Ustawienia serwera Exchange, które musisz uzyskać

Firma Microsoft zainwestowała miliony dolarów w platformę Azure i Office 365, a ich konkurenci idą w ślady swoich własnych ofert chmury publicznej w dobrej wierze. Ale rozwiązania chmury publicznej nie są dla wszystkich. Organizacje o wielu szczeblach mają uzasadnione powody, by nie chcieć, aby ich ograniczone dane w systemach znajdowały się poza ich całkowitą kontrolą.

W przypadku wielu z tych jednostek lokalny program Exchange Server jest koniecznością do obsługi wiadomości. Firma Microsoft nadal aktualizuje oprogramowanie, mając pewność, że wszelkie ulepszenia wprowadzone do stosu opartego na chmurze ostatecznie znikną. W coraz większym stopniu te funkcje zwiększają złożoność i tak już zniechęcającego zadania prowadzenia systemu przesyłania wiadomości klasy korporacyjnej. Łatwo się zgubić, przechodząc przez planowanie wydajności sprzętu, konfigurowanie DAG (grup dostępności baz danych) i odporności lokacji, konfigurowanie routingu poczty i upewnianie się, że użytkownicy mogą faktycznie łączyć się z systemem.

Mając to na uwadze, oto kilka szczegółów, które absolutnie musisz znać, zanim otworzysz drzwi do nowego środowiska przesyłania wiadomości.

Pojemność

Zanim jeszcze pobierzesz Exchange Server, powinieneś dobrze wiedzieć, ilu użytkowników będzie musiał obsługiwać Twój system, jakie masz umowy dotyczące poziomu usług i jak długo będzie potrzebna Twoja organizacja po awarii. Są to bardzo szczegółowe tematy, które znacznie wykraczają poza zakres tego artykułu, ale firma Microsoft udostępnia narzędzia, które pomogą Ci to zaplanować.

Najpierw jest artykuł z zaleceniami dotyczącymi rozmiaru i konfiguracji programu Exchange 2013 w witrynie TechNet. Przeprowadzi Cię przez podstawy, takie jak stosunek rdzenia procesora Active Directory do rdzeni procesora serwera skrzynki pocztowej, konfiguracja sieci, wymagane poprawki systemu Windows Server i konfiguracja pliku stronicowania. Jeśli znasz Exchange Server 2010, zauważysz kilka wyróżnionych w tym artykule zmian dotyczących konfigurowania Exchange 2013, takich jak zaprzestanie zalecania oddzielnej sieci do replikacji.

Po zapoznaniu się z podstawowymi zaleceniami nadszedł czas na planowanie wydajności. Blog zespołu Exchange jest doskonałym źródłem informacji na ten temat, a grupa opublikowała obszerne omówienie sposobu prawidłowego określania rozmiaru środowiska. Nie zrażaj się formułami matematycznymi - do pobrania dostępny jest kalkulator rozmiaru, który pomoże Ci przejść przez ten proces.

Kilka wskazówek TL; DR:

  • Nie zadzieraj z konfiguracjami RAID dla woluminów bazy danych. To stara szkoła i nie jest już konieczne ze względu na poprawę wydajności w Exchange. JBOD jest w porządku, szczególnie w przypadku używania DAG dla wysokiej dostępności.
  • Użyj jednego rdzenia procesora Active Directory na każde osiem rdzeni procesora skrzynki pocztowej.
  • Nie używaj hiperwątkowości na fizycznych serwerach skrzynek pocztowych.
  • Skonfiguruj monitory wydajności dla krytycznych metryk, takich jak czas trwania zapytania AD, IOPS na dyskach bazy danych i sprawdź, czy cała baza danych AD może zmieścić się w pamięci RAM.

Routing poczty

Masz wszystko zainstalowane. Twoje bazy danych są replikowane. Twoje obciążenia są zrównoważone. Monitorowana jest wydajność. Teraz nadszedł czas, aby przejść do faktycznego pobierania i wychodzenia poczty z systemu.

Akceptowane zasady dotyczące domen i adresów e-mail

Upewnij się, że wszystkie Twoje domeny są wymienione z odpowiednim typem domeny w obszarze Przepływ poczty> Zaakceptowane domeny, a domena domyślna jest poprawna. Jeśli masz zamiar korzystać z zasad dotyczących adresów e-mail, teraz jest dobry moment, aby je przejrzeć, aby upewnić się, że masz wybrane właściwe domeny i format nazwy użytkownika. Możesz to zrobić w sekcji Przepływ poczty> Zasady adresów e-mail.

DNS

Podobnie jak w przypadku Office 365, musisz poprawnie skonfigurować wpisy DNS, zanim poczta będzie mogła skierować się do systemu lub klienci będą mogli automatycznie wykryć swoje ustawienia. Jest to nieco trudniejsze w przypadku rozwiązań lokalnych, ponieważ konieczne będzie skonfigurowanie reguł zapory, aby zezwalały na ruch przychodzący portu 25 do serwerów frontonu lub serwerów transportu brzegowego, w zależności od określonej konfiguracji.

