Exchange servera iestatījumi, kas jums jākļūst pareizi

Microsoft ir ieguldījis miljoniem dolāru Azure un Office 365, un viņu konkurenti seko savam labticīgajam publiskajam mākoņa piedāvājumam. Bet publiski mākoņu risinājumi nav piemēroti visiem. Daudzu svītru organizācijām ir likumīgi iemesli, kāpēc viņi nevēlas, lai viņu ierobežotie dati par sistēmām būtu ārpus viņu pilnīgas kontroles.

Daudzām no šīm entītijām lokāls Exchange Server ir ziņojumapmaiņas pienākums. Microsoft turpina atjaunināt programmatūru, pārliecinoties, ka visi uzlabojumi, kas veikti tās mākoņa bāzes kaudzē, galu galā samazināsies. Šīs funkcijas arvien sarežģītāk papildina jau tā biedējošo uzdevumu - palaist uzņēmuma līmeņa ziņojumapmaiņas sistēmu. Plānojot aparatūras ietilpību, uzstādot DAG (datu bāzes pieejamības grupas) un vietnes elastību, konfigurējot pasta maršrutēšanu un pārliecinoties, ka lietotāji tiešām var izveidot savienojumu ar sistēmu, ir viegli pazust.

Paturot to prātā, šeit ir dažas detaļas, kas jums noteikti jāiegūst tieši pirms durvju atvēršanas jaunajai ziņojumapmaiņas videi.

Jauda

Pirms jūs pat lejupielādējat Exchange Server, jums vajadzētu būt labi domātam par to, cik lietotāju jūsu sistēmai būs jāatbalsta, par visiem pakalpojuma līmeņa līgumiem, kas jums varētu būt spēkā, un cik ilgs laiks jūsu organizācijai būs nepieciešams pēcavārijas atkopšanas laikā. Šīs ir ļoti dziļas tēmas, kas tālu pārsniedz šī raksta darbības jomu, taču Microsoft piedāvā dažus rīkus, kas palīdzēs to plānot.

Pirmais ir TechNet raksts Exchange 2013 lieluma un konfigurācijas ieteikumi. Tas ļaus jums iepazīties ar tādiem pamatiem kā Active Directory CPU kodols uz pastkastes servera CPU kodolu attiecībām, tīkla konfigurācija, nepieciešamie Windows Server labojumfaili un pagefile konfigurācija. Ja esat iepazinies ar Exchange Server 2010, pamanīsit dažas šajā rakstā iezīmētas izmaiņas, lai konfigurētu Exchange 2013, piemēram, vairs neiesakāt atsevišķu tīklu replikācijai.

Kad esat iepazinies ar galvenajiem ieteikumiem, ir pienācis laiks pievērsties jaudas plānošanai. Exchange komandas emuārs ir lielisks informācijas avots, un grupa ir publicējusi visaptverošu ieskatu par to, kā pareizi izmērīt savu vidi. Neuztraucieties no matemātiskajām formulām - lejupielādei ir pieejams lieluma kalkulators, kas jums palīdzēs šajā procesā.

Daži TL; DR padomi:

Nejauciet ar datu bāzes sējumu RAID iestatījumiem. Tā ir vecā skola un vairs nav nepieciešama, pateicoties Exchange veiktspējas uzlabojumiem. JBOD ir lieliski, īpaši, ja augstai pieejamībai izmantojat DAG.
Katriem astoņiem pastkastes CPU kodoliem izmantojiet vienu Active Directory procesora kodolu.
Neizmantojiet hiperizlādi fiziskās pastkastes serveros.
Iestatiet veiktspējas monitorus kritiskai metrikai, piemēram, AD vaicājuma ilgumam, IOPS datu bāzes diskos, un pārbaudiet, vai visa AD datu bāze var ievietot RAM.

Pasta maršrutēšana

Jums ir viss instalēts. Jūsu datu bāzes atkārtojas. Jūsu slodzes ir līdzsvarotas. Veiktspēja tiek uzraudzīta. Tagad ir pienācis laiks pāriet uz faktiski saņemtu pastu sistēmā un no tā.

Pieņemtie domēni un e-pasta adrešu politikas

Pārliecinieties, vai visi jūsu domēni ir norādīti ar pareizo domēna veidu sadaļā Sūtījumu plūsma> Pieņemtie domēni, un jūsu noklusējuma domēns ir pareizs. Ja plānojat izmantot e-pasta adrešu politikas, tagad ir piemērots laiks tās pārskatīt, lai pārliecinātos, ka jums ir izvēlēti pareizie domēni un lietotājvārda formāts. To var izdarīt sadaļā Pasts plūsma> E-pasta adrešu politikas.

DNS

Tāpat kā ar Office 365, arī DNS jāievieto pareizi, pirms pasts var novirzīties uz jūsu sistēmu vai klienti var automātiski atklāt savus iestatījumus. Tas ir mazliet grūtāk lokāliem risinājumiem, jo jums būs jākonfigurē ugunsmūra kārtulas, lai ļautu ienākošajam porti 25 ienākt gan priekšējā, gan malējā transporta serverī atkarībā no jūsu konkrētās konfigurācijas.

