Раздел 4 Администрирование групп
Глава 13. Управление организациями Exchange Server 2003
Организации Microsoft Exchange — это основа среды Exchange, именно на уровне организации выполняется настройка глобальных параметров и определяется структура групп администрирования и групп маршрутизации.
Формат сообщений для Интернета
По умолчанию тело сообщения, отправляемое клиентом MAPI преобразуется из Exchange RTF в MIME, а тип вложения в сообщение определяется в соответствии с типом содержания MIME, исходя из расширения вложенного файла, а используемая кодировка - ISO-8859-1 (Western European). Правила форматирования сообщений устанавливаются в политиках SMTP. Стандартная политика применяется ко всей исходящей почте, если она не подчинена иной политике SMTP. Изменить стандартную политику можно в
System Manager->Global Settings -> Internet Message Formats.
Управление RTF, переносом слов, автоответчиком и отображаемым именем
Настройки находятся в System Manager -> Global Settings -> Internet Message Format -> Default -> Advanced.
По умолчанию:
- использование формата Exchange RTF определяется настройками на стороне пользователя
- перенос слов не используется (длинные строки разбиваются на короткие, при необходимости можно задать длину строки)
Автоответчик по умолчанию отправляет слишком много сообщений (С
ЛЕДУЕТ ИХ ОТКЛЮЧИТЬ)
- Out Of Office Responses (Получатель вне офиса) - извещает отправителя, что получатель находится вне офиса
- Automatic Replies (Уведомление о получении)
- Automatic Forward (Пересылка) - пересылает копию сообщения другому получателю;
- Allow Delivery Reports (Отчет о доставке)
- Allow Non-Delivery Reports (Отчет о недоставке)
- Preserve Sender's Display Name On Message (Отображение имени отравителя) - включает имя и адрес электронной почты отправителя сообщения электронной почты (используется имя, отображаемое в адресной книге)
Установки параметров доставки сообщений
К параметрам доставки сообщений относятся ограничения для сообщений, которыми обмениваются серверы Exchange организации, а также учетная запись администратора почты SMTP (SMTP postmaster account), от имени которой посылаются отчеты о недоставке (NDR).
Ограничения по умолчанию:
- Sending message size = 10Мб - лимит отправки
- Receiving message size = 10Мб - лимит приема
- Recipient Limits = 5000 - число получателей
Установка стандартной учетной записи администратора почты SMTP
Стандартным администратором почты, или почтмейстером, считается учетная запись Exchange Administrator. Чтобы возложить решение проблем пользователей на реального человека, следует создать для этих целей почтовый ящик и назначить почтмейстера организации. Для этого необходимо добавить выбранному пользователю почтовый адрес
postmaster@domain.com, где
domain.com - доменное имя организации оп умолчанию.
Управление группами администрирования
Группы администрирования (administrative groups) представляют собой логические структуры организации Exchange, помогающие управлять ресурсами Exchange. Группы администрирования применяются также при управлении разрешениями. При начальной установке Exchange Server группы администрирования заблокированы.
Глава 14. Управление передачей сообщений и маршрутизацией внутри организации
Управление обменом сообщений как внутри организации, так и с внешними серверами осуществляется с помощью агента пересылки сообщений (
Message Transfer Agent, MTA) X.400, если не настроен другой коннектор. В параметрах МТА задается обработка подключений в случае возникновения задержек пересылки и тому подобных событий. Однако доставкой сообщений МТА не занимается, функции управления доставкой сообщений возложены на SMTP и другие почтовые протоколы.
Доступны три типа коннекторов Exchange:
- коннекторы групп маршрутизации;
- коннекторы SMTP;
- коннекторы Х.400.
Настройка Х.400 для агента MTA
Локальная учетная запись МТА (local МТА credentials) состоит из локального имени Х.400 и пароля для сервера (необязателен). Имя Х.400 служит для внешних систем идентификатором МТА. Если не задано альтернативное имя, это значение становится по умолчанию именем сервера.
Изменить настройки можно в
System Manager -> Servers-> Your_server-> Protocols -> X.400.
Имя X.400 <= 32, пароль - 64.
