Обмен электронными сообщения давно и плотно вошел в нашу жизнь. И если в частном применении e-mail вытесняется различного рода службами обмена мгновенными сообщениями, общением в социальных сетях, то на корпоративном уровне e-mail устойчиво сохраняет свои позиции.
На рынке корпоративных систем одно из лидирующих мест занимает решение Microsoft Exchange, которое уже давно выросло из коротких штанишек, перешагнуло за рамки задач по доставке корреспонденции.
Это не могло не отразиться на сложности продукта и объеме решаемых администраторами задач в ходе внедрения и эксплуатации решения. Некоторые из этих задач мы и постараемся рассмотреть.

Reverse Proxy

12 сентября 2012 года компания Microsoft объявила дату окончания продаж Forefront TMG, а также график окончания сервисной и технической поддержки данного продукта. Несмотря на это, предварительная авторизация и запрет прямого доступа к CAS-серверам все еще является хорошей идеей. Внедрение реверсивного прокси, если у вас еще нет такого, позволит вам организовать безопасный доступ к вашим web-сервисам из публичной сети Интернет. В мире MS Exchange 2013 это OWA, ActiveSync, Exchange Web Services и Outlook Anywhere. Предварительная авторизация позволяет вам быть уверенным в том, что данные от неавторизированного пользователя не доберутся до защищаемой системы. Кроме этого, «хороший» реверсивный прокси поддерживает двухфакторную авторизацию. Так что, если в вашей сети все еще нет реверсивного прокси, возможно, пришло время задуматься над этим. Особенно, учитывая тот факт, что тот же уровень дополнительной безопасности реверсивный прокси может добавить и другим корпоративным Web-приложения, например, таким, как SharePoint или Lync.

Безопасный доступ к OWA

Часто можно услышать такую фразу «Подключение клиентского ПО к серверу происходит по защищенному SSL-соединению». Но спасет ли это от утечки учетных данных пользователя, позволит ли произвести инспекцию передаваемых данных и быть уверенным, что устанавливаемое SSL-соединение из публичной сети действительно надёжно? Как показывает практика, на все заданные вопросы ответ отрицательный – SSL, сам по себе, не может защитить Вас.
Рост числа мобильных устройств и их возможностей, таких как смартфоны и планшеты, способствует росту применения последних для решения сотрудниками компании не только персональных, но и корпоративных задач. При этом устройства по-прежнему остаются персональными, и возможность администрирования состояния данных устройств IT-службами крайне затруднена, если не сказать больше – полностью отсутствует. В таком случае, без инспектирования самого устройства и его взаимодействия с корпоративными приложениями оно становится явно небезопасным.
Кроме этого, не стоит забывать, что OWA позволяет пользователю работать с приложением в условиях отсутствия доступа к сети, что подразумевает хранение содержимого почтовой корреспонденции на мобильном устройстве. Это же является одним из рисков в области обеспечения безопасности.

Распределение трафика

Новые архитектурные решения (консолидация пространства имен, отказ от контроля состояния в CAS и т.д.), применяемые разработчиками в MS Exchange 2013, позволили для принятия решения о распределении пользователей по CAS-серверам использовать информацию, доступную на сетевом уровне, без необходимости анализа данных самого приложения. Однако, данное решение не гарантирует оптимальный выбор как самого CAS, обслуживающего пользователя, так и сервера почтовых ящиков, к которому, в свою очередь, будет обращаться CAS -сервер. Кроме этого, в MS Exchange существует множество служебных web -сервисов, посредством которых осуществляется взаимодействие отдельных компонентов решения (OA, OWA, EAS, EWS, AutoDiscovery и т.д.). Данные сервисы могут использоваться для контроля за состоянием каждой из служб в отдельности. С ростом кластера, на базе которого разворачивается решение MS Exchange как в пределах одного центра обработки данных, так и в распределённых инсталляциях, все вышесказанное приводит к высокой вероятности неоптимального распределения пользовательского трафика между компонентами решения. Например, пользователь, чей почтовый ящик хранится в центре обработки данных А, отправляется на обслуживание CAS -сервером, расположенным в центре обработки данных Б. Кроме этого, методика балансировки нагрузки за счет DNS -сервиса не решает вопросы оперативного исключения из пространства имен, вышедших из строя компонент решения.

