Exchange Server-indstillingerne skal du have ret

Microsoft har investeret millioner af dollars i Azure og Office 365, og deres konkurrenter følger efter med deres egne ærlige offentlige cloud-tilbud. Men offentlige cloud-løsninger er ikke for alle. Organisationer med mange striber har legitime grunde til ikke at ønske deres begrænsede data på systemer uden for deres samlede kontrol.

For mange af disse enheder er lokal Exchange-server et must-messaging. Microsoft fortsætter med at opdatere softwaren med sikkerhed for, at eventuelle forbedringer af dens skybaserede stak til sidst vil sive ned. Disse funktioner tilføjer i stigende grad lag af kompleksitet til den allerede skræmmende opgave at køre et virksomhedsniveau messaging-system. Det er let at gå vild, når man gennemgår planlægning af hardwarekapacitet, opsætning af DAG'er (databasetilgængelighedsgrupper) og webstedsmodstandsdygtighed, konfiguration af mail-routing og sørg for, at dine brugere faktisk kan oprette forbindelse til systemet.

Med det i tankerne er her et par detaljer, du absolut skal have lige inden du åbner dørene til dit nye messaging-miljø.

Kapacitet

Før du overhovedet downloader Exchange Server, skal du have en god idé om, hvor mange brugere dit system skal understøtte, eventuelle serviceniveauaftaler, du måtte have på plads, og hvor længe et katastrofegendannelsesvindue din organisation vil kræve. Dette er meget dybe emner, der ligger langt uden for denne artikels anvendelsesområde, men Microsoft giver nogle værktøjer, der hjælper dig med at planlægge dette.

Først er artiklen Exchange 2013 Størrelses- og konfigurationsanbefalinger på TechNet. Det fører dig gennem det grundlæggende, såsom Active Directory CPU-kerne til postkasseserver CPU-kerneforhold, netværkskonfiguration, krævede Windows Server-hotfixes og sidefilekonfiguration. Hvis du er fortrolig med Exchange Server 2010, vil du bemærke et par ændringer fremhævet i denne artikel til konfiguration af Exchange 2013, såsom ikke længere at anbefale et separat netværk til replikering.

Når du først har gjort dig bekendt med kerneanbefalingerne, er det tid til at dykke ned i kapacitetsplanlægning. Exchange Team Blog er en god kilde til information til dette, og gruppen har offentliggjort et omfattende kig på, hvordan man korrekt kan dimensionere dit miljø. Lad dig ikke modløse af de matematiske formler - en størrelsesberegner er tilgængelig til download for at gøre det lettere for dig gennem processen.

Et par TL; DR-tip:

Gør ikke rod med RAID-opsætninger til dine databasevolumener. Det er old school og ikke længere nødvendigt på grund af præstationsforbedringer i Exchange. JBOD er fint, specielt når du bruger DAG'er til høj tilgængelighed.
Brug en Active Directory CPU-kerne til hver otte CPU-kerner i postkassen.
Brug ikke hyperthreading på fysiske postkasseservere.
Konfigurer ydeevnemonitorer til kritiske metrics som AD-forespørgselsvarighed, IOPS på dine databasediske og verificering af hele AD-databasen kan passe i RAM.

Routing af mail

Du har alt installeret. Dine databaser replikerer. Dine belastninger er afbalancerede. Ydelsen overvåges. Nu er det tid til at gå videre til faktisk at få mail ind og ud af dit system.

Accepterede domæner og e-mail-adressepolitikker

Sørg for, at alle dine domæner er angivet med den korrekte domænetype under Mailflow> Accepterede domæner, og at dit standarddomæne er korrekt. Hvis du agter at bruge e-mail-adressepolitikker, er det nu et godt tidspunkt at gennemgå dem for at sikre dig, at du har de rigtige domæner og brugernavnformat valgt. Du kan gøre det under Mail Flow> E-mail-adresse-politikker.

DNS

Som med Office 365 er du nødt til at få dine DNS-poster indstillet korrekt, før mail kan rute til dit system, eller klienter kan automatisk opdage deres indstillinger. Dette er lidt sværere for lokale løsninger, fordi du bliver nødt til at konfigurere firewallregler for at tillade port 25 indgående til enten dine front-end- eller edge-transportservere afhængigt af din specifikke konfiguration.

