Nastavenia servera Exchange musíte mať správne

Spoločnosť Microsoft investovala milióny dolárov do služieb Azure a Office 365 a ich konkurenti sa riadia týmto príkladom s vlastnými verejnými cloudovými ponukami. Verejné cloudové riešenia však nie sú pre každého. Organizácie s mnohými pruhmi majú legitímne dôvody, prečo nechcú svoje obmedzené údaje v systémoch mimo ich úplnej kontroly.

Pre mnohé z týchto entít je miestny Exchange Server nevyhnutným prostriedkom na zasielanie správ. Spoločnosť Microsoft pokračuje v aktualizácii softvéru s istotou, že akékoľvek vylepšenia vykonané v jeho cloudovom zásobníku budú nakoniec spadnúť. Tieto funkcie čoraz viac pridávajú vrstvy zložitosti na už tak náročnú úlohu, ktorá spočíva v spustení systému správ na úrovni podniku. Je ľahké sa stratiť, keď prechádzate plánovaním kapacity hardvéru, nastavením DAG (skupiny dostupnosti databáz) a odolnosťou stránok, konfiguráciou smerovania pošty a zabezpečením toho, aby sa vaši používatelia mohli skutočne pripojiť k systému.

S ohľadom na to je tu niekoľko podrobností, ktoré musíte bezpodmienečne získať tesne pred otvorením dverí do nového prostredia správ.

Kapacita

Predtým, ako si stiahnete Exchange Server, by ste mali mať dobrú predstavu o tom, koľko používateľov bude váš systém potrebovať podporovať, o akýchkoľvek dohodách na úrovni služieb, ktoré môžete mať v platnosti, a o tom, ako dlho bude okno vyžadujúce zotavenie po katastrofe vyžadovať vaša organizácia. Toto sú veľmi hlboké témy, ktoré ďaleko presahujú rámec tohto článku, ale spoločnosť Microsoft poskytuje niektoré nástroje, ktoré vám to pomôžu naplánovať.

Najskôr je na webe TechNet článok Odporúčania o veľkosti a konfigurácii servera Exchange 2013. Prevedie vás základmi, ako sú pomery jadra procesora Active Directory k poštovému serveru, konfigurácia siete, požadované rýchle opravy systému Windows Server a konfigurácia stránkovacieho súboru. Ak poznáte Exchange Server 2010, v tomto článku si všimnete niekoľko zmien týkajúcich sa konfigurácie servera Exchange 2013, ako napríklad odporúčanie samostatnej siete na replikáciu.

Keď sa oboznámite so základnými odporúčaniami, je čas sa ponoriť do plánovania kapacít. Blog Tímu Exchange je na tento účel skvelým zdrojom informácií a skupina zverejnila komplexný pohľad na to, ako správne prispôsobiť veľkosť vášho prostredia. Nenechajte sa odradiť matematickými vzorcami - na stiahnutie je k dispozícii kalkulačka veľkosti, ktorá vám uľahčí postup.

Niekoľko tipov TL; DR:

Nerobte si starosti s nastaveniami RAID pre vaše databázové zväzky. Je to stará škola a už to nie je potrebné kvôli zlepšeniu výkonu v serveri Exchange. JBOD je v poriadku, zvlášť keď používate DAG pre vysokú dostupnosť.
Použite jedno jadro procesora Active Directory na každých osem jadier procesora poštovej schránky.
Nepoužívajte hyperthreading na serveroch fyzických poštových schránok.
Nastavte monitory výkonu pre kritické metriky, ako je trvanie dotazu AD, IOPS na vašich databázových diskoch a overenie, či sa celá databáza AD zmestí do pamäte RAM.

Smerovanie pošty

Máte všetko nainštalované. Vaše databázy sa replikujú. Vaše zaťaženie je vyvážené. Výkon sa sleduje. Teraz je čas prejsť na skutočné prijímanie pošty do a z vášho systému.

Pravidlá akceptovaných domén a e-mailových adries

Skontrolujte, či sú všetky vaše domény uvedené so správnym typom domény v časti Tok pošty> Akceptované domény, a vaša predvolená doména je správna. Ak máte v úmysle použiť zásady e-mailových adries, je teraz vhodný čas ich skontrolovať, aby ste sa ubezpečili, že máte vybrané správne domény a formát používateľského mena. Môžete to urobiť v časti Tok pošty> Zásady e-mailovej adresy.

DNS

Rovnako ako v prípade služieb Office 365, aj predtým, ako bude pošta smerovať do vášho systému, alebo až potom budú môcť klienti automaticky nájsť svoje nastavenia, musíte mať správne nastavené záznamy DNS. To je pre miestne riešenia trochu zložitejšie, pretože budete musieť nakonfigurovať pravidlá brány firewall tak, aby umožňovali port 25 prichádzajúci na vaše front-endové alebo okrajové transportné servery v závislosti od konkrétnej konfigurácie.