Решения F5 Network и их интеграция с решением MS Exchange

Список вышеперечисленных вопросов сформирован на основании консультационных обращений наших партнеров и их заказчиков, которые возникли как в ходе планирования внедрения решений на базе MS Exchange или обновления на новую версию, так и в ходе эксплуатации.
В своих ответах на данные вопросы мы рекомендуем партнерам и заказчикам обратить внимание на продукты компании F5 Networks как на комплексное решение, которое позволяет обеспечить масштабируемость, безопасность и высокую доступность внедрений MS Exchange.
Продуктовая линейка F5 состоит из платформы (BIG-IP/VIPRION) и программного обеспечения (TMOS). В состав платформы входят как виртуальные, так и аппаратные реализации, управляемые единым модульным программным обеспечением. В состав программного обеспечения входят все возможные модули, использование которых регулируется установленной лицензией.
Среди модулей функций, доступных в продуктовой линейке, в данном случае следует отметить:
Local Traffic Manager (LTM) – высоко доступный и производительный балансировщик нагрузки предоставляющий гибкие алгоритмы и методы распределения.
Терминация HTTPS-соединений позволяет снизить нагрузку на вычислительные ресурсы CAS-серверов и упрощает управление TLS/SSL-сертификатами в решениях на базе MS Exchange 2010, 2013, а также следующих релизов.
Access Policy Manager (APM) позволяет организовать предварительную, в том числе и двух факторную, авторизацию пользователей, единую точку однократной авторизации (SSO), контроль за устройствами, с которых осуществляется доступ к сервисам Exchange, базирующимся на протоколе HTTP.
Функции TCP Express и сжатия данных модуля LTM позволяют учесть характеристики сети передачи данных, через которую осуществляется доступ к приложению, и настроить сетевой стек оптимальным образом, а также уменьшить объем данных, передаваемых по сети.
Модули GTM и AAM могут быть применены в случаях внедрения географически разнесенного кластера MS Exchange. Модуль GTM предназначен для организации отказоустойчивого, учитывающего географическое положение пользователей, доступа к приложению, а модуль AAM помогает оптимизировать внутренний, служебный трафик между географически разнесенными компонентами решения MS Exchange.
Сценариев кооперативного внедрения F5 и MS Exchange существует множество. Мы бы хотели акцентировать ваше внимание на нескольких самых распространенных схемах.

BIG-IP LTM – балансировка и оптимизация трафика CAS-сервисов

В данном решении оборудование F5 будет использоваться для управления и оптимизации трафика между клиентом и сервисом доступа к приложению. Опционально могут использоваться модули APM и AFM для повышения уровня безопасности. Этот сценарий изображен на рис. 1.
В данном сценарии:
1. Весь клиентский трафик проходит через BIG-IP
2. Опциональные модули, лицензированные и активированные на данном устройстве, позволяют реализовать следующий функционал:
a. BIG-IP Access Policy Manager – предварительная авторизация пользователей при доступе к сервисам Outlook Web App, Outlook Anywhere, ActiveSync и AutoDiscover. Предварительная авторизация может осуществляться только традиционным способом по базе данных пользователей Active Directory или с привлечением механизмов двухфакторной авторизации. Кроме этого, возможен аудит устройства пользователя, с которого осуществляется доступ, на соответствие корпоративным стандартам.
b. BIG-IP Advanced Firewall Manager – высокопроизводительный проксирующий межсетевой экран с контролем за состоянием соединений.
3. BIG-IP Local Traffic Manager – распределение и оптимизация клиентского трафика, включая трафик таких сервисов, как RPC, POP3 и IMAP4, т.е. трафика приложений, которые не базируются на протоколе HTTP.

Рисунок 1

Сценарий с распределением функциональной нагрузки по нескольким устройствам

С ростом нагрузки на решение возможны несколько путей его развития. Одним из них является распределение функциональной нагрузки между несколькими устройствами. Данный сценарий может также применяться при последовательном развитии функционала. Схематически данный сценарий изображен на рис. 2 и 3.

Устройство BIG-IP с модулем LTM распределяет HTTP-трафик доступа к клиентским сервисам после предварительной обработки устройством BIG-IP с активированным модулем APM

В данной части сценария клиентский трафик обрабатывается по следующему алгоритму:
1. Трафик приложений, базирующихся на протоколе HTTP, предварительно обрабатывается на BIG-IP APM (детали обработки см. в следующей части сценария).
2. Устройство BIG-IP c модулем LTM распределяет и оптимизирует HTTP-трафик, полученный от устройства BIG-IP, c модулем APM. Трафик приложений, которые не основываются на протоколе HTTP (RPC, POP3, IMAP4 и т.п.), поступает напрямую на данное устройство.
3. Трафик клиентов, расположенных в локальной вычислительной сети предприятия, также поступает непосредственно на устройство BIG-IP с модулем LTM, где распределяется и оптимизируется.
4. BIG-IP Local Traffic Manager – распределение и оптимизация клиентского трафика, включая трафик таких сервисов как RPC, POP3 и IMAP4, т.е. трафика приложений, которые не базируются на протоколе HTTP.