Входящие сообщения через Х.400 МТА регулируются двумя параметрами:
- разрешением на развертывание удаленных списков распространения (remote distribution lists)
- разрешением на преобразование входящих сообщений для Exchange (по умолчанию отключено)
Установка значений попыток подключения для Х.400
Значения попыток подключения (
connection retry values) для Х.400 играют ключевую роль в реализации подключения Exchange Server к другим серверам и при пересылке сообщений. Однако эти параметры НЕ влияют на доставку сообщений, которая регулируется протоколом сообщений. Можно задать:
- Maximum Open Retries (максимальное число попыток открытия). Ограничивает число попыток открыть подключение, после которого возникает отказ и формируется отчет о недоставке (NDR). По умолчанию это значение равно 144;
- Maximum Transfer Retries (Максимальное число попыток пересылки). Ограничивает число попыток переслать сообщения по открытому каналу, после которого формируется NDR. По умолчанию — 2;
- Open Interval (Интервал открытия). Устанавливает время ожидания до следующей попытки открыть подключение. По умолчанию — 600 секунд;
- Transfer Interval (Интервал пересылки). Задает время ожидания до следующей попытки переслать сообщение по открытому каналу. По умолчанию — 120 секунд.
Установка значений службы надежной пересылки для X.400
Значения службы надежной пересылки (
Reliable Transfer Service, RTS) для Х.400 МТА играют ключевую роль при обмене данными сообщений. Доступны три значения RTS:
- Checkpoint Size (KB) (Размер до контрольной точки). Задает объем данных, пересылаемых до установки контрольной точки. Если при установке контрольной точки возникла ошибка, пересылку сообщения повторяют, начиная с предыдущей контрольной точки. Значение по умолчанию — 30 кбайт;
- Recovery Timeout (Sec) (Время на восстановление). Определяет, сколько секунд надо ждать восстановления прерванного подключения. Если указанное время истекло, пересылка сообщения повторяется. Значение по умолчанию — 60 секунд;
- Window Size (Размер окна). Устанавливает максимальное число оставшихся без ответа контрольных точек. При достижении этого значения пересылка сообщения приостанавливается. Значение по умолчанию — 5.
При ненадежном соединении можно уменьшить размер контрольной точки, сделав более частыми операции установки контрольных точек. Однако не рекомендуется задавать размер контрольной точки равным нулю, поскольку в этом случае контрольные точки будут отменены и, следовательно, надежность пересылки сообщений уменьшится.
Установка параметров соединения для Х.400
Параметры соединения (
association parameters) для Х.400 МТА
играют ключевую роль в управлении установленным подключением. Доступны три параметра соединения:
- Lifetime (Sec) (Время жизни, в сек). Задает время поддержки соединения с удаленной системой. Ключевое свойство соединения - идентификация открытого подключения к удаленной системе. По истечении этого времени соединение прекращается, но соответствующее подключение не прерывается до истечения значения disconnect. Значение по умолчанию — 300 секунд;
- Disconnect (Sec) (Отключение, в сек). Устанавливает время сохранения подключения при отсутствии соединения. Обычно по завершении соединения подключение открыто еще некоторое время. Значение по умолчанию — 120 секунд;
- Threshold (Messages) (Порог сообщений). Определяет максимальный размер очереди для каждого соединения. Когда количество сообщений в очереди превышает это значение, устанавливается новое подключение и создается новое соединение. Значение по умолчанию — 50 сообщений.
Установка тайм-аута пересылки для Х.400
Создание большого числа NDR в течение небольшого промежутка времени может существенно снизить производительность Exchange Server. Чтобы избежать этого, NDR создаются не сразу. При этом имеют значение приоритет сообщения, значение тайм-аута соответствующей пересылки и размер сообщения. Стандартные значения тайм-аута пересылки таковы:
- Urgent (Срочное) — 1000 секунд на кбайт;
- Normal (Обычное) — 2000 секунд на кбайт;
- Not Urgent (Несрочное) — 3000 секунд на кбайт.
Использование коннекторов SMTP
Коннекторы SMTP пересылают сообщения из локальных серверов на удаленные и позволяются соединять серверы Exchange, серверы без Exchange, группы маршрутизации и организации.
При установке коннектора SMTP следует указать, какие локальные серверы-плацдармы он будет использовать, а также определить:
- область видимости коннектора (connector scope)
- способ маршрутизации сообщений (message routing technique)
- адресное пространство (address space)
Коннекторы SMTP используют интеллектуальные узлы и записи MX серверов DNS для маршрутизации почты. Для обеспечения равномерности загрузки и отказоустойчивости настраивают несколько коннекторов SMTP в одном адресном пространстве.
Настройка параметров доставки для коннекторов SMTP
Для коннекторов SMTP задаются параметры доставки, определяющие время передачи сообщений через коннектор, а также необходимость создания очереди для удаленной доставки. Время отправления регулируется с помощью расписания подключения, в частности отдельных расписаний для обычных и для больших сообщений. Управление очередью сообщений подразумевает включение и отключение постановки сообщений в очередь для удаленной доставки каждому конкретному пользователю.
