در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

آموزش اکسچنج سرور (Exchange) قسمت 8 : نکات مهم قبل نصب

این قسمت تمامی componentهایی را که لازم است تا زمان پیاده سازی اولیه Exchange 2010 آنها را در نظر گرفت معرفی می کند. این componentها کمک می کند تا Exchange بر مبنایی محکم پیاده سازی شود و به علاوه پتانسیل های موجود در سازمان را شناسایی می کند.

بررسی توپولوژی شبکه

بررسی و تعیین توپولوژی شبکه ای که Exchange روی آن نصب می شود اهمیت حیاتی دارد که این بررسی در گام دوم (Step 2: Assess) از فاز Delivery (که در قسمت هفتم این آموزش گنجانده شده است) انجام می گیرد. ایجاد تغییرات در زیرساخت های شبکه اغلب زمان قابل توجهی را خواهد گرفت زیرا تیم Exchange لزوما مسئول ایجاد این تغییرات در شبکه نیستند و communicationها و مذاکرات لازم که به طور معمول مورد نیاز هستند اکثرا قبل از ایجاد تغییرات باید شکل بگیرند به خصوص در سازمان های بزرگی که از OSهای ناهمگونی پشتیبانی می کنند.شناسایی تغییرات مورد نیاز و حصول اطمینان از اجرای بدون مشکل آنها در مراحل اولیه Design زمان زیادی را هنگام پیاده سازی Exchange 2010 برای ما صرفه جویی میکند.این بخش یک مرور کلی روی الزامات مرتبط با Network برای Exchange 2010 دارد.

بررسی توپولوژی فعلی شبکه و توپولوژی برنامه ریزی شده

گام اول جمع آوری تمام اطلاعات در مورد شبکه Internal، فضای پیرامون شبکه و فضای external است که این اطلاعات در حد امان باید کامل جمع آوری شوند و این اطلاعات باید شامل تمام جنبه ها باشد که عبارتند از:

  • Physical network topology ( توپولوژی فیزیکی شبکه)

کنترل کنید که در همه جا از پروتکل TCP/IP استفاده گردد که Internet Protocol مورد استفاده IPv4 یا IPv6 یا هر دو با هم است. IPآدرس ها چگونه به سرورها اختصاص داده شده اند و اینکه subnet ها بر اساس موقعیت قرارگیری از همان IP باشند.

  • Internal physical network connections or links ( لینک ها یا اتصالات فیزیکی شبکه داخلی)

که شامل لینک های LAN و WAN، روتر و ... است.

  • External physical network connections ( اتصالات فیزیکی شبکه خارجی)

که شامل اینترنت، شرکت های شرکا و ... است.

  • Interconnection of physical network connections ( نحوه اتصال فیزیکی شبکه )

که شامل hub-and-spoke، Ring یا Star و point-to-point است.

  • Physical network speed ( سرعت شبکه)

که بین پهنای باند تضمین شده (guaranteed bandwidth)، پهنای باند موجود و زمان تاخیر برای هر یک از لینک های مشخص تقسیم می شود.

  • Network protection that might interfere ( حفاظت شبکه ای در شبکه هایی که ممکن است در آنها تداخل رخ دهد)

که شامل فایروال هاست که از لینک های فیزیکی یا deviceهای رمزگذاری لینک شبکه محافظت می کنند که سرعت لینک را کاهش می دهد.

  • در دسترس بودن پورت فایروال برای سیستم های داخلی و خارجی
  • سرور name resolution مورد استفاده شده در موقعیت و بین موقعیت ها (DNS/WINS)
  • فضاهای نام (Namespace) تعریف شده در DNS

که بعدا در Planning Namespace در همین بخش توضیح داده خواهد شد.

  • Perimeter network servers (سرورهای Perimeter شبکه)

که شامل تمام سرورهایی است که در یک شبکه perimeter قرار دارند به ویژه هر سروری که امکان SMTP-relay را فراهم می کند.

Domain Name System )DNS)

در این بخش، در مورد پایه و اساس فنی در سیستم (DNS) بحث شده است. وشامل مطلبی درباره Namespace planning نیست. جنبه های namespace planning و disjoint namespace یا single label domains در بخش “Planning Namespace” بعدا شرح داده خواهد شد.

