Поддерживаемые среды Active Directory
В следующей таблице указаны среды Active Directory, с которыми может взаимодействовать Exchange. Сервер Active Directory обращается как к доступным для записи серверам глобального каталога, так и к доступным для записи контроллерам доменов. Серверы глобального каталога только для чтения и контроллеры домена только для чтения не поддерживаются.
Среда операционной системы | Exchange 2019 с накопительным пакетом обновления 12 (CU12) и более поздних версий | Exchange 2019 с накопительным пакетом обновления 11 (CU11) и более ранних версий | Exchange 2016 CU23 | Exchange 2016 с накопительным пакетом обновления 12 (CU12) на CU22 | Exchange 2016 с накопительным пакетом обновления 7 (CU7) на CU11 | Exchange 2016 с накопительным пакетом обновления 3 (CU3) на CU6 | Exchange 2016 с накопительным пакетом обновления 2 (CU2) и более ранних версий | Exchange 2013 с накопительным пакетом обновления 23 (CU23) | Exchange 2013 с пакетом обновления 1 (SP1) на CU22 | Exchange 2010 с пакетом обновления 3 (SP3) RU22 или более поздней версии | Exchange 2010 с пакетом обновления 3 (SP3) RU5 — RU21 |
---|---|---|---|---|---|---|---|---|---|---|---|
Серверы Active Directory Windows Server 2022 | Поддерживается | Не поддерживается | Поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Поддерживается | Не поддерживается | Не поддерживается | Не поддерживается |
Серверы Active Directory Windows Server 2019 | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Поддерживается | Не поддерживается | Не поддерживается | Не поддерживается |
Серверы Active Directory с Windows Server 2016 | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Не поддерживается |
Серверы Windows Server 2012 R2 Active Directory | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается |
Серверы Active Directory на базе Windows Server 2012 | Не поддерживается | Не поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается |
Серверы Active Directory на основе Windows Server 2008 R2 с пакетом обновления 1 (SP1) | Не поддерживается | Не поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается |
Серверы Active Directory на базе Windows Server 2008 с пакетом обновления 2 (SP2) | Не поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается |
Серверы Active Directory на базе Windows Server 2003 с пакетом обновления 2 (SP2) | Не поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается |
Функциональный уровень леса AD | Exchange 2019 | Exchange 2016 с накопительным пакетом обновления 7 (CU7) и более поздних версий | Exchange 2016 с накопительным пакетом обновления 3 (CU3) на CU6 | Exchange 2016 с накопительным пакетом обновления 2 (CU2) и более ранних версий | Exchange 2013 с пакетом обновления 1 (SP1) и более поздних версий | Exchange 2010 с пакетом обновления 3 (SP3) RU22 или более поздней версии | Exchange 2010 с пакетом обновления 3 (SP3) RU5 — RU21 |
---|---|---|---|---|---|---|---|
Windows Server 2016 | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Не поддерживается |
Windows Server 2012 R2 | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается |
Windows Server 2012 | Не поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается |
Windows Server 2008 R2 | Не поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается |
Windows Server 2008 | Не поддерживается | Не поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается |
Windows Server 2003 | Не поддерживается | Не поддерживается | Не поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается |
Единая система обмена сообщениями и голосовая почта Exchange 2010
Возможность | Замечания и изменения |
---|---|
Поиск в каталоге с использованием автоматического распознавания речи (ASR) | В Exchange 2010 пользователи голосового доступа к Outlook могли вводить речь с использованием автоматического распознавания речи (ASR), чтобы искать содержащихся в каталоге пользователей. Голосовой ввод также можно было использовать для навигации в меню, между сообщениями и другими параметрами. Тем не менее, даже если пользователь голосового доступа к Outlook может использовать голосовой ввод, для ввода ПИН-кода и личных параметров он все равно должен использовать клавиатуру. В Exchange 2013 пользователи голосового доступа к Outlook (независимо от того, прошли они проверку подлинности или нет) не могут искать пользователей в каталоге с помощью голосового ввода или ASR на любом языке. Тем не менее, телефонные абоненты, звонок которых поступает автосекретарю, могут использовать голосовой ввод на нескольких языках для перемещения по меню автосекретаря и для поиска пользователей в каталоге. |
Установка средств управления Exchange 2013 с помощью программы установки
-
Выполните вход на компьютер, на который необходимо установить Exchange 2013.
