Active Directory Schema ..........................................100
Cluster Administrator ..............................................100 Internet Information Services ....................................101 DNS .................................................................101
3.2 Exchange System Manager ..........................................101
3.2.1 Instalace konzoly Exchange System Manager .......101
5.3.5 Obnova celého serveru ....................................427
Exchan g e Server 2003
Pod ě kování
D ě kuji za spolupráci a cenné rady všem svým koleg ů m, kamarád ů m a známým, zejména pak Miroslavu Knotkovi, Petru Šetkovi, Petru Hronovi, Ji ř ímu Grohmannovi a Filipu Markesovi.
Velký dík pat ř í rovn ě ž Vladimíru Cihlá ř ovi za pomoc p ř i ilustraci obrázk ů , Tomáši Duškovi ze spole č nosti Sunnysoft za po č ešt ě ní emulátoru Pocket PC 2003 a Marku Waldhauserovi ze spole č nosti e-Fractal za seznámení s produktem SMS Touch
V neposlední ř ad ě musím pod ě kovat své manželce, která se o m ě po dobu psaní této knihy pe č liv ě starala a nep ř ipustila, abych se zpozdil ani o jediný den.
Zbytek už asi všichni znáte. Za to, co je v této knize dob ř e, d ě kuji všem výše jmenovaným, za to, co je špatn ě , mohu já.
Úvod
Poslání knihy
Problematika poštovních server ů Microsoft Exchange doposud nebyla v č eské literatu ř e dostate č n ě prezentována. V souvislosti s vydáním p ř edchozí verze Microsoft Exchange 2000 Server (dále jen Exchange 2000 ) se na č eském trhu neobjevila jediná p ů vodní č eská publikace, která by detailn ě mapovala tento produkt, hojn ě používaný ve firmách fungujících na technologiích spole č nosti Microsoft
Hlavním posláním této knihy je splatit dluh všem č tená řů m, kte ř í hledali srozumitelnou p ř íru č ku v č eském jazyce, a také t ě m, kte ř í nemají tu možnost č íst originální anglickou literaturu. Touto knihou také plním slib všem svým student ů m a poslucha čů m, kte ř í m ě č asto na školeních a konferencích žádali o alternativu k anglickým p ř íru č kám dodávaným k výukovým kurz ů m Microsoftu (MOC) a ke knihám MCSE: Training Kit, ur č eným pro samouky.
Poštovní servery Microsoft Exchange
Microsoft Exchange Server 2003 (dále jen Exchange 2003), známý také pod kódovým ozna č ením Titanium, je v po ř adí pátou verzí tohoto populárního groupwarového ř ešení. Samoz ř ejm ě do vý č tu verzí (4.0, 5.0, 5.5, 2000, 2003) je t ř eba zapo č ítat i p ř edch ů dce, a to na tehdejší dobu pom ě rn ě pokrokový produkt MS PC Mail (Microsoft Mail for Personal Computing Networking). Tento produkt sice nesdílí s dnešními verzemi jedinou č ást kódu, ale stál u zrodu aplika č ního rozhraní MAPI, které je dodnes používáno p ř i komunikaci s poštovním klientem Outlook
Nová verze doznala oproti serveru Exchange 2000 mnoha zm ě n. N ě které zm ě ny jsou p ř ír ů stkové povahy (viz i necelé č íslo verze Build 6.5), jiné zase zásadním zp ů sobem m ě ní pojetí správy celé organizace.
Exchange 2003 spole č n ě s opera č ním systémem Windows Server 2003 byl vyvíjen na standardech iniciativy Microsoft Trustworthy Computing , jejímž cílem je zlepšit vlastnosti produkt ů v oblasti zabezpe č ení, soukromí, spolehlivosti a integrity dat. Základními pravidly této iniciativy, která byla p ř edstavena v lednu 2002, je zabezpe č ení p ř i vývoji, zabezpe č ení ve výchozím stavu, zabezpe č ení p ř i zavád ě ní a komunikace se zákazníky p ř i udržování zabezpe č ení a integrity firemního prost ř edí.
Komu je kniha ur č ena?
Tato kniha je prvním ze dvou svazk ů v ě novaných platform ě pro zasílání zpráv Exchange 2003 . První svazek by m ě l sloužit jako úvod do implementace a správy poštovního systému Exchange 2003 , ale i p ř edchozí verze Exchange 2000 (architektura platformy nebyla zásadn ě pozm ě n ě na) a zárove ň by m ě l posloužit i jako rádce a pr ů vodce v p ř ípad ě ř ešení problém ů (vzhledem k rozsahu ne v kapesním formátu, bohužel ☺ ).
Exchan g e Server 2003
V prvním svazku si p ř ijdou na své hlavn ě za č ínající a mírn ě pokro č ilí správci firemních sítí, kte ř í se chystají nasadit (nebo již provozují) tuto novou verzi poštovního systému do prost ř edí s adresá ř ovou službou Active Directory b ě žící na opera č ních systémech
Windows 2000 a Windows Server 2003
První kapitola je v ě nována p ř ehledu a architektu ř e systému. Jsou zde popsány rozdíly mezi jednotlivými verzemi systému Exchange 2003 , jeho závislosti na adresá ř ové služb ě
Active Directory a služb ě Internet Information Services . Úvod kapitoly je zasv ě cen novinkám serveru Exchange 2003 , které ocení zejména správci znalí serveru Exchange 2000
Druhá kapitola pojednává o instalaci systému Exchange 2003 . Krom ě samotné instalace jsem se zde snažil klást d ů raz zejména na její plánování, p ř ípravu a postinstala č ní kroky, jež bývají ve firmách č asto opomíjeny, a z toho v budoucnu mnohdy plynou problémy. Kapitola se také v ě nuje automatizaci instalací systém ů Exchange v p ř ípad ě hromadného zavád ě ní velkého po č tu server ů
T ř etí, nejrozsáhlejší kapitola popisuje jednotlivé č innosti správy poštovního systému. Jmenujme nap ř . správu úložiš ť dat, p ř íjemc ů , seznam ů adres, sm ě rování atd. Tato kapitola by se m ě la stát t ě žišt ě m a ur č itým st ř edobodem této knihy, protože mapuje nej č ast ě jší č innosti správc ů server ů Exchange
Klient ů m systému Exchange 2003 je vyhrazena č tvrtá kapitola, v ě novaná jednotlivým možnostem p ř ístupu do poštovní schránky uživatele. Krom ě klasických zp ů sob ů (MAPI, POP3, IMAP4) jsou zde popsány i p ř ístupy z mobilních za ř ízení, jakou jsou nap ř . mobilní po č íta č e a telefony, PDA za ř ízení ( Pocket PC , Pocket PC Phone Edition apod.). Jakýmsi mottem této kapitoly, vyjad ř ujícím její cíl a sou č asný trend, je „p ř ístup do poštovní schránky odkudkoliv a kdykoliv“.
Zálohování a obnova neodmysliteln ě pat ř í k č innostem provozovaným na jakémkoliv sytému. Ani zde nebude tato oblast opomenuta, je jí v ě nována pátá kapitola. Krom ě samotných proces ů zálohování a obnovy jsem se zde snažil nastínit také p ř ípravu scéná ř e na potencionální možnosti havárie systému.
V t ě chto p ě ti kapitolách by m ě l č tená ř získat dostatek informací o nasazení a konfiguraci serveru Exchange . Z d ů vodu omezeného rozsahu knihy jsem si dovolil p ř esunout n ě které oblasti správy do druhého svazku knihy, který by m ě l problematiku rozši ř ovat a dále prohlubovat. Je ur č en spíše pokro č ilým správc ů m a návrhá řů m poštovní infrastruktury firmy. Jmenujme nap ř . oblasti v ě nované ve ř ejným složkám, systémovým zásadám, zabezpe č ení server ů , antivir ů m, nevyžádané pošt ě , clusterovým ř ešením ke zvýšení redundance a vysoké dostupnosti serveru, digitální podepisování a šifrování e-mailových zpráv atd.
Související publikace
Nezbytným p ř edpokladem pro úsp ě šné zvládnutí správy serveru Exchange 2003 je dobrá znalost adresá ř ové služby Active Directory , bu ď na opera č ním systému Windows 2000 nebo Windows Server 2003 . Z č eské literatury doporu č uji knihy Michala Osifa Windows
2000 Server a Advanced Server – poradce experta (Grada 2001) a Windows Server 2003 – poradce experta (Grada 2003).
Styl a struktura publikace
Kniha je psána prost ř ednictvím podrobného popisu vzniku nové poštovní organizace Exchange ve fiktivní firm ě . V potaz je brána komplexnost firmy, v č etn ě pobo č ky p ř ipojené p ř es sí ť WAN a mobilních uživatel ů , kte ř í se pohybují nejenom po jednotlivých lokalitách firmy, ale p ř istupují do poštovní schránky odkudkoliv z internetu.
Z d ů vodu neexistence č eské lokalizace serveru Exchange 2003 jsou v publikaci používány anglické termíny s volným č eským p ř ekladem. U klientských aplikací Outlook 2003 , Outlook Web Access a Exchange ActiveSync jsou použity oficiální č eské p ř eklady.
Modelová situace
Jelikož samotná teorie fungování serveru Exchange 2003 by byla asi dost nudná, pojďme si dále vše prakticky ukazovat přímo na modelovém prostředí fiktivní firmy, jejíž jméno bude jak jinak než Grada (jedná se o čistě fiktivní firmu, která kromě jména nemá s firmou Grada Publishing nic společného). Doménová struktura (Forest) firmy se skládá z jedné domény, jejíž jméno je grada.cz a kterážto je zároveň názvem celé doménové struktury. Doména i doménová struktura jsou přepnuty na nejvyšší možnou funkční úroveň Windows Server 2003. Fyzická topologie firmy je tvořena dvěma pobočkami, a to v Praze a Brně. Pro tyto pobočky byly vytvořeny dvě sítě (Sites), pojmenované Praha a Brno, na něž jsou navázány IP podsítě 192.168.1.0/24 (Praha) a 192.168.2.0/24 (Brno). V každé síti (Site) je momentálně pouze jeden doménový řadič, a to SPraha01 v Praze a SBrno01 v Brně. Oba dva doménové řadiče jsou nainstalovány na operačním systému Windows Server 2003 a konfigurované jako globální katalogy a servery DNS. Pobočky jsou propojeny pomocí hardwarových směrovačů rychlostí 1 Mb/s, mezi kterými je natažena virtuální privátní síť. Mezi sítěmi je vytvořen objekt spojení sítí (Sitelink) PrahaBrno, na kterém jsou nastaveny replikace jednou za hodinu, a to od pondělí do neděle, 24 hodin nepřetržitě
Jedná se o práv ě založenou firmu, která si svou infrastrukturu teprve buduje. Firma nemá zatím implementovaný žádný poštovní systém, ale už je rozhodnuta pro nasazení nové verze serveru Exchange 2003 . V ě tšina zam ě stnanc ů je umíst ě na na pražské centrále, v Brn ě je jich prozatím jen n ě kolik. Z rozpo č tu na IT byly vyhrazeny peníze pouze pro nákup jednoho dalšího serveru. Hlavní IT architekt rozhodl, že tento server bude umíst ě n na centrále a bude se jednat o č lenský server pojmenovaný SPraha11 , na kterém bude nainstalován první server Exchange 2003 . Na serveru bude instalován Windows Server 2003 Enterprise Edition a Exchange Server 2003 Enterprise Edition . Tento server bude hostovat poštovní schránky uživatel ů jak z Prahy, tak z Brna.