Настройка безопасности отправляемых сообщений для коннекторов SMTP
По умолчанию коннекторы SMTP не выполняют аутентификацию подключений к удаленным доменам. Это означает, что при отправке сообщений коннекторы обращаются к удаленным доменам анонимно.
Exchange 2003 поддерживает три типа аутентификации:
- Basic (базовая)
- Integrated Windows Authentication (встроенная аутентификация Win)
- TLS(Transport Layer Security) - может комбинироваться с первыми двумя типами.
Настроить можнов в
System Manager -> Connectors ->Your_SMTP_connector -> Properties->Advanced -> Outbound Security.
Важно: если серверы удаленного домена не поддерживают TLS, то все сообщения, отправленные через коннектор с настройкой TLS, будут возвращены с NDR.
По умолчанию коннекторы SMTP всегда пытаются назначить сеанс ESMTP, этот порядок можно изменить командами запуска сеанса HELO и EHLO. По умолчанию коннекторы SMTP не торопятся доставить сообщения из очереди - не посылаются команды ETRN/TURN
Выполнение базовых задач администрирования коннекторов
- установка ограничений на доставку - Connectors->Your_Connector->Propoerties->Delivery Restrictions. По умолчанию разрешен прием сообщений с любых адресов.
- установка ограничений на содержание
- установка издержек маршрутизации - установка значения Cost для коннектора (Connectors->Your_Connector->Propoerties->Address Space)
- установка ссылок на общие папки - по умолчанию отключено (Connectors->Your_Connector->Propoerties->General: Do not allow public folder referrals)
Глава 15. Администрирование SMTP, IMAP4 и РОР3
Данные сервисы размещаются на отдельных виртуальных серверах.
Виртуальный сервер - это настроенный серверный процесс, который задает адреса IP, номера портов и параметры аутентификации.
С каждым сервисом можно осуществлять операции:
- запуск
- завершение
- остановка
Настройки IP-адреса и порта для сервиса можно в System
Manager->Protocols->SERVICE->DEFAULT_SERVICE_VIRTUAL_SERVER->General->Advanced
Комбинация IP:Port должна быть уникальной на каждом виртуальном сервере. Несколько виртуальных серверов можут использовать один порт, но IP-адреса должны быть разными.
Для управления входящими подключениями к виртуальным
серверам можно:
- предоставить доступ или отказать в доступе IP-адресам или доменным именам Интернета;
- потребовать обеспечение безопасности входящего подключения;
- потребовать аутентификации для входящего подключения;
- ограничить одновременные подключения (Limit number of connections to) и установить значения тайм-аутов подключения.
Управление виртуальными серверами SMTP
При установке Exchange по умолчанию создается виртуальный сервер SMTP.
Для управления доставкой сообщений предназначены перечисленные далее параметры:
- Outbound retry intervals (Интервалы между попытками для передачи исходящих сообщений);
- Outbound and local delay notification (Уведомление о задержке исходящих и локальных сообщений);
- Outbound and local expiration time-out values (Значения тайм-аутов для исходящих и локальных сообщений);
- Message hop count (Счетчик переходов сообщений);
- Domain name options (Параметры доменных имен);
- Reverse DNS lookups (Обратный просмотр DNS);
- External DNS server lists (Списки внешних серверов DNS).
По умолчанию:
- интервал каждой из трех попыток доставки исходящих сообщений = 10 минут
- интервал последующих попыток - 15 минут
- уведомление о задержке - 12 часов
- тайм-аут подключения - 2 дня
- счетчик переходов = 30 (возможно 10-256)
- обратный просмотре DNS отключен
Exchange Server по-разному обрабатывает уведомления о задержке и тайм-ауты подключений для сообщений, циркулирующих внутри организации (Local), и для сообщений, направляемых
из организации (Outbound). Копию сообщения о неудаче и NDR можно (НУЖНО) отправить администратору почтовой системы или в иной входящий ящик администратора сервера.
Для исхощего трафика:
- лимит на число соединений - 50
- тайм-аут = 10 минут
- лимит соединений для каждого домена - 50
Ограничения при передаче сообщений:
- размер сообщения - 4 Мб
- размер всех сообщений за одно подключение (сеанс) - 10Мб
- число сообщений за одно подключение - 20
- число получателей одного сообщения - 64000
Управление IMAP4
Также создается при установке Exchange 2003.
