Nastavení Exchange Serveru musíte mít správně

Společnost Microsoft investovala miliony dolarů do Azure a Office 365 a jejich konkurenti ji následují s vlastními bona fide nabídkami veřejného cloudu. Řešení veřejného cloudu však nejsou pro každého. Organizace mnoha pruhů mají legitimní důvody, proč nechtějí, aby jejich omezená data byla v systémech mimo jejich úplnou kontrolu.

Pro mnoho z těchto entit je místní server Exchange Server nutností zasílání zpráv. Společnost Microsoft pokračuje v aktualizaci softwaru s jistotou, že jakákoli vylepšení provedená v jeho cloudovém zásobníku nakonec stékají. Tyto funkce stále více přidávají vrstvy složitosti k již tak skličujícímu úkolu provozovat podnikový systém zasílání zpráv. Je snadné se ztratit, když procházíte plánováním kapacity hardwaru, nastavením DAG (skupiny dostupnosti databáze) a odolností stránek, konfigurací směrování pošty a zajištěním toho, aby se vaši uživatelé mohli skutečně připojit k systému.

S ohledem na to je zde několik podrobností, které musíte bezpodmínečně získat, než otevřete dveře do svého nového prostředí pro zasílání zpráv.

Kapacita

Než si stáhnete Exchange Server, měli byste mít dobrou představu o tom, kolik uživatelů bude váš systém potřebovat podporovat, jakékoli smlouvy na úrovni služeb, které máte k dispozici, a jak dlouho bude vaše organizace vyžadovat okno pro zotavení po katastrofě. Jedná se o velmi hluboká témata, která daleko přesahují rámec tohoto článku, ale společnost Microsoft poskytuje některé nástroje, které vám to pomohou naplánovat.

Nejprve je na webu TechNet článek Doporučená velikost a konfigurace Exchange 2013. Provede vás základy, jako jsou poměry jádra CPU serveru Active Directory na poměry CPU serveru poštovní schránky, konfigurace sítě, požadované opravy hotfix systému Windows Server a konfigurace stránky. Pokud jste obeznámeni se serverem Exchange Server 2010, všimnete si několika změn zvýrazněných v tomto článku pro konfiguraci serveru Exchange 2013, například již nedoporučujeme samostatnou síť pro replikaci.

Jakmile se seznámíte se základními doporučeními, je čas se ponořit do plánování kapacity. Blog týmu Exchange je skvělým zdrojem informací a skupina zveřejnila komplexní pohled na to, jak správně nastavit velikost prostředí. Nenechte se odradit matematickými vzorci - ke stažení je k dispozici kalkulačka velikosti, která vám usnadní postup.

Několik tipů TL; DR:

Nedělejte si starosti s nastavením RAID pro vaše databázové svazky. To je stará škola a již to není nutné kvůli vylepšení výkonu v Exchange. JBOD je v pořádku, zvláště když používáte DAG pro vysokou dostupnost.
Pro každých osm jader procesoru poštovní schránky použijte jedno jádro CPU služby Active Directory.
Nepoužívejte hyperthreading na serverech fyzické poštovní schránky.
Nastavte monitory výkonu pro kritické metriky, jako je doba trvání dotazu AD, IOPS na vašich databázových discích a ověření celé databáze AD se vejde do RAM.

Směrování pošty

Máte vše nainstalované. Vaše databáze se replikují. Vaše zátěže jsou vyvážené. Monitoruje se výkon. Nyní je čas přejít ke skutečnému příjmu pošty do a ze systému.

Zásady přijímaných domén a e-mailových adres

Ujistěte se, že všechny vaše domény jsou uvedeny se správným typem domény v části Tok pošty> Přijaté domény a vaše výchozí doména je správná. Pokud máte v úmyslu používat zásady e-mailových adres, je nyní vhodné je zkontrolovat, abyste se ujistili, že máte vybrány správné domény a formát uživatelského jména. Můžete tak učinit v části Tok pošty> Zásady e-mailových adres.

DNS

Stejně jako u Office 365 musíte mít správně nastaveny položky DNS, než bude možné poštu směrovat do vašeho systému nebo než budou moci klienti automaticky zjistit jejich nastavení. To je pro místní řešení trochu obtížnější, protože budete muset nakonfigurovat pravidla brány firewall tak, aby umožňovala port 25 příchozí na vaše front-end nebo edge transportní servery v závislosti na vaší konkrétní konfiguraci.

