Sinun on saatava oikeat Exchange Server -asetukset

Microsoft on sijoittanut miljoonia dollareita Azureen ja Office 365: een, ja heidän kilpailijansa noudattavat esimerkkiä omilla vilpittömillä julkisilla pilvitarjouksillaan. Mutta julkiset pilviratkaisut eivät ole kaikille. Monien raitojen järjestöillä on perustellut syyt olla haluttomat rajoitettua järjestelmään liittyvää dataansa täydellisen hallinnan ulkopuolella.

Monille näistä entiteeteistä paikallinen Exchange Server on viestintävelvollisuus. Microsoft jatkaa ohjelmiston päivittämistä varmistaen, että kaikki sen pilvipohjaiseen pinoon tehdyt parannukset lopulta tippuvat. Nämä ominaisuudet lisäävät entistä monimutkaisempia tasoja jo pelottavaan tehtävään suorittaa yritystason viestijärjestelmä. On helppo eksyä, kun suoritat laitteistokapasiteetin suunnittelun, asetat DAG-tiedostoja (tietokannan saatavuusryhmät) ja sivuston joustavuutta, määrität postin reitityksen ja varmistat, että käyttäjät voivat todella muodostaa yhteyden järjestelmään.

Tässä mielessä tässä on muutamia yksityiskohtia, jotka sinun on ehdottomasti saatava juuri ennen kuin avaat oven uuteen viestintäympäristöön.

Kapasiteetti

Ennen kuin lataat edes Exchange Server -palvelinta, sinulla on oltava hyvä käsitys siitä, kuinka monta käyttäjää järjestelmän on tuettava, mahdollisista palvelutasosopimuksista ja kuinka kauan organisaatiosi tarvitsee hätäpalautusikkunaa. Nämä ovat hyvin syvällisiä aiheita, jotka ovat kaukana tämän artikkelin soveltamisalasta, mutta Microsoft tarjoaa joitain työkaluja, joiden avulla voit suunnitella tämän.

Ensin on TechNetissä oleva Exchange 2013 -koko- ja kokoonpanosuositukset -artikkeli. Se vie sinut läpi perusasiat, kuten Active Directory -prosessorin ydin ja postilaatikko-palvelimen suorittimen ydinsuhteet, verkkoasetukset, tarvittavat Windows Server -korjaukset ja sivutiedostojen määritykset. Jos tunnet Exchange Server 2010: n, huomaat muutaman tässä artikkelissa korostetun muutoksen Exchange 2013: n määrittämiseen, kuten erillisen verkon suosittelemista replikointiin.

Kun olet tutustunut ydinsuosituksiin, on aika sukeltaa kapasiteetin suunnitteluun. Exchange-tiimiblogi on loistava tietolähde tätä varten, ja ryhmä on julkaissut kattavan kuvan siitä, kuinka voit oikein mitoittaa ympäristöäsi. Älä lannistu matemaattisten kaavojen avulla - kokoamislaskuri on ladattavissa helpottamaan prosessia.

Muutama TL; DR-vinkki:

Älä sekoita RAID-asetuksia tietokannan määrille. Se on vanha koulu, eikä sitä enää tarvita Exchange-suorituskyvyn parantamisen vuoksi. JBOD on hieno, erityisen erikoinen käytettäessä DAG: itä korkeaan käytettävyyteen.
Käytä yhtä Active Directory -prosessorin ydintä jokaista kahdeksan postilaatikon suorittimen ydintä kohti.
Älä käytä hyperlangatusta fyysisessä postilaatikkopalvelimessa.
Määritä kriittisten muuttujien, kuten AD-kyselyn keston, IOPS-tietokantalevyjen, suorituskykymittarit ja tarkista, että koko AD-tietokanta mahtuu RAM-muistiin.

Postin reititys

Sinulla on kaikki asennettuna. Tietokantasi toistavat. Kuormasi ovat tasapainossa. Suorituskykyä seurataan. Nyt on aika siirtyä sähköpostin saamiseen järjestelmään ja ulos siitä.

Hyväksytyt verkkotunnukset ja sähköpostiosoitekäytännöt

Varmista, että kaikki verkkotunnuksesi on lueteltu oikean verkkotunnustyypin kanssa kohdassa Postivirta> Hyväksytyt verkkotunnukset, ja oletustoimialueesi on oikea. Jos aiot käyttää sähköpostiosoitekäytäntöjä, on nyt hyvä aika tarkistaa ne ja varmistaa, että sinulla on oikeat verkkotunnukset ja käyttäjänimen muoto. Voit tehdä sen kohdassa Postivirta> Sähköpostiosoitekäytännöt.

DNS

Kuten Office 365: ssä, DNS-merkinnät on määritettävä oikein, ennen kuin posti voi reitittää järjestelmääsi tai asiakkaat voivat löytää asetukset automaattisesti. Tämä on hieman vaikeampi paikallisissa ratkaisuissa, koska joudut määrittämään palomuurisäännöt sallimaan portin 25 saapumisen joko käyttöliittymälle tai reunakuljetuspalvelimille määrityksestäsi riippuen.

