Главная Exchange/UC, Новое Установка Exchange Server 2013
  • Установка Exchange Server 2013

    logoExchange Server за десять лет стал реальным стандартом де-факто в корпоративных почтовых системах. Вышедший год назад Exchange Server 2013 получил не самые лестные отзывы и содержал массу встроенных проблем, которые в той или иной степени впоследствии разрешались пакетами обновлений. На текущий момент мы имеем Exchange Server 2013 SP1, который не то, что бы ответил на все вопросы, но является более доработанным продуктом, нежели RTM версия. Установка Exchange Server 2013 не самый сложный процесс, но в рамкой это статьи я постараюсь описать порядок и нюансы развертывания первого сервера Exchange, основываясь на собственной практике. Я принципиально не использую неподдерживаемые конфигурации и всегда стараюсь упростить решение, минимизировав все, что только можно.

    Платформа

    Microsoft поддерживает установку Exchange Server 2013 SP1 как в физической, так и в виртуальной среде, хотя последнее время советует использовать физические инсталляции. Объясняют они это тем, что виртуализация не дает никаких преимуществ для Exchange Server, но при этом добавляет дополнительный слой, который нужно обслуживать и администрировать. Это спорно, т.к. виртуализация позволяет неплохо экономить на железе и совмещать на одной физике не совмещаемое. Да и серверные не безразмерные, далеко не все имеют свободные места в стойках. Так что виртуализировать или нет личное дело каждого, на моей практике за последние три года я не видел ни одной физической установки Exchange Server. Самое главное при виртуализации делать все согласно поддерживаемым схемам вендора.

    Я постарался собрать вместе основные рекомендации:

    • Не используйте динамическую память для виртуальных машин Exchange
    • Используйте виртуальные диски только фиксированного размера
    • Не делайте снимки виртуальных машин. В реальной жизни они не поддерживаются
    • Делайте так, чтобы кол-во виртуальных процессоров Hyper-V не превышало более чем, в два раза кол-во ядер на хостовом сервере
    • Не используйте репликацию виртуальных машин для Exchange Server
    • Обновляйте службу Hyper-V. Служба Windows Update не обновляет саму Hyper-V (http://social.technet.microsoft.com/wiki/contents/articles/20885.hyper-v-update-list-for-windows-server-2012-r2.aspx)
    • Не используйте хостовый сервер для запуска доп. сервисов. Только служба Hyper-V и ничего другого
    • Отключите синхронизацию времени с хостовым компьютером на виртуальных машинах

    Теперь, когда с требованиями к виртуальной среде разобрались, рассмотрим остальные моменты. Exchange Server, как продукт, который использует AD DS, выдвигает к ней определенные требования. Режим работы домена и леса Active Directory DS должны быть не ниже Windows Server 2003, а это значит, что все контроллеры домена должны быть минимум Windows Server 2003 SP2. (обращаю внимание на пакет обновлений). Кроме того, у вас до внедрения Exchange в Active Directory должны быть настроены сайты AD DS, расписаны подсети, в каждом сайте должен быть контроллер домена, так же должны быть доступны глобальные каталоги, ходить репликация. Естественно, с разрешением имен все так же должно быть четко.

    Exchange Server расширяет схему Active Directory DS и изменяет существующие классы, равно как и добавляет новые. Связано это с тем, что Exchange хранит свою конфигурацию в конфигурационном разделе Active Directory DS. Элементы конфигурации — это объекты каталога, а поскольку объекты создаются в каталоге, они должны быть описаны в схеме. Так же Exchange расширяет класс пользователя, т.к. вместе с учетной записью пользователя он хранит индивидуальные почтовые атрибуты сотрудника. После подготовки Active Directory DS в вашем каталоге, в доменном его разделе создается контейнер Exchange Security Groups, который содержит встроенные группы Exchange, используемые для работы сервера и для делегирования полномочий.

