Những bổ sung cho Exchange Server 2007 - Phần 1: Các bước giới thiệu
Ngu
ồ
n:quantrimang.com
Marc Grote
Trong loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách bổ sung
Exchange Server 2007 SP1 (Beta), được cài đặt trên Windows Server 2008
(cũng Beta). Chúng tôi đã nói về các bước cần thiết để bổ sung hệ điều
hành bên dưới bằng cách chỉ cài đặt một số lượng tối thiểu role máy chủ
và dịch vụ. Trong phần thứ hai, chúng tôi dự định sẽ giới thiệu về việc cài
đặt và hoạt động của mộ
t cài đặt Exchange Server 2007 an toàn và phần ba
sẽ giới thiệu về cách bảo vệ truy cập máy khách an toàn từ OWA,
POP3/MAP4 và cách chống lại virus, spam.

Trước khi bắt đầu, chúng ta nên chú ý rằng đây là bài báo dựa trên phiên bản
Beta của Windows Server 2008 và Exchange Server 2007 SP1 và như vậy có
thể sẽ có những tính năng mới được bổ sung hoặc có những thay đổi nhỏ so với
các phiên bản cuối cùng của các sản phẩm này.

Loạt bài này chúng tôi sẽ tập trung vào một số tính năng m
ới và các chủ đề có
liên quan đến Exchange Server 2007 và Windows Server 2008. Nếu bạn muốn
có các thông tin bổ sung về việc bảo mật môi trường, hướng dẫn người dùng và
hơn thế nữa, có thể tham khảo một số bài khác.

Exchange Server 2007 và những điều khoản

Trong Exchange 2003, những role bảo mật dưới đây được cung cấp thông qua
tiện ích Delegation trong Exchange System Manager:
• Quyền quản trị viên đầy đủ

• Quản trị viên Exchange
• Quản trị viên chỉ được quyền xem
Model này tương đối ổn định và không cung cấp truy cập sâu. Model điều khoản
này thường là một vấn đề trong các môi trường lớn, nơi tuyệt đối cần đến sự
phân phối công việc quản trị khác nhau đối với những người dùng khác nhau
hay các nhóm mà không làm ảnh hưởng đến sự bảo mật trong Windows Server
200x và Exchange Server 2007. Exchange Server 2007 có một model điều
khoản khác hoàn toàn. Có một số role quả
n trị viên mới tương tự như những
nhóm bảo mật được xây dựng trong Windows Server và bạn có thể sử dụng
Exchange Management Console (EMC) hay Exchange Management Shell
(EMS) để xem, bổ sung, xóa các thành viên từ bất kỳ role quản trị nào.

Hiện có một số vùng điều khoản Exchange khác:
• Dữ liệu toàn cục (Global Data)
• Dữ liệu người nhận (Recipient Data)
• Dữ liệu máy chủ (Server Data)
Dữ liệu toàn cục (Global data)

Dữ liệu toàn cục (Global Data) không được kết hợp với Exchange Server cụ thể
nào và được lưu trong mục cấu hình Active Directory, mục được tái tạo trong
forest rộng, chính vì vậy chỉ người dùng tin cậy mới có thể truy cập vào dữ liệu
này.

Dữ liệu người nhận (Recipient Data)

Dữ liệu người nhận (Recipient Data) là những người nhận Exchange miền
Active Directory. Dữ liệ
u người nhận gồm có email của người dùng đã được kích
hoạt, danh sách liên lạc, các nhóm phân phối và mailbox,…


Dữ liệu máy chủ (Server Data)

Dữ liệu máy chủ (Server Data) là dữ liệu của một Exchange nào đó trong miền
Active Directory bên dưới đối tượng Exchange Server nào đó. Một số ví dụ của
dữ liệu này như các bộ nối kết nhận (các bộ nối kết gửi là forest rộng), các thư
mục ảo,…

Các quản trị viên Exchange Server 2007
• Quản trị viên tổ chức
• Quản trị viên người nhận
• Quản trị viên chỉ xem

Hình 1: Quản trị viên của Exchange Server 2007
Để có một tổng quan, chúng tôi đã sử dụng một bảng các role điều khoản cho
phép của Exchange Server khác nhau từ website của Microsoft TechNet, bảng
này sẽ cho bạn biết được nhiều về cách sử dụng các điều khoản Exchange khác
nhau.
Role quản
trị viên
Thành viên
Thành viên
của
Các điều khoản của
Exchange
Quản trị
viên tổ chức
Quản trị viên, hoặc
tài khoản được sử
dụng để cài đặt

Exchange 2007
server đầu tiên
Quản trị
viên người
nhận

Nhóm nội
bộ của
Kiểm soát toàn diện
đối với mục Microsoft
Exchange trong
Active Directory
Quản trị
viên người
nhận
Quản trị viên tổ
chức
Quản trị
viên chỉ xem
Kiểm soát toàn diện
đối với các thuộc tính
của Exchange trên
đối tượng Active
Directory người dùng
Quản trị
viên
Exchange
Server
Quản trị viên tổ
chức

Quản trị
viên chỉ xem

Nhóm nội
bộ của
Kiểm soát toàn bộ
Exchange
Quản trị
viên chỉ xem
Quản trị viên người
nhận

Quản trị viên
Exchange Server ()
Quản trị
viên người
nhận

Quản trị
viên
Exchange
Server
Cho phép đọc mục
Microsoft Exchange
trong Active Directory

Cho phép đọc tất cả
các miền Windows có
người nhận Exchange
Exchange

Servers
Mỗi tài khoản máy
tính Exchange
2007
Quản trị
viên chỉ đọc
Đặc biệt
Bảng 1: Điều khoản Exchange Server 2007
Các tập thuộc tính trong Exchange Server 2007

Bạn có thể sử dụng tập các thuộc tính trong Exchange Server 2007 cho việc
nhóm thuộc tính để kích hoạt kiểm soát truy cập đối với các thuộc tính của đối
tượng cụ thể. Các tập thuộc tính sử dụng một Access Control Entry (ACE) truy
cập riêng thay cho ACE cho mỗi thuộc tính riêng lẻ.