Du skal først oprette en A-post for IP-adressen til din MTA (Message Transfer Agent). For eksempel bruger vi mail.exampleagency.com i vores laboratorium. Når A-posten er på plads, skal du oprette en MX-post, der peger på den. Din DNS-hostingudbyder skal have tilstrækkelig dokumentation til at dække oprettelsen af disse poster.

Til autodiscover skal du oprette enten en A-post til IP-adressen på din klientadgangsserver eller, hvis den er den samme som din MTA, en CNAME-post, der peger på den. Igen til vores laboratorium bruger vi en CNAME-registrering af -enutodiscover.exampleagency.com peger på mail.exampleagency.com, da de begge bruger den samme IP-adresse. Det kræves, at denne post er autodiscover.yourdomain.tld, da det er sådan, Outlook Autodiscover vil se efter den.

Stik

I modsætning til Office 365, som vi dækkede i en tidligere artikel, opretter lokal Exchange ikke automatisk et send-stik til dig. For at gøre det skal du åbne EAC (Exchange Admin Center) og navigere til Mail Flow> Send connectors. Et grundlæggende stik sender kun ud til Internettet via DNS-opløsning.

Hvis du bruger en tredjeparts messaging-gateway såsom Mimecast, konfigurerer du det som et brugerdefineret stik. Dette er også her, hvor du opretter eventuelle tvungne TLS-forbindelser til andre MTA'er. For eksempel kræver Bank of America tvungne TLS-forbindelser til sine leverandører. Til dette skal du bruge et Partner-stik.

Dette er også en god mulighed for at gennemgå dine modtageforbindelser. Her kan du indstille maksimal indkommende beskedstørrelse (standard er 35MB - husk at tage højde for den omkring 33 procent MIME-kodende overhead), uanset om du vil aktivere forbindelseslogning, sikkerhedsindstillinger såsom tvungen TLS og IP-begrænsninger.

Klientadgang

Du har konfigureret den grundlæggende mail-routing, og du kan sende og modtage e-mail. Nu skal du få kunder tilsluttet dit system, så de rent faktisk kan bruge det.

Certifikater

Med Office 365 bruger Microsoft sit eget navneområde til Outlook Autodiscover, Outlook Web App og SMTP-forbindelse over TLS. Som sådan bruger Microsoft sine egne certifikater. For lokal udveksling skal du købe nye certifikater fra en betroet CA for at give tillid til sikker forbindelse til dine systemer.

Heldigvis har Microsoft gjort processen let at gennemføre. For at starte skal du åbne EAC og navigere til Servere> Certifikater. Tilføj et nyt certifikat, og vælg at generere en anmodning. En guide åbner og leder dig gennem processen. Du får mulighed for at vælge dit domæne for hver adgangstype. I dette eksempel har jeg hovedsagelig brugt webmail.exampleagency.com til alt.

Når du er færdig med guiden, skal du tage din certifikatanmodningsfil og uploade den til din foretrukne certifikatmyndighed (vi brugte GoDaddy). Du modtager derefter certifikatet i form af en CER-fil. Du skal blot klikke på Komplet og importere CER-filen for at få certifikatet importeret og aktiveret til brug i dit miljø.

Virtuelle mapper

Nu hvor dit certifikat er installeret, er det tid til at fortælle Exchange, hvilke domæner der skal bruges til hvilke tjenester. Naviger til Servere> Virtuelle mapper. Herfra skal du konfigurere ekstern adgang til hver enkelt. I dette eksempel har vi konfigureret det virtuelle OWA-bibliotek til at bruge webmail.exampleagency.com.

Der er mere komplekse emner at diskutere, såsom klientadgangsarrays og belastningsafbalancering, men de er bedst tilbage til en mere dybtgående udforskning end denne artikel. For mere information, se Microsofts Exchange Server-dokumentation på TechNet.