Nejprve budete muset vytvořit záznam A pro IP adresu vašeho MTA (Agent pro přenos zpráv). Například v naší laboratoři používáme mail.exampleagency.com. Jakmile je záznam A na místě, vytvořte záznam MX, který na něj ukazuje. Váš poskytovatel hostingu DNS by měl mít odpovídající dokumentaci, která by kryla vytváření těchto záznamů.

U autodiscoveru budete muset vytvořit buď záznam A na adresu IP vašeho serveru pro přístup klientů, nebo pokud je stejný jako váš MTA, záznam CNAME, který na něj ukazuje. Znovu pro naši laboratoř používáme záznam CNAME Autodiscover.exampleagency.com ukazuje na mail.exampleagency.com, protože oba používají stejnou IP adresu. Je vyžadováno, aby tento záznam byl autodiscover.yourdomain.tld, protože tak bude hledat Outlook Autodiscover.

Konektory

Na rozdíl od Office 365, kterému jsme se věnovali v předchozím článku, místní Exchange automaticky nevytvoří pro vás konektor pro odesílání. Chcete-li tak učinit, otevřete EAC (Exchange Admin Center) a přejděte na Mail Mail> Odeslat konektory. Základní konektor pouze odešle na internet pomocí rozlišení DNS.

Pokud používáte bránu pro zasílání zpráv třetích stran, například Mimecast, nakonfigurujete ji jako vlastní konektor. Zde také nastavíte všechna vynucená připojení TLS k jiným MTA. Například Bank of America vyžaduje od svých dodavatelů vynucená připojení TLS. K tomu budete muset použít partnerský konektor.

To je také dobrá příležitost zkontrolovat vaše přijímací konektory. Zde můžete nastavit maximální velikost příchozí zprávy (výchozí hodnota je 35 MB - nezapomeňte zohlednit zhruba 33 procent režie kódování MIME), zda povolit protokolování připojení, nastavení zabezpečení, jako je vynucený TLS, a omezení IP.

Přístup klienta

Máte nakonfigurováno základní směrování pošty a můžete odesílat a přijímat e-maily. Nyní musíte připojit klienty k vašemu systému, aby jej mohli skutečně používat.

Certifikáty

V Office 365 používá Microsoft svůj vlastní jmenný prostor pro Outlook Autodiscover, Outlook Web App a připojení SMTP přes TLS. Společnost Microsoft proto používá své vlastní certifikáty. Pro místní Exchange budete muset zakoupit nové certifikáty od důvěryhodného CA, abyste umožnili důvěryhodné zabezpečené připojení k vašim systémům.

Naštěstí společnost Microsoft tento proces snadno dokončila. Chcete-li začít, otevřete EAC a přejděte na Servery> Certifikáty. Přidejte nový certifikát a zvolte generování požadavku. Otevře se průvodce a provede vás procesem. Budete mít možnost vybrat si doménu pro každý typ přístupu. V tomto příkladu jsem pro všechno použil hlavně webmail.exampleagency.com.

Po dokončení průvodce si vezměte soubor žádosti o certifikát a nahrajte jej na preferovanou certifikační autoritu (použili jsme GoDaddy). Poté obdržíte certifikát ve formě souboru CER. Jednoduše klikněte na Dokončit a importujte soubor CER, aby byl certifikát importován a povolen pro použití ve vašem prostředí.

Virtuální adresáře

Nyní, když máte nainstalovaný certifikát, je čas říct Exchange, jaké domény použít pro jaké služby. Přejděte na Servery> Virtuální adresáře. Odtud byste měli nakonfigurovat externí přístup pro každý z nich. V tomto příkladu jsme nakonfigurovali virtuální adresář OWA tak, aby používal webmail.exampleagency.com.

Je třeba diskutovat o složitějších tématech, jako jsou pole přístupu klientů a vyrovnávání zatížení, ale ty jsou nejlépe ponechány pro podrobnější prozkoumání než tento článek. Další informace najdete v dokumentaci Microsoft Exchange Server na webu TechNet.

