Exchange Server 2007: більше безпеки і можливостей для розробників, Комерція, Різне, статті

Exchange Server міцно закріпився на ринку корпоративних систем обміну повідомленнями і забезпечення колективної роботи в мережах на основі доменів Active Directory, але конкуренти не дають корпорації розслабитися – На цьому ринку ставки особливо високі, а місце лідера дозволяє поставляти клієнту цілу когорту спільно працюють продуктів «під ключ». Саме з цієї причини Microsoft знаходиться в постійній бойовій готовності до можливих контратакам і регулярно зміцнює свої бастіони. Удосконалення в чергових випусках стосуються самих різних сторін Exchange Server, але в 2007-й версії особливу увагу приділено двом традиційно слабким напрямками – безпеки та використання в якості платформи для створення сторонніх рішень.


Модульна архітектура як підхід до забезпечення безпеки


Нова версія Exchange Server є модульною і може бути встановлена ​​в декількох варіантах, що визначають режими роботи сервера і підтримувану ним функціональність. Для цього при розгортанні продукту достатньо лише вказати необхідні ролі, яких є всього п’ять (в редакції Enterprise):



Крім ролей, що реалізують базову функціональність, є ще дві, що забезпечують відмовостійку роботу кластерів Exchange Server: активна (Active Clustered Mailbox) і пасивна кластерна роль поштового ящика (Passive Clustered Mailbox) – перша призначена для обслуговування клієнтів, а друга – в режимі очікування і готовність перехопити естафету в разі виходу з ладу активного сервера.


Модульна архітектура – крок у вірному напрямку не тільки з метою поліпшення продуктивності, але і підвищення безпеки. У попередній версії було всього дві функціональні ролі (крім кластерних): front-end (передбачає установку сервера в DMZ і підтримуюча підключення зовнішніх клієнтів) і back-end (відповідає за зберігання даних і обслуговує підключення клієнтів по локальній мережі). Однак їх реалізація не була достатньо продумана – для забезпечення комунікацій між серверами front-end і back-end потрібно відкрити велику кількість портів, які в разі успішної атаки на front-end ставили під загрозу всю мережу. З цієї причини досвідчені адміністратори нерідко уникали використання подібної функціональності Exchange Server і воліли встановлювати в DMZ інші продукти, які виконують роль проміжного шлюзу для back-end-серверів Exchange Server. У версії 2007 роль граничного транспорту нарешті позбавлена ​​цих недоліків і не вимагає застосування в DMZ стороннього ПЗ.


Forefront Security: хочеш, щоб було добре – зроби сам








 
Forefront Security поставляється з дев’ятьма антивірусними движками, але вибрати при установці можна тільки п’ять

Інше важливе вдосконалення нової версії Exchange Server – поява повноцінного кошти для захисту сервера від вірусних атак Forefront Security for Exchange Server. Корпорація тривалий час не займала нішу антивірусних засобів, залишаючи її для сторонніх компаній, тому такий крок можна розцінювати як знакова подія.


Незважаючи на значні зусилля Microsoft, спрямовані на забезпечення сприятливих умов для сторонніх постачальників антивірусних рішень (з цією метою був розроблений спеціальний інтерфейс Antivirus Application Program Interface (AVAPI), згодом, після значних удосконалень, перейменований в Virus Scanning Application Programming Interface (VSAPI)), антивірусний захист Exchange Server до недавнього часу залишалася проблемним місцем – зокрема, ще й тому, що єдине рішення не могло дати повної гарантії, а різні продукти погано уживалися між собою. Адміністраторам в таких випадках доводилося йти на різні хитрощі, наприклад створювати цілі ланцюжки з серверів, на кожному з яких повідомлення оброблялися різним ПЗ.


Однак тепер ситуація змінилася на краще, притому Microsoft вирішила не покладатися на допомогу з боку, а самостійно взятися за комплексне вирішення даної проблеми для Exchange Server. Втім, як це часто трапляється в сучасному бізнесі високих технологій, Forefront Security не було розроблено з «чистого аркуша» в Microsoft, а грунтується на продукті Antigen for Exchange, створеному компанією Sybari (sybari.com), яка була придбана корпорацією на початку 2005 р.








 
Модульна архітектура Exchange Server 2007 сама по собі вирішує цілий ряд проблем, властивих минулим версіями

ПО Forefront Security примітно тим, що для своєї роботи здатне використовувати кілька антивірусних движків від різних виробників, що поставляються разом з дистрибутивом. З урахуванням нової модульної архітектури Exchange Server 2007 його можна також встановлювати на сервери, які виконують будь-які ролі. При цьому Forefront Security здійснює комплексну антивірусний захист і може бути використано як для сканування транзитних повідомлень, так і для періодичних фонових перевірок всього сховища. Оскільки тепер топологія Exchange-інфраструктури може бути досить складною, а кореспонденція – подорожувати між різними серверами, то в Forefront Security передбачена спеціальна позначка для вже перевірених повідомлень, завдяки якій виключається повторна перевірка і знижується навантаження.


