Những bổ sung cho Exchange Server 2007 - Phần 1: Các bước giới thiệu
Trong loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách bổ sung Exchange
Server 2007 SP1 (Beta), được cài đặt trên Windows Server 2008 (cũng Beta).
Chúng tôi đã nói về các bước cần thiết để bổ sung hệ điều hành bên dưới bằng
cách chỉ cài đặt một số lượng tối thiểu role máy chủ và dịch vụ.
Trong phần thứ hai, chúng tôi dự định sẽ giới thiệu về việc cài đặt và hoạt động
của một cài đặt Exchange Server 2007 an toàn và phần ba sẽ giới thiệu về cách
bảo vệ truy cập máy khách an toàn từ OWA, POP3/MAP4 và cách chống lại virus, spam.
Trước khi bắt đầu, chúng ta nên chú ý rằng đây là bài báo dựa trên phiên bản Beta của Windows
Server 2008 và Exchange Server 2007 SP1 và như vậy có thể sẽ có những tính năng mới được bổ
sung hoặc có những thay đổi nhỏ so với các phiên bản cuối cùng của các sản phẩm này.
Loạt bài này chúng tôi sẽ tập trung vào một số tính năng mới và các chủ đề có liên quan đến
Exchange Server 2007 và Windows Server 2008. Nếu bạn muốn có các thông tin bổ sung về việc
bảo mật môi trường, hướng dẫn người dùng và hơn thế nữa, có thể tham khảo một số bài khác.
Exchange Server 2007 và những điều khoản
Trong Exchange 2003, những role bảo mật dưới đây được cung cấp thông qua tiện ích
Delegation trong Exchange System Manager:
• Quyền quản trị viên đầy đủ
• Quản trị viên Exchange
• Quản trị viên chỉ được quyền xem
Model này tương đối ổn định và không cung cấp truy cập sâu. Model điều khoản này thường là
một vấn đề trong các môi trường lớn, nơi tuyệt đối cần đến sự phân phối công việc quản trị khác
nhau đối với những người dùng khác nhau hay các nhóm mà không làm ảnh hưởng đến sự bảo
mật trong Windows Server 200x và Exchange Server 2007. Exchange Server 2007 có một model
điều khoản khác hoàn toàn. Có một số role quản trị
viên mới tương tự như những nhóm bảo mật
được xây dựng trong Windows Server và bạn có thể sử dụng Exchange Management Console
(EMC) hay Exchange Management Shell (EMS) để xem, bổ sung, xóa các thành viên từ bất kỳ
role quản trị nào.
Hiện có một số vùng điều khoản Exchange khác:
• Dữ liệu toàn cục (Global Data)
• Dữ liệu người nhận (Recipient Data)
• Dữ liệu máy chủ (Server Data)
Dữ liệu toàn cục (Global data)
Dữ liệu toàn cục (Global Data) không được kết hợp với Exchange Server cụ thể nào và được lưu
trong mục cấu hình Active Directory, mục được tái tạo trong forest rộng, chính vì vậy chỉ người
dùng tin cậy mới có thể truy cập vào dữ liệu này.
Dữ liệu người nhận (Recipient Data)
Dữ liệu người nhận (Recipient Data) là những người nhận Exchange miền Active Directory. Dữ
liệu người nhận gồm có email của người dùng đã được kích hoạt, danh sách liên lạc, các nhóm
phân phối và mailbox,…
Dữ liệu máy chủ (Server Data)
Dữ liệu máy chủ (Server Data) là dữ liệu của một Exchange nào đó trong miền Active Directory
bên dưới đối tượng Exchange Server nào đó. Một số ví dụ của dữ liệu này như các bộ nối kết
nhận (các bộ nối kết gửi là forest rộng), các thư mục ảo,…
Các quản trị viên Exchange Server 2007
• Quản trị viên tổ chức
• Quản trị viên người nhận
• Quản trị viên chỉ xem
Hình 1: Quản trị viên của Exchange Server 2007
Để có một tổng quan, chúng tôi đã sử dụng một bảng các role điều khoản cho phép của
Exchange Server khác nhau từ website của Microsoft TechNet, bảng này sẽ cho bạn biết được
nhiều về cách sử dụng các điều khoản Exchange khác nhau.
Role quản
trị viên
Thành viên
Thành viên
của
Các điều khoản của
Exchange
Quản trị viên
tổ chức
Quản trị viên, hoặc tài
khoản được sử dụng để
cài đặt Exchange 2007
server đầu tiên
Quản trị viên
người nhận
Nhóm nội bộ
của <Tên máy
chủ>
Kiểm soát toàn diện đối với
mục Microsoft Exchange
trong Active Directory
Quản trị viên
người nhận
Quản trị viên tổ chức
Quản trị viên
chỉ xem
Kiểm soát toàn diện đối với
các thuộc tính của Exchange
trên đối tượng Active
Directory người dùng
Quản trị viên
Exchange
Server
Quản trị viên tổ chức
Quản trị viên
chỉ xem
Nhóm nội bộ
của <Tên máy
chủ>
Kiểm soát toàn bộ Exchange
<Tên máy chủ>
Quản trị viên
chỉ xem
Quản trị viên người
nhận
Quản trị viên Exchange
Server (<Tên máy chủ>)
Quản trị viên
người nhận
Quản trị viên
Exchange
Server
Cho phép đọc mục
Microsoft Exchange trong
Active Directory
Cho phép đọc tất cả các
miền Windows có người
nhận Exchange
Exchange
Servers
Mỗi tài khoản máy tính
Exchange 2007
Quản trị viên
chỉ đọc
Đặc biệt
Bảng 1: Điều khoản Exchange Server 2007
Các tập thuộc tính trong Exchange Server 2007
Bạn có thể sử dụng tập các thuộc tính trong Exchange Server 2007 cho việc nhóm thuộc tính để
kích hoạt kiểm soát truy cập đối với các thuộc tính của đối tượng cụ thể. Các tập thuộc tính sử
dụng một Access Control Entry (ACE) truy cập riêng thay cho ACE cho mỗi thuộc tính riêng lẻ.