Najpierw musisz utworzyć rekord A dla adresu IP swojego MTA (agenta przesyłania wiadomości). Na przykład w naszym laboratorium używamy mail.exampleagency.com. Po umieszczeniu rekordu A utwórz rekord MX, który go wskazuje. Twój dostawca hostingu DNS powinien mieć odpowiednią dokumentację umożliwiającą utworzenie tych rekordów.

W celu automatycznego wykrywania będziesz musiał utworzyć albo rekord A na adres IP twojego serwera dostępu klienta, albo, jeśli jest taki sam jak twój MTA, rekord CNAME wskazujący na niego. Ponownie, dla naszego laboratorium używamy rekord CNAME z pomocą skierowaną utodiscover.exampleagency.com do mail.exampleagency.com ponieważ są one zarówno przy użyciu tego samego adresu IP. Wymagane jest, aby ten rekord był autodiscover.yourdomain.tld, ponieważ w ten sposób będzie go szukał program Outlook Autodiscover.

Złącza

W przeciwieństwie do usługi Office 365, którą omówiliśmy w poprzednim artykule, lokalna usługa Exchange nie tworzy automatycznie łącznika wysyłania. Aby to zrobić, otwórz EAC (Exchange Admin Center) i przejdź do Mail Flow> Send Connectors. Podstawowe złącze wyśle ​​jedynie do Internetu za pośrednictwem rozpoznawania nazw DNS.

Jeśli używasz bramy obsługi wiadomości innej firmy, takiej jak Mimecast, skonfigurujesz ją jako łącznik niestandardowy. Tutaj również skonfigurujesz wymuszone połączenia TLS z innymi MTA. Na przykład Bank of America wymaga od swoich dostawców wymuszonych połączeń TLS. W tym celu musisz użyć łącznika partnera.

Jest to również dobra okazja, aby przejrzeć otrzymane złącza. Tutaj możesz ustawić maksymalny rozmiar przychodzącej wiadomości (domyślnie 35 MB - pamiętaj, aby uwzględnić około 33 procent narzutu związanego z kodowaniem MIME), czy włączyć rejestrowanie połączeń, ustawienia zabezpieczeń, takie jak wymuszone TLS i ograniczenia IP.

Dostęp klienta

Masz skonfigurowany podstawowy routing poczty i możesz wysyłać i odbierać wiadomości e-mail. Teraz musisz podłączyć klientów do systemu, aby mogli z niego korzystać.

Certyfikaty

W Office 365 firma Microsoft używa własnej przestrzeni nazw do automatycznego wykrywania programu Outlook, aplikacji Outlook Web App i łączności SMTP przez TLS. W związku z tym firma Microsoft używa własnych certyfikatów. W przypadku lokalnego programu Exchange należy kupić nowe certyfikaty od zaufanego urzędu certyfikacji, aby umożliwić zaufaną bezpieczną łączność z systemami.

Na szczęście firma Microsoft ułatwiła ukończenie tego procesu. Aby rozpocząć, otwórz EAC i przejdź do Serwery> Certyfikaty. Dodaj nowy certyfikat i wybierz opcję wygenerowania żądania. Kreator otworzy się i przeprowadzi Cię przez proces. Będziesz mieć możliwość wyboru domeny dla każdego typu dostępu. W tym przykładzie użyłem głównie webmail.exampleagency.com do wszystkiego.

Po zakończeniu pracy kreatora weź plik żądania certyfikatu i prześlij go do preferowanego urzędu certyfikacji (użyliśmy GoDaddy). Otrzymasz wówczas certyfikat w postaci pliku CER. Po prostu kliknij Zakończ i zaimportuj plik CER, aby zaimportować certyfikat i włączyć go do użytku w swoim środowisku.

Katalogi wirtualne

Po zainstalowaniu certyfikatu nadszedł czas, aby poinformować Exchange, jakich domen ma używać dla jakich usług. Przejdź do Serwery> Katalogi wirtualne. W tym miejscu należy skonfigurować dostęp zewnętrzny dla każdego z nich. W tym przykładzie skonfigurowaliśmy katalog wirtualny OWA tak, aby używał webmail.exampleagency.com.

Istnieją bardziej złożone tematy do omówienia, takie jak tablice dostępu klientów i równoważenie obciążenia, ale najlepiej je pozostawić do bardziej szczegółowej eksploracji niż ten artykuł. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Exchange Server w witrynie TechNet.

Bezpieczeństwo i zgodność

Nawet jeśli Twoje dane nie znajdują się w chmurze publicznej, nadal musisz dokładnie rozważyć bezpieczeństwo. Na początek upewnij się, że stosujesz regularne aktualizacje zarówno do systemu Windows Server, jak i Exchange Server. Ta sama rada dotyczy również kont administratora; zawsze używaj oddzielnych kont administratora od zwykłych kont.

Absolutnie musisz zachować dostęp do zadań administracyjnych ograniczony do sieci wewnętrznych lub VPN, chyba że zamierzasz włączyć jakąś formę uwierzytelniania wieloskładnikowego za pośrednictwem produktów innych firm, takich jak RSA SecurID.

