Мой Edge-сервер Exchange установлен на сервер с TMG 2010 (официально поддерживаемая конфигурация).
Нашел настройку спам-фильтров и в самом Edge, и в TMG (см. скриншоты). Действия фильтров аналогичные. Пока для меня разница лишь в том, что изменения в фильтрах TMG никак не влияют на обработку почты. Подскажите, в чем разница и в чем особенность сосуществования этих фильтров?

У TMG, похоже нет API для взаимодействия с фильтрами Transport Pipeline, надо поставить Forefront Protection 2010 for Exchange Server и они появятся :) В документации, кстати об этом пишут, но довольно вскользь, не заявляя обязательности установки FOPE.

Oleg Krylov, Но для Forefront Protection нужна лицензия, а сейчас его не продают, насколько я знаю.
Кстати, я ставил на сервер сначала TMG, а уже потом Edge. Это имеет значение?
И еще вопрос. Когда вместе с системными обновлениями приходит AntiSpam Filter Update (или как-то так, не помню точного названия), то что конкретно он обновляет? Какие спам-фильтры и где?

Но для Forefront Protection нужна лицензия, а сейчас его не продают, насколько я знаю. »
Ну сейчас и TMG не продают...
Кстати, я ставил на сервер сначала TMG, а уже потом Edge. Это имеет значение? »
Вообще рекомендованный порядок, как раз наоборот.
http://www.alexxhost.ru/2010/04/exchange-server-2010-edge-server.html
Похоже на то, что как раз не были зарегистрированы API во время установки TMG, вот он и не умеет править конфиги Edge. Кстати, в AppLog есть что-то странное?
Когда вместе с системными обновлениями приходит AntiSpam Filter Update (или как-то так, не помню точного названия), то что конкретно он обновляет? Какие спам-фильтры и где? »
Зависит от конфигурации. Если есть Forefront - то его базы, если нет - то сигнатуры самого Edge. Это обновления от сервиса Cloudmark, который поставляет спам-сигнатуры, обновления контент-фильтров и Sender Reputation.
Тут вот есть описание: http://technet.microsoft.com/en-us/library/bb124241(v=exchg.141).aspx

Ну сейчас и TMG не продают... »
В наследство остался.
Кстати, в AppLog есть что-то странное? »
Имеется в виду журнал приложений Windows или что-то другое?

Еще заметил, что у меня на обоих Edge-серверах очень сильно возрастает нагрузка на процессор (до 40-50%) к концу дня и забивается ОЗУ. Помогает перезапуск службы Транспорт Microsoft Exchange.

Имеется в виду журнал приложений Windows »
Ага.
Помогает перезапуск службы Транспорт Microsoft Exchange. »
Повышайте уровень диагностики службы транспорта и в лог.

В принципе переустановить все хозяйство заново и в правильной последовательности - час работы от силы.

Насчет часа не уверен. У меня все это дело на Hyper-V и когда ставил TMG 2010, одна инсталляция несколько часов длилась. Хотя всё делалось на чистую Windows 2008R2. Плюс потом апдейты накатывались долго. И это только с TMG 2010 так долго, остальной софт на других аналогичных виртуалках нормально ставится.

Посмотрел журналы обоих серверов на наличие ошибок.
С интервалом примерно полчаса вылезает ошибка 12014:


Имя журнала: Application
Источник: MSExchangeTransport
Дата: 18.06.2013 23:09:27
Код события: 12014
Категория задачи:TransportService
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: Edge.corp.myfirma.ru
Описание:
Microsoft Exchange не удается найти сертификат, содержащий имя домена mx.myfirma.ru, в хранилище личных сертификатов на локальном компьютере. Поэтому он не поддерживает команду STARTTLS SMTP для соединителя EdgeSync - DataCenter to Internet с полным доменным именем mx.myfirma.ru. Если полное доменное имя соединителя не указано, используется полное доменное имя компьютера. Проверьте конфигурацию соединителя и установленных сертификатов, чтобы убедиться, что для этого полного доменного имени есть сертификат с именем домена. Если сертификат существует, выполните команду Enable-ExchangeCertificate -Services SMTP, чтобы убедиться, что служба транспорта Microsoft Exchange имеет доступ к ключу сертификата.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="MSExchangeTransport" />
<EventID Qualifiers="49156">12014</EventID>
<Level>2</Level>
<Task>12</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2013-06-18T19:09:27.000000000Z" />
<EventRecordID>6527491</EventRecordID>
<Channel>Application</Channel>
<Computer>Edge.corp.myfirma.ru</Computer>
<Security />
</System>
<EventData>
<Data>mx.myfirma.ru</Data>
<Data>EdgeSync - DataCenter to Internet</Data>
</EventData>
</Event>


Примерно через минуту-другую после перезапуска службы (я прописал перезапуск в назначенных заданиях; понимаю, что костыль, но пока только так) появляется такое:


Имя журнала: Application
Источник: MSExchangeTransport
Дата: 19.06.2013 0:02:05
Код события: 1022
Категория задачи:SmtpReceive
Уровень: Предупреждение
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: Edge.corp.myfirma.ru
Описание:
Агенты защиты от нежелательной почты включены, но список внутренних SMTP-серверов пуст. Если между данным сервером и Интернетом существуют агенты передачи сообщений, заполните этот список с помощью командлета Set-TransportConfig в командной консоли Exchange.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="MSExchangeTransport" />
<EventID Qualifiers="32772">1022</EventID>
<Level>3</Level>
<Task>1</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2013-06-18T20:02:05.000000000Z" />
<EventRecordID>6537241</EventRecordID>
<Channel>Application</Channel>
<Computer>Edge.corp.myfirma.ru</Computer>
<Security />
</System>
<EventData>
<Data>Default internal receive connector EDGE</Data>
<Data>5000</Data>
</EventData>
</Event>


Сертификат у меня подписан локальным центром сертификации (на КД) и не содержит имени mx.myfirma.ru (в нем прописаны только имена серверов клиентского доступа). На коннекторе EdgeSync - DataCenter to Internet прописан mx.myfirma.ru для команд HELO/EHLO.