Najprv budete musieť vytvoriť záznam A pre IP adresu vášho MTA (Agent pre prenos správ). Napríklad v našom laboratóriu používame mail.exampleagency.com. Keď je záznam A na mieste, vytvorte záznam MX, ktorý na neho ukazuje. Váš poskytovateľ hostingu DNS by mal mať adekvátnu dokumentáciu na pokrytie vytvárania týchto záznamov.

Pri automatickom zisťovaní budete musieť vytvoriť buď záznam A na adresu IP servera klienta, alebo ak je rovnaký ako váš MTA, záznam CNAME ukazujúci na tento server. Opäť pre naše laboratórium používame záznam CNAME z autodiscover.exampleagency.com ukazuje na mail.exampleagency.com, pretože obidve používajú rovnakú adresu IP. Je požadované, aby bol tento záznam autodiscover.yourdomain.tld, pretože tak ho bude vyhľadávať program Outlook Autodiscover.

Konektory

Na rozdiel od služieb Office 365, ktorým sme sa venovali v predchádzajúcom článku, lokálna Exchange pre vás automaticky nevytvára konektor na odosielanie. Ak to chcete urobiť, otvorte EAC (Exchange Admin Center) a prejdite do časti Mail Flow> Send Connectors. Základný konektor sa iba odošle na internet pomocou rozlíšenia DNS.

Ak používate bránu na odosielanie správ tretích strán, napríklad Mimecast, nakonfigurujete ju ako vlastný konektor. Tu tiež nastavíte akékoľvek vynútené pripojenia TLS k iným MTA. Napríklad Bank of America vyžaduje od svojich dodávateľov vynútené pripojenia TLS. Na tento účel budete musieť použiť partnerský konektor.

Je to tiež dobrá príležitosť na skontrolovanie prijímacích konektorov. Tu môžete nastaviť maximálnu veľkosť prichádzajúcej správy (predvolená hodnota je 35 MB - nezabudnite zohľadniť zhruba 33 percent réžie kódovania MIME), či chcete povoliť protokolovanie spojenia, bezpečnostné nastavenia, ako je vynútený protokol TLS, a obmedzenia IP.

Prístup klienta

Máte nakonfigurované základné smerovanie pošty a môžete odosielať a prijímať e-maily. Teraz musíte pripojiť klientov k vášmu systému, aby ho mohli skutočne používať.

Osvedčenia

V prípade služieb Office 365 používa Microsoft vlastný vlastný priestor názvov pre pripojenie Outlook Autodiscover, Outlook Web App a pripojenie SMTP cez TLS. Spoločnosť Microsoft preto používa svoje vlastné certifikáty. Pre lokálnu Exchange budete musieť kúpiť nové certifikáty od dôveryhodnej CA, aby ste umožnili dôveryhodné zabezpečené pripojenie k vašim systémom.

Spoločnosť Microsoft našťastie uľahčila dokončenie procesu. Ak chcete začať, otvorte EAC a prejdite na Servery> Certifikáty. Pridajte nový certifikát a zvoľte generovanie žiadosti. Otvorí sa sprievodca a prevedie vás procesom. Dostanete príležitosť zvoliť si doménu pre každý typ prístupu. V tomto príklade som na všetko použil hlavne webmail.exampleagency.com.

Po dokončení sprievodcu vezmite súbor so žiadosťou o certifikát a nahrajte ho na svoju preferovanú certifikačnú autoritu (použili sme GoDaddy). Potom dostanete certifikát vo forme súboru CER. Stačí kliknúť na Dokončiť a importovať súbor CER, aby sa certifikát importoval a povolil pre použitie vo vašom prostredí.

Virtuálne adresáre

Teraz, keď máte nainštalovaný svoj certifikát, je čas povedať Exchangeu, ktoré domény majú pre aké služby používať. Prejdite na Servery> Virtuálne adresáre. Odtiaľ by ste mali nakonfigurovať externý prístup pre každý z nich. V tomto príklade sme nakonfigurovali virtuálny adresár OWA tak, aby používal webmail.exampleagency.com.

Je potrebné diskutovať o zložitejších témach, ako sú napríklad polia prístupu klientov a vyrovnávanie zaťaženia, ale tie je lepšie ponechať na hlbší prieskum ako tento článok. Ďalšie informácie nájdete v dokumentácii servera Microsoft Exchange Server na webe TechNet.