Upewnij się, że masz rozsądną politykę dotyczącą haseł. Wskazówki na ten temat ciągle się zmieniają, ale jesteśmy zwolennikami nowszego pomysłu używania dłuższych haseł zamiast bardziej złożonych. W naszym laboratorium wymagamy od użytkowników posiadania 14-znakowych haseł - pomniejszonych o wszelkie wymagania dotyczące złożoności - które wygasają co 90 dni.

Powinieneś także rozważyć, czy musisz ograniczyć wysyłanie poufnych informacji za pośrednictwem poczty elektronicznej, takich jak numery PESEL i numery kart kredytowych. Te ograniczenia można skonfigurować w obszarze Zarządzanie zgodnością> Zapobieganie utracie danych. Firma Microsoft udostępnia szereg szablonów, których można użyć, aby ułatwić szybkie rozpoczęcie pracy. W tym przykładzie używam szablonu US FTC, aby ograniczyć wysyłanie numerów kart kredytowych.

Myśli o innym oprogramowaniu

Jeśli dotarłeś do tej pory, miejmy nadzieję, że masz działający lokalny system Exchange. Teraz musisz go chronić, tworzyć kopie zapasowe i ogólnie upewnić się, że pozostaje online.

W przypadku rozwiązań antywirusowych będziesz potrzebować zarówno pakietu antywirusowego działającego w czasie rzeczywistym dla całego systemu, jak i pakietu, który skanuje przesyłane wiadomości. Firma Microsoft udostępnia listę wymaganych wykluczeń zarówno dla kontrolerów domeny Active Directory, jak i systemów Exchange Server. Postępuj zgodnie z zaleceniami firmy Microsoft i nie polegaj na dostawcy oprogramowania antywirusowego, który automatycznie je zaimplementuje. Widziałem zbyt wiele pakietów antywirusowych, które od razu podeptały pliki dzienników baz danych skrzynek pocztowych, aby ufać, że zrobią to za Ciebie.

Należy również wziąć pod uwagę rodzaj metod tworzenia kopii zapasowych i przywracania, które mają być obsługiwane. Czy tworzysz kopię zapasową na dysku lub taśmie? Czy potrzebujesz szczegółowego przywracania (które wymaga znacznie więcej zasobów niż zwykle)? Jak daleko wstecz muszą się znajdować kopie zapasowe? Jest wiele pytań, które musisz zadać sobie, swojemu zespołowi i wyższemu kierownictwu.

Inne kwestie dotyczące produktów obejmują zapobieganie utracie danych, oprogramowanie antyspamowe i archiwizację poczty e-mail. W niektórych przypadkach wszystko to może być zawarte w jednym pakiecie. Ale upewnij się, że jest certyfikowany do współpracy z Exchange Server 2013 i ma odpowiednie wsparcie dostawców. Nie chcesz kupować produktu tylko po to, aby dowiedzieć się, że został on stworzony dla programu Exchange Server 2007 i obsługuje wyłącznie pocztę e-mail.

Końcowe przemyślenia

Na koniec upewnij się, że odrobiłeś pracę domową. Sprawdź, czy Twoja organizacja nie musi przestrzegać żadnych konkretnych przepisów dotyczących przechowywania danych, zapobiegania ich utracie lub dostępu do danych. Regularnie testuj kopie zapasowe i przywracaj. Użyj pliku testowego EICAR, aby upewnić się, że oprogramowanie antywirusowe działa poprawnie. Rutynowo sprawdzaj monitory wydajności, aby upewnić się, że nie ma potrzeby ponownego równoważenia DAG ani dodawania kontrolera domeny. Aha, i jeszcze jedno: naucz się kochać PowerShell.

Uruchamianie lokalnego serwera Exchange jest o wiele bardziej skomplikowane niż zwykła rejestracja w usłudze Office 365, ale masz znacznie większą kontrolę i uzyskujesz znacznie bardziej satysfakcjonujące doświadczenie jako informatyk. Miejmy nadzieję, że ten artykuł zawiera przynajmniej dobry przegląd dostępnych opcji i tego, co absolutnie należy wykonać podczas konfigurowania lokalnego serwera Exchange. Każda organizacja jest inna, a te wskazówki mogą nie pasować do Twojego scenariusza. Powinno jednak wystarczyć większości administratorów IT w małych firmach, którzy chcą szybko rozpocząć konfigurację.

Powiązane artykuły

  • Potęga PowerShell: wprowadzenie dla administratorów Exchange
  • Pobierz: Szybki przewodnik: jak przejść do Office 365
  • Pobierz: Microsoft Office 365 a Google Apps: Kompletny przewodnik
  • 5 Ustawienia administratora Office 365, które musisz uzyskać
  • 10 narzędzi innych firm dostosowanych do Twoich potrzeb Office 365
  • 10 głównych problemów związanych z migracją Office 365, których należy unikać
  • Jak przeprowadzić migrację serwera Exchange do Office 365