Pro pojmenování server ů v naší fiktivní firm ě byla zvolena konvence SSí ť XX , kde S znač í, že se jedná o typ objektu server, a XX je poř adové č íslo urč ující zároveň, zdali se jedná o doménový ř adič (01-10), nebo č lenský server (11 a výše). Č íslování bylo zvoleno z d ůvodu zajišt ění odlišení server ů v př ípadě př idávání dalších server ů stejné kategorie do jedné sít ě
Exchan g e Server 2003
Pro pojmenování stanic byla zvolena konvence WSí ť XXX , kde W zna č í, že se jedná o typ objektu pracovní stanice a XXX je po ř adové č íslo. Protože daná firma se m ů že v budoucnu rozr ů st o více stanic, bylo zvoleno trojmístné po ř adové č íslo.
Modelové prost ř edí fiktivní firmy Grada používané dále v této knize
1. P ř ehled a architektura serveru Exchange 2003
1.1 Novinky oproti serveru Exchange 2000
Vzhledem k tomu, že knihu mohou č íst i správci p ř edchozí verze, zmíním na tomto míst ě zásadní změny a novinky, které se objevily v serveru Exchange 2003. Tyto novinky č i zdokonalení budu dále rozebírat v následujících kapitolách (pop ř . se objeví v druhém svazku knihy).
Zač ínajícím správc ům serveru Exchange 2003 doporuč uji př eskoč it rovnou na kapitolu 1.2.
Seznam novinek a zm ě n je voln ě p ř evzat z dokumentu Microsoft Exchange Server 2003 Getting Started Guide.
1.1.1 Novinky v oblasti mobilní komunikace
Do serveru Exchange 2003 byly za ř azeny dv ě nové služby podporující p ř ístup do poštovní schránky uživatele z mobilních za ř ízení, jakými jsou nap ř . za ř ízení založena na platform ě Pocket PC 2002/2003 a Windows Mobile 2003 a dále mobilní telefony s wapovým prohlíže č em. Jedná se o webové aplikace Exchange ActiveSync a Outlook Mobile Access , které byly d ř íve dostupné pouze pomocí produktu Microsoft Mobile Information Server 2002
Aplikace Exchange ActiveSync zajiš ť uje synchronizaci složek Doru č ená pošta , Kalendá ř a Kontakty mezi serverem Exchange 2003 a mobilním za ř ízením na platform ě Pocket PC 2002 a vyšší. Jedná se v ě tšinou o synchronizaci „vzduchem“, p ř es bezdrátové sít ě Wi-Fi č i sít ě mobilních operátor ů . Po synchronizaci jsou data na mobilním za ř ízení dostupná ve stavu offline. Oproti serveru Mobile Information Server 2002 je zde jedna nová funkce, a to notifikace up-to-date. Tato funkce umož ň uje pomocí zprávy SMS probudit mobilní za ř ízení a vynutit jeho synchronizaci se serverem Exchange 2003 , ve chvíli, kdy se ve schránce uživatele objeví nová e-mailová zpráva.
Aplikace Outlook Mobile Access umož ň uje p ř ístup do schránky uživatele p ř es mobilní prohlíže č založený na protokolu WAP. Uživatelé se tak mohou dostat do složek Doru č ená pošta , Kalendá ř , Kontakty a Úkoly . Prohlíže č mobilního za ř ízení musí podporovat jeden z jazyk ů HTML (nap ř . Casio Cassiopeia E-200), XHTML (nap ř . Sony Ericsson T68i), nebo CHTML (nap ř . Panasonic P504i). Outlook Mobile Access nabízí p ř ístup k serveru Exchange 2003 i z nepodporovaných za ř ízení, která nejsou na oficiálním seznamu za ř ízení firmy Microsoft (neprošla jejich testovacími laborato ř emi).
1.1.2 Novinky v oblasti správy
V oblasti správy doznal Exchange 2003 mnoha zjednodušení a urychlení práce, což ocení hlavn ě správci znalí p ř edchozí verze, kte ř í se potýkali s ob č asnými prodlevami v konzole Exchange System Manager . Tato konzola prod ě lala nejedno vylepšení, i když to na první pohled není patrné. Nejp ř íjemn ě jší zm ě nou, na kterou bych rád upozornil, je možnost vy-
Exchan g e Server 2003
volání pr ů vodce Exchange Tasks Wizard u uživatele nebo vícera uživatel ů (vybraných
pomocí p ř idržení kláves C TRL nebo S HIFT ) p ř ímo z konzoly Exchange System Manager , což považuji v p ř edchozí verzi za velký nedostatek. V serveru Exchange 2000 tato možnost chyb ě la, a uživatelé tak museli být spravováni z konzoly Active Directory Users and Computers (Uživatelé a po č íta č e služby Active Directory). V dalších odstavcích jsou stru č n ě popsány nejd ů ležit ě jší zm ě ny.
Volume Shadow Copy (Podpora služby Stínová kopie svazku)
Exchange 2003 m ů že p ř i zálohování a obnov ě využívat krom ě starého zálohovacího rozhraní z Windows 2000 také nové rozhraní ze systému Windows Server 2003 . Toto nové rozhraní využívá službu Stínová kopie svazku , která vytvá ř í zrcadlenou kopii disku na zač átku procesu zálohování. Skute č ná záloha je poté vytvo ř ena ze zrcadlené kopie (a ne p ř ímo z disku, na kterém probíhají zm ě ny), a tím pádem normální operace mohou pokrač ovat v b ě hu. Záloha takto reflektuje stav svazku v moment ě , kdy byl zapo č at proces zálohování, i když se data v jeho pr ů b ě hu zm ě nila. Všechna data v záloze jsou intern ě konzistentní k danému bodu v č ase. Aplikace jsou notifikovány o za č átku procesu zálohování a mohou se na n ě j p ř ipravit vy č išt ě ním mezipam ě ti a soubor ů transak č ních protokol ů . Proces zálohování a obnovy databáze serveru Exchange 2003 je takto mnohonásobn ě rychlejší než v p ř edchozích verzích (blíže kapitola 5.2).
Query-based Distribution Groups (Dynamické distribu č ní skupiny)
Dynamická distribu č ní skupina má stejnou funkci jako standardní distribu č ní skupina známá ze serveru Exchange 2000 (která je zachována i u serveru Exchange 2003 ), ale liší se správou č lenství. Na rozdíl od standardní distribu č ní skupiny, jejíž č lenství je statické, dynamická distribu č ní skupina umož ň uje specifikaci č len ů pomocí dotaz ů protokolu LDAP (nap ř . pomocí atribut ů u ú č tu uživatele). To urychluje a zjednodušuje správu distribu č ních skupin. Na druhou stranu, tento nový typ skupiny sice snižuje náklady na správu, ale daleko více zat ě žuje procesor, jelikož pokaždé, když je do dynamické distribu č ní skupiny poslána e-mailová zpráva, je v ůč i Active Directory spušt ě n dotaz LDAP na č lenství ve skupin ě (blíže kapitola 3.6.7).
V globálním seznamu adres nelze zobrazit č leny distribu č ní skupiny. Č lenství se generuje v dob ě , kdy je e-mailová zpráva poslána.
Konzola Exchange System Manager
Konzola Exchange System Manager doznala následujících vylepšení:
Zjednodušení filtr ů pro vyhledávání, zdokonalené ř azení podle sloupc ů a lepší manipulace s vícero frontami a zprávami.
Fronty jsou centralizovány podle serveru místo podle virtuálního serveru, což znamená, že všechny fronty na serveru lze zobrazit z jediného místa.
Zvýšený výkon z hlediska vý č tu front a zobrazení všech front ve výchozím nastavení.
Zobrazeny jsou nyní všechny systémové fronty, což usnad ň uje ř ešení problém ů
Funkce Enable Forms Based Authentication (Povolit formulá ř ovou autentizaci) na úrovni virtuálních server ů HTTP, umož ň ující prost ř ednictvím uživatelského rozhraní snadno povolit č i zakázat soubory cookie pro ov ěř ování.
Možnost p ř esunout soubory protokol ů a dat fronty. V p ř edchozí verzi Exchange 2000 bylo možné p ř esouvat soubory protokol ů trasování pouze ru č n ě prost ř ednictvím nástroj ů pro zm ě ny v adresá ř ích ( ADSI Edit , LDP ) a č lánk ů znalostní databáze spole č nosti Microsoft . Nyní soubory protokol ů pro sledování zpráv lze p ř esunout p ř ímo v konzole Exchange System Manager , stejn ě jako data fronty MTA (Message Transfer Agent) X.400 a data fronty SMTP (Simple Mail Transfer Protocol).
Bližší informace o p ř esunutí souborů protokol ů trasování jsou uvedeny v č lánku Q317700 „XADM: How to Change the Location of the Message Tracking Logs“ znalostní databáze spole č nosti Microsoft (http://support.microsoft.com).
Možnost získat další informace o akcích v clusterech. V rámci cluster ů lze zobrazit informace o stavu virtuálních server ů a o p ř evzetí služeb p ř i selhání.
Za ř azení nových t ř íd objektového modelu WMI (Windows Management Instrumentation) k ovládání serveru Exchange 2003 pomocí skript ů
Nástroj Move Mailbox
Nyní je možno p ř esunovat vícero poštovních schránek paraleln ě spušt ě ním n ě kolika instancí pr ů vodce Exchange Task Wizard . Schránky takto lze p ř esouvat na jiný server nebo do jiné databáze poštovních schránek. P ř esun schránky je možno také naplánovat a p ř ed zapo č etím samotného procesu p ř esunu lze zprávy ve schránkách zkontrolovat, zdali nejsou porušené. P ř esunovat schránky ve více instancích je užite č né nap ř íklad p ř i migracích velkého po č tu uživatel ů ze server ů Exchange 5.5 na servery Exchange 2003 nebo p ř i konsolidacích server ů Exchange
Queue Viewer (Prohlíže č front)
Nyní je možno sledovat data fronty X.400 a SMTP z jednoho místa, a to p ř ímo z nástroje Queue Viewer (Prohlíže č front). Lze také nastavit obnovovací interval front a sledovat dodate č né informace o dané front ě Prohlíže č front zahrnuje nové funkce jako nap ř Disable Outbound Mail (Pozastavit odchozí poštu), která správc ů m umož ň uje v p ř ípad ě pot ř eby pozastavit všechny odchozí e-mailové zprávy ve všech frontách SMTP. Prohlíže č front nyní také zobrazuje skryté fronty, jako nap ř . fronty pro nezda ř ené pokusy o znovuodeslání zprávy.
Disable Outbound Mail nepozastavuje data fronty MTA ani systému.
Exchan g e Server 2003
Stav linky (Link State)
Došlo ke dv ě ma vylepšením stavu linky:
Stav linky z ů stává beze zm ě ny, pokud neexistuje alternativní cesta. Neexistuje-li alternativní cesta pro linku (nebo sm ě rování), bude server Exchange považovat cestu za dostupnou.
Byla zavedena st ř ídav ě dostupná p ř ipojení (tzv. oscilující p ř ipojení). Exchange 2003 zdokonaluje sm ě rování kódu stavu linky kontrolou fronty stav ů linek. Pokud existuje n ě kolik konfliktních zm ě n stav ů konektor ů (oscilace – st ř ídav ě dostupný/nedostupný), bude server Exchange 2003 považovat konektor za dostupný. Místo neustálých zm ě n stavu linky je vhodn ě jší nechat k dispozici st ř ídav ě dostupný konektor.
