Programiranje

Nastavitve strežnika Exchange morate dobiti pravilno

Microsoft je v Azure in Office 365 vložil milijone dolarjev, njihovi konkurenti pa jim sledijo z lastno verodostojno ponudbo javnih oblakov. Toda rešitve v javnem oblaku niso za vsakogar. Mnogočlanske organizacije imajo upravičene razloge, da ne želijo, da bi bili njihovi omejeni podatki v sistemih izven njihovega popolnega nadzora.

Za mnoge od teh entitet je lokalni strežnik Exchange Server obvezen pošiljanje sporočil. Microsoft še naprej posodablja programsko opremo z zagotovilom, da bodo morebitne izboljšave njegovega sklada v oblaku sčasoma popustile. Te lastnosti vse bolj dodajajo sloje zapletenosti že tako zastrašujoče naloge vodenja sistema sporočil v podjetniškem razredu. Z lahkoto se lahko izgubite med načrtovanjem zmogljivosti strojne opreme, nastavitvijo DAG-ov (skupin razpoložljivosti baz podatkov) in odpornosti strani, konfiguriranjem usmerjanja pošte in zagotavljanjem, da se lahko uporabniki dejansko povežejo s sistemom.

S tem v mislih je tu nekaj podrobnosti, ki jih morate nujno dobiti tik pred odpiranjem vrat v novo okolje za sporočanje.

Zmogljivost

Preden celo prenesete Exchange Server, morate dobro vedeti, koliko uporabnikov bo moral vaš sistem podpirati, morebitne sporazume na ravni storitve, ki jih imate, in kako dolgo bo potrebno okno za obnovitev po katastrofi. To so zelo globoke teme, ki daleč presegajo obseg tega članka, vendar Microsoft ponuja nekaj orodij, ki vam bodo pomagala pri načrtovanju tega.

Najprej je članek o priporočilih za velikost in konfiguracijo Exchange 2013 o TechNetu. Popeljale vas bodo skozi osnove, kot so razmerja med jedri CPU Active Directory in CPU strežnika nabiralnika, konfiguracija omrežja, potrebni hitri popravki za Windows Server in konfiguracija datotek strani. Če poznate Exchange Server 2010, boste opazili nekaj sprememb, poudarjenih v tem članku za konfiguriranje Exchange 2013, na primer ne priporoča več ločenega omrežja za kopiranje.

Ko se seznanite z osnovnimi priporočili, je čas, da se poglobite v načrtovanje zmogljivosti. Blog Exchange Team je odličen vir informacij za to, skupina pa je objavila izčrpen pregled, kako pravilno prilagoditi svoje okolje. Naj vas matematične formule ne odvrnejo - na voljo vam je kalkulator velikosti, ki vam olajša postopek.

Nekaj ​​nasvetov za TL; DR:

  • Ne mešajte se z nastavitvami RAID za količine podatkovne baze. To je stara šola in zaradi izboljšanja učinkovitosti v Exchangeu ni več potrebno. JBOD je v redu, še posebej pri uporabi DAG-ov za visoko razpoložljivost.
  • Za vsakih osem jeder CPU nabiralnika uporabite eno jedro procesorja Active Directory.
  • Ne uporabljajte hyperthreadinga na fizičnih strežnikih nabiralnikov.
  • Nastavite monitorje uspešnosti za kritične meritve, kot so trajanje poizvedbe AD, IOPS na diskih vaše baze podatkov in preverjanje, ali lahko celotna baza podatkov AD ustreza RAM-u.

Usmerjanje pošte

Vse imate nameščeno. Vaše zbirke podatkov se kopirajo. Vaša obremenitev je uravnotežena. Uspešnost se spremlja. Zdaj je čas, da dejansko vnesete pošto v sistem in iz njega.

Sprejete politike domen in e-poštnih naslovov

Prepričajte se, da so vse vaše domene navedene z ustrezno vrsto domene v razdelku Potek pošte> Sprejete domene in da je vaša privzeta domena pravilna. Če nameravate uporabljati pravilnike o e-poštnih naslovih, je zdaj pravi čas, da jih pregledate, da se prepričate, da ste izbrali pravo domeno in obliko uporabniškega imena. To lahko storite v razdelku Tok pošte> Pravilniki o e-poštnih naslovih.

DNS

Tako kot pri storitvi Office 365, morate tudi vnose DNS pravilno nastaviti, preden lahko pošta preusmeri v vaš sistem ali odjemalci samodejno odkrijejo svoje nastavitve. To je nekoliko težje za krajevne rešitve, ker boste morali konfigurirati pravila požarnega zidu, da bodo vrata 25 dovoljena dohodna bodisi na prednji ali robni transportni strežnik, odvisno od vaše posebne konfiguracije.