Рисунок 2

Устройство BIG-IP с активированным модулем APM обеспечивает безопасный удаленный доступ к сервисам

Данная часть общего сценария реализует следующий функционал:
1. Устройство BIG-IP с активированным модулем APM выполняют предварительную авторизацию пользователей при доступе к сервисам Outlook Web App, Outlook Anywhere, ActiveSync и AutoDiscover. Предварительная авторизация может осуществляться только традиционным способом по базе данных пользователей Active Directory или с привлечением механизмов двухфакторной авторизации.
Кроме этого, возможен аудит устройства пользователя, с которого осуществляется доступ, на соответствие корпоративным стандартам.
2. Легитимный трафик авторизованных клиентов отправляется на устройство BIG-IP с модулем LTM с целью дальнейшего распределения и оптимизации.

Рисунок 3

Эпилог

Современные решения кажутся простыми конечным пользователем, но ставят перед администраторами решений комплексные задачи, для решения которых можно использовать массу сценариев, используя продукты как одного, так и нескольких производителей оборудования и разработчиков программного обеспечения. Внедрение таких решений, только на первый взгляд кажется простым и понятным, а на самом деле, сталкивается с массой неявных и неочевидных подзадач, которые могут усложнить последующую эксплуатацию и использование.
Если вас заинтересовало описанное комплексное решение, и вы хотите более подробно ознакомиться с техническими подробностями реализации, или вам интересно ближе познакомиться с продуктовой линейкой F5, будем рады помочь вам в этом. Отправляйте ваши вопросы на адрес

Microsoft Exchange Server 2013 - это комплексное решение, сочетающее в себе корпоративную почту с набором инструментов, благодаря которым информационный обмен внутри компании существенно упрощается. Доля рынка MS Exchange Server среди систем корпоративной почты на 2015 год составляет почти три четверти.

Какие преимущества обеспечит внедрение решения?

Используя Microsoft Exchange Server 2013, можно улучшить работу компании сразу по нескольким параметрам:

1. Все пользователи получают унифицированную среду для работы. При этом каждый может самостоятельно настроить автоответчик и просматривать сообщения с минимальными затратами времени.
2. Удобный интерфейс повышает производительность труда. Например, вместо того, чтобы искать нужное письмо подолгу, пользователь сразу может найти его в переписке.
3. Доступ обеспечивается повсеместно - пользователь может обращаться к своим личным данным и ко всем функциям, находясь где угодно.
4. С помощью технологии ActveSync обеспечивается полноценный доступ через мобильный интерфейс - на порядок лучше, чем через большинство мобильных интерфейсов.
5. В дополнение ко всему этому, решение обеспечивает максимальную на сегодняшний день степень защиты информации, а также не допускает вирусных атак и проникновения спама.

Какие средства обеспечивают безопасность?

В Exchange Server 2013 применяются следующие механизмы защиты:

• взаимодействие с Active Directory по протоколу Kerberos;
• применение смарт-карт и методов биометрической аутентификации;
• шифрование внешний коммуникаций по протоколу SSL;
• защита электронных сообщение по протоколу S/MIME;
• защита конфиденциальных документов по технологии IRM.

Использование MS Exchange 2013 облегчает расследование инцидентов, связанных с информационной безопасностью, и делает работу компании намного безопаснее и стабильнее во всех аспектах. Вся отправляемая и получаемая информация контролируется системными администраторами и другими ответственными сотрудниками.

Возможности интеграции и масштабирования

Интегрировать можно в инфраструктуру любого предприятия, будь то уже существующая сеть или вновь создаваемая. Возможности Exchange Server 2013 позволяют использовать решение совместно с Forefront Threat Management Gateway 2013, а также с многочисленными решениями от Microsoft: CRM, SharePoint, Office Communications.

Что касается масштабирования, то под единым доменом можно объединять десятки и сотни тысяч пользователей - возможности практически неограниченны, когда речь идёт о любой современной организации. Гибкое администрирование и интеллектуальное распределение нагрузки - залог того, что ни один из узлов сети не окажется перегружен запросами или ответственностью. Наличие двух ролей - Mailbox и Client Access - позволяет дополнительно упрощать работу даже при огромном количестве пользователей.