Vispirms jums būs jāizveido A ieraksts MTA (Message Transfer Agent) IP adresei. Piemēram, mēs savā laboratorijā izmantojam mail.exampleagency.com. Kad A ieraksts ir vietā, izveidojiet MX ierakstu, kas uz to norāda. Jūsu DNS mitināšanas pakalpojumu sniedzējam ir jābūt atbilstošai dokumentācijai, kas aptvertu šo ierakstu izveidi.

Lai automātiski atrastu, jums būs jāizveido vai nu A ieraksts uz klienta piekļuves servera IP adresi, vai, ja tas ir tāds pats kā jūsu MTA, CNAME ieraksts, kas uz to norāda. Atkal mūsu laboratorijai mēs izmantojam CNAME ierakstu autodiscover.exampleagency.com, norādot uz mail.exampleagency.com, jo viņi abi izmanto vienu un to pašu IP adresi. Nepieciešams, lai šis ieraksts būtu autodiscover.yourdomain.tld, jo tieši šādi to meklēs Outlook Autodiscover.

Savienotāji

Atšķirībā no Office 365, kuru mēs aplūkojām iepriekšējā rakstā, lokālā Exchange jums automātiski neizveido sūtīšanas savienotāju. Lai to izdarītu, atveriet EAC (Exchange administrēšanas centru) un dodieties uz Mail Flow> Send Connectors. Pamata savienotājs vienkārši tiks nosūtīts internetam, izmantojot DNS izšķirtspēju.

Ja izmantojat trešās puses ziņojumapmaiņas vārteju, piemēram, Mimecast, jūs to konfigurēsit kā pielāgotu savienotāju. Šeit jūs arī iestatīsit visus piespiedu TLS savienojumus ar citiem MTA. Piemēram, Bank of America saviem piegādātājiem pieprasa piespiedu TLS savienojumus. Lai to izdarītu, jums būs jāizmanto partnera savienotājs.

Šī ir arī laba iespēja pārskatīt saņemtos savienotājus. Šeit jūs varat iestatīt maksimālo ienākošā ziņojuma lielumu (noklusējums ir 35 MB - atcerieties ņemt vērā aptuveni 33 procentus MIME kodēšanas pieskaitāmās izmaksas), vai iespējot savienojuma reģistrēšanu, drošības iestatījumus, piemēram, piespiedu TLS, un IP ierobežojumus.

Klienta piekļuve

Jums ir konfigurēts pamata pasta maršrutēšana, un jūs varat nosūtīt un saņemt e-pastu. Tagad klienti ir jāsaista ar jūsu sistēmu, lai viņi to varētu reāli izmantot.

Sertifikāti

Izmantojot Office 365, Microsoft izmanto savu nosaukumvietu Outlook Autodiscover, Outlook Web App un SMTP savienojamībai, izmantojot TLS. Tādējādi Microsoft izmanto savus sertifikātus. Lai veiktu lokālu apmaiņu, jums būs jāiegādājas jauni sertifikāti no uzticamas CA, lai atļautu uzticamu drošu savienojamību ar jūsu sistēmām.

Par laimi, Microsoft ir padarījis procesu viegli pabeigtu. Lai sāktu, atveriet EAC un dodieties uz Serveri> Sertifikāti. Pievienojiet jaunu sertifikātu un izvēlieties ģenerēt pieprasījumu. Tiks atvērts vednis, kurš palīdzēs jums veikt procesu. Jums tiks dota iespēja izvēlēties savu piekļuves veidu katram domēnam. Šajā piemērā es galvenokārt izmantoju webmail.exampleagency.com.

Kad esat pabeidzis vedni, paņemiet sertifikāta pieprasījuma failu un augšupielādējiet to vēlamajā sertifikāta iestādē (mēs izmantojām GoDaddy). Pēc tam jūs saņemsiet sertifikātu CER faila formā. Vienkārši noklikšķiniet uz Pabeigt un importējiet CER failu, lai sertifikāts tiktu importēts un iespējots lietošanai jūsu vidē.

Virtuālie direktoriji

Tagad, kad jūsu sertifikāts ir instalēts, ir pienācis laiks paziņot Exchange, kādus domēnus kādiem pakalpojumiem izmantot. Pārejiet uz sadaļu Serveri> Virtuālie direktoriji. Tālāk jums katram jākonfigurē ārējā piekļuve. Šajā piemērā mēs esam konfigurējuši OWA virtuālo direktoriju, lai izmantotu vietni webmail.exampleagency.com.

Ir daudz sarežģītākas apspriežamas tēmas, piemēram, klienta piekļuves bloki un slodzes līdzsvarošana, taču tās vislabāk ir atstāt padziļinātākai izpētei nekā šajā rakstā. Lai iegūtu papildinformāciju, skatiet Microsoft Exchange Server dokumentāciju vietnē TechNet.

