Quản lý Receive Connector – Phần 4

Quản Trị Mạng - Trong phần 4 này chúng tôi sẽ tiếp tục giới thiệu với các bạn về các điều khoản ở mức Receive Connector và cấu hình thẩm định TLS trong một receive connector. Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn về cách quản lý các điều khoản bằng Exchange Management Shell và AdsiEdit.msc còn trong phần này chúng tôi sẽ giúp bạn cá nhân hóa các điều khoản của receive connector theo một cách khác mà không cần sử dụng đến nhóm Permissions mặc định. Exchange Server 2007...
Nội dung trích xuất từ tài liệu:
Quản lý Receive Connector – Phần 4 Quản lý Receive Connector – Phần 4Quản Trị Mạng - Trong phần 4 này chúng tôi sẽ tiếp tục giới thiệu với các bạnvề các điều khoản ở mức Receive Connector và cấu hình thẩm định TLS trongmột receive connector.Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn về cáchquản lý các điều khoản bằng Exchange Management Shell v à AdsiEdit.msccòn trong phần này chúng tôi sẽ giúp bạn cá nhân hóa các điều khoản củareceive connector theo m ột cách khác mà không cần sử dụng đến nhómPermissions mặc định.Exchange Server 2007 có m ột tập các nhóm Permissions đ ược định nghĩatrước, tập các nhóm điều khoản này giúp bạn dễ dàng quản trị bằng cách sửdụng một checkbox để định nghĩa các điều khoản cần thiết. Khi có nhiều máychủ hoạt động trong hệ thố ng của bạn thì khi đó chúng ta lại gặp phải một sốvấn đề khác, lý do ở đây là một số tổ chứ cần có một receive connector mangtính hạn chế hơn, vấn đề này có thể được thực hiện bằng thủ tục đ ược phácthảo trong phần này. Nếu bạn không thực sự cần đến tính năng như vậy, hãy sửdụng Permissions Groups mặc định có sẵn xuyên suốt Exchange ManagementConsole hoặc Exchange Management Shell.Chúng ta giả sử rằng muốn có Active Directory Group có tên gọi Grp_Relayđược cho phép relay trong Exchange Server 2007. Để thực hiện điều đó, chúngta phải khai thác hơn nữa các cấu hình điều khoản của Receive Connectornhằm gán cho những người dùng khác ngoài danh sách mặc định.Lưu ý:Nếu bạn sẽ dụng nhiều HUB Transport trong một kịch bản NLB cho receiveconnector thì khi đó tất cả các thay đổi phải đ ược thực hiện trong các nút NLBđể cung cấp cùng một chế độ thẩm định và các điều khoản.Trước hết, chúng ta cần remove tất cả các nhóm hiện đ ã nằm trong tabPermissions của Receive Connector trong Exchange Management Console. Đểthực hiện điều đó, hãy vào trang các thuộc tính của Internal Relay connector v àbảo đảm rằng không có nhóm nào được kiểm trên tab Permissions.Lúc này, hãy quay trở lại AdsiEdit.msc và kích chuột phải vào Internal Relayconnector và kích Properties. Kích tab Security, b ổ sung thêm nhómGrp_Relay từ Active Directory. Bảo đảm rằng nhóm có tối thiểu các điềukhoản dưới đây (Hình 1):• Submit Messages to Server• Submit Messages to any Recipient• Bypass Anti-Spam• Accept routing Headers Hình 01Lúc này chỉ có những người dùng nằm trong nhóm Grp_Relay mới có thể gửithư bằng Internal Relay Receive Connector. Nếu ng ười dùng nào đó nằmbênngoài nhóm muốn gửi thư thì họ sẽ bị yêu cầu về các chứng chỉ cần thiết(có thể đến một vài lần); bạn có thể hợp lệ hóa lỗi trong file bản ghi ReceiveConnectors. L ỗi này sẽ gồm có các thông tin d ưới đây:Inbound authentication failed because the client DOMAINusername doesn’thave submit permission.Nếu bạn gặp phải tình huống mà ở đó một số máy chủ phải relay trênExchange Server không sử dụng sự thẩm định, khi đó bạn phải sử dụng c ùngthủ tục giống ở trên để đồng ý điều khoản cho entry Anonymous trên tabReceive Connector Security.Lưu ý:Hoàn toàn không t ốt nếu bạn cho phép điều khoản đặc quyền relay trong mộtmáy chủ Exchange Server. Hãy bảo đảm rằng chỉ có một tập các máy chủ cóthể sử dụng connector này bằng cấu hình RemoteIPRanges của receiveconnector.Cấu hình TLS trên Receive ConnectorCác bạn đã thấy được cách cấu hình các phương pháp thẩm định và các nhómthẩm định trong một Receive Connector, giờ đây chúng ta h ãy kích hoạt TLStrong Receive Connector. Trước hết, hãy vào cửa sổ các thuộc tính của InternalRelay Receive Connector, sau đó kích tab Authentication và tích vào tùy ch ọnTLS như trong hình 2. Hình 02Hãy kết nói đến receive connector này, receive connector có FQDN được địnhnghĩa là relay.apatricio.local (Apatricio.local là tên FQDN c ủa ActiveDirectory). Sử dụng SMTP verb trước, EHLO example.org , khi đó chúng ta sẽthấy rằng STARTTLS không được hiện diện, điều đó có nghĩa rằng thậm chíkhi TLS được kích hoạt trên Receive Connector thì chúng ta vẫn không thể sửdụng được nó (xem trong hình 3). Hình 03Sau kết nối đó, chúng ta có thể vào Event Viewer c ủa Exchange Server vàEventID 12014 (hình 4) sẽ nằm ở đây, thông báo lỗi sẽ cho chúng ta biết đ ượcnhững gì đang xảy ra với môi trường hiện hành của mình. Một câu trả lời đơngiản là không có chứng chỉ với tên đã được cấu hình trong FQDN c ủa ReceiveConnector đó. Hình 04Chúng ta hãy sửa trường hợp này. Chúng tôi giả dụ rằng đang sử dụng mộtPKI trong và để yêu cầu một chứng chỉ SMTP mới bằng ExchangeManagement Shell, hãy sử dụng lệnh dưới đây:New-ExchangeCertificate –GenerateRequest –Path c:cert.req –SubjectName“cn=relay.apatricio.local” –FriendlyName “Internal Relay Certificate” –PrivateKeyExportable:$TrueLúc này hãy yêu cầu chứng chỉ đã được tạo bằng website Certificatio ...