Οι ρυθμίσεις του Exchange Server που πρέπει να λάβετε σωστά

Η Microsoft έχει επενδύσει εκατομμύρια δολάρια σε Azure και Office 365, και οι ανταγωνιστές τους ακολουθούν τις δικές τους καλές προσφορές δημόσιου cloud. Αλλά οι λύσεις για το δημόσιο cloud δεν είναι για όλους. Οι οργανισμοί πολλών λωρίδων έχουν νόμιμους λόγους να μην θέλουν τα περιορισμένα δεδομένα τους σε συστήματα πέρα από τον απόλυτο έλεγχό τους.

Για πολλές από αυτές τις οντότητες, ο Exchange Server εσωτερικού χώρου πρέπει να είναι ένα μήνυμα. Η Microsoft συνεχίζει να ενημερώνει το λογισμικό με τη διαβεβαίωση ότι τυχόν βελτιώσεις που έγιναν στη στοίβα που βασίζεται σε σύννεφο τελικά θα μειωθεί. Όλο και περισσότερο, αυτές οι λειτουργίες προσθέτουν επίπεδα πολυπλοκότητας στην ήδη αποθαρρυντική εργασία της λειτουργίας ενός συστήματος ανταλλαγής μηνυμάτων για επιχειρήσεις. Είναι εύκολο να χαθείτε όταν περνάτε από τον προγραμματισμό χωρητικότητας υλικού, τη ρύθμιση DAG (ομάδες διαθεσιμότητας βάσης δεδομένων) και την ανθεκτικότητα του ιστότοπου, τη διαμόρφωση της δρομολόγησης αλληλογραφίας και τη διασφάλιση ότι οι χρήστες σας μπορούν πραγματικά να συνδεθούν στο σύστημα.

Έχοντας αυτό κατά νου, εδώ είναι μερικές λεπτομέρειες που πρέπει απολύτως να πάρετε σωστά πριν ανοίξετε τις πόρτες στο νέο περιβάλλον ανταλλαγής μηνυμάτων.

Χωρητικότητα

Πριν ακόμη πραγματοποιήσετε λήψη του Exchange Server, θα πρέπει να έχετε μια καλή ιδέα για το πόσους χρήστες θα χρειαστεί να υποστηρίξει το σύστημά σας, τυχόν συμφωνίες σε επίπεδο υπηρεσίας που μπορεί να έχετε εφαρμόσει και για πόσο διάστημα θα χρειαστεί ένα παράθυρο αποκατάστασης καταστροφών. Αυτά είναι πολύ βαθιά θέματα που υπερβαίνουν πολύ το πεδίο αυτού του άρθρου, αλλά η Microsoft παρέχει ορισμένα εργαλεία για να σας βοηθήσει να το σχεδιάσετε.

Πρώτα επάνω είναι το άρθρο Προτάσεις μεγέθους και διαμόρφωσης του Exchange 2013 στο TechNet. Θα σας καθοδηγήσει στα βασικά στοιχεία, όπως οι αναλογίες πυρήνα CPU Active Directory σε διακομιστή γραμματοκιβωτίων, διαμόρφωση δικτύωσης, απαιτούμενες επείγουσες επιδιορθώσεις διακομιστή Windows και διαμόρφωση αρχείου σελίδας. Εάν είστε εξοικειωμένοι με τον Exchange Server 2010, θα παρατηρήσετε μερικές αλλαγές που επισημαίνονται σε αυτό το άρθρο για τη ρύθμιση παραμέτρων του Exchange 2013, όπως δεν συνιστάται πλέον ένα ξεχωριστό δίκτυο για αναπαραγωγή.

Μόλις εξοικειωθείτε με τις βασικές προτάσεις, ήρθε η ώρα να εμβαθύνετε στον σχεδιασμό χωρητικότητας. Το Exchange Team Blog είναι μια εξαιρετική πηγή πληροφοριών για αυτό, και η ομάδα έχει δημοσιεύσει μια ολοκληρωμένη ματιά στο πώς να σωστά το μέγεθος του περιβάλλοντός σας. Μην αποθαρρύνεστε από τους μαθηματικούς τύπους - μια αριθμομηχανή μεγέθους είναι διαθέσιμη για λήψη για να σας διευκολύνει στη διαδικασία.