DNS and Active Directory

Microsoft Windows از استاندارد DNS به عنوان سرویس اصلی name registration و name resolution برای AD استفاده می کند. به همین دلیل به عنوان یک نیاز اساسی لازم است تا تمام clientها و سرورها به طور قابل اطمینانی در namespace مناسب در queryهای DNS، resolve شوند. DNS یک پایگاه داده سلسله مراتبی (hierarchically)، توزیع یافته (distributed) و مقیاس پذیر (scalable) فراهم می کند که در آن host می تواند رکوردهای خود را به صورت خودکار update کند. این رکوردهای پویا (dynamic) زمانی که از Active Directory–integrated DNS zones استفاده می کنید به طور کامل با AD مجتمع (integrate) می شوند.لیست زیر بهترین پیشنهادها برای تنظیمات DNS است زمانی که شما Exchange 2010 را روی AD خود پیاده سازی می کنید:

  • از سرویس های DNS Server که جزئی از Windows Server است، استفاده کنید. که برای شما ویژگی هایی از جمله update اتوماتیک و zoneهای AD–integrated DNS را فراهم می کند. به طور مثال، domain controllers (DC) انواع سرویس های شبکه ای در DNS را register می کند بنابراین سایر کامپیوترها در forest می توانند به آنها دسترسی داشته باشند.
  • اگر نمی توانید از سرور Windows DNS برای AD استفاده کنید، مطمئن شوید که DNS از رکوردهای SRV پشتیبانی می کند و updateهای اتوماتیک رکوردهای Locator DNS (SRV and A records) را allow کنید. اگر شرکت شما از BIND استفاده می کند، مطمئن شوید که از BIND 8.x یا بعد از آن استفاده می کنید.
  • تمام zoneهای DNS را به عنوان Active Directory–integrated در AD ذخیره کنید تا از منافع مربوط به replicate بین DNS و AD توسط یک مکانیسم واحد استفاده کنید. که سبب می شود تا برای troubleshooting نیاز به ابزارهای مختلف نداشته باشیم.
  • Dynamic Update را به صورت Secure پیکربندی کنید تا فقط کلاینت های authorize شده اجازه register کردن host name و IP addressشان را داشته باشند.
  • فقط Forward Lookups Zoneهایی که مورد نیاز Exchange 2010 است را پیکربندی کنید. لازم نیست که Reverse Lookup Zoneها را پیکربندی کنید چرا که توسط Windows 2008 یا Exchange 2010 استفاده نخواهند شد.

برای دسترسی به اطلاعات بیشتر در این زمینه به آدرس زیر مراجعه کنید:

DNS

DNS Recordهای مورد استفاده توسط Exchange 2010

(این بخش مروری بر مهم ترین رکوردهای DNS خواهد داشت. )

  • A Records : A record یا Host record تبدیل (mapping) یک host name به IP address را فراهم می کند. Host record برای هر DC و سایر hostهایی که لازم است توسط Exchange یا سایر کلاینت ها در دسترس باشند، لازم است. A recordها از IPv4 استفاده می کنند. در زیر نمونه ای از یک A record را می بینید:
  • berlin-dc01.ITPRO.IR. IN A 10.10.0.10
    
  • SRV Records : تمام سرورهای Exchange 2010 از DNS برای تعیین موقعیت valid domain controller یا global catalog استفاده می کنند. به طور پیش فرض هر زمان که DC سرویس Netlogon را شروع می کند، DNS را با service (SRV) recordهایی که آن DC را به عنوان سرور DC و global catalog معرفی می کنند، بروزرسانی می کنند.SRV resource records رکوردهای DNS هستند. این رکوردها سروری که روی شبکه سرویس خاصی را ارائه می دهد، شناسایی می کنند. به طور مثال یک SRV record می تواند شامل اطلاعاتی باشد که به client کمک کند تا یک DC server را در یک Domain خاص یا یک site پیدا کند. به همین دلیل SRV recordها برای DC سرورها و global catalog سرورها با چندین مقدار مختلف register می شوند تا اجازه دهند که در طول زمان پروسه ی Active Directory discovery، سرورهای Exchange بتوانند server DC یا global catalog مناسب را پیدا کنند.یک گزینه register کردن DNS با نام site است که این امکان را فراهم می کند که کامپیوتری که Exchange server را راه اندازی کرده است بتواند سرورهای DC و global catalog را در Local AD سایت پیدا کند. Exchange Server همیشه مایل است که dc server یا/و global catalog سروری از همان Site که Exchange در آن نصب شده است انتخاب کند.در اینجا مثالی از SRV Record را می بینید:
  • _ldap._tcp.ITPRO.IR. IN SRV 0 100 389 berlin-DC01.ITPRO.IR.
    
