Quản lý Receive Connector – Phần 3

Quản lý Receive Connector – Phần 1
Quản lý Receive Connector – Phần 2

Anderson Patricio

Quản Trị Mạng - Phần này chúng tôi sẽ giới thiệu cho các bạn về các thiết lập ghi chép và các phương pháp thẩm định được sử dụng bởi Receive Connector.

Cấu hình các thiết lập ghi Receive Connector

Chúng ta có thể cấu hình để ghi lại các sự kiện trên mỗi receive connector. Để kích hoạt tính năng ghi trong một receive connector, chúng ta phải xác định trước nơi đặt các file bản ghi. Để cấu hình nơi các file bản ghi sẽ được lưu giữ trước khi kích hoạt tính năng ghi ở mức connector:

1. Mở Exchange Management Console
2. Mở Server Configuration
3. Kích Hub Transport
4. Chọn hub transport hiện có ở phần bên phải và kích Properties
5. Kích tab Log Settings. Trong phần Protocol Log, chúng ta có thể thay đổi đường dẫn về nơi Receive Connectors hoặc Send Connectors sẽ được lưu bằng cách kích nút Browse (Hình 1).

Hình 01


Lúc này, chúng ta hoàn toàn đã biết được vị trí lưu các file bản ghi, từ có thể xem các thuộc tính của bất cứ Receive Connector nào và có tùy chọn mang tên Protocol logging level được đặt mặc định None và sẽ thay đổi Verbose (xem trong hình 2). Chỉ sử dụng chế độ Verbose trong suốt kịch bản khắc phục sự cố, nếu không bạn hãy để cấu hình của nó là None.

Hình 02


Giờ đây chúng ta có thể gửi một thông báo văn bản bằng SMTP (như đã giới thiệu trong các phần trước) và có thể kiểm tra tất cả truyền thông trong một file bản ghi, như thể hiện trong hình 3.

Hình 03


Cấu hình thẩm định và các điều khoản

Những gì chúng ta hiện làm việc cho tới giờ chính là cách tạo một receive connector, cách quản lý một số tính năng bảo mật và cách thay đổi các IP lắng nghe để làm cho mỗi connector trở thành duy nhất. Chúng tôi sẽ giới thiệu cho các bạn về các phương pháp thẩm định và các điều khoản có sẵn có liên quan tới Receive Connector.

Receive Connectors sử dụng 7 kiểu thẩm định khác nhau, đó là: No authentication, TLS, Integrated, Basic Authentication, Basic Authentication over TLS, Exchange Server Authentication (Gssapi and Mutual Gssapi) và External Authoritative. Các phương pháp thẩm định này được dùng cho các máy khách trong SMTP session, sau khi thẩm định được thực hiện bên cạnh đó là các điều khoản được áp dụng. Để cấu hình phương pháp thẩm định để một Receive Connector sử dụng, chúng ta hãy sử dụng các bước dưới đây:

1. Mở Exchange Management Console.
2. Mở Server Configuration.
3. Kích Hub Transport.
4. Kích Receive Connector và kích Properties
5. Kích tab Authentication (xem trong hình 4)

Hình 04


Chúng ta sẽ thấy phương pháp thẩm định được sử dụng bởi một receive connector cho một telnet session đơn giản nhất. Tất cả các phương pháp thẩm định hiện có đều được thể hiện sau SMTP verb ehlo. Bảng dưới đây thể hiện sự khác nhau về sự đáp trả của SMTP cho mỗi phương pháp thẩm định:

Authentication Method

Response of EHLO

Transport Layer Security (TLS)

250-STARTTLS

Basic Authentication

250-Auth Login

Integrated Windows Authentication

250-Auth NTLM

Externally Secured

250-Auth
250 XEXCH50


Chúng ta vừa được thấy cách cấu hình các phương pháp thẩm định để sử dụng trong một Receive Connector, giờ đây chúng ta sẽ cấu hình một máy chủ relay bên trong, trường hợp này rất hữu dụng cho những nơi users/printers/servers cần phải gửi thông báo bằng một máy chủ relay bên trong. Chúng tôi sẽ tạo một relay connector bên trong và sau đó thay đổi một số cấu hình để minh chứng những gì chúng ta đã thực hiện để thỏa mãn nhu cầu của mình.Trước tiên hãy tạo Internal Receive Connector. Connector sẽ sử dụng kết nối trên cổng 25, mặc dù vậy các kết nối sẽ được tạo trên các máy từ địa chỉ 172.16.171.1 đến 172.16.171.20 trong ví dụ này. Chỉ định một FQND khác; với receive connector bên trong, chúng ta sẽ sử dụng relay.apatricio.local, lệnh dưới đây được sử dụng để tạo connector:

New-ReceiveConnector –Usage:Client –Bindings:0.0.0.0:25 –RemoteIPRanges:172.16.171.1-172.16.171.20 –FQDN:relay.apatricio.local –Server srv-ex01 –ProtocolLoggingLevel:Verbose –Name:”Internal Relay”

Lúc này, chúng ta đã tạo được Receive Connector, giờ là lúc bạn có thể vào bất cứ máy nào nằm trong dải địa chỉ IP từ xa đã được xác định trước, khi đó bạn sẽ thấy một nhắc lệnh về receive connector mới của mình. Hãy thẩm định các thông tin FQND được hiển thị trong dòng đầu tiên (xem hình 5).

