Quản lý Receive Connector – Phần 3
Quản Trị Mạng - Phần này chúng tôi sẽ giới thiệu cho các bạn về các thiết lập
ghi chép và các phương pháp thẩm định được sử dụng bởi Receive Connector.


Cấu hình các thiết lập ghi Receive Connector
Chúng ta có thể cấu hình để ghi lại các sự kiện trên mỗi receive connector. Để
kích hoạt tính năng ghi trong một receive connector, chúng ta phải xác định
trước nơi đặt các file bản ghi. Để cấu hình nơi các file bản ghi sẽ được lưu giữ
trước khi kích hoạt tính năng ghi ở mức connector:
1. Mở Exchange Management Console
2. Mở Server Configuration
3. Kích Hub Transport
4. Chọn hub transport hiện có ở phần bên phải và kích Properties
5. Kích tab Log Settings. Trong phần Protocol Log, chúng ta có thể thay đổi
đường dẫn về nơi Receive Connectors hoặc Send Connectors sẽ được lưu bằng
cách kích nút Browse (Hình 1).

Hình 01

Lúc này, chúng ta hoàn toàn đã biết được vị trí lưu các file bản ghi, từ có thể
xem các thuộc tính của bất cứ Receive Connector nào và có tùy chọn mang tên
Protocol logging level được đặt mặc định None và sẽ thay đổi Verbose (xem
trong hình 2). Chỉ sử dụng chế độ Verbose trong suốt kịch bản khắc phục sự
cố, nếu không bạn hãy để cấu hình của nó là None.

Hình 02

Giờ đây chúng ta có thể gửi một thông báo văn bản bằng SMTP (như đã giới
thiệu trong các phần trước) và có th
ể kiểm tra tất cả truyền thông trong một file

bản ghi, như thể hiện trong hình 3.

Hình 03

Cấu hình thẩm định và các điều khoản

Nh
ững gì chúng ta hiện làm việc cho tới giờ chính là cách tạo một receive
connector, cách quản lý một số tính năng bảo mật và cách thay đổi các IP lắng
nghe để làm cho mỗi connector trở thành duy nhất. Chúng tôi sẽ giới thiệu cho
các bạn về các phương pháp thẩm định và các điều khoản có sẵn có liên quan
tới Receive Connector.

Receive Connectors sử dụng 7 kiểu thẩm định khác nhau, đó là: No
authentication, TLS, Integrated, Basic Authentication, Basic Authentication
over TLS, Exchange Server Authentication (Gssapi and Mutual Gssapi) và
External Authoritative. Các phương pháp thẩm định này được dùng cho các
máy khách trong SMTP session, sau khi thẩm định được thực hiện bên c
ạnh đó
là các điều khoản được áp dụng. Để cấu hình phương pháp thẩm định để một
Receive Connector sử dụng, chúng ta hãy sử dụng các bước dưới đây:

1. Mở Exchange Management Console.
2. Mở Server Configuration.
3. Kích Hub Transport.
4. Kích Receive Connector và kích Properties
5. Kích tab Authentication (xem trong hình 4)

Hình 04


Chúng ta sẽ thấy phương pháp thẩm định được sử dụng bởi một receive
connector cho một telnet session đơn giản nhất. Tất cả các phương pháp thẩm
định hiện có đều được thể hiện sau SMTP verb ehlo. Bảng dư
ới đây thể hiện sự
khác nhau về sự đáp trả của SMTP cho mỗi phương pháp thẩm định:
Authentication Method
Response of
EHLO
Transport Layer Security
(TLS)
250-STARTTLS
Basic Authentication 250-Auth Login
Integrated Windows
Authentication
250-Auth NTLM

Externally Secured
250-Auth
250 XEXCH50

Chúng ta vừa được thấy cách cấu hình các phương pháp thẩm định để sử dụng
trong một Receive Connector, giờ đây chúng ta sẽ cấu hình một máy chủ relay
bên trong, trường hợp này rất hữu dụng cho những nơi users/printers/servers
cần phải gửi thông báo bằng một máy chủ relay bên trong. Chúng tôi sẽ tạo
một relay connector bên trong và sau đó thay đổi một số cấu hình để minh
chứng những gì chúng ta đã thực hiện để thỏa mãn nhu cầu của mình.Trước
tiên hãy tạo Internal Receive Connector. Connector sẽ sử dụng kết nối trên
cổng 25, mặc dù vậy các kết nối sẽ được tạo trên các máy từ địa chỉ
172.16.171.1 đến 172.16.171.20 trong ví dụ này. Chỉ định một FQND khác;
với receive connector bên trong, chúng ta sẽ sử dụng relay.apatricio.local, lệnh

dưới đây được sử dụng để tạo connector:

New
-ReceiveConnector –Usage:Client –Bindings:0.0.0.0:25 –
RemoteIPRanges:172.16.171.1-172.16.171.20 –FQDN:relay.apatricio.local –
Server srv-ex01 –ProtocolLoggingLevel:Verbose –Name:”Internal Relay”

Lúc này, chúng ta đã tạo được Receive Connector, giờ là lúc bạn có thể vào b
ất
cứ máy nào nằm trong dải địa chỉ IP từ xa đã được xác định trước, khi đó bạn
sẽ thấy một nhắc lệnh về receive connector mới của mình. Hãy thẩm định các
thông tin FQND được hiển thị trong dòng đầu tiên (xem hình 5).

