Установка Exchange Server 2019 на Server Core 2019 для повышения безопасности

Каким был Ваш опыт установки Exchange Server 2019 на Server Core 2019?

Wesselius: Я установил и настроил Exchange Server 2019 уже несколько раз, так как я так же нахожусь в программе Microsoft Insider. Это немного сложно, ведь у тебя нет графического интерфейса — стандартный Windows-администратор ориентирован на GUI – в данном случае приходится делать все из консоли. Существует тестовая утилита называемая SCONFIG, которую вы можете использовать для установки имени сервера, присоединения его к домену и настройки IP-адреса, но это только базовые моменты. Все настройки Exchange Server необходимо выполнить вручную, поэтому вам нужно знать настройки диска и дисковые утилиты. К примеру, в PowerShell есть get-disk, format-disk, assign-disk, assign disk numbers, assign drive letters, mount points и вот это все делает его достаточно сложным. Все статьи, которые вы встречаете об установке Exchange Server 2019 на Server Core выглядят примерно так: «Смотрите, у нас есть сервер, мы назначаем ему IP-адрес, запускаем программу установки и та-да. Работает!» Это правда, но тогда у вас довольно простая лабораторная среда. У каждого клиента есть более сложный сервер и, следовательно, более сложная конфигурация. Вы так же можете использовать другой сервер с графическим интерфейсом и удаленного управления этим сервером. Это немного упростит вашу жизнь.

Какие преимущества у Exchange на Server Core?

Wesselius: у Server Core меньшая поверхность атаки. Так же Server Core получает меньше исправлений в связи т.к. имеет меньшее количество установленных программ и утилит. Это сделано для безопасности. Безопасность – одна из целей Microsoft касательно Exchange.

О каких сложностях администраторам следует знать при установки Exchange Server 2019 на Server Core 2019?

Wesselius: Вы должны привыкнуть к этому. Последние 20 лет мы работали с GUI и решали все конфигурационные проблемы через GUI. Теперь же это невозможно, так что вам следует привыкнуть использовать PowerShell абсолютно для всего – и здесь я имею ввиду «все». Это делает работу сложной. Например, сетевая карта: если у вас есть сервер с одной сетевой картой – жизнь кажется простой. Но в случае, если у вашего сервера четыре сетевых карты и вам нужно настроить их, используя PowerShell, то это уже сложнее. Поэтому вам нужно привыкнуть к этому. Вначале я настраивал сервер, затем перенастраивал его, и начинал заново с нуля и так несколько раз.

Как часто Server Core используется в вашей работе?

Wesselius: Я вижу его на дополнительных контроллерах домена в среде, где первый контроллер домена представляет собой полнофункциональную версию Windows с графическим интерфейсом. Кроме Exchange и еще одного или двух контроллеров домена я больше пока не видел. Хотя он поддерживается другими приложениями. Должен признать, что клиенты из США, как правило, внедряют новые технологии раньше, чем в Нидерландах. Здесь в Нидерландах, или даже в Европе, ждут несколько лет, чтобы начать внедрять новое программное обеспечение. Это справедливо не только для Windows. Что касается Exchange 2010, у нас много клиентов в Нидерландах и, возможно, в Европе, которые все еще используют Exchange 2010 и даже не начали переход на 2016. Напряжение нарастает, потому что срок поддержки заканчивается через восемь месяцев, поэтому они начинают нервничать от осознания того, что все равно придется переходить. У нас есть клиенты, работающие на Exchange Server 2019. Так же у нас есть клиенты, которые хотят перейти на версию 2019, но когда ты работаешь на Exchange 2010, то сразу перейти на Exchange 2019 ты не можешь из-за программы N-2. Сначала им необходимо перейти на версию 2016. Для некоторых клиентов это невозможно.

Что должны знать администраторы перед установкой Exchange Server 2019 на Server Core 2019?