Exchange Server 2007 tạo hai tập thuộc tính mới dành riêng cho bản thân nó và
không sử dụng các tập thuộc tính Active Directory đang tồn tại. Trong suốt quá
trình mở rộng Active Directory Schema, Exchange Server 2007 thực hiện các
hành động dưới đây:
• Mở rộng Active Directory schema bằng các lớp và thuộc tính mới.
• Tạo các tập thuộc tính cho Exchange Server 2007, Exchange Information
và Exchange Personal Information.
• Bổ sung thêm các thuộc tính phù hợp với tập thuộc tính của Exchange
Information và Exchange Personal Information.
Các role của Exchange server

Exchange Server 2007 có một role mới. Bạn hoàn toàn có thể cài đặt 5 role
Exchange Server 2007 khác nhau. Các role này là:
• Mailbox server role
• Hub Transport server role

• Client Access server role
• Unified Messaging server role
• Edge Transport server role
Mỗi một role thực hiện một số chức năng đặc biệt nào đó và các doanh nghiệp
có thể kết hợp các role này trên cùng hoặc trên các máy tính khác nhau. Tất cả
các role đều có thể được kết hợp mà không cần có một ngoại lệ nào. Edge
Transport Server role không thể được cài đặt cùng với các role Exchange khác
trên cùng một máy. Vấn đề này cũng tương tự với nút Active and Passive
Exchange Cluster service, tuy nhiên chức năng Exchange Cluster sẽ không
được đưa vào hạng mục role của Exchange Server.

Exchange Server 2003 chính thứ
c không hề có role được cài đặt nhưng bạn
hoàn toàn có thể cấu hình một hoặc nhiều máy chủ với tư cách Front End Server
(giống như Exchange Server 2007 CAS role). Máy chủ nắm giữ các hộp thư và
thư mục công trong Front End Server có tên gọi là Exchange Back End Server.
Với Exchange Server 2003, bạn hoàn toàn có thể cấu hình Exchange Server
như một máy chủ chỉ để định tuyến mail. Máy chủ này không có các hộp thư và
cơ sở dữ liệu thư mục công nhưng nó chịu trách nhiệm cho việc
định tuyến mail.

Hình 2: Các role của Exchange Server 2007
Firewall

Firewall của Windows Server 2008 với kết nối mạng nâng cao được bật cho các
kết nối vào và ra một cách mặc định. Bạn có thể cấu hình thủ công các ngoại lệ
cho cổng tường lửa và các chương trình được phép truyền thông với host khác.
Tiện ích Security Configuration Wizard là tiện ích được sử dụng trong Windows
Server 2003 SP1 có mục đích thiết lập cấu hình bảo mật dựa trên role, tiện ích
này chịu trách nhiệm cho việc tạo các ngoại lệ

dựa trên role đã được cấu hình,
hiện không còn được sử dụng trong Windows Server 2008.

Lưu ý
:
Đừng so sánh Server Manager của Windows Server 2008 với Server Manager
trong Windows NT4. Chúng là những chương trình khác nhau hoàn toàn.

Server Manager của Windows Server 2008 được sử dụng để cung cấp vấn đề
bảo mật dựa theo role cho các dịch vụ và tính năng của Windows đã được cài
đặt, tuy nhiên chúng tôi nghĩ rằng Server Manager sẽ được sử dụng trong tương
lai với vấn đề bảo mật theo role cho ứng dụng đã được cài đặt như Microsoft
SQL Server 200x và các phiên bản sau này. Với phiên bản Windows Server
2008 Beta hiện hành và phiên bản Beta cho Exchange Server 2007 SP1,
Exchange setup m
ở các cổng và các chương trình cần thiết phụ thuộc vào role
Exchange mà bạn cài đặt.

Hình 3: Windows Server 2008 Firewall
Các dịch vụ Exchange Server 2007 đã được cài đặt

Phụ thuộc vào các role của Exchange đã cho trong quá trình cài đặt, chỉ các dịch
vụ cần thiết sẽ được cài đặt theo lựa chọn đó.

Hình 4: Các dịch vụ Exchange Server 2007 trên Windows Server 2008
Kết luận

Trong phần này, chúng ta đã thảo luận một số phương pháp về cách bổ sung
bên dưới hệ điều hành Windows Server 2008 và vài trò một số phần của cài đặt
dựa theo role của Exchange Server 2007 quan trọng như thế nào trong toàn bộ

giải pháp bảo mật. Chúng tôi cũng đã giới thiệu về model điều khoản mới của
Exchange Server và các dịch vụ Exchange Server 2007 đã được cài đặt. Trong
phần thứ hai của bài này, chúng tôi sẽ tiếp tục giới thiệu đến các bạn vấn đề bảo
mật trong Exchange Server 2007 và phần ba là cách bảo mật truy cập máy
khách đối với Exchange Server 2007 cũng như một số thay đổi cấu hình cần
phải thực hiện trong cấu hình Exchange Server 2007.