    Установщик Exchange Server сам подготавливает Active Directory, но для меня этот процесс интимный, поэтому этап подготовки каталога я осуществляю до развертывания почтового сервера. Для подготовки AD DS вам нужно:

    • Убедиться, что вы имеете права Enterprise и Schema администраторов.
    • Получить права локального администратора на будущем Exchange сервере
    • Установить оснастки управления AD DS (Add-WindowsFeature RSAT-ADDS, RSAT-ADDS-Tools)
    • Чтобы контроллер домена с ролью FSMO Schema Master был доступен и находился в одном сайте с сервером Exchange. Сделать это можно через утилиту netdom

    3_netdom

    Для подготовки вам понадобится дистрибутив Exchange Server 2013 SP1, причем версия дистрибутива должна быть именно такой, какую будете впоследствии устанавливать. Подготовка идет в два этапа, первый это подготовка схемы:

    setup.exe /prepareschema /iacceptexchangeserverlicenseterms

    5_schemaprep

    И второй: подготовка доменного раздела, создание контейнера Exchange Security Groups, установка разрешений на доменный раздел. Имя организации в команде будет использоваться при именовании ветки Active Directory, которая будет хранить конфигурацию Exchange, т.е. особо ни на что не влияет.

    setup.exe /preparead /organizationname:Miaton /iacceptexchangeserverlicenseterms

    5_preparead

    Когда подготовка будет завершена вам, будет необходимо форсировать репликацию в рамках леса Active Directory и убедиться, что она успешно завершилась.

    Форсирование репликации: repadmin /syncall /AeS

    Проверить, что репликация прошла: repadmin /replsummary

    4_repadmin

    После того как вы убедитесь, что репликация прошла успешно, можно готовить сам сервер. Exchange требует в обязательном порядке наличие на сервере компонента IIS в определенной комплектации. Смысла запоминать нужные компоненты нет, проще использовать PowerShell команду:

    Install-WindowsFeature AS-HTTP-Activation, Desktop-Experience, NET-Framework-45-Features, RPC-over-HTTP-proxy, RSAT-Clustering, RSAT-Clustering-CmdInterface, RSAT-Clustering-Mgmt, RSAT-Clustering-PowerShell, Web-Mgmt-Console, WAS-Process-Model, Web-Asp-Net45, Web-Basic-Auth, Web-Client-Auth, Web-Digest-Auth, Web-Dir-Browsing, Web-Dyn-Compression, Web-Http-Errors, Web-Http-Logging, Web-Http-Redirect, Web-Http-Tracing, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Lgcy-Mgmt-Console, Web-Metabase, Web-Mgmt-Console, Web-Mgmt-Service, Web-Net-Ext45, Web-Request-Monitor, Web-Server, Web-Stat-Compression, Web-Static-Content, Web-Windows-Auth, Web-WMI, Windows-Identity-Foundation

    2_Prerequsites

    Но это еще не все: поскольку объединённые коммуникации теперь неотъемлемая часть сервера, до установки требуется сказать и развернуть набор библиотек Unified Communications Managed API 4.0 Runtime (http://www.microsoft.com/ru-ru/download/confirmation.aspx?id=34992).  Вообще, мастер установки Exchange Server 2013 достаточно хорош: если вы забыли про Unified Communications Managed API, он обязательно скажет вам о необходимости поставить пререквизит в процессе установки.

    6_UC

    Роли сервера

    Когда все предварительные этапы выполнены, наступает момент установки самого Exchange сервера. В 2013 редакции существует три роли Exchange, а именно роль клиентского доступа (CAS), роль сервера почтовых ящиков (MBX) и роль пограничного сервера (EDGE).

    Роль сервера почтовых ящиков (MBX) — этот тот самый работяга, который отдувается за всех. MBX сервер отвечает за работу баз данных почтовых ящиков, полностью несет на себе функционал UM (объединённых коммуникаций), а также, по сути, является полноценным транспортным сервером. Находится только внутри организации и является членом домена.

