Статьи :: Microsoft Exchange Server :: Exchange 2003 :: Замена сервера Exchange 2003 Frontend OWA Server на сервер Exchange Server 2007 Client Access Server

» Главная
- » Поддержка
  - » Статьи
    - » Microsoft Exchange Server
      - » Exchange 2003

Замена сервера Exchange 2003 Frontend OWA Server на сервер Exchange Server 2007 Client Access Server

Эта статья переведена силами и средствами компании Red Line Software. Размещение данного переведенного материала на других сайтах без разрешения компании Red Line Software запрещается.

[07 Марта 2009]

Введение

Многие компании все еще используют среды Exchange Server 2003 (которые появились и устанавливались несколько лет назад) и аспекты конструкции и рекомендации, которые были выпущены в то время, соответствовали только тому времени. Это означает, что многие использовали решение Exchange Server Front-End Solution, размещенное непосредственно в DMZ.

Если эти компании планируют переходить на Exchange Server 2007, им нужно решить, оставлять свои внешние серверы (front-end server) или замещать их новыми машинами с установленным на них сервером Exchange Server 2007, или полностью пересмотреть конфигурацию своего решения. В этой статье мы поговорим о плюсах и минусах перехода и о тех решениях, которые лучше всего будут соответствовать будущим требованиям.

Два возможных решения

В общем и целом, есть два типа решения, применимых в конструкции Exchange Server 2007 front-end Server:

Замена существующего сервера Exchange 2003 front-end на роль сервера клиентского доступа Exchange 2007 client access service (CAS).
Замена существующего сервера Exchange 2003 front-end на обратимый прокси сервер, такой как ISA Server 2006.

Эти два типа будут рассмотрены в данной статье.

Замена существующего сервера на Exchange Server 2007 CAS

Самым простым способом перехода с существующего Exchange Server 2003 front-end на Exchange Server 2007 будет установка нового сервера с 64 разрядной ОС Windows Server, после чего нужно добавить роль службы Exchange Server 2007 CAS на него. Затем вы успешно переведете все функции со старого сервера на новый и можете приступать к списанию старого Exchange Server 2003.

Это означает, что вы не измените саму конфигурацию; здесь просто будет замена старого сервера на новый с теми же функциями и характеристиками. Здесь также не произойдет никаких изменений настроек безопасности или конфигурации брандмауэра, так как порты, которыми вы пользовались в Exchange Server 2003 абсолютно такие же, как и в Exchange Server 2007.

Необходимые порты для взаимодействия между сервером CAS Server и внутренними серверами определены в одной из моих предыдущих статей, которую можно найти здесь.

Итак, это решение довольно простое и его можно без проблем использовать без каких-либо помех для пользователей.

Замена существующего сервера на обратимый прокси сервер (reverse Proxy Server)

Вторым способом миграции будет полное пересмотрение существующего решения. В Exchange Server 2007 вам больше не понадобится внешний сервер (front-end server). Вам нужен будет лишь обратимый прокси сервер (такой как ISA Server 2006), расположенный в DMZ, а также вам нужно будет разместить весь Exchange Server 2007 в LAN.

Рисунок 1: ISA Server в качестве обратимого прокси для OWA и Push Mail

Более того, это означает, что в DMZ больше не будет серверов Exchange Servers, а это делает данное решение еще более безопасным (в обратимом прокси сервере вам придется открыть лишь HTTPS для взаимодействий с вашими серверами Exchange в LAN). В результате этого вам также нужно будет открыть два порта (в вашей конфигурации) с DMZ во внутреннюю сеть, а не порты с 8 по 11, однако это зависит от вашей конкретной конфигурации.