-
Перейдите в сетевое расположение файлов установки Exchange 2013.
-
Запустите установку службы Exchange 2013, дважды щелкнув файл
-
На странице Проверить наличие обновлений укажите, нужно ли мастеру установки подключиться к Интернету и загрузить обновления продукта и безопасности для Exchange 2013. Если выбрать пункт Подключиться к Интернету и проверить наличие обновлений, мастер установки загрузит и применит обновления перед тем, как продолжить. При выборе варианта Не проверять обновления сейчас вы можете позже загрузить и установить обновления вручную. Рекомендуется загружать и устанавливать обновления сразу. Для продолжения нажмите кнопку Далее.
-
Со страницы Введение начинается процесс установки Exchange в организации. На ней будут содержаться инструкции по установке. В списке ниже приведено несколько ссылок на полезные материалы относительно развертывания. Рекомендуется ознакомиться с содержимым этих ссылок перед тем, как продолжить установку. Для продолжения нажмите кнопку Далее.
-
На странице Лицензионное соглашение ознакомьтесь с условиями лицензионного соглашения на программное обеспечение. В случае согласия с условиями лицензии установите флажок Я принимаю условия лицензионного соглашения и нажмите кнопку Далее.
-
На странице Рекомендуемые параметры укажите, нужно ли использовать рекомендуемые параметры. В случае выбора варианта Использовать рекомендуемые параметры, служба Exchange будет автоматически отсылать отчеты об ошибках и сведения о аппаратном обеспечении компьютера и использовании службы Exchange в корпорацию Microsoft. В случае выбора варианта Не использовать рекомендуемые параметры, эти параметры будут отключены, но их можно будет включить когда угодно после завершения установки. Чтобы получить дополнительные сведения об этих параметрах и способах использования сведений, отправляемых в корпорацию Microsoft, нажмите кнопку ?.
-
На странице Выбор роли сервера выберите пункт Средства управления.
Чтобы мастер установки установил необходимые компоненты Windows, выберите вариант Автоматически установить роли сервера Windows и функции, необходимые для установки сервера Exchange. Для завершения установки ряда компонентов Windows может потребоваться перезагрузить компьютер. Если не использовать этот вариант, следует вручную установить компоненты Windows.
Для продолжения нажмите кнопку Далее.
-
На странице Расположение и место установки утвердите расположение установки по умолчанию или нажмите кнопку Обзор, чтобы выбрать новое расположение. Убедитесь, что в расположении для установки службы Exchange достаточно доступного дискового пространства. Для продолжения нажмите кнопку Далее.
-
Если выполняется установка первого сервера Exchange 2013 в организации, на странице Организация Exchange введите имя организации Exchange. Имя организации Exchange может содержать только следующие символы:
-
буквы от A до Z
-
буквы от a до z
-
цифры от 0 до 9
-
пробелы (не в начале и не в конце имени)
-
дефисы
Если необходимо использовать модель разделения разрешений Active Directory, выберите пункт Применить модель безопасности разделения разрешений Active Directory для организации Exchange.
Для продолжения нажмите кнопку Далее.
-
-
На странице Проверка соответствия при установке просмотрите состояние, чтобы определить, успешно ли выполнены проверки на соответствие предварительным условиям для организации и роли сервера. Если они не выполнены успешно, необходимо устранить все обнаруженные ошибки, прежде чем можно будет установить Exchange 2013. Во время устранения ошибок проверки готовности не требуется завершать работу программы установки. После исправления обнаруженной ошибки нажмите кнопку назад и кнопку Далее, чтобы запустить проверку необходимых компонентов снова. Также просмотрите все отображенные предупреждения. Если все проверки готовности успешно завершены, нажмите кнопку дальше для начала установки Exchange 2013.