Wesselius: Если вы хотите использовать Server Core для Exchange, вы можете его использовать только для Exchange 2019. Exchange 2016 на Server Core не поддерживается и не работает. Это просто невозможно. Exchange 2019 предлагает некоторые новые технологии для развертывания с нуля, но для виртуальных сред это всего лишь новая версия Exchange 2016, т.к. различия небольшие. Практически единственным способом управления Exchange Server 2019 в Server Core является PowerShell и нет другого способа, который отлично работает. Панель управления Exchange может использоваться для базовой конфигурации сервера Exchange. Для мельчайших деталей вам понадобится PowerShell. Но это в равной степени относится и к Exchange 2016. Что касается Windows, то вы должны использовать PowerShell либо управлять им удаленно или, например, с помощью Server Manager.

Базовая настройка Exchange Server является обязательной задачей после установки продукта. О том как выполнить установку, какие необходимо учесть нюансы можно ознакомится по следующей ссылке. Весь процесс базовой настройки разбит по кейсам, итог выполнения которых — работоспособный Exchange сервер. Будут реализованы возможности отправки и получения электронной почты, а также выполнены условия для подключения клиентов. Виду объема необходимой конфигурации, весь материал разбит на две статьи. В первой части рассматриваются следующие вопросы:

• Добавление обслуживаемого домена (accepted domains)
• Настройка соединителя отправки (send connector)
• Настройка внешних URL адресов Exchange сервера

Во второй:

• Выпуск SSL сертификатов для Exchange сервера
• Настройка политики адресов электронной почты

Добавление обслуживаемого домена (accepted domains)

Обслуживаемый домен (accepted domains) — это домен, который используется Exchange организацией для получения и отправки почтового трафика. В рамках него (типы Authoritative и Internal Relay) могут формироваться почтовые адреса пользователей, общих почтовых ящиков, групп распространения и других объектов Exchange которым возможно назначить почтовый адрес. По умолчанию, сразу же после развертывания, доступен лишь один обслуживаемый домен:

Имя его соответствует домену Active Directory. Всего существует три типа обслуживаемых доменов:

1. Уполномоченный домен (Authoritative)
2. Домен внутренней ретрансляции (InternalRelay)
3. Внешний домен ретрансляции (ExternalRelay)

Домены первого типа полностью обслуживаются Exchange организацией. При поступлении на него входящего письма происходит поиск почтового адреса в глобальном каталоге Active Directory. В случае его отсутствия будет возвращен NDR (Not Delivery Report).

Домен внутренней ретрансляции применяется тогда, когда адресное пространство используется совместно с другой почтовой инфраструктурой. Логика работы такая же, как и в первом типе, но при отсутствии почтового адреса в глобальном каталоге возможно перенаправление письма на другой SMTP шлюз.

Последний тип используется в задачах перенаправления входящих писем на внешний SMTP шлюз тогда, когда нет надобности в использовании одного адресного пространства с другой почтовой системой. Так же, его невозможно использовать при формировании почтовых адресов в Exchange организации.

Если письмо будет доставляться в Exchange организацию, а домен получателя отсутствует в обслуживаемых доменах, оно автоматически будет отклонено с ошибкой 550 5.7.54 SMTP; Unabletorelayrecipientinnon—accepteddomain.

Сам процесс добавления домена необходимого типа выглядит следующим образом:

Настройка соединителя отправки (send connector)

В Exchange инфраструктуре коннекторы или соединители выполняют задачи обработки входящего и исходящего почтового потока, также участвуют внутри транспортного потока Exchange. Чтобы почтовая инфраструктура могла взаимодействовать с внешними системами по протоколу SMTP, необходимо создать новый соединитель отправки. Для этого следует перейти в раздел почтовый поток (mailflow), во вкладку исходящие почтовые соединители (sendconnectors)

Как и в случае с обслуживаемыми доменами, существует несколько типов исходящих почтовых соединителей:

• Внутренний (Internal)
• Внешний (Internet)
• Партнерский (Partner)

Внутренний соединитель отправки используется для ретрансляции почтового потока внутри почтовой организации. Например, в сочетании с доменом внутренней ретрансляции.