Отказоустойчивость, стабильность, оптимизация затрат

Численный показатель стабильности работы почтового сервера под управлением Microsoft Exchange 2013 - 99,999% времени он доступен. Это означает практически полное отсутствие отказов, что важно для любой организации вне зависимости от специфики работы. Кластеризация и репликация данных осуществляются по единой технологии, в отличие от прежних версий, - DAG. На практике это означает, что запасная копия включится вне зависимости от того, выйдет из строя отдельный диск, или весь сервер. Пользователи даже не будут знать о том, что произошёл сбой, и смогут продолжить работу.

Что касается оптимизация затрат, то они весьма наглядны:

• нагрузка на оборудование ниже на 75%, чем в версии Exchange 2003, и на 50% ниже по сравнению с предыдущей версией (2007);
• вместо массивов RAID 10 можно использовать более доступные RAID 5;
• в отличие от прежних версий, все серверы «отрабатывают» затраченные на них деньги, активно участвуя в работе;
• можно не тратить по 4000 долларов на дополнительные серверы - достаточно приобретать стандартные по цене 700 долларов каждый;
• загруженность специалистов более равномерная, потому что функции легче делегировать, чем в прежних версиях.

Это только основные факторы оптимизации - ознакомившись с подробным списком нововведений, можно убедиться, что эта версия Exchange Server намного практичнее и эффективнее предыдущих.

Особенности внедрения

В развивающейся или молодой компании всегда бывает сложно без помощи профессионалов, знающих все технические аспекты. Если вы хотите добиться отличного результата, минимизировать риски и обеспечить стопроцентную работоспособность Exchange 2013 после внедрения, то доверьте это дело опытному системному интегратору - такому как IT-Lite.

08.01.2002 Тони Редмонд

Сервер Microsoft Exchange 2000 появился в продаже около года назад. Один из важных уроков, которые мы усвоили в течение первого года эксплуатации, состоит в том, что опыт работы с Exchange 5.5 не так уж много значит для использования Exchange 2000. Почти каждый день случается что-нибудь такое, что напоминает об отличиях Exchange 2000 от Exchange 5.5 (и это достаточно веское основание для того, чтобы не вводить Exchange 2000 в работающую сеть без предварительного тестирования; см. врезку ).

Нет лучшего учителя, чем реальный опыт работы. Рассмотрим ключевые моменты, определяющие успех внедрения систем Exchange 2000. Для эффективной эксплуатации системы Exchange 2000 следует обратить внимание на ряд моментов: где расположить серверы глобального каталога (GС), как использовать коннектор к AD (ADC), какие программы-дополнения независимых производителей наиболее пригодны для Exchange 2000, какие программы-клиенты устанавливать на рабочих станциях, какие особенности Windows 2000 могут влиять на Exchange 2000, есть ли возможность масштабирования.

Место для глобального каталога

Глобальный каталог - это специальный контроллер домена Windows 2000 с AD, содержащий все копии объектов своего домена с доступом на «чтение/запись» и часть копий объектов других доменов, входящих в лес, с доступом только для чтения. Exchange 2000 извлекает из GC глобальный список адресов (GAL), сравнивает с адресом получателя и определяет маршрут для доставки сообщения.

Exchange 2000 не сможет запустить свои службы и определить маршрут передвижения сообщений до тех пор, пока не будет установлена связь с GC. Без GC список GAL пользователям недоступен, и компонент Exchange DSAccess станет непрерывно выводить сообщения об ошибках.

Компонент DSAccess отвечает в Exchange за доступ к каталогу (по сути DSAccess заменяет службу каталога DS предыдущих версий Exchange). Задача DSAccess состоит в подключении к подходящему GC и поддержке соединения с ним до тех пор, пока это требуется для работы сервера Exchange (например, таких его служб, как Routing Engine и агент передачи сообщений MTA).

Решая, к какому контроллеру GC подключиться, DSAccess определяет информационный объем сайта. Во время работы сервер Exchange создает значительную нагрузку на GC, который обязан отвечать на запросы о маршруте сообщений, конфигурации и пользователях. Точную нагрузку можно считать зависящей от объема передаваемых почтовых сообщений, но общепринятым правилом является выделение одного сервера GC на каждые четыре сервера Exchange. Поскольку сервер Exchange постоянно взаимодействует с GC, их следует размещать в сети как можно ближе друг к другу (сетевой термин «ближе» означает маршрут пусть и более длинный, но проходящий через скоростные каналы связи, по сравнению с маршрутом коротким, но по медленным каналам). Определить, к какому GC подключен сервер Exchange, можно из консоли управления Exchange System Manager (ESM). Для этого следует выбрать сервер Exchange, открыть диалоговое окно его свойств и перейти на закладку General, как показано на Экране 1. Имя GC указано внизу, в строке Domain controller used by services on this server («Контроллер домена, используемый службами этого сервера»).

