Exchange Server 2007: больше безопасности и возможностей для разработчиков

Exchange Server прочно закрепился на рынке корпоративных систем обмена сообщениями и обеспечения коллективной работы в сетях на основе доменов Active Directory, но конкуренты не дают корпорации расслабиться - на этом рынке ставки особенно высоки, а место лидера позволяет поставлять клиенту целую когорту совместно работающих продуктов "под ключ". Именно по этой причине Microsoft находится в постоянной боевой готовности к возможным контратакам и регулярно укрепляет свои бастионы. Усовершенствования в очередных выпусках касаются самых разных сторон Exchange Server, но в 2007-й версии особое внимание уделено двум традиционно слабым направлениям - безопасности и использованию в качестве платформы для создания сторонних решений.

Модульная архитектура как подход к обеспечению безопасности

Новая версия Exchange Server является модульной и может быть установлена в нескольких вариантах, определяющих режимы работы сервера и поддерживаемую им функциональность. Для этого при развертывании продукта достаточно лишь указать необходимые роли, которых имеется всего пять (в редакции Enterprise):

• почтовый ящик (Mailbox) - реализует базовые службы, в частности, для хранения данных и поддержки клиентских папок;
• клиентский доступ (Client Access) - предоставляет возможность подключения к серверу посредством протоколов POP, IMAP, Exchange ActiveSync, а также через Outlook Web Access (OWA);
• концентрирующий транспорт (Hub Transport) - осуществляет маршрутизацию в Active Directory, позволяет применять для сообщений политики безопасности, антивирусные и фильтрующие спам средства;
• унифицированная работа с сообщениями (Unified Messaging) - расширяет стандартные службы Exchange Server поддержкой голосовых сообщений и факсимильной связи;
• граничный транспорт (Edge Transport) - позволяет серверу функционировать в качестве SMTP-шлюза с целью выполнения на нем фильтрации спама и вирусов, что может быть необходимо при его размещении в DMZ.

Помимо ролей, реализующих базовую функциональность, есть еще две, обеспечивающие отказоустойчивую работу кластеров Exchange Server: активная (Active Clustered Mailbox) и пассивная кластерная роль почтового ящика (Passive Clustered Mailbox) - первая предназначена для обслуживания клиентов, а вторая - в режиме ожидания и готовности перехватить эстафету в случае выхода из строя активного сервера.

Модульная архитектура - шаг в верном направлении не только с целью улучшения производительности, но и повышения безопасности. В предыдущей версии было всего две функциональные роли (помимо кластерных): front-end (предусматривающая установку сервера в DMZ и поддерживающая подключение внешних клиентов) и back-end (отвечающая за хранение данных и обслуживающая подключение клиентов по локальной сети). Однако их реализация не была достаточно продумана - для обеспечения коммуникаций между серверами front-end и back-end требовалось открыть большое количество портов, которые в случае успешной атаки на front-end ставили под угрозу всю сеть. По этой причине опытные администраторы нередко избегали использования подобной функциональности Exchange Server и предпочитали устанавливать в DMZ другие продукты, выполняющие роль промежуточного шлюза для back-end-серверов Exchange Server. В версии 2007 роль граничного транспорта наконец лишена этих недостатков и не требует применения в DMZ стороннего ПО.

Forefront Security: хочешь, чтобы было хорошо - сделай сам

Forefront Security поставляется с девятью антивирусными движками, но выбрать при установке можно только пять

Другое важное усовершенствование новой версии Exchange Server - появление полноценного средства для защиты сервера от вирусных атак Forefront Security for Exchange Server. Корпорация долгое время не занимала нишу антивирусных средств, оставляя ее для сторонних компаний, поэтому такой шаг можно расценивать как знаковое событие.

