Когда у вас есть среда Exchange Server 2010, вы можете использовать Edge Transport Server, обычно расположенный в демилитаризованной зоне (DMZ) или пограничной сети, в целях почтовой гигиены. По умолчанию на пограничном транспортном сервере (Edge Transport Server) включена функция антиспама, и когда устанавливается Forefront Protection for Exchange, пограничный транспортный сервер также выполняет функция защиты от вирусов.

Электронная почта из интернета принимается серверами Edge Transport, спамерские сообщения и сообщения, содержащие вирусы, очищаются, а результаты отправляются на транспортный сервер-концентратор (Hub Transport Server), расположенный во внутренней сети и домене.

Сервер клиентского доступа (CAS) предоставляет почтовым клиентам доступ к их почтовым ящикам, и расположен он также во внутренней сети. Расположение сервера Client Access Server в демилитаризованной зоне не поддерживается. Для дополнительной информации о CAS сервере и DMZ посетите сайт Exchange Team Site.

Можно использовать Microsoft ISA Server 2006 в DMZ, при этом сервер ISA Server 'публикует' такие службы Exchange, как OWA, Outlook Anywhere или ActiveSync. Невозможно сочетать ISA Server и Edge Transport Server на одном физическом сервере, но их можно совместить на Forefront Protection for Exchange.

Threat Management Gateway (TMG)

Forefront Threat Management Gateway (TMG) 2010 является следующей версией ISA Server 2006, и он содержит множество новых функций, которые полезны для администраторов Exchange. Одним из таких моментов является возможность установить Edge Server, TMG и Forefront Protection for Exchange на один (физический) сервер.

Преимуществом такого решения, конечно же, является то, что вам потребуется всего один сервер. Это сэкономит вам затраты на дополнительную лицензию Windows, но не забывайте о цене самого сервера, питание и охлаждение, которые для него потребуются.

Установка комбинации Edge Server, Forefront Protection for Exchange и Threat Management Gateway выполняется в следующем порядке:

1. Установите Windows Server 2008 R2
2. Установите Active Directory Lightweight Directory Services (LDS)
3. Установите Exchange 2010 Edge Transport Server
4. Установите Forefront Protection for Exchange
5. Установите Forefront Threat Management Gateway

Windows Server 2008 R2

Первым шагом будет установка Windows Server 2008 R2. Это сервер с архитектурой X64, который, конечно же, необходим для Exchange Server 2010. Но TMG также является X64 приложением, в то время как старый ISA сервер был 32-bit приложением.

Установите Windows Server 2008 R2, убедитесь, что сервер имеет подключение как ко внутренней, так и ко внешней сети. После установки настройте сеть, разрешение внутренних и внешних имен должно быть корректным. Обновите сервер последними исправлениями.

Установка Active Directory Lightweight Directory Services

После установки Windows Server 2008 R2 нужно установить Active Directory Lightweight Directory Services (LDS). Войдите на сервер и откройте диспетчер сервера (Server Manager). Выберите Роли в навигационной панели и в панели результатов выберите опцию добавления роли ('Add Roles'). В мастере добавления ролей выберите Active Directory Lightweight Directory Services. Добавьте требуемые функции (.NET Framework 3.5.1). Завершите работу мастера и установите LDS.

Установка сервера Edge Transport

Чтобы установить предварительно требуемое ПО для Exchange Server 2010 Edge Transport Server, откройте интерпретатор команд и перейдите в каталог \Scripts на установочном носителе. Введите следующую команду:

ServerManagerCmd.exe 'InputPath Exchange-Edge.XML

У вас появится сообщение об ошибке, говорящее, что ServerManagerCmd конфликтна. Хотя это так, пока не следует обращать внимания на это сообщение. После установки предварительно требуемого ПО нужно перезагрузить сервер.

Установите сервер Edge Transport; это можно сделать либо с помощью графического пользовательского интерфейса, либо через программу неуправляемой установки. Инструменты управления (Management Tools) будут установлены автоматически.

