Exchange Server за десять лет стал реальным стандартом де-факто в корпоративных почтовых системах. Вышедший год назад Exchange Server 2013 получил не самые лестные отзывы и содержал массу встроенных проблем, которые в той или иной степени впоследствии разрешались пакетами обновлений. На текущий момент мы имеем Exchange Server 2013 SP1, который не то, что бы ответил на все вопросы, но является более доработанным продуктом,
нежели RTM версия. Установка Exchange Server 2013 не самый сложный процесс, но в рамкой это статьи я постараюсь описать порядок и нюансы развертывания первого сервера Exchange, основываясь на собственной практике. Я принципиально не использую неподдерживаемые конфигурации и всегда стараюсь упростить решение, минимизировав все, что только можно.
Платформа
Microsoft поддерживает установку Exchange Server 2013 SP1 как в физической, так и в виртуальной среде, хотя последнее время советует использовать физические инсталляции. Объясняют они это тем, что виртуализация не дает никаких преимуществ для Exchange Server, но при этом добавляет дополнительный слой, который нужно обслуживать и администрировать. Это спорно, т.к. виртуализация позволяет неплохо экономить на железе и совмещать на одной физике не совмещаемое. Да и серверные не безразмерные, далеко не все имеют свободные места в стойках. Так что виртуализировать или нет личное дело каждого, на моей практике за последние три года я не видел ни одной физической установки Exchange Server. Самое главное при виртуализации делать все согласно поддерживаемым схемам вендора.
Я постарался собрать вместе основные рекомендации:
- Не используйте динамическую память для виртуальных машин Exchange
- Используйте виртуальные диски только фиксированного размера
- Не делайте снимки виртуальных машин. В реальной жизни они не поддерживаются
- Делайте так, чтобы кол-во виртуальных процессоров Hyper-V не превышало более чем, в два раза кол-во ядер на хостовом сервере
- Не используйте репликацию виртуальных машин для Exchange Server
- Обновляйте службу Hyper-V. Служба Windows Update не обновляет саму Hyper-V (http://social.technet.microsoft.com/wiki/contents/articles/20885.hyper-v-update-list-for-windows-server-2012-r2.aspx)
- Не используйте хостовый сервер для запуска доп. сервисов. Только служба Hyper-V и ничего другого
- Отключите синхронизацию времени с хостовым компьютером на виртуальных машинах
Теперь, когда с требованиями к виртуальной среде разобрались, рассмотрим остальные моменты. Exchange Server, как продукт, который использует AD DS, выдвигает к ней определенные требования. Режим работы домена и леса Active Directory DS должны быть не ниже Windows Server 2003, а это значит, что все контроллеры домена должны быть минимум Windows Server 2003 SP2. (обращаю внимание на пакет обновлений). Кроме того, у вас до внедрения Exchange в Active Directory должны быть настроены сайты AD DS, расписаны подсети, в каждом сайте должен быть контроллер домена, так же должны быть доступны глобальные каталоги, ходить репликация. Естественно, с разрешением имен все так же должно быть четко.
Exchange Server расширяет схему Active Directory DS и изменяет существующие классы, равно как и добавляет новые. Связано это с тем, что Exchange хранит свою конфигурацию в конфигурационном разделе Active Directory DS. Элементы конфигурации — это объекты каталога, а поскольку объекты создаются в каталоге, они должны быть описаны в схеме. Так же Exchange расширяет класс пользователя, т.к. вместе с учетной записью пользователя он хранит индивидуальные почтовые атрибуты сотрудника. После подготовки Active Directory DS в вашем каталоге, в доменном его разделе создается контейнер Exchange Security Groups, который содержит встроенные группы Exchange, используемые для работы сервера и для делегирования полномочий.
Установщик Exchange Server сам подготавливает Active Directory, но для меня этот процесс интимный, поэтому этап подготовки каталога я осуществляю до развертывания почтового сервера. Для подготовки AD DS вам нужно:
- Убедиться, что вы имеете права Enterprise и Schema администраторов.
