Спам-фильтры в Edge и TMG
 

Мой Edge-сервер Exchange установлен на сервер с TMG 2010 (официально поддерживаемая конфигурация).
Нашел настройку спам-фильтров и в самом Edge, и в TMG (см. скриншоты). Действия фильтров аналогичные. Пока для меня разница лишь в том, что изменения в фильтрах TMG никак не влияют на обработку почты. Подскажите, в чем разница и в чем особенность сосуществования этих фильтров?

У TMG, похоже нет API для взаимодействия с фильтрами Transport Pipeline, надо поставить Forefront Protection 2010 for Exchange Server и они появятся :) В документации, кстати об этом пишут, но довольно вскользь, не заявляя обязательности установки FOPE.

Oleg Krylov, Но для Forefront Protection нужна лицензия, а сейчас его не продают, насколько я знаю.
Кстати, я ставил на сервер сначала TMG, а уже потом Edge. Это имеет значение?
И еще вопрос. Когда вместе с системными обновлениями приходит AntiSpam Filter Update (или как-то так, не помню точного названия), то что конкретно он обновляет? Какие спам-фильтры и где?

Ну сейчас и TMG не продают...
Вообще рекомендованный порядок, как раз наоборот.
http://www.alexxhost.ru/2010/04/exch...ge-server.html
Похоже на то, что как раз не были зарегистрированы API во время установки TMG, вот он и не умеет править конфиги Edge. Кстати, в AppLog есть что-то странное?
Зависит от конфигурации. Если есть Forefront - то его базы, если нет - то сигнатуры самого Edge. Это обновления от сервиса Cloudmark, который поставляет спам-сигнатуры, обновления контент-фильтров и Sender Reputation.
Тут вот есть описание: http://technet.microsoft.com/en-us/l...xchg.141).aspx

В наследство остался.
Имеется в виду журнал приложений Windows или что-то другое?

Еще заметил, что у меня на обоих Edge-серверах очень сильно возрастает нагрузка на процессор (до 40-50%) к концу дня и забивается ОЗУ. Помогает перезапуск службы Транспорт Microsoft Exchange.

Ага.
Повышайте уровень диагностики службы транспорта и в лог.

В принципе переустановить все хозяйство заново и в правильной последовательности - час работы от силы.

Насчет часа не уверен. У меня все это дело на Hyper-V и когда ставил TMG 2010, одна инсталляция несколько часов длилась. Хотя всё делалось на чистую Windows 2008R2. Плюс потом апдейты накатывались долго. И это только с TMG 2010 так долго, остальной софт на других аналогичных виртуалках нормально ставится.

Посмотрел журналы обоих серверов на наличие ошибок.
С интервалом примерно полчаса вылезает ошибка 12014:

Примерно через минуту-другую после перезапуска службы (я прописал перезапуск в назначенных заданиях; понимаю, что костыль, но пока только так) появляется такое:

Сертификат у меня подписан локальным центром сертификации (на КД) и не содержит имени mx.myfirma.ru (в нем прописаны только имена серверов клиентского доступа). На коннекторе EdgeSync - DataCenter to Internet прописан mx.myfirma.ru для команд HELO/EHLO.

Я так понимаю более детальная диагностика в группах сборщиков данных настраивается в разделе "Производительность"? А что конкретно там мониторить?

Соберите установочный образ со всеми апдейтами, дело пойдет явно быстрее, тем более, что установить и обновить ОС вы можете на параллельно развернутой машине, не трогая основную до момента установки роли Edge Transport. TMG 2010 на машину с рекомендуемыми системными требованиями для роли Secure Mail Gateway ставится минут 20, плюс SP1, плюс Update 1 for TMG 2010 SP1, плюс SP2. Итого порядка часа. Конфигурацию нужно выгрузить в XML, и загрузить на новый сервер.
В любом случае - либо мириться с тем, что консоль TMG ничего не может сделать с конфигурацией анти-спам агентов Edge, либо найти время и переустановить.
Ну не работает у вас TLS, не сильно страшно, особенно если не планируете Domain Security. Можно забить, можно перевыпустить сертификат, добавив в SAN нужное имя, можно выпустить отдельный сертификат и повесить его только на службу SMTP.
Для поиска проблем с конфигурацией антиспам агентов посмотрите в лог Event Viewer\Applications and Services Logs\MSExchange Management, там могут быть интересности.
Для поиска проблемы с забиванием ресурсов - надо задрать уровень диагностики для службы MSExchange Transport Service до уровня Expert и смотреть в обычный Application Log.
Задрать диагностику вот так:
Вернуть все обратно можно командой:

Боролись долго с настройками фильтров, спам все равно прjходил. Решилось установкой ORF на EDGE, идеально работает данное решение.

А если такой вариант: развернуть параллельно 3-й Edge + TMG сервер (благо, внешние IP-адреса есть), поставить на него всё в той последовательности, в которой нужно и, убедившись, что всё корректно работает, перейти на новый сервер? Помимо удаления подписки, коннекторов и правки записей в DNS нужны будут какие-нибудь манипуляции, чтобы вывести старый Edge из обращения?

Посмотрел. Всё чисто, кроме событий, когда ругается диспетчер очереди во время перезапуска службы.

Детальную диагностику поставил. Будем следить.

Я тоже посматриваю в сторону этого софта. Только интересно, какой там механизм лицензирования. Один реселлер сказал, что не по количеству ящиков (т.к. у пользователя может быть несколько ящиков), а по количеству пользовательских устройств, с которых он заходит в свои ящики. Вопрос в том, как они будут отслеживать эти устройства, когда они вообще через другой сервер подключаются. Я так понимаю, тут политика такая, как и с CAL-лицензиями MS?

Нормальный вариант. Удаления подписки и создания новой на новый Edge будет более чем достаточно.

Наблюдал логи. Никаких ошибок, кроме уже упомянутых про сертификат. Видно, придется новые сервера развернуть. Не очень-то мне нравится перезапускать службу транспорта, пусть и автоматически по расписанию.