Tetapan Exchange Server anda mesti betul

Microsoft telah melaburkan berjuta-juta dolar untuk Azure dan Office 365, dan pesaing mereka mengikuti dengan tawaran awan awam yang tulus. Tetapi penyelesaian awan awam bukan untuk semua orang. Organisasi yang mempunyai banyak jalur mempunyai alasan yang sah untuk tidak menginginkan data terhad mereka pada sistem di luar kawalan mereka sepenuhnya.

Bagi sebilangan besar entiti ini, Exchange Server di tempat adalah mustahak pesanan. Microsoft terus mengemas kini perisian dengan jaminan bahawa sebarang penambahbaikan yang dibuat pada tumpukan berasaskan awan akhirnya akan turun. Semakin banyak, ciri-ciri ini menambahkan lapisan kerumitan pada tugas yang sudah menakutkan untuk menjalankan sistem pesanan kelas perusahaan. Sangat mudah tersesat ketika melalui perancangan kapasiti perkakasan, menyiapkan DAG (kumpulan ketersediaan pangkalan data) dan ketahanan laman web, mengkonfigurasi perutean mel, dan memastikan pengguna anda benar-benar dapat menyambung ke sistem.

Oleh itu, berikut adalah beberapa butiran yang mesti anda perolehi sebelum membuka pintu ke persekitaran pesanan baru anda.

Kapasiti

Sebelum anda memuat turun Exchange Server, anda harus mempunyai idea yang baik tentang berapa banyak pengguna yang perlu disokong oleh sistem anda, perjanjian tahap perkhidmatan apa pun yang mungkin anda buat, dan berapa lama masa pemulihan bencana yang diperlukan oleh organisasi anda. Ini adalah topik yang sangat mendalam yang jauh di luar ruang lingkup artikel ini, tetapi Microsoft menyediakan beberapa alat untuk membantu anda merancangnya.

Yang pertama adalah artikel Cadangan Pengukuran dan Konfigurasi Exchange 2013 di TechNet. Ini akan membawa anda melalui asas-asas seperti inti CPU Direktori Aktif ke nisbah inti CPU pelayan peti mel, konfigurasi rangkaian, perbaikan terbaru Windows Server yang diperlukan, dan konfigurasi halamanfile. Sekiranya anda biasa dengan Exchange Server 2010, anda akan melihat beberapa perubahan yang disorot dalam artikel ini untuk mengkonfigurasi Exchange 2013, seperti tidak lagi mengesyorkan rangkaian yang terpisah untuk replikasi.

Setelah anda membiasakan diri dengan cadangan utama, inilah masanya untuk menyelami perancangan kapasiti. Blog Pasukan Pertukaran adalah sumber maklumat yang baik untuk ini, dan kumpulan itu telah menerbitkan tinjauan menyeluruh tentang cara mengukur persekitaran anda dengan betul. Jangan putus asa dengan formula matematik - kalkulator ukuran tersedia untuk dimuat turun untuk membantu memudahkan anda melalui prosesnya.

Beberapa petua TL; DR:

  • Jangan main-main dengan persediaan RAID untuk jumlah pangkalan data anda. Itu sekolah lama dan tidak lagi diperlukan kerana peningkatan prestasi di Exchange. JBOD baik, istimewa apabila menggunakan DAG untuk ketersediaan tinggi.
  • Gunakan satu inti CPU Direktori Aktif untuk setiap lapan teras CPU peti mel.
  • Jangan gunakan hyperthreading pada pelayan peti mel fizikal.
  • Sediakan monitor prestasi untuk metrik kritikal seperti tempoh pertanyaan AD, IOPS pada cakera pangkalan data anda, dan mengesahkan keseluruhan pangkalan data AD dapat dimuatkan dalam RAM.

Penghantaran mel

Anda sudah memasang semuanya. Pangkalan data anda digandakan. Beban anda seimbang. Prestasi sedang dipantau. Kini tiba masanya untuk beralih masuk ke dalam dan keluar dari sistem anda.

Dasar domain dan alamat e-mel yang diterima

Pastikan semua domain anda disenaraikan dengan jenis domain yang sesuai di bawah Aliran Mel> Domain yang Diterima, dan domain lalai anda betul. Sekiranya anda berhasrat menggunakan dasar alamat e-mel, sekarang adalah masa yang tepat untuk meninjaunya untuk memastikan anda mempunyai domain dan format nama pengguna yang betul. Anda boleh melakukannya di bawah Aliran Mel> Dasar Alamat E-mel.

DNS

Seperti Office 365, anda perlu menyiapkan entri DNS anda dengan betul sebelum surat dapat merute ke sistem anda atau klien dapat mengetahui sendiri tetapan mereka. Ini agak sukar bagi penyelesaian di tempat kerana anda perlu mengkonfigurasi peraturan firewall untuk membolehkan port 25 masuk ke pelayan pengangkutan depan atau tepi anda bergantung pada konfigurasi khusus anda.