-
На странице Завершение нажмите кнопку Готово.
-
Перезагрузите компьютер после завершения Exchange 2013.
Шаг 6. Настройка SSL-сертификата
Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи «Управление сертификатами» в разделе Разрешения потока обработки почты .
Для некоторых служб, таких как Мобильный Outlook и Exchange ActiveSync, требуется настройка сертификатов на сервере Exchange 2013. Следующие шаги описывают, как настроить SSL-сертификат от стороннего центра сертификации (ЦС):
-
Откройте центр администрирования Exchange, перейдя к URL-адресу вашего сервера клиентского доступа. Например, .
-
Введите имя пользователя и пароль в полях Домен\имя пользователя и Пароль , а затем нажмите кнопку Войти.
-
Перейдите в раздел Сертификаты серверов>. На странице Сертификаты убедитесь, что сервер клиентского доступа выбран в поле Выбор сервера, а затем щелкните Создать.
-
В мастере создания сертификата Exchange выберите параметр Создать запрос на сертификат из центра сертификации и нажмите Далее.
-
Укажите имя для этого сертификата, а затем щелкните Далее.
-
Чтобы запросить сертификат с подстановочным знаком, выберите Запросить сертификат с подстановочным знаком, а затем укажите корневой домен всех поддоменов в поле Корневой домен. Если не требуется запрашивать сертификат с подстановочным знаком, а вместо этого необходимо указать каждый домен, который нужно добавить к сертификату, оставьте эту страницу незаполненной. Нажмите кнопку Далее.
-
Щелкните Обзор и укажите сервер Exchange Server для хранения сертификата. Это должен быть сервер клиентского доступа с выходом в Интернет. Нажмите кнопку «Далее».
-
Для каждой службы в списке проверьте правильность внешних или внутренних имен сервера, которые будут использоваться пользователями для подключения к серверу Exchange. Например:
-
If you configured your internal and external URLs to be the same, Outlook Web App (when accessed from the Internet) and Outlook Web App (when accessed from the Intranet) should show owa.contoso.com. OAB (when accessed from the Internet) and OAB (when accessed from the Intranet) should show mail.contoso.com.
-
Если заданы внутренние URL-адреса формата internal.contoso.com, в Outlook Web App (при доступе через Интернет) будет показан адрес owa.contoso.com, а в Outlook Web App (при доступе через интрасеть) адрес internal.contoso.com.
Эти домены будут использоваться при создании запроса SSL-сертификата. Нажмите кнопку «Далее».
-
-
Добавьте все дополнительные домены, которые необходимо включить в SSL-сертификат.
-
Выберите домен, который будет общим именем для сертификата, а затем щелкните Установить как общее имя. Например, contoso.com. Нажмите кнопку Далее.
-
Предоставьте информацию о вашей организации. Эта информация будет включена в SSL-сертификат. Нажмите кнопку Далее.
-
Укажите сетевое расположение, где будет сохранен этот запрос сертификата. Нажмите кнопку Готово.
После сохранения запроса сертификата отправьте запрос в центр сертификации. Это может быть внутренний центр сертификации или сторонний центр сертификации в зависимости от политики организации. Клиенты, подключающиеся к серверу клиентского доступа, должны доверять центру, который вы используете. После получения сертификата из центра сертификации выполните следующие действия:
-
На страницеСертификатысервера> в EAC выберите запрос на сертификат, созданный на предыдущих шагах.
-
В области сведений о запросе сертификата щелкните Завершено в разделе Состояние.
-
На странице выполнения ожидающего запроса укажите путь к файлу SSL-сертификата и нажмите ОК.
-
Выберите новый сертификат, который вы только что добавили, и нажмите кнопку Изменить.
-
На странице сертификата щелкните Службы.
-
Выберите службы, которые необходимо назначить данному сертификату. Как минимум необходимо выбрать SMTP и IIS. Нажмите кнопку Сохранить.
