.

Чтобы назначить политику EAS почтовому ящику, следует щелкнуть на контейнере Recipient Configuration консоли Exchange Management Console; в результате на экране появится список всех почтовых ящиков в организации Exchange. Отобразите список Properties почтового ящика, к которому нужно применить политику, и щелкните на вкладке Mailbox Features. Выберите режим Exchange ActiveSync из списка параметров почтового ящика, а затем щелкните на пункте Properties, чтобы вывести диалоговое окно Exchange ActiveSync Properties. Установите флажок Apply an Exchange ActiveSync Mailbox Policy и щелкните на кнопке Browse, чтобы найти и выбрать нужную политику. Дважды нажмите OK, чтобы связать политику с почтовым ящиком.

Настройка сервера Hub Transport

На серверах централизованной обработки с ролью Hub Transport может потребоваться выполнить три послеустановочные задачи: настройку доменов, для которых следует принимать почту, оформление подписки на сервер пограничной обработки Edge Transport и создание почтового ящика администратора почтовой системы. В зависимости от особенностей организации Exchange, эти задачи могут быть необязательными.

Настройка доменов, для которых следует принимать почту. Сервер Exchange автоматически настраивается на прием почтовых сообщений для корневого домена леса, но иногда его необходимо настроить на прием сообщений из внешних доменов SMTP. Например, сеть моей компании разделена на два домена: production.com и test.com. По умолчанию сервер Exchange был настроен на прием почты для production.com, но почтовые сообщения поступают через внешний домен, brienposey.com. Поэтому необходимо настроить сервер Exchange на прием почты из этого внешнего домена.

Чтобы добавить домен, пройдите по древовидной структуре в консоли к разделу Organization ConfigurationHub Transport. Щелкните на контейнере Hub Transport, на вкладке Accepted Domains в панели подробностей, а затем на ссылке New Accepted Domain в панели Actions, чтобы добавить домен в список. Как показано на экране 6, необходимо ввести полное имя (FQDN) и описательное имя домена. Также требуется указать, является ли домен заслуживающим доверия, внутренним или внешним ретранслятором. Щелкните на New, и домен будет внесен в список.

Экран 6. Подключение нового домена к Exchange

Оформление подписки на сервер Edge Transport. Настройка подписки требуется только в том случае, если в организации используется сервер пограничной обработки Edge Transport. В сущности, подписка представляет собой односторонние доверительные отношения с базой данных Active Directory (AD), в результате которых сервер Edge Transport получает информацию AD, не подвергая опасности базу данных AD. На сервере Edge Transport с помощью команды Hub Transport следует создать XML-файл. В целях безопасности необходимо удалить файл с сервера Edge Transport. В консоли нужно перейти к Hub Transport, щелкнуть на вкладке Hub Transport, затем на вкладке Edge Subscription и на ссылке New Edge Subscription в панели Actions. Затем следует щелкнуть на кнопке Browse, чтобы найти XML-файл, убедиться, что установлен флажок Automatically create a Send connector for this Edge Subscription, и щелкнуть на кнопке New, чтобы импортировать XML-файл и создать подписку Edge Subscription. Более подробные инструкции по настройке Edge Subscription можно получить, пройдя по ссылке Subscribe Edge Transport Server в списке послеустановочных задач настройки.

Создание почтового ящика почтмейстера. Завершающий шаг — настройка почтового ящика для выполнения функций почтмейстера. Если в организации есть другие серверы Exchange, данная процедура может быть необязательной, но это нужно проверить. Откройте оболочку Exchange Management Shell и введите команду

Get-TransportServer

Убедитесь, что в столбце ExternalPostmasterAddress существует адрес почтового администратора. Если адреса нет, необходимо ввести его с помощью команды

Set-TransportServer - `

–ExternalPostmasterAddress `

В команде требуется указать имя сервера и почтовый адрес учетной записи администратора почтовой системы. Можно создать специализированный почтовый ящик, который будет выполнять функции почтового администратора или посылать сообщения для администратора почтовой системы пользователю, уже имеющему почтовый ящик.

Доводим дело до конца

Как показано в статье, установка Exchange 2007 — лишь половина дела. Прежде чем использовать сервер Exchange 2007, необходимо выполнить важные задачи настройки. Помните, что эти задачи могут различаться в зависимости от ролей серверов и существующей конфигурации Exchange. Список послеустановочных задач в консоли Exchange Management Console поможет успешно подготовить серверы к эксплуатации.

Брайен Поуси (http://www.brienposey.com ) — вице-президент по исследованиям компании Relevant Technologies. Автор статей на технические темы для различных изданий и Web-узлов


Этапы настройки сервера Exchange 2007

Итак, Exchange Server 2007 установлен и предстоит настроить конфигурацию серверов. На странице Exchange Server 2007 Finalize Deployment в консоли Exchange Management Console имеется путеводитель по задачам, которые нужно выполнить. Ниже перечислена последовательность действий по настройке конфигурации.

Этап 1. Задачи, применяемые ко всем серверам

Нужно ввести ключ продукта, хотя компания Microsoft дает 120-дневную отсрочку. Чтобы оптимизировать быстродействие и безопасность, запустите анализатор ExBPA.

Этап 2. Настройка сервера почтовых ящиков

Необходимо организовать распространение автономной адресной книги (OAB) для клиентов Microsoft Office Outlook 2007. Для клиентов Microsoft Office Outlook 2003 и более ранних версий необходимо разместить OAB в общей папке.

Этап 3. Настройка сервера клиентского доступа

Для настройки сервера клиентского доступа могут потребоваться две операции. Во-первых, нужно настроить шифрование SSL для соединений клиентов Microsoft Outlook Web Access (OWA) с сервером клиентского доступа. Во-вторых, требуется настроить режим Exchange ActiveSync (EAS), если часть пользователей отправляют и получают электронную почту через мобильные устройства.

Этап 4. Настройка сервера Hub Transport

Сервер Exchange автоматически настраивается на прием сообщений для корневого домена леса, но иногда требуется принимать почту из внешних доменов SMTP. Если используется сервер Edge Transport, то необходимо оформить подписку на Edge Transport. Кроме того, не забудьте настроить почтовый ящик для функционирования в качестве почтового адреса администратора почтовой системы.