Немного о Microsoft Forefront Protection 2010 for Exchange Server
Microsoft Forefront Protection 2010 for Exchange Server (FPE) обеспечивает быструю и эффективную защиту от вредоносного ПО и нежелательных сообщений благодаря использованию нескольких антивирусных ядер ведущих партнеров в сфере обеспечения безопасности. FPE отличается простой в использовании консолью администратора, которая включает настраиваемые параметры конфигурации, возможностями фильтрации, функциями и отчетами мониторинга, защитой от нежелательной почты и интеграцией с продуктом Forefront Online Protection for Exchange (FOPE). Кроме того, FPE поддерживает Windows PowerShell — оболочку командной строки и технологию сценариев на основе задач, предназначенную для автоматизации задач системного администрирования.
Проверка системных требований
В данном разделе описываются минимальные требования к серверу для установки Microsoft Forefront Protection 2010 for Exchange Server (FPE).
Чтобы установить FPE, необходимо обеспечить соответствие всем минимальным требованиям к системной памяти и свободному месту на диске для Microsoft Exchange Server 2007 с пакетом обновления 1 (SP1) или Exchange Server 2010. Недостаточный объем доступной памяти или свободного места на диске может помешать программе FPE проверять файлы большого размера. Также нельзя устанавливать FPE, если уже установлены предыдущие версии продукта.
Минимальные требования к серверу
Ниже перечислены минимальные требования к серверу:
- Компьютер на основе архитектуры x64:
- Процессор Intel Xeon или процессор семейства Intel Pentium с поддержкой технологии Intel EM64T (Intel Extended Memory 64) или
- AMD Opteron или AMD Athlon 64 с поддержкой платформы AMD64;
32-разрядные операционные системы не поддерживаются.
- Программное обеспечение сервера
- Microsoft Windows Server 2003 с пакетом обновления 2 (SP2), Microsoft Windows Server 2008 или Microsoft Windows Server 2008 R2.
- Сервер Microsoft Exchange Server 2007 с пакетом обновления 1 (SP1) или Microsoft Exchange Server 2010.
Если на одном сервере установлены продукты и технологии, относящиеся как к серверу Exchange, так и к SharePoint, для защиты сервера Exchange можно установить только FPE.
- 2 ГБ ОЗУ, помимо памяти, необходимой для запуска сервера Exchange. Дополнительные сведения о требованиях к памяти для запуска сервера Exchange см. в документации по планированию сервера Exchange.Меньше памяти потребуется в том случае, если интеллектуальное управление модулем (IEM) отключено и выбрано меньше 5 модулей (приблизительно 250 МБ памяти на каждый модуль). Для многоролевых серверов требование к памяти увеличивается на 1,5 ГБ.
- 2 ГБ свободного места на диске, в дополнение к месту на диске, необходимому для сервера Exchange. Для использования сервера для распространения обновлений требуется дополнительное место на диске.
- Рекомендуется четырехъядерный сервер с процессорами с тактовой частотой 2,0 ГГц или выше. Серверы с более низкой производительностью также поддерживаются, но пропускная способность снижается.
- Службы ядра Microsoft XML (MSXML) 6.0 с пакетом обновления 1 (SP1).
- Microsoft .NET Framework 3.0 SP 1 Windows Communication Foundation или Microsoft .NET Framework 3.5 (устанавливается автоматически вместе с Exchange Server 2010). Для установки шлюза Microsoft Forefront Online Protection for Exchange необходимо наличие .NET Framework 3.5.
- Элементы управления Microsoft Chart для Microsoft .NET Framework 3.5. Если эти элементы управления еще не установлены, их можно установить в процессе установки FPE.
- Windows PowerShell 1.0.
- Сервер клиентского доступа. Требуется только при проведении проверки по требованию с помощью Exchange Server 2010.
Установка продукта
Для запуска программы удаления Forefront Protection 2010 for Exchange Server (FPE) на сервере Exchange Server 2007 необходимо обладать правами локального администратора. Сведения о требованиях для проведения установки FPE на сервере Exchange Server 2010 см. в разделе Для установки на сервер Exchange Server 2010 требуются учетные данные безопасности.