Во многих организациях возникают проблемы (например, медленная доставка сообщений, «зависание» клиентов Microsoft Outlook), когда сервер Exchange 2000 подключен к GC, расположенному на удаленном сайте Windows 2000. Иногда это происходит из-за того, что администратор неправильно выбрал сайт для установки сервера Exchange. Я на собственном опыте убедился, что очень важно размещать серверы Exchange 2000 как можно ближе к GC. В данном случае слово «ближе» означает, что Exchange и сервер GC должны быть соединены надежным, быстрым и устойчивым каналом связи. Лучше всего разместить серверы GC и Exchange в одной локальной сети. Размещение серверов в различных локальных сетях допустимо лишь при наличии между ними сверхнадежного канала связи.

Очевидно, что при построении доменов Windows 2000 необходимо планировать как количество серверов GC, так и их расположение. Наличие всего одного домена можно считать большим везением, так как в этом случае любой контроллер домена может функционировать как GC. Однако в сетях крупных корпораций чаще используется многодоменная модель. Разумеется, и здесь каждый контроллер домена может играть роль GC, но тогда значительно возрастает трафик репликации. Так как существуют и другие виды данных, а каналы связи не безразмерные, приходится балансировать между желанием расположить GC ближе к Exchange и заметным снижением пропускной способности канала связи. В данном случае необходимо ограничить репликацию и расположить Exchange на большом расстоянии от GC через каналы связи с негарантированным уровнем сервиса или махнуть рукой и установить большее число GC, чтобы серверы Exchange (и пользователи) в любой момент имели доступ к каталогу.

Синхронизация при помощи ADC

Обычно при установке Exchange 2000 интегрируется в имеющиеся организации Exchange 5.5. Поэтому «старая» служба каталога DS должна быть синхронизирована с AD при помощи ADC (следует использовать версию ADC, поставляемую с Exchange 2000, а не с Windows 2000). ADC является настраиваемой программой, управляющей соглашениями о соединении (Connection Agreement, CA) и служащей для определения правил репликации части или всего каталога DS в AD. CA могут быть односторонними или двусторонними.

По сути, при установке ADC мы преследуем три цели: наполнить базу AD данными об объектах DS (т. е. информацией об имеющихся почтовых ящиках, внешних получателях и списках рассылки DL), реплицировать изменения объектов DS на объекты AD и, наоборот, передать описания почтовых ящиков пользователей Exchange 5.5 в Exchange 2000. ADC может использоваться как для небольших организаций, состоящих из одного сайта, так и для более сложных реализаций с большим числом контейнеров получателей.

Если обслуживаемая система Exchan-ge достаточно сложна, то, скорее всего, придется выполнить более тонкую настройку соединений CA, которыми управляет ADC. Следует досконально изучить все, что касается методов синхронизации списков рассылки (которые в AD становятся группами) и отображения контейнеров получателей в организационные единицы OU в AD. В системе Exchange 5.5 почтовый ящик мог принадлежать одновременно нескольким учетным записям Windows NT. В Exchange 2000 это не так, поэтому при переходе от Exchange 5.5 к Exchange 2000 каждой учетной записи будет соответствовать уникальный почтовый ящик. Чтобы не нарушить нормальное функционирование почтовой системы, рекомендуется сделать резервную копию сервера Exchange 5.5, восстановить ее на тестовом сервере и выполнить все необходимые шаги для установки репликации на контроллер домена Windows 2000. Далее нужно убедиться, что односторонние и двусторонние CA работают корректно, ADC реплицирует все текущие изменения и правильно передает данные о почтовых ящиках и списках рассылки. Тестирование следует продолжать до тех пор, пока не будет абсолютной уверенности в том, что все настройки выполнены правильно и точно подходят для эксплуатируемой системы. Дополнительную информацию об использовании ADC можно найти в статье Киран Маккорри «Настройка и эффективное управление ADC», опубликованной в №№5-6 Windows 2000 Magazine/RE за 2001 г. - прим. ред.