Exchange Server 2007 tạo hai tập thuộc tính mới dành riêng cho bản thân nó và không sử dụng
các tập thuộc tính Active Directory đang tồn tại. Trong suốt quá trình mở rộng Active Directory
Schema, Exchange Server 2007 thực hiện các hành động dưới đây:
• Mở rộng Active Directory schema bằng các lớp và thuộc tính mới.
• Tạo các tập thuộc tính cho Exchange Server 2007, Exchange Information và Exchange
Personal Information.
• Bổ sung thêm các thuộc tính phù hợp với tập thuộc tính của Exchange Information và
Exchange Personal Information.
Các role của Exchange server
Exchange Server 2007 có một role mới. Bạn hoàn toàn có thể cài đặt 5 role Exchange Server
2007 khác nhau. Các role này là:
• Mailbox server role
• Hub Transport server role
• Client Access server role
• Unified Messaging server role
• Edge Transport server role
Mỗi một role thực hiện một số chức năng đặc biệt nào đó và các doanh nghiệp có thể kết hợp các
role này trên cùng hoặc trên các máy tính khác nhau. Tất cả các role đều có thể được kết hợp mà
không cần có một ngoại lệ nào. Edge Transport Server role không thể được cài đặt cùng với các
role Exchange khác trên cùng một máy. Vấn đề này cũng tương tự với nút Active and Passive
Exchange Cluster service, tuy nhiên chức năng Exchange Cluster sẽ không được đưa vào hạng
mục role của Exchange Server.
Exchange Server 2003 chính thức không hề có role được cài đặt nhưng bạn hoàn toàn có thể cấu
hình một hoặc nhiều máy chủ với tư cách Front End Server (giống như Exchange Server 2007
CAS role). Máy chủ nắm giữ các hộp thư và thư mục công trong Front End Server có tên gọi là
Exchange Back End Server. Với Exchange Server 2003, bạn hoàn toàn có thể cấu hình Exchange
Server như một máy chủ chỉ để định tuyến mail. Máy chủ này không có các hộp thư và cơ sở dữ
liệu thư mục công nhưng nó chịu trách nhiệm cho việc định tuyến mail.
Hình 2: Các role của Exchange Server 2007
Firewall
Firewall của Windows Server 2008 với kết nối mạng nâng cao được bật cho các kết nối vào và ra
một cách mặc định. Bạn có thể cấu hình thủ công các ngoại lệ cho cổng tường lửa và các chương
trình được phép truyền thông với host khác. Tiện ích Security Configuration Wizard là tiện ích
được sử dụng trong Windows Server 2003 SP1 có mục đích thiết lập cấu hình bảo mật dựa trên
role, tiện ích này chịu trách nhiệm cho việc tạo các ngoại lệ dựa trên role đã được cấu hình, hiện
không còn được sử dụng trong Windows Server 2008.
Lưu ý:
Đừng so sánh Server Manager của Windows Server 2008 với Server Manager trong Windows
NT4. Chúng là những chương trình khác nhau hoàn toàn.
Server Manager của Windows Server 2008 được sử dụng để cung cấp vấn đề bảo mật dựa theo
role cho các dịch vụ và tính năng của Windows đã được cài đặt, tuy nhiên chúng tôi nghĩ rằng
Server Manager sẽ được sử dụng trong tương lai với vấn đề bảo mật theo role cho ứng dụng đã
được cài đặt như Microsoft SQL Server 200x và các phiên bản sau này. Với phiên bản Windows
Server 2008 Beta hiện hành và phiên bản Beta cho Exchange Server 2007 SP1, Exchange setup
mở các cổng và các chương trình cần thiết phụ thuộc vào role Exchange mà bạn cài đặt.
Hình 3: Windows Server 2008 Firewall
Các dịch vụ Exchange Server 2007 đã được cài đặt
Phụ thuộc vào các role của Exchange đã cho trong quá trình cài đặt, chỉ các dịch vụ cần thiết sẽ
được cài đặt theo lựa chọn đó.
Hình 4: Các dịch vụ Exchange Server 2007 trên Windows Server 2008
Kết luận
Trong phần này, chúng ta đã thảo luận một số phương pháp về cách bổ sung bên dưới hệ điều
hành Windows Server 2008 và vài trò một số phần của cài đặt dựa theo role của Exchange
Server 2007 quan trọng như thế nào trong toàn bộ giải pháp bảo mật. Chúng tôi cũng đã giới
thiệu về model điều khoản mới của Exchange Server và các dịch vụ Exchange Server 2007 đã
được cài đặt. Trong phần thứ hai của bài này, chúng tôi sẽ tiếp tục giới thiệu đến các bạn vấn đề
bảo mật trong Exchange Server 2007 và phần ba là cách bảo mật truy cập máy khách đối với
Exchange Server 2007 cũng như một số thay đổi cấu hình cần phải thực hiện trong cấu hình
Exchange Server 2007.