Основы администрирования SMTP, IMAP4 и РОРЗ
Здесь рассказано о задачах администрирования, которые вам придется решать независимо от типа протокола — SMTP, IMAP4 или РОРЗ.
Запуск, завершение и остановка виртуального сервера
Поскольку виртуальные серверы запускаются в рамках процес са сервера, их можно запустить (start), завершить (stop) и остановить (pause) практически так же, как и любой другой процесс сервера. Поэтому, если вы хотите изменить настрой ку виртуального сервера или выполнить другие задачи по его поддержке, завершите работу сервера, сделайте изменения, а затем вновь его запустите. Неработающий виртуальный сервер недоступен для пользователей, и его нельзя использовать для обмена почтой.
Виртуальный сервер разрешается останавливать, не завер шая его работы. В этом случае к нему не могут подключиться только новые клиенты, а текущие подключения не прерывают ся. Когда остановлены виртуальные серверы РОРЗ или IMAP4, активным клиентам по-прежнему разрешается принимать по чту. Когда остановлен виртуальный сервер SMTP, активные клиенты вправе отправлять сообщения, а сам сервер может отправить сообщения из очереди на доставку. Однако новые подключения не принимаются.
Главным процессом (master process) для каждого виртуаль ного сервера является служба Microsoft Windows, запускаемая тем процессом, в рамках которого выполняется конкретный виртуальный процесс — SMTP (Simple Mail Transfer Protocol), Microsoft Exchange IMAP4 или Microsoft Exchange РОРЗ. За вершение главного процесса приводит к завершению всех под чиненных ему виртуальных серверов и прекращению достав ки сообщений для данной службы. Запуск главного процесса вызывает перезапуск всех виртуальных серверов, которые вы полнялись в момент остановки главного процесса.
Чтобы запустить, остановить или приостановить виртуаль ный сервер, проделайте следующее.
1. Запустите System Manager. Если группы администрирова ния доступны, раскройте ту группу администрирования, в которой находится нужный вам сервер.
2. В дереве консоли найдите контейнер Protocols. Раскройте последовательно узел Servers, узел нужного вам сервера, а затем — узел Protocols.
3. В дереве консоли раскройте SMTP, IMAP4 или РОРЗ, а затем щелкните правой кнопкой мыши нужный вам вирту альный сервер. Выполните одно из следующих действий:
• выберите Start для запуска виртуального сервера;
• выберите Stop для завершения виртуального сервера;
• выберите Pause для остановки виртуального сервера.
ПримечаниеСлужба обновления метабазы (metabase update service) отвечает за обработку и репликацию изменений в настройке. Эта служба читает данные из Active Directory и вводит их в локальную метабазу виртуального сервера.
С помощью этой службы Exchange Server реализует изме нения в настройке виртуальных серверов на удаленных си стемах, даже если с ними не установлено постоянное под ключение. При обновлении удаленного сервера службе иногда требуется несколько минут на чтение и на реализа цию этих изменений.
Чтобы запустить, завершить или остановить главный про цесс виртуального сервера, проделайте следующее.
1. Запустите Computer Management (Управление компьюте ром). Щелкните Start (Пуск), выберите Programs (Програм мы) или All Programs (Все программы), Administrative Tools (Администрирование), а затем Computer Management (Уп равление компьютером).
2. Чтобы подключиться к удаленному серверу, в дереве кон соли щелкните правой кнопкой мыши раздел Computer Management. Выберите в контекстном меню команду Connect То Another Computer (Подключиться к другому компью теру). Затем укажите сервер Exchange, службы которого вам нужны.
3. Раскройте узел Services And Applications (Службы и при ложения), а затем выберите Services (Службы). Службы SMTP, Microsoft Exchange IMAP4 и Microsoft Exchange РОРЗ управляют протоколами SMTP, IMAP4 и РОРЗ соответ ственно.
4. Щелкните правой кнопкой мыши нужную вам службу, а за тем выберите команду Start (Пуск), Stop (Стоп) или Pause (Пауза). Если щелкнуть команду Restart (Перезапустить), Windows остановит, а затем после короткой паузы запустит службу. Приостановленная служба продолжит обычную ра боту, если вы выберете команду Resume (Продолжить).
Настройка портов и адресов IP, используемых виртуальными серверами Параметры настройки любого виртуального сервера — IP-адрес и порт TCP (Transmission Control Protocol). По умолчанию IP адресом может стать любой доступный адрес IP Однако жела тельно, чтобы на многоканальном сервере (multihomed server) протоколы сообщений работали с определенными адресами IP, а для этого нужно изменить стандартную настройку.
