Những bổ sung cho Exchange Server 2007 - Phần 1: Các bước giới thiệu

Marc Grote

Trong loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách bổ sung Exchange Server 2007 SP1 (Beta), được cài đặt trên Windows Server 2008 (cũng Beta). Chúng tôi đã nói về các bước cần thiết để bổ sung hệ điều hành bên dưới bằng cách chỉ cài đặt một số lượng tối thiểu role máy chủ và dịch vụ. Trong phần thứ hai, chúng tôi dự định sẽ giới thiệu về việc cài đặt và hoạt động của một cài đặt Exchange Server 2007 an toàn và phần ba sẽ giới thiệu về cách bảo vệ truy cập máy khách an toàn từ OWA, POP3/MAP4 và cách chống lại virus, spam.

Trước khi bắt đầu, chúng ta nên chú ý rằng đây là bài báo dựa trên phiên bản Beta của Windows Server 2008 và Exchange Server 2007 SP1 và như vậy có thể sẽ có những tính năng mới được bổ sung hoặc có những thay đổi nhỏ so với các phiên bản cuối cùng của các sản phẩm này.

Loạt bài này chúng tôi sẽ tập trung vào một số tính năng mới và các chủ đề có liên quan đến Exchange Server 2007 và Windows Server 2008. Nếu bạn muốn có các thông tin bổ sung về việc bảo mật môi trường, hướng dẫn người dùng và hơn thế nữa, có thể tham khảo một số bài khác.

Exchange Server 2007 và những điều khoản

Trong Exchange 2003, những role bảo mật dưới đây được cung cấp thông qua tiện ích Delegation trong Exchange System Manager:

  • Quyền quản trị viên đầy đủ
  • Quản trị viên Exchange
  • Quản trị viên chỉ được quyền xem

Model này tương đối ổn định và không cung cấp truy cập sâu. Model điều khoản này thường là một vấn đề trong các môi trường lớn, nơi tuyệt đối cần đến sự phân phối công việc quản trị khác nhau đối với những người dùng khác nhau hay các nhóm mà không làm ảnh hưởng đến sự bảo mật trong Windows Server 200x và Exchange Server 2007. Exchange Server 2007 có một model điều khoản khác hoàn toàn. Có một số role quản trị viên mới tương tự như những nhóm bảo mật được xây dựng trong Windows Server và bạn có thể sử dụng Exchange Management Console (EMC) hay Exchange Management Shell (EMS) để xem, bổ sung, xóa các thành viên từ bất kỳ role quản trị nào.

Hiện có một số vùng điều khoản Exchange khác:

  • Dữ liệu toàn cục (Global Data)
  • Dữ liệu người nhận (Recipient Data)
  • Dữ liệu máy chủ (Server Data)

Dữ liệu toàn cục (Global data)

Dữ liệu toàn cục (Global Data) không được kết hợp với Exchange Server cụ thể nào và được lưu trong mục cấu hình Active Directory, mục được tái tạo trong forest rộng, chính vì vậy chỉ người dùng tin cậy mới có thể truy cập vào dữ liệu này.

Dữ liệu người nhận (Recipient Data)

Dữ liệu người nhận (Recipient Data) là những người nhận Exchange miền Active Directory. Dữ liệu người nhận gồm có email của người dùng đã được kích hoạt, danh sách liên lạc, các nhóm phân phối và mailbox,…

Dữ liệu máy chủ (Server Data)

Dữ liệu máy chủ (Server Data) là dữ liệu của một Exchange nào đó trong miền Active Directory bên dưới đối tượng Exchange Server nào đó. Một số ví dụ của dữ liệu này như các bộ nối kết nhận (các bộ nối kết gửi là forest rộng), các thư mục ảo,…

Các quản trị viên Exchange Server 2007

  • Quản trị viên tổ chức
  • Quản trị viên người nhận
  • Quản trị viên chỉ xem


Hình 1: Quản trị viên của Exchange Server 2007

Để có một tổng quan, chúng tôi đã sử dụng một bảng các role điều khoản cho phép của Exchange Server khác nhau từ website của Microsoft TechNet, bảng này sẽ cho bạn biết được nhiều về cách sử dụng các điều khoản Exchange khác nhau.

Role quản trị viênThành viênThành viên củaCác điều khoản của Exchange
Quản trị viên tổ chứcQuản trị viên, hoặc tài khoản được sử dụng để cài đặt Exchange 2007 server đầu tiênQuản trị viên người nhận

Nhóm nội bộ của
Kiểm soát toàn diện đối với mục Microsoft Exchange trong Active Directory
Quản trị viên người nhậnQuản trị viên tổ chứcQuản trị viên chỉ xemKiểm soát toàn diện đối với các thuộc tính của Exchange trên đối tượng Active Directory người dùng
Quản trị viên Exchange ServerQuản trị viên tổ chứcQuản trị viên chỉ xem

Nhóm nội bộ của
Kiểm soát toàn bộ Exchange
Quản trị viên chỉ xemQuản trị viên người nhận

Quản trị viên Exchange Server ()
Quản trị viên người nhận

Quản trị viên Exchange Server
Cho phép đọc mục Microsoft Exchange trong Active Directory

Cho phép đọc tất cả các miền Windows có người nhận Exchange
Exchange ServersMỗi tài khoản máy tính Exchange 2007Quản trị viên chỉ đọcĐặc biệt

Bảng 1: Điều khoản Exchange Server 2007

Các tập thuộc tính trong Exchange Server 2007

Bạn có thể sử dụng tập các thuộc tính trong Exchange Server 2007 cho việc nhóm thuộc tính để kích hoạt kiểm soát truy cập đối với các thuộc tính của đối tượng cụ thể. Các tập thuộc tính sử dụng một Access Control Entry (ACE) truy cập riêng thay cho ACE cho mỗi thuộc tính riêng lẻ.