Несмотря на значительные усилия Microsoft, направленные на обеспечение благоприятных условий для сторонних поставщиков антивирусных решений (с этой целью был разработан специальный интерфейс Antivirus Application Program Interface (AVAPI), впоследствии, после значительных усовершенствований, переименованный в Virus Scanning Application Programming Interface (VSAPI)), антивирусная защита Exchange Server до недавнего времени оставалась проблемным местом - в частности, еще и потому, что единственное решение не могло дать полной гарантии, а разные продукты плохо уживались между собой. Администраторам в таких случаях приходилось идти на различные ухищрения, например создавать целые цепочки из серверов, на каждом из которых сообщения обрабатывались различным ПО.

Однако теперь ситуация изменилась к лучшему, притом Microsoft решила не полагаться на помощь со стороны, а самостоятельно взяться за комплексное решение данной проблемы для Exchange Server. Впрочем, как это часто случается в современном бизнесе высоких технологий, Forefront Security не было разработано с "чистого листа" в Microsoft, а основывается на продукте Antigen for Exchange, созданном компанией Sybari (sybari.com), которая была приобретена корпорацией в начале 2005 г.

Модульная архитектура Exchange Server 2007 сама по себе решает целый ряд проблем, свойственных прошлым версиям

ПО Forefront Security примечательно тем, что для своей работы способно использовать несколько антивирусных движков от разных производителей, поставляемых вместе с дистрибутивом. С учетом новой модульной архитектуры Exchange Server 2007 его можно также устанавливать на серверы, исполняющие любые роли. При этом Forefront Security осуществляет комплексную антивирусную защиту и может быть использовано как для сканирования транзитных сообщений, так и для периодических фоновых проверок всего хранилища. Поскольку теперь топология Exchange-инфраструктуры может быть довольно сложной, а корреспонденция - путешествовать между различными серверами, то в Forefront Security предусмотрена специальная метка для уже проверенных сообщений, благодаря которой исключается повторная проверка и снижается нагрузка.

Кроме того, данный продукт предусматривает разные сценарии использования и обладает гибкими настройками, позволяющими найти баланс между уровнем защиты и загрузкой вычислительных ресурсов. Решение поставляется с девятью антивирусными движками - один из них (производства самой Microsoft, Microsoft Antimalware Engine) должен быть установлен в любом случае, а остальные - по усмотрению администратора системы. Примечательно, что количество одновременно работающих антивирусных движков ограничено пятью - как в режиме сканирования в реальном времени, так и при назначении заданий. И если в первом случае такое магическое число несложно каким-то образом объяснить (например, заботой о производительности), то во втором оно выглядит совершенно искусственным. Зато в обоих случаях наборы движков могут быть совершенно произвольными, так что администраторам придется изрядно поэкспериментировать для выбора оптимальной комбинации.

Естественно, в Exchange Server 2007 забота о безопасности коснулась и многих других компонентов. Так, OWA по умолчанию работает только по защищенному протоколу SSL и не допускает незашифрованных подключений, а весь intranet-трафик также подвергается шифрованию. Помимо прочего, Exchange Server 2007 поддерживает расширения SMTP-протокола Transport Layer Security (TLS) и может отправлять сообщения в зашифрованном виде, если принимающий сервер также поддерживает эту технологию.

Outlook Web Access стал функциональнее и безопаснее

Были значительно усовершенствованы механизмы борьбы со спамом. Exchange Server 2007 поддерживает широкий их спектр - от фильтрации сообщений на основе списков IP-адресов отправителей и анализа содержимого (Microsoft SmartScreen) до продвигаемых Microsoft в качестве индустриальных стандартов технологий подтверждения надежности отправителя SenderID и "штемпеля" Outlook (Outlook E-Mail Postmark).

Все подобные инициативы корпорации можно только одобрить - безусловно, они являются заметным шагом вперед и дают хороший повод любому специалисту задуматься о миграции на новую версию.