  • MX Records : رکورد Mail Exchanger )MX) یک resource record است که این امکان را فراهم می کند که سرورها سایر سرورها را برای تحویل یک internet e-mail که از Simple Mail Transfer Protocol )SMTP) استفاده کرده است، پیدا کنند. یک رکورد MX سرورهای SMTP که پیام های inbound در یک Domain DNS خاص را می پذیرند، شناسایی می کند. هر رکورد MX شامل یک Host name و یک preference value است. زمانی که شما چندین SMTP سرور که از اینترنت قابل دسترس است را به کار می گیرید، می توانید به همه ی آنها preference value یکسان بدهید تا round-robin را بین SMTP سرورها فعال کنید. به علاوه می توانید به یکی از MXها مقدار کمتری برای preference value در نظر بگیرید. در این صورت تمام پیام به سمت این سروری که preference value کمتری دارد Route می شوند مگر اینکه این سرور از دسترس خارج باشد. در زیر نمونه ای از یک MX Record را می بینید:
  • ITPRO.IR MX 10 fresno-ht01.na.ITPRO.IR
    
  • SPF Records : در Exchange Server 2010 از رکوردهای Sender Policy Framework )SPF) برای پشتیبانی از ID spam filtering فرستنده استفاده می کند. اگر بخواهید که از این قابلیت استفاده کنید باید SPF recordها را در DNS پیکربندی کنید. در این باره در بخش های بعدی (Edge Transport and Messaging Security) به تفصیل توضیح داده خواهد شد.

Split DNS

Split DNS یا split-brain DNS در مورد راه اندازی zoneهای جداگانه در DNS به کار می رود بنابراین آن DNS requestهایی که از اینترنت آمده اند به IP address های متفاوتی resolve خواهند شد با توجه به اینکه درخواست ها از internal workstations شما آمده باشد یا از serverها. به عبارت دیگر همان طور که در شکل 8-1 نشان داده شده است اگر یک internet client بخواهد آدرس mail.litware.com را resolve کند، IP addressی را دریافت می کند که مربوط به یک فایروال خارجی (External Firewall) است که بر روی perimeter (پیرامون،محیط) شبکه نشسته است. Internal client در این جا یک IP address مرتبط با internal Client Access server را می گیرد.

Split DNS

Figure 8-1 How split DNS works

مزیت استفاده ار split DNS کمک به کنترل دسترسی کلاینت هاست. کلاینت های internal به جای استفاده از سیستم های خارجی از سیستم های داخلی استفاده می کنند. به عبارت دیگر sessionهای کاربران داخلی توسط برنامه های firewall راه اندازی نمی شود و شما IP address یا host name های داخلی را در اینترنت در معرض دید و خارج از حفاظت قرار نمی دهید. به علاوه می توانید دسترسی hostهای خاصی که در پیرامون (perimeter) شبکه هستند یا force userها را محدود کنید تا فقط یک مسیر ارتباطی خاص را بگیرند. بنابراین در سازمان هایی که roleهای سرور در معرض اینترنت قرار می گیرند، بهترین روش پیاده سازی split DNS است.