Sinun on ensin luotava A-tietue MTA: n (Message Transfer Agent) IP-osoitteelle. Esimerkiksi käytämme laboratoriossamme mail.exampleagency.com. Kun A-tietue on paikallaan, luo siihen osoittava MX-tietue. DNS-isännöintipalvelun tarjoajalla tulisi olla riittävät asiakirjat kattamaan näiden tietueiden luominen.

Automaattista löytämistä varten sinun on luotava joko A-tietue asiakkaan käyttöpalvelimen IP-osoitteeseen tai, jos se on sama kuin MTA, CNAME-tietue, joka osoittaa siihen. Jälleen kerran laboratoriossamme käytämme CNAME-tietuetta autodiscover.exampleagency.com osoittaa mail.exampleagency.com, koska molemmat käyttävät samaa IP-osoitetta. Tämän tietueen on oltava autodiscover.yourdomain.tld, koska näin Outlook Autodiscover etsii sitä.

Liittimet

Toisin kuin edellisessä artikkelissa käsittelemämme Office 365, paikallinen Exchange ei luo sinulle automaattisesti lähetysliitäntää. Voit tehdä tämän avaamalla EAC (Exchange-hallintakeskus) ja siirtymällä kohtaan Mail Flow> Send Connectors. Perusliitin lähettää vain Internetiin DNS-tarkkuuden kautta.

Jos käytät kolmannen osapuolen yhdyskäytävää, kuten Mimecast, määrität sen mukautetuksi liittimeksi. Tässä myös asetat kaikki pakolliset TLS-yhteydet muihin MTA: hin. Esimerkiksi Bank of America vaatii toimittajiltaan pakollisia TLS-yhteyksiä. Tätä varten sinun on käytettävä Partner-liitintä.

Tämä on myös hyvä tilaisuus tarkistaa vastaanottoliittimesi. Täällä voit asettaa saapuvan viestin enimmäiskoon (oletus on 35 Mt - muista ottaa huomioon noin 33 prosenttia MIME-koodauksen yleiskustannuksista), otetaanko yhteysloki käyttöön, suojausasetukset, kuten pakotettu TLS, ja IP-rajoitukset.

Asiakkaan käyttöoikeus

Sinulla on määritetty sähköpostin perusreititys ja voit lähettää ja vastaanottaa sähköpostia. Nyt sinun on saatava asiakkaat liitettyyn järjestelmään, jotta he voivat todella käyttää sitä.

Todistukset

Office 365: n kanssa Microsoft käyttää omaa nimiavaruuttaan Outlook Autodiscover-, Outlook Web App- ja SMTP-yhteyksiin TLS: n kautta. Sellaisena Microsoft käyttää omia varmenteitaan. Paikallisessa vaihdossa joudut hankkimaan uudet varmenteet luotetulta CA: lta, jotta luotettava suojattu yhteys järjestelmiin.

Onneksi Microsoft on tehnyt prosessista helppoa suorittaa. Aloita avaamalla EAC ja siirtymällä kohtaan Palvelimet> Sertifikaatit. Lisää uusi varmenne ja luo pyyntö. Ohjattu toiminto avautuu ja opastaa sinut prosessin läpi. Sinulle annetaan mahdollisuus valita verkkotunnuksesi jokaiselle käyttöoikeustyypille. Tässä esimerkissä olen pääasiassa käyttänyt webmail.exampleagency.com kaikkeen.

Kun ohjattu toiminto on valmis, ota varmennepyynnön tiedosto ja lataa se haluamallesi varmenteen myöntäjälle (käytimme GoDaddyä). Sitten saat sertifikaatin CER-tiedostona. Napsauta vain Täydellinen ja tuo CER-tiedosto, jotta sertifikaatti tuodaan ja otetaan käyttöön käytettäväksi ympäristössäsi.

Virtuaalihakemistot

Nyt kun sertifikaatti on asennettu, on aika kertoa Exchangelle mitä verkkotunnuksia mihin palveluihin käytetään. Siirry kohtaan Palvelimet> Virtuaalihakemistot. Täältä sinun on määritettävä ulkoinen käyttöoikeus kullekin. Tässä esimerkissä olemme määrittäneet OWA-virtuaalihakemiston käyttämään webmail.exampleagency.com.

Keskusteltavana on monimutkaisempia aiheita, kuten asiakkaan käyttöryhmät ja kuormituksen tasapainotus, mutta ne on parasta jättää perusteellisempaan tutkimiseen kuin tämä artikkeli. Lisätietoja on Microsoftin Exchange Server -dokumentaatiossa TechNetissä.

Turvallisuus ja vaatimustenmukaisuus

Vaikka tietosi eivät olisikaan julkisessa pilvessä, sinun on silti harkittava huolellisesti tietoturvaa. Ensinnäkin varmista, että päivität säännöllisesti sekä Windows Server- että Exchange Server -palvelimia. Sama koskee myös järjestelmänvalvojan tilejä koskevia neuvoja; käytä aina erillisiä järjestelmänvalvojien tilejä tavallisista tileistä.