    Роль клиентского доступа (CAS) – у MBX сервера есть одна проблема: он не может принимать клиентских подключений. Сервер с ролью клиентского доступа (CAS) является точкой для подключения всех типов клиентов. Не важно, используете вы мобильный телефон или браузер, вы всегда будете подключаться к CAS. CAS это очень прозрачный прокси, рендеринг или обработка данных осуществляется на MBX, а задача CAS — выполнить аутентификацию через AD DS и проксировать подключение на нужный MBX сервер. При большом желании входящую и исходящую почту SMTP можно так же проксировать через CAS, но помните, что CAS это тонкий прокси, весь функционал, в том числе и анти-спам, будет выполняться на MBX.

    Пограничный сервер (EDGE) всегда стоит отдельно и не должен быть членом домена. Роль представляет из себя SMTP шлюз, на котором производится анти-спам фильтрация. Идеология заключается в том, чтобы очищать почту еще  до ее попадания внутрь вашей организации. Но вся проблема заключается в том, что родной анти-спам EDGE сервера в реальной жизни можно использовать только если вы любите спам. А поскольку вам придется покупать внешнее анти-спам решение, то смысл в EDGE сервере теряется. Либо на его место станет спецоборудование, либо вы установите сторонний анти-спам на MBX сервер.

    Совмещение ролей.

    Пограничный сервер (EDGE) всегда стоит отдельно, это не обсуждается. По ролям MBX и CAS ситуация другая: Microsoft рекомендует совмещать эти роли. Смысла в разнесении этих ролей нет, за исключением мертвой топологии с WNLB балансировкой. Видимо, в следующем Exchange сервере они вообще не будут разделять роли.

    Процедура установки.

    Установка проста и не требует какой-либо мозговой активности. Прежде всего, мастер установки Exchange пытается скачать последние обновления. Если вы используете последнюю версию дистрибутива, то данный этап можно пропустить. Далее идет распаковка файлов установки на жесткий диск. Принятие лицензионного соглашения. Комментировать нечего, просто принимаете соглашение. Выбираете рекомендуемые параметры. На самом деле, я не нашел разницы между рекомендуемой установкой и кастомизированной. Вам в любом случае надо выбрать роли, указать куда на диск ставить Exchange. Единственный интересный момент — это предложение отключить Anti-Malware фильтр. Exchange 2013 унаследовал от умершего «дяди» Forefront Protection for Exchange Anti-Malware фильтр, если вы не планируете ставить на новый сервер анти-спам с уже имеющимся Anti-Malware, то предлагаемый фильтр отключать не стоит. У меня на корпоративном сервере данный фильтр прекрасно уживается с анти-спам системой ORF. После всех вопросов и выборов мастер установки выполнит проверку предварительных требований и если вы успешно прошли квест, станет доступна кнопка Install. Продолжительность установки сильно зависит от оборудования и обычно не превышает 30-40 минут.

    Последующая настройка.

    Настройка Exchange достаточно серьезный труд, но есть ряд минимальных задач, которые вы должны выполнить после установки, выполнение этих задач позволит вам подключиться к Exchange серверу, создать почтовые ящики и начать работу. У Exchange Server 2013 есть два инструмента управления, первый это веб-консоль «Exchange Control Panel» доступ к которой вы получаете через браузер. Она доступна по адресу https://servername/ecp. И второй инструмент управления — это «Exchange Management Shell» или управление сервером через PowerShell. Поскольку вариант с PowerShell более удобный и полнофункциональный, дальнейшая настройка пойдет через него.

    1. Почтовые домены.

    Для того чтобы создавать ящики, отправлять и получать почту, Exchange Server 2013 должен знать какие почтовые домены он обслуживает. По умолчанию он считает своим почтовым доменом домен созданный на основе имени домена AD DS. Т.е если у вас домен AD DS называется IvanovAndSon.local, то стартовый почтовый домен вы получите именно такой. Посмотреть ваши почтовые домены можно через командлет Get-AcceptedDomain.

