Настройките на Exchange Server, които трябва да получите правилно

Microsoft е инвестирала милиони долари в Azure и Office 365, а конкурентите им следват примера със собствени добросъвестни публични облачни предложения. Но публичните облачни решения не са за всеки. Организации с много ивици имат основателни причини да не искат техните ограничени данни в системи извън техния пълен контрол.

За много от тези обекти локалният Exchange Server е задължителен за съобщения. Microsoft продължава да актуализира софтуера с увереността, че всички подобрения, направени в неговия облачен стек, в крайна сметка ще се стичат. Все по-често тези функции добавят слоеве на сложност към и без това обезсърчаващата задача за стартиране на система за съобщения от корпоративен клас. Лесно е да се загубите, когато преминавате през планиране на хардуерния капацитет, настройване на DAG (групи за наличност на база данни) и устойчивост на сайта, конфигуриране на маршрутизиране на поща и гарантиране, че вашите потребители действително могат да се свържат със системата.

Имайки това предвид, ето няколко подробности, които задължително трябва да получите точно преди да отворите вратите към новата си среда за съобщения.

Капацитет

Преди дори да изтеглите Exchange Server, трябва да имате добра представа за това колко потребители ще трябва да поддържа вашата система, всички споразумения на ниво услуга, които може да имате, и колко дълго ще е необходим прозорец за възстановяване при аварийни ситуации на вашата организация. Това са много дълбоки теми, които са далеч извън обхвата на тази статия, но Microsoft предоставя някои инструменти, които да ви помогнат да планирате това.

Първо е статията за препоръки за оразмеряване и конфигуриране на Exchange 2013 за TechNet. Ще ви преведе през основите, като например съотношение на ядрото на процесора на Active Directory към сървъра на пощенската кутия, конфигурацията на мрежата, необходимите актуални корекции на Windows Server и конфигурацията на файл на страница. Ако сте запознати с Exchange Server 2010, ще забележите няколко промени, подчертани в тази статия за конфигуриране на Exchange 2013, като например да не препоръчвате отделна мрежа за репликация.

След като се запознаете с основните препоръки, е време да се потопите в планирането на капацитета. Блогът на екипа на Exchange е чудесен източник на информация за това и групата публикува изчерпателен поглед как правилно да оразмерите средата си. Не се обезсърчавайте от математическите формули - калкулатор за оразмеряване е достъпен за изтегляне, за да ви улесни в процеса.

Няколко съвета за TL; DR:

  • Не се забърквайте с RAID настройки за томовете на вашата база данни. Това е старо училище и вече не е необходимо поради подобрения в производителността в Exchange. JBOD е добре, особено при използване на DAG за висока наличност.
  • Използвайте едно ядро ​​на процесора на Active Directory за всеки осем процесорни ядра на пощенска кутия.
  • Не използвайте хипернишки на физически сървъри на пощенски кутии.
  • Настройте монитори на производителността за критични показатели като продължителност на заявката за AD, IOPS на дисковете на вашата база данни и проверка на това дали цялата база данни на AD може да се побере в RAM.

Рутиране на пощата

Имате всичко инсталирано. Вашите бази данни се репликират. Натоварванията ви са балансирани. Изпълнението се следи. Сега е време да преминете към реално получаване на поща във и извън вашата система.

Приети правила за домейни и имейл адреси

Уверете се, че всичките ви домейни са изброени с правилния тип домейни в Поток на пощата> Приети домейни и вашият домейн по подразбиране е правилен. Ако възнамерявате да използвате правила за имейл адреси, сега е подходящ момент да ги прегледате, за да сте сигурни, че сте избрали правилните домейни и формата на потребителското име. Можете да го направите в Поток на поща> Политики за имейл адреси.

DNS

Както при Office 365, трябва да настроите правилно своите DNS записи, преди пощата да може да се насочи към вашата система или клиентите да могат автоматично да открият своите настройки. Това е малко по-трудно за локалните решения, тъй като ще трябва да конфигурирате правилата на защитната стена, за да разрешите входящ порт 25 към вашите предни или крайни транспортни сървъри в зависимост от вашата конкретна конфигурация.