Public Folders Referrals (Odkazy ve ř ejných složek)
Exchange 2003 poskytuje pro odkazy veř ejných složek bohatší rozhraní než v př edchozích verzích. Rozhraní je možno využít k vytvo ř ení seznamu konkrétních server ů, mezi nimiž jsou odkazy povoleny. Nap ř . odkazy lze omezit na jednu sm ěrovací skupinu, nebo jenom povolit odkazy mezi danými servery v dané směrovací skupině
Správa ve ř ejných složek
Uživatelské rozhraní ve ř ejných složek bylo vylepšeno o nové záložky:
Content (Obsah) – zobrazuje obsah ve ř ejné složky pomocí aplikace Outlook Web Access
Find (Najít) – prohledává jednotlivé položky v rámci vybrané ve ř ejné složky nebo hierarchie ve ř ejných složek.
Status (Stav) – obsahuje informace o stavu ve ř ejné složky, serveru složky, databázi složek, velikosti složky, po č tu položek ve složce a č asu posledního p ř ístupu.
Replication (Replikace) – zobrazuje údaje týkající se replik ve ř ejné složky.
Replikace ve ř ejných složek
Nyní je možno manuálně spustit replikaci, aniž bych musel č ekat na př ednastavený replikač ní interval. Tímto způsobem lze replikovat pouze hierarchii složek (nap ř. pokud jsem vytvořil novou složku a chci, aby se ihned zreplikovala na všechny servery) nebo obsah složky.
Public Folder Migration Tool (Nástroj na migraci ve ř ejných složek)
Nástroj Microsoft Exchange Public Folder Migration Tool (pfMigrate.wsf) je ve skute čnosti skript využívající prost ř edí Windows Script Host 2.0 . Skript vytvá ř í repliky ve ř ejné složky na novém serveru a poté, co se data zreplikovala, odstra ň uje repliky ze zdrojového serveru. Jakákoliv replika se chová jako primární v ůč i dat ů m, která obsahuje, a jakýkoliv server m ů že být odstran ě n ze seznamu replik.
Ješt ě p ř ed spušt ě ním samotného nástroje je možné vygenerovat zprávu o tom, kolik veř ejných složek má být zreplikováno. Po spušt ě ní nástroje je možné vygenerovat stejnou zprávu a ur č it, zdali ve ř ejné složky byly úsp ě šn ě zreplikovány.
Konzola Message Tracking
Exchange 2003 vylepšuje možnosti sledování zpráv dv ě ma zp ů soby:
Z d ů vodu v ě tší flexibility a správy je možné zm ě nit umíst ě ní soubor ů protokol ů pomocí konzoly Exchange System Manager . Není již nutné používat nástroje pro modifikaci zm ě n v Active Directory (nap ř ADSI Edit , LDP ) jako u p ř edchozí verze.
Možnost sledování zpráv až za fázi kategorizace, kdy je adresa p ř íjemce ov ěř ena v Active Directory a je ur č ena cesta, kudy bude zpráva odeslána. Nyní je možno sledovat zprávu ve fázi postkategorizace a b ě hem sm ě rování.
Nástroj EXCHDUMP
EXCHDUMP je užite č ný nástroj p ř íkazového ř ádku, který sbírá informace o konfiguraci serveru Exchange z mnoha zdroj ů , jako nap ř . z Active Directory , metabáze IIS a registru. Nástroj generuje zprávu, která obsahuje údaje o konfiguraci pomocí vybraných p ř epína čů /HTTP , /SERVER , /RPC
1.1.3 Novinky v oblasti výkonu a škálovatelnosti
Potla č ení posílání zpráv Mimo kancelá ř do distribu č ních seznam ů
Pokud uživatel není uveden na ř ádku To (Komu) nebo Cc (Kopie), zpráva Mimo kancelá ř není odeslána. To zabra ň uje odesílání zprávy Mimo kancelá ř č len ů m distribu č ních seznam ů , kte ř í obvykle necht ě jí, aby jim tyto zprávy byly doru č ovány. Tato zm ě na také snižuje zatížení procesoru na serverech Exchange
Ukládání č len ů distribu č ních seznam ů do mezipam ě ti
Exchange 2003 využívá mezipam ěť k vyhledání č len ů distribu č ního seznamu p ř ed samotným posláním zprávy. Tato mezipam ěť byla optimalizována a výsledkem je snížení zát ě že na server p ř i vyhledávání č lenství, což se odráží asi v 60% úspo ř e z hlediska po č tu dotaz ů služby Active Directory
Výkonnost aplikace Outlook p ř i synchronizaci
Exchange 2003 zvyšuje výkon synchroniza č ního procesu aplikace Outlook u klient ů p ř epnutých do režimu serveru Exchange s mezipam ě tí (Cached Exchange Mode). Klienti s aplikací Outlook p ř epnutou do tohoto režimu dosahují následujících výhod:
Exchan g e Server 2003
Lepší výkon klienta díky snížení po č tu notifikací o zm ě nách.
Detekce nativního formátu zprávy (nap ř . HTTP), ve kterém se má zpráva synchronizovat, a zaslání zpráv klientovi pouze v tomto formátu.
Vylepšené podmínky pro synchronizaci hierarchie vno ř ených složek.
Speciální zprávy ur č ující po č et a velikost e-mail ů , jež jsou posílány na klienta a umožň ují uživateli vybrat si, které e-maily si stáhne.
Komprese dat provedená serverem Exchange 2003 vedoucí ke snížení celkového objemu informací posílaných mezi aplikací Outlook a servery Exchange 2003
Optimalizace komunikace mezi klientem a serverem vedoucí ke snížení celkového poč tu žádostí o data ze serveru (bez ohledu na to, jestli je aplikace Outlook p ř epnuta do režimu serveru Exchange s mezipam ě tí ).
Tyto zm ě ny snižují celkovou zát ě ž na procesor serveru Exchange . Jinými slovy, server zpracovává nižší množství dat díky nižšímu množství požadavk ů ze strany klient ů
Výkonnost služby Outlook Web Access
Vylepšení výkonu aplikace Exchange 2003 Outlook Web Access (dále jen Outlook Web Access ) zahrnuje rychlejší zobrazení schránek uživatel ů a možnosti konfigurace pro rychlejší odezvu, zejména na pomalých linkách. To plyne hlavn ě ze sníženého po č tu bajt ů posílaných ze serveru do prohlíže č e klienta.
Po zapnutí formulá ř ové autentizace (Forms Based Authentication) si uživatelé mohou p ř i p ř ihlašování vybrat, jakou verzi aplikace Outlook Web Access budou používat: zdali verzi Premium, nebo Basic (Základní) (blíže kapitola 4.5.
Verze Premium dává k dispozici všechny funkce aplikace Outlook Web Access . Tato volba vyžaduje, aby klienti používali prohlíže č Microsoft Internet Explorer 5 a vyšší. Uživatelé používající prohlíže č Internet Explorer 6 (a vyšší) a p ř ipojující se p ř es rychlou linku by m ě li využít verze Premium , aby dosáhli celkového zvýšení výkonu. Pokud je server Exchange 2003 instalován na systému Windows Server 2003 , je možno také využít vestav ě nou kompresi GZIP (data jsou ze serveru do prohlíže č e posílána komprimovan ě ), která byla také p ř idána do prohlíže č e Internet Explorer 6 a vyššího. Verze Basic dává k dispozici pouze č ást funkcí obsažených ve verzi Premium (nap ř neobsahuje volbu Show/Hide Preview Pane (Zobrazit/Skrýt náhled), volby kontextové nabídky, dvou ř ádkový náhled na e-mailovou zprávu, kontrolu pravopisu atd.). Pro „svižn ě jší“ práci s aplikací Outlook Web Access na pomalých linkách je doporu č eno používat verzi Basic , i když to m ů že být na úkor snížení funk č nosti.
Outlook Web Access Basic funguje v jakémkoliv prohlíže č i na jakékoliv platform ě , což ur č it ě pot ě ší správce heterogenních sítí, ve kterých se používají i jiné opera č ní systémy než Microsoft Windows.
Sledování výkonnosti klientské aplikace Outlook
Servery Exchange 2003 mohou sbírat informace o aktuálním výkonu aplikace Outlook. Servery zaznamenávají prodlevy a chyby protokolu RPC (Remote Procedure Call) pozorované na klientských stanicích s aplikací Outlook. Tato data jsou přeposílána na server Exchange pro účely řešení potíží s dostupností serverů a z důvodu pozdějších rozborů a analýz.
1.1.4 Novinky v oblasti spolehlivosti
Podpora až osmi uzl ů clusteru
Na serveru Exchange 2003 byla př edstavena podpora cluster ů až o osmi uzlech. Clustery o osmi uzlech je možné vytvo ř it pouze na systémech Windows Server 2003 Enterprise Edition a Windows Server 2003 Datacenter Edition. Omezením, které je nutno vzít v potaz, je fakt, že cluster o tř ech až osmi uzlech musí obsahovat alespo ň jeden pasivní uzel – jedná se o tzv. konfiguraci active/passive. Pouze cluster o dvou uzlech lze instalovat v konfiguraci active/active.
Pro vytvo ř ení clusteru lze použít Exchange 2003 pouze ve verzi Enterprise.
Microsoft nicmén ě doporu č uje nasadit servery Exchange v konfiguraci active/passive z následujících d ů vod ů :
Clustery active/passive se daleko lépe škálují. Instalace dalšího pasivního uzlu je obdobná jako instalace stand-alone serveru Exchange
Clustery active/passive jsou daleko více spolehliv ě jší. P ř i selhání jsou virtuální servery Exchange vždy p ř evzaty „ č erstvým“ pasivním uzlem.
Clustery active/active mají limit 1900 simultánních p ř ipojení k uzlu, který hostuje virtuální servery Exchange
Zkrácení doby pro p ř evzetí clusteru p ř i selhání
Hierarchie závislostí služeb serveru Exchange byla pozm ě n ě na, a to tak, že služby protokol ů (POP3, IMAP4 atd.) již nejsou závislé na služb ě Microsoft Exchange Information Store . To umož ň uje správc ů m uvést úložišt ě Exchange do stavu online č i offline nezávisle na protokolech, a zkrátit tak dobu nutnou pro p ř evzetí clusteru p ř i selhání (Cluster Failover). Navíc, pokud zdroj (Resource) úložišt ě Exchange selže a má být znovu nastartován, nemusí č ekat na žádný další zdroj, než bude uveden do stavu online.
Pokud je použita kombinace serveru Exchange 2003 a opera č ního systému Windows Server 2003 , pak je také zkrácena doba, po kterou Exchange detekuje, který uzel je volný pro p ř evzetí virtuálních server ů Exchange p ř i selhání, což se projeví ve zkrácení doby výpadku serveru.
Exchan g e Server 2003
Nástroj Mailbox Recovery Center
Pomocí nástroje Mailbox Recovery Center je možné hromadn ě napojit vícero odpojených poštovních schránek ke správným ú č t ů m uživatel ů v Active Directory . Nástroj skenuje databázi poštovních schránek a rozpozná všechny odpojené schránky a automaticky je spáruje s ú č ty uživatel ů v Active Directory . Nástroj lze takto využít v n ě kterých scéná ř ích obnovy serveru Exchange po havárii. Jeho hlavní výhodou je zkrácení doby výpadku havarovaného serveru.