Крім того, даний продукт передбачає різні сценарії використання і володіє гнучкими настройками, що дозволяють знайти баланс між рівнем захисту та завантаженням обчислювальних ресурсів. Рішення поставляється з дев’ятьма антивірусними движками – один з них (виробництва самої Microsoft, Microsoft Antimalware Engine) повинен бути встановлений в будь-якому випадку, а решта – на розсуд адміністратора системи. Примітно, що кількість одночасно працюючих антивірусних движків обмежено п’ятьма – як в режимі сканування в реальному часі, так і при призначенні завдань. І якщо в першому випадку таке магічне число нескладно якимось чином пояснити (наприклад, турботою про продуктивність), то в другому воно виглядає абсолютно штучним. Зате в обох випадках набори движків можуть бути абсолютно довільними, так що адміністраторам доведеться неабияк поекспериментувати для вибору оптимальної комбінації.


Природно, в Exchange Server 2007 турбота про безпеку торкнулася і багатьох інших компонентів. Так, OWA за замовчуванням працює тільки по захищеному протоколу SSL і не допускає незашифрованих підключень, а весь intranet-трафік також піддається шифруванню. Крім іншого, Exchange Server 2007 підтримує розширення SMTP-протоколу Transport Layer Security (TLS) і може відправляти повідомлення в зашифрованому вигляді, якщо приймає сервер також підтримує цю технологію.








 
Outlook Web Access став функціональніша і безпечніше

Були значно вдосконалені механізми боротьби зі спамом. Exchange Server 2007 підтримує широкий їх спектр – від фільтрації повідомлень на основі списків IP-адрес відправників та аналізу вмісту (Microsoft SmartScreen) до просуваються Microsoft в якості індустріальних стандартів технологій підтвердження надійності відправника SenderID і «штемпеля» Outlook (Outlook E-Mail Postmark).


Всі подібні ініціативи корпорації можна тільки схвалити – безумовно, вони є помітним кроком вперед і дають хороший привід будь-якого фахівця задуматися про міграцію на нову версію.


Для розробників


Microsoft довгий час позиціонує Exchange Server не тільки як центр корпоративних комунікацій, а й як платформу для створення комплексних рішень. Проте до недавнього часу особливих успіхів на цьому фронті не спостерігалося – як правило, у клієнтів, що використовують Exchange Server, далі побудови workflow-систем та інтеграції з іншими корпоративними продуктами справа не просувалася. Незважаючи на велику кількість технологій та інтерфейсів, призначених для організації взаємодії зі стороннім ПЗ (Collaborative Data Objects for Exchange (CDOEX), OLE DB provider for Exchange (EXOLEDB), Mail Application Programming Interface (MAPI), Outlook Object Model (OOM), WebDAV), Exchange Server так і залишався “річчю в собі», відлякуючи розробників своєю складністю і примхливістю.


Однак версія 2007 пропонує абсолютно нові підходи для побудови додатків на основі Exchange Server, покликані усунути попередні недоліки. На зміну безлічі розрізнених технологій та інтерфейсів прийшов уніфікований метод доступу до інформації в серверних сховищах, заснований на застосуванні Web-сервісів. По-перше, це означає відсутність необхідності встановлювати сторонній код на сервері, що, поза всяким сумнівом, гідно оцінять адміністратори, а по-друге, відкриває широкі можливості для створення повноцінних розподілених рішень, що дозволяють отримати доступ до необхідних даних з усіх програм, підключеного до Мережі. Наявні Web-сервіси охоплюють всі основні сторони функціонування Exchange Server 2007:



Підтримуються моделі pull і push. Відповідно до першої клієнтське додаток запитує у сервера список змін в певній папці, а з другої – сервер сам відправляє йому дану інформацію. Зазначимо, що крім Web-сервісів, для. NET-розробників доступні і Outlook Web Parts – елементи управління ASP.NET, за допомогою яких вони можуть у своїх рішеннях реалізувати функціональність, аналогічну OWA.


Орієнтація на використання Web-сервісів в новій версії Exchange Server – це не тільки серйозний крок з боку Microsoft в бік популяризації технологій Web-сервісів, а й чудова демонстрація готовності даних технологій поряд з платформою. NET Framework для застосування в самих відповідальних рішеннях. Адже, крім іншого, Web-сервіси не зобов’язують використовувати якусь певну програмно-апаратну платформу – тут розробники вільні у своєму виборі.