Zabezpečení a dodržování předpisů

I když vaše data nejsou ve veřejném cloudu, musíte pečlivě zvážit zabezpečení. Pro začátek se ujistěte, že používáte pravidelné aktualizace pro Windows Server i Exchange Server. Stejná rada platí i pro účty správce; vždy používejte samostatné účty správce od běžných účtů.

Absolutně musíte udržovat přístup k administrativním úkolům omezeným na interní sítě nebo VPN, pokud nemáte v úmyslu povolit nějakou formu vícefaktorového ověřování prostřednictvím produktů třetích stran, jako je RSA SecurID.

Ujistěte se, že máte zavedeny zásady rozumného hesla. Pokyny k tomu se stále mění, ale my jsme částečně v novější myšlence používat delší hesla než složitější hesla. V naší laboratoři vyžadujeme, aby uživatelé měli 14místná hesla - minus požadavky na složitost - která vyprší každých 90 dní.

Měli byste také zvážit, zda potřebujete omezit zasílání citlivých informací prostřednictvím e-mailu, jako jsou čísla sociálního zabezpečení a čísla kreditních karet. Tato omezení můžete nakonfigurovat v části Správa souladu> Prevence ztráty dat. Společnost Microsoft poskytuje řadu šablon, které vám mohou pomoci rychle začít pracovat. V tomto příkladu používám šablonu US FTC k omezení odesílání čísel kreditních karet.

Myšlenky na jiný software

Pokud jste postupovali až sem, doufejme, že máte funkční místní systém Exchange. Nyní ji musíte chránit, zálohovat a obecně zajistit, aby zůstala online.

U antivirových řešení budete potřebovat jak celosystémový antivirový balíček v reálném čase, tak balíček, který skenuje přenášené zprávy. Společnost Microsoft poskytuje seznam požadovaných výjimek pro řadiče domény služby Active Directory a systémy Exchange Server. Řiďte se doporučeními společnosti Microsoft a nespoléhejte se na to, že je váš dodavatel antivirových programů automaticky implementuje za vás. Viděl jsem příliš mnoho antivirových balíčků pošlapávat soubory protokolu databáze poštovních schránek ihned po vybalení na to, abych jim věřil, že to udělají za vás.

Musíte také zvážit typ metod zálohování a obnovení, které chcete podporovat. Zálohujete na disk nebo na pásku? Potřebujete granulární obnovení (což je mnohem náročnější na zdroje, než obvykle stojí)? Jak daleko zpět musí vaše zálohy zajít? Existuje spousta otázek, které musíte položit sobě, svému týmu a vrcholovému vedení.

Mezi další aspekty produktu patří prevence ztráty dat, antispamový software a archivace e-mailů. V některých případech by to mohlo být vše zahrnuto v jednom balíčku. Ale ujistěte se, že má certifikaci pro práci se serverem Exchange Server 2013 a má odpovídající podporu dodavatele. Nechcete kupovat produkt, jen abyste zjistili, že byl vytvořen pro Exchange Server 2007 a má podporu pouze pro e-mail.

Závěrečné myšlenky

Nakonec si udělejte domácí úkol. Zkontrolujte, zda vaše organizace nemusí dodržovat žádné konkrétní zákony týkající se uchovávání dat, prevence ztráty dat nebo přístupu k datům. Pravidelně testujte zálohy a obnovy. Pomocí testovacího souboru EICAR se ujistěte, že váš antivirový software běží správně. Pravidelně kontrolujte své monitory výkonu, abyste se ujistili, že nemusíte znovu vyvažovat DAG nebo přidávat řadič domény. A ještě jedna věc: naučte se milovat PowerShell.

Provozování místního serveru Exchange Server je mnohem komplikovanější než pouhé přihlášení k Office 365, ale máte mnohem větší kontrolu a získáte mnohem přínosnější zážitek jako IT profesionál. Doufejme, že vám tento článek poskytne alespoň dobrý přehled o vašich možnostech a o tom, co při konfiguraci místního Exchange Serveru musíte získat. Každá organizace je jiná a tyto pokyny nemusí být ve vašem scénáři dobré. Mělo by to však stačit většině správců IT v malých firmách, kteří se chtějí rychle nastavit.

Související články