    9_accepted

    Если вы хотите добавить новый почтовый домен, то здесь же выполняете строчку:

    New-AcceptedDomain –Name itband.ru –domaintype Authoritative -domainname itband.ru

    10_accepted

    Эта команда добавит новый почтовый домен и скажет вашему Exchange Server, что только он отвечает за этот почтовый домен. Вся почта, пришедшая к вам для адресов в этом домене, будет доставляться, если получатель не будет найден, то письмо будет отброшено.

    2. Политика адресов.

    В Exchange Server почтовые адреса очень редко задаются вручную, формированием адресов электронной почты занимается политика электронных адресов. По умолчанию у вас уже есть такая политика, которая формирует адреса, используя стартовый почтовый домен и алиас учетной записи. Применяется эта политика для всех почтовых объектов в домене. В моем случае я хочу изменить почтовый домен miaton.ru на itband.ru и сделать так чтобы адреса формировались с использованием схемы «Имя.Фамилия@ itband.ru».

    Сделать это через Shell:

    Set-EmailAddressPolicy –identity “Default Policy” –EnabledEmailAddressTemplates “SMTP: %g.%s@itband.ru

    Variable Value
    %g Given name (first name)
    %i Middle initial
    %s Surname (last name)
    %d Display name
    %m Exchange alias
    %xs Uses the first x letters of the surname. For example, if x = 2, the first two letters of the surname are used.
    %xg Uses the first x letters of the given name. For example, if x = 2, the first two letters of the given name are used.

    При изменении и создании политик можно использовать табличку с подсказками. Зная концепцию, адреса можно формировать как угодно. После того как политика создана, ее нужно применить. Во время применения политика поменяет основные почтовые адреса для всех ящиков и получателей, что уже были созданы. Старые адреса останутся как дополнительные. Применении политики идет через командлет Update-EmailAddressPolicy.

    11_policy

    3. Перемещение базы данных.

    После установки сервера Exchange вы получите одну стандартную базу данных почтовых ящиков, но у нее есть две проблемы:  во-первых, она хранится на системном диске, что совсем не нормально, а во вторых у нее страшно длинное имя, которое трудно запомнить и набирать. Поэтому дальнейшие действия связаны с перемещением базы и ее переименованием. Поскольку база маленькая, то переместить ее будет можно за несколько десятков секунд. В примере я перемещаю базу на диск E:\ при этом сам файл базы и транзакционные логи будут храниться на одном диске. В процессе перемещения база данных будет недоступна.

    12_database

    4. Создание почтовых ящиков.

    Как уже говорил ранее, после установки, вы получаете только один почтовый ящик для пользователя, который ставил Exchange. При наличии учетных записей включить им поддержку почты труда не составит. Вы можете выбрать учетные записи из нужного организационного подразделения и через конвейер включить им поддержку почты.

    13_users

    5. Создаем коннектор для отправки почты в интернет.

    Исторически сложилось так, что Exchange сервер по умолчанию не настроен на отправку почты в интернет. Сказать о том, как должна доставляться почта сможет коннектор отправки. Вы должны создать такой коннектор и заставить его использовать MX записи для нахождения серверов, обслуживающих почтовые домены, в которые вы доставляете почту. Создание коннектора отправки для * означает что он будет обрабатывать все почтовые домены, на которые будут отправлять ваши пользователи. Т.е. при доставке каждого письма в интернет ваш сервер будет искать для домена MX запись и отправлять согласно результатам.

    New-SendConnector -Custom -Name SendConnectorName -AddressSpaces *

    14_connector

    6. Прописываем MX

    Почтовые сервера разных компаний находят друг друга по специальным DNS записям типа MX, т.е., если вы хотите принимать почту из интернета, вам нужны:

    • Публичный IP адрес
    • Имя, по котором будет доступен ваш сервер
    • Запись типа А, которая имя сервера разрешит в публичный IP
    • Проброс 25 (почта) и 443 (клиенты) портов с публичного IP на внутренний IP сервера
    • Запись MX которая будет разрешаться в публичное имя вашего сервера

    Пример записи MX и A записи:

    15_mx

    7. Выводы и что остается за кадром.

