Postavke Exchange poslužitelja morate ispravno dobiti

Microsoft je uložio milijune dolara u Azure i Office 365, a njihovi konkurenti slijede njihov primjer s vlastitom vjerodostojnom javnom ponudom u oblaku. Ali rješenja u javnom oblaku nisu za svakoga. Organizacije mnogih pruga imaju opravdane razloge zbog kojih ne žele svoje ograničene podatke na sustavima izvan njihove potpune kontrole.

Za mnoge od tih entiteta lokalni poslužitelj Exchange Server mora biti poruka. Microsoft nastavlja s ažuriranjem softvera s uvjerenjem da će sva poboljšanja na njegovom stogu zasnovanom na oblaku na kraju kapnuti. Sve ove značajke sve više dodaju slojeve ionako zastrašujućem zadatku vođenja sustava razmjene poruka korporativnog razreda. Lako se izgubiti tijekom planiranja hardverskog kapaciteta, postavljanja DAG-ova (grupe dostupnosti baze podataka) i otpornosti web mjesta, konfiguriranja usmjeravanja pošte i osiguranja da se vaši korisnici stvarno mogu povezati sa sustavom.

Imajući to na umu, evo nekoliko detalja koje apsolutno morate dobiti neposredno prije otvaranja vrata vašem novom okruženju za razmjenu poruka.

Kapacitet

Prije nego što uopće preuzmete Exchange Server, trebali biste dobro shvatiti koliko će korisnika vaš sustav trebati podržati, sve ugovore na razini usluge koje imate i koliko dugo će biti potreban prozor za oporavak nakon vaše organizacije. To su vrlo duboke teme koje su daleko izvan dosega ovog članka, ali Microsoft nudi neke alate koji će vam pomoći da to isplanirate.

Prvo je članak Exchange 2013 o preporukama za veličinu i konfiguraciju na TechNetu. Provest će vas kroz osnove kao što su omjeri CPU jezgre Active Directory i CPU jezgre poslužitelja poštanskog sandučića, mrežne konfiguracije, potrebni hitni ispravci za Windows Server i konfiguracija datoteke datoteka. Ako ste upoznati s uslugom Exchange Server 2010, primijetit ćete nekoliko promjena istaknutih u ovom članku za konfiguriranje sustava Exchange 2013, poput toga da više ne preporučujete zasebnu mrežu za replikaciju.

Nakon što se upoznate s osnovnim preporukama, vrijeme je da zaronite u planiranje kapaciteta. Blog tima Exchange odličan je izvor informacija za to, a grupa je objavila sveobuhvatan pogled na to kako pravilno odrediti veličinu svog okruženja. Neka vas matematičke formule ne obeshrabre - kalkulator veličine dostupan je za preuzimanje kako bi vam olakšao postupak.

Nekoliko savjeta za TL; DR:

  • Ne petljajte se s RAID postavkama za sveske baze podataka. To je stara škola i više nije potrebna zbog poboljšanja performansi u sustavu Exchange. JBOD je u redu, posebno kada se koriste DAG-ovi za visoku dostupnost.
  • Upotrijebite jednu CPU jezgru Active Directory za svakih osam CPU jezgri poštanskog sandučića.
  • Nemojte upotrebljavati hyperthreading na fizičkim poslužiteljima poštanskih sandučića.
  • Postavite monitore performansi za kritične mjerne podatke kao što su trajanje upita AD, IOPS na diskovima vaše baze podataka i provjeru da li cijela baza podataka AD može stati u RAM.

Usmjeravanje pošte

Sve ste instalirali. Baze podataka se repliciraju. Vaša opterećenja su uravnotežena. Učinak se prati. Sada je vrijeme da prijeđete na stvarno unošenje pošte u sistem i iz njega.

Prihvaćene politike domena i adresa e-pošte

Provjerite jesu li sve vaše domene navedene s odgovarajućom vrstom domene u odjeljku Tijek pošte> Prihvaćene domene i je li vaša zadana domena točna. Ako namjeravate koristiti pravila adresa e-pošte, sada je pravo vrijeme da ih pregledate kako biste bili sigurni da ste odabrali prave domene i format korisničkog imena. To možete učiniti u odjeljku Tijek pošte> Pravila e-adrese.

DNS

Kao i za Office 365, i za DNS unose morate pravilno postaviti da bi se pošta mogla usmjeriti do vašeg sustava ili klijenti mogu automatski otkriti svoje postavke. Ovo je malo teže za lokalna rješenja jer ćete morati konfigurirati pravila vatrozida kako biste omogućili ulaz 25 ulazni na vaš prednji ili rubni transportni poslužitelj, ovisno o vašoj specifičnoj konfiguraciji.