-
При появлении предупреждения Перезаписать существующий SMTP-сертификат по умолчанию? нажмите кнопку Да.
Как узнать, что вы успешно добавили новые сертификаты?
Чтобы убедиться, что вы успешно добавили новый сертификат, выполните следующие действия.
-
В EAC перейдите в раздел Сертификаты серверов>.
-
Выберите новый сертификат и затем в области сведений убедитесь, что выполнены следующие условия:
-
значение параметра Состояние равно Действительный;
-
в поле Назначен службам указаны как минимум IIS и SMTP.
-
Копирование группы ролей
Использование Центра администрирования Exchange для копирования группы ролей
Если при предоставлении разрешений группы ролей другим пользователям необходимо применить другую область управления, удалить либо добавить одну или несколько ролей управления без необходимости добавлять все роли вручную, можно скопировать существующую группу ролей.
Важно!
Вы не можете использовать EAC для копирования группы ролей, если вы использовали командную консоль Exchange для настройки нескольких областей ролей управления или монопольных областей в группе ролей. Если вы настроили несколько областей или монопольных областей в группе ролей, необходимо скопировать группу ролей с помощью процедур командной консоли Exchange далее в этом разделе. Дополнительные сведения об областях ролей управления см. в разделе Understanding Management Role Scopes.
-
В EAC перейдите в раздел Разрешения>Администратор Роли.
-
Выберите группу ролей, которую нужно скопировать, и нажмите кнопку
-
В окне Новая группа ролей укажите имя новой группы.
-
Просмотрите роли, которые были скопированы в новую группу ролей. Добавьте или удалите роли при необходимости.
-
Просмотрите область записи и при необходимости измените ее.
-
Просмотрите членов, которые были скопированы в новую группу ролей. Добавьте или удалите членов при необходимости.
-
Нажмите кнопку Сохранить, чтобы создать группу.
Копирование группы ролей без области применения с помощью командной консоли Exchange
-
Сохраните группу ролей, которую необходимо копировать, в переменной с помощью следующей синтаксической конструкции:
-
Создайте новую группу ролей, добавьте в нее членов и укажите пользователей, которые могут делегировать новую группу ролей другим пользователям, с помощью следующего синтаксиса.
Например, следующие команды копируют группу ролей «Organization Management» и присваивают новой группе ролей имя «Limited Organization Management». В группу добавляются члены Isabelle, Carter и Lukas и назначаются пользователи, которые могут делегировать группу ролей: Jenny и Katie.
После создания группы ролей в нее можно добавлять роли или удалять роли из нее, изменять область назначений ролей и т. д.
Дополнительные сведения о синтаксисе и параметрах см. в разделах Get-RoleGroup и New-RoleGroup.
-
Сохраните группу ролей, которую необходимо копировать, в переменной с помощью следующей синтаксической конструкции:
-
Создайте новую группу ролей с настраиваемой областью с помощью следующей синтаксической конструкции:
Например, следующие команды копируют группу ролей «Organization Management» и создают новую группу ролей с именем «Vancouver Organization Management» с областью получателей «Vancouver Users» и областью конфигурации «Vancouver Servers».
Вы также можете добавить участников в группу ролей при ее создании с помощью параметра Members , как показано в разделе , описанной выше в этом разделе. Дополнительные сведения об областях управления см. в разделе Understanding Management Scopes.
После создания группы ролей в нее можно добавлять роли или удалять роли из нее, изменять область назначений ролей и выполнять другие задачи.
Дополнительные сведения о синтаксисе и параметрах см. в разделах Get-RoleGroup и New-RoleGroup.
Копирование группы ролей с областью подразделения с помощью командной консоли Exchange
-
Сохраните группу ролей, которую необходимо копировать, в переменной с помощью следующей синтаксической конструкции:
-
Создайте новую группу ролей с настраиваемой областью с помощью следующей синтаксической конструкции:
Например, следующие команды копируют группу ролей «Recipient Management» и создают новую группу ролей с именем «Toronto Recipient Management», которая позволяет управлять только пользователями в подразделении «Toronto Users».