FPE поставляется вместе с пакетом управления Пакет управления Microsoft Forefront Server Protection для Microsoft System Center Operations Manager 2007. Пакет управления является дополнительным компонентом, работающим с Operations Manager 2007, и используется для слежения за состоянием систем FPE. FPE нормально работает, если пакет управления не установлен.
Программу установки FPE можно запустить следующим образом:
- Дважды щелкнуть файл forefrontexchangesetup.exe. Запускается мастер установки и выполняются все этапы полной установки, описанные в разделе Установка на изолированном сервере при помощи мастера установки.Запустив программу установки таким образом, нельзя вводить какие-либо внешние параметры.
- Запустить файл setup.exe из командной строки, чтобы указать внешние параметры. Если дополнительные параметры не указаны, то программа установки запускает мастер установки. Также можно запустить следующие "автоматические" типы установки из командной строки:
- Установка без участия пользователя с использованием файла ответов.
- Пассивная установка с использованием файла ответов.
Дополнительные сведения об этих типах установки см. в разделе Установка из командной строки — указание параметров.
Каждый параметр изменяет сценарий установки, но во всех случаях гарантируется следующее:
- Все компоненты продукта будут установлены.
- Файловая структура, файлы, службы и ключи реестра будут созданы.
- Продукт будет корректно настроен, и все ошибки будут записаны в журнал.
- Если в вашей среде Exchange уже установлен продукт защиты от вредоносных программ, отличный от FPE, то он будет отключен на время установки FPE.
Установка в кластерной и других отказоустойчивых средах
Программы Microsoft® Exchange Server 2007 c пакетом обновления 1 (SP1) и Microsoft Exchange Server 2010 можно устанавливать на кластерные и подобные кластерным системах посредством конфигураций локальной непрерывной репликации, кластерной непрерывной репликации, кластера с единым хранилищем, резервной непрерывной репликации и групп доступности баз данных. (Группы доступности баз данных доступны на Exchange Server 2010). Затем можно устанавливать программу Microsoft Forefront Protection 2010 for Exchange Server (FPE) на почтовые серверы Exchange в кластерных системах. FPE поддерживает точки подключения томов.
В кластерной среде не поддерживается консоль управления Microsoft Forefront Server Security.
О кластерах
Далее приведены различные типы кластерных и подобных кластерным конфигурации, на которых можно устанавливать FPE:
- Непрерывная репликация кластера (CCR). Кластерный сервер почтовых ящиков этого типа сочетает возможности репликации и преобразования, имеющиеся в Exchange 2007, с возможностями отработки отказа в службах кластеров (Майкрософт). Отработка отказа — это процесс, в ходе которого один из серверов в кластере принимает на себя функции другого сервера в этом кластере в случае отказа в работе одного из серверов. Этот термин также используется для обозначения намеренной передачи служб другому серверу в кластере. CCR является решением, которое развертывается без одиночной точки отказа в одном центре обработки данных или между двумя центрами обработки данных. Узел, на котором в данный момент выполняется кластерный сервер почтовых ящиков (ранее назывался виртуальным сервером Exchange) является активным узлом; узел в кластере, на котором в данный момент не выполняется кластерный сервер почтовых ящиков, является пассивным узлом.
CCR использует функцию восстановления при отказе в базе данных в Exchange 2007 для обеспечения непрерывного и асинхронного обновления резервной копии базы данных с использованием изменений, внесенных в активную копию базы данных. Журналы не копируются до тех пор, пока не будут закрыты и не будут больше использоваться сервером почтовых ящиков. В процессе установки пассивного узла в среде CCR, каждая группа хранилищ и ее база данных копируются с активного узла на пассивный узел. Эта операция называется начальной инициализацией и обеспечивает исходное состояние для репликации базы данных. После выполнения начальной инициализации, непрерывно осуществляется преобразование и копирование журналов. CCR использует пассивный узел для копирования и преобразования журналов. Доступ к журналам осуществляется пассивным узлом посредством общего файлового ресурса.
