從Exchange 2010的伺服器角色來看,這個環境缺少邊緣傳輸伺服器,在Exchange 2010的架構中,邊緣傳輸伺服器需要安裝嗎?邊緣傳輸伺服器負責外部電子郵件傳遞的工作,在收發Internet電子郵件的過程中,負責過濾垃圾郵件,管理郵件的傳輸規則的工作。它與集線傳輸伺服器的功能相似度為99%,最大的不同之處僅在架構上:邊緣傳輸伺服器是獨立伺服器,不加入AD網域,而集線傳輸伺服器是AD網域的成員。
既然集線傳輸伺服器的功能及用途與邊緣傳輸伺服器相同,那麼邊緣傳輸伺服器存在的目的是什麼?
「邊緣傳輸伺服器不是網域成員」,這句話是重點,凡是網域成員伺服器,只要掌握網域具權限的使用者帳戶及密碼,皆可暢通無阻的存取網域內任何伺服器或工作站的資料,放在DMZ區、為獨立伺服器的邊緣傳輸伺服器,雖然也可藉具權限的使用者帳戶存取網域的資源,不過邊緣傳輸伺服器只使用ADLDS,透過TCP 50389 (也可使用Secure LDAP/TCP 50636)單向從網域控制站取得收件者的資料,及使用SMTP (TCP 25)與集線傳輸伺服器連接,收發Internet的郵件,因此邊緣傳輸伺服器無法透過網路連到內部網路。
註:若邊緣傳輸伺服器指向的DNS伺服器在內部網路,也需要開啟DNS的通訊埠。
在上述的環境下,邊緣傳輸伺服器的運作完全是一個具垃圾郵件過濾及病毒掃描功能的SMTP Gateway,若邊緣傳輸伺服器被入侵或破壞,不會影響內部Exchange系統及AD資料庫的資料,所以若企業的環境中已有功能強大的垃圾郵件/病毒過濾設備,可以評估不安裝邊緣傳輸伺服器。
沒有留言:
張貼留言