Những bổ sung cho Exchange Server 2007 - Phần 1: Các bước giới thiệu
Trong loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách bổ sung Exchange
Server 2007 SP1 (Beta), được cài đặt trên Windows Server 2008 (cũng Beta).
Chúng tôi đã nói về các bước cần thiết để bổ sung hệ điều hành bên dưới bằng
cách chỉ cài đặt một số lượng tối thiểu role máy chủ và dịch vụ. Trong phần
thứ hai, chúng tôi dự định sẽ giới thiệu về việc cài đặt và hoạt động của một cài
đặt Exchange Server 2007 an toàn và phần ba sẽ giới thiệu về cách bảo vệ truy
cập máy khách an toàn từ OWA, POP3/MAP4 và cách chống lại virus, spam.

Trước khi bắt đầu, chúng ta nên chú ý rằng đây là bài báo dựa trên phiên bản
Beta của Windows Server 2008 và Exchange Server 2007 SP1 và như vậy có
thể sẽ có những tính năng mới được bổ sung hoặc có những thay đổi nhỏ so
với các phiên bản cuối cùng của các sản phẩm này.

Loạt bài này chúng tôi sẽ tập trung vào một số tính năng mới và các chủ đề có
liên quan đến Exchange Server 2007 và Windows Server 2008. Nếu bạn muốn
có các thông tin bổ sung về việc bảo mật môi trường, hướng dẫn người dùng
và hơn thế nữa, có thể tham khảo một số bài khác.

Exchange Server 2007 và những điều khoản

Trong Exchange 2003, những role bảo mật dưới đây được cung cấp thông qua
tiện ích Delegation trong Exchange System Manager:


Quyền quản trị viên đầy đủ


Quản trị viên Exchange


Quản trị viên chỉ được quyền xem
Model này tương đối ổn định và không cung cấp truy cập sâu. Model điều
khoản này thường là một vấn đề trong các môi trường lớn, nơi tuyệt đối cần
đến sự phân phối công việc quản trị khác nhau đối với những người dùng khác
nhau hay các nhóm mà không làm ảnh hưởng đến sự bảo mật trong Windows
Server 200x và Exchange Server 2007. Exchange Server 2007 có một model
điều khoản khác hoàn toàn. Có một số role quản trị viên mới tương tự như
những nhóm bảo mật được xây dựng trong Windows Server và bạn có thể sử
dụng Exchange Management Console (EMC) hay Exchange Management
Shell (EMS) để xem, bổ sung, xóa các thành viên từ bất kỳ role quản trị nào.

Hiện có một số vùng điều khoản Exchange khác:


Dữ liệu toàn cục (Global Data)


Dữ liệu người nhận (Recipient Data)


Dữ liệu máy chủ (Server Data)
Dữ liệu toàn cục (Global data)

Dữ liệu toàn cục (Global Data) không được kết hợp với Exchange Server cụ
thể nào và được lưu trong mục cấu hình Active Directory, mục được tái tạo
trong forest rộng, chính vì vậy chỉ người dùng tin cậy mới có thể truy cập vào
dữ liệu này.

Dữ liệu người nhận (Recipient Data)


Dữ liệu người nhận (Recipient Data) là những người nhận Exchange miền
Active Directory. Dữ liệu người nhận gồm có email của người dùng đã được
kích hoạt, danh sách liên lạc, các nhóm phân phối và mailbox,…

Dữ liệu máy chủ (Server Data)

Dữ liệu máy chủ (Server Data) là dữ liệu của một Exchange nào đó trong miền
Active Directory bên dưới đối tượng Exchange Server nào đó. Một số ví dụ
của dữ liệu này như các bộ nối kết nhận (các bộ nối kết gửi là forest rộng), các
thư mục ảo,…

Các quản trị viên Exchange Server 2007


Quản trị viên tổ chức


Quản trị viên người nhận


Quản trị viên chỉ xem

Hình 1: Quản trị viên của Exchange Server 2007
Để có một tổng quan, chúng tôi đã sử dụng một bảng các role điều khoản cho
phép của Exchange Server khác nhau từ website của Microsoft TechNet, bảng
này sẽ cho bạn biết được nhiều về cách sử dụng các điều khoản Exchange khác
nhau.
Role quản
trị viên
Thành viên

Thành viên
của
Các điều khoản của
Exchange
Quản trị
viên tổ chức

Quản trị viên, hoặc
tài khoản được sử
dụng để cài đặt
Exchange 2007
server đầu tiên
Quản trị
viên người
nhận

Nhóm nội
bộ của
Kiểm soát toàn diện
đối với mục
Microsoft Exchange
trong Active
Directory
Quản trị
viên người
nhận
Quản trị viên tổ
chức
Quản trị
viên chỉ

xem
Kiểm soát toàn diện
đối với các thuộc tính
của Exchange trên
đối tượng Active
Directory người dùng

Quản trị
viên
Exchange
Server
Quản trị viên tổ
chức
Quản trị
viên chỉ
xem

Nhóm nội
bộ của
Kiểm soát toàn bộ
Exchange
Quản trị
viên chỉ
xem
Quản trị viên người
nhận

Quản trị viên
Exchange Server ()


Quản trị
viên người
nhận

Quản trị
viên
Exchange
Server
Cho phép đọc mục
Microsoft Exchange
trong Active
Directory

Cho phép đọc tất cả
các mi
ền Windows có
người nhận Exchange

Exchange
Servers
Mỗi tài khoản máy
tính Exchange 2007

Quản trị
viên chỉ đọc

Đặc biệt
Bảng 1: Điều khoản Exchange Server 2007
Các tập thuộc tính trong Exchange Server 2007


Bạn có thể sử dụng tập các thuộc tính trong Exchange Server 2007 cho việc
nhóm thuộc tính để kích hoạt kiểm soát truy cập đối với các thuộc tính của đối
tượng cụ thể. Các tập thuộc tính sử dụng một Access Control Entry (ACE) truy
cập riêng thay cho ACE cho mỗi thuộc tính riêng lẻ.