Първо ще трябва да създадете запис A за IP адреса на вашия MTA (агент за прехвърляне на съобщения). Например използваме mail.exampleagency.com в нашата лаборатория. След като записът A е на мястото си, създайте MX запис, който сочи към него. Вашият доставчик на DNS хостинг трябва да разполага с адекватна документация, която да обхваща създаването на тези записи.

За автоматично откриване ще трябва да създадете или запис A на IP адреса на вашия клиентски сървър за достъп, или ако е същият като вашия MTA, запис CNAME, сочещ към него. Отново, за нашата лаборатория ние използваме CNAME запис на един utodiscover.exampleagency.com сочеща mail.exampleagency.com тъй като те са и двете, използвайки същия IP адрес. Изисква се този запис да бъде autodiscover.yourdomain.tld, тъй като по този начин Outlook Autodiscover ще го търси.

Съединители

За разлика от Office 365, който разгледахме в предишна статия, локалният Exchange не създава автоматично конектор за изпращане за вас. За целта отворете EAC (Exchange Admin Center) и отворете Mail Flow> Send Connectors. Основният конектор просто ще изпрати до Интернет чрез DNS резолюция.

Ако използвате шлюз за съобщения на трети страни, като Mimecast, ще конфигурирате това като персонализиран конектор. Тук също ще настроите всички принудителни TLS връзки към други MTA. Например Bank of America изисква принудителни TLS връзки за своите доставчици. За това ще трябва да използвате партньорски конектор.

Това също е добра възможност да прегледате вашите конектори за получаване. Тук можете да зададете максимален размер на входящото съобщение (по подразбиране е 35MB - не забравяйте да вземете предвид приблизително 33-те процента MIME кодиране), дали да активирате регистрирането на връзките, настройките за сигурност като принудителен TLS и IP ограниченията

Клиентски достъп

Имате конфигурирано основно маршрутизиране на пощата и можете да изпращате и получавате имейли. Сега трябва да накарате клиенти да бъдат свързани към вашата система, за да могат те действително да я използват.

Сертификати

С Office 365 Microsoft използва собствено пространство от имена за Outlook Autodiscover, Outlook Web App и SMTP свързаност през TLS. Като такива, Microsoft използва свои собствени сертификати. За локална борса ще трябва да закупите нови сертификати от доверен CA, за да позволите надеждна сигурна свързаност с вашите системи.

За щастие Microsoft направи процеса лесен за завършване. За да започнете, отворете EAC и отворете Сървъри> Сертификати. Добавете нов сертификат и изберете да генерирате заявка. Ще се отвори съветник и ще ви преведе през процеса. Ще ви бъде предоставена възможност да изберете вашия домейн за всеки тип достъп. В този пример използвах главно webmail.exampleagency.com за всичко.

След като приключите с помощта на съветника, вземете файла със заявката си за сертификат и го качете в предпочитания орган за сертифициране (използвахме GoDaddy). След това ще получите сертификата под формата на CER файл. Просто щракнете върху Попълнете и импортирайте CER файла, за да бъде сертификатът импортиран и активиран за използване във вашата среда.

Виртуални директории

След като вече сте инсталирали сертификата си, е време да кажете на Exchange какви домейни да използвате за какви услуги. Придвижете се до Сървъри> Виртуални директории. Оттук трябва да конфигурирате външен достъп за всеки един. В този пример конфигурирахме виртуалната директория на OWA да използва webmail.exampleagency.com.

Има по-сложни теми за обсъждане, като масиви за достъп на клиенти и балансиране на натоварването, но това е най-добре да се остави за по-задълбочено проучване от тази статия. За повече информация вижте документацията на Microsoft Exchange Server на TechNet.

Сигурност и съответствие

Въпреки че данните ви не са в публичен облак, все пак трябва внимателно да обмислите сигурността. За начало се уверете, че прилагате редовни актуализации както за Windows Server, така и за Exchange Server. Същият съвет се отнася и за акаунти на администратори; винаги използвайте отделни администраторски акаунти от обикновените акаунти.

Абсолютно трябва да запазите достъп до административни задачи, ограничени до вътрешни мрежи или VPN, освен ако не възнамерявате да активирате някаква форма на многофакторно удостоверяване чрез продукти на трети страни като RSA SecurID.