Sikkerhed og overholdelse

Selvom dine data ikke er i en offentlig sky, skal du stadig overveje sikkerhed nøje. For det første skal du sørge for at anvende regelmæssige opdateringer til både Windows Server og Exchange Server. Det samme råd til administratorkonti gælder også; Brug altid separate administratorkonti fra almindelige konti.

Du skal absolut holde adgang til administrative opgaver begrænset til interne netværk eller VPN'er, medmindre du har til hensigt at aktivere en eller anden form for multifaktorautentificering via tredjepartsprodukter såsom RSA SecurID.

Sørg for, at du har en fornuftig adgangskodepolitik på plads. Vejledningen om dette ændrer sig konstant, men vi er delvis del af den nyere idé om at bruge længere adgangskoder end mere komplekse adgangskoder. I vores laboratorium kræver vi, at brugerne har adgangskoder på 14 tegn - minus eventuelle kompleksitetskrav - der udløber hver 90. dag.

Du bør også overveje, om du har brug for at begrænse afsendelse af følsomme oplysninger via e-mail, såsom personnumre og kreditkortnumre. Du kan konfigurere disse begrænsninger under Compliance Management> Data Loss Prevention. Microsoft leverer en række skabeloner, der kan bruges til at hjælpe dig med at komme i gang hurtigt. I dette eksempel bruger jeg den amerikanske FTC-skabelon til at begrænse afsendelse af kreditkortnumre.

Tanker om anden software

Hvis du har fulgt dette hidtil, har du forhåbentlig et fungerende Exchange-system. Nu skal du beskytte det, sikkerhedskopiere det og generelt sørge for, at det forbliver online.

For antivirusløsninger vil du have både en systemdækkende realtids antiviruspakke samt en pakke, der scanner beskeder under transport. Microsoft giver en liste over påkrævede undtagelser for både Active Directory-domænecontrollere og Exchange Server-systemer. Sørg for at følge Microsofts anbefalinger og ikke stole på, at din antivirusudbyder automatisk implementerer disse for dig. Jeg har set for mange antiviruspakker trampe postkassedatabase-logfiler ud af kassen til at stole på dem til at gøre det for dig.

Du skal også overveje den type sikkerhedskopierings- og gendannelsesmetoder, du vil understøtte. Sikkerhedskopierer du disk eller tape? Har du brug for granuleret gendannelse (hvilket er langt mere ressourceintensivt, end det normalt er værd)? Hvor langt tilbage skal dine sikkerhedskopier gå? Der er mange spørgsmål, du skal stille dig selv, dit team og den øverste ledelse.

Andre produktovervejelser inkluderer forebyggelse af datatab, antispam-software og arkivering af e-mail. I nogle tilfælde kan dette alt sammen være inkluderet i en enkelt pakke. Men sørg for, at det er certificeret til at arbejde med Exchange Server 2013 og har tilstrækkelig leverandørsupport. Du vil ikke kun købe et produkt for at finde ud af, at det blev bygget til Exchange Server 2007 og kun har e-mail-support.

Afsluttende tanker

Endelig skal du sørge for at lave dit hjemmearbejde. Kontroller for at sikre, at din organisation ikke behøver at følge nogen specifik lovgivning for datalagring, forebyggelse af datatab eller dataadgang. Test regelmæssigt sikkerhedskopier og gendannelser. Brug EICAR-testfilen til at sikre dig, at din antivirussoftware kører korrekt. Kontroller rutinemæssigt dine præstationsskærme for at sikre, at du ikke behøver at balancere en DAG eller tilføje en domænecontroller. Åh, og en ting til: lær at elske PowerShell.

At køre en lokal Exchange Server er langt mere kompliceret end blot at tilmelde dig Office 365, men du har meget mere kontrol og får en langt mere givende oplevelse som IT-professionel. Denne artikel gav forhåbentlig dig i det mindste et godt overblik over dine muligheder, og hvad du absolut skal have ret, når du konfigurerer den lokale Exchange-server. Hver organisation er forskellig, og denne vejledning kan være uden for markeringen for dit scenario. Det skal dog være tilstrækkeligt for de fleste it-administratorer af små virksomheder, der ønsker at blive oprettet hurtigt.

Relaterede artikler