Sinun on ehdottomasti pidettävä pääsy hallinnollisiin tehtäviin, jotka on rajoitettu sisäisiin verkkoihin tai VPN: iin, ellet aio sallia jonkinlaista monitekijän todennusta kolmansien osapuolten tuotteiden, kuten RSA SecurID, kautta.

Varmista, että sinulla on järkevä salasanakäytäntö. Ohjeet muuttuvat jatkuvasti, mutta suhtaudumme uudempaan ajatukseen käyttää pidempiä salasanoja monimutkaisempien salasanojen sijaan. Laboratoriossamme vaadimme käyttäjiltä 14 merkin salasanoja - miinus kaikki monimutkaisuusvaatimukset -, jotka vanhenevat 90 päivän välein.

Sinun tulisi myös miettiä, onko sinun rajoitettava arkaluonteisten tietojen lähettämistä sähköpostitse, kuten sosiaaliturva- ja luottokorttinumeroita. Voit määrittää nämä rajoitukset kohdassa Compliance Management> Data Loss Prevention. Microsoft tarjoaa useita malleja, joiden avulla pääset vauhtiin nopeasti. Tässä esimerkissä käytän Yhdysvaltojen FTC-mallia rajoittaakseni luottokorttinumeroiden lähettämistä.

Ajatuksia muista ohjelmistoista

Jos olet seurannut tähän mennessä, toivottavasti sinulla on toimiva paikallinen Exchange-järjestelmä. Nyt sinun on suojattava, varmuuskopioitava ja yleensä varmistettava, että se pysyy verkossa.

Virustorjuntaratkaisuille tarvitaan sekä järjestelmänlaajuinen, reaaliaikainen virustentorjuntapaketti että paketti, joka skannaa viestejä kuljetuksen aikana. Microsoft tarjoaa luettelon vaadituista poissulkemisista sekä Active Directory -toimialueen ohjaimille että Exchange Server -järjestelmille. Noudata ehdottomasti Microsoftin suosituksia äläkä luota virustentorjuntatoimittajaasi toteuttamaan ne automaattisesti. Olen nähnyt liian monien virustentorjuntapakettien tallentavan postilaatikkotietokannan lokitiedostoja valmiiksi luottamukseksi, että he tekevät sen puolestasi.

Sinun on myös harkittava, minkä tyyppisiä varmuuskopiointi- ja palautustapoja haluat tukea. Varmuuskopioitko levylle tai nauhalle? Tarvitsetko rakeista palautusta (mikä on paljon resursseja vievämpi kuin yleensä kannattaa)? Kuinka kauas taaksepäin varmuuskopioiden on mentävä? On paljon kysymyksiä, jotka sinun on esitettävä itsellesi, tiimillesi ja ylimmälle johdolle.

Muita tuotekohteita ovat tietojen menetyksen estäminen, roskapostin torjunta ja sähköpostiarkistointi. Joissakin tapauksissa tämä kaikki voidaan sisällyttää yhteen pakettiin. Mutta varmista, että se on sertifioitu toimimaan Exchange Server 2013: n kanssa ja että sillä on riittävä toimittajan tuki. Et halua ostaa tuotetta vain saadaksesi selville, että se on rakennettu Exchange Server 2007: tä varten ja jolla on vain sähköpostituki.

Lopulliset ajatukset

Viimeiseksi varmista, että teet kotitehtävät. Tarkista, että organisaatiosi ei tarvitse noudattaa mitään erityisiä lakeja tietojen säilyttämisen, tietojen menetyksen estämisen tai pääsyn suhteen. Tee testivarmuuskopioita ja palautuksia säännöllisesti. Käytä EICAR-testitiedostoa varmistaaksesi, että virustentorjuntaohjelmisto toimii oikein. Tarkista säännöllisesti suorituskykymittarit, jotta sinun ei tarvitse tasapainottaa DAG: ta tai lisätä toimialueohjainta. Voi, ja vielä yksi asia: opi rakastamaan PowerShelliä.

Paikallisen Exchange Serverin suorittaminen on paljon monimutkaisempaa kuin yksinkertainen rekisteröityminen Office 365: een, mutta sinulla on paljon parempi hallinta ja saat paljon palkitsevamman kokemuksen IT-ammattilaisena. Tämä artikkeli antoi toivottavasti ainakin hyvän yleiskuvan vaihtoehdoistasi ja siitä, mitä sinun on ehdottomasti saatava oikein, kun määrität paikallista Exchange Server -palvelinta. Kukin organisaatio on erilainen, ja tämä opas voi olla poissuljettu skenaariostasi. Sen pitäisi kuitenkin riittää suurimmalle osalle pienyritysten IT-järjestelmänvalvojia, jotka haluavat perustaa nopeasti.

Aiheeseen liittyvät artikkelit