- Получить права локального администратора на будущем Exchange сервере
- Установить оснастки управления AD DS (Add-WindowsFeature RSAT-ADDS, RSAT-ADDS-Tools)
- Чтобы контроллер домена с ролью FSMO Schema Master был доступен и находился в одном сайте с сервером Exchange. Сделать это можно через утилиту netdom
Для подготовки вам понадобится дистрибутив Exchange Server 2013 SP1, причем версия дистрибутива должна быть именно такой, какую будете впоследствии устанавливать. Подготовка идет в два этапа, первый это подготовка схемы:
setup.exe /prepareschema /iacceptexchangeserverlicenseterms
И второй: подготовка доменного раздела, создание контейнера Exchange Security Groups, установка разрешений на доменный раздел. Имя организации в команде будет использоваться при именовании ветки Active Directory, которая будет хранить конфигурацию Exchange, т.е. особо ни на что не влияет.
setup.exe /preparead /organizationname:Miaton /iacceptexchangeserverlicenseterms
Когда подготовка будет завершена вам, будет необходимо форсировать репликацию в рамках леса Active Directory и убедиться, что она успешно завершилась.
Форсирование репликации: repadmin /syncall /AeS
Проверить, что репликация прошла: repadmin /replsummary
После того как вы убедитесь, что репликация прошла успешно, можно готовить сам сервер. Exchange требует в обязательном порядке наличие на сервере компонента IIS в определенной комплектации. Смысла запоминать нужные компоненты нет, проще использовать PowerShell команду:
Install-WindowsFeature AS-HTTP-Activation, Desktop-Experience, NET-Framework-45-Features, RPC-over-HTTP-proxy, RSAT-Clustering, RSAT-Clustering-CmdInterface, RSAT-Clustering-Mgmt, RSAT-Clustering-PowerShell, Web-Mgmt-Console, WAS-Process-Model, Web-Asp-Net45, Web-Basic-Auth, Web-Client-Auth, Web-Digest-Auth, Web-Dir-Browsing, Web-Dyn-Compression, Web-Http-Errors, Web-Http-Logging, Web-Http-Redirect, Web-Http-Tracing, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Lgcy-Mgmt-Console, Web-Metabase, Web-Mgmt-Console, Web-Mgmt-Service, Web-Net-Ext45, Web-Request-Monitor, Web-Server, Web-Stat-Compression, Web-Static-Content, Web-Windows-Auth, Web-WMI, Windows-Identity-Foundation
Но это еще не все: поскольку объединённые коммуникации теперь неотъемлемая часть сервера, до установки требуется сказать и развернуть набор библиотек Unified Communications Managed API 4.0 Runtime (http://www.microsoft.com/ru-ru/download/confirmation.aspx?id=34992). Вообще, мастер установки Exchange Server 2013 достаточно хорош: если вы забыли про Unified Communications Managed API, он обязательно скажет вам о необходимости поставить пререквизит в процессе установки.
Роли сервера
Когда все предварительные этапы выполнены, наступает момент установки самого Exchange сервера. В 2013 редакции существует три роли Exchange, а именно роль клиентского доступа (CAS), роль сервера почтовых ящиков (MBX) и роль пограничного сервера (EDGE).
Роль сервера почтовых ящиков (MBX) — этот тот самый работяга, который отдувается за всех. MBX сервер отвечает за работу баз данных почтовых ящиков, полностью несет на себе функционал UM (объединённых коммуникаций), а также, по сути, является полноценным транспортным сервером. Находится только внутри организации и является членом домена.
Роль клиентского доступа (CAS) – у MBX сервера есть одна проблема: он не может принимать клиентских подключений. Сервер с ролью клиентского доступа (CAS) является точкой для подключения всех типов клиентов. Не важно, используете вы мобильный телефон или браузер, вы всегда будете подключаться к CAS. CAS это очень прозрачный прокси, рендеринг или обработка данных осуществляется на MBX, а задача CAS — выполнить аутентификацию через AD DS и проксировать подключение на нужный MBX сервер. При большом желании входящую и исходящую почту SMTP можно так же проксировать через CAS, но помните, что CAS это тонкий прокси, весь функционал, в том числе и анти-спам, будет выполняться на MBX.