    Несмотря на то, что ваш сервер сейчас может отправлять и получать почту, настройка на этом не заканчивается.  Как минимум, вы должны помнить о том, что ваша почтовая система не имеет анти-спама, а поэтому все, что вам будут доставлять, вы примете. Ваши базы данных должны иметь резервные копии, следовательно, необходимо настроить резервное копирование. Кроме этого для нормальной отправки почты в интернет и минимизации ложных срабатываний вам будет нужно прописать в DNS записи типа PTR и SPF, настроить корректное представление сервера в SMTP баннерах как при отправке, там и при приеме.  Но я надеюсь, что с данной статьей начало будет положено правильное.

    MCT/MVP Илья Рудь

    Курс по Exchange Server 2013

    Интеграция Exchange Server 2013

    • Рубрика: Exchange/UC,Новое
    • Автор: Илья Рудь
    • Дата: Вторник 24 Июн 2014

Комментарии

  1. Илья, зачем отключать синхронизацию времени с хостовой машиной?

  2. У 2013 версии есть проблема с работой службы транспорта при наличии такой синхронизации. (особенно при разных временных зонах хоста и виртуалки)

  3. Дык, а Veeam разве не механизм снэпшотов использует для создания резервных копий? Не удастся, наверное, совсем от них отказаться.

  4. Veeam это отдельная песня, тут разговор про VM Snapshots.

  5. Скажите пожалуйста, почему Вы написали: «за исключением мертвой топологии с WNLB балансировкой».

  6. « зачем отключать синхронизацию времени с хостовой машиной?»

    Машина с Exchange должна получать точное время от источника точного времени в домене (коим по умолчанию является «эмулятор PDC»).

  7. Илья, вопрос есть.

    Вы писали:

    >Роль клиентского доступа (CAS) – у MBX сервера есть одна проблема: он не может принимать клиентских подключений.

    В Technet Library написано

    > Теперь в Exchange Server 2013 роль сервера почтовых ящиков включает протоколы клиентского доступа...

    (т.е. архитектура чем-то похожа на Exchange 2003, где Back End был полноценым сервером, способным существовать без Front End)

    Кто из вас не прав — вы или автор Technet Library?

  8. Добрый вечер.

    На самом деле правы оба.

    Я говорю о том, что все клиентские подключения идут на CAS. Т.е для клиента точка подключения всегда CAS. Они же имеют в виду другое, а именно то, что все данные рендерятся на MBX. Т.е CAS это очень тонкий PROXY, все виртуальные директории на нем пустые, обработка данных только на MBX, отсюда и фраза о том, что клиентские протоколы на MBX сервере. Это кстати одно из изменений в архитектуре, раньше было по-другому.

    По поводу второго вопроса. WNLB сейчас действительно мертвая тема. Для тех кому надо дешево МС рекомендует DNS балансировку, для тех кто хочет взрослых решений и удобства есть железки и HNLB.

  9. Добрый день, спасибо за статью, очень четко и информативно. По поводу WNLB, появилась хорошая альтернатива от Microsoft (бесплатно!) — Application Request Routing. ARR позволяет балансировать между серверами, плюс есть проверка на доступность сервиса в каждом из серверов. Подробнее в блоге: blogs.technet.com/b/excha... -arr-part-1.aspx

  10. Спасибо за ссылку, поставил в очередь на тестирование))

  11. Илья, хотел уточнить. У меня есть основной домен с Exchange 2010 sp3, появилась необходимость развернуть в дополнительном дереве доменов Exchange 2013 SP1. Я так понимаю что мои действия должны быть такие.

    1. Сначала препарировать схему Setup.exe /PrepareSchema /IAcceptExchangeServerLicenseTerms

    2. После расширить AD Setup.exe /PrepareAD /IAcceptExchangeServerLicenseTerms

    3. А затем уже в дополнительном домене подготовить к установке Exchange 2013 Setup.exe /PrepareDomain: /IAcceptExchangeServerLicenseTerms

    Я правильно все понял?