Hình 05

Hãy m
ở Event Viewer trong Exchange Server khi đó chúng ta sẽ thấy lỗi mang
số 12014 và MSExchangeTransport Source. Lỗi này xuất hiện là vì chúng ta
vẫn chưa có chứng chỉ cho relay.apatricio.local FQDN. Tuy nhiên có thể tránh
được thông báo lỗi này bằng cách cấu hình Receive connector bên trong sử
dụng Basic Authentication và Integrated Windows Authentication, như thể
hiện trong hình 6. Chúng ta sẽ xem xét đến TLS và các chứng chỉ cho kết nối
này trong phần tiếp theo.

Hình 06

Trong tab Permission Groups, chúng ta có 5 nhóm điều khoản khác nhau, cả
năm nhóm điều khoản này đều liên quan đ
ến receive connector. Các nhóm điều
khoản được định nghĩa trước này là một tập các đối tượng có thể gồm người

dùng, máy tính và các nhóm bảo mật, chúng định nghĩa các điều khoản SID
(Security Identifier), cho ví dụ (điều khoản nhóm Exchange Users là m
ột nhóm
người dùng được thẩm định trong Active Directory) Sử dụng các nhóm điều
khoản này là một giải pháp hữu hiệu cho đa số các công ty, mặc dù vậy chúng
ta không thể thay đổi các nhóm điều khoản bằng Exchange Management
Console.

Trong tab Permissions Groups, chúng ta sẽ hợp lệ hóa người đư
ợc phép kết nối
với Receive Connector. Trong Client Connector, mặc định chỉ có “Exchange
Users” được phép (xem hình 7).

Hình 07

Do chúng ta có phương pháp thẩm định và điều khoản có liên quan với
Exchange Users nên hoàn toàn có th
ể thực hiện test. Để test, chúng ta có thể sử
dụng Outlook Express để tạo một tài khoản giả (dummy) bằng một tài khoản
POP3 Server giả chỉ dùng để test giao thức SMTP. Bảo đảm rằng địa chỉ reply
được sử dụng trong tài khoản Outlook Express nằm trong danh sách hiện hành
của Accepted Domains trong Exchange organization và b
ạn đang sử dụng đúng
username và password, cuối cùng hãy cấu hình tài khoản để sử dụng sự thẩm
định bằng tùy chọn “My Server requires authentication”.

Hình 08

Lúc này bạn có thể gửi một thông báo tới bất cứ địa chỉ email n
ào và thông báo

sẽ được gửi đi. Vậy cách chúng ta bảo đảm cho sự thẩm định đó làm việc như
thế nào? Hoàn toàn rất dễ dàng! Trong khi tạo receive connector, chúng ta đã
cấu hình mức logging cho Verbose. Giờ đây bạn đã hiểu tại sao chúng tôi lại
nói là dễ dàng? Hãy quan sát các file bản ghi được tạo ra và chúng ta sẽ thấy
quá trình thẩm định như thể hiện trong hình 9.

Hình 09

Cấu hình mặc định là việc trong hầu hết các kịch bản, mặc dù vậy đôi khi có
những trường hợp ngoại lệ, trong các trường hợp này, các điều khoản được y
êu
cầu để cấu hình Receive Connector sao cho thích hợp với các nhu cầu công ty.
Chúng ta có thể cấu hình các điều khoản Receive Connector theo hai cách: sử
dụng Exchange Management Shell hoặc AdsiEdit.msc.
Phương pháp đầu tiên là sử dụng Exchange Management Shell. Để quan sát
điều khoản hiện hành của một Receive Connector, bạn hãy chạy lệnh sau:
Get-ReceiveConnector <connector-Name> | Get-ADPermission
Để quản lý các điều khoản, sử dụng Add-ADPermission để bổ sung thêm các
entry vào danh sách đó và Remove-ADPermissions để remove các entry.
Phương pháp thứ hai để thiết lập các điều khoản Receive Connector là sử dụng
AdsiEdit.msc (mặc định có trong công cụ hỗ trợ của Windows, bạn phải cài đ
ặt
công cụ này trước khi sử dụng nó).
Sử dụng ADSIEdit.msc, chúng ta có thể thực hiện một số thao tác với điều
khoản Receive Connector:
1. Mở AdsiEdit.msc.
2. Mở Configuration.
3. Mở CN=Services.
4. Mở CN=Microsoft Exchange.
5. Mở CN=<Organization name>.

6. Mở CN=Exchange Administrative Group (FYDIBOHF23SPDLT).
7. Mở CN=<Server Name>.
8. Mở CN=Protocols.
9. Mở CN=SMTP Receive Connectors.
10. Bên phía phải của cửa sổ, chúng ta sẽ thấy tất cả các Receive Connector
của máy chủ (Hình 10).

Hình 10

11. Kích phải vào Receive Connector và kích Properties
12. Kích tab Security, trong danh sách chúng ta sẽ thấy tất cả các Security
Identifier cho mỗi nhóm điều khoản có liên quan đến receive connector và các
điều khoản được cho phép.
Lúc này chúng ta hoàn toàn có thể quản lý các điều khoản một cách dễ dàng
bằng Adsiedit.msc thay vì Exchange Management Shell.
Kết luận
Trong phần này chúng tôi đã giới thiệu cho các bạn các cấu hình các thiết lập
bản ghi trong một Receive Connector và cách cấu hình các điều khoản bằng
AdsiEdit và Exchange Management Shell.

Văn Linh (Theo MS Exchange)
a