Если вы выберите данную конкретную конфигурацию, вам нужно будет применить решение обратимого прокси сервера. Многие брандмауэры дают возможность настраивать прокси и/или обратимый прокси сервер на себе. Поэтому во многих конфигурациях вам не придется выбирать новое решение сервера для нового продукта. Если у вас нет существующего прокси сервера, вам нужно подумать о новом решении, таком как ISA Server 2006, который доступен в виде софтверного решения, а также в качестве аппаратной установки. Решение об установке софтверной или аппаратной версии принимать вам, это абсолютно не важно для функциональности, которая нам здесь потребуется.

Я бы порекомендовал использовать ISA Server в качестве обратимого прокси решения по следующим причинам:

Лучшая интеграция с решением Exchange
Вход будет осуществляться непосредственно на модуле ISA Server, а не на внутреннем интерфейсе; к тому же ISA Server будет обеспечивать аутентификацию и авторизацию
ISA Server 2006 оснащен прикладным фильтром в стандартной конфигурации, который будет фильтровать трафик для Outlook Web Access и/или Outlook Mobile Access, чтобы не позволять нежелательному трафику проходить через брандмауэр
ISA Server 2006 может работать в качестве RADIUS или LDAP прокси для обеспечения защищенной аутентификации на Active Directory Services внутри LAN
На сегодняшний день ISA Server представляет собой единственное решение, обеспечивающее такие расширенные функции

Если вы решите использовать решение обратимого прокси, сам проект нуждается в детальном планировании, поскольку решения интернет почты (OWA и Active Server Sync) могут не работать.

Сам процесс миграции можно хорошо подготовить, поскольку можно подготовить множество элементов, прежде чем отключать существующий внешний сервер Exchange Server 2003 и переходить на новый сервер. Вот несколько моментов, которые помогут вам это сделать:

Установка ОС и ISA Server на физическое оборудование
Подготовка конфигурации брандмауэра для решения ISA Server (с новым IP адресом возможна одновременная работа даже двух решений)
Настройка правил публикации для Outlook Web Access и/или Active Server Sync

Можно протестировать новую конфигурацию до ее применения, это будет включать:

использование другого IP-адреса и внешнего DNS имени
использование нового цифрового сертификата для ISA Server

Это решение довольно простое, но оно также означает, что если вы используете Active Server Sync, оно будет простым только в том случае, если вы используете цифровой сертификат на каждом мобильном устройстве, имеющем уже установленный в его хранилище сертификатов доверенный корневой сертификат. В противном случае вам придется установить новые корневые сертификаты на все мобильные устройства.

Выбор наилучшего решения

С точки зрения безопасности, второе решение, описанное выше, является наиболее сложным решением. Настройка серверов в DMZ с прямым доступом к серверам в LAN, не столь безопасна, как должна быть. Если хакер сможет действовать в качестве сервера в вашей DMZ, он с таким же успехом сможет получить доступ к вашим внутренним серверам и взломать их без дополнительных действий.

Если вы уже используете прокси сервер в DMZ, который способен работать в качестве обратимого прокси, вам следует подумать об использовании этого сервера. Если в настоящее время у вас нет никакого прокси сервера, который бы мог действовать в качестве обратимого прокси, вам следует подумать о применении ISA Server 2006 на машине Windows Server 2003, поскольку этот сервер в данный момент не работает на Windows Server 2008. Если вам нужно именно это решение, вам следует подождать несколько месяцев, пока не выйдет Microsoft Forefront с кодовым названием ‘Stirling’.

Если возникли вопросы, не стесняйтесь, пишите мне.

Автор: Маркус Клейн (Markus Klein)

Маркус Клейн (Markus Klein) является MCSA/MCSE Messaging & Security и Microsoft Certified Trainer (инструктором, сертифицированным Microsoft). Он работает в качестве Консультанта и Старшего IT Инструктора в Bechtle AG на северо-западе Германии. Он специализируется на Active Directory, Exchange, Security, ISA Server и Clustering на Windows 2000 и Windows Server 2003 разработках, миграциях и реализациях. Маркус имеет ученую степень по экономической информатики от Университета Прикладной Науки в Osnabrueck, Германия.