تفاوت Fixed IP Address با Dynamic IP Address

شما باید باید بدانید که سرویس دهنده اینترنت به شرکت شما از یک fixed IP addresses برای دسترسی به اینترنت استفاده می کند یا یک dynamic IP addresses. اگر سرورهای شما که با بیرون ارتباط دارند، مثل Edge Transport servers، دارای یک fixed IP address باشند و ورودی های DNS شامل رکوردهای MX یا A به همین ترتیب register شده باشند، شما می توانید به بهترین روش کار کرده و با بیرون ارتباط داشته باشید. از آنجایی که هزینه fixed IP address برای برخی سازمان ها به خصوص شرکت های کوچک بالاست بعضی ها ترجیح می دهند که Exchange سرور 2010 را بر پایه Internet Providerهایی بنا کنند که تنها یک Dynamic IP ارائه می کند. اگر در چنین موقعیتی قرار دارید باید یک Dynamic DNS Service در نظر بگیرید که به شما اجازه بدهد تا Dynamic IP address خود را در سرویس DNS آنها register کنید. و مطمئن شوید که Dynamic DNS service موارد زیر را داراست:

  • IP addresses شما زمانی که تغییر می کند باید به صورت خودکار درDNS ثبت (register) شود. Router شما و/یا ارائه دهنده Dynamic DNS service باید از این IP پشتیبانی کند.
  • IP updateها به صورت real time در DNS، replicate شوند تا مطمئن شویم که این تغییرات به صورت همزمان و فورا توسط اینترنت شناخته شده اند.
  • برای اینکه سرورهای خارجی SMTP بدانند که چطور پیام ها را به Domain شما بفرستند باید DNS رکورد Domain شما شامل MX record باشد.
  • Dynamic DNS service باید به شما یک SMTP relay host برای فرستادن پیام به اینترنت ارائه کند در غیر این صورت به علت تغییر IP اگر به صورت مستقیم پیام را بفرستید سرور شما را به عنوان یک اسپم در نظر می گیرد. بسیاری از SMTP serverها IPهای dynamic را مورد اطمینان ندانسته و بنابراین پیام ها رسیده از طریق آنها را قبول نمی کنند. اگر نکات فوق را رعایت کنید هنگام کار با Exchange 2010 زمانی که از Dynamic IP استفاده می کنید مشکلی نخواهید داشت.

Internet Protocol )IPv4 and IPv6)

Internet Protocol Version 4)IPv4) به طور معمول برای ارتباط بین دو device در اینترنت با هم استفاده می شود. جانشین IPv4، Internet Protocol Version 6 (IPv6) نامیده می شود که در سال 1996 در RFC 2460 تعیین شد. IPv6 برای رفع برخی کاستی های IPv4 ارائه شد از جمله محدودیت آدرس های IPv4 و کمبود توسعه. به علت اینکه طول IPv6 معادل 128 بیت است ( در مقابل IPv4 که 32 بیت بود) دیگر با کمبود تعداد IP مواجه نخواهیم بود و به تعداد تمام حشره ها و حیوانات زنده و هر کس دیگری روی زمین آدرس IP وجود خواهد داشت.( البته فکر کنم تعداد حشره ها و حیوانات زنده را اشتباهی شمردن!! :دی) متاسفانه IPv6 یک فرمت از IPv4 نیست و یک پروتکل کاملا جدید است. بنابراین یک شبکه IPv4 نمی تواند به صورت مستقیم با یک شبکه IPv6 ارتباط داشته باشد و بالعکس. تمام deviceهای شبکه مثل روتر باید IPv6 را بفهمند در غیر این صورت ارتباط با مشکل مواجه خواهد شد.

IPv6 for Windows

نرم افزارهای client و سروری برای استفاده از IPv6 باید از آن پشتیبانی کنند. سیستم عامل های سروری مایکروسافتی زیر از IPv6 پشتیبانی می کنند:

(Windows Server 2003 IPv4 is installed and enabled; IPv6 is not installed by default.)
(Windows Server 2008 IPv4 and IPv6 are installed and enabled by default.)
(Windows Server 2008 R2 IPv4 and IPv6 are installed and enabled by default.)

نه تنها سرورها که کلاینت ها نیز باید از IPv6 پشتیبانی کنند. سیستم عامل های کلاینتی زیر از IPv6 پشتیبانی می کنند:

Windows XP Service Pack 1(SP1) or later (IPv4 is installed and enabled; IPv6 is not
installed by default.)
(Windows Vista IPv4 and IPv6 are installed and enabled by default.)
(Windows 7 IPv4 and IPv6 are installed and enabled by default.)