Prvo ćete morati stvoriti zapis A za IP adresu vašeg MTA (Agent za prijenos poruka). Na primjer, u našem laboratoriju koristimo mail.exampleagency.com. Jednom kada je zapis A postavljen, stvorite MX zapis koji usmjerava na njega. Vaš davatelj usluga DNS hostinga trebao bi imati odgovarajuću dokumentaciju koja pokriva stvaranje tih zapisa.

Za automatsko otkrivanje morat ćete stvoriti ili A zapis na IP adresi vašeg klijentskog pristupnog poslužitelja ili, ako je isti kao vaš MTA, CNAME zapis koji na njega upućuje. Opet, za naš laboratorij koristimo CNAME zapis za jednog utodiscover.exampleagency.com ukazujući na mail.exampleagency.com jer su oba koriste istu IP adresu. Potrebno je da ovaj zapis bude autodiscover.yourdomain.tld jer će ga tako tražiti Outlook Autodiscover.

Konektori

Za razliku od Office 365, o kojem smo govorili u prethodnom članku, lokalni Exchange ne stvara automatski konektor za slanje za vas. Da biste to učinili, otvorite EAC (Exchange Admin Center) i prijeđite na Tok pošte> Pošalji konektore. Osnovni konektor samo će poslati na Internet putem DNS rezolucije.

Ako koristite pristupnik za razmjenu poruka nezavisnih proizvođača, poput Mimecast-a, konfigurirat ćete ga kao prilagođeni konektor. Ovdje ćete postaviti i sve prisilne TLS veze s drugim MTA-ima. Na primjer, Bank of America zahtijeva prisilne TLS veze za svoje dobavljače. Za to ćete trebati koristiti partnerski konektor.

Ovo je također dobra prilika za pregled vaših konektora za primanje. Ovdje možete postaviti maksimalnu veličinu dolazne poruke (zadana vrijednost je 35 MB - ne zaboravite uzeti u obzir približno 33 posto MIME kodiranja), hoće li se omogućiti evidentiranje veze, sigurnosne postavke poput prisilnog TLS-a i IP ograničenja.

Pristup klijenta

Konfigurirano vam je osnovno usmjeravanje pošte i možete slati i primati e-poštu. Sada trebate povezati klijente s vašim sustavom kako bi ga oni zapravo mogli koristiti.

Potvrde

Uz Office 365, Microsoft koristi vlastiti prostor imena za Outlook Autodiscover, Outlook Web App i SMTP povezivost putem TLS-a. Kao takav, Microsoft koristi vlastite certifikate. Za lokalnu razmjenu morat ćete kupiti nove certifikate od pouzdanog CA-a kako biste omogućili pouzdanu sigurnu povezanost s vašim sustavima.

Srećom, Microsoft je olakšao postupak dovršenja. Za početak otvorite EAC i idite na Poslužitelji> Potvrde. Dodajte novi certifikat i odaberite generiranje zahtjeva. Otvorit će se čarobnjak koji će vas provesti kroz postupak. Dobit ćete priliku odabrati svoju domenu za svaku vrstu pristupa. U ovom sam primjeru za sve uglavnom koristio webmail.exampleagency.com.

Kad završite s čarobnjakom, uzmite datoteku zahtjeva za certifikatom i prenesite je u željeno tijelo za izdavanje certifikata (koristili smo GoDaddy). Tada ćete dobiti certifikat u obliku CER datoteke. Jednostavno kliknite na Dovrši i uvezi CER datoteku kako bi se certifikat uvezao i omogućio za upotrebu u vašem okruženju.

Virtualni direktoriji

Sad kad ste instalirali certifikat, vrijeme je da Exchangeu kažete koje će domene koristiti za koje usluge. Idite na Poslužitelji> Virtualni direktoriji. Odavde biste trebali konfigurirati vanjski pristup za svaki. U ovom smo primjeru konfigurirali virtualni direktorij OWA za upotrebu webmail.exampleagency.com.

Postoje složenije teme za raspravu, poput niza pristupa klijenta i uravnoteženja opterećenja, ali one je najbolje ostaviti za dublje istraživanje od ovog članka. Za više informacija pogledajte Microsoftovu dokumentaciju Exchange poslužitelja na TechNetu.

Sigurnost i usklađenost

Iako se vaši podaci ne nalaze u javnom oblaku, svejedno morate pažljivo razmotriti sigurnost. Za početak provjerite primjenjujete li redovita ažuriranja na Windows poslužitelju i Exchange poslužitelju. Isti savjet vrijedi i za administratorske račune; uvijek koristite zasebne račune administratora od uobičajenih računa.