Поддерживает два типа аутентификации:
- Basic - базовая
- Simple Authentication and Security Layer (NTLM) - простая аутентификация и защита
Управление POP3
Также создается при установке Exchange 2003.
Поддерживает два типа аутентификации:
- Basic
- Simple Authentication and Security Layer (NTLM)
Глава 16 Поддержка виртуальных серверов HTTP
Поддержка виртуальных серверов HTTP
Виртуальные серверы HTTP предоставляют транспортные сервисы, которые необходимы вам для доступа к общим папкам и почтовым ящикам через Интернет.
Для функционирования необходима запущенная служба IIS.
В структуре каталогов для виртуальных серверов HTTP имеется несколько важных каталогов:
- Exadmin - необходимо для администрирования виртульного HTTP сервера через Интернет (по умолчанию только совмещенная аутентификация)
- Exchange - доступ к п.я., по умолчанию доступна базовая и совмещенная аутентификация
- ExchWeb - используется OWA (Outlook Web Access) и обеспечивает ведение календаря, адресной книги и других управляющих функций. По умолчанию каталог настроен для анонимного доступа, однако каталог с исполняемыми файлами имеет ограниченный доступ с двумя видами аутентификации.
- OMA (Outlook Mobile Access) - поключение мобильных пользователей. По умолчанию настраивается оба вида аутентификации.
Возможно ограничить:
- число одновременных подключений - по умолчанию =1000
- время ожидания для подключения - через какой интервал времени отключаются бездействующие сеансы пользователей. По умолчанию = 15 минут.
Ограничения настраиваются в IIS
Manager->Default Web Site->Perfomance (Диспетчер служб IIS ->Веб-узел по умолчанию ->Быстродействие).
Управление доступом к серверу HTTP
Виртуальные серверы HTTP поддерживают 5 способов аутентификации:
- Anonymous authentication (анонимный доступ)
- Basic authentication (базовая)
- Integrated Windows authentication (встроенная проверка Windows)
- Digest authenticaton (краткая проверка подлинности)
- .NET Passport authentication (проверка подлинности в системе .NET Passport)
По умолчанию как обычная, так и встроенная аутентификация Windows действуют для каталогов
Exchange и
Public, используемых виртуальным сервером HTTP, и обычно эти значения менять не требуется.
Виртуальный каталог — это просто путь к папке, доступ к которой
реализуется посредством URL
Значения аутентификации для виртуальных каталогов и виртуального сервера отличаются. По умолчанию допускается анонимный доступ к виртуальному серверу. Это означает, что любое лицо может получить доступ к начальной странице сервера без аутентификации. Если запретить анонимный доступ на уровне сервера, то пользователям
придется дважды вы
полнять аутентификацию: один раз для сервера, а другой — для
виртуального каталога, доступ к которому они хотят получить.
Создать новый виртуальный каталог:
- для общих папок -
System Manager-> Servers->My_Server->HTTP->New->Virtual Directory. Введенное имя будет использоваться при указании пути к папке в URL. Установить переключатель на
Public Folder.
- для доменов SMTP - аналогично, только выбрать переключатель
Mailboxes For.
Глава 17. Обслуживание, мониторинг и работа с очередями Exchange 2003
Активация регистрации сообщений:
- обычная - System Manager -> Properties -> Enable Message Tracking
- расширенная - Enable Subject Logging and Display + Enable Message Tracking
Файлы журнала могут занимать значительный объем дискового пространства, поэтому можно установить срок автоудаления журналов старше определенного числа дней (от 0 до 99). (
НО лучше запаковать архиваторов и переместить на серверов логов).
С помощью
Message Tracking Center (находится в
System Manager -> Tools) возможен поиск в журналах отслеживания сообщений по:
- идентификатору сообщения (Message ID)
- отправителю (Sender)
- серверу, обработавшему сообщения (Server)
- получателю (Recipients)
- интервалу времени (Logged Between)
Файлы журналов
Местонахождение журналов - каталог
Exchsrv\Имя_сервера.log\. Все журналы именуются по дате их создания в формате
ГГГТММДД.log.
Записываются в виде текста, разделяемого знаками табуляции, и начинаются с заголовка, включающего информацию:
- оператор, идентифицирующий файл как файл журнала отслеживания сообщений
- версию службы Exchange System Attendant, создавшей файл
- список разделенных знаками табуляции полей, содержащихся в теле файла
Ведение журналов протоколов
Журналы протоколов позволяют отслеживать команды, получаемые виртуальными серверами от клиентов, и облегчают устранение проблем с HTTP, SMTP и NNTP. Использовать данную возможность следует
ТОЛЬКО ДЛЯ ОТЛАДКИ, т.к. требует ресурсов от сервера.
