Exchange Server 2007 Petr Šetka MVP, MCSE, MCT

Úvod do Exchange Server 2007 Možnosti pro správce Škálovatelnost Dostupnost Novinky v zabezpečení Nové zásady a pravidla Novinky pro uživatele

Nové možnosti pro správce Exchange Management Console Přepracovaný grafický nástroj pro správu Exchange Management Shell Nástroj pro práci na příkazovém řádku

Lepší škálovatelnost Exchange Server 2007 je určen pouze pro 64bitová prostředí Podpora až 16 exabajtů paměti Snížení diskových operací o 75 % 32bitová verze je k dispozici, v praxi ale není podporována  testování, prezentace

Lepší dostupnost LCR (Local Continuous Replication) Udržuje dvě kopie skupiny úložišť na stejném serveru Řešení pro výpadek místního disku CCR (Clustered Continuous Replication) Udržuje dvě kopie skupiny úložišť na více serverech

Novinky v zabezpečení zpráv Nové rozhraní API pro antiviry Forefront Security for Exchange Server Antispamové nástroje Filtrování připojení, odesílatelů a příjemců Filtrování Sender ID Filtrování obsahu Sender reputation

Nové zásady a pravidla Pravidla aplikovaná při přenosu zpráv Pravidla pro uchovávání zpráv Možnost vyhledávat ve všech schránkách Journaling Tyto záležitosti mohou být vynuceny legislativou (SOX, SEC Rule 17a, EU Data Protection Directive of 2002) nebo interními předpisy

Nové funkce pro uživatele Rozšířené možnosti Outlook Web Access Unified Messaging (hlasový přístup do schránky) Nové vlastnosti pomocníka mimo kancelář (OOF) Nová práce s kalendářem Vylepšený mobilní přístup

Architektura Exchange 2007 Nové role serverů Přenos zpráv Směrování zpráv ve větších prostředích

Nové role serverů Edge Transport (EDGE) Hub Transport (HUB) Client Access (CAS) Mailbox (MBX) Unified Messaging (UM)

Nové role serverů Hub Transport Unified Messaging Edge Transport Směrování Zásady Unified Messaging Hl. přístup Fax Edge Transport Směrování Filtrování Client Access Aplikace: OWA Programování: Web services, Web parts Protokoly: ActiveSync, POP, IMAP, RPC/HTTP, … Mailbox Schránky Veř. složky

Přenos zpráv EDGE HUB MBX CAS

Směrování zpráv ve větších prostředích MBX EDGE HUB MBX HUB HUB MBX

Funkce, které v Exchange 2007 chybí Přístup do veřejných složek pomocí OWA Přístup do veřejných složek pomocí IMAP a NNTP OMA (mobilní přístup) Koexistence se servery Exchange 5.5 Administrative Groups Routing groups Clustering active/active Spolupráce se systémy X.400 Konektory Groupwise a Lotus Notes

Funkce bez dalšího vývoje Veřejné složky Standardní zálohování CDOEx (CDO 3.0) WebDAV a ExOLEDB Store events

Edice Exchange Server 2007 Exchange Server 2003 Exchange Server 2007 Standard Edition 2 databáze velikost databáze 75 GB Standard Edition 5 databází 5 Storage Groups velikost DB neomezena místní replikace (LCR) Enterprise Edition 20 databází 4 Storage Groups Clustering Enterprise Edition 50 databází 50 Storage Groups Clustering Replikace dat v clusteru

Licencování Exchange Server 2007 Petr Bobek, Microsoft

Správa Exchange Server 2007

Exchange Management Console

Exchange Management Console Správa nastavení platných pro celou organizaci Správa jednotlivých serverů Správa jednotlivých typů příjemců Nástroje pro analýzu a odstraňování potíží

ukázka Exchange Management Console

Exchange Management Shell Skriptovací technologie Nástroj pro úplnou správu Exchange 2007 Využívá jej Exchange Management Console Podporuje řetězení příkazů Má přístup k příkazům cmd.exe Obsahuje tzv. cmdlets (commandlets) – třídy .NET

Exchange Management Shell Zjišťování informací (GET) Get-MailboxDatabase Get-Mailbox Vytváření objektů (NEW) New-StorageGroup New-MailContact Nastavení vlastností objektů (SET) set-mailboxdatabase MBX –ProhibitSendReceiveQuota 400000KB Řetězení Get-DistributionGroup ‘Obchodnici’ | Get-DistributionGroupMember | Set-Mailbox –MaxReceiveSize 1024000