V Resource Kitu pro Exchange 2000 existoval nástroj MBCONN , který plnil podobnou funkci jako Mailbox Recovery Center .
Recovery Storage Group (Skupina úložiš ť pro obnovení)
Skupina úložiš ť pro obnovení (Recovery Storage Group) je speciální typ skupiny úložiš ť (pátá skupina), která m ů že koexistovat vedle standardních č ty ř ech skupin úložiš ť . Skupina poskytuje do č asné umíst ě ní a prostor pro obnovu databáze poštovních schránek. Poté je možné z obnovené databáze zkopírovat jednotlivé zprávy č i celou schránku do p ů vodního umíst ě ní (pomocí nástroje ExMerge ). Odpadá tak problém z p ř edchozí verze, kdy bylo t ř eba nejprve postavit novou organizaci Exchange (nejlépe v testovacím labu), v ní zálohu obnovit a pak pomocí soubor ů .pst zprávy p ř etáhnout na server v p ů vodní organizaci. Tato nová skupina zna č n ě zkracuje dobu obnovy a nevyžaduje žádný dodate č ný hardware (obnova je provád ě na v rámci stejného serveru Exchange č i jiného serveru ve stejné administrativní skupin ě ).
Dle mého názoru se jedná o jednu z nejužite č n ě jších funkcí v nové verzi serveru Exchange 2003, která bude podrobn ě ji rozebrána v kapitole 5.3.2.
Error Reporting (Zasílání zpráv o chybách)
Tato funkce umož ň uje správc ů m snadn ě ji zasílat zprávy o chybách firm ě Microsoft , která tyto zprávy sbírá a údaje využívá ke zlepšení funk č nosti svých produkt ů do budoucna (vývoj nových záplat a aktualizací Service Pack ). Pokud se p ř i správ ě serveru v konzole Exchange System Manager nebo v konzole Active Directory Users and Computers (Uživatelé a po č íta č e služby Active Directory) vyskytne chyba, pak je zobrazeno okno s chybovým hlášením a správce je vybídnut k zaslání chyby firm ě Microsoft (viz obr. 2.71). Chyba je zasílána p ř es protokol HTTPS v 10–50kilobajtových souborech.
Vše je integrováno s aplikací Dr. Watson 2.0 , která zaznamenává chyby konzoly Exchange System Manager , služeb System Attendant , DSMx , Exchange Management , Exchange Setup a Exchange Store
Nástroj pro zasílání chyb je možné nastavit tak, aby posílal chybová hlášení automaticky firm ě Microsoft . Tato funkce je užite č ná, pokud si správce nep ř eje být p ř erušován p ř i administraci ihned p ř i výskytu chyby (nap ř . kontroluje pravideln ě Prohlíže č událostí nebo o dané chyb ě ví).
Vylepšení používání a sledování pam ě ti
Používání virtuální pam ě ti v systému Windows Server 2003 ve spojení s úložišt ě m serveru Exchange snižuje fragmentaci a p ř ináší vyšší dostupnost na serverech zpracovávajících požadavky velkého po č tu uživatel ů
Správa virtuální pam ě ti server ů v clusteru byla také pozm ě n ě na. P ř i zp ě tném p ř evzetí clusteru na p ů vodní uzel je nastartován nový proces služby úložišt ě , tím pádem je tomuto procesu alokován nový „ č erstvý“ blok virtuální pam ě ti.
1.1.5 Novinky v oblasti zabezpe č ení a služeb
Filtrování p ř íjemc ů u p ř íchozí pošty (Recipient Filtering)
Tento filtr m ů že blokovat zprávy ur č ené neexistujícím p ř íjemc ů m pomocí náhled ů do Active Directory . Takto lze filtrovat e-maily adresované uživatel ů m, kte ř í nejsou v Active Directory nebo kterým odesílatel nemá oprávn ě ní zprávu poslat. Jakákoliv p ř íchozí zpráva vyhovující t ě mto kritériím je zamítnuta a server SMTP vrátí b ě hem relace chybu 550 5.x.x.
Správce serveru m ůže tento filtr také využít k blokování zpráv posílaných na existující emailovou adresu v rámci organizace. Toto lze využít např . k zabránění posílání e-mail ů z internetu do velkých distribu č ních seznam ů typu info@firma.cz , zamestnanci@firma.cz
Seznamy povolených a blokovaných IP adres v reálném č ase (Realtime Block Lists) Server Exchange 2003 dokáže filtrovat relaci SMTP pomocí seznam ů blokovaných IP adres v reálném č ase (tzv. Real-time Bl ock Lists (RBL), n ě kdy také nazývané Black Lists č i Blackhole Lists). Na internetu existuje velké množství poskytovatel ů t ě chto seznam ů RBL, na které se server Exchange m ů že napojit p ř i kontrole p ř íchozí zprávy a zkontrolovat, zdali se zdrojová IP adresa, ze které zpráva p ř ichází, nevyskytuje na n ě kterém z t ě chto seznam ů . Nejznám ě jší poskytovatelé RBL jsou nap ř relays.ordb.org nebo sbl.spamhaus.org Je možné nastavit vícero RBL seznam ů a ur čit prioritu poř adí, ve které bude filtr na zprávu aplikován. Pokud je IP adresa na RBL seznamu nalezena, na p ř íkaz RCPT TO odpoví server SMTP odesílateli chybovým hlášením 550 5.x.x a popř . textem, jejž nadefinuje správce.
Omezení distribu č ních seznam ů
U distribu č ních seznam ů je nyní možné nastavit funkci From Authenticated Users Only (Pouze od autentizovaných uživatel ů ). Po zapnutí této funkce nemohou být zprávy do distribu č ního seznamu posílány anonymn ě , ale pouze autentizovan ě (odesílatel se musí v ůč i serveru SMTP nejprve autentizovat pomocí uživatelského jména a hesla a teprve poté email odeslat). Správci mohou také ur č it, kte ř í uživatelé mají č i nemají oprávn ě ní odesílat zprávy do distribu č ního seznamu.
Exchan g e Server 2003
Exchan g e Server 2003
Autentizace Kerberos
Aplikace Outlook 2003 nyní m ů že používat protokol Kerberos k autentizaci uživatel ů v ůč i server ů m Exchange 2003 . Kerberos je bezpe č ný protokol s dvojím ov ěř ováním, kde se ov ěř uje jak identita uživatele, tak sí ť ových služeb pomocí vystavování identifika č ních dat ve form ě jedine č ného klí č e zvaného Ticket (lístek). Pokud je virtuální server Exchange vytvá ř en na serveru s opera č ním systémem Windows Server 2003 nebo Windows 2000 SP3 (nebo vyšším), pak je protokol Kerberos zapnut ve výchozím stavu.
K zajišt ě ní autenti č nosti ov ěř ovacích údaj ů (uživatelské jméno, heslo, doména, pop ř . uživatelský certifikát, v angli č tin ě tzv. credentials) využívá server Exchange 2003 delegaci Kerberos p ř i posílání pov ěř ení uživatele mezi serverem Exchange front-end (nap ř . server s webovými aplikacemi Outlook Web Access a Outlook Mobile Access ) a serverem Exchange back-end (nap ř . server držící databáze poštovních schránek).
Pokud jsou v síti použity doménové ř adi č e s opera č ním systémem Windows Server 2003 , uživatelé se mohou nechat autentizovat i na doménových ř adi č ích v d ů v ě ryhodných doménových strukturách, umož ň ujíce tak existenci uživatelských ú č t ů a server ů Exchange v jiných doménových strukturách. Jedná se o tzv. autentizaci mezi doménovými strukturami (Cross-Forest Authentication), pomocí které je možno vytvo ř it obousm ě rné tranzitivní vztahy d ů v ě ryhodnosti mezi dv ě ma a více doménovými strukturami. Tohoto typu autentizace se dá vyžít p ř i implementaci scéná ř e Account Forest/Resource Forest, kdy v jedné doménové struktu ř e se nacházejí ú č ty uživatel ů a v druhé jsou vytvo ř eny poštovní schránky, které jsou navázány na tyto ú č ty.
Ochrana soukromí v aplikaci Outlook a Outlook Web Access Ve výchozím stavu je zablokován externí obsah e-mailové zprávy (tzv. Web Beacons), který se stahuje dodate č n ě p ř i otev ř ení zprávy v aplikacích Outlook 2003 a Outlook Web Access . Jedná se hlavn ě o e-maily posílané ve formátu HTML, kde objekty obrázk ů nejsou p ř ibaleny ke zpráv ě a musí být dodate č n ě staženy p ř i č tení zprávy. Tato nová bezpe čnostní funkce zabra ň uje odesílatel ů m nevyžádané pošty (Spammers) ve zp ě tném ov ěř ování platnosti e-mailové adresy. Výchozí nastavení lze pozm ě nit tak, že nebude blokován externí obsah u e-mail ů , jejichž odesílatelé jsou na seznamu Safe Senders (bezpe č ní odesílatelé, tzv. White List), pop ř . kdy externí obsah je stahován z d ů v ě ryhodných internetových zón (zóna D ů v ě ryhodné servery v prohlíže č i Internet Explorer ).
Antivirové rozhraní API
Antivirové aplika č ní programové rozhraní (VSAPI – Virus Scanning API) nyní umož ň uje antivirovým výrobc ů m instalovat a spoušt ě t své programy na serverech Exchange , které nedrží poštovní schránky uživatel ů , což jsou nap ř . servery sloužící jako brána SMTP č i bridgehead servery. VSAPI verze 2.5 obsahuje vylepšené funkce, které umož ň ují mazat zprávy a zasílat odesílateli notifikace o zablokování zavirované zprávy.
Autentizace Kerberos mezi doménovými strukturami na úrovni protokolu SMTP
Exchange 2003 zabra ň uje podvržení totožnosti odesílatele zprávy. To je zajišt ě no vyžádáním autentizace p ř ed p ř eložením jména odesílatele na jméno zobrazené v globálním seznamu adres (Global Address List). Pro správnou funk č nost p ř ekladu kontakt ů z jiné organizace na jména v Active Directory je pot ř eba zprovoznit autentizaci protokolu Kerberos mezi doménovými strukturami na úrovni konektor ů SMTP, kdy p ř íchozí pošta je autentizována pomocí ú č tu z prot ě jší doménové struktury.
Zabezpe č ení cluster ů
Model oprávn ě ní clusteru se zm ě nil. Zvláštní oprávn ě ní pro manipulaci s virtuálními servery Exchange závisí jednak na režimu, do kterého je organizace p ř epnuta (nativní nebo smíšený), jednak na topologii. Hlavní zm ě nu v modelu oprávn ě ní prod ě lala služba Windows Cluster Service , která již nevyžaduje oprávn ě ní Exchange Full Administrator p ř i vytvá ř ení, modifikaci č i mazání virtuálního serveru Exchange
Další zm ě nu zaznamenaly protokoly IMAP4 a POP3. Prost ř edky protokol ů IMAP4 a POP3 již nevznikají p ř i vytvá ř ení virtuálního serveru Exchange . Tyto dva protokoly nejsou totiž pot ř eba na všech serverech Exchange
Pokud je vyžadován zabezpe č ený kanál mezi serverem front-end a servery back-end v clusteru, je nyní možné použít protokol IPSec. Tato konfigurace je pln ě podporována, pokud server Exchange 2003 b ě ží na opera č ním systému Windows Server 2003
Pr ů vodce Internet Mail Wizard
V serveru Exchange 2003 je implementována nová verze pr ů vodce konfigurace internetové pošty ( Internet Mail Wizard ). Tento pr ů vodce zjednodušuje proces konfigurace p ř íchozí a odchozí pošty. Pr ů vodce je primárn ě spíše ur č en pro malé a st ř ední firmy, jejichž prost ř edí není p ř íliš komplexní.