Μερικές συμβουλές TL; DR:

Μην χάσετε τις ρυθμίσεις RAID για τους τόμους της βάσης δεδομένων σας. Αυτό είναι παλιό σχολείο και δεν είναι πλέον απαραίτητο λόγω βελτιώσεων απόδοσης στο Exchange. Το JBOD είναι εντάξει, ιδιαίτερα όταν χρησιμοποιείτε DAG για υψηλή διαθεσιμότητα.
Χρησιμοποιήστε έναν πυρήνα CPU Active Directory για κάθε οκτώ πυρήνες CPU γραμματοκιβωτίου.
Μην χρησιμοποιείτε υπερθέματα σε φυσικούς διακομιστές γραμματοκιβωτίου.
Ρυθμίστε τις οθόνες απόδοσης για κρίσιμες μετρήσεις, όπως η διάρκεια του ερωτήματος AD, το IOPS στους δίσκους της βάσης δεδομένων σας και η επαλήθευση ότι ολόκληρη η βάση δεδομένων AD μπορεί να χωρέσει στη μνήμη RAM.

Δρομολόγηση αλληλογραφίας

Έχετε όλα τα εγκατεστημένα. Οι βάσεις δεδομένων σας αναπαράγονται. Τα φορτία σας είναι ισορροπημένα. Η απόδοση παρακολουθείται. Τώρα ήρθε η ώρα να προχωρήσουμε στην πραγματική αποστολή αλληλογραφίας μέσα και έξω από το σύστημά σας.

Αποδεκτοί τομείς και πολιτικές διευθύνσεων email

Βεβαιωθείτε ότι όλοι οι τομείς σας παρατίθενται με τον κατάλληλο τύπο τομέα στην ενότητα Ροή αλληλογραφίας> Αποδεκτοί τομείς και ότι ο προεπιλεγμένος τομέας σας είναι σωστός. Εάν σκοπεύετε να χρησιμοποιήσετε πολιτικές διευθύνσεων ηλεκτρονικού ταχυδρομείου, τώρα είναι η κατάλληλη στιγμή να τις ελέγξετε για να βεβαιωθείτε ότι έχετε επιλέξει τους κατάλληλους τομείς και τη μορφή ονόματος χρήστη. Μπορείτε να το κάνετε στην ενότητα Ροή αλληλογραφίας> Πολιτικές διευθύνσεων ηλεκτρονικού ταχυδρομείου.

DNS

Όπως και με το Office 365, θα πρέπει να ρυθμίσετε σωστά τις καταχωρίσεις DNS σας για να μπορέσει η αλληλογραφία να δρομολογήσει το σύστημά σας ή οι πελάτες να εντοπίσουν αυτόματα τις ρυθμίσεις τους. Αυτό είναι λίγο πιο δύσκολο για λύσεις εσωτερικής εγκατάστασης, διότι θα πρέπει να διαμορφώσετε κανόνες τείχους προστασίας ώστε να επιτρέπεται η είσοδος της θύρας 25 είτε στους διακομιστές μεταφοράς front-end ή edge ανάλογα με τη συγκεκριμένη διαμόρφωση.

Θα πρέπει πρώτα να δημιουργήσετε μια εγγραφή A για τη διεύθυνση IP του MTA σας (πράκτορας μεταφοράς μηνυμάτων). Για παράδειγμα, χρησιμοποιούμε το mail.exampleagency.com στο εργαστήριό μας. Μόλις δημιουργηθεί η εγγραφή A, δημιουργήστε μια εγγραφή MX που δείχνει. Ο πάροχος φιλοξενίας DNS θα πρέπει να διαθέτει επαρκή τεκμηρίωση για κάλυψη της δημιουργίας αυτών των εγγραφών.

Για αυτόματη ανακάλυψη, θα πρέπει να δημιουργήσετε μια εγγραφή A στη διεύθυνση IP του διακομιστή πρόσβασης πελάτη σας ή, εάν είναι ίδια με το MTA σας, μια εγγραφή CNAME που δείχνει. Και πάλι, για το εργαστήριό μας χρησιμοποιούμε μια εγγραφή CNAME έναutodiscover.exampleagency.com που δείχνει το mail.exampleagency.com καθώς και οι δύο χρησιμοποιούν την ίδια διεύθυνση IP. Απαιτείται αυτή η εγγραφή να είναι autodiscover.yourdomain.tld δεδομένου ότι έτσι θα το αναζητήσει το Outlook Autodiscover.