Номер порта по умолчанию зависит от используемого про токола сообщений и от наличия SSL. В табл. 15-1 приведены значения портов по умолчанию для основных протоколов, ис пользуемых Exchange Server 2003.
Табл. 15-1. Настройка стандартного и безопасного порта для протоколов сообщений Протокол Порт по умолчанию Безопасный порт по умолчанию SMTP 25 HTTP 80 443 IMAP4 143 993 РОРЗ 110 995 NNTP (Network News Transfer Protocol) 119 563 Чтобы изменить IP-адрес или номер порта для виртуаль ного сервера, сделайте следующее.
1. Запустите System Manager. Если группы администрирова ния доступны, раскройте ту группу администрирования, в которой находится нужный вам сервер.
2. В дереве консоли найдите контейнер Protocols. Раскройте последовательно узел Servers, узел нужного вам сервера, а затем — узел Protocols.
3. В дереве консоли раскройте SMTP, IMAP4 или РОРЗ.
Щелкните правой кнопкой мыши нужный вам виртуальный сервер, а затем выберите команду Properties.
4. На вкладке General укажите в списке IP Address доступный адрес IP Выберите (All Unassigned), чтобы данный прото кол отвечал по имеющимся свободным адресам IP, на ко торые настроен данный сервер.
СоветЕсли нужного вам IP-адреса в списке нет, обновите параметры сети TCP/IP сервера. Дополнительно об этом рассказано в главе 16 книги «Microsoft Windows Server 2003.
Справочник администратора» («Русская Редакция», 2004).
5. На вкладке General щелкните Advanced. В диалоговом окне Advanced, показанном на
Рис. 15-1, отображаются текущие параметры портов TCP для данного протокола. П
Рис.ойте номера портов конкретным адресам IP и всем свободным адресам IP.
Рис. 15-1. Настройка портов TCP для определенных IP-адресов и для всех свободных IP-адресов в диалоговом окне Advanced
6. Чтобы изменить параметры портов, выберите в диалоговом окне Advanced один из следующих вариантов:
• Add (Добавить). Позволяет добавить порт TCP для определенного IP-адреса или для всех свободных IP адресов. Щелкните Add, а затем выберите нужный вам IP-адрес;
• Edit (Изменить). Позволяет изменить настройку пор тов TCP для выбранного элемента в списке Address;
• Remove (Удалить). Позволяет удалить настройку пор тов TCP для выбранного элемента в списке Address.
ПримечаниеКомбинация «IP-адрес — порт TCP» должна быть уникальной на каждом виртуальном сервере. Несколь ко виртуальных серверов могут использовать один порт, но IP-адреса должны быть разными.
7. Щелкните О К дважды.
Управление входящими подключениями к виртуальным серверам
Для управления входящими подключениями к виртуальным серверам вы можете:
• предоставить доступ или отказать в доступе IP-адресам или доменным именам Интернета;
• потребовать обеспечение безопасности входящего подклю чения;
• потребовать аутентификации для входящего подключения;
• ограничить одновременные подключения и установить зна чения тайм-аутов подключения.
В данном разделе рассматриваются все перечисленные за дачи.
ПримечаниеДля SMTP можно настроить и входящие и исходящие подключения. О настройке исходящих подклю чений для SMTP рассказано далее в разделе «Настройка исходящих подключений».
Регулирование безопасности доступа с помощью IP-адреса, подсети или домена
По умолчанию виртуальные серверы доступны со всех IP-ад ресов. Это делает систему обмена сообщениями незащищен ной. Доступ к виртуальному серверу можно ограничить, раз решая или отказывая подключаться к нему определенным IP адресам, подсетям или доменам.
• Предоставление доступа позволяет компьютеру обратить ся к виртуальному серверу, но пользователи могут посылать или получать сооощения, если ими выполнены треоования аутентификации.
• Если компьютеру запрещен доступ, ему не удастся обра титься к виртуальному серверу, а пользователи этого ком пьютера не смогут посылать и получать сообщения с дан ного виртуального сервера, даже если у них есть имя и па роль для аутентификации на сервере.
Как отмечалось выше, виртуальные серверы РОРЗ и IMAP4 управляют получением сообщений удаленными клиен тами, а виртуальные серверы SMTP — доставкой сообщений.