Пограничный сервер (EDGE) всегда стоит отдельно и не должен быть членом домена. Роль представляет из себя SMTP шлюз, на котором производится анти-спам фильтрация. Идеология заключается в том, чтобы очищать почту еще до ее попадания внутрь вашей организации. Но вся проблема заключается в том, что родной анти-спам EDGE сервера в реальной жизни можно использовать только если вы любите спам. А поскольку вам придется покупать внешнее анти-спам решение, то смысл в EDGE сервере теряется. Либо на его место станет спецоборудование, либо вы установите сторонний анти-спам на MBX сервер.
Совмещение ролей.
Пограничный сервер (EDGE) всегда стоит отдельно, это не обсуждается. По ролям MBX и CAS ситуация другая: Microsoft рекомендует совмещать эти роли. Смысла в разнесении этих ролей нет, за исключением мертвой топологии с WNLB балансировкой. Видимо, в следующем Exchange сервере они вообще не будут разделять роли.
Процедура установки.
Установка проста и не требует какой-либо мозговой активности. Прежде всего, мастер установки Exchange пытается скачать последние обновления. Если вы используете последнюю версию дистрибутива, то данный этап можно пропустить. Далее идет распаковка файлов установки на жесткий диск. Принятие лицензионного соглашения. Комментировать нечего, просто принимаете соглашение. Выбираете рекомендуемые параметры. На самом деле, я не нашел разницы между рекомендуемой установкой и кастомизированной. Вам в любом случае надо выбрать роли, указать куда на диск ставить Exchange. Единственный интересный момент — это предложение отключить Anti-Malware фильтр. Exchange 2013 унаследовал от умершего «дяди» Forefront Protection for Exchange Anti-Malware фильтр, если вы не планируете ставить на новый сервер анти-спам с уже имеющимся Anti-Malware, то предлагаемый фильтр отключать не стоит. У меня на корпоративном сервере данный фильтр прекрасно уживается с анти-спам системой ORF. После всех вопросов и выборов мастер установки выполнит проверку предварительных требований и если вы успешно прошли квест, станет доступна кнопка Install. Продолжительность установки сильно зависит от оборудования и обычно не превышает 30-40 минут.
Последующая настройка.
Настройка Exchange достаточно серьезный труд, но есть ряд минимальных задач, которые вы должны выполнить после установки, выполнение этих задач позволит вам подключиться к Exchange серверу, создать почтовые ящики и начать работу. У Exchange Server 2013 есть два инструмента управления, первый это веб-консоль «Exchange Control Panel» доступ к которой вы получаете через браузер. Она доступна по адресуhttps://servername/ecp. И второй инструмент управления — это «Exchange Management Shell» или управление сервером через PowerShell. Поскольку вариант с PowerShell более удобный и полнофункциональный, дальнейшая настройка пойдет через него.
1. Почтовые домены.
Для того чтобы создавать ящики, отправлять и получать почту, Exchange Server 2013 должен знать какие почтовые домены он обслуживает. По умолчанию он считает своим почтовым доменом домен созданный на основе имени домена AD DS. Т.е если у вас домен AD DS называется IvanovAndSon.local, то стартовый почтовый домен вы получите именно такой. Посмотреть ваши почтовые домены можно через командлет Get-AcceptedDomain.
Если вы хотите добавить новый почтовый домен, то здесь же выполняете строчку:
New-AcceptedDomain –Name itband.ru –domaintype Authoritative -domainname itband.ru
Эта команда добавит новый почтовый домен и скажет вашему Exchange Server, что только он отвечает за этот почтовый домен. Вся почта, пришедшая к вам для адресов в этом домене, будет доставляться, если получатель не будет найден, то письмо будет отброшено.
2. Политика адресов.