Anda perlu membuat catatan A untuk alamat IP MTA anda (Mesej Pemindahan Mesej) terlebih dahulu. Sebagai contoh, kami menggunakan mail.exampleagency.com di makmal kami. Setelah rekod A tersedia, buat rekod MX yang menunjukkannya. Penyedia hosting DNS anda harus mempunyai dokumentasi yang mencukupi untuk merangkumi pembuatan rekod ini.

Untuk penemuan automatik, anda perlu membuat catatan A ke alamat IP pelayan akses pelanggan anda atau, jika sama dengan MTA anda, rekod CNAME menunjuknya. Sekali lagi, untuk makmal kami, kami menggunakan rekod CNAME untuk yang menunjuk utodiscover.exampleagency.com untuk mail.exampleagency.com sejak mereka menggunakan alamat IP yang sama. Diperlukan agar rekod ini menjadi autodiscover.yourdomain.tld kerana itulah cara Outlook Autodiscover akan mencarinya.

Penyambung

Tidak seperti Office 365, yang kami bahas dalam artikel sebelumnya, Exchange di tempat tidak secara automatik membuat penyambung hantar untuk anda. Untuk melakukannya, buka EAC (Exchange Admin Center) dan arahkan ke Mail Flow> Send Connectors. Penyambung asas hanya akan dihantar ke Internet melalui resolusi DNS.

Sekiranya anda menggunakan gerbang pemesejan pihak ketiga seperti Mimecast, anda akan mengkonfigurasinya sebagai penyambung tersuai. Di sinilah anda akan membuat sebarang sambungan TLS yang dikuatkuasakan ke MTA lain. Sebagai contoh, Bank of America memerlukan sambungan TLS yang dikuatkuasakan untuk vendornya. Untuk ini, anda perlu menggunakan penyambung Rakan kongsi.

Ini juga merupakan peluang yang baik untuk menyemak penyambung penerimaan anda. Di sini anda dapat menetapkan ukuran mesej masuk maksimum (lalai adalah 35MB - ingatlah kira-kira 33 peratus overhead pengekodan MIME), sama ada untuk mengaktifkan log masuk, tetapan keselamatan seperti TLS yang dikuatkuasakan, dan sekatan IP.

Akses pelanggan

Anda mempunyai konfigurasi penghalaan e-mel asas dan anda boleh menghantar dan menerima e-mel. Sekarang anda perlu menghubungkan pelanggan ke sistem anda supaya mereka benar-benar dapat menggunakannya.

Sijil

Dengan Office 365, Microsoft menggunakan ruang namanya sendiri untuk Outlook Autodiscover, Outlook Web App, dan sambungan SMTP melalui TLS. Oleh itu, Microsoft menggunakan sijilnya sendiri. Untuk Pertukaran di tempat, anda perlu membeli sijil baru dari CA yang dipercayai untuk membolehkan sambungan selamat yang dipercayai ke sistem anda.

Nasib baik, Microsoft menjadikan prosesnya mudah diselesaikan. Untuk memulakan, buka EAC dan arahkan ke Pelayan> Sijil. Tambahkan sijil baru dan pilih untuk menghasilkan permintaan. Ahli sihir akan membuka dan memandu anda melalui prosesnya. Anda akan diberi peluang untuk memilih domain anda untuk setiap jenis akses. Dalam contoh ini, saya terutamanya menggunakan webmail.exampleagency.com untuk semuanya.

Setelah anda menyelesaikan wizard, bawa fail permintaan sijil anda dan muat naik ke pihak berkuasa sijil pilihan anda (kami menggunakan GoDaddy). Anda kemudian akan menerima sijil dalam bentuk fail CER. Cukup klik pada Selesaikan dan import fail CER agar sijil diimport dan diaktifkan untuk digunakan di persekitaran anda.

Direktori maya

Sekarang setelah anda memasang sijil anda, inilah masanya untuk memberitahu Exchange domain mana yang akan digunakan untuk perkhidmatan apa. Navigasi ke Pelayan> Direktori Maya. Dari sini, anda harus mengkonfigurasi akses luaran untuk setiap satu. Dalam contoh ini, kami telah mengkonfigurasi direktori maya OWA untuk menggunakan webmail.exampleagency.com.

Terdapat topik yang lebih rumit untuk dibincangkan seperti susunan akses pelanggan dan pengimbangan beban, tetapi topik yang paling baik ditinggalkan untuk penerokaan yang lebih mendalam daripada artikel ini. Untuk maklumat lebih lanjut, lihat dokumentasi Microsoft Exchange Server di TechNet.

Keselamatan dan pematuhan

Walaupun data anda tidak berada di awan awam, anda masih perlu mempertimbangkan keselamatan dengan teliti. Sebagai permulaan, pastikan anda menggunakan kemas kini berkala ke Windows Server dan Exchange Server. Nasihat yang sama untuk akaun pentadbir juga berlaku; selalu gunakan akaun pentadbir yang berasingan dari akaun biasa.

