Markus Klein
Quản trị mạng – Trong bài này chúng tôi sẽ giới thiệu cho các bạn những ưu điểm và nhược điểm trong việc thực hiện sự thay thế máy chủ Exchange 2003 Front-End OWA bằng Exchange Server 2007 Client Access.
Giới thiệu
Rất nhiều công ty vẫn còn sử dụng môi trường Exchange Server 2003 (môi trường đã được triển khai cách đây một vài năm) chính vì vậy mà các tính năng cũng như phẩm chất thiết kế của nó cũng chỉ phù hợp với các nhu cầu ở thời điểm đó. Điều đó cũng nói nên rằng các công ty cần phải thực hiện giảp pháp máy chủ Front-End được đặt trực tiếp trong DMZ.
Nếu các công ty này lên kế hoạch di trú sang Exchange Server 2007, khi đó họ cần kiểm tra xem có cần để lại máy chủ front-end của họ nhằm sử dụng tiếp hay thay thế nó bằng một máy chủ mới có cài đặt Exchange Server 2007, hay thay đổi hoàn toàn lại thiết kế của giải pháp. Bài viết này sẽ giới thiệu cho các bạn những ưu điểm cũng như nhược điểm của sự di trú và giải pháp nào sẽ là tốt nhất cho các yêu cầu trong tương lai.
Nhìn chung, có hai giải pháp có thể cho thiết kế máy chủ Exchange Server 2007 front-end đó là:
- Thay thế Exchange 2003 front-end đang tồn tại bằng Exchange 2007 client access service (CAS) role.
- Thay thế Exchange 2003 front-end đang tồn tại bằng một máy chủ proxy ngược giống như ISA Server 2006.
Sau đây là giới thiệu về hai kiểu giải pháp này:
Thay thế máy chủ đang tồn tại bằng Exchange Server 2007 CAS
Cách đơn giản nhất để di trú một Exchange Server 2003 front-end sang Exchange Server 2007 là cài đặt một máy chủ mới với hệ điều hành Windows Server - 64 bit và mới hơn, thêm vào Exchange Server 2007 client access service role. Sau đó bạn di trú tất cả chức năng từ máy chủ cũ sang máy chủ mới.
Thao tác này có nghĩa rằng bạn sẽ không thay đổi bản thân thiết kế mà chỉ thay thế máy chủ này bằng một máy chủ khác nhưng vẫn chạy và cung cấp các chức năng tương tự. Cũng không thay đổi bất cứ thiết lập bảo mật nào hoặc cấu hình tường lửa nào vì các cổng mà bạn cần cho Exchange Server 2003 là hoàn toàn giống với Exchange Server 2007.
Chính vì vậy giải pháp này khá dễ dàng và có thể được triển khai một cách êm ả mà không có sự gián đoạn trong sử dụng.
Thay thế máy chủ đang tồn tại bằng máy chủ proxy ngược
Cách thứ hai để di trú là xem xét toàn bộ lại giải pháp đang tồn tại. Với Exchange Server 2007, bạn sẽ không cần thêm bất cứ máy chủ front-end nào mà chỉ cần môt máy chủ proxy ngược (giống như ISA Server 2006) được đặt trong DMZ và để đặt toàn bộ Exchange Server 2007 vào một LAN.
Hình 1: ISA Server như Reverse Proxy cho OWA và Push Mail
Thêm vào đó, điều này có nghĩa rằng không cần có thêm bất cứ máy chủ Exchange nào cho DMZ của bạn, làm cho giải pháp của bạn an toàn hơn (từ một máy chủ proxy ngược bạn chỉ phải mở HTTPS để truyền thông với các máy chủ Exchange trong LAN). Điều này cũng cho phép bạn mở đến hai cổng (dựa trên cấu hình) từ DMZ đến mạng bên trong và không cần mở các cổng 8 đến 11, tuy nhiên vấn đề này phụ thuộc vào thiết kế của bạn.