Таким образом, чтобы заблокировать прием ЭП от пользова телей, работающих вне организации, закройте доступ к вирту альному серверу SMTP. Чтобы заблокировать получение ЭП пользователями, закройте доступ к РОРЗ, IMAP4 или обоим серверам.
ПримечаниеМожно ограничить доступ, указав адрес ЭП.
Для этого нужно установить, а затем включить фильтр на виртуальном сервере SMTP. См. раздел «Настройка пара метров противодействия спаму и параметров фильтрации сообщений» главы 13.
Чтобы предоставить доступ к виртуальному серверу или отказать в доступе конкретному IP-адресу, подсети или доме ну, сделайте следующее.
1. Запустите System Manager. Если группы администрирова ния доступны, раскройте ту группу администрирования, в которой находится нужный вам сервер.
2. В дереве консоли найдите контейнер Protocols. Раскройте последовательно узел Servers, узел нужного вам сервера, а затем — узел Protocols.
3. В дереве консоли раскройте SMTP, IMAP4 или РОРЗ. Щел кните правой кнопкой мыши нужный вам виртуальный сер вер, а затем выберите команду Properties.
4. На вкладке Access щелкните Connection. В списке Computers, показанном на
Рис. 15-2, отображаются компьютеры, подклю чение которых контролируется в настоящий момент.
5. Чтобы предоставить доступ определенным компьютерам, и отказать в доступе всем остальным, выберите Only The List Below.
Рис. 15-2. Управление подключениями с помощью IP-адресов, подсети и доменов в диалоговом окне Connection
6. Чтобы запретить доступ определенным компьютерам и пре доставить доступ всем остальным, выберите All Except The List Below.
7. Создайте список разрешений и запрещений. Щелкните Add, а затем в диалоговом окне Computer укажите Single Computer (Один компьютер), Group Of Computers (Группа компью теров) или Domain (Домен):
• если выбран один компьютер, введите его IP-адрес, на пример 192.168.5.50;
• если выбран группа компьютеров, введите адрес под сети, например 192.168.5, и маску подсети, например 255.255.0.0;
• если выбран домен, укажите его FQDN, например eng.microsoft.com.
Внимание! При внесении в список разрешений и запреще ний домена Exchange Server должен выполнить обратный просмотр DNS (reverse DNS lookup) для каждого подключе ния и убедиться, что данное подключение исходит от доме на. Такие проверки снижают производительность Exchange Server пропорционально увеличению числа конкурирующих пользователей и подключений.
8. Чтобы удалить запись из списка разрешений и запрещений, выберите ее в списке Computers, а затем щелкните Remove.
9. Щелкните ОК.
Управление безопасностью связи для входящих подключений
По умолчанию почтовые клиенты передают информацию о со единении и данные по незащищенному подключению. Однако в организациях с повышенными требованиями к безопасности подключение почтовых клиентов необходимо осуществлять по защищенным каналам связи. Существует несколько способов настройки безопасной связи: смарт-карты, SSL и PGP (Pretty Good Privacy). Когда требуется поддержка нескольких протоколов пересылки, таких, как HTTP и SMTP, лучше все го подходит SSL.
Чтобы настроить безопасную SSL-связь, проделайте следу ющее.
1. Создайте запрос сертификата для каждого сервера Exchange, предназначенного для использования в безопасных подклю чениях. Каждый сервер (но не обязательно каждый вирту альный сервер) должен иметь собственный сертификат.
2. Отправьте запрос сертификатам центр сертификации С А (certification authority). Центр сертификации подготовит и вышлет вам сертификат (скорее всего не бесплатно).
3. Установите сертификат на сервере Exchange. Повторите пунк ты с 1 по 3 для каждого сервера Exchange, предназначенно го для передачи данных по защищенным каналам.
4. Настройте на сервере требование безопасной связи на уров не виртуального сервера.
Чтобы создать, установить и включить сертификат на вир туальном сервере, проделайте следующее.
1. Запустите System Manager. Если группы администрирова ния доступны, раскройте ту группу администрирования, в которой находится нужный вам сервер.
2. В дереве консоли найдите контейнер Protocols. Раскройте последовательно узел Servers, узел нужного вам сервера, а затем — узел Protocols.
3. В дереве консоли раскройте SMTP, IMAP4 или РОРЗ.
Щелкните правой кнопкой мыши нужный вам виртуальный сервер, а затем выберите команду Properties.
4. На вкладке Access щелкните Certificate. Запустится мастер Web Server Certificate Wizard. Создайте с его помощью но вый сертификат. Дополнительным виртуальным серверам на том же сервере Exchange можно п
Рис.оить имеющийся сертификат.