Συνδετήρες

Σε αντίθεση με το Office 365, το οποίο καλύψαμε σε ένα προηγούμενο άρθρο, το Exchange εσωτερικής εγκατάστασης δεν δημιουργεί αυτόματα μια σύνδεση αποστολής για εσάς. Για να το κάνετε αυτό, ανοίξτε το EAC (Exchange Admin Center) και μεταβείτε στη ροή αλληλογραφίας> Αποστολή εφαρμογών σύνδεσης. Ένας βασικός σύνδεσμος θα στείλει απλώς στο Διαδίκτυο μέσω ανάλυσης DNS.

Εάν χρησιμοποιείτε πύλη ανταλλαγής μηνυμάτων τρίτου μέρους, όπως το Mimecast, θα το διαμορφώσετε ως προσαρμοσμένη εφαρμογή σύνδεσης. Αυτό είναι επίσης το σημείο όπου θα ρυθμίσετε τυχόν επιβεβλημένες συνδέσεις TLS με άλλα MTA. Για παράδειγμα, η Bank of America απαιτεί ενισχυμένες συνδέσεις TLS για τους προμηθευτές της. Για αυτό, θα πρέπει να χρησιμοποιήσετε μια εφαρμογή σύνδεσης Partner.

Αυτή είναι επίσης μια καλή ευκαιρία για έλεγχο των συνδέσμων λήψης. Εδώ μπορείτε να ορίσετε το μέγιστο μέγεθος εισερχόμενου μηνύματος (η προεπιλογή είναι 35MB - θυμηθείτε να λάβετε υπόψη το 33% περίπου υπερυψωμένης κωδικοποίησης MIME), είτε θα ενεργοποιήσετε την καταγραφή σύνδεσης, ρυθμίσεις ασφαλείας όπως επιβεβλημένοι TLS και περιορισμούς IP.

Πρόσβαση πελάτη

Έχετε ρυθμίσει τη βασική δρομολόγηση αλληλογραφίας και μπορείτε να στείλετε και να λάβετε email. Τώρα πρέπει να συνδέσετε τους πελάτες με το σύστημά σας, ώστε να μπορούν πραγματικά να το χρησιμοποιήσουν.

Πιστοποιητικά

Με το Office 365, η Microsoft χρησιμοποιεί το δικό της χώρο ονομάτων για το Outlook Autodiscover, το Outlook Web App και τη σύνδεση SMTP μέσω TLS. Ως εκ τούτου, η Microsoft χρησιμοποιεί τα δικά της πιστοποιητικά. Για το Exchange εσωτερικής εγκατάστασης, θα χρειαστεί να αγοράσετε νέα πιστοποιητικά από μια αξιόπιστη αρχή για να επιτρέψετε την αξιόπιστη ασφαλή συνδεσιμότητα στα συστήματά σας.

Ευτυχώς, η Microsoft έκανε τη διαδικασία εύκολη στην ολοκλήρωση. Για να ξεκινήσετε, ανοίξτε το EAC και μεταβείτε στην επιλογή Διακομιστές> Πιστοποιητικά. Προσθέστε ένα νέο πιστοποιητικό και επιλέξτε να δημιουργήσετε ένα αίτημα. Ένας οδηγός θα ανοίξει και θα σας καθοδηγήσει στη διαδικασία. Θα σας δοθεί η ευκαιρία να επιλέξετε τον τομέα σας για κάθε τύπο πρόσβασης. Σε αυτό το παράδειγμα, έχω χρησιμοποιήσει κυρίως το webmail.exampleagency.com για τα πάντα.

Μόλις ολοκληρώσετε τον οδηγό, πάρτε το αρχείο αιτήματος πιστοποιητικού και ανεβάστε το στην αρχή έκδοσης πιστοποιητικών που προτιμάτε (χρησιμοποιήσαμε το GoDaddy). Στη συνέχεια, θα λάβετε το πιστοποιητικό με τη μορφή αρχείου CER. Απλώς κάντε κλικ στο πλήκτρο και εισαγάγετε το αρχείο CER για να εισαχθεί και να ενεργοποιηθεί το πιστοποιητικό για χρήση στο περιβάλλον σας.