Protokolování služby ArchiveSink
Služba ArchiveSink slouží k archivaci p ř íchozí a odchozí pošty na serveru Exchange . Nová verze má zdokonalené protokolování všech zpráv a podrobností týkající se p ř íjemc ů . P ř i zapnutí funkce archivace je možno zapnout také protokolování zpráv. ArchiveSink si pak vytvá ř í dodate č ný soubor ve formátu XML pro každou archivovanou zprávu. Tento soubor obsahuje informace o zpráv ě , jako je identifikátor zprávy (Internet Message Identifier), p ř edm ě t zprávy a seznam všech p ř íjemc ů zprávy (v č etn ě skryté kopie).
Exchan g e Server 2003
Exchan g e Server 2003
Diagnostické protokolování a kódy doru č ování zpráv
Exchange 2003 má následující vylepšení v oblasti zpráv o nedoru č ení (NDR):
Vznikla nová kategorie pro protokolování notifikací o stavu doru č ení zprávy, která tyto notifikace umož ň uje diagnostikovat. Byly zde také p ř idány nové kódy pro notifikace o stavu doru č ení zprávy, které pomáhají p ř i ř ešení problém ů se sm ě rováním zpráv.
Omezení relayingu
Relaying (povolení posílání zpráv p ř es server SMTP) nyní m ů že být omezen jen na ur č ité uživatele č i skupiny uživatel ů pomocí standardního seznamu p ř ístupových práv (Discretionary Access Control List, tzv. DACL). Možnosti povolení relayingu na konkrétní IP adresu, doménu a podsí ť jsou stále k dispozici. Toto omezení je užite č né ve chvíli, kdy správce pot ř ebuje povolit posílaní e-mail ů do internetu pouze ur č ité skupin ě uživatel ů a zbytku tuto možnost zakázat.
Zabezpe č ení distribu č ního seznamu
Na serveru Exchange 2003 je možno nastavit, kdo m ůže posílat e-mail do daného distribu čního seznamu, čehož je dosaženo pomocí restrikcí na ur č ité uživatele č i skupiny uživatel ů př es standardní seznam oprávn ění DACL. Tato nová funkce zabezpeč uje interní distribu č ní seznamy př ed nevyžádanou poštou od ned ův ěryhodných odesílatel ů z internetu. Zabezpeč ení seznamů funguje pouze tehdy, pokud je na brán ě č i bridgehead serveru instalován Exchange 2003
Oprávn ě ní na ve ř ejných složkách pro neznámé uživatele
Složky, které obsahují v seznamu ř ízení př ístupu (ACL) neznámé uživatele, jejichž jméno nemůže být p ř eloženo na bezpeč nostní identifikátor (Security ID), tyto uživatele vynechávají.
Replikace databází ve ř ejných složek
Servery držící databázi ve ř ejných složek si synchronizují obsah s dalšími místními servery, a to i tehdy, když obsah místních server ů není kompletní. Správce může použít klíč v registru, kde je urč en první server, který bude použit v procesu backfillingu (proces, kdy s server, který neobsahuje všechny aktualizace, stahuje chyb ějící aktualizace z jiného serveru). P ř i urč ování serveru, jenž bude použit jako zdroj backfillingu, Exchange nejprve vytvá ř í seznam všech server ů, které mají alespoň č ást obsahu, a poté seznam roztř ídí následovně:
1. Podle nejnižších náklad ů na transport, kdy servery ve stej né síti (Site) mají vyšší prioritu než servery ve vzdálených sítích.
2. U server ů se stejnými náklady na transport probíhá t ř íd ě ní znovu podle nejnov ě jší verze serveru Exchange . V p ř edchozích verzích ( Exchange 5.5 a Exchange 2000 ) m ě ly
prioritu servery s nov ě jší verzí serveru Exchange bez ohledu na náklady na transport, což m ě lo za následek, že aktualizace se stahovaly neefektivn ě nap ř . ze vzdálené sít ě se serverem Exchange 2000 , a ne z místní se serverem Exchange 5.5
3. U server ů se stejnými náklady na transport a stejnou verzí serveru Exchange probíhá t ř íd ě ní znovu podle nejv ě tšího po č tu pot ř ebných aktualizací dostupných na serveru. V p ř edchozích verzích byl vybrán ten server, který obsahoval všechny pot ř ebné aktualizace bez ohledu na náklady na transport. U serveru Exchange 2003 bylo toto chování pozm ě n ě no, a to tak, že n ě které aktualizace jsou stahovány ze serveru s nejnižšími náklady na transport (ten, kterých jich obsahuje nejvíc) a zbytek je stahován z jiných server ů s vyššími náklady.
1.1.6 Co bylo odstran ě no oproti serveru Exchange 2000
A č koliv v ě tšina v ě cí, o kterých se v této č ásti knihy bavíme, jsou novinky, které p ř ibyly na serveru Exchange 2003 nebo byly vylepšeny oproti serveru Exchange 2000 , je t ř eba také zmínit funkce, které byly odstran ě ny nebo p ř esunuty do jiného produktu firmy Microsoft Následující služby č i vlastnosti, na n ě ž jsme byli zvyklí u serveru Exchange 2000 , v nové verzi serveru Exchange 2003 chybí:
Konektory pro Lotus cc:Mail a MS Mail Služby pro spolupráci v reálném č ase.
Namapovaný disk M:
Key Management Service.
Konektory pro Lotus cc:Mail a MS Mail
Komponenty konektor ů pro Lotus cc:Mail a MS Mail nejsou dodávány se serverem Exchange 2003 . Konzola Exchange System Manager ze serveru Exchange 2003 nepodporuje správu t ě chto konektor ů vytvo ř ených na serveru Exchange 2000 . Pokud je pot ř eba tyto konektory spravovat, musí se použít konzola Exchange System Manager ze serveru Exchange 2000 SP3 (nebo vyšší). P ř ed inovací serveru Exchange 2000 s t ě mito konektory na server Exchange 2003 je nutno konektory odinstalovat, jinak operace inovace nedovolí pokra č ovat dál. Pokud by m ě ly tyto konektory v organizaci z ů stat, je t ř eba zachovat alespo ň jeden server Exchange 2000 , který bude konektory hostovat.
Služby pro spol upráci v reálném č ase
Exchange 2000 obsahoval ř adu komponent pro spolupráci v reálném č ase, jako nap ř Instant Messaging , Conferencing Server a Chat . Tyto služby nebyly do serveru Exchange 2003 implementovány. V ě tšina z nich byla za ř azena do nového dedikovaného produktu, jehož finální jméno je Microsoft Office Live Communications Server (známý také pod kódovým ozna č ením Greenwich nebo pozd ě ji Realtime Collaboration Server ). Podobn ě jako u konektor ů , pokud je na serveru Exchange 2000 p ř ítomna jedna z komponent pro spolupráci v reálném č ase, není možné provést inovaci na novou verzi Exchange 2003
Exchan g e Server 2003
Namapovaný disk M:
Server Exchange 2000 měl databázi úložišt ě namapovanou jako disk M: , př es který bylo možno př istupovat nízkoúrov ňov ě př ímo do databáze (nap ř . pomocí Průzkumníka). Exchange 2003 má toto mapování vypnuto. Stále je možné p ř istoupit př es souborový systém do úložišt ě, ale je t ř eba použít př ímou cestu \\.\BackOfficeStorage\Jmenny_Prostor . Např . pokud bychom cht ěli př istoupit do databáze poštovních schránek na serveru Exchange v doméně grada.cz , př íkaz bude vypadat následovn ě:
dir \\.\BackOfficeStorage\grada.cz\mbx
D ů vodem pro odstran ě ní mapování disku M: bylo v n ě kterých p ř ípadech poškození databáze serveru Exchange 2000 operacemi ze souborového systému, jako nap ř . skenování disku M: pomocí antivirových program ů a zálohování celého disku M:
Na serveru Exchange 2000 se nyní také doporu č uje permanentn ě odstranit mapování disku M: . Bližší informace lze nalézt v č lánku Q305145 „HOW TO: Remove the IFS Mapping for Drive M in Exchange 2000 Server“ znalostní databáze spole č nosti Microsoft ( http://support.microsoft.com ).
Key
Management Service
Služba Key Management Service (KMS) zjednodušovala správu infrastruktury ve ř ejného klí č e (PKI) p ř i zprovozn ě ní podpory digitáln ě podepisovaných a šifrovaných zpráv mezi uživateli v rámci organizace. Služba Key Management Service poskytovala mechanismus pro automatické p ř id ě lení a instalaci uživatelského certifikátu, správu archivace a obnovy klí čů Exchange 2003 již komponentu Key Management Service neobsahuje, ale dále podporuje standardní implementace PKI pomocí certifikát ů X.509v3. Je možné využít ř ešení PKI zahrnuté do opera č ního systému Windows Server 2003 (komponenta Certifika č ní služby ), které má už v sob ě integrované funkce pro automatické vydávání certifikát ů uživatel ů m a pro archivaci a obnovu klí čů
1.2
Edice serveru Exchange 2003
P ř ed samotnou instalací je pot ř eba se rozhodnout pro správnou edici serveru Exchange 2003 . Je nutno vzít v potaz velikost organizace co do po č tu uživatel ů , kte ř í budou mít své poštovní schránky uloženy na serveru Exchange , v č etn ě odhadu r ů stu firmy v blízké budoucnosti, limity na velikost schránek uživatel ů a požadavky na vysokou dostupnost a odolnost proti výpadk ů m.
Hlavní rozdíl mezi těmito dvěma edicemi je v podpoře vytváření vícera databází poštovních schránek a možnosti využití služeb clusteru. Na trhu jsou dostupné dvě edice, a to Microsoft Exchange Server 2003 Standard Edition a Microsoft Exchange Server 2003 Enterprise Edition
U serveru Exchange 2000 byla ješt ě dostupná verze Microsoft Exchange 2000 Conferencing Server.
Rozhodujícím faktorem p ř i výb ě ru je ve v ě tšin ě p ř ípad ů cena. Edice Enterprise je mnohonásobn ě vyšší a pro menší organizace s nižším rozpo č tem na informa č ní technologie díky této cen ě mnohdy nedostupná. V tabulce 1.1 jsou uvedeny hlavní rozdíly.
Funk č nost
Exchange 2003 Standard Edition
Exchange 2003 Enterprise Edition
Podpora skupin úložiš ť 1 skupina úložiš ť 4 skupiny úložiš ť
Po č et databází na skupinu úložiš ť
2 databáze
Velikost databáze 16 gigabajt ů (GB)
5 databází
Maximum 16 terabajt ů , omezení dáno pouze hardwarem
Podpora služeb clusteru Ne Ano
Konektor X.400 Ne Ano
Tab 1.1: Srovnání edicí Exchange 2003 Standard a Enterprise
Znalci p ř edchozí verze serveru Exchange si ur č it ě povšimnou zásadní zm ě ny u t ě chto dvou edicí, a to že zmizelo omezení na konfiguraci topologie server ů front-end/back-end. Nyní je možno nakonfigurovat i Exchange 2003 Standard Edition jako server front-end.