برای کسب مطالب بیشتر در مورد IPv4 و IPv6 به آدرس زیر رجوع کنید:

IP V6

IPv6 for Exchange Server 2010

از آنجایی که Exchange Server 2010 روی Windows Server 2008 یا R2 راه اندازی می شود ممکن است که شما فکر کنید که به طور اتوماتیک از IPv6 پشتیبانی می کند. با این حال شما باید زمانی که دارید برای IPv6 و Exchange 2010 برنامه ریزی می کنید به چند مسئله توجه کنید. Exchange Server roleهای زیر زمانی که از IPv6 استفاده می کنید ممکن است مسائلی را به وجود بیاورند:

  • Hub or Edge Transport

ویژگی هایی مثل IP Allow List Providers یا Sender reputation از IPv6 پشتیبانی نمی کنند چرا که به IP address استاتیک نیاز دارند.

  • Unified Messaging

هیچ یک از ویژگی ها از IPv6 پشتیبانی نمی کنند و برای درست کار کردن به IPv4 نیاز دارند.

  • Client Access Server

Autodiscover and EWS Web services endpoints because you cannot configure an IIS binding for an IPv6 address—WCF throws a Watson exception if you try to configure it.

  • (Database Availability Group (DAG

حتی اگر شما نتوانید یک IPv6 DAG IP address تعریف کنید باز هم از IPv6 پشتیبانی می شود. زمانی که IP آدرسهای استاتیک IPv4 برای یک DAG اختصاص داده می شوند، آن DAG فقط از IPv4 استفاده می کند. زمانی که static IPv4 تعیین نشود، Exchange از DHCP از دستیابی به IPv4 استفاده می کند و همچنین منابع مربوط به IPv6 را نیز create می کند.

Exchange Server از Windows network stack برای اجرای هر request استفاده می کند. هر درخواست به دو عامل بستگی دارد:

  1. Name resolution ( زمانی که درخواست شروع می شود)
  2. Packet type ( هنگام دریافت درخواست)

اول name resolution تعیین می کند که چگونه درخواست از یک کامپیوتر به کامپوتر دیگر آغاز شود که بر اساس آن (IP address (IPv4 or IPv6) که اول resolve شده بود، تصمیم گیری می شود. زمانی که name resolution با یک IPv6 برمی گردد این آدرس برای آغاز درخواست به کار می رود.

دوم، packet type با midstream ورژن IP ترکیب نمی شود. اگر درخواست (Request) از یک IPv4 بیاید پاسخ (Response) نیز از یک IP4 استفاده خواهد کرد و به همین شکل در مورد IPv6. برای ویژگی هایی که از IPv6 پشتیبانی نمی کنند، Exchange باعث می شود که درخواست با شکست مواجه شود و کلاینت یک درخواست دیگر با استفاده از IPv4 می فرستد. بنابراین یک IPv6 request حتی به Unified Messaging role سبب ایجاد مشکل نخواهد بود بلکه فقط نادیده (ignore) گرفته خواهد شد.

Understanding Client Load Patterns

یکی دیگر از جنبه های مهمی که هنگام Planning سرور Exchange 2010 باید در نظر گرفت، client load patterns فعلی است، یعنی ترافیک بین کلاینت های Outlook ( یا سایر mail clientها) و Exchange server.محدوده این کارها به اینکه کلاینت های mail شما در حال حاضر چه هستند، بستگی دارد. اگر بیشتر کلاینت های شما از POP3 و IMAP4 استفاده کنند، load روی سرور Exchange به طور قابل توجهی پایین تر خواهد بود در نتیجه می توانید برای تعداد بیشتری کلاینت روی یک سرور برنامه ریزی کنید. اگر از کلاینت های مبتنی بر MAPI استفاده می کنید مثل Microsoft Outlook 2003 یا Outlook 2007 لازم است تا ببینید که متوسط کاربران از چه Profile استفاده کرده اند تا بتوانید تاثیر ترافیک به سمت سرور Exchange را درک کنید. می توانید از اطلاعات به دست آمده از سیستم مانیتورینگ خود بهره ببرید مثل Microsoft System Center Operations Manager البته اگر در دسترس باشد. همچنین می توانید از Windows Performance Monitor برای جمع آوری اطلاعات درباره عملکرد کلاینت ها استفاده کنید. performance counterهای زیر را در نظر گرفته و از آنها استفاده کنید:

  • Messages sent/received per day
  • Average message size
  • Messages read per day
  • Messages deleted per day
  • Outlook Web Access logon and logoff per day

توجه داشته باشید که dataی کلاینت را از سرور Exchange یا سرور mail ( زمانی که از یک سیستم non-Exchange استفاده می کنید.) به مدت حداقل دو روز ( در اوج ساعات کاری نه در روزهای آخر هفته) جمع آوری کنید تا بتوانید به یک نمودار جامع از performance data دست یابید.بعد از اینکه نتایج را جمع کردید، می توانید آنها را با جدول 8-1 مقایسه کرده و تشخیص دهید که چگونه پروفایل کلاینت هایتان را بر اساس رایج ترین پروفایل های مایکروسافت طبقه بندی کنید.

Table 8-1

Table 8-1 Common Client Profiles

زمانی که تشخیص دادید که client load pattern نوعی شما چیست، باید برای اجرای یک ابزار load-generating مثل Exchange Load Generator 2010 برای بررسی عملکرد سخت افزار سرور Exchange خود برنامه ریزی کنید.Exchange Load Generator 2010 )64 bit) در آدرس زیر قابل دسترس است:

ELG 2010

اطلاعات بیشتر در مورد اینکه چگونه برای سخت افزار Exchange خود برنامه ریزی کنید و اینکه چگونه از Exchange Load Generator استفاده کنید در بخش های بعد (Hardware Planning for Exchange server 2010) خواهد آمد.

Perimeter Network

ارتباط با اینترنت یا شبکه های خارجی (External) نیز بسیار مهم است. اطلاعات بیشتر در مورد پورت های فایروال یا پروتکل هایی که باید پیکربندی شوند بعدا در بخش Planning Network port requirement خواهد آمد. این بحث شامل optionهای امنیتی مثل IPsec یا VPN که اجازه می دهد تا کلاینت از روی اینترنت به طور مستقیم به شبکه داخلی شان متصل شوند نخواهد بود.

Deployment پیشنهاد شده برای Exchange server 2010 برای دستیابی به اینترنت شامل 2 فایروال یا روتر در یک سناریوی فایروال back-to-back است که به شما اجازه می دهد تا بین دو شبکه یک perimeter network اجرا کنید. یک فایروال خارجی (External firewall) با اینترنت مواجه و روبرو است و از شبکه perimeter محافظت می کند.

سپس یک فایروال داخلی (Internal firewall) بین شبکه perimeter و شبکه داخلی شرکت قرار می گیرد.در شبکه perimeter هر سروری که internet-facing است قرار می گیرد مثل Edge Transport role of Exchange Server 2010. مایکروسافت از طراحی هایی که فایروالی بین Mailbox سرور، Client Access و ... قرار می دهد، پشتیبانی نمی کند. چرا که این roleها از پورت های dynamic استفاده می کنند که می تواند به طور ناخواسته توسط فایروال block شود. تنها Exchange 2010 role که برای استقرار در یک perimeter network پشتیبانی می شود، Edge Transport role است.

نکته مهم :

Edge Transport server role نباید هرگز عضو domain داخلی شما باشد، بلکه باید یک سرور stand-alone یا عضو یک perimeter AD forest قابل دسترس باشد.

رایج ترین سرورهایی که در perimeter قرار می گیرند تا دسترسی به اینترنت را پشتیبانی کنند عبارتند از:

  • یک smart host برای route کردن پیام های SMTP بین شبکه های internal و external مثل Edge Transport server role یا هر smart host دیگری.
  • یک reverse proxy یا فایروال application-layer که ترافیک های client-related را پشتیبانی می کند مثل (Autodiscover، Outlook Web App ( OWA که قبلا به نام Outlook Web Access شناخته می شد).، Outlook Anywhere، ActiveSync، POP3، IMAP4، SMTP و ... به سمت شبکه internal. Microsoft Forefront TMG و Microsoft ISA Server 2006 نمونه هایی از فایروال application-layer هستند. با این حال چالش های scalability را برای پروکسی سرورهای reverse مبتنی بر software را دست کم نگیرید. هر پیاده سازی که در آن لازم باشد تا بیش از 100000 connection به صورت همزمان و مداوم handle شود باید روی یک solution سخت افزاری تمرکز کند.