Εικονικοί κατάλογοι

Τώρα που έχετε εγκαταστήσει το πιστοποιητικό σας, ήρθε η ώρα να πείτε στο Exchange ποιοι τομείς θα χρησιμοποιηθούν για ποιες υπηρεσίες. Πλοηγηθείτε στους διακομιστές> Εικονικοί κατάλογοι. Από εδώ, θα πρέπει να ρυθμίσετε την εξωτερική πρόσβαση για κάθε μία. Σε αυτό το παράδειγμα, έχουμε ρυθμίσει τον εικονικό κατάλογο OWA ώστε να χρησιμοποιεί το webmail.exampleagency.com.

Υπάρχουν πιο περίπλοκα θέματα που πρέπει να συζητηθούν, όπως πίνακες πρόσβασης πελάτη και εξισορρόπηση φορτίου, αλλά αυτά είναι καλύτερα για μια διεξοδική εξερεύνηση από αυτό το άρθρο. Για περισσότερες πληροφορίες, ανατρέξτε στην τεκμηρίωση του Microsoft Exchange Server στο TechNet.

Ασφάλεια και συμμόρφωση

Παρόλο που τα δεδομένα σας δεν βρίσκονται σε δημόσιο σύννεφο, πρέπει να λάβετε προσεκτικά υπόψη την ασφάλεια. Για αρχάριους, βεβαιωθείτε ότι εφαρμόζετε τακτικές ενημερώσεις τόσο στον Windows Server όσο και στον Exchange Server. Ισχύει επίσης η ίδια συμβουλή για λογαριασμούς διαχειριστή. να χρησιμοποιείτε πάντα ξεχωριστούς λογαριασμούς διαχειριστή από κανονικούς λογαριασμούς.

Πρέπει απολύτως να διατηρήσετε την πρόσβαση σε εργασίες διαχείρισης που περιορίζονται σε εσωτερικά δίκτυα ή VPN, εκτός εάν σκοπεύετε να ενεργοποιήσετε κάποια μορφή ελέγχου ταυτότητας πολλαπλών παραγόντων μέσω προϊόντων τρίτων όπως το RSA SecurID.

Βεβαιωθείτε ότι έχετε εφαρμόσει μια λογική πολιτική κωδικού πρόσβασης. Η καθοδήγηση σχετικά με αυτό συνεχίζει να αλλάζει, αλλά είμαστε εν μέρει στη νεότερη ιδέα της χρήσης μεγαλύτερων κωδικών πρόσβασης και όχι πιο σύνθετων κωδικών πρόσβασης. Στο εργαστήριό μας, απαιτούμε από τους χρήστες να έχουν κωδικούς πρόσβασης 14 χαρακτήρων - μείον τυχόν απαιτήσεις πολυπλοκότητας - που λήγουν κάθε 90 ημέρες.

Θα πρέπει επίσης να εξετάσετε εάν πρέπει να περιορίσετε την αποστολή ευαίσθητων πληροφοριών μέσω email, όπως αριθμοί κοινωνικής ασφάλισης και αριθμοί πιστωτικών καρτών. Μπορείτε να διαμορφώσετε αυτούς τους περιορισμούς στην ενότητα Διαχείριση συμμόρφωσης> Πρόληψη απώλειας δεδομένων. Η Microsoft παρέχει έναν αριθμό προτύπων που μπορούν να χρησιμοποιηθούν για να σας βοηθήσουν να ξεκινήσετε και να τρέχετε γρήγορα. Σε αυτό το παράδειγμα, χρησιμοποιώ το πρότυπο FTC των ΗΠΑ για να περιορίσω την αποστολή αριθμών πιστωτικών καρτών.

Σκέψεις για άλλο λογισμικό

Εάν το έχετε ακολουθήσει μέχρι τώρα, ελπίζουμε ότι έχετε ένα σύστημα Exchange εσωτερικής εγκατάστασης. Τώρα πρέπει να το προστατεύσετε, να το δημιουργήσετε αντίγραφα ασφαλείας και, γενικά, να βεβαιωθείτε ότι παραμένει στο διαδίκτυο.