Обзор дополнительных программ

Практически всегда помимо сервера Exchange устанавливается хотя бы один дополнительный программный продукт. Как правило, это популярные программы архивирования (например, Legato NetWorker фирмы Legato Systems, VERITAS Backup Exec фирмы VERITAS Software), шлюзы Exchange для передачи факсов (например, Faxination фирмы Fenestrae), программы для управления (например, AppManager компании NetIQ, PATROL фирмы BMC Software) или антивирусная защита (например, ScanMail for Microsoft Exchange фирмы Trend Micro, Antigen for Microsoft Exchange компании Sybari Software).

Администратор Exchange не всегда вправе решать, какие дополнительные программы ему использовать. Например, в рамках предприятия может проводиться единая политика резервирования и применяться одна программа для архивирования различных операционных систем и приложений. Однако момент перехода к Exchange 2000 как раз удобен для ревизии используемых программ и принятия решения об их замене. Программы, разработанные для Exchange 2000, обязаны уметь взаимодействовать со специфическими возможностями Exchange, например, такими, как разбиение хранилища и использование файла потоковой базы данных, новая кластерная модель, новая транспортная магистраль Transport Core, масштабирование системы при помощи серверов типа front-end и back-end. Применение дополнительных программ, полностью совместимых со всеми функциями Exchange 2000, помогает достичь наилучшей производительности и стабильности в работе.

Те ли клиентские программы используются?

Помимо испытания дополнительных программных продуктов неплохо было бы провести анализ используемых клиентских программ и выбрать самую лучшую. Никогда прежде выбор клиентов Exchange не был так широк, как сейчас, а один из фаворитов может удивить даже искушенного пользователя. Это Outlook Web Access (OWA) 2000.

Поставляемый с Exchange 2000 продукт OWA 2000 позволяет оценить превосходные функциональные возможности клиента, работающего через браузер. Недостатки ранних версий OWA были обусловлены слабостью архитектуры Active Server Pages (ASP), плохо справлявшейся с ростом числа пользователей, поддерживаемых сервером. Производительность ранних версий не впечатляла, зато OWA 2000 имеет хорошие показатели при работе даже по коммутируемым соединениям и с еще большими, чем прежде, почтовыми ящиками. Более тесная интеграция хранилища Exchange с IIS 5.0 из поставки Win-dows 2000 и отказ от ASP позволили повысить производительность. К тому же программисты Microsoft избавились от нескольких «узких мест» в программном коде, что дало возможность увеличить число одновременных подключений к серверам.

Для работы OWA 2000 требуется иметь на компьютерах пользователей браузер Microsoft Internet Explorer (IE) 5.0 или более поздней версии. Благодаря своим возможностям, OWA 2000 может с успехом использоваться в качестве клиента Exchange. На Экране 2 показан внешний вид OWA 2000. В распоряжении пользователей - окно предварительного просмотра, мощный текстовый редактор и стандартный набор вариантов просмотра сообщений (например, вывод сообщений, которые еще не были прочитаны, вывод сообщений от конкретного пользователя), как в Outlook. Можно использовать и более ранние версии IE или браузера Netscape, но тогда возможности OWA будут ограничены. В Microsoft таких клиентов называют «достаточными», намекая тем самым на необходимость модернизации программного обеспечения.

Безусловно, в первую очередь перейти с Outlook на OWA 2000 могут сотрудники, работающие преимущественно в офисе, которым требуется доступ только к электронной почте и календарю. Начиная с версии 5.0 браузер IE обеспечивает расширенную поддержку протоколов (т. е. поддержку динамического HTML, DHTML, WWW Distributed Authoring and Versioning, WebDAV, XML и Extensible Style Language, XSL). Без поддержки этих протоколов дополнительные функции OWA 2000 реализовать невозможно. Разумеется, OWA 2000 обладает пока не всеми возможностями Outlook. Например, пользователи OWA не могут отправлять и читать зашифрованные электронные сообщения, восстанавливать удаленные сообщения, получать доступ к менеджеру задач (Task). Однако большинству сотрудников хватает электронной почты и календаря. К тому же сервисный пакет Exchange 2000 Service Pack 1 (SP1) расширил возможности OWA, а последующие пакеты наверняка обеспечат дополнительные преимущества.

Простота установки и администрирования OWA 2000 снижает нагрузку на обслуживающий персонал почтовой системы. А учитывая богатые функциональные возможности, OWA можно считать реальной альтернативой Outlook.

Использование свойств Windows 2000

Развитие программного и аппаратного обеспечения делает их взаимодействие более сложным. Поэтому требуется прикладывать все больше усилий, чтобы предоставлять гарантированно высокий уровень обслуживания. Четкое понимание некоторых особенностей Windows 2000 поможет построить превосходную почтовую систему Exchange 2000.