Вы также можете добавить участников в группу ролей при ее создании с помощью параметра Members , как показано в разделе , описанной выше в этом разделе. Дополнительные сведения об областях управления см. в разделе Understanding Management Scopes.
После создания группы ролей в нее можно добавлять роли или удалять роли из нее, изменять область назначений ролей и т. д.
Дополнительные сведения о синтаксисе и параметрах см. в разделах Get-RoleGroup и New-RoleGroup.
Как проверить, все ли получилось?
Чтобы убедиться в успешном копировании группы ролей, выполните следующие действия.
-
В EAC перейдите в раздел Разрешения>Администратор Роли.
-
Убедитесь, что скопированная группа ролей отображается в списке групп ролей, и выберите ее.
-
Убедитесь, что члены, назначенные роли и область, которые вы указали для скопированной группы ролей, перечислены в области сведений группы ролей.
Как работают подсказки
Подсказки реализованы в виде веб-службы в Exchange 2013. Когда отправитель составляет сообщение, клиентское программное обеспечение вызывает веб-службу Exchange на сервере клиентского доступа, чтобы получить список подсказок. Сервер возвращает список подсказок, которые применяются к этому сообщению, а в клиентской программе отображаются подсказки для отправителя.
Следующие неэффективные сценарии обмена сообщениями часто встречаются в любой среде обмена сообщениями:
- Отчеты о недоставке, связанные с сообщениями, которые нарушают настроенные в организации ограничения, например на размер сообщения или максимальное количество получателей одного сообщения.
- Отчеты о недоставке, связанные с сообщениями, которые были отправлены несуществующим получателям, получателям с наложенными на них ограничениями или пользователям с переполненными почтовыми ящиками.
- Отправка сообщений пользователям с настроенными автоматическими ответами.
Во всех этих сценариях пользователь отправляет сообщение, ожидает его доставки, но вместо этого получает ответное сообщение о недоставке. Даже в наилучшем варианте, в случае автоматического ответа, эти события приводят к снижению продуктивности. В случае отчета о недоставке этот сценарий требует совершения дорогостоящего звонка в службу поддержки.
Существует также несколько сценариев, в которых отправка сообщения не приводит к ошибке, но может вызывать нежелательные и даже затруднительные последствия:
- Отправка сообщений в очень большие группы рассылки.
- Отправка сообщений в неподходящие группы рассылки.
- Случайная отправка сообщений получателям за пределами организации.
- Выбор варианта действия Ответить всем на сообщение, которое было получено как скрытая копия.
Все эти проблематичные сценарии можно нейтрализовать, если информировать пользователей о возможных результатах отправки сообщений во время их составления. Например, если отправителю известно, что размер сообщения для отправки превышает заданный в корпоративной политике объем, то он не будет пытаться его отправить. Аналогично, если отправитель получает уведомление о том, что отправляемое им сообщение будет доставлено пользователям за пределами организации, то становится более вероятным, что он выберет более подходящий стиль и сделает содержание сообщения более корректным.
Следующие клиенты обмена сообщениями поддерживают подсказки:
- Outlook Web App
- Microsoft Outlook 2010 или более поздняя версия
Exchange 2010 Outlook Web App и Outlook
Возможность | Замечания и изменения |
---|---|
Проверка орфографии | В Outlook Web App больше нет встроенной службы проверки правописания. Вместо нее используются средства проверки правописания браузеров. |
Настраиваемые фильтры | В Outlook Web App больше нет настраиваемых отфильтрованных представлений и не поддерживается сохранение отфильтрованных представлений в Избранном. Настраиваемые фильтры были заменены постоянными фильтрами, которые можно использовать для просмотра таких сообщений: всех, непрочитанных, отправленных пользователю или помеченных. |
Отметки сообщений | Задать настраиваемую дату в отметке сообщения в Outlook Web App невозможно. Указать настраиваемые даты можно в классической версии Outlook. |
Список контактов чата | Список контактов чата, который раньше отображался в списке папок в Outlook Web App для Exchange 2010, теперь недоступен. |
Папки поиска | В настоящее время применение папок поиска в Outlook Web App недоступно. |
Что нужно знать перед началом работы
Следующие сведения относятся ко всем ролям сервера Exchange 2013.