Για λύσεις προστασίας από ιούς, θα θέλετε τόσο ένα πακέτο προστασίας από ιούς σε πραγματικό χρόνο όσο και ένα πακέτο που σαρώνει μηνύματα κατά τη μεταφορά. Η Microsoft παρέχει μια λίστα απαιτούμενων εξαιρέσεων τόσο για τους ελεγκτές τομέα Active Directory όσο και για τα συστήματα Exchange Server. Φροντίστε να ακολουθήσετε τις προτάσεις της Microsoft και να μην βασίζεστε στον προμηθευτή προστασίας από ιούς για να τις εφαρμόσετε αυτόματα για εσάς. Έχω δει πάρα πολλά πακέτα προστασίας από ιούς να καταπατούν τα αρχεία καταγραφής βάσης δεδομένων γραμματοκιβωτίων έξω από το κουτί για να τα εμπιστεύομαι για να το κάνουν για εσάς.

Πρέπει επίσης να εξετάσετε τον τύπο των μεθόδων δημιουργίας αντιγράφων ασφαλείας και επαναφοράς που θέλετε να υποστηρίξετε. Δημιουργείτε αντίγραφα ασφαλείας σε δίσκο ή κασέτα; Χρειάζεστε αναλυτική επαναφορά (η οποία είναι πολύ πιο έντονη από τον πόρο από ό, τι συνήθως αξίζει); Πόσο πίσω χρειάζονται τα αντίγραφα ασφαλείας σας; Υπάρχουν πολλές ερωτήσεις που πρέπει να κάνετε στον εαυτό σας, στην ομάδα σας και στην ανώτερη διοίκηση.

Άλλες εκτιμήσεις προϊόντων περιλαμβάνουν την πρόληψη απώλειας δεδομένων, λογισμικό antispam και αρχειοθέτηση email. Σε ορισμένες περιπτώσεις, όλα αυτά θα μπορούσαν να συμπεριληφθούν σε ένα μόνο πακέτο. Αλλά βεβαιωθείτε ότι είναι πιστοποιημένο ότι λειτουργεί με τον Exchange Server 2013 και διαθέτει επαρκή υποστήριξη προμηθευτή. Δεν θέλετε να αγοράσετε ένα προϊόν μόνο για να μάθετε ότι δημιουργήθηκε για τον Exchange Server 2007 και έχει υποστήριξη μόνο μέσω email.

Τελικές σκέψεις

Τέλος, φροντίστε να κάνετε την εργασία σας. Ελέγξτε για να βεβαιωθείτε ότι ο οργανισμός σας δεν χρειάζεται να ακολουθεί συγκεκριμένους νόμους για τη διατήρηση δεδομένων, την πρόληψη απώλειας δεδομένων ή την πρόσβαση στα δεδομένα. Κάντε τα αντίγραφα ασφαλείας και επαναφέρετε τακτικά. Χρησιμοποιήστε το δοκιμαστικό αρχείο EICAR για να βεβαιωθείτε ότι το λογισμικό προστασίας από ιούς εκτελείται σωστά. Ελέγχετε τακτικά τις οθόνες απόδοσης για να βεβαιωθείτε ότι δεν χρειάζεται να εξισορροπήσετε ξανά ένα DAG ή να προσθέσετε έναν ελεγκτή τομέα. Ω, και ένα ακόμη πράγμα: μάθετε να αγαπάτε το PowerShell.

Η εκτέλεση ενός εσωτερικού διακομιστή Exchange είναι πολύ πιο περίπλοκη από την απλή εγγραφή στο Office 365, αλλά έχετε πολύ περισσότερο έλεγχο και έχετε μια πολύ πιο ικανοποιητική εμπειρία ως επαγγελματίας πληροφορικής. Αυτό το άρθρο σας ελπίζει ότι σας έδωσε τουλάχιστον μια καλή επισκόπηση των επιλογών σας και αυτό που πρέπει να λάβετε σωστά κατά τη διαμόρφωση του Exchange Server εσωτερικής εγκατάστασης. Κάθε οργανισμός είναι διαφορετικός και αυτή η καθοδήγηση μπορεί να είναι εκτός σημασίας για το σενάριό σας. Ωστόσο, θα πρέπει να είναι αρκετό για την πλειονότητα των διαχειριστών πληροφορικής μικρών επιχειρήσεων που θέλουν να εγκατασταθούν γρήγορα.

Σχετικά Άρθρα