Jak zvládnout Exch Man. Shell? Nápověda PowerShell Get-help Get-help new-mailbox Nápověda produktu V produktu + ke stažení z webu Informace v GUI (Exchange Management Console) Praxe, praxe, praxe

ukázka Exchange Management Shell

Správa role Mailbox server

Databáze Neomezená velikost Maximální počet databází dle edice Tvořena pouze souborem EDB Velikost transakčních logů 1 MB Zvýšen počet transakčních logů E000000000A.log 10 pozic, 8 pozic get-MailboxDatabase, get-PublicFolderDatabase, get-StorageGroups

Indexování obsahu Zabírá 5 % velikosti databáze (20 % u Exchange 2003) Méně zatěžuje server Standardně povoleno na MBX databázích Set-MailboxDatabase MailboxDatabaseName -IndexEnabled $true

ukázka Mailbox server

Správa příjemců

Typy příjemců Shodné s Exchange Server 2003: Navíc Uživatel s poštovní schránkou Uživatel s e-mailovou adresou Kontakt Distribuční skupina nebo skupina zabezpečení Distribuční skupina s dynamickým členstvím Veřejná složka Navíc Resource mailboxes (schránky prostředků)

Správa příjemců Pouze v Exchange Management Console nebo pomocí Exchange Management Shell Nelze pomocí Active Directory Users and Computers Důvod: oddělení správy Exchange a Active Directory New-Mailbox, New-Mailuser, New-Mailcontact, New-DistributionGroup

ukázka Správa příjemců

Správa role Client Access

CAS v infrastruktuře DC CAS Kerberos, LDAP MBX RPC HTTPS IMAP4 POP3

Funkce CAS Přístup pomocí internetových protokolů (HTTPS, IMAP4,POP3) Poskytuje OAB (Offline Address List) a Availability Web Service (dříve Free/Busy) Nejsou-li implementovány veřejné složky Poskytuje službu AutoDiscover

Implementace CAS Musí být v každé Active Directory Site se servery Mailbox (pro každou doménu vlastní) Vyžaduje rychlé spojení s DC, GC a MBX Výkon: 1 CPU CAS na každé 2-3 CPU MBX

AutoDiscover Automatická konfigurace klientů Outlook 2007 a mobilních zařízení (Windows Mobile 6) Uživatel zadá pouze e-mail adresu a heslo Proces se nepatrně liší při přístupu z interní sítě a z Internetu

AutoDiscover z Internetu Kontakt s DC DC Kontakt s CAS CAS CAS vrací XML s informacemi o konfiguraci klienta Outlook 2007 MBX Klient provede konfiguraci a připojuje se k CAS

Implementace AutoDiscover Musí být implementován certifikát pro SSL Konfigurace záznamu AutoDiscover v DNS Konfigurace souboru XML s konfigurací pro klienty Pouze pomocí Exchange Management Shell set-OutlookProvider –id exch –server ‘cas1.contoso.com’

ukázka Certifikát SSL http://support.microsoft.com/kb/931351

Outlook Web Access

Nové možnosti v OWA Vylepšené rozhraní Address book Plánování schůzek Možnosti nastavení Správa mobilních zařízení Podpora Unified Messaging LinkAccess

LinkAccess Direct File Access WebReady Přístup k souborům (náhrada VPN) na interních serverech Přístup k serverům Sharepoint na interních serverech WebReady Konverze příloh do formátu HTML

ukázka Outlook Web Access

Směrování zpráv

Edge a Hub Transport Tyto dvě role se podílejí na toku zpráv Exchange 2007 využívá Active Directory Sites a konfiguraci konektorů mezi nimi! Zprávy mezi servery Hub jsou standardně šifrovány (TLS) Přenosovým protokolem je SMTP Nevyužívá se Link State, zprávy jsou přeneseny co nejblíže k cílovému serveru (do fronty)

Konektory SMTP SMTP Send SMTP Receive Odesílání zpráv na jiné servery Nejsou nutné pro zasílání mezi servery HUB SMTP Receive Povolují příjem zpráv SMTP z definovaných zdrojů 2 výchozí na serveru HUB (názvy: Client server a Default server)