Exchange Server 2007 tạo hai tập thuộc tính mới dành riêng cho bản thân nó
và không sử dụng các tập thuộc tính Active Directory đang tồn tại. Trong suốt
quá trình mở rộng Active Directory Schema, Exchange Server 2007 thực hiện
các hành động dưới đây:


Mở rộng Active Directory schema bằng các lớp và thuộc tính mới.


Tạo các tập thuộc tính cho Exchange Server 2007, Exchange Information
và Exchange Personal Information.


Bổ sung thêm các thuộc tính phù hợp với tập thuộc tính của Exchange
Information và Exchange Personal Information.
Các role của Exchange server

Exchange Server 2007 có một role mới. Bạn hoàn toàn có thể cài đặt 5 role
Exchange Server 2007 khác nhau. Các role này là:


Mailbox server role


Hub Transport server role



Client Access server role


Unified Messaging server role


Edge Transport server role
Mỗi một role thực hiện một số chức năng đặc biệt nào đó và các doanh nghiệp
có thể kết hợp các role này trên cùng hoặc trên các máy tính khác nhau. Tất cả
các role đều có thể được kết hợp mà không cần có một ngoại lệ nào. Edge
Transport Server role không thể được cài đặt cùng với các role Exchange khác
trên cùng một máy. Vấn đề này cũng tương tự với nút Active and Passive
Exchange Cluster service, tuy nhiên chức năng Exchange Cluster sẽ không
được đưa vào hạng mục role của Exchange Server.

Exchange Server 2003 chính thức không hề có role được cài đặt nhưng bạn
hoàn toàn có thể cấu hình một hoặc nhiều máy chủ với tư cách Front End
Server (giống như Exchange Server 2007 CAS role). Máy chủ nắm giữ các hộp
thư và thư mục công trong Front End Server có tên gọi là Exchange Back End
Server. Với Exchange Server 2003, bạn hoàn toàn có thể cấu hình Exchange
Server như một máy chủ chỉ để định tuyến mail. Máy chủ này không có các
hộp thư và cơ sở dữ liệu thư mục công nhưng nó chịu trách nhiệm cho việc
định tuyến mail.

Hình 2: Các role của Exchange Server 2007
Firewall

Firewall của Windows Server 2008 với kết nối mạng nâng cao được bật cho

các kết nối vào và ra một cách mặc định. Bạn có thể cấu hình thủ công các
ngoại lệ cho cổng tường lửa và các chương trình được phép truyền thông với
host khác. Tiện ích Security Configuration Wizard là tiện ích được sử dụng
trong Windows Server 2003 SP1 có mục đích thiết lập cấu hình bảo mật dựa
trên role, tiện ích này chịu trách nhiệm cho việc tạo các ngoại lệ dựa trên role
đã được cấu hình, hiện không còn được sử dụng trong Windows Server 2008.

Lưu ý:
Đừng so sánh Server Manager của Windows Server 2008 với Server Manager
trong Windows NT4. Chúng là những chương trình khác nhau hoàn toàn.

Server Manager của Windows Server 2008 được sử dụng để cung cấp vấn đề
bảo mật dựa theo role cho các dịch vụ và tính năng của Windows đã được cài
đặt, tuy nhiên chúng tôi nghĩ rằng Server Manager sẽ được sử dụng trong
tương lai với vấn đề bảo mật theo role cho ứng dụng đã được cài đặt như
Microsoft SQL Server 200x và các phiên bản sau này. Với phiên bản Windows
Server 2008 Beta hiện hành và phiên bản Beta cho Exchange Server 2007 SP1,
Exchange setup mở các cổng và các chương trình cần thiết phụ thuộc vào role
Exchange mà bạn cài đặt.

Hình 3: Windows Server 2008 Firewall
Các dịch vụ Exchange Server 2007 đã được cài đặt

Phụ thuộc vào các role của Exchange đã cho trong quá trình cài đặt, chỉ các
dịch vụ cần thiết sẽ được cài đặt theo lựa chọn đó.

Hình 4: Các dịch vụ Exchange Server 2007 trên Windows Server 2008
Kết luận

Trong phần này, chúng ta đã thảo luận một số phương pháp về cách bổ sung

bên dưới hệ điều hành Windows Server 2008 và vài trò một số phần của cài đặt
dựa theo role của Exchange Server 2007 quan trọng như thế nào trong toàn bộ
giải pháp bảo mật. Chúng tôi cũng đã giới thiệu về model điều khoản mới của
Exchange Server và các dịch vụ Exchange Server 2007 đã được cài đặt. Trong
phần thứ hai của bài này, chúng tôi sẽ tiếp tục giới thiệu đến các bạn vấn đề
bảo mật trong Exchange Server 2007 và phần ba là cách bảo mật truy cập máy
khách đối với Exchange Server 2007 cũng như một số thay đổi cấu hình cần
phải thực hiện trong cấu hình Exchange Server 2007.