  12. Хотя наверное на втором шаге надо выполнить Setup.exe /PrepareAD /OrganizationName:"" /IAcceptExchangeServerLicenseTerms создать под этот домен отдельное имя организации Exchange

  13. Алексей,

    Не нужно на втором шаге этого делать, поскольку Exchange-организация поднимается на весь лес. Хотя ты должен уточнить, что ты подразумеваешь под «дополнительном дереве доменов».

  14. Мне сказали что такая конфигурация называется MultyTenancy. Для нее необходимо специальный дистрибутив Exchange. А под деревом доменов, я имел в виду дополнительный домен в лесу — Domen tree

  15. -1- Поскольку у тебя уже есть лес, то другую организацию Exchange не получится поставить.

    -2- Не всегда дополнительный домен можно назвать доменом в дереве в ткущем дереве, все зависит от используемого пространства имен DNS. Хотя да, возможно ты имел в виду, что дополнительный домен будет использовать другое пространство имен и тогда это действительно новое дерево доменов. 😉

    -3- В 2013-й версии Exchange для развертывания типа «Multi-Tenancy» не нужен отдельный дистрибутив. Hosted-вариант настраивается уже после установки Exchange. Можешь писать вопросы, есть опыт подобного развертывания. 🙂

  16. Фразу «Не всегда дополнительный домен можно назвать доменом в дереве в ткущем дереве» следует читать так: «Не всегда дополнительный домен можно назвать доменом в текущем дереве».

  17. 1. По поводу этого я уже понял что должна быть одна организация Exchange

    2. Новое дерево доменов я имел в виду, для примера основной домен RUS.LAN дополнительный COM.LAN

    3. Я так понял что мои действия:

    В основном домене RUS.LAN

    Setup.exe /PrepareSchema /IAcceptExchangeServerLicenseTerms

    Setup.exe /PrepareAD /IAcceptExchangeServerLicenseTerms

    В дополнительном домене COM.LAN

    Setup.exe /PrepareDomain:COM.LAN /IAcceptExchangeServerLicenseTerms

    После может производить установку Ex2013

  18. Алексей, в твоем случае не получится поднять 13-ый Exchange для «Multi-Tenancy»-развертывания, поскольку у тебя уже есть одна организация, которая развернута не как «Multi-Tenancy».

  19. Здравствуйте!

    Есть две, собранные в DAG инсталляции Exchange2013 на Windows 2012, Есть желание перевести всё это на Exchange 2013 SP1 и windows 2012 R2. Какова оптимальная последовательность шагов для такого перехода?

  20. Павел: Установка новых серверов и перемещение почтовых ящиков.

    P.S Для офтопов, юзайте форум. Я комменты раз в сто лет читаю, там будет быстрей.

  21. А как попасть на форум?

  22. Это зависит от того, какой вам форум нужен) Я имел ввиду sysadmins\TechNet forums

  23. Ещё один из важных моментов. Необходимо, что бы обязательно на интерфесйах были включены ipv6.

  24. После попытки установить патч с сайта Microsoft — перестали отправляться-приниматься письма внутри и снаружи. Все службы работают. OWA работает, ECP работает.

    При отправке письма даже самому себе — письмо попадает в черновики, причем в виде письма (если отправлять через OWA), в Outlook просто попадают в отправленные.

    С чем это может быть связано и как можно попытаться исправить?

    Или можете вы или ваши специалисты помочь в решении данной проблемы (т.к. нужно срочно, почта не работает)?

  25. Подскажите, пожалуйста,

    как создатькалендарь руководителя в организации, чтобы часть сотрудников его только видела, часть могла его наполнять, а он мог его смотреть и править.

    Также можно создать предлагаемое мероприятие без даты? чтобы руководительмог сам выбрать дату?

Опубликовать

Я не робот.