Виртуальные HTTP-серверы поддерживают журналы протоколов HTTP, формат которых может быть:
- W3C Extended Log File Format (Расширенный формат файла журнала W3C). Все записи делаются в виде ASCII-текста с соблюдением расширенного формата файлов журнала W3C. Поля разделяются пробелами, и каждая запись выполняется с новой строки. Это — формат по умолчанию (рекомендуемый);
- Microsoft IIS Log File Format (Формат файла журнала Microsoft IIS). Все записи делаются в виде ASCII-текста с соблюдением формата файлов журнала IIS. Поля раз деляются табуляторами, и каждая запись выполняется с новой строки;
- NCSA Common Log File Format (Общий формат файла журнала NSCA). Поля разделяются пробелами, и каждая запись выполняется с новой строки;
- ODBC Logging (Ведение журнала ODBC). Каждая запись заносится в указанную ODBC-совместимую БД.
Аналогичным образом можно настроить журнал протоколов для других виртуальных серверов. По умолчанию файлы журнала записываются в подкаталог:
%SystemRoot%\System32\LogFiles.
Журналы протоколов помогают определить:
- мог ли клиент подключиться к указанному виртуальному серверу, и если нет, то по какой причине
- мог ли клиент отправлять или принимать команды протокола, и если нет, то по какой причине
- мог ли клиент передавать или принимать данные
- сколько ушло времени на установление соединения
- сколько ушло времени на отправку или прием команд протокола
- сколько ушло времени на отправку или прием данных
- имеют ли место ошибки сервера, и если да, то какого типа
- связаны ли ошибки с Windows или непосредственно с протоколом
- подключается ли пользователь к серверу с указанием правильных регистрационных данных.
Ведение диагностических журналов
Диагностические журналы применяются для выявления проблем с производительностью служб Exchange. В отличие от прочих методов ведения журнала, диагностические сообщения не записываются в отдельные файлы. Вместо этого они заносятся в журнал событий Windows, и для мониторинга соответствующих событий применяется
Event Viewer.
Exchange Server поддерживает четыре перечисленные далее уровня ведения диагностических журналов:
- None. Уровень ведения диагностических журналов по умолчанию. На этом уровне Exchange Server фиксирует только важные события. Данные о них заносятся в журнал приложений, системный журнал и журнал безопасности вместе с прочей информацией, предупреждениями и сообщениями об ошибках, которые генерируют службы Exchange.
- Minimum. В журнале событий фиксируются краткие записи. На этом уровне Exchange Server делает по одной записи для каждой важной задачи, которую выполняет. Журнал помогает определить проблемное место, однако не позволяет точно выявить проблему.
- Medium. В журнал событий заносятся краткие и подробные записи. На этом уровне Exchange Server делает по одной записи для каждой важной задачи, которую выполняет, и по записи для каждого этапа выполнения конкретной задачи.
- Maximum. Регистрирует ВСЕ операции, выполняемые службой. На этом уровне Exchange Server регистрирует все операции, которые выполняет, и это сильно сказывается на производительности сервера. При использовании данного уровня регистрации следует внимательно наблюдать за объемом файлов журналов, в противном случае может закончиться выделенное им дисковое пространство.
Настроить уровень ведения диагностических журналов для каждой из служб Exchange можно в
System Manager -> Servers -> My_Server -> Properties -> Diagnostics Logging.
Мониторинг соединений, служб, серверов и использования ресурсов
Для этих целей существует раздел
System Manager -> Tools -> Monitoring and Status.
Мониторы Exchange применяют для мониторинга:
- использования виртуальной памяти
- загрузки процессора
- объема свободного дискового пространства
- очередей SMTP и X.400
- состояния служб Windows
С помощью уведомлений можно организовать автоматическое оповещение на случай, если монитор сервера превысит пиковое значение или остановится ключевая служба.
Конфигурирование уведомлений
Одна из основных причин конфигурировать уведомления — оповещать администраторов о возникающих проблемах. Можно сконфигурировать два типа уведомлений:
- E-Mail — если сервер или коннектор перешел в потенциально опасное или критическое состояние, администратору отправляется сообщение электронной почты
- Script — если сервер или коннектор перешел в потенциально опасное или критическое состояние, Exchange Server исполняет указанный сценарий