5. Отправьте запрос на сертификат в С А. Получив от С А свой сертификат назад, снова запустите Web Server Certificate Wizard из того же диалогового окна Properties для вирту ального сервера. Теперь вы можете завершить работу по установке сертификата.
6. Закончив установку сертификата, не торопитесь закрывать диалоговое окно Properties. На вкладке Access щелкните Communication.
7. В диалоговом окне Security щелкните Require Secure Channel. Если вы применяете 128-разрядное шифрование, выберите Require 128-Bit Encryption.
8. Щелкните OK два раза.
ПримечаниеЗа пределами США и Канады применяется в основном 40-разрядное шифрование.
Ограничение входящих подключений и установка значений тайм-аута
Для управления входящими подключениями к виртуальному серверу предназначены два параметра: максимальное число одновременных подключений и значение тайм-аута подклю чения (connection time-out value).
Обычно число подключений к виртуальным серверам не ограничивается, и во многих случаях это приемлемо. Одна ко при перегрузке виртуального сервера стоит ограничить число одновременных подключений. По достижении задан ного значения доступ к серверу новым клиентам запрещает ся до тех пор, пока число подключений к серверу не умень шится.
Величина тайм-аута подключения — это время, по исте чении которого незанятое подключение разрывается. Обыч но считается, что для простаивающего подключения доста точно 30 минут. В большинстве случаев этого времени хва тает. Однако иногда требуется увеличить это значение, на пример, когда происходит отключение клиентов при загруз ке больших файлов. Если это так, проверьте значение тайм аута. Кроме того, следует взглянуть на параметры МТА, опи санные в главе 14.
Чтобы изменить число подключений и время простоя, про делайте следующее.
1. Запустите System Manager. Если группы администрирова ния доступны, раскройте ту группу администрирования, в которой находится нужный вам сервер.
2. В дереве консоли найдите контейнер Protocols. Раскройте последовательно узел Servers, узел нужного вам сервера, а затем — узел Protocols.
3. В дереве консоли раскройте SMTP, IMAP4 или РОРЗ.
Щелкните правой кнопкой мыши нужный вам виртуаль ный сервер, а затем выберите команду Properties. Появит ся диалоговое окно Properties, показанное на Рис. 15-3.
Рис. 15-3. Настройка числа одновременных подключений и времени простоя в диалоговом окне Properties. Изменяя эти параметры, вы снизите нагрузку на сервер и решите некоторые проблемы подключений
4. Чтобы снять ограничение на число подключений, снимите флажок Limit Number Of Connections To. Чтобы ввести это ограничение, установите флажок Limit Number Of Connections To, а затем наберите значение предела.
5. В Connection Time-Out задайте значения тайм-аута под ключения в минутах. Для большинства случаев это значе ние колеблется в пределах от 30 до 90 минут.
6. Щелкните ОК.
Просмотр и завершение сеанса пользователя
Сеанс пользователя начинается, когда пользователь подклю чается к виртуальному серверу, и длится столько, сколько существует подключение пользователя. Любой виртуальный сервер отслеживает каждый сеанс пользователя. Просматри вая текущие сеансы, вы можете следить за загрузкой серве ра и наблюдать, какие пользователи и когда подключились к серверу. Заметив, что к виртуальному серверу подключил ся нежелательный пользователь, вы можете завершить его сеанс, немедленно прервав его. Вы вправе также отключить всех пользователей, подключившихся к данному виртуаль ному серверу.
Чтобы посмотреть или завершить пользовательские сеан сы, проделайте следующее.
1. Запустите System Manager. Если группы администрирова ния доступны, раскройте ту группу администрирования, в которой находится нужный вам сервер.
2. В дереве консоли найдите контейнер Protocols. Раскройте последовательно узел Servers, узел нужного вам сервера, а затем — узел Protocols.
3. В дереве консоли раскройте SMTP, IMAP4 или РОРЗ, а затем щелкните дважды нужный вам виртуальный сервер.
4. Вы должны увидеть узел Current Sessions. Выберите этот узел в дереве консоли. В области сведений отображаются текущие сеансы.
5. Чтобы отключить отдельного пользователя, щелкните пра вой кнопкой мыши в области сведений строку с именем пользователя, а затем выберите в контекстном меню коман ду Terminate.
6. Чтобы отключить всех пользователей, щелкните правой кнопкой мыши в области сведений любую строку, а затем выберите Terminate All.