SE の雑記

ISA 2006 の設定が終了したので、開始ウィザードの内容を実行していきたいと思います。

1. [Forefront TMG の管理] を実行します。
   
2. 以前に自動的に起動するを無効にしていなかった場合は、管理コンソール起動時に開始ウィザードが起動します。
   ?
   手動で起動する場合には、サーバーを選択した状態のタスクから [開始ウィザードの起動] をクリックします。
   
3. [ネットワーク設定の構成] をクリックします。
4. [次へ] をクリックします。
   
5. ネットワークテンプレートの種類を選択して、[次へ] をクリックします。
   今回は NIC が一枚だけですので、[単一ネットワーク アダプター] しか選択ができない状態となっています。
   
6. ネットワークアダプターを選択して、[次へ] をクリックします。
   
7. [完了] をクリックします。
   
8. [システム設定の構成] をクリックします。
   
9. [次へ] をクリックします
   
10. ホスト ID の情報を設定して、[次へ] をクリックします。
    今回の環境はワークグループ環境で構築しています。
    
11. [完了] をクリックします。
    
12. [展開オプションの定義] をクリックします。
    
13. [次へ] をクリックします。
    
14. Microsoft Update の設定をして、[次へ] をクリックします。
    
15. 保護機能の設定をして、[次へ] をクリックします。
    
16. NIS の更新設定をして、[次へ] をクリックします。
    
17. CEIP の設定をして、[次へ] をクリックします。
    
18. 遠隔測定レポートサービスの設定をして、[次へ] をクリックします。
    
19. [完了] をクリックします。
    
20. [閉じる] をクリックします。
    
21. [次へ] をクリックします。
    
22. [次へ] をクリックします。
    
23. [次へ] をクリックします。
    
24. [次へ] をクリックします。
    
25. [次へ] をクリックします。
    
26. [次へ] をクリックします。
    
27. 証明書のエクスポート先を設定し、[次へ] をクリックします。
    
28. [次へ] をクリックします。
    # キャッシュサイズは 0MB より大きい数値を設定する必要があります。
    
29. [完了] をクリックします。
    
30. [適用] をクリックします。
    ?
31. [OK] をクリックします。
    
32. [適用] をクリックします。
    
33. [OK] をクリックします。
    ?

以上で、初期設定は完了です。

ISA 2006 と比較して初期設定で NIS の設定や、保護機能の設定が増えているようですね。
この辺はヘルプで機能を確認しないと。

TMG 2010 になるとエンタープライズ構成が ISA 2006 から変わっていそうなんですよね。
1 台構成だと Enterprise Edition でもアレイ構成にはならないようですし。
構成保管サーバーの複製に関しても変わっていそうなので、この辺は要調査です。

まずは、この環境を使って TMG 2010 のリバースプロキシの基本動作を理解したいと思います。

ISA 2006 の設定を TMG 2010 に移行できるかを検証してみました。

• ISA 2006 から設定をエクスポート

1. ISA 2006 で [ISA Server の管理] を起動します。
   
2. [エクスポート (バックアップ)] をクリックします。
   
3. [次へ] をクリックします。
   
4. [機密の情報をエクスポートする] と [ユーザーアクセス許可設定をエクスポートする] を有効にして、
   [次へ] をクリックします。
   
5. ファイルの出力場所を選択して、[次へ] をクリックします。
   
6. [完了] をクリックします。
   ?
7. [OK] をクリックします。
   

エクスポートしたファイルを TMG 2010 に移します。
この状態では両方共の ISA / TMG のファイアウォールが設定されている状態ですので、
どちらかに CIFS を許可するアクセスルールを作成して、ファイルを移動させます。

?

• TMG 2010 に設定をインポート

1. TMG 2010 で [Forefront TMG の管理] を起動します。
   
2. [開始ウィザード] が起動するので、[閉じる] で閉じます。
   
3. [はい] をクリックします。
   
4. [インポート (復元)] をクリックします。
   
5. [次へ] をクリックします。
   
6. インポートするファイルを選択して、[次へ] をクリックします。
   
7. [OK] をクリックします。
   
8. 今回はエクスポート時にパスワードを設定していますので、エクスポート時に設定したパスワードを入力して、
   [次へ] をクリックします。
   
9. [完了] をクリックします。
   
10. [OK] をクリックします。
    
11. [閉じる] をクリックします。
    ?
12. [適用] をクリックします。
    
13. [適用] をクリックします。
    
14. [OK] をクリックします。
    

この状態では、上のダイアログに表示されているように、サーバー証明書と、レポート構成設定はインポートされていないので、
これらに関しては手動でインポート、設定を行います。

以上で設定の移行は完了です。

ISA 2006 の IP に付け替えてみたところ、正常にルールも稼働しています。

TMG 2010 は x64 専用ですので、ISA 2006 から直接アップグレードをすることができません。
# ISA 2006 は x86 専用です。
インポート / エクスポートで設定が簡単に移行できると、移行工数を抑えることができていいですね。

開始ウィザードを使用した初期設定は次の投稿で。

Forefront Threat Management Gateway 2010 RTM が TechNet サブスクリプションでダウンロードできるようになったので、
さっそくインストールしてみました。

1. [準備ツールの実行] をクリックします。
   
2. [次へ] をクリックします。
   
3. [ライセンス条項に同意します] を有効にして、[次へ] をクリックします。
   
4. [Forefront TMG のサービスと管理] を選択し、[次へ] をクリックします。
   
5. [Forefront TMG インストール ウィザードの起動] を有効にして、[完了] をクリックします。
   
6. [次へ] をクリックします。
   
7. [使用許諾契約書に同意します] を選択し、[次へ] をクリックします。
   
8. [次へ] をクリックします。
   
9. [次へ] をクリックします。
   
10. 内部ネットワークの IP アドレスセグメントを追加して、[次へ] をクリックします。
    ??
11. [次へ] をクリックします。
    
12. [インストール] をクリックします。
    
    
13. [完了] をクリックします。
    私の環境ではインストールの終了まで 1 時間程かかりました。
    

インストールは以上で終了です。

[Forefront TMG のサービスと管理] で構成保管サーバーとしての AD LDS もインストールされているようです。
現在、検証環境で ISA 2006 Standard Edition を使用しているのですがこの設定内容が、TMG 2010 Enterprise Edition に
引き継げるが少し検証してみたいと思います。

自宅の検証環境は Exchange Server 2007 で最初構築していたので、現在は 2007 + 2010 の共存環境となっています。

そろそろ Exchange Server 2010 のみの環境にしようと思い、2007 の撤去を開始しました。
# Exchange 2007 を撤去しないと、TMG 2010 の検証環境の構築がリソース的に厳しいんですよね。

まずは、単純にアンインストールを試みてみました。

1. クライアント アクセスをアンインストール
   まずは簡単に役割がアンインストールできそうな CAS から撤去してみたいと思います。
   役割の削除は [コントロールパネル] の、[プログラムと機能] から[Exchange Server 2007] のアンインストールを行います。

   [Exchange 保守モード] が起動しますので、削除する役割のチェックボックスを [オフ] にします。
   
   前提条件のチェックはすんなり通過できました。
   それでは削除してみたいと思います。
   
   CAS は問題なく削除完了です。
   

2. ハブ トランスポートをアンインストール
   続いて HUB をアンインストールしてみたいと思います。

   
   送信コネクタの [送信元サーバー] として、Exchange 2007 の HUB が設定されているのでエラーとなっているようです。
   ?
   送信コネクタから 2007 の HUB を削除したところ、前提チェックも通過しました。
   
   ということでこちらも削除。
   
   前提条件を満たしているのであっさりと削除できました。
   

3. メールボックス をアンインストール
   最後にメールボックスをアンインストールします。
   最後の機能をアンストールする際には、管理ツールも削除できるようになります。
   
   いろいろとエラーになりました。
   
   それでは一つずつ解消していきたいと思います。
   1. オフラインアドレス帳生成サーバーの移動

      Exchange の管理コンソールからオフラインアドレス帳サーバーを移動させます。
      
      
      
      
      

   2. パブリックフォルダの削除

      パブリックフォルダのエラーについては検証用の環境なので、思い切ってパブリックフォルダを削除してしまいます。

      Get-PublicFolder -Server $ENV:COMPUTERNAME "" -Recurse -ResultSize:Unlimited | Remove-PublicFolder -Server $ENV:COMPUTERNAME -Recurse -ErrorAction:SilentlyContinue Get-PublicFolder -Server $ENV:COMPUTERNAME "Non_Ipm_Subtree" -Recurse -ResultSize:Unlimited | Remove-PublicFolder -Server $ENV:COMPUTERNAME -Recurse -ErrorAction:SilentlyContinue

      パブリックフォルダの削除は以下の URL が参考になります。

      パブリック フォルダ データベースの削除
      組織内の最後のパブリック フォルダ データベースを削除する方法

      このまま削除をしようとしたところ、以下のエラーが発生してしまいました。
      ?
      Exchange 2010 側でパブリックフォルダの作成をした記憶はないんですけどね…。
      ログを確認したところ、Remove-PublicFolderDatabase でエラーとなっているようでした。
      Exchange 2010 で Remove-PublicFolderDatabase を実行したのですがうまく削除できなかったので、
      ADSIエディタを使って構成パーティションからパブリックフォルダのエントリーを強制削除してしまいました。

      [CN=Configuration,DC=<ドメイン名>,CN=Services,CN=<組織名>,CN=Administrative Groups,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Servers,CN=<Exchange 2007>,CN=InformationStore]
      からパブリックフォルダのストアを強制削除。

   3. メールボックスの移動

      Exchange Server 2007 に存在しているメールボックスを Exchange Server 2010 に移動します。
      Exhcange 2010 へのメールボックスへの移動は Exchange 2010 の管理コンソールから実行します。

      ローカル移動要求を新規作成して移動させます。
      

   これで準備完了です。
   前提条件のチェックも終了したので削除します。
   ?
   事前準備が終了していたので削除も問題なく完了しました。
   ?

これで Exchange 2007 の撤去は完了です。
パブリックフォルダーに関しては調査が必要だな～と感じました。
Exchange 2007 → 2010 へ移行にするに際し、パブリックフォルダーは廃止としてもらえればいいのですが、
実際はそうもいかないと思いますので。

これで Exchange 2007 をシャットダウンした状態にできるようになりました。
ようやく TMG 2010 の検証環境を構築できます。

今週の頭に Exchange 2010 のエッジトランスポートサーバーの検証環境を構築して、出社の電車の中で、
ルーターと受信コネクタの設定をしていました。
# 私は通勤時間が片道 2 時間近くなので通勤時間を利用したサーバー構築もなんのそのです。

電車の中で少し寝て、まだ会社の最寄駅まで時間があったので、構築を再開しようとしたところ、
やけにサーバーが重いことに気付きました。

何だろうとメールキューを確認してみたところ 12 万通を超える大量のスパムメールが溜まっていました…。

幸い、送信コネクタを設定する前だったので外部に配信はされませんでしたが、今後このようなことが
発生しないように最低限実施することをメモとして。

今回は電車の中で気づいたので、ひとまずルーターのポート 25 の転送を停止し、MX レコードを削除して
帰宅してからの対応としました。
企業向けのメールサーバーでこんな対応したら始末書ですね…。

• 準備が終わるまで送信コネクタは有効にしない
  Exchange では外部にメールを送信する際には、アドレススペースを [*] に設定しているコネクタ経由で
  メールを送信するのが一般的な設定だと思います。
  ?
  一通りの設定が終了するまではこのコネクタは無効にしておいた方がよいかと。
  今回はこれに救われました。

  エッジサブスクリプションを設定している場合は、エッジトランスポート側では送信コネクタを変更できませんので、
  ハブトランスポートで同一名の送信コネクタを無効にしてから、ハブトランスポートで

  Start-EdgeSynchronization ?Server $ENV:COMPUTERNAME

  を実行してエッジトランスポートに設定を伝搬させます。

  これで一通りの設定が終了するまではインターネットにはメールが送信されなくなります。Exchange 2007 SP 1 以降はハブトランスポートにはデフォルトだと [*] のコネクタは作成されないようになっていたかと。
  # エッジトランスポートにはデフォルトで作成されていた気がします

• 受信コネクタの設定確認
  インターネットからのメール受信をするための受信コネクタでは、[匿名ユーザー] を許可した状態にします。
  
  Exchange では匿名ユーザーで接続された場合は、[承認済みドメイン] に設定されているドメインにのみ
  メールが送信できるようになっています。
  承認済みドメインに設定されているドメインへのメール送信に関しては、
  

  250 2.1.5 Recipient OK

  となりメール送信が可能ですが、承認済みドメインに設定されていないドメインに対しては、

  550 5.7.1 Unable to relay

  となり中継ができないという動作になります。

ただし、受信コネクタで、[外部的にセキュリティで保護] を有効にしていると、承認済みドメインに
設定されていないドメインに対してもメールが中継できてしまいますので注意が必要です。

?

以下のような設定が一般的なのでしょうか。


• MTAにメール検疫ソフトの導入
  Microsoft 製品の場合は [Forefront Protection 2010 for Exchange Server] (FPE) が最新のメールに関しての
  検疫ソフトになります。
  ?

  FPE で使用される検索エンジンは以下のものになります。
  ?

  試しにインストールした環境を作ってみたのですが、最低でもメモリは 2G ぐらいないとテスト用途でもつらいですね。

  エッジトランスポートでも標準機能として以下のスパム対策が実行することができるのですが、
  ウイルス対策はできませんので。

  IP 禁止一覧

  IP 禁止一覧プロバイダー

  IP 許可一覧

  IP 許可一覧プロバイダー

  Sender ID

  コンテンツ フィルター

  受信者フィルター

  送信者フィルター

  送信者評価

• 匿名接続時の外部ドメインへの送信確認
  これができてしまうと、スパムメールの踏み台の温床となります。
  ?
  最初は telnet で接続して動作確認をした方がいいのかなと思います。

  Windows Server 2008 / R2 では標準の状態では Telnet クライアントがインストールされていないので、
  コマンドプロンプトで telnet を実行することができません。
  追加できる機能には含まれていますので、テスト用にインストールしておくと便利だと思います。
  Tera Term でもよいと思いますが、テスト用にしか使わないので私は telnet コマンドでテストしています。
  ?

  telnet でメール送信のテストをするには以下のコマンドを実行していきます。

  telnet <MTA の IP アドレス> 25 helo <ドメイン名> mail from: <FROM (送信者) アドレス> rcpt to: <TO (宛先) アドレス> DATA <メール本文> . QUIT 例) telnet 127.0.0.1 25 helo test.local mail from: user1@test.local rcpt to: user2@test.local DATA test mail . QUIT

  後は FROM と TO の組み合わせテストを実施します。
  上記のコマンド実行の場合、メール送信は匿名認証となります。
  承認済みドメインとして test.local が設定されている場合の結果は以下になるはずです。
  # test.local も test2.local も匿名認証なので結果は同じになります。

  FROM	TO	結果
  user1@test.local	user2@test.local	OK
  user1@test.local	user2@test2.local	NG
  user2@test2.local	user2@test.local	OK
  user2@test2.local	user2@test2.local	NG

• 第三者中継テストの実施
  メールサーバーの第三者中継テストをしてくれるサイトを利用して最終的な確認をするとよいかと。

  私はよく以下のサイトを利用させていただいています。
  第三者中継チェック – RBL.JP

  Exchange の送信コネクタ / 受信コネクタの設定だけで自ドメイン内の存在しないメールアドレスへのテスト以外は
  通過させることができるはずです。

  存在しないメールアドレスのテストについては、スパム対策の受信者フィルターで、[ディレクトリに存在しない
  受信者宛てのメッセージをブロックする] を有効にする必要があります。

  
  エッジトランスポートで実施する場合は、エッジサブスクリプションを有効にする必要があるようです。
  ハブトランスポートで実施する場合は、ハブトランスポートで以下のコマンドを実行してスパム対策を
  有効にしてから受信者フィルターを設定します。

  ./install-AntispamAgents.ps1 Restart-Service MSExchangeTransport

他にもいろいろとテストはあると思いますが、最低限実施しておいた方がよいものをメモとして。