E-mailové domény Domény, pro které server Exchange přijímá e-mailové zprávy Standardně pouze interní doména Active Directory 3 typy Authoritative Internal relay External relay New-AcceptedDomain

ukázka Konektory SMTP, Accepted domains, E-mail Address Policies

Správa role Edge Transport

Edge Transport Samostatný server Není členem domény Umístěn v DMZ Přijímá a filtruje zprávy z Internetu Odesílá zprávy do Internetu Může spolupracovat se servery Hub Transport Konfigurace uložena v ADAM

Nové role serverů Hub Transport Unified Messaging Edge Transport Směrování Zásady Unified Messaging Hl. přístup Fax Edge Transport Směrování Filtrování Client Access Aplikace: OWA Programování: Web services, Web parts Protokoly: ActiveSync, POP, IMAP, RPC/HTTP, … Mailbox Schránky Veř. složky

Komunikace mezi Edge a Hub cílový port 25 EDGE HUB cílové porty 25 a 50636 V ADAM ukládá server Edge Transport vybrané informace z Active Directory v zabezpečeném formátu (hash)

Edge Subscription Spojení serverů Edge a Hub Server Edge začíná poté replikovat informace z Active Directory (příjemci a topologie směrování zpráv) Dojde k automatickému vygenerování konektorů pro příjem a odesílání zpráv na serveru Edge Na Edge se také synchronizují akceptované domény New-EdgeSubscription -FileName "C:\EdgeSubscriptionInfo.xml"

ukázka Edge Subscription

Antispamové funkce

Edge a antispam Využívá tzv. agenty: Agenti Connection filtering Protocol analysis Content filter Attachment filter Sender ID STS Update Sender filter Recipient filter Get-TransportAgent

Postup zpracování zpráv Exchange Server 2007 Edge Transport server IP Allow list Connection filtering IP Block list RBL Internet Sender filtering Sender ID filtering Outlook Safe Senders list Recipient filtering Exceed SCL threshold Content filtering Below SCL threshold

Sender reputation filtering Na základě analýzy posledního provozu od daného uživatele je generována hodnota SRL (Sender Reputation Level) v rozmezí 0-9 Ověření serveru SMTP odesílatele na open relay Kontrola IP adres v příkazech HELO/EHLO Kontrola existence reverzního záznamu DNS Analýza SCL předchozích zpráv od odesílatele

ukázka Sender reputation

Filtrování příloh Není k dispozici v nástroji Exchange Management Console Konfigurace pouze pomocí Exchange Management Shell Get-AttachmentFileEntry, Set-AttachmentFilterListConfig

Antispamové technologie bez Edge Kontrolu může provádět také Hub Transport Možno zobrazit kartu Antispam v nástroji Exchange Management Console v interní organizaci Spuštění skriptu install-AntispamAgents.ps1 Restart služby Microsoft Exchange Transport

ukázka Antispamové technologie na Hub Transport

Messaging Policies

Messaging Policies Transport Policies (pravidla omezující tok zpráv nebo upravující jejich obsah) Journaling Policies (ukládání zpráv splňujících zadaná kritéria) Messaging Records Management (automatizace a zjednodušené zachování zpráv v poštovních schránkách)

Transportní pravidla Edge Hub Pravidla jsou uložena v ADAM a platí pouze pro lokální server Edge Hub Pravidla jsou uložena v Active Directory a platí pro všechny servery Hub

Journaling Sledování zpráv konkrétních uživatelů, nebo všech uživatelů databáze Závislé na licenci CAL Zprávy chodí do poštovní schránky jako přílohy, tělo zprávy obsahuje pouze výpis z její hlavičky

Messaging Record Management Definován akcí na existující složky nebo na nové, přidané složky uživatelům Zpráva se předá zadanému uživateli Zpráva bude archivována po dobu X dnů

ukázka Transportní pravidla, Journaling, Managed Folders

Vysoká dostupnost

Local Continuous Replication (LCR) Jeden server, replikace probíhá místně na jiný fyzický disk \ExchData \ExchCopy C: Disk1 Disk2

Clustered Continuous Replication Dva servery v clusteru, každý má své úložiště a databáze se replikuje z aktivního na pasivní uzel