Опыт эксплуатации почтовых систем больших предприятий показывает, что хранилища баз данных стали больше, чем прежде. Серверы Exchange 2000 соответствуют изменившимся требованиям и могут поддерживать больше почтовых ящиков, чем более ранние системы. Многие администраторы в связи с этим увеличивают квоты на размер почтовых ящиков, чтобы удовлетворить нужды пользователей. При достижении хранилищами размеров порядка 100 Гбайт возникает проблема архивирования больших баз данных. Традиционный метод архивирования на ленты годится только для серверов малых и средних предприятий. Практика показывает, что на архивирование должно тратиться не более 4-х ч, а на восстановление, занимающее вдвое больше времени, - не более 8 ч. Поскольку самая быстрая ленточная библиотека не в состоянии обрабатывать более 35 Гбайт/ч, архивирование хранилищ больших предприятий не может завершиться за 4 ч.

Программа NT Backup из поставки Windows 2000 позволяет архивировать базы Exchange 2000 на ленты или диски. Если дисковая подсистема имеет достаточно свободного пространства и не перегружена операциями ввода/вывода, то можно выполнять архивирование на диски. Затем, если угодно, данные с дисков могут быть перенесены на ленты. Однако использование диска в качестве буфера перед копированием на ленты не дает никаких преимуществ. Отдельные тесты показывают, что на загруженном сервере архивирование на диски может выполняться со скоростью 6 Гбайт/ч. В то время как ленточные приводы DLT могут обрабатывать данные быстрее.

Есть и другие особенности Windows 2000, которые можно использовать для удобства администрирования Exchange 2000. Например, можно создать собственную консоль MMC и управлять через нее AD, ADC и ESM. Можно удаленно управлять сервером Exchange при помощи терминальной службы Windows 2000 (см. Экран 3; в состав сервера Windows 2000 входит лицензия, разрешающая два удаленных подключения). При помощи терминальной службы можно управлять серверами даже по коммутируемому соединению со скоростью 28,8 Кбит/с.

Размышления о масштабировании серверов

Разработчики Windows 2000 и Exchange 2000 стремились создать более масштабируемую систему. Поэтому в настоящее время задача расширения серверов весьма актуальна. Если провести анализ имеющихся корпоративных систем на базе NT, становится очевидно, что эксплуатируется слишком большое число серверов. Средний срок работы сервера составляет два-три года. Часто несколько старых, отработавших по три года серверов можно заменить одним современным сервером с более мощным процессором, большей емкостью дисков, более высокой пропускной способностью шины и установленной системой Windows 2000. Например, 10 серверов NT, каждый из которых поддерживает 500 почтовых ящиков Exchange 5.5, можно заменить двумя-тремя большими серверами Windows 2000 с Exchange 2000, самостоятельными или объединенными в кластер. Недостаток пропускной способности каналов связи является существенной преградой на пути реализации проектов по консолидации серверов. В этом случае следует сравнить затраты на модернизацию сетевых каналов со снижением стоимости эксплуатации меньшего числа серверов. Этап планирования перехода от Exchange 5.5 к Exchange 2000 является подходящим моментом для расширения серверов, в том числе и потому, что Exchange 2000 обладает усовершенствованными возможностями построения кластеров и позволяет разделять хранилище.

Версия Exchange 2000 Enterprise Edi-tion, установленная на сервере Windows 2000 Advanced Server, поддерживает кластер типа активный/активный. Это означает, что все системы в кластере задействованы, т. е. программы выполняются, и пользователи обслуживаются на всех узлах одновременно. На Экране 4 показан набор активных ресурсов двухузлового кластера, включающий службы Exchange (например, System Attendant, MTA, Routing Engine) и физические ресурсы (например, диски, сетевые имена, IP-адреса). Все вместе эти ресурсы относятся к виртуальному серверу Exchange Virtual Server (EVS). Обычно на одном компьютере определяется один EVS. Можно настроить систему для поддержки множества виртуальных серверов EVS, но делать так не рекомендуется из-за высоких затрат системных ресурсов. Дополнительную информацию о построении кластеров Exchange 2000 можно найти в статье Джерри Кохрана «Построение Exchange 2000 на кластере» (опубликованной на страницах нашего журнала в №№1-2 за 2001 г. - прим. ред. ).