Для разработчиков

Microsoft долгое время позиционирует Exchange Server не только как центр корпоративных коммуникаций, но и как платформу для создания комплексных решений. Однако до недавнего времени особых успехов на этом фронте не наблюдалось - как правило, у клиентов, использующих Exchange Server, далее построения workflow-систем и интеграции с другими корпоративными продуктами дело не продвигалось. Несмотря на обилие технологий и интерфейсов, предназначенных для организации взаимодействия со сторонним ПО (Collaborative Data Objects for Exchange (CDOEX), OLE DB provider for Exchange (EXOLEDB), Mail Application Programming Interface (MAPI), Outlook Object Model (OOM), WebDAV), Exchange Server так и оставался "вещью в себе", отпугивая разработчиков своей сложностью и прихотливостью.

Однако версия 2007 предлагает совершенно новые подходы для построения приложений на основе Exchange Server, призванные устранить предыдущие недостатки. На смену множеству разрозненных технологий и интерфейсов пришел унифицированный метод доступа к информации в серверных хранилищах, основанный на применении Web-сервисов. Во-первых, это означает отсутствие необходимости устанавливать сторонний код на сервере, что, вне всякого сомнения, по достоинству оценят администраторы, а во-вторых, открывает широкие возможности для создания полноценных распределенных решений, позволяющих получить доступ к необходимым данным из любого приложения, подключенного к Сети. Имеющиеся Web-сервисы охватывают все основные стороны функционирования Exchange Server 2007:

• Autodiscover Web Service позволяет по указанному e-mail-адресу выяснить обслуживающий сервер и другие параметры конфигурации (эта же технология используется в Microsoft Outlook 2007 при определении сервера для учетной записи);
• Unified Messaging Web Service обеспечивает управление параметрами голосовых функций;
• Exchange Web Services - это целый комплекс служб, позволяющих получить доступ ко всей той информации, что представляется в Microsoft Outlook.

Поддерживаются модели pull и push. В соответствии с первой клиентское приложение запрашивает у сервера список изменений в определенной папке, а со второй - сервер сам отправляет ему данную информацию. Отметим, что помимо Web-сервисов, для .NET-разработчиков доступны и Outlook Web Parts - элементы управления ASP.NET, посредством которых они могут в своих решениях реализовать функциональность, аналогичную OWA.

Ориентация на использование Web-сервисов в новой версии Exchange Server - это не только серьезный шаг со стороны Microsoft в сторону популяризации технологий Web-сервисов, но и отличная демонстрация готовности данных технологий наряду с платформой .NET Framework для применения в самых ответственных решениях. Ведь, помимо прочего, Web-сервисы не обязывают использовать какую-то определенную программно-аппаратную платформу - здесь разработчики вольны в своем выборе.

Нет гарантий, что каждый администратор Exchange Server 2007 будет управлять им посредством текстовой консоли Exchange Management Shell, но тем, кому это по душе, - UNIX-атмосфера гарантируется

Существенно изменен в Exchange Server 2007 и способ создания и исполнения обработчиков сообщений. В предыдущих версиях, вплоть до Exchange Server 2003, любая подобная процедура (workflow, фильтрация и пр.) осуществлялась непосредственно на сервере, отвечающем за их доставку или хранение, что оказывало влияние на его стабильность и производительность. Поскольку новая версия имеет модульную архитектуру, то теперь эти функции можно переложить на выделенные серверы, исполняющие транспортные роли (концентрирующие или граничные). При этом изменился и сам механизм обработки: если ранее приложения должны были регистрировать специальные приемники событий (event sink), создаваемые путем достаточно низкоуровневого программирования и вызываемые сервером при возникновении определенных событий, то в Exchange Server 2007 введено понятие агентов (agent), которые схожи с приемниками по выполняемым задачам, однако гораздо проще в разработке, распространении и поддержке, поскольку выполняются под управлением среды .NET Framework 2.0. Такие агенты имеют полный доступ ко всему сообщению и его отдельным структурным составляющим (заголовкам, вложениям и пр.) посредством пространства имен Microsoft.Exchange.Data.Transport.