نکته:

برای کاهش سطح attack در internal forest نباید سرور Client Access را روی perimeter network قرار دهید. از آنجا که حساب کاربری (account) سرور Client Access کامپیوتر Exchange دارای بالاترین اجازه دسترسی (privilege) است ممکن است که توسط یک attacker برای خراب کردن Active Directory شما به کار رود. در عوض از یک فایروال application-layer مثل Microsoft Forefront Threat Management Gateway-TMG) برای publish کردن سرویس های سرور Client Access به اینترنت استفاده کنید.

اگر از فایروال application-layer مایکروسافت استفاده نمی کنید، مسائل کلیدی زیر را برای انتخاب فایروالی با بالاترین استاندارد امنیتی در نظر بگیرید:

  • Pre-authenticate traffic برای جلوگیری از ورود ترافیک های unauthenticated به شبکه شرکت.
  • Packet inspection فایروال های Application-layer این اجازه را می دهد تا پروتکل های attack شناخته شده قبل از ورود به شبکه داخلی شرکت شما شناسایی شوند.
  • Intrusion Detection System )IDS) (سیستم های تشخیص نفوذ) به بیان ساده حملات (attack) را روی سیستم شناسایی می کنند. اگر حمله ها داخلی باشد، شاتس موفقیت آنها بالا و تشخیص (detect) آنها مشکل خواهد بود چرا که ممکن است شبیه یک ترافیک معمولی به نظر برسند، در حالی که اگر proxy شروع به ارسال درخواست RPC به دیگر سرورها کند، یا سعی کند که از فایروال عبور کند، block و log خواهد شد.
  • Fixed Ports/IP Addresses فقط پورت ها و IP آدرس های خاصی برای ورود به محیط شبکه شرکت مجاز هستند.
  • Group Membership allowance این قابلیت را فراهم می کند تا فقط گروه خاصی بتوانند به applicationهای خاصی دسترسی داشته و مجاز به استفاده از آنها باشند. برای مثال my current customer به کارگران ساعتی این اجازه را نمی دهد که به mail externally دسترسی داشته باشند.
  • Load balancing آرایه ای از سرورهای reverse proxy است که می توانند ترافیک شبکه را برای یک single URL توزیع کنند.

به عنوان بهترین روش، اگر می خواهید که دسترسی اینترنتی به سرور Exchangeتان داشته باشید، همیشه از یک reverse proxy یا application-layer firewall استفاده کنید. اگرچه برخی از شرکت ها، مخصوصا در بخش های کوچک یا متوسط، هیچ نوع امنیتی بین اینترنت و سرورهایشان پیاده سازی نمی کنند. اگر شما نیز یک فایروال application-layer را پیاده سازی نکرده اید، توصیه های زیر را در نظر بگیرید:

  • یک فایروال بین شبکه internal و external قرار دهید و فقط پورت و پروتکل هایی که به آنها نیاز دارید را باز بگذارید.
  • یک server certificate برای تمام سرورهای Exchange خود پیاده سازی کنید. ( که می تواند یک single certificate باشد که شامل domain names های مورد نیاز باشد.)
  • به یک SSL برای رمزنگاری (encrypt) کردن ارتباطات کلاینت ها نیاز دارید. ( برای Outlook client traffic).
  • اگر POP3 یا IMAP4 را فعال کرده اید برای SMTP و SSL به TLS نیاز دارید.
  • مطمئین شوید که هر عملیات نیاز به احراز هویت (authentication) دارد.
  • برای Outlook Web App احراز هویت بر مبنای فرم (Forms-based authentication) را پیاده سازی کنید.

این شرایط برای شما حداقل امنیت را فراهم می کند اما هنوز ممکن است که بخشی از داده های کاربران شما روی اینترنت انتشار پیدا کند. با این حال از هیچ بهتر است.

پیشنهادات تکینیکی برای جلوگیری از Pitfalls

لیست زیر راه هایی برای پیشگیری از pitfall های (تله-مشکلات) بالقوه در سمت توپولوژی شبکه ارائه می کند. اول باید هر مشکلی که وجود دارد را حل کرد تا بعد بتوان Exchange server 2010 را روی location مورد نظر نصب کرد.