-
Перед установкой Exchange 2013 обязательно ознакомьтесь с заметками о выпуске. Дополнительные сведения см. в статье Заметки о выпуске для Exchange 2013.
-
Компьютер, на который устанавливается Exchange 2013, должен иметь поддерживаемую операционную систему (например, Windows Server 2008 R2 с пакетом обновления 1 (SP1), Windows Server 2012 R2 или Windows Server 2012), иметь достаточно места на диске и соответствовать другим требованиям. Сведения о требованиях к системе см. в статье Требования к системе Для Exchange 2013.
-
Чтобы запустить программу установки Exchange 2013, необходимо установить Microsoft платформа .NET Framework 4.5, Windows Management Framework и другое необходимое программное обеспечение. Сведения о предварительных требованиях для всех ролей сервера см. в статье Предварительные требования для Exchange 2013.
-
Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.
Предупреждение
После установки Exchange на сервере будет невозможно изменить его имя. Переименование сервера после установки роли сервера Exchange не поддерживается.
Следующие сведения относятся к ролям сервера почтового ящика Exchange 2013 и сервера клиентского доступа.
-
Предполагаемое время для завершения: 60 минут.
-
Для каждой организации требуется как минимум один сервер клиентского доступа и один сервер почтовых ящиков в лесу Active Directory. Кроме того, каждый из узлов Active Directory, который содержит сервер почтовых ящиков, должен также содержать как минимум один сервер клиентского доступа. При разделении серверных ролей рекомендуем сначала установить роль сервера почтовых ящиков.
-
Компьютер, на который устанавливается Exchange 2013, должен быть членом домена Active Directory.
-
Если схема Active Directory не была предварительно подготовлена, убедитесь, что для используемой учетной записи делегировано членство в группе администраторов схемы. Если вы устанавливаете первый сервер Exchange 2013 в организации, используемая учетная запись должна быть членом группы администраторов предприятия. Если вы уже подготовили схему и не устанавливаете первый сервер Exchange 2013 в организации, используемая учетная запись должна быть членом группы ролей Управления организацией Exchange 2013.
Администраторы, являющиеся членами группы ролей Делегированная установка, могут развертывать серверы Exchange 2013, которые ранее были подготовлены членом группы ролей «Управление организацией».
Следующие сведения относятся к роли пограничного транспортного сервера Exchange 2013.
-
Предполагаемое время для завершения: 40 минут.
-
Роль пограничного транспорта доступна в Exchange 2013 с пакетом обновления 1 (SP1) или более поздней версии.
-
Необходимо настроить основной суффикс DNS на компьютере. Например, если полное доменное имя компьютера — edge.contoso.com, то суффиксом DNS компьютера будет contoso.com. Дополнительные сведения см. в разделе Отсутствует основной DNS-суффикс.
-
Перед созданием подписки EdgeSync между ними и пограничным транспортным сервером Exchange 2013 требуется обновление транспортных серверов-концентраторов Exchange 2007 и Exchange 2010. Если не установить это обновление, подписка EdgeSync будет работать неправильно. Дополнительные сведения см. в разделе «Поддерживаемые сценарии сосуществования» статьи Требования к системе Exchange 2013.
-
Убедитесь, что используемая учетная запись входит в локальную группу администраторов на компьютере, на котором устанавливается роль пограничного транспортного сервера.
Как мы раньше определяли версию Microsoft Exchange
Во многих тестах на проникновение на периметре организации торчит Microsoft Exchange (иногда это единственный доступный снаружи ресурс). Посмотрев на исходный код страницы /owa/auth/logon.aspx, легко найти версию. Увы, прошли славные времена Exchange 2010 и по этой версии уже ничего не понять.