 
Немає гарантій, що кожен адміністратор Exchange Server 2007 буде керувати ним за допомогою текстової консолі Exchange Management Shell, але тим, кому це до вподоби, – UNIX-атмосфера гарантується

Суттєво змінено в Exchange Server 2007 і спосіб створення і виконання обробників повідомлень. У попередніх версіях, аж до Exchange Server 2003, будь-яка подібна процедура (workflow, фільтрація та ін) здійснювалася безпосередньо на сервері, що відповідає за їх доставку або зберігання, що мало вплив на його стабільність і продуктивність. Оскільки нова версія має модульну архітектуру, то тепер ці функції можна перекласти на виділені сервери, які виконують транспортні ролі (концентрують або граничні). При цьому змінився і сам механізм обробки: якщо раніше додатки повинні були реєструвати спеціальні приймачі подій (event sink), що створюються шляхом досить низькорівневого програмування і викликаються сервером при виникненні певних подій, то в Exchange Server 2007 введено поняття агентів (agent), які схожі з приймачами по виконуваних завдань, проте набагато простіше в розробці, розповсюдженні та підтримці, оскільки виконуються під управлінням середовища. NET Framework 2.0. Такі агенти мають повний доступ до всього повідомленням і його окремих структурних складових (заголовкам, вкладеннях і пр.) за допомогою простору імен Microsoft.Exchange.Data.Transport.


Варто звернути увагу ще на одну зміну в новій версії, що має велике значення для адміністраторів, але, тим не менш, що зачіпає й інтереси розробників: Exchange Server 2007 – це перший продукт від Microsoft, графічна консоль управління якого представляє собою надбудову над PowerShell, що характерно для світу UNIX, але вельми незвично для Windows. Подібна архітектура має на увазі, що всі можливості, доступні через графічний інтерфейс, можуть бути реалізовані і в консольному режимі або з застосуванням мов програмування платформи. NET Framework. Насправді ж графічна консоль як раз значно спрощена у порівнянні з попередніми версіями, а оскільки в цілому продукт став складніше, то це означає, що деякі команди в ній просто недоступні і скористатися ними можна тільки за допомогою Exchange Management Shell.


Вельми примітним видається той факт, що Exchange Management Shell всіляко намагається наслідувати світу UNIX: тут і колірне кодування виведеного тексту, і імітація текстовими символами індикаторів виконання ходу завдання, і навіть традиційна для UNIX «підказка дня» (Tip of the day).


Висновок








 
GUI-консоль управління стала більш простою в порівнянні з попередніми версіями

Перш ніж перейти до остаточних висновків, слід, мабуть, згадати також і про низку функцій, які були анонсовані, але так і не добралися до релізу Exchange Server 2007. Зокрема, в якості підсистеми зберігання даних Microsoft планувала застосовувати SQL Server, але так і не зважилася на такий відповідальний крок – у новій версії, як і у всіх попередніх, іспользуетcя движок Extensible Storage Engine (ESE), є, по суті, не чим іншим, як допрацьованим Microsoft Jet, також застосовуються в серверних службах Windows: DHCP, WINS, Active Directory. Звичайно, він піддався подальшому вдосконаленню, але в Загалом таке рішення слід віднести до мінусів Exchange Server 2007 – підсистема зберігання цього продукту завжди відрізнялася зайвою примхливістю, і багатьом адміністраторам знайомі ситуації з її збоями. Крім того, це суттєво обмежує можливості клієнтів, які планували використовувати Exchange Server саме як платформу для розробки корпоративних додатків. До речі, «погорівши» на даному анонсі, представники Microsoft набагато більш скромно оцінюють перспективи переходу на SQL Server в майбутньому.


Ще одне обмеження пов’язане з тим, що Exchange Server 2007 доступний тільки для 64-бітових платформ – 32-бітова версія існує, але призначена виключно для ознайомлювальних цілей і не може бути використана в якості виробничого сервера. Певний резон у цьому, безумовно, є (ще в кінці 2005 р. велика частина серверного обладнання була 64-бітової), та й попереджали про це заздалегідь, проте далеко не всі розробники поспішають переходити на підвищену розрядність, і саме для них це може створити деякі труднощі.


В цілому ж можна говорити про значний прогрес Microsoft на ринку серверних продуктів – кожна нова версія несе в собі велике число удосконалень, дійсно потребують користувачі. Тому сумніватися в успіху Exchange Server 2007 немає ніяких причин, набагато цікавіше відзначити ряд тенденцій в стратегії софтверного гіганта.


Так, хто б міг подумати, що через більш ніж десятиліття після випуску Microsoft першим серверним продуктів, в яких управління за допомогою GUI було чи не релігійної догмою, стільки зусиль розробників буде направлено на підтримку консольних інструментів (PowerShell і Exchange Management Shell)? Це лише один із прикладів того, що нинішня Microsoft вже не намагається жорстко протиставляти свої підходи практикуються в світі UNIX, а готова застосовувати будь-які затребувані ідеї та технології незалежно від їх походження.


Не можна також не звернути уваги на досить «делікатний» вихід корпорації на ринок антивірусних засобів – адже Forefront Security не конкурує зі сторонніми рішеннями, а лише служить для них своєрідною інтегруючої оболонкою, тим самим намагаючись навіть в деякому сенсі консолідувати зусилля розробників.


Подібні тенденції говорять тільки про одне: Microsoft – зрілий і дуже сильний гравець ринку серверних продуктів, що має чітку стратегію розвитку і готовий відмовитися від багатьох не виправдали себе принципів з тим, щоб не дати конкурентам ні найменшої можливості навіть претендувати на лідерство …

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*