Apsolutno morate zadržati pristup administrativnim zadacima ograničenim na unutarnje mreže ili VPN-ove, osim ako namjeravate omogućiti neki oblik višefaktorske provjere autentičnosti putem proizvoda treće strane, poput RSA SecurID.

Obavezno postavite razumnu politiku lozinke. Smjernice za to se neprestano mijenjaju, ali mi se zalažemo za noviju ideju upotrebe dužih lozinki, a ne složenijih lozinki. U našem laboratoriju od korisnika tražimo lozinke od 14 znakova - umanjene za sve zahtjeve složenosti - koje ističu svakih 90 dana.

Također biste trebali razmisliti trebate li ograničiti slanje osjetljivih podataka putem e-pošte, poput brojeva socijalnog osiguranja i brojeva kreditnih kartica. Ova ograničenja možete konfigurirati u odjeljku Upravljanje usklađenošću> Sprečavanje gubitka podataka. Microsoft nudi brojne predloške koji se mogu koristiti za brže pokretanje. U ovom primjeru koristim američki predložak FTC za ograničavanje slanja brojeva kreditnih kartica.

Razmišljanja o drugom softveru

Ako ste prošli ovoliko daleko, nadamo se da imate lokalni lokalni sustav razmjene. Sada ga morate zaštititi, sigurnosno kopirati i općenito osigurati da ostane na mreži.

Za antivirusna rješenja poželjet ćete antivirusni paket u stvarnom vremenu za cijeli sustav, kao i paket koji skenira poruke u prijenosu. Microsoft nudi popis potrebnih izuzeća za kontrolere domena Active Directory i sustave Exchange Server. Obavezno slijedite Microsoftove preporuke i ne oslanjajte se na dobavljača antivirusnih programa koji će ih automatski primijeniti umjesto vas. Vidio sam da previše antivirusnih paketa gazi datoteke dnevnika baze podataka poštanskih sandučića izravno iz kutije da bih im mogao vjerovati da to čine umjesto vas.

Također morate uzeti u obzir vrstu sigurnosnih kopija i metoda vraćanja koje želite podržati. Izrađujete li sigurnosnu kopiju na disku ili traci? Trebate li zrnato vraćanje (što je mnogo više resursa nego što to obično vrijedi)? Koliko unatrag trebaju ići vaše sigurnosne kopije? Puno je pitanja koja ćete morati postaviti sebi, svom timu i višem rukovodstvu.

Ostala razmatranja proizvoda uključuju sprečavanje gubitka podataka, antispam softver i arhiviranje e-pošte. U nekim bi se slučajevima sve to moglo uključiti u jedan paket. No provjerite je li certificiran za rad s Exchange Serverom 2013 i ima li odgovarajuću podršku dobavljača. Ne želite kupiti proizvod samo da biste saznali da je napravljen za Exchange Server 2007 i da ima podršku samo putem e-pošte.

Završne misli

Na kraju, pobrinite se za domaću zadaću. Provjerite je li vaša organizacija potrebna da slijedi posebne zakone za zadržavanje podataka, sprječavanje gubitka podataka ili pristup podacima. Redovito testirajte sigurnosne kopije i obnavljanja. Upotrijebite testnu datoteku EICAR da biste provjerili radi li antivirusni softver ispravno. Redovito provjeravajte svoje monitore izvedbe kako biste bili sigurni da ne trebate ponovno uravnotežiti DAG ili dodati kontroler domene. Oh, i još nešto: naučite voljeti PowerShell.

Pokretanje lokalnog Exchange poslužitelja mnogo je složenije od jednostavne prijave za Office 365, ali imate puno veću kontrolu i kao IT stručnjak stječete mnogo korisnije iskustvo. Nadamo se da vam je ovaj članak dao barem dobar pregled vaših mogućnosti i onoga što apsolutno morate dobiti ispravno prilikom konfiguriranja lokalnog Exchange servera. Svaka je organizacija različita i ove smjernice možda nisu na raspolaganju za vaš scenarij. Međutim, to bi trebalo biti dovoljno za većinu IT administratora malih tvrtki koji žele brzo uspostaviti postavku.

Povezani članci

  • Snaga PowerShell-a: uvod za administratore Exchangea
  • Preuzimanje: Kratki vodič: Kako prijeći na Office 365
  • Preuzimanje: Microsoft Office 365 nasuprot Google Apps: konačni vodič
  • 5 Administratorske postavke za Office 365 morate pravilno ispraviti
  • 10 alata treće strane koji odgovaraju vašim potrebama sustava Office 365
  • 10 glavnih Office 365 migracija koje treba izbjeći
  • Kako migrirati Exchange poslužitelj na Office 365