Стоит обратить внимание еще на одно изменение в новой версии, имеющее большое значение для администраторов, но, тем не менее, затрагивающее и интересы разработчиков: Exchange Server 2007 - это первый продукт от Microsoft, графическая консоль управления которого представляет собой надстройку над PowerShell, что характерно для мира UNIX, но весьма непривычно для Windows. Подобная архитектура подразумевает, что все возможности, доступные через графический интерфейс, могут быть реализованы и в консольном режиме или с применением языков программирования платформы .NET Framework. На самом же деле графическая консоль как раз значительно упрощена по сравнению с предыдущими версиями, а поскольку в целом продукт стал сложнее, то это означает, что некоторые команды в ней попросту недоступны и воспользоваться ими можно только посредством Exchange Management Shell.

Весьма примечательным кажется тот факт, что Exchange Management Shell всячески старается подражать миру UNIX: тут и цветовое кодирование выводимого текста, и имитация текстовыми символами индикаторов выполнения хода задания, и даже традиционная для UNIX "подсказка дня" (Tip of the day).

Заключение

GUI-консоль управления стала более простой по сравнению с предыдущими версиями

Прежде чем перейти к окончательным выводам, следует, пожалуй, упомянуть также и о ряде функций, которые были анонсированы, но так и не добрались до релиза Exchange Server 2007. В частности, в качестве подсистемы хранения данных Microsoft планировала применять SQL Server, но так и не решилась на столь ответственный шаг - в новой версии, как и во всех предыдущих, используетcя движок Extensible Storage Engine (ESE), являющийся, по сути, не чем иным, как доработанным Microsoft Jet, также применяемым в серверных службах Windows: DHCP, WINS, Active Directory. Конечно, он подвергся дальнейшему совершенствованию, но в целом такое решение следует отнести к минусам Exchange Server 2007 - подсистема хранения этого продукта всегда отличалась излишней прихотливостью, и многим администраторам знакомы ситуации с ее сбоями. Кроме того, это существенно ограничивает возможности клиентов, планировавших использовать Exchange Server именно как платформу для разработки корпоративных приложений. К слову, "погорев" на данном анонсе, представители Microsoft гораздо более скромно оценивают перспективы перехода на SQL Server в будущем.

Еще одно ограничение связано с тем, что Exchange Server 2007 доступен только для 64-битовых платформ - 32-битовая версия существует, но предназначена исключительно для ознакомительных целей и не может быть использована в качестве производственного сервера. Определенный резон в этом, безусловно, есть (еще в конце 2005 г. большая часть серверного оборудования была 64-битовой), да и предупреждали об этом заранее, однако далеко не все разработчики торопятся переходить на повышенную разрядность, и именно для них это может создать некоторые трудности.

В целом же можно говорить о значительном прогрессе Microsoft на рынке серверных продуктов - каждая новая версия несет в себе большое число усовершенствований, действительно востребованных пользователями. Поэтому сомневаться в успехе Exchange Server 2007 нет никаких причин, гораздо интереснее отметить ряд тенденций в стратегии софтверного гиганта.

Так, кто бы мог подумать, что спустя более чем десятилетие после выпуска Microsoft первых серверных продуктов, в которых управление посредством GUI было чуть ли не религиозной догмой, столько усилий разработчиков будет направлено на поддержку консольных инструментов (PowerShell и Exchange Management Shell)? Это лишь один из примеров того, что нынешняя Microsoft уже не пытается жестко противопоставлять свои подходы практикуемым в мире UNIX, а готова применять любые востребованные идеи и технологии независимо от их происхождения.

Нельзя также не обратить внимания на достаточно "деликатный" выход корпорации на рынок антивирусных средств - ведь Forefront Security не конкурирует со сторонними решениями, а лишь служит для них своеобразной интегрирующей оболочкой, тем самым пытаясь даже в некотором смысле консолидировать усилия разработчиков.

Подобные тенденции говорят только об одном: Microsoft - зрелый и очень сильный игрок рынка серверных продуктов, имеющий четкую стратегию развития и готовый отказаться от многих не оправдавших себя принципов с тем, чтобы не дать конкурентам ни малейшей возможности даже претендовать на лидерство...

e-mail автора:
[email protected]

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365