1.3 Licencování
Licencování serveru Exchange se b ě hem let n ě kolikrát zm ě nilo. Cena edice Standard se postupn ě snižuje, zatímco cena edice Enterprise vzr ů stá. V dob ě psaní této knihy stála serverová licence edice Standard 699 USD a edice Enterprise 3999 USD.
Licencování klient ů bylo také pozm ě n ě no. Pro p ř ístup do poštovní schránky je krom ě p ř ístupové licence Exchange CAL stále nutná p ř ístupová licence Windows CAL , protože poštovní schránka je vázána na uživatelský ú č et. Na rozdíl od p ř edchozí verze Exchange 2000 si nyní firma m ů že vybrat mezi dv ě ma licen č ními režimy Exchange CAL :
P ř ístupová licence pro za ř ízení (Device CAL) . P ř ístupová licence pro za ř ízení je vhodná tam, kde se více zam ě stnanc ů st ř ídá u jednoho po č íta č e nebo ve ř ejného terminálu.
P ř ístupová licence pro uživatele (User CAL) . P ř ístupová licence pro uživatele je vhodná tam, kde jeden zam ě stnanec p ř istupuje do své poštovní schránky z více za ř ízení (PC, laptop, PDA, mobilní telefon).
Cena obou p ř ístupových licencí Exchange 2003 CAL je stejná u obou edicí. V dob ě psaní této knihy byla cena této p ř ístupové licence 67 USD. Zvolení správného zp ů sobu licencování m ů že ušet ř it spoustu pen ě z.
Exchan g e Server 2003
Krom ě p ř ístupových licencí Exchange 2003 CAL je také možno zakoupit licenci pro externí p ř ipojení (External Connector – EC). Licence pro externí p ř ipojení je volitelná licence pro externí uživatele, kte ř í nejsou zam ě stnanci dané firmy, ale mají v této firm ě vytvo ř enou poštovní schránku, do níž p ř istupují. Tato licence umož ň uje p ř ístup neomezeného po č tu externích uživatel ů , jako jsou nap ř . obchodní partne ř i, dodavatelé, zákazníci apod., bez nutnosti nákupu individuálních p ř ístupových licencí Exchange 2003 CAL . Tento typ licence je dostupný pouze p ř es multilicen č ní programy
Každá z p ř ístupových licencí Exchange 2003 CAL také zahrnuje licenci pro aplikaci Microsoft Office Outlook 2003 a Microsoft Entourage X for Mac . Za používání aplikace Outlook 2003 již tedy není nutno platit žádné dodate č né poplatky.
Bližší informace o licencování serveru Exchange 2003 lze nalézt na adrese http://www.microsoft.com/exchange/howtobuy/enterprise.asp
1.4 Active Directory
Jelikož Exchange 2003 nelze nainstalovat samostatn ě bez adresá ř ové služby Active Directory , poj ď me si nejprve v krátkosti zopakovat základní fakta o této služb ě
V minulosti na operač ních systémech Windows NT byly objekty úč t ů uživatel ů, skupin a po č ítačů ukládány do SAM (Security Accounts Manager) databáze. Adresář SAM databáze a jeho př ístupová rozhraní byly znač ně omezeny co se týč e funkč nosti a bylo obtížné tuto databázi dále rozšiř ovat a modifikovat. Aby v ůbec mohly aplikace jako Exchange 5.5 a SQL Server fungovat, byla na podporu těchto aplikací vyžadována odd ělená adresá ř ová služba.
U opera č ního systému Windows 2000 tato omezení zmizela díky nové adresá ř ové služb ě zvané Active Directory , do které byly za č len ě ny n ě které koncepty známé z adresá ř e Exchange 5.5 (identifikátory GUID, p ř ístup p ř es protokol LDAP atd.). Active Directory je pln ě škálovatelná a rozši ř itelná databáze vystav ě ná na principech adresá ř ových služeb LDAP (Lightweight Directory Access Protocol). Poskytuje uživatel ů m a službám distribuovaný p ř ístup k objekt ů m odkudkoliv v organizaci pomocí server ů zvaných globální katalogy (popsáno dále).
Active Directory je databázovým systémem fungujícím na replikovaném multi-master modelu. Active Directory je vystav ě na na technologii Joint Engine Technolog y (JET) , která je propojena s další technologií zvanou Extensible Storage Engine (ESE) ESE je transak č ní databázový systém, který využívá protokolární soubory k zápisu zm ě n v databázi, což zajiš ť uje vyšší spolehlivost a rychlost obnovy p ř i haváriích systému.
Ti z vás, kdo se setkali se serverem Exchange 5.5 , si urč it ě vzpomenou, že m ěl sv ůj adresář také vystav ěn na technologii ESE. Implementace ESE v Active Directory je ale daleko sofistikovanější, i když svého předchůdce nezapře.
Hlavní vlastnost, která byla v nové verzi ESE vylepšena, je odstran ě ní limit ů na velikost databáze. ESE umož ň uje r ů st databáze Active Directory až do enormní velikosti 70 TB, č ímž je zajišt ě no ukládání až n ě kolika milión ů objekt ů . T ě mito objekty mohou být nap ř
uživatelé, skupiny, po č íta č e, domény atd. Každý objekt je složen ze sady atribut ů , které definují tento objekt v adresá ř ové služb ě – nap ř . objekt uživatele má atributy jako jméno, p ř íjmení, uživatelské jméno, heslo atd.
Schopnost uložit nespočetně mnoho objektů a atributů, znásobená možností rozšířit adresář o nové objekty a atributy, dává Active Directory univerzální využitelnost. Tato mnohostranná využitelnost umožňuje integrovat do Active Directory další aplikace jako např Exchange 2000, 2003, Microsoft ISA Server 2000, Microsoft Office Live Communications Server a další. Tyto aplikace dále nevyžadují žádnou vlastní adresářovou službu a mohou se plně spolehnout na Active Directory, která má již zabudované mechanismy replikací mezi doménovými řadiči. Na rozdíl od serverů Exchange 4 a 5 se databáze Active Directory replikuje na úrovni atributu.
Architektura Active Directory využívá dvou topologií, které jsou na sob ě navzájem nezávislé. Jednak se bavíme o logické topologii, která je složena z doménové struktury (Forest), doménových v ě tví (Trees) a domén propojených vztahy d ů v ě ryhodnosti. Tato logika je založena na systému DNS (Domain Naming System), který je známý jako systém používaný pro p ř eklad jmen na internetu. Domény lze dále č lenit na organiza č ní útvary. Ve vícedoménovém prost ř edí hrají významnou úlohu servery konfigurované jako globální katalogy. Globální katalog obsahuje nej č ast ě ji prohledávané informace ze všech domén, a usnad ň uje tak prohledávání objekt ů a jejich atribut ů v ší ř i celé doménové struktury. Logická topologie slouží k efektivn ě jšímu zp ů sobu seskupování objekt ů za ú č elem jejich správy a umožň uje neomezenou škálovatelnost tohoto modelu.
Naprosto jiné pojetí p ř ináší fyzická topologie. Zde se bavíme o sítích (Sites), IP podsítích a doménových ř adi č ích. Sít ě jsou kolekce po č íta čů fyzicky ležících na jedné IP podsíti. Sít ě (Sites) se v ě tšinou mapují na existující IP podsít ě (jedné i více) jednotlivých lokalit firmy. Sít ě (Sites) vytvá ř íme za ú č elem zefektivn ě ní replikací mezi t ě mito lokalitami, které jsou v ě tšinou propojeny pomalými linkami WAN.
1.5 Active Directory a Exchange 2003
Exchange 2003 využívá k ukládání všech svých systémových informací doménovou strukturu (Forest) Active Directory . Každý objekt Exchange 2003 je reprezentován v databázi Active Directory a v okamžiku zm ě ny replikován v ší ř i celé doménové struktury zm ě ny. Doménová struktura Active Directory ur č uje hranice organizace Exchange 2003 . V rámci jedné doménové struktury není možné mít více než jednu organizaci Exchange 2003
Active Directory ukládá data Exchange 2003 do oddíl ů , jež jsou n ě kdy nazývány jmennými kontexty (Naming Context – NC). Active Directory využívá jmenných kontext ů k definování mezí pro informace uložené v databázi. Informace uložené v Active Directory na každém doménovém ř adi č i v doménové struktu ř e jsou rozd ě leny do t ř í oddíl ů : doménový, konfigura č ní a schéma. Všechny t ř i oddíly jsou uloženy na doménových ř adi č ích.
Doménový oddíl Active Directory obsahuje všechny objekty (jako nap ř . uživatele, skupiny, kontakty a po č íta č e) pro danou doménu. P ř íjemci systému Exchange 2003 (Recipients) jsou objekty Active Directory . P ř íjemcem Exchange 2003 m ů že být uživatel,
Exchan g e Server 2003
skupina nebo kontakt. Doménová č ást Active Directory je replikována pouze na doménové ř adi č e dané domény, a ne za hranice této domény.
Konfigura č ní oddíl Active Directory obsahuje konfiguraci organizace Exchange 2003 Konfigura č ní oddíl definuje topologii, konektory, protokoly a nastavení služeb Exchange 2003 . Jelikož Active Directory replikuje konfigura č ní oddíl p ř es všechny domény v doménové struktu ř e, konfigurace organizace Exchange 2003 je takto replikována v ší ř i celé doménové struktury. Tím je zajišt ě na komunikace mezi jednotlivými servery Exchange 2003 v organizaci (jednotlivé servery Exchange 2003 o sob ě navzájem v ě dí).
Oddíl schématu Active Directory obsahuje všechny t ř ídy objekt ů , které mohou být vytvo ř eny v Active Directory , a stejn ě tak všechny atributy k t ě mto t ř ídám. Tato data jsou spole č ná pro všechny domény v doménové struktu ř e a jsou replikována na všechny její doménové ř adi č e. V pr ů b ě hu instalace prvního serveru Exchange 2003 nebo spušt ěním programu Setup s p ř epína č em /ForestPrep je schéma rozší ř eno o nové atributy pro Exchange 2003 (v ě tšina názv ů atribut ů za č íná písmeny msExch ). Schéma je rozšíř eno za použití soubor ů LDIF (Lightweight Directory Interchange Format), které je možné si prohlédnout v souborech LDIF na instala č ním CD-ROM Exchange 2003 (soubory Schema0.ldf až Schema9.ldf v adresá ř i \Setup\i386\Exchange ).