Drošība un atbilstība

Lai gan jūsu dati nav publiskā mākonī, jums tomēr rūpīgi jāapsver drošība. Iesācējiem pārliecinieties, vai regulāri lietojat atjauninājumus gan Windows Server, gan Exchange Server. Tas pats padoms attiecas arī uz administratora kontiem; vienmēr izmantojiet atsevišķus administratora kontus no parastajiem kontiem.

Jums noteikti ir jāsaglabā piekļuve administratīvajiem uzdevumiem, kas attiecas tikai uz iekšējiem tīkliem vai VPN, ja vien jūs neplānojat iespējot kāda veida daudzfaktoru autentifikāciju, izmantojot trešo pušu produktus, piemēram, RSA SecurID.

Pārliecinieties, vai jums ir ieviesta saprātīga paroļu politika. Norādījumi par to pastāvīgi mainās, taču mēs esam daļēji pret jaunāku ideju izmantot garākas paroles, nevis sarežģītākas paroles. Mūsu laboratorijā mēs pieprasām, lai lietotājiem būtu 14 rakstzīmju paroles - atskaitot visas sarežģītības prasības -, kuru derīguma termiņš beidzas ik pēc 90 dienām.

Jums vajadzētu arī apsvērt, vai jums ir jāierobežo slepenas informācijas sūtīšana pa e-pastu, piemēram, sociālās apdrošināšanas numurus un kredītkaršu numurus. Šos ierobežojumus varat konfigurēt sadaļā Atbilstības pārvaldība> Datu zaudēšanas novēršana. Korporācija Microsoft piedāvā vairākas veidnes, kuras var izmantot, lai ātri sāktu darbu. Šajā piemērā es izmantoju ASV FTC veidni, lai ierobežotu kredītkaršu numuru sūtīšanu.

Domas par citu programmatūru

Ja esat tik tālu sekojis, jums, cerams, ir pieejama vietējā Exchange sistēma. Tagad jums tas ir jāaizsargā, jādublē un parasti jāpārliecinās, ka tas paliek tiešsaistē.

Pretvīrusu risinājumiem jums būs nepieciešama gan visas sistēmas reāllaika antivīrusu pakete, gan pakete, kas skenē ziņojumus tranzītā. Microsoft nodrošina nepieciešamo izslēgšanu sarakstu gan Active Directory domēna kontrolleriem, gan Exchange Server sistēmām. Noteikti ievērojiet Microsoft ieteikumus un nepaļaujieties uz to, ka antivīrusu pārdevējs tos automātiski ieviesīs jūsu vietā. Esmu redzējis, ka pārāk daudz pretvīrusu pakotņu nemotē pastkastes datu bāzes žurnālfailus, lai uzticētos viņiem to darīt jūsu vietā.

Jums jāņem vērā arī dublēšanas un atjaunošanas veidu veids, kuru vēlaties atbalstīt. Vai jūs dublējat diskā vai lentē? Vai jums nepieciešama detalizēta atjaunošana (kas ir daudz resursu ietilpīgāka, nekā parasti ir vērts)? Cik tālu atpakaļ jādodas jūsu dublējumkopijām? Ir daudz jautājumu, kas jums jāuzdod sev, savai komandai un augstākajai vadībai.

Citi apsvērumi par produktu ietver datu zudumu novēršanu, surogātpasta programmatūru un e-pasta arhivēšanu. Dažos gadījumos to visu varētu iekļaut vienā iepakojumā. Bet pārliecinieties, vai tas ir sertificēts darbam ar Exchange Server 2013 un vai tam ir atbilstošs pārdevēju atbalsts. Jūs nevēlaties iegādāties produktu tikai tāpēc, lai uzzinātu, ka tas ir veidots Exchange Server 2007 un tam ir tikai e-pasta atbalsts.

Pēdējās domas

Visbeidzot, noteikti izpildiet mājasdarbus. Pārbaudiet, vai organizācijai nav jāievēro īpaši likumi par datu saglabāšanu, datu zudumu novēršanu vai piekļuvi datiem. Regulāri veiciet testēšanas dublējumus un atjaunojumus. Izmantojiet EICAR testa failu, lai pārliecinātos, vai pretvīrusu programmatūra darbojas pareizi. Regulāri pārbaudiet veiktspējas monitorus, lai pārliecinātos, ka jums nav nepieciešams līdzsvarot DAG vai pievienot domēna kontrolleri. Ak, un vēl viena lieta: iemācieties mīlēt PowerShell.

Vietējā Exchange servera palaišana ir daudz sarežģītāka nekā vienkārša reģistrēšanās Office 365, taču jums ir daudz lielāka kontrole un daudz labāka pieredze kā IT profesionālim. Šis raksts, cerams, sniedza vismaz labu pārskatu par jūsu iespējām un to, kas jums noteikti jāiegūst, konfigurējot lokālo Exchange Server. Katra organizācija ir atšķirīga, un šīs vadlīnijas var neatbilst jūsu scenārijam. Tomēr tam vajadzētu būt pietiekamam lielākajai daļai mazo uzņēmumu IT administratoru, kuri vēlas ātri izveidot darbu.

Saistītie raksti