Hình 05


Hãy mở Event Viewer trong Exchange Server khi đó chúng ta sẽ thấy lỗi mang số 12014 và MSExchangeTransport Source. Lỗi này xuất hiện là vì chúng ta vẫn chưa có chứng chỉ cho relay.apatricio.local FQDN. Tuy nhiên có thể tránh được thông báo lỗi này bằng cách cấu hình Receive connector bên trong sử dụng Basic Authentication và Integrated Windows Authentication, như thể hiện trong hình 6. Chúng ta sẽ xem xét đến TLS và các chứng chỉ cho kết nối này trong phần tiếp theo.

Hình 06


Trong tab Permission Groups, chúng ta có 5 nhóm điều khoản khác nhau, cả năm nhóm điều khoản này đều liên quan đến receive connector. Các nhóm điều khoản được định nghĩa trước này là một tập các đối tượng có thể gồm người dùng, máy tính và các nhóm bảo mật, chúng định nghĩa các điều khoản SID (Security Identifier), cho ví dụ (điều khoản nhóm Exchange Users là một nhóm người dùng được thẩm định trong Active Directory) Sử dụng các nhóm điều khoản này là một giải pháp hữu hiệu cho đa số các công ty, mặc dù vậy chúng ta không thể thay đổi các nhóm điều khoản bằng Exchange Management Console.

Trong tab Permissions Groups, chúng ta sẽ hợp lệ hóa người được phép kết nối với Receive Connector. Trong Client Connector, mặc định chỉ có “Exchange Users” được phép (xem hình 7).

Hình 07


Do chúng ta có phương pháp thẩm định và điều khoản có liên quan với Exchange Users nên hoàn toàn có thể thực hiện test. Để test, chúng ta có thể sử dụng Outlook Express để tạo một tài khoản giả (dummy) bằng một tài khoản POP3 Server giả chỉ dùng để test giao thức SMTP. Bảo đảm rằng địa chỉ reply được sử dụng trong tài khoản Outlook Express nằm trong danh sách hiện hành của Accepted Domains trong Exchange organization và bạn đang sử dụng đúng username và password, cuối cùng hãy cấu hình tài khoản để sử dụng sự thẩm định bằng tùy chọn “My Server requires authentication”.

Hình 08


Lúc này bạn có thể gửi một thông báo tới bất cứ địa chỉ email nào và thông báo sẽ được gửi đi. Vậy cách chúng ta bảo đảm cho sự thẩm định đó làm việc như thế nào? Hoàn toàn rất dễ dàng! Trong khi tạo receive connector, chúng ta đã cấu hình mức logging cho Verbose. Giờ đây bạn đã hiểu tại sao chúng tôi lại nói là dễ dàng? Hãy quan sát các file bản ghi được tạo ra và chúng ta sẽ thấy quá trình thẩm định như thể hiện trong hình 9.

Hình 09


Cấu hình mặc định là việc trong hầu hết các kịch bản, mặc dù vậy đôi khi có những trường hợp ngoại lệ, trong các trường hợp này, các điều khoản được yêu cầu để cấu hình Receive Connector sao cho thích hợp với các nhu cầu công ty. Chúng ta có thể cấu hình các điều khoản Receive Connector theo hai cách: sử dụng Exchange Management Shell hoặc AdsiEdit.msc.

Phương pháp đầu tiên là sử dụng Exchange Management Shell. Để quan sát điều khoản hiện hành của một Receive Connector, bạn hãy chạy lệnh sau:

Get-ReceiveConnector <connector-Name> | Get-ADPermission

Để quản lý các điều khoản, sử dụng Add-ADPermission để bổ sung thêm các entry vào danh sách đó và Remove-ADPermissions để remove các entry.

Phương pháp thứ hai để thiết lập các điều khoản Receive Connector là sử dụng AdsiEdit.msc (mặc định có trong công cụ hỗ trợ của Windows, bạn phải cài đặt công cụ này trước khi sử dụng nó).

Sử dụng ADSIEdit.msc, chúng ta có thể thực hiện một số thao tác với điều khoản Receive Connector:

1. Mở AdsiEdit.msc.
2. Mở Configuration.
3. Mở CN=Services.
4. Mở CN=Microsoft Exchange.
5. Mở CN=<Organization name>.
6. Mở CN=Exchange Administrative Group (FYDIBOHF23SPDLT).
7. Mở CN=<Server Name>.
8. Mở CN=Protocols.
9. Mở CN=SMTP Receive Connectors.
10. Bên phía phải của cửa sổ, chúng ta sẽ thấy tất cả các Receive Connector của máy chủ (Hình 10).

Hình 10


11. Kích phải vào Receive Connector và kích Properties
12. Kích tab Security, trong danh sách chúng ta sẽ thấy tất cả các Security Identifier cho mỗi nhóm điều khoản có liên quan đến receive connector và các điều khoản được cho phép.

Lúc này chúng ta hoàn toàn có thể quản lý các điều khoản một cách dễ dàng bằng Adsiedit.msc thay vì Exchange Management Shell.

Kết luận

Trong phần này chúng tôi đã giới thiệu cho các bạn các cấu hình các thiết lập bản ghi trong một Receive Connector và cách cấu hình các điều khoản bằng AdsiEdit và Exchange Management Shell.

Thứ Hai, 03/11/2008 08:49
31 👨 1.535
0 Bình luận
Sắp xếp theo