Najprej boste morali ustvariti zapis A za naslov IP vašega MTA (agent za prenos sporočil). Na primer, v našem laboratoriju uporabljamo mail.exampleagency.com. Ko je zapis A na svojem mestu, ustvarite zapis MX, ki kaže nanj. Vaš ponudnik gostovanja DNS bi moral imeti ustrezno dokumentacijo, ki bi pokrivala ustvarjanje teh evidenc.

Za samodejno odkrivanje boste morali ustvariti zapis A na naslov IP vašega odjemalskega strežnika za dostop ali, če je enak vašemu MTA, zapis CNAME, ki kaže nanj. Spet za svoj laboratorij uporabljamo zapis CNAME o autodiscover.exampleagency.com, ki kaže na mail.exampleagency.com, saj oba uporabljata isti naslov IP. Ta zapis mora biti autodiscover.yourdomain.tld, saj ga bo tako iskal Outlook Autodiscover.

Konektorji

Za razliko od Officea 365, o katerem smo govorili v prejšnjem članku, lokalna Exchange za vas samodejno ne ustvari konektorja za pošiljanje. To storite tako, da odprete EAC (Exchange Admin Center) in se pomaknete do Mail Flow> Send Connectors. Osnovni konektor bo samo poslal prek interneta prek ločljivosti DNS.

Če uporabljate neodvisni prehod za sporočanje, kot je Mimecast, ga boste konfigurirali kot konektor po meri. Tu boste tudi nastavili kakršne koli vsiljene povezave TLS z drugimi MTA-ji. Banka Amerike na primer zahteva prisilne povezave TLS za svoje prodajalce. Za to boste morali uporabiti partnerski konektor.

To je tudi dobra priložnost za pregled konektorjev za sprejemanje. Tu lahko nastavite največjo velikost dohodnega sporočila (privzeto je 35 MB - ne pozabite upoštevati približno 33-odstotnega režijskega kodiranja MIME), ali naj omogočite beleženje povezav, varnostne nastavitve, kot je vsiljena TLS, in omejitve IP.

Dostop odjemalca

Konfigurirano je osnovno usmerjanje pošte in lahko pošiljate in prejemate e-pošto. Zdaj morate odjemalce povezati z vašim sistemom, da ga lahko dejansko uporabljajo.

Potrdila

Microsoft s sistemom Office 365 uporablja svoj imenski prostor za povezljivost Outlook Autodiscover, Outlook Web App in SMTP prek TLS. Kot taka Microsoft uporablja lastna potrdila. Za lokalno izmenjavo boste morali kupiti nova potrdila od zaupanja vrednega overitelja potrdil, da omogočite zaupanja vredno varno povezljivost z vašimi sistemi.

Na srečo je Microsoft postopek olajšal. Za začetek odprite EAC in se pomaknite do Strežniki> Potrdila. Dodajte novo potrdilo in izberite generiranje zahteve. Čarovnik vas bo odprl in vas vodil skozi postopek. Dobili boste priložnost, da izberete svojo domeno za vsako vrsto dostopa. V tem primeru sem za vse v glavnem uporabil webmail.exampleagency.com.

Ko končate čarovnika, vzemite datoteko s prošnjo za potrdilo in jo naložite v želeni overitelj (uporabili smo GoDaddy). Nato boste prejeli potrdilo v obliki datoteke CER. Preprosto kliknite Dokončaj in uvozi datoteko CER, da bo potrdilo uvoženo in omogočeno za uporabo v vašem okolju.

Navidezni imeniki

Zdaj, ko imate potrdilo nameščeno, je čas, da Exchangeu sporočite, katere domene naj uporabljajo za katere storitve. Pomaknite se do Strežniki> Navidezni imeniki. Od tu bi morali konfigurirati zunanji dostop za vsakega posebej. V tem primeru smo konfigurirali navidezni imenik OWA za uporabo webmail.exampleagency.com.

Obstajajo bolj zapletene teme, kot so na primer odjemalski nizi in uravnoteženje obremenitve, vendar jih je najbolje pustiti za bolj poglobljeno raziskovanje kot ta članek. Za več informacij glejte Microsoftovo dokumentacijo Exchange Server na TechNetu.

Varnost in skladnost

Čeprav vaši podatki niso v javnem oblaku, morate še vedno skrbno pretehtati varnost. Za začetek preverite, ali uporabljate redne posodobitve za Windows Server in Exchange Server. Enak nasvet velja tudi za skrbniške račune; vedno uporabljaj ločene skrbniške račune od običajnih računov.