1.6 Internet Information Services
Jednou ze silných stránek serveru Exchange 2003 je podpora standardních internetových protokol ů pro p ř enos e-mailových zpráv. Ve starších verzích server ů Exchange ( 4.0, 5.5 ) byly tyto komponenty zahrnuty p ř ímo do instalace serveru Exchange . Nyní se celá odpov ě dnost p ř esunula na službu Internet Information Services (IIS) , vestav ě nou komponentu opera č ního systému Windows 2000 a Windows Server 2003 . Všechny protokoly serveru Exchange 2003 jsou hostované v rámci procesu Internet Information Services ( Inetinfo.exe ). Po instalaci serveru Exchange 2003 je rozší ř ena služba SMTP tak, aby mohla podporovat sm ě rovací funkce organizace Exchange
Subsystémy Exchange 2003 , jako jsou protokoly a úložišt ě , nyní mohou být umíst ě ny na odd ě lených serverech, č ímž je zajišt ě na v ě tší škálovatelnost. Aby toto fungovalo co nejefektivn ě ji, je pot ř eba rychlé a spolehlivé metody, která by zajiš ť ovala vým ě nu informací mezi Internet Information Services a úložišt ě m dat serveru Exchange . Tato pot ř eba je zajišt ě na komponentou zvanou Exchange Interprocess Communication Layer (ExIPC)
2. Instalace serveru Exchange 2003
2.1 Exchange Server Deployment Tools
Exchange 2003 s sebou p ř ináší sadu nástroj ů zvaných Exchange Server Deployment
Tools . Ve skute č nosti se jedná o normativního pr ů vodce, který nás krok za krokem provází správným nasazením serveru Exchange 2003 . Tohoto pr ů vodce je možné spustit n ě kolika zp ů soby, tím úpln ě nejjednodušším je nechat si automaticky spustit instala č ní CDROM serveru Exchange a ze sekce Deployment zvolit položku Exchange Deployment Tools (pop ř . je možné jej spustit p ř ímo z \Support\Exdeploy\Exdeploy.hta ).
Postup pro instalaci prvního serveru Exchange 2003 je následující:
1. Na úvodní stránce pr ů vodce je vid ě t aktuální verze tohoto nástroje (v našem p ř ípad ě Version: June 2003). Doporu č uje se používat co nejnov ě jší verzi, kterou je možno si stáhnout z webových stránek firmy Microsoft . Klepnutím na položku Exchange Tools se dostaneme na stránku http://www.microsoft.com/exchange/2003/updates , kde se dá získat i mnoho dalších užite č ných nástroj ů pro správu serveru Exchange 2003 (n ěkteré z nich budou popsány dále).
Pr ů vodce nabízí, že nás bude provázet instalací prvního serveru Exchange , instalací dalších server ů Exchange , postinstala č ními kroky, anebo že nám pouze nainstaluje nástroje pro správu systému Exchange . Zárove ň je zde uveden i d ů ležitý odkaz na refe-
Exchan g e Server 2003
ren č ní dokumentaci, ze které se nap ř . dozvíme, že k tomuto grafickému pr ů vodci existuje i verze pro p ř íkazový ř ádek (nástroj Exdeploy.exe ).
Jelikož se v naší organizaci chystáme instalovat první server Exchange , z nabídky zvolíme první položku Deploy the first Exchange 2003 server (Nasadit první server Exchange 2003 ).
Obr. 2.2: Exchange Server Deployment Tools (1)
2. Na další obrazovce máme na výb ě r op ě t n ě kolik voleb. První z nich – Coexistence with Exchange 5.5 (Koexistence se serverem Exchange 5.5) je možnost instalace serveru Exchange 2003 do existující organizace Exchange 5.5 . Tuto položku volíme tehdy, pokud jsme ješt ě nenasadili Active Directory Connector , a nemáme tedy synchronizován adresá ř serveru Exchange 5.5 a adresá ř Active Directory
Druhá volba – Coexistence with Mixed Mode Exchange 2000 and Exchange 5.5 (Koexistence se servery Exchange 2000 a Exchange 5.5 ve smíšeném režimu) je ur č ena pro správce, kte ř í již nasadili server Exchange 2000 do organizace Exchange 5.5 , a tím pádem již mají zprovozn ě ný Active Directory Connector . Jedná se o totální koexistenci t ř í verzí server ů Exchange v jedné organizaci, a to Exchange 5.5 , Exchange 2000 a Exchange 2003
T ř etí volba – Upgrade from Exchange 2000 Native Mode (Inovovat ze serveru Exchange 2000 v nativním režimu) je vhodná v okamžiku, kdy je pot ř eba provést upgrade serveru Exchange 2000 na verzi 2003 , pop ř . nainstalovat první server Exchange 2003 do organizace Exchange 2000 , která je p ř epnuta do nativního režimu, a neobsahuje tedy již žádné servery Exchange 5.5
Č tvrtá volba – New Exchange 2003 Installation (Instalace nového serveru Exchange 2003) je ur č ena pro vytvo ř ení úpln ě nové organizace se serverem Exchange 2003 , kdy ješt ě není nasazený žádný server Exchange . Touto cestou se vydáme my, jelikož se chystáme vytvo ř it úpln ě novou poštovní organizaci.
Exchan g e Server 2003
Obr. 2.3: Exchange Server Deployment Tools (2)
Obr. 2.4: Exchange Server Deployment Tools (3)
Exchan g e Server 2003
3. Na další obrazovce pr ů vodce Exchange Server Deployment Tools je vid ě t samotná podstata a krása celého nástroje. Zobrazilo se nám celkem osm krok ů k nasazení prvního serveru Exchange 2003 , které bychom m ě li projít jeden za druhým p ř esn ě ve stanoveném po ř adí. Pr ů vodce v podstat ě nedává možnost, abychom na n ě co zapomn ě li, a zárove ň hlídá, jestli vše provádíme podle doporu č ených praktik. Teoreticky by se dalo ř íci, že podle tohoto pr ů vodce zvládne instalaci serveru Exchange 2003 i úplný za č áte č ník (a po tom zákazníci firmy Microsoft skute č n ě prahli, hlavn ě p ř i inovaci a migraci ze serveru Exchange 5.5 ).
4. Po skon č ení instalace prvního serveru Exchange 2003 se m ů žeme stiskem tla č ítka Next (Další) p ř esunout do postinstala č ní fáze (viz kapitola 2.9).
Zatržítka u jednotlivých krok ů mají č ist ě nápomocný charakter a slouží jako paměť ová pomůcka. Postupné zatrhávání jednotlivých krok ů není vyžadováno.
Obr. 2.5: Exchange Server Deployment Tools (4)
V dalších kapitolách si jednotlivé kroky postupn ě projdeme a detailn ě si vysv ě tlíme, jak ten který krok správn ě provést.
2.2 Exchange 2003 a Windows 2000
Server Exchange 2003 je možno zp ě tn ě instalovat na opera č ní systém Windows 2000 ( Server , Advanced Server , Datacenter Server ). Bohužel na tomto systému nelze využít všech funkcí, které jsou závislé na opera č ním systému Windows Server 2003 . Z nejd ů ležit ě jších chyb ě jících funkcí jmenujme:
Zálohování pomocí služby Stínová kopie svazku
P ř ístup k serveru Exchange 2003 pomocí protokolu RPC over HTTP (RPC p ř es HTTP).
Replikace vícehodnotových atributů (Multivalue Attributes) na úrovni jednotlivých hodnot.
Pracovní proces (Worker Process) zabudovaný do Internet Information Services 6.0 Chybějící zabezpeč ovací nástroj IIS Lockdown Tool, který je nutno doinstalovat odděleně.
2.3 Exchange 2003 a Windows Server 2003
Server Exchange 2003 instalovaný na opera č ním systému Windows Server 2003 ( Standard Edition , Enterprise Edition , Datacenter Edition ) umož ň uje využít všechny nové funkce, které do n ě j byly zabudovány. Dále je možno ř íci, že dvojice Windows Server 2003 a Exchange 2003 p ř ináší nejvyšší úrove ň zabezpe č ení vystav ě nou na iniciativ ě Microsoft
Trustworthy Computing
Exchange 2003 nelze instalovat na Windows Server 2003 Web Edition, což je speciální edice opera č ního systému, která je spíše ur č ena pro hostování webových sídel. Tato edice nem ů že být použita pro instalaci doménového ř adi č e ( DCPROMO je nefunk č ní), nelze na ni instalovat další aplikace (jmenovitý seznam nejznám ě jších aplikací firmy Microsoft a dalších firem) a je omezena na deset simultánních p ř ipojení Server Mesage Block, obdobn ě jako opera č ní systémy Windows 2000 Professional č i Windows XP Professional. Server Exchange 2000 není na opera č ním systému Windows Server 2003 podporován, proto zde nebudu tuto variantu popisovat.
2.4 P ř íprava na instalaci
Velkou chybou, které se za č ínající správci dopouští p ř i své první instalaci serveru Exchange , je spušt ě ní instalace bez rozmyslu, jak jsou na to zvyklí u n ě kterých jednoduchých aplikací. Ne nadarmo se ř íká dvakrát m ěř , jednou ř ež. Ješt ě d ř íve, než spustíme program Setup pro zapo č etí instalace, je nutno se na instalaci p ř ipravit. Poj ď me se nyní podívat, co vše je pot ř eba zkontrolovat p ř ed samotnou instalací.
2.4.1 Hardwarové a systémové požadavky
Server Exchange 2003 se nám poda ř í nainstalovat, pouze pokud náš hardware a software spl ň uje požadavky dané firmou Microsoft . V tabulce 2.1 jsou shrnuty minimální a doporuč ené požadavky na hardwarové komponenty a opera č ní systém. Asi není pot ř eba upozorň ovat, že pro zvýšení spolehlivosti a výkonu serveru Exchange je lepší spíše p ř idat než ubrat (hlavn ě co se pam ě ti tý č e). Doporu č uji po ř ídit co nejvýkonn ě jší hardware, který je firma ochotna a schopna koupit.
Exchan g e Server 2003
Exchan g e Server 2003
Procesor
Pam ěť
Úložišt ě
Opera č ní systém
Minimální požadavky
Intel Pentium nebo kompatibilní 133 MHz
Doporu č ené požadavky
Intel Pentium nebo kompatibilní 1,6 GHz
Více procesor ů
256 MB doporu č ené minimum RAM 512 MB RAM
500 MB volného místa pro samotný Exchange
200 MB volného místa pro systémový oddíl
Diskové oddíly formátované NTFS
Mechanika CD-ROM
Windows 2000 (Server, Advanced Server, Datacenter Server) Service
Pack 3 nebo pozd ě jší
Windows Server 2003
Další disky, pop ř . diskové pole pro soubory databáze a transak č ních protokol ů
Windows Server 2003 Enterprise Edition
Tab. 2.1: Hardwarové a softwarové požadavky pro instalaci serveru Exchange 2003
Ve své podstat ě se vychází z požadavk ů na samotný opera č ní systém ( Windows 2000 a Windows Server 2003 ), ke kterým se př ič te nutné minimum ke spušt ění a správnému chodu poštovního serveru. Myslím si, že na dnešní dobu nejsou doporuč ené požadavky nijak nadsazené č i př ehnané a př i dnešních cenách hardwaru ani nijak nákladné na po ř ízení.
Pro p ř ibližný výpoč et nákupu dostate č ného hardwaru existují kalkulátory. Microsoft poskytuje kalkulátor zvaný Capacity Planning and Topology Calculator, který je možno stáhnout ze stránek http://www.microsoft.com/exchange/techinfo/planning/2000/ExchangeCalculator.asp. I když se jedná o verzi pro Exchange 2000, pro p ř ibližný odhad se dá využít i u serveru Exchange 2003. Dále existují kalkulátory jednotlivých výrobc ů hardwaru, které jsou k dispozici online na jejich webových stránkách.