В среде CCR возможности репликации интегрированы в службу кластеров для обеспечения безотказного решения. Помимо обеспечения доступности данных и служб, CCR также предоставляет дополнительные возможности для плановых остановок. Когда необходимо установить обновления или выполнить обслуживание, кластерный сервер почтовых ящиков можно вручную переместить на пассивный узел. После завершения операции переноса, можно выполнить необходимое обслуживание. - Группы доступности баз данных (DAG). В других типах кластеров при отказе физические серверы выполняют отработку отказа. Отработка отказа — это процесс, в ходе которого один из серверов в кластере принимает на себя функции другого сервера в этом кластере в случае отказа в работе одного из серверов. Этот термин также используется для обозначения намеренной передачи служб другому серверу в кластере. В системах DAG вместо переключения серверов осуществляется переключение отдельных баз данных. Каждый сервер в системе DAG может содержать несколько почтовых баз данных и серверы следят друг за другом, чтобы заметить, когда на одном из них произойдет отказ. При отказе автоматическое восстановление отключает базу данных на активном сервере, в котором произошел отказ, и подключает ее копию на пассивном сервере. После этого все клиенты будут запрашивать информацию с активной (дублирующей) копии базы данных.
- Локальная непрерывная репликация (LCR). LCR предусматривает репликацию данных на дополнительный диск, присоединенный к той же системе. Данная функция не является конфигурацией кластера, так как не обеспечивает истинное безотказное решение в случае отказа системы. Она предназначена для обеспечения защиты в случае отказов в локальном хранилище, но не обеспечивает защиту в случае отказа в работе самого сервера. LCR является односерверным решением, которое использует встроенную технологию доставки и преобразования журналов для создания и поддержания копии группы хранилищ на втором наборе дисков, который подключен к тому же серверу, что и производственная группа хранилищ. LCR позволяет вручную быстро переключиться на запасную копию данных. Процедура установки FPE на систему LCR аналогична обычной изолированной установке.
- Кластер с единым хранилищем (SCC). Кластерный сервер почтовых ящиков данного типа использует общее хранилище в конфигурации отказоустойчивого кластера, чтобы разрешить нескольким серверам управлять одной копией групп хранилищ. Отработка отказа — это процесс, в ходе которого один из серверов в кластере принимает на себя функции другого сервера в этом кластере в случае отказа в работе одного из серверов. Этот термин также используется для обозначения намеренной передачи служб другому серверу в кластере. В этой архитектуре, несмотря на то, что все узлы в кластере могут получить доступ к общим данным, они не могут сделать это одновременно.
В кластере с единым хранилищем, сервер почтовых ящиков Exchange 2007 использует свой собственный сетевой идентификатор, а не идентификатор какого-либо узла в кластере. Этот сетевой идентификатор называется кластерным сервером почтовых ящиков. Если на узле, на котором выполняется кластерный сервер почтовых ящиков, возникают проблемы, кластерный сервер почтовых ящиков переходит в автономный режим на короткое время, пока другой узел не примет на себя управление и не вернет кластерный сервер почтовых ящиков в оперативный режим (отработка отказа). Общее хранилище доступно каждому из возможных узлов кластерного сервера почтовых ящиков. В случае перехода на другой ресурс из-за сбоя, хранилище, связанное с кластерным сервером почтовых ящиков, логически отключается от отказавшего узла и передается под управление нового узла.
Помимо обеспечения доступности данных и служб, SCC также предоставляет дополнительные возможности для плановых остановок. Когда необходимо установить обновления или выполнить обслуживание, кластерный сервер почтовых ящиков можно вручную переместить на пассивный узел. После завершения операции переноса, можно выполнить необходимое обслуживание или устанавливать обновления. - Резервная непрерывная репликация (SCR). Это технология репликации, а не конфигурация кластера. В отличие от технологии CCR, при использовании которой необходимо, чтобы оба сервера принадлежали к кластеру Windows (который, как правило, находится в том же центре обработки данных), SCR может реплицировать данные на некластерный сервер, расположенный в другом центре обработки данных. Эта конфигурация создает избыточность в хранилище центра обработки данных путем разрешения существования дополнительной копии данных внутри или вне центра обработки данных. SCR использует технологию непрерывной репликации для переноса данных с одного сервера почтовых ящиков на другой. Технология SCR позволяет серверу почтовых ящиков быть целевым объектом непрерывной репликации для изолированного сервера почтовых ящиков, не поддерживающего LCR. Сервер почтовых ящиков также может быть пассивным узлом в отказоустойчивом кластере, в котором установлена роль почтового ящика, но не установлен кластерный сервер почтовых ящиков. Отработка отказа — это процесс, в ходе которого один из серверов в кластере принимает на себя функции другого сервера в этом кластере в случае отказа в работе одного из серверов. Этот термин также используется для обозначения намеренной передачи служб другому серверу в кластере.