Мы часто видим версию 15.00.1497, но что с ней делать, какие эксплойты применять — вообще загадка. Можно посмотреть описание выхода версии или на официальном сайте (менее удобно)
По этим данным мы можем понять, что данная версия от июня 2019 до мая 2021. Что применять для взлома не понятно (или надо ли что-то применять вообще). Ситуация сильно усложняется, если есть любое защитное средство (начиная от антивируса, который удалит наш шелл, заканчивая NGFW, который не пропустит наш запрос).
Короче, знать версию очень полезно в нашем непростом деле!
Политика обмена сообщениями Exchange 2010 и соответствие требованиям
Возможность | Замечания и изменения |
---|---|
Управляемые папки | В Exchange 2010 вы можете использовать управляемые папки для управления сохранением сообщений (MRM). Exchange 2013 не поддерживает управляемые папки. Необходимо использовать политики хранения для управления записями сообщений. Примечание: командлеты, связанные с управляемыми папками, по-прежнему доступны. Вы можете создать управляемые папки, параметры управляемого содержимого и политики управляемых папок в почтовых ящиках, а также применить политику управляемых папок в почтовых ящиках к пользователю, но помощник по управлению записями сообщений пропускает обработку почтовых ящиков, для которых применена политика управляемых папок в почтовых ящиках. |
Мастер переноса управляемых папок | В Exchange 2010 мастер переноса управляемых папок используется для создания тегов хранения на основе параметров управляемых папок и управляемого содержимого. В Exchange 2013 Центр администрирования Exchange не включает эту функциональность. Командлет New-RetentionPolicyTag с параметром ManagedFolderToUpgrade можно использовать для создания тега хранения на основе управляемой папки. |
Использование оболочки для повторной отправки сообщений в очереди подозрительных сообщений
Чтобы повторно отправить сообщение, находящееся в очереди подозрительных сообщений, выполните указанные ниже действия.
-
Найдите удостоверение сообщения, выполнив следующую команду.
-
Используйте идентификатор сообщения, найденный на предыдущем шаге, в следующей команде.
В этом примере возобновляется сообщение из очереди опасных сообщений со значением идентификатора 222.
Как проверить, все ли получилось?
Чтобы убедиться, что сообщение успешно отправлено из очереди подозрительных сообщений, выполните следующие действия.
Используйте средство просмотра очередей или командлет Get-Queue , чтобы просмотреть очередь подозрительных сообщений, в которой вы попытались повторно отправить сообщение.
Убедитесь, что сообщение больше не находится в очереди подозрительных сообщений
Обратите внимание, что пустая очередь подозрительных сообщений не отображается в средстве просмотра очередей или командлете Get-Queue. Таким образом, если повторно отправленное сообщение было единственным сообщением в очереди подозрительных сообщений, а очередь подозрительных сообщений больше не отображается, это также указывает на успешное повторение сообщения.
Сокрытие внутреннего FQDN и IP адресов сервера в заголовках сообщений
По умолчанию сервер Exchange включает всю информацию о себе любимом в заголовок отправляемого сообщения: внутреннее доменное имя, локальный IP адрес, внешний IP адрес, внешнее имя. С точки зрения безопасности это не совсем правильно – зачем “светить” лишнее? Поэтому рекомендуется внутреннюю информацию убрать.
Для этого необходимо в Exchange Management Console выполнить:
1 | Get-SendConnector»Internet Email»|Remove-ADPermission-AccessRightExtendedRight-ExtendedRightsms-Exch-Send-Headers-Routing-user»NT AUTHORITY\Anonymous Logon» |
Где “Internet Mail” – имя вашего соединителя отправки.