После установки сервера Edge Server пришло время настроить EdgeSync Service. Служба EdgeSync Service отвечает за синхронизацию информации между серверами Hub Transport Server и Edge Transport Server. Для настройки Edge Synchronization войдите на сервер Edge Transport Server, откройте Exchange Management Shell и введите следующую команду:

New-EdgeSubscription 'FileName C:\Edge-TMG.XML

Скопируйте Edge-TMG.XML файл на внутренний сервер Hub Transport Server и импортируйте его там. После импорта можно запустить Edge Synchronization. Чтобы это сделать, войдите на сервер Hub Transport Server, откройте Exchange Management Shell и введите следующие команды:

$Temp = Get-Content -Path "C:\Edge-TMG.xml" -Encoding Byte -ReadCount 0

New-EdgeSubscription -FileData $Temp -Site "Default-First-Site"

Start-EdgeSynchronization

Убедитесь, что результаты выполнения всех команд успешны. Это показано в консоли:

После успешной установки Edge Synchronization самое время протестировать SMTP функциональность и проверить, можно ли отправлять и принимать сообщения для Exchange Server 2010 почтовых ящиков в интернет и из интернета. Если все работает, можно приступать к следующему шагу.

Установка Forefront Protection for Exchange (FPE)

Когда вы запускаете графический интерфейс установки Exchange Server 2010, у вас открывается окно меню. Последняя опция, под Enhance, это опция 'Install Microsoft Forefront Protection 2010 for Exchange Server'.

Когда вы выбираете эту опцию, вы перенаправляетесь на сайт Microsoft, откуда можно загрузить FPE. После загрузки запустите приложение ForefrontExchangeSetup.exe. Следуйте указаниям мастера установки, чтобы установить Forefront Protection for Exchange. На странице настройки антиспама (Anti spam Configuration) выберите опцию 'Включить антиспам позже (Enable anti-spam later)'.

После установки не отмечайте опцию 'Launch the Forefront Online Protection for Exchange Gateway installation program'. Нажмите Готово, чтобы завершить программу установки.

Когда вы запускаете консоль администратора Forefront Administrator Console, у вас открывается уведомление о пробной лицензии (Evaluation License Notice). Вы можете активировать продукт сейчас, но у него есть 120-дневный пробный период.

В консоли администратора вы увидите, что механизмы сканирования не обновлены.

Через некоторое время (15 минут в моей тестовой среде) вы заметите, что все механизмы проверки обновлены, и желтый восклицательный знак поменяется на зеленую галочку.

Установка Forefront Threat Management Gateway

Последним и самым интересным шагом является установка Threat Management Gateway (TMG) на недавно установленный сервер Edge Transport Server. Найдите установочный носитель и запустите приложение установки. У вас отобразится окно меню:

Выберите опцию 'Запустить инструмент подготовки (Run Preparation Tool)' в окне меню, чтобы установить предварительно требуемое ПО. Следуйте указаниям мастера Forefront TMG Preparation Tool. Выберите опцию 'Forefront TMG Services and Management', чтобы установить приложение и инструменты управления.

Предварительно необходимое ПО будет автоматически установлено, и когда все будет готово, у вас появится возможность автоматического запуска мастера установки Forefront TMG Installation.

Нажмите Готово и мастер установки автоматически запустится. Следуйте указаниям мастера, примите лицензионное соглашение и введите имя пользователя, название компании и серийный номер. Пройдите через все страницы мастера, пока не дойдете до страницы опций внутренней сети. В моей тестовой среде у меня две сети. Публичная сеть, подключенная к интернету, и частная, внутренняя сеть. Серверы Exchange Servers подключены к этой сети.

Нажмите Далее, чтобы продолжить работу мастера установки и установить TMG на сервер. Процесс установки может занять некоторое время.

Когда установка завершена, нажмите Готово. Если хотите, можете отметить опцию 'Запустить Forefront TMG Management по окончании работы мастера', в этом случае консоль управления откроется автоматически.

Теперь сервер TMG Server установлен поверх Edge Transport Server. Хотя внутренний сервер Hub Transport работал с Edge Transport Server, теперь он перестал работать. Это произошло потому, что TMG сервер является брандмауэром, и его необходимо настроить для корректной работы всех функций.

В следующей статье я расскажу о различных настройках сочетания серверов Edge Server, Forefront Protection for Exchange и Threat Management Gateway.