Внешний тип предполагает отправку почты во вне организации, например удаленному почтовому серверу через Интернет.

Партнерский тип используется для настройки почтового взаимодействия между двумя внешними партнерскими организациями. Примером может служить холдинг. В холдинге множество отдельно стоящих почтовых систем, взаимодействие между которыми регулироваться политиками безопасности. Одна из политик требует, чтобы во время почтового обмена использовалось шифрование. Партнерский тип решает эту задачу.

Возвращаясь к задаче, для отправки внешним почтовым системам необходим внешний (Internet) тип соединителя.

На следующей странице необходимо указать каким образом будет осуществляться отправка почты. Либо используя MX записи, либо выделенный смарт-хост в виде внешнего почтового релея.

Внизу страницы присутствует чек-бокс с включением конфигурации Use the external DNS lookup settings on servers with transport roles. Задействование данной опции позволит не использовать конфигурацию DNS серверов сетевого интерфейса Exchange сервера, а применить настройки из конфигурации самого сервера. Они задаются на странице Servers, в первом же разделе Servers:

Необходимая вкладка называется DNS lookups:

Следующий шаг заключается в задании адресного пространства, за которое ответственен соединитель. В случае если создаваемый тип соединителя внутренний или партнерский, задаться конкретный почтовый домен. Например, partnerdomain.com. Если же используется *, коннектор будет обсуживать все существующее пространство имен. Если в конфигурации присутствует несколько коннекторов, один из которых обслуживает пространство *, а второй с partnerdomain.com, приоритет получит последний.

Чек-бокс Scopedsendconnector даст возможность привязать коннектор к определенному сайту Active Directory, в котором находится сам Exchange. Для базовой настройки Exchange инфраструктуры этот параметр не требуется.

Задание адресного пространства выглядит следующим образом:

Далее, задаем сервер или сервера Exchange которые могут использовать данный соединитель:

В моем случае, у меня один и едиснтвенный Exchange сервер с ролью Hub Transport Service:

Конфигурация исходящего соединителя завершена:

Важно учесть, что со стороны сети, Exchange сервер должен иметь доступ по 25-му порту в Интернет (NAT). На Exchange сервер должен быть «проброшен» сделан DNAT с 25-го порта с публичного IP.  Публичный IP используемый в NAT и DNAT должны совпадать.

Помимо правильной сетевой конфигурации необходимо корректно настроить публичную DNS зону почтового домена. Для обмена с внешними почтовыми системами необходимо добавить два типа записей — MX и А.

• Запись типа А должна иметь значение внешнего IP адреса, с которого сделан DNAT на приватный адрес Exchange сервера. В случае применения пограничного Edge сервера, DNAT делается на него;
• MX запись указывает на A запись.

Настройка внешних URL адресов Exchange сервера

Базовая настройка Exchange Server не заканчивается добавлением обслуживаемого домена и настройкой соединителей. Необходимо задать корректные URL адреса для подключения клиентов. Для этого перейдем в настройки конфигурации:

Выберем сервер и нажмем на «карандаш» открыв страницу настроек. Далее, необходимо перейти в настройки OutlookAnywhere и задаем внешний домен для подключения клиентов:

Данный домен, в последствии, будет использоваться для публикации Exchange сервера. Этот процесс будет описан в будущей статье.

Задание внешнего домена требуется и для веб каталогов Exchange сервера. Для этого необходимо перейти в конфигурацию virtual directories и найти «гаечный ключ»:

На открывшейся странице задаем необходимую конфигурацию:

Задание внешнего домена по которому будет доступна Exchange инфраструктура необходимо для дальнейшего выпуска SSL сертификатов.

На этом пока все. Если у вас возникли какие-либо вопросы, пожалуйста, пишите в комментарии.

Базовая настройка Exchange Server 2019. Часть 2

Используемые источники:

• https://servilon.ru/ustanovka-exchange-server-2019-na-server-core-2019-dlya-povysheniya-bez/
• https://ait.in.ua/on-premise/exchange/bazovaya-nastrojka-exchange-server-2019-chast-1.html