Если в организации используется локализованная (русская) AD DS, то скрипт будет таким:
1 | Get-SendConnector»Internet Email»|Remove-ADPermission-AccessRightExtendedRight-ExtendedRightsms-Exch-Send-Headers-Routing-user»NT AUTHORITY\АНОНИМНЫЙ ВХОД» |
Подготовка схемы Active Directory
Если в вашей инфраструктуре еще не был развернут Microrosft Exchange, то необходимо подготовить схему Active Directory для его установки. В процессе подготовки будут добавлены классы объектов и расширены свойства текущих классов для того, чтобы они могли содержать необходимые дополнительные сведения в части хранения почтовых атрибутов.
Вообще, можно не выносить процедуру обновления схемы в отдельный предварительный шаг, т.к. мастер установки Exchange может это сделать за нас автоматически. Однако, для подготовки схемы Active Directory нужны дополнительные разрешения (об этом чуть ниже). Также мы можем в более интерактивном режиме наблюдать за процессом расширения схемы Active Directory. Еще один аргумент в копилку отдельного шага – это отслеживание статуса репликации изменений на все контроллеры домена. Например, у вас три контроллера домена. Мы выполняем процедуру расширения схемы, ждем пока изменения отреплицируются на оставшиеся контроллеры (если у вас их несколько) и только потом переходим к непосредственной установки сервера Microsoft Exchange.
Учетная записи, от имени которой будет выполняться расширение схемы Active Directory должна быть включена в следующие группы безопасности домена:
- Schema Admins.
- Enterprise Admins.
- Domain Admins.
Шаг 1. Расширение схемы Active Directory
Самый первый шаг – это расширение схемы.
Переходим с директорию с дистрибутивом Exchange 2019 и выполняем команду (для Exchnage 2019 ниже CU11):
Командлет для Exchange 2019 CU11 или выше.
Запуститься процесс расширения схемы Active Directory:
Дожидаемся окончания процесса расширения схемы. Об успешном процессе расширения схемы будет свидетельствовать соответствующее заключение мастера:
Теперь необходимо запустить процесс репликации изменений в Active Directory:
Прежде чем переходить к следующему шагу необходимо дождаться окончания процесса репликации изменений в Active Directory на все контроллеры домена.
Шаг 2. Подготовка Active Directory
Теперь необходимо, чтобы мастер подготовки Active Directory создал необходимые объекты.
Выполните следующую команду в директории с дистрибутивом Exchange (для Exchnage 2019 ниже CU11):
Командлет для Exchange 2019 CU11 или выше.
В параметре OrganizationName укажите имя организации Exchange. Имя может быть произвольным.
Дожидаемся окончания процесса подготовки Active Directory.
Теперь если посмотреть в нашу Active Directory, то мы увидим, что мастер создал необходимые группы безопасности:
Далее необходимо запустить процесс репликации изменений в Active Directory:
Прежде чем переходить к следующему шагу необходимо дождаться окончания процесса репликации изменений в Active Directory на все контроллеры домена.
Шаг 3. Подготовка все остальных доменов Active Directory
Если у вас всего один домен, то этот шаг можно пропустить, т.к. параметр PrepareAD в предыдущем шаге уже выполнил всю необходимую подготовку.
Если же у вас несколько доменов, то вы можете:
- Подготовить сразу все оставшиеся домены.
- Подготовить домены каждый в отдельности.
Для того, чтобы подготовить сразу все домены выполните следующую команду в директории с дистрибутивом Exchange (для Exchnage 2019 ниже CU11):
Командлет для Exchange 2019 CU11 или выше.
Чтобы подготовить определенный домен выполните следующую команду в директории с дистрибутивом Exchange (для Exchnage 2019 ниже CU11):
Командлет для Exchange 2019 CU11 или выше.
Только в параметре PrepareDomain укажите FQDN имя вашего домена.
Проверка версии схемы
Для того, чтобы проверить текущую версию конфигурации схемы для Microsoft Exchange мы можем использовать, например, оснастку ADSI Edit.
Подключимся к контексту конфигурации и в контекстном меню нашей установки выберем пункт “Properties“. В списке атрибутов найдите атрибут objectVerison:
objectVerison 16757 – это Exchange Server 2019 CU9. Именно его мы и устанавливали. Полный перечень .