Nếu chọn thiết kế này, bạn cần phải thực hiện giải pháp máy chủ proxy ngược. Rất nhiều tường lửa cho phép khả năng này nhằm giúp bạn cấu hình một máy chủ proxy hay reverse proxy trên chúng. Chính vì vậy trong rất nhiều thiết kế, bạn sẽ phải chọn một giải pháp máy chủ mới với một sản phẩm mới. Nếu không có một máy chủ reverse proxy vào thời điển hiện tại thì bạn cần phải xem xét đến giải pháp mới giống như ISA Server 2006, giải pháp này có sẵn dưới dạng giải pháp phần mềm hoặc thiết bị phần cứng. Quyết định chọn giữa thiết bị phần cứng hay phàn mềm là hoàn toàn tùy thuộc vào bạn, nó không phụ thuộc vào chức năng mà bạn cần.
Chúng tôi sẽ dùng giải pháp sử dụng ISA Server như máy chủ reverse proxy vì các vấn đề dưới đây:
- Tích hợp tốt bên trong giải pháp Exchange
- Cửa sổ đăng nhập sẽ xuất hiện trực tiếp trên ISA Server; ISA Server sẽ thực hiện sự thẩm định và cấp phép.
- ISA Server 2006 cung cấp chức năng lọc dùng để lọc lưu lượng cho Outlook Web Access hoặc Outlook Mobile Access nhằm bảo đảm rằng phần lưu lượng không mong muốn sẽ không đi qua tường lửa của bạn.
- ISA Server 2006 có thể thực hiện như một RADIUS hoặc LDAP proxy để bảo đảm sự thẩm định an toàn với Active Directory Services đối với LAN của bạn.
- ISA Server hiện là một giải pháp cung cấp các chức năng nâng cao.
Nếu bạn chọn giải pháp máy chủ proxy ngược, thì bản thân dự án này cần phải được lập kế hoạch một cách chi tiết hơn do thực tế rằng sự gián đoạn từ các giải pháp mail (OWA và Active Server Sync) có thể xuất hiện.
Bản thân sự di trú có thể được chuẩn bị tốt do có rất nhiều thứ có thể được thay thế trước khi bạn vô hiệu hóa máy chủ Exchange Server 2003 front-end đang tồn tại của bạn và chuyển sang máy chủ mới. Ở đây là một số điểm nhằm giúp bạn thực hiện điều đó:
- Sự cài đặt hệ điều hành và máy chủ ISA Server trên phần cứng vật lý của bạn.
- Chuẩn bị cấu hình tường lửa cho giải pháp ISA Server (với một địa chỉ IP mới đang sử dụng cả hai giải pháp thậm chí ở cùng một thời điểm).
- Cấu hình các rule publishing cho Outlook Web Access và Active Server Sync
Có thể test cấu hình mới trước khi đưa vào hệ thống sản xuất, đây là thứ tự cần thực hiện:
- sử dụng địa chỉ IP khác và tên DNS ngoài
- sử dụng một chứng chỉ số mới cho ISA Server
Thao tác này dường như khá dễ dàng nhưng nó cũng có nghĩa rằng nếu bạn đang chạy Active Server Sync, nó chỉ dễ dàng nếu bạn sử dụng chứng chỉ số trên mỗi một thiết bị di động có chứng chỉ gốc tin cậy đã được cài đặt trong kho lưu trữ chứng chỉ. Bằng không, bạn cũng sẽ phải triển khai một root mới được cấp chứng chỉ cho tất cả các thiết bị di động.
Chọn giải pháp tốt nhất
Từ quan điểm về bảo mật, giải pháp thứ hai được mô tả ở trên là giải pháp an toàn hơn nhất. Việc cấu hình các máy chủ trong DMZ, sự truy cập trực tiếp tới các máy chủ trong LAN sẽ không an toàn. Nếu một hacker nào đó có thể giả mạo như một máy chủ của bạn trong DMZ thì tên này có thể truy nhập thành công vào các máy chủ bên trong của bạn và hack vào bên trong một cách dễ dàng.
Nếu đang sử dụng một máy chủ proxy trong DMZ cũng có khả năng làm việc như một máy chủ proxy ngược, khi đó bạn nên cân nhắc đến việc sử dụng máy chủ proxy ngược này. Nếu không có bất cứ proxy nào có thể thực hiện như một proxy ngược thì bạn cần phải xem xét đến giải pháp ISA Server 2006 trên máy chủ Windows Server 2003, do máy chủ này không làm việc với Windows Server 2008 hiện nay.