Изначально кластер Exchange 2000 мог состоять только из двух узлов, но после выпуска пакета исправлений SP1 для Exchange 2000 число узлов увеличилось до четырех при условии, что Exchange 2000 установлен на Windows 2000 Datacenter Server. О новых возможностях SP1 рассказано в статье, которую можно найти по адресу: http://www.microsoft.com/exchange/downloads/ 2000/sp1.asp#sp1_improvements . Дополнительную информацию об использовании SP1 на сервере Datacenter можно получить в статье Джерри Кохрана «Exchange 2000 SP1 на Datacenter» по адресу: ». Вообще, построение четырехузлового кластера на сервере Da-tacenter обходится недешево, поэтому в большинстве случаев используются кластеры из двух узлов, причем каждый узел может поддерживать примерно 1000 почтовых ящиков. К сожалению, не все проблемы при помощи кластеров решаются одинаково успешно. Кластеры вида активный/активный хороши тем, что поддерживают пользователей на всех узлах, однако переходные процессы при выходе из строя одного из узлов по-прежнему занимают много времени, поэтому нельзя однозначно сказать, что кластер повысит уровень готовности всей системы.

Администраторы, имеющие опыт работы с кластерами Exchange 5.5, откроют для себя много нового при работе с кластерами Exchange 2000. Им придется потратить немало времени на изучение различий между двумя системами, чтобы выполнить необходимые изменения в операционной среде, и лишь затем приступать к развертыванию кластера. Многие администраторы подключают кластеры к сетям хранения Storage Area Network (SAN) для обеспечения необходимой емкости хранилищ Exchange, гибкости, возможности дальнейшего расширения и стабильности при поддержке большого числа почтовых ящиков. Совместное использование кластеров и устройств SAN обещает значительные преимущества, но такая конструкция довольно сложна в конфигурировании и управлении. Дополнительно потребуется управлять такими задачами Exchange 2000, как, например, процедура восстановления после сбоев хранилища, разделенного на несколько групп хранения или баз данных. Прежде чем приступать к процедуре расширения серверов или объединять их в кластеры, следует убедиться в том, что эта область администрирования изучена досконально.

Основные уроки

Как и любому другому программному обеспечению, Exchange 2000 потребовалось некоторое время для становления. И как это обычно бывает, первая версия содержала ошибки, которые были обнаружены уже после выхода продукта. Краткий список статей, в которых перечислены ошибки, можно найти в разделе «Статьи Microsoft на эту тему». Пакет SP1 для Exchange 2000 содержит исправления для множества ошибок, описание которых можно найти в статье Microsoft «XGEN: List of Bugs Fixed in Exchange 2000 Server Service Pack 1» по адресу: http://support.microsoft.com/support/ kb/articles/q301/4/52.asp . Самый главный вывод, который мы сделали после года эксплуатации систем Ex-change, - не спешить. Не стоит жалеть времени на подготовку и тестирование плана миграции с Exchange 5.5 на Exchange 2000, и результат превзойдет все ожидания.

Тони Редмонд - редактор Windows 2000 Magazine, старший технический редактор выпусков Exchange Administrator. Связаться с ним можно по адресу: [email protected] .

Сначала проверка

Даже опытному администратору Exchange 5.5 требуется некоторое время для освоения сервера Microsoft Exchange 2000. В частности, радикально изменилась технология маршрутизации сообщений (ранее основным считался стандарт X.400, а теперь SMTP). Необходимо ознакомиться с новой моделью администрирования, установить и настроить новые программы-дополнения для Exchange 2000. Изменились даже такие простые вещи, как элементы журнала приложений (Application log), создаваемые Exchange 2000. Следует научиться отличать обычные сообщения от сообщений, предупреждающих о неполадках.

Чтобы построить надежную и эффективную систему на основе Exchange 2000, требуется провести всестороннее планирование, включающее пробную миграцию хотя бы части работающей системы Exchange 5.5. Любое предположение должно быть подтверждено испытанием, особенно это касается всего, что относится к взаимодействию сетевых компонентов. Например, служба DNS оказывает воздействие на процесс репликации и стабильность службы каталога AD. Exchange 2000 обращается к AD в поисках информации о серверах, конфигурации, маршрутизации, пользователях, почтовых ящиках и таких приложениях, как служба мгновенных сообщений Instant Messaging (IM). Таким образом, процесс репликации AD должен тестироваться особенно тщательно. Стабильность функционирования AD опирается на стабильность выполнения процесса репликации. Чтобы узнать, сколько времени занимает репликация, можно изменить данные о пользователе, например его электронный адрес, и дождаться изменений на сервере GC другого домена. В различных сетевых структурах репликация может выполняться быстрее или медленнее. Считается, что репликация в пределах 10 мин вполне приемлема.