  • مطمئن شوید که سرعت شبکه فیزیکی سایتی که میزبانی سرور Exchange 2010 را به عهده دارد حداقل 64 kbps از پهنای باند در دسترس است.
  • Exchange سرور 2010 از یک محیط کاملا بر مبنای TCP/IP v6 (IPv6) پشتیبانی نمی کند. اگر می خواهید در هر جای شرکت IPv6 پیاده سازی کنید، مطمئن شوید که آنها آدرس IPهای ورژن 4 (IPv4) را نیز پشتیبانی می کنند در غیر این صورت ممکن است کاربران در برقراری ارتباط با سرور Exchange 2010 دچار مشکل شوند.
  • IP subnet ها باید به موقعیت های شرکت map شوند و هیچ overlap ی نباید بین locationها وجود داشته باشد. گرچه گاهی اوقات یک موقعیت دارای چندین IP subnet است که این مسئله خوب است. اگر IP subnetها چندین موقعیت فیزیکی را در بر می گیرند، مطمئن شوید که لینک WAN بین آنها با سرعت لینک LAN هماهنگ باشد. (10Mbps یا بیشتر)
  • مطمئن شوید که site ADهای شما با IP subnetهای هر location مطابقت دارد.
  • برای network name resolution باید از DNS استفاده شود.
  • AD از منابع رکوردهای SRV)service) در DNS برای register کردن یک لیست از DCها برای استفاده کلاینت ها بهره می برد. اگر از Windows Server 2008 DNS Service برای AD استفاده نمی کنید، مطمئن شوید که نرم افزار سرور DNS شما از resource رکوردها پشتیبانی می کند.
  • برای دریافت پیام ها از اینترنت، یک رکورد mail exchanger )MX) مناسب در DNS برای domain name شرکت نیاز است .

شما هشتمین قسمت از سری آموزش های گام به گام و طبقه بندی شده Exchange server 2010 را با ما همراه بودین ، از وقت و حوصله شما ممنونیم .

نویسنده : میلاد اسحاقی

منبع : جزیره سرویس های شبکه مایکروسافت وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع دارای اشکال اخلاقی می باشد

#آموزش_تصویری_اکسچنج_سرور_۲۰۱۰ #آموزش_گام_به_گام_exchange_server #آموزش_تصویری_Exchange_Server
عنوان
1 آموزش اکسچنج سرور (Exchange) قسمت 1 : معرفی و تاریخچه رایگان
2 آموزش اکسچنج سرور (Exchange) قسمت 2 : ادامه تاریخچه رایگان
3 آموزش اکسچنج سرور (Exchange) قسمت 3 : توضیحات اولیه رایگان
4 آموزش اکسچنج سرور (Exchange) قسمت 4 : قابلیت ها و نسخه ها رایگان
5 آموزش اکسچنج سرور (Exchange) قسمت 5 : امکانات پاورشل رایگان
6 آموزش اکسچنج سرور (Exchange) قسمت 6 : طراحی و سوالات فنی رایگان
7 آموزش اکسچنج سرور (Exchange) قسمت 7 : فازهای اجرایی رایگان
8 آموزش اکسچنج سرور (Exchange) قسمت 8 : نکات مهم قبل نصب رایگان
9 آموزش اکسچنج سرور (Exchange) قسمت 9 : آماده سازی اکتیودایرکتوری رایگان
زمان و قیمت کل 0″ 0
2 نظر
Farid_10471

با سلام

مطالب مفید و مهم هستند. ولی اشکال عمده آنها این است ؛ که , شما همه مطاللب را به فارسی برگردانده اید . و هیچ کدام از آنها مفهوم را نمی رسانند . برای مثال MX record

میلاد اسحاقی

سلام

Itproیی عزیز ، ممنون از نظر شما . فقط اینکه این سلسله مطالب دقیقا با هدف برگردان به فارسی جهت یک رفرنس تئوریکال تهیه شده بود و نه مانند مقالات اموزشی و یا لابراتوار ها که جهت راه اندازی بوده باشد . بنابر این قاعدتا به عنوان مقالات تئوریکال محض و نه آموزش و پیاده سازی های گام به گام (مانند این ) قطعا مطلب شما صحیح میباشد .

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....