Anda mesti memastikan akses kepada tugas pentadbiran terhad kepada rangkaian dalaman atau VPN melainkan anda berhasrat untuk mengaktifkan beberapa bentuk pengesahan multifaktor melalui produk pihak ketiga seperti RSA SecurID.

Pastikan anda mempunyai polisi kata laluan yang sesuai. Petunjuk mengenai hal ini terus berubah, tetapi kami berpisah dengan idea yang lebih baru untuk menggunakan kata laluan yang lebih panjang daripada kata laluan yang lebih kompleks. Di makmal kami, kami menghendaki pengguna mempunyai kata laluan 14 aksara - tanpa syarat kerumitan - yang tamat setiap 90 hari.

Anda juga harus mempertimbangkan sama ada anda perlu menyekat menghantar maklumat sensitif melalui e-mel seperti nombor Jaminan Sosial dan nombor kad kredit. Anda boleh mengkonfigurasi sekatan ini di bawah Pengurusan Pematuhan> Pencegahan Kehilangan Data. Microsoft menyediakan sejumlah templat yang dapat digunakan untuk membantu anda bangun dan berjalan dengan cepat. Dalam contoh ini, saya menggunakan templat FTC AS untuk menyekat penghantaran nombor kad kredit.

Pemikiran mengenai perisian lain

Sekiranya anda mengikuti sejauh ini, semoga anda mempunyai sistem Pertukaran di tempat yang berfungsi. Sekarang anda perlu melindunginya, menyandarkannya, dan secara amnya memastikannya tetap dalam talian.

Untuk penyelesaian antivirus, anda memerlukan pakej antivirus masa nyata dan keseluruhan sistem serta pakej yang mengimbas mesej dalam perjalanan. Microsoft menyediakan senarai pengecualian yang diperlukan untuk kedua-dua pengawal domain Direktori Aktif dan sistem Exchange Server. Pastikan untuk mengikuti cadangan Microsoft dan jangan bergantung pada vendor antivirus anda untuk melaksanakannya secara automatik untuk anda. Saya telah melihat terlalu banyak pakej antivirus yang memalsukan fail log pangkalan data peti mel sehingga tidak boleh dipercayai untuk melakukannya untuk anda.

Anda juga perlu mempertimbangkan jenis kaedah sandaran dan pemulihan yang anda mahu sokong. Adakah anda membuat sandaran ke cakera atau pita? Adakah anda memerlukan pemulihan terperinci (yang jauh lebih intensif sumber daripada biasanya)? Sejauh mana sandaran anda perlu pergi? Terdapat banyak soalan yang perlu anda tanyakan kepada diri sendiri, pasukan anda, dan pengurusan atasan.

Pertimbangan produk lain termasuk pencegahan kehilangan data, perisian antispam, dan pengarkiban e-mel. Dalam beberapa kes, ini semua boleh dimasukkan dalam satu pakej. Tetapi pastikan ia diperakui untuk berfungsi dengan Exchange Server 2013 dan mempunyai sokongan vendor yang mencukupi. Anda tidak mahu membeli produk hanya untuk mengetahui produk itu dibuat untuk Exchange Server 2007 dan mempunyai sokongan hanya e-mel.

Pemikiran terakhir

Akhir sekali, pastikan membuat kerja rumah anda. Periksa untuk memastikan organisasi anda tidak perlu mengikuti undang-undang khusus untuk penyimpanan data, pencegahan kehilangan data, atau akses data. Lakukan ujian sandaran dan pulihkan secara berkala. Gunakan fail ujian EICAR untuk memastikan perisian antivirus anda berjalan dengan betul. Periksa monitor prestasi anda secara berkala untuk memastikan anda tidak perlu mengimbangi DAG atau menambahkan pengawal domain. Oh, dan satu perkara lagi: belajar mencintai PowerShell.

Menjalankan Exchange Server di tempat jauh lebih rumit daripada sekadar mendaftar ke Office 365, tetapi anda mempunyai kawalan lebih banyak dan mendapat pengalaman yang jauh lebih memuaskan sebagai profesional IT. Artikel ini diharapkan memberi anda gambaran keseluruhan yang paling baik mengenai pilihan anda dan apa yang anda mesti betul ketika mengkonfigurasi Exchange Server di tempat. Setiap organisasi berbeza, dan panduan ini mungkin tidak sesuai untuk senario anda. Akan tetapi, ini cukup untuk kebanyakan pentadbir IT perniagaan kecil yang ingin segera siap.

Artikel berkaitan

  • Kekuatan PowerShell: Pengenalan untuk pentadbir Exchange
  • Muat turun: Panduan pantas: Cara berpindah ke Office 365
  • Muat turun: Microsoft Office 365 lwn Google Apps: Panduan utama
  • 5 Tetapan pentadbir Office 365 anda mesti betul
  • 10 alat pihak ketiga yang sesuai dengan keperluan Office 365 anda
  • 10 perkara utama penghijrahan Office 365 untuk dielakkan
  • Cara memindahkan pelayan Exchange anda ke Office 365