2.4.2 Požadavky na prost ř edí Active Directory
Hardware a software jsou sice nutnou podmínkou pro úsp ě šnou instalaci serveru Exchange , ale ne podmínkou posta č ující. Ješt ě je nutno zkontrolovat prost ř edí, do kterého server Exchange 2003 instalujeme. Jedná se hlavn ě o ov ěř ení p ř ítomnosti a správné funk č nosti adresá ř ové služby Active Directory . Instalace prvního serveru Exchange je vynikajícím testem, zdali je Active Directory správn ě nainstalována. Ze všeho nejd ř íve si musíme ov ěř it, jestli máme dostate č ná oprávn ění v Active Directory . To zahrnuje kontrolu č lenství ve správných skupinách, a to u uživatelského ú č tu, pod kterým hodláme server Exchange instalovat. Jedná se hlavně o skupiny Domain Admins, Enterprise Admins a Schema Admins, ale také delegovaná oprávn ění na úrovni administrativní skupiny č i organizace Exchange. Tato problematika bude probrána v další kapitole.
Po č íta č e s opera č ními systémy Windows 2000 a Windows Server 2003 , na které budeme instalovat Exchange 2003 , musí být sou č ástí Active Directory . Jinými slovy, tyto po č íta č e musí být p ř ihlášeny do domény jako č lenské servery (nemohou z ů stat č leny pracovní skupiny, jako je nap ř . WORKGROUP).
Dále tyto po č íta č e, na n ě ž se chystám instalovat server Exchange 2003 , musí být sou č ástí stejné doménové struktury, na kterou bude mapována organizace Exchange
Sice je možné mít více doménových struktur pro podporu organizace Exchange, ale to je nad rámec této knihy. Jedná se o scéná ř , kdy jedna struktura drží uživatelské ú č ty a druhá poštovní schránky k t ě mto uživatelským ú č t ů m.
Pokud také plánujeme inovaci serveru Windows 2000 na Windows Server 2003 , musíme nejprve na Windows 2000 nainstalovat server Exchange 2003 a teprve potom inovovat opera č ní systém na Windows Server 2003 . Pokud dodržíme tuto doporu č enou logiku, vyhneme se mnoha zbyte č ným konfiguracím (jedná se hlavn ě o dodate č nou konfiguraci služby Internet Information Services 6.0 ), nehled ě na to, že Exchange 2000 nelze instalovat na opera č ní systém Windows Server 2003
Je pot ř eba se také ujistit, zdali doménové ř adi č e a servery konfigurované jako globální katalogy mají požadovanou verzi opera č ního systému. Program Setup serveru Exchange 2003 musí být schopen v dané síti (Site) kontaktovat alespo ň jeden server s Active Directory na opera č ním systému Windows 2000 SP3 ( č i vyšším) nebo Windows Server 2003
2.4.3 Instalace aktualizace Service Pack a záplat
Obecn ě bývá doporu č eno ihned po instalaci opera č ního systému aplikovat poslední Service Pack ( SP4 u Windows 2000 , prozatím žádný na Windows Server 2003 ) a dále všechny kritické opravné záplaty, které byly zve ř ejn ě ny po uvedení Service Packu . Existuje mnoho metod, jak aplikovat Service Pack a opravné záplaty.
Service Pack lze instalovat následujícím zp ů sobem:
Bu ď je už integrován do instala č ních soubor ů opera č ního systému od výrobce, což bývá uvedeno na instala č ním médiu.
Je možné si jej ru č n ě integrovat do instala č ních soubor ů p ř iloženým souborem Service Packu Update.exe s p ř epína č em /s : Update.exe /s <cesta_k_instalačním_souborům>.
Manuáln ě doinstalovat po instalaci opera č ního systému.
Nechat nainstalovat automatizovan ě pomocí Zásad skupin (Group Policy).
Využít automatizovanou instalaci pomocí služby Software Update Services (platí od ř íjna 2003).
Využít produkt Systems Management Server 2003 pro automatizované instalace. Opravné záplaty je možné instalovat:
Ru č n ě jednu po druhé s mezirestarty.
Automatizovan ě všechny najednou pomocí dávky.
Exchan g e Server 2003
Pomocí služby Software Update Services
Pomocí produktu Systems Management Server 2003.
Úpln ě nejpohodln ě jší zp ů sob instalací jak Service Packu , tak opravných záplat, je pomocí služby Software Update Services (SUS) . Ta se dá voln ě stáhnout ze stránek spole č nosti Microsoft a nainstalovat bu ď na server Windows 2000 , nebo Windows Server 2003 (i na doménový ř adi č ). Jedná se o službu synchronizující Service Packy a opravné záplaty se servery spole č nosti Microsoft (tzv. Windows Update Servers ), které jsou poté automatizovan ě distribuovány na pracovní stanice a servery (s opera č ním systémem Windows 2000 a vyšším). Service Packy a záplaty jsou tak stahovány lokáln ě ze serveru se službou SUS , a ne p ř ímo z internetových server ů spole č nosti Microsoft SUS zárove ň dává možnost zkontrolovat a schválit záplaty p ř ed jejich distribucí, č ímž se zamezí mnohonásobným instalacím vadné záplaty, což m ů že mít dalekosáhlé d ů sledky.
Bližší informace o služb ě SUS je možné nalézt na stránkách společ nosti Microsoft http://www.microsoft.com/windowsserversystem/sus/default.mspx
Služba SUS je pom ě rn ě zajímavým po č inem, ale bohužel na ni v této knize nezbývá místo. Poj ď me si proto spíše ukázat, jak instalovat záplaty automatizovan ě pomocí dávky. I když je doporu č eno instalovat záplaty odd ě len ě a pokaždé restartovat systém a zkontrolovat stav serveru, je tohle pom ě rn ě dost nepraktické v p ř ípad ě nov ě nainstalovaného serveru, na kterém nejsou prozatím žádná produk č ní data. Zde je lepší si záplaty seskupit do jednoho adresá ř e a spustit je pomocí dávky tak, aby se systém nerestartoval po instalaci každé z nich. To lze zajistit p ř epína č em -z , který po instalaci záplaty potla č í restart opera č ního systému. Dále je vhodné celou instalaci automatizovat p ř epína č em -u (u Windows 2000 -m ), abychom nemuseli procházet jednotlivé obrazovky pr ů vodce instalace záplaty.
Obr. 2.6: P ř epína č e instala č ních soubor ů opravných záplat Ve výpisu dávkového souboru je vid ě t, jak jsem záplaty instaloval já. Jedná se o záplaty dostupné k listopadu 2003.
Pokud bych si p ř ál, aby celý proces instalace záplaty byl skryt p ř ed zraky uživatele, je možné ješt ě p ř ipojit p ř epína č -q . Spušt ě ní utility QChain na konci celé dávky je u Windows 2000 SP3 a vyšších nepovinné a používá se, pouze pokud instalujeme záplatu, která vyšla p ř ed prosincem 2002. U t ě chto starých záplat nastával problém, pokud dv ě záplaty obsahovaly r ů zné verze stejného binárního souboru. Takováto aktualizace mohla skon č it nainstalováním starší verze binárního souboru. Zde se vše ř ešilo pomocí utility QChain , která zajistila instalaci nov ě jšího binárního souboru.
Bližší informace o utilit ě QChain se nacházejí v č lánku Q815062 „The Correct File Is Not Installed When You Chain Multiple Hotfixes“ znalostní databáze spole č nosti Microsoft ( http://support.microsoft.com ).
---- Old Information In The Registry ------
Source:C:\WINDOWS\system32\SET1D.tmp
Version: 5.2.3790.73
Destination:C:\WINDOWS\system32\user32.dll
Version: 5.2.3790.0
Source:c:\b93bf4bf5f8721fb8e1d
Version:
Destination:
Version:
Source:C:\WINDOWS\system32\SET23.tmp
Version: 6.0.3790.94
Destination:C:\WINDOWS\system32\urlmon.dll
Version: 6.0.3790.0
Source:C:\WINDOWS\system32\SET24.tmp
Version: 6.0.3790.94
Destination:C:\WINDOWS\system32\shdocvw.dll
Version: 6.0.3790.0
Exchan g e Server 2003
Exchan g e Server 2003
Kontrolu nainstalovaných opravných záplat lze provést p ř es panel Add or Remove Programs (P ř idat nebo odebrat programy), kde jsou vid ě t pouze záplaty, které nebyly instalovány s p ř epína č em -n (bez zálohy). Daleko efektivn ě jší je použít p ř epína č -l u jakékoliv záplaty a nechat si vypsat seznam záplat, kde je možno vid ě t, do kterého Service Packu budou tyto záplaty za ř azeny.
Obr. 2.7: Seznam instalovaných opravných záplat pomocí p ř epína č e -l
Pokud by se vám tato metoda zjišt ě ní instalovaných záplat zdála zdlouhavá, doporu č uji použít konzolu WMIC dostupnou na opera č ním systému Windows Server 2003 , kterou lze použít i v ůč i vzdálenému po č íta č i).
2.8: Zjišt ě ní instalovaných záplat pomocí konzoly WMIC
2.4.4 Kontrola instalace služeb opera č ního systému
Posledním krokem p ř ed samotnou instalací je kontrola p ř ítomnosti následujících sou č ástí opera č ního systému: .NET Framework, ASP.NET,
Obr.
služby World Wide Web Service,
služby NNTP Service, služby SMTP Service
Pokud by n ě která z t ě chto služeb nebyla p ř ítomna, instala č ní program Setup ohlásí chybu a vyzve nás k doinstalování služeb, což je dosti nep ř íjemné a zbyte č né zdržení, jelikož instalátor je nutno stornovat a spustit znovu (nelze jej obelstít doinstalováním služeb na pozadí, zatímco visí v chybové hlášce a nepom ů že ani vrácení se v instalátoru na p ř edchozí obrazovku).
Služby .NET Framework a ASP.NET, které poskytují podporu mobilního p ř ístupu, jsou souč ástí operač ního systému Windows Server 2003 . Pokud je server Exchange 2003 instalován na opera č ní systém Windows 2000, Setup automaticky doinstaluje a nastartuje služby .NET Framework a ASP.NET , ale služby SMTP a NNTP musí být již doinstalovány ruč ně
Služba NNTP musí být doinstalována p ř ed instalací serveru Exchange 2003, i když ji pozd ě ji nebudeme používat (ve skute č nosti je po instalaci vypnuta).
P ř ítomnost služeb NNTP a SMTP lze nejrychleji vyzkoušet pomocí programu Telnet
V p ř ípad ě , že služby nejsou doinstalovány, Telnet s nimi na portech 119 (NNTP), resp. 25 (SMTP) nenaváže spojení.
Obr. 2.9: Ov ěř ení p ř ítomnosti služeb NNTP a SM TP pomocí utility Telnet
P ř i výchozí instalaci Windows 2000 s integrovaným SP4 (a vyšším) není doinstalována žádná komponenta IIS. Proto je nutné krom ě NNTP a SMTP také doinstalovat službu World Wide Web Service.
U systému Windows Server 2003 je nutno všechny služby doinstalovat (krom ě komponenty .NET Framework , která je již p ř ítomna). Doporu č uji dát p ř ednost panelu Add or Remove Programs (P ř idat nebo odebrat programy) p ř ed konzolou Manage Your Server (Správa serveru) a její funkcí Add or remove a role (P ř idat nebo odebrat roli). Konzola Manage Your Server (Správa serveru) je sice doporu č ovaná, jelikož si volá pr ů vodce Configure Your Server Wizard (Pr ů vodce konfigurací serveru), ale ten v rámci role aplika č ního ser-