Об установке
FPE поддерживает локальную установку во всех типах кластеров Exchange Server 2007 и кластероподобных конфигурациях. FPE поддерживается в активных/пассивных конфигурациях, но не в активных/активных конфигурациях.
Если в системе настроено выполнение балансировщика сетевой нагрузки (NLB), не требуется использовать какие-либо особые процедуры установки FPE. Следуйте инструкциям для установки в некластерной среде (см. раздел Установка продукта).
Каждый узел кластера является сервером только почтовых ящиков (в системах DAG каждый узел может быть только почтовым сервером или сервером-плацдармом/почтовым сервером). FPE также необходимо устанавливать на пограничные серверы и серверы-концентраторы для более усиленной защиты и повышения производительности.
FPE распознает активные и пассивные кластеры Windows Server 2003 и Windows Server 2008. Чтобы установить FPE в кластерной среде, необходимо войти на локальный компьютер в качестве пользователя домена, используя учетную запись, обладающую правами администратора локального компьютера. FPE нужно устанавливать на каждом узле. Все программные файлы следует устанавливать на локальный диск.
При установке следует учитывать следующие особенности:
- Данные конфигурации (например, файлы ScanJobs.fdb и Notifications.fdb в Microsoft Forefront Security для Exchange Server версии 10 и файл Configuration.xml в FPE версии 11) связаны с кластерным сервером почтовых ящиков (CMS), а не с физическими узлами. Поэтому, данные необходимо настраивать только для каждого сервера CMS, независимо от числа узлов.
- Аналогично файлы определений ядер сопоставлены с сервером CMS таким образом, что и активные и пассивные узлы используют последние версии файлов.
- Данные конфигурации, которые хранятся в реестре, реплицируются с помощью сервера CMS при перемещении сервера CMS с одного компьютера на другой в случае сбоя.
В Microsoft Forefront Security для Exchange Server версии 10 компонент Forefront Server Security Administrator должен быть подключен к серверу CMS. В FPE версии 11 компонент Консоль администрирования Forefront Protection 2010 for Exchange Server (Консоль администрирования FPE) автоматически подключается к серверу CMS.
Каждый узел кластера управляется отдельно через консоль Консоль администрирования FPE.
Поддержка решений сторонних производителей
Служба поддержки Майкрософт оказывает услуги по поддержке кластеризации FPE, основанной на функциях отказоустойчивой службы кластеров (Майкрософт). Некоторые сторонние поставщики для используемых версий программного обеспечения операционной системы Microsoft Windows предлагают службы и решения кластеризации, которые не основываются на службе кластеров (Майкрософт). Корпорация Майкрософт не может предоставить информацию о реальной производительности служб и решений кластеризации сторонних производителей, использующих Exchange.
Сотрудники службы поддержки Майкрософт будут пытаться помочь устранить неполадки, касающиеся работы Exchange, если эта программа установлена на кластерном решении сторонних производителей. Они будут оказывать помощь, пока не удостоверятся, что причина проблемы в несовместимости между сторонним кластерным решением и программой Exchange. Они могут предложить удалить решение сторонних производителей, чтобы решить проблему, хотя это и не является предварительным условием получения поддержки службы поддержки Майкрософт. Сотрудники этой службы также могут направить вас к производителю стороннего кластерного решения для получения дополнительной помощи в решении проблемы. Вовлечение службы поддержки стороннего производителя является вашим личным делом. Сотрудники службы поддержки Майкрософт будут пытаться оказать посильную помощь при работе со службой поддержки стороннего производителя, однако они не могут выступать в роли главных посредников между вами и сторонним производителем. Настоятельно рекомендуется устанавливать договорные отношения по поддержке с каждым производителем, чье оборудование или программное обеспечение работает с решением Exchange.