В Exchange Server почтовые адреса очень редко задаются вручную, формированием адресов электронной почты занимается политика электронных адресов. По умолчанию у вас уже есть такая политика, которая формирует адреса, используя стартовый почтовый домен и алиас учетной записи. Применяется эта политика для всех почтовых объектов в домене. В моем случае я хочу изменить почтовый домен miaton.ru на itband.ru и сделать так чтобы адреса формировались с использованием схемы «Имя.Фамилия@ itband.ru».
Сделать это через Shell:
Set-EmailAddressPolicy –identity “Default Policy” –EnabledEmailAddressTemplates “SMTP:%g.%s@itband.ru”
| Variable | Value |
| %g | Given name (first name) |
| %i | Middle initial |
| %s | Surname (last name) |
| %d | Display name |
| %m | Exchange alias |
| %xs | Uses the first x letters of the surname. For example, if x = 2, the first two letters of the surname are used. |
| %xg | Uses the first x letters of the given name. For example, if x = 2, the first two letters of the given name are used. |
При изменении и создании политик можно использовать табличку с подсказками. Зная концепцию, адреса можно формировать как угодно. После того как политика создана, ее нужно применить. Во время применения политика поменяет основные почтовые адреса для всех ящиков и получателей, что уже были созданы. Старые адреса останутся как дополнительные. Применении политики идет через командлет Update-EmailAddressPolicy.
3. Перемещение базы данных.
После установки сервера Exchange вы получите одну стандартную базу данных почтовых ящиков, но у нее есть две проблемы: во-первых, она хранится на системном диске, что совсем не нормально, а во вторых у нее страшно длинное имя, которое трудно запомнить и набирать. Поэтому дальнейшие действия связаны с перемещением базы и ее переименованием. Поскольку база маленькая, то переместить ее будет можно за несколько десятков секунд. В примере я перемещаю базу на диск E:\ при этом сам файл базы и транзакционные логи будут храниться на одном диске. В процессе перемещения база данных будет недоступна.
4. Создание почтовых ящиков.
Как уже говорил ранее, после установки, вы получаете только один почтовый ящик для пользователя, который ставил Exchange. При наличии учетных записей включить им поддержку почты труда не составит. Вы можете выбрать учетные записи из нужного организационного подразделения и через конвейер включить им поддержку почты.
5. Создаем коннектор для отправки почты в интернет.
Исторически сложилось так, что Exchange сервер по умолчанию не настроен на отправку почты в интернет. Сказать о том, как должна доставляться почта сможет коннектор отправки. Вы должны создать такой коннектор и заставить его использовать MX записи для нахождения серверов, обслуживающих почтовые домены, в которые вы доставляете почту. Создание коннектора отправки для * означает что он будет обрабатывать все почтовые домены, на которые будут отправлять ваши пользователи. Т.е. при доставке каждого письма в интернет ваш сервер будет искать для домена MX запись и отправлять согласно результатам.
New-SendConnector -Custom -Name SendConnectorName -AddressSpaces *
6. Прописываем MX
Почтовые сервера разных компаний находят друг друга по специальным DNS записям типа MX, т.е., если вы хотите принимать почту из интернета, вам нужны:
- Публичный IP адрес
- Имя, по котором будет доступен ваш сервер
- Запись типа А, которая имя сервера разрешит в публичный IP
- Проброс 25 (почта) и 443 (клиенты) портов с публичного IP на внутренний IP сервера
- Запись MX которая будет разрешаться в публичное имя вашего сервера
Пример записи MX и A записи:
7. Выводы и что остается за кадром.
Несмотря на то, что ваш сервер сейчас может отправлять и получать почту, настройка на этом не заканчивается. Как минимум, вы должны помнить о том, что ваша почтовая система не имеет анти-спама, а поэтому все, что вам будут доставлять, вы примете. Ваши базы данных должны иметь резервные копии, следовательно, необходимо настроить резервное копирование. Кроме этого для нормальной отправки почты в интернет и минимизации ложных срабатываний вам будет нужно прописать в DNS записи типа PTR и SPF, настроить корректное представление сервера в SMTP баннерах как при отправке, там и при приеме. Но я надеюсь, что с данной статьей начало будет положено правильное.
MCT/MVP Илья Рудь
Комментариев нет:
Отправить комментарий