Absolutno morate imeti dostop do skrbniških nalog, omejenih na notranja omrežja ali VPN-je, razen če nameravate omogočiti neko obliko večfaktorskega preverjanja pristnosti prek neodvisnih izdelkov, kot je RSA SecurID.

Prepričajte se, da imate smiselno politiko gesel. Navodila za to se nenehno spreminjajo, vendar smo bolj privrženi novejši zamisli o uporabi daljših gesel in ne bolj zapletenih gesel. V našem laboratoriju moramo od uporabnikov imeti gesla s 14 znaki - brez zahtevnosti -, ki potečejo vsakih 90 dni.

Razmislite tudi o tem, ali morate omejiti pošiljanje občutljivih podatkov po e-pošti, kot so številke socialne varnosti in številke kreditnih kartic. Te omejitve lahko konfigurirate v razdelku Upravljanje skladnosti> Preprečevanje izgube podatkov. Microsoft ponuja številne predloge, s katerimi lahko hitro začnete delovati. V tem primeru za omejitev pošiljanja številk kreditnih kartic uporabljam ameriško predlogo FTC.

Misli o drugi programski opremi

Če ste šli tako daleč, upate, da imate delujoč sistem Exchange. Zdaj ga morate zaščititi, varnostno kopirati in na splošno poskrbeti, da ostane v spletu.

Za protivirusne rešitve boste želeli tako sistemski, sprotni protivirusni paket kot tudi paket, ki skenira sporočila v tranzitu. Microsoft ponuja seznam zahtevanih izključitev za krmilnike domen Active Directory in sisteme Exchange Server. Upoštevajte Microsoftova priporočila in se ne zanašajte na ponudnika protivirusnih programov, ki jih bo samodejno uvedel namesto vas. Videl sem, da preveč protivirusnih paketov nenehno gazi dnevniške datoteke zbirke podatkov nabiralnika, da bi jim lahko zaupal, da bodo to storili namesto vas.

Upoštevati morate tudi vrsto načinov varnostnega kopiranja in obnovitve, ki jih želite podpirati. Ali varnostno kopirate na disk ali trak? Ali potrebujete natančno obnovitev (ki je veliko bolj zahtevna, kot je običajno vredna)? Kako daleč nazaj morajo iti varnostne kopije? Obstaja veliko vprašanj, ki jih boste morali zastaviti sebi, svoji ekipi in vodstvu.

Drugi pomisleki glede izdelkov vključujejo preprečevanje izgube podatkov, programsko opremo za preprečevanje neželene pošte in arhiviranje e-pošte. V nekaterih primerih bi lahko bilo vse to vključeno v en paket. Prepričajte se, da je certificiran za delo z Exchange Server 2013 in da ima ustrezno podporo ponudnikov. Izdelka ne želite kupiti samo zato, da bi ugotovili, da je bil izdelan za Exchange Server 2007 in ima podporo samo po e-pošti.

Zadnje misli

Nazadnje poskrbite za domače naloge. Preverite, ali se vaši organizaciji ni treba držati posebnih zakonov za hrambo podatkov, preprečevanje izgube podatkov ali dostop do podatkov. Redno preizkušajte varnostne kopije in obnavljanja. S preskusno datoteko EICAR se prepričajte, da se protivirusna programska oprema pravilno izvaja. Redno preverjajte monitorje učinkovitosti in se prepričajte, da vam ni treba ponovno uravnotežiti DAG ali dodati krmilnika domene. Oh, in še nekaj: naučite se ljubiti PowerShell.

Zagon lokalnega strežnika Exchange Server je veliko bolj zapleten kot zgolj prijava za Office 365, vendar imate veliko več nadzora in kot IT-strokovnjak dobite veliko bolj koristno izkušnjo. Upajmo, da vam je ta članek dal vsaj dober pregled vaših možnosti in tega, kar morate nujno dobiti, ko konfigurirate lokalni strežnik Exchange. Vsaka organizacija je drugačna in te smernice morda ne ustrezajo vašemu scenariju. Vendar bi moralo zadostovati, da se večina skrbnikov informacijske tehnologije za mala podjetja želi hitro postaviti.

Povezani članki

  • Moč PowerShell: uvod za skrbnike Exchange
  • Prenesi: Kratek vodnik: Kako preiti na Office 365
  • Prenesi: Microsoft Office 365 v primerjavi z Google Apps: najboljši vodnik
  • 5 Skrbniške nastavitve za Office 365 morate dobiti pravilno
  • 10 drugih orodij, ki ustrezajo vašim potrebam sistema Office 365
  • 10 glavnih selitev Office 365, ki se jim je treba izogniti
  • Kako preseliti strežnik Exchange v Office 365
$config[zx-auto] not found$config[zx-overlay] not found