Clustered Continuous Replication Private Network Aktivní uzel Public Network Pasivní uzel File Share Witness

Clustered Continuous Replication Výhody Neexistuje žádné úzké místo Neexistují sdílená úložiště Minimální ztráta dat při failover Geografický cluster (ale musí být stejný subnet IP) Hardware nemusí podporovat cluster Možnost zálohovat na pasivním uzlu

Single Copy Clustering (SCR) Private Network Aktivní uzel Sdílené úložiště Public Network Aktivní uzel Pasivní uzel

Single Copy Clustering (SCR) Nevýhody Sdílené úložiště je slabým místem Hardware musí být kompatibilní s clusterem Neobsahuje řešení pro geografický cluster Pasivní uzel nelze využít k záloze dat

Forefront for Exchange Server

Forefront for Exchange Server Antivirové a antispamové řešení Výhradně pro Exchange Server 2007 Více antivirových strojů:

Forefront for Exchange Server Přináší novou funkčnost (antivir) Zkvalitňuje stávající funkce (Content filtering, IP Block list) Vrstvená ochrana (jiné stroje skenují na vstupu – Edge, jiné na MBX serverech) Vyšší výkon Garance vyřešení potíží Antivir vs Exchange

ukázka Forefront Security for Exchange Server

Unified Messaging

Unified Messaging Unified Messaging Server VoIP Gateway Hub Transport, PBX Unified Messaging Server VoIP Gateway Hub Transport, Client Access, and Mailbox Server Domain Controller

Unified Messaging Ovládání hlasem Ovládání tónovou volbou Příjem faxů do poštovních schránek

Instalace Exchange Server 2007

Postup instalace Příprava prostředí Příprava serverů (HW+SW) Instalace Exchange 2007

Spouští se v doméně s rolí Schema Master Příprava prostředí Rozšíření schématu setup.com /PrepareSchema Spouští se v doméně s rolí Schema Master ovlivňuje celé prostředí Oprávnění Schema Admins Enterprise Admins

Spouští se v doméně s rolí Schema Master Příprava prostředí Vytvoření skupin, oprávnění, příprava domény setup.com /PrepareAD /OrganizationName:FIRMA Spouští se v doméně s rolí Schema Master ovlivňuje celé prostředí a připravuje doménu, v níž byl nástroj spuštěn Microsoft Exchange Security Groups Exchange Organization Administrators Exchange Recipient Administrators Exchange View-Only Administrators Exchange Servers ExchangeLegacyInterop Oprávnění Enterprise Admins

Spouští se v připravované doméně Příprava prostředí Oprávnění, vytvoření kontejneru a skupiny setup.com /PrepareDomain Spouští se v připravované doméně připravuje doménu, v níž byl nástroj spuštěn např. Microsoft Exchange System Objects Exchange Install Domain Servers Oprávnění Domain Admins

Příprava prostředí Schema master musí být Windows Server 2003 SP1 a vyšší GC v každé Active Directory Site se serverem Exchange 2007 musí být Windows Server 2003 SP1 a vyšší Active Directory musí být v režimu Windows 2000 Native nebo vyšším

Příprava serveru Operační systém Windows Server 2003 x64 SP1 nebo vyšší Součásti operačního systému MMC 3.0 Windows Power Shell .NET Framework 2.0 Platí pro všechny role Exchange 2007

Příprava serveru Mailbox Další součásti systému Enable network COM+ access Internet Information Services (konzola) World Wide Web Service Hotfixy KB904639 (http://support.microsoft.com/kb/904639) KB918980 (http://support.microsoft.com/kb/918980)

Příprava serveru Client Access Další součásti systému World Wide Web Service RPC over HTTP Proxy ASP.NET 2.0

Příprava serveru Unified Messaging Služba Microsoft Exchange Speech Engine Instaluje se automaticky Microsoft Windows Media Encoder http://go.microsoft.com/fwlink/?LinkId=67406 Microsoft Windows Media Audio Voice Codec http://go.microsoft.com/fwlink/?LinkId=67407 Microsoft Core XML Services (MSXML) 6.0 http://go.microsoft.com/fwlink/?linkid=70796

Příprava serverů EDGE a HUB Nesmějí být nainstalované součásti systému SMTP NNTP

Exchange Server 2007 Dotazy?