Exchange Server 2007 tạo hai tập thuộc tính mới dành riêng cho bản thân nó và không sử dụng các tập thuộc tính Active Directory đang tồn tại. Trong suốt quá trình mở rộng Active Directory Schema, Exchange Server 2007 thực hiện các hành động dưới đây:

  • Mở rộng Active Directory schema bằng các lớp và thuộc tính mới.
  • Tạo các tập thuộc tính cho Exchange Server 2007, Exchange Information và Exchange Personal Information.
  • Bổ sung thêm các thuộc tính phù hợp với tập thuộc tính của Exchange Information và Exchange Personal Information.

Các role của Exchange server

Exchange Server 2007 có một role mới. Bạn hoàn toàn có thể cài đặt 5 role Exchange Server 2007 khác nhau. Các role này là:

  • Mailbox server role
  • Hub Transport server role
  • Client Access server role
  • Unified Messaging server role
  • Edge Transport server role

Mỗi một role thực hiện một số chức năng đặc biệt nào đó và các doanh nghiệp có thể kết hợp các role này trên cùng hoặc trên các máy tính khác nhau. Tất cả các role đều có thể được kết hợp mà không cần có một ngoại lệ nào. Edge Transport Server role không thể được cài đặt cùng với các role Exchange khác trên cùng một máy. Vấn đề này cũng tương tự với nút Active and Passive Exchange Cluster service, tuy nhiên chức năng Exchange Cluster sẽ không được đưa vào hạng mục role của Exchange Server.

Exchange Server 2003 chính thức không hề có role được cài đặt nhưng bạn hoàn toàn có thể cấu hình một hoặc nhiều máy chủ với tư cách Front End Server (giống như Exchange Server 2007 CAS role). Máy chủ nắm giữ các hộp thư và thư mục công trong Front End Server có tên gọi là Exchange Back End Server. Với Exchange Server 2003, bạn hoàn toàn có thể cấu hình Exchange Server như một máy chủ chỉ để định tuyến mail. Máy chủ này không có các hộp thư và cơ sở dữ liệu thư mục công nhưng nó chịu trách nhiệm cho việc định tuyến mail.


Hình 2: Các role của Exchange Server 2007

Firewall

Firewall của Windows Server 2008 với kết nối mạng nâng cao được bật cho các kết nối vào và ra một cách mặc định. Bạn có thể cấu hình thủ công các ngoại lệ cho cổng tường lửa và các chương trình được phép truyền thông với host khác. Tiện ích Security Configuration Wizard là tiện ích được sử dụng trong Windows Server 2003 SP1 có mục đích thiết lập cấu hình bảo mật dựa trên role, tiện ích này chịu trách nhiệm cho việc tạo các ngoại lệ dựa trên role đã được cấu hình, hiện không còn được sử dụng trong Windows Server 2008.

Lưu ý:
Đừng so sánh Server Manager của Windows Server 2008 với Server Manager trong Windows NT4. Chúng là những chương trình khác nhau hoàn toàn.

Server Manager của Windows Server 2008 được sử dụng để cung cấp vấn đề bảo mật dựa theo role cho các dịch vụ và tính năng của Windows đã được cài đặt, tuy nhiên chúng tôi nghĩ rằng Server Manager sẽ được sử dụng trong tương lai với vấn đề bảo mật theo role cho ứng dụng đã được cài đặt như Microsoft SQL Server 200x và các phiên bản sau này. Với phiên bản Windows Server 2008 Beta hiện hành và phiên bản Beta cho Exchange Server 2007 SP1, Exchange setup mở các cổng và các chương trình cần thiết phụ thuộc vào role Exchange mà bạn cài đặt.


Hình 3: Windows Server 2008 Firewall

Các dịch vụ Exchange Server 2007 đã được cài đặt

Phụ thuộc vào các role của Exchange đã cho trong quá trình cài đặt, chỉ các dịch vụ cần thiết sẽ được cài đặt theo lựa chọn đó.


Hình 4: Các dịch vụ Exchange Server 2007 trên Windows Server 2008

Kết luận

Trong phần này, chúng ta đã thảo luận một số phương pháp về cách bổ sung bên dưới hệ điều hành Windows Server 2008 và vài trò một số phần của cài đặt dựa theo role của Exchange Server 2007 quan trọng như thế nào trong toàn bộ giải pháp bảo mật. Chúng tôi cũng đã giới thiệu về model điều khoản mới của Exchange Server và các dịch vụ Exchange Server 2007 đã được cài đặt. Trong phần thứ hai của bài này, chúng tôi sẽ tiếp tục giới thiệu đến các bạn vấn đề bảo mật trong Exchange Server 2007 và phần ba là cách bảo mật truy cập máy khách đối với Exchange Server 2007 cũng như một số thay đổi cấu hình cần phải thực hiện trong cấu hình Exchange Server 2007.

Phần 2: Bảo vệ mặc định
Phần 3: Bảo vệ truy cập Email máy khách

Thứ Bảy, 26/01/2008 15:27
31 👨 1.157
0 Bình luận
Sắp xếp theo