Уверете се, че имате разумна политика за пароли. Насоките за това продължават да се променят, но ние сме привързани към по-новата идея за използване на по-дълги пароли, а не на по-сложни пароли. В нашата лаборатория изискваме от потребителите да имат пароли от 14 знака - минус всички изисквания за сложност - които изтичат на всеки 90 дни.

Трябва също да помислите дали трябва да ограничите изпращането на чувствителна информация по имейл, като номера на социалното осигуряване и номера на кредитни карти. Можете да конфигурирате тези ограничения в Управление на съответствието> Предотвратяване на загуба на данни. Microsoft предоставя редица шаблони, които могат да се използват, за да ви помогнат да стартирате бързо и да работите бързо. В този пример използвам американския FTC шаблон, за да огранича изпращането на номера на кредитни карти.

Мисли за друг софтуер

Ако сте проследили това далеч, надяваме се, че имате работеща локална система за обмен. Сега трябва да го защитите, архивирате и като цяло се уверете, че той остава онлайн.

За антивирусни решения ще ви е необходим както системен антивирусен пакет в реално време, така и пакет, който сканира съобщения при транзит. Microsoft предоставя списък с необходимите изключения както за домейн контролери на Active Directory, така и за системи Exchange Server. Не забравяйте да следвате препоръките на Microsoft и не разчитайте на вашия доставчик на антивирусни програми, който автоматично да ги внедри вместо вас. Виждал съм твърде много антивирусни пакети да потъпкват регистрационните файлове на базата данни на пощенската кутия, за да им се доверят да го направят вместо вас.

Също така трябва да вземете предвид вида на методите за архивиране и възстановяване, които искате да поддържате. Архивирате ли на диск или касета? Имате ли нужда от гранулирано възстановяване (което е много по-интензивно, отколкото обикновено си струва)? Колко назад трябва да стигнат вашите архиви? Има много въпроси, които ще трябва да зададете на себе си, на вашия екип и на висшето ръководство.

Други продуктови съображения включват предотвратяване на загуба на данни, антиспам софтуер и архивиране на имейли. В някои случаи всичко това може да бъде включено в един пакет. Но се уверете, че е сертифициран за работа с Exchange Server 2013 и има адекватна поддръжка от доставчик. Не искате да купувате продукт, само за да разберете, че е създаден за Exchange Server 2007 и има поддръжка само по имейл.

Финални мисли

И накрая, не забравяйте да си направите домашното. Проверете, за да се уверите, че вашата организация не трябва да спазва някакви специфични закони за запазване на данни, предотвратяване на загуба на данни или достъп до данни. Правете редовно тестване и архивиране. Използвайте тестовия файл EICAR, за да се уверите, че антивирусният софтуер работи правилно. Редовно проверявайте мониторите си за ефективност, за да се уверите, че не е необходимо да балансирате DAG или да добавяте контролер на домейн. О, и още нещо: научете се да обичате PowerShell.

Стартирането на локален Exchange Server е далеч по-сложно, отколкото просто да се регистрирате за Office 365, но имате много повече контрол и получавате много по-полезно изживяване като ИТ специалист. Надяваме се, че тази статия ви дава поне добър преглед на вашите опции и това, което абсолютно трябва да получите правилно, когато конфигурирате локалния Exchange Server. Всяка организация е различна и това ръководство може да не е подходящо за вашия сценарий. Би трябвало обаче да е достатъчно за по-голямата част от ИТ администраторите на малкия бизнес, които искат да се настроят бързо.

Свързани статии

  • Силата на PowerShell: Въведение за администраторите на Exchange
  • Изтегляне: Кратко ръководство: Как да преминете към Office 365
  • Изтегляне: Microsoft Office 365 срещу Google Apps: Най-доброто ръководство
  • 5 Администраторски настройки на Office 365, които трябва да получите правилно
  • 10 инструменти на трети страни, които отговарят на вашите нужди на Office 365
  • 10 основни проблеми с миграцията на Office 365, които трябва да се избегнат
  • Как да мигрирам вашия Exchange сървър към Office 365