Bezpečnosť a dodržiavanie predpisov

Aj keď vaše dáta nie sú vo verejnom cloude, musíte starostlivo zvážiť bezpečnosť. Pre začiatočníkov používajte pravidelné aktualizácie pre Windows Server aj Exchange Server. Rovnaké pokyny platia aj pre účty správcov; vždy používajte samostatné účty správcu od bežných účtov.

Absolútne musíte ponechať prístup k administratívnym úlohám obmedzený na interné siete alebo VPN, pokiaľ nemáte v úmysle povoliť nejakú formu viacfaktorovej autentifikácie prostredníctvom produktov tretích strán, ako je RSA SecurID.

Uistite sa, že máte zavedené zásady rozumného hesla. Pokyny k tomu sa stále menia, ale čiastočne sa zameriavame na novšiu myšlienku používania dlhších hesiel než zložitejších. V našom laboratóriu vyžadujeme, aby používatelia mali 14-znakové heslá - mínus akékoľvek zložité požiadavky - ktoré vypršia každých 90 dní.

Mali by ste tiež zvážiť, či potrebujete obmedziť zasielanie citlivých informácií prostredníctvom e-mailu, ako sú čísla sociálneho zabezpečenia a čísla kreditných kariet. Tieto obmedzenia môžete nakonfigurovať v časti Správa súladu> Prevencia straty dát. Spoločnosť Microsoft poskytuje množstvo šablón, ktoré vám môžu pomôcť pri rýchlom uvedení do prevádzky. V tomto príklade používam šablónu FTC z USA na obmedzenie odosielania čísel kreditných kariet.

Myšlienky na iný softvér

Ak ste to dotiahli až sem, dúfajme, že máte funkčný lokálny systém Exchange. Teraz ho musíte chrániť, zálohovať a všeobecne sa uistiť, že zostáva online.

Pre antivírusové riešenia budete potrebovať celosystémový antivírusový balík v reálnom čase, ako aj balík, ktorý skenuje správy pri prenose. Spoločnosť Microsoft poskytuje zoznam požadovaných vylúčení pre radiče domény Active Directory aj pre systémy Exchange Server. Postupujte podľa odporúčaní spoločnosti Microsoft a nespoliehajte sa na to, že ich dodávateľ antivírusových programov automaticky implementuje za vás. Videl som príliš veľa antivírusových balíkov pošliapavajúcich súbory denníka databázy poštových schránok ihneď po vybalení na to, aby som im dôveroval, že to urobia za vás.

Musíte tiež zvážiť typ metód zálohovania a obnovy, ktoré chcete podporovať. Zálohujete na disk alebo pásku? Potrebujete granulárne obnovenie (ktoré je oveľa náročnejšie na zdroje, ako sa zvyčajne oplatí)? Ako ďaleko dozadu musia ísť vaše zálohy? Je veľa otázok, ktoré musíte položiť sebe, svojmu tímu a vrcholovému manažmentu.

Medzi ďalšie úvahy o produkte patrí prevencia straty údajov, antispamový softvér a archivácia e-mailov. V niektorých prípadoch by to mohlo byť všetko v jednom balíku. Uistite sa však, že je certifikovaný na prácu so serverom Exchange Server 2013 a má primeranú podporu dodávateľa. Nechcete kupovať produkt, len aby ste zistili, že bol zostavený pre server Exchange Server 2007 a má iba e-mailovú podporu.

Záverečné myšlienky

Na záver si urobte domácu úlohu. Skontrolujte, či vaša organizácia nemusí dodržiavať žiadne konkrétne zákony týkajúce sa uchovávania údajov, prevencie straty údajov alebo prístupu k údajom. Pravidelne robte testovacie zálohy a obnovy. Použite testovací súbor EICAR na zaistenie správneho fungovania antivírusového softvéru. Pravidelne kontrolujte svoje monitory výkonu, aby ste sa ubezpečili, že nemusíte znova vyvážiť DAG alebo pridať radič domény. A ešte jedna vec: naučte sa milovať PowerShell.

Prevádzka lokálneho servera Exchange Server je oveľa komplikovanejšia ako obyčajná registrácia do služieb Office 365, ale máte oveľa väčšiu kontrolu a získate oveľa príjemnejšiu skúsenosť ako profesionál v oblasti IT. Dúfajme, že vám tento článok priniesol aspoň dobrý prehľad o vašich možnostiach a o tom, čo musíte pri konfigurácii lokálneho servera Exchange Server získať. Každá organizácia je iná a tieto pokyny sa môžu vo vašom scenári líšiť. Malo by to však stačiť pre väčšinu správcov IT v malých firmách, ktorí sa chcú rýchlo pripraviť.

Súvisiace články