Установка/настройка Exchange 2010 в мульти-доменной / хостинг реализации

ИнструкцииИТИТ-поддержка

В данном руководстве рассматривается установка Exchange Server 2016.

Для установки Exchange 2016 ниже представлены следующие рекомендации:

• Почтовый ящик – минимум 8 ГБ ОЗУ;
• Клиентский доступ – минимум 4 ГБ ОЗУ;
• Сочетание почтовых ящиков и клиентского доступа – минимум 8 ГБ ОЗУ;
• Пограничный транспорт – минимум 4 ГБ ОЗУ;

Мы будем рассматривать тот случай, когда у вас уже есть два сервера с установленной на них операционной системой Windows Server 2016. Кроме того, на одном из серверов должна быть установлена роль Active Directory Domain Services.

На Windows Server 2016 требуется установить все доступные обновления перед установкой Exchange Server 2016.

На будущем сервере Exchange заходим в систему под учетной записью, которая состоит в группах: Администраторы предприятия, администраторы схемы и администраторы домена.

На «Панели задач» нажимаем правой кнопкой мыши на «Windows PowerShell» и выбираем «Запуск от имени администратора».

Теперь необходимо установить средства удаленного администрирования для последующей подготовки Active Directory к установке Exchange Server 2016.

Выполняем команду «Install-WindowsFeature RSAT-ADDS».

Начался процесс установки средств удаленного администрирования.

После того, как установка средств удаленного администрирования успешно завершена, необходимо установить компоненты, необходимые для работы сервера Exchange.

Выполняем команду:

 «Install-WindowsFeature NET-Framework-45-Features, Server-Media-Foundation, RPC-over-HTTP-proxy, RSAT-Clustering, RSAT-Clustering-CmdInterface, RSAT-Clustering-Mgmt, RSAT-Clustering-PowerShell, Web-Mgmt-Console, WAS-Process-Model, Web-Asp-Net45, Web-Basic-Auth, Web-Client-Auth, Web-Digest-Auth, Web-Dir-Browsing, Web-Dyn-Compression, Web-Http-Errors, Web-Http-Logging, Web-Http-Redirect, Web-Http-Tracing, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Lgcy-Mgmt-Console, Web-Metabase, Web-Mgmt-Console, Web-Mgmt-Service, Web-Net-Ext45, Web-Request-Monitor, Web-Server, Web-Stat-Compression,Web-Static-Content, Web-Windows-Auth, Web-WMI, Windows-Identity-Foundation, RSAT-ADDS »

Начался процесс установки необходимых компонентов.

Установка необходимых компонентов успешно завершена.

Теперь необходимо перезагрузить сервер.

Когда сервер перезагрузился — необходимо установить Unified Communications Managed API 4.0 на будущий сервер Exchange.

Заходим на сайт.

Скачиваем Unified Communications Managed API 4.0 после чего запускаем «UcmaRuntimeSetup.exe».

Откроется «Мастер установки Unified Communications Managed API 4.0».

Нажимаем на кнопку «Далее».

Далее необходимо принять условия лицензии.

Нажимаем на кнопку «Установить».

Начался процесс установки «Unified Communications Managed API 4.0».

Установка «Unified Communications Managed API 4.0» завершена.

Нажимаем на кнопку «Готово».

Далее необходимо скачать Microsoft .NET Framework 4.7.1 по ссылке.

Запускаем установщик NDP471-KB4033342-x86-x64-AllOS-ENU.exe

Подтверждаем лицензионное соглашение и нажимаем «Установить».

Затем начинается установка.

Для продолжении установки требуется закрыть программы, для этого нажимаем «ДА».

После завершения установки нажимаем «Готово».

Затем установщик запросит перезагрузить сервер, нажимаем «Перезагрузить сейчас».

После перезагрузки устанавливаем еще Распространяемые пакеты Visual C++ для Visual Studio 2013 для этого переходим по ссылке.

После того как скачали файл, запускаем его и подтверждаем лицензию затем нажимаем «Install».

Пакеты Visual C++ установлены. Нажимаем «Close».

Теперь необходимо подготовить схему Active Directory.

На «Панели задач» нажимаем правой кнопкой мыши на «Windows PowerShell» и выбираем «Запуск от имени администратора».

Переходим на диск «D», где находятся установочные файлы Exchange Server 2016.

Выполняем команду:

«сd D:»

Выполняем команду:

«.setup.exe /PrepareSchema /IAcceptExchangeServerLicenseTerms»

Начался процесс подготовки схемы Active Directory.

Процесс подготовки схемы Active Directory успешно завершен.

Теперь необходимо подготовить Active Directory и создать организацию Exchange.

Обратите внимание, после «OrganizationName» необходимо указать название вашей организации на английском языке.

В данном руководстве используется название организации «dm11».

Выполняем команду:

«.setup.exe /PrepareAD /OrganizationName:"dm11" /IAcceptExchangeServerLicenseTerms»

Начался процесс подготовки Active Directory и создания организации Exchange.

Процесс подготовки Active Directory и создания организации Exchange успешно завершен.

Теперь необходимо подготовить домен.

Выполняем команду:

«.setup.exe /PrepareDomain:dm11.esit.info /IAcceptExchangeServerLicenseTerms».

Процесс подготовки домена успешно завершен.

Теперь можно приступить к установке Exchange Server 2016.

Запускаем «Setup.exe».

На данном этапе можно проверить наличие обновлений для Exchange Server 2016.

Выбираем «Подключиться к Интернету и проверить наличие обновлений» и нажимаем на кнопку «Далее».

На данный момент обновлений для Exchange Server 2016 нет.

Нажимаем на кнопку «Далее».

Далее «Мастер установки Exchange Server» предлагает ознакомиться с информацией касательно Exchange Server 2016.

Нажимаем на кнопку «Далее».

Теперь необходимо принять условия лицензии.

Нажимаем на кнопку «Далее».

Выбираем «Не использовать рекомендуемые параметры», чтобы сервер Exchange автоматически не отправлял в Microsoft отчеты об ошибках и другую информацию по использованию сервера Exchange.

Нажимаем «Далее».

Теперь необходимо выбрать какие роли будут установлены на ваш сервер.

Выбираем «Роль почтового ящика», затем выбираем «Автоматически установить роли и компоненты Windows Server, необходимые для Exchange Server» и нажимаем на кнопку «Далее».

Оставляем настройки без изменений и нажимаем на кнопку «Далее».

Теперь можно настроить параметры защиты от вредоносных программ.

В пункте «Отключить проверку на наличие вредоносных программ» выбираем «Нет» и нажимаем на кнопку «Далее».

Далее начнется процесс проверки готовности к установке, после того как процесс будет завершен, можно запускать процесс установки Exchange Server 2016.

Нажимаем на кнопку «Установить».

Начался процесс установки Exchange Server 2016.

Установка Exchange Server 2016 успешно завершена.

Нажимаем на кнопку «Готово».

Для администрирования сервера Exchange используется «Exchange Administration Center», доступный по ссылке https://Exchange2016/ecp, где Exchange2016 – имя сервера.

Теперь необходимо указать имя пользователя и пароль для входа в «Exchange Admin Center».

Нажимаем на кнопку «Войти».

Далее необходимо выбрать язык на котором будет отображаться дальнейшая информация, а также часовой пояс.

Добро пожаловать в «Exchange