Я так понимаю более детальная диагностика в группах сборщиков данных настраивается в разделе "Производительность"? А что конкретно там мониторить?

Насчет часа не уверен. У меня все это дело на Hyper-V и когда ставил TMG 2010, одна инсталляция несколько часов длилась. Хотя всё делалось на чистую Windows 2008R2. Плюс потом апдейты накатывались долго. И это только с TMG 2010 так долго, остальной софт на других аналогичных виртуалках нормально ставится. »
Соберите установочный образ со всеми апдейтами, дело пойдет явно быстрее, тем более, что установить и обновить ОС вы можете на параллельно развернутой машине, не трогая основную до момента установки роли Edge Transport. TMG 2010 на машину с рекомендуемыми системными требованиями (http://technet.microsoft.com/en-us/library/ff382651.aspx) для роли Secure Mail Gateway ставится минут 20, плюс SP1, плюс Update 1 for TMG 2010 SP1 (http://www.microsoft.com/en-us/download/details.aspx?id=11445), плюс SP2. Итого порядка часа. Конфигурацию нужно выгрузить в XML, и загрузить на новый сервер.
В любом случае - либо мириться с тем, что консоль TMG ничего не может сделать с конфигурацией анти-спам агентов Edge, либо найти время и переустановить.
С интервалом примерно полчаса вылезает ошибка 12014: »
Ну не работает у вас TLS, не сильно страшно, особенно если не планируете Domain Security (http://technet.microsoft.com/en-us/library/bb124392(v=exchg.141).aspx). Можно забить, можно перевыпустить сертификат, добавив в SAN нужное имя, можно выпустить отдельный сертификат и повесить его только на службу SMTP.
Я так понимаю более детальная диагностика в группах сборщиков данных настраивается в разделе "Производительность"? А что конкретно там мониторить? »
Для поиска проблем с конфигурацией антиспам агентов посмотрите в лог Event Viewer\Applications and Services Logs\MSExchange Management, там могут быть интересности.
Для поиска проблемы с забиванием ресурсов - надо задрать уровень диагностики для службы MSExchange Transport Service до уровня Expert и смотреть в обычный Application Log.
Задрать диагностику вот так:
Get-EventLogLevel | Where-Object {$_.Identity -like "MSExchangeTransport*"} | Set-EventLogLevel -Level Expert
Вернуть все обратно можно командой:
Get-EventLogLevel | Where-Object {$_.Identity -like "MSExchangeTransport*"} | Set-EventLogLevel -Level Lowest

Боролись долго с настройками фильтров, спам все равно прjходил. Решилось установкой ORF на EDGE, идеально работает данное решение.

В любом случае - либо мириться с тем, что консоль TMG ничего не может сделать с конфигурацией анти-спам агентов Edge, либо найти время и переустановить. »
А если такой вариант: развернуть параллельно 3-й Edge + TMG сервер (благо, внешние IP-адреса есть), поставить на него всё в той последовательности, в которой нужно и, убедившись, что всё корректно работает, перейти на новый сервер? Помимо удаления подписки, коннекторов и правки записей в DNS нужны будут какие-нибудь манипуляции, чтобы вывести старый Edge из обращения?

Для поиска проблем с конфигурацией антиспам агентов посмотрите в лог Event Viewer\Applications and Services Logs\MSExchange Management, там могут быть интересности. »
Посмотрел. Всё чисто, кроме событий, когда ругается диспетчер очереди во время перезапуска службы.

Детальную диагностику поставил. Будем следить.

Боролись долго с настройками фильтров, спам все равно прjходил. Решилось установкой ORF на EDGE, идеально работает данное решение. »
Я тоже посматриваю в сторону этого софта. Только интересно, какой там механизм лицензирования. Один реселлер сказал, что не по количеству ящиков (т.к. у пользователя может быть несколько ящиков), а по количеству пользовательских устройств, с которых он заходит в свои ящики. Вопрос в том, как они будут отслеживать эти устройства, когда они вообще через другой сервер подключаются. Я так понимаю, тут политика такая, как и с CAL-лицензиями MS?

А если такой вариант: развернуть параллельно 3-й Edge + TMG сервер (благо, внешние IP-адреса есть), поставить на него всё в той последовательности, в которой нужно и, убедившись, что всё корректно работает, перейти на новый сервер? Помимо удаления подписки, коннекторов и правки записей в DNS нужны будут какие-нибудь манипуляции, чтобы вывести старый Edge из обращения? »
Нормальный вариант. Удаления подписки и создания новой на новый Edge будет более чем достаточно.

Наблюдал логи. Никаких ошибок, кроме уже упомянутых про сертификат. Видно, придется новые сервера развернуть. Не очень-то мне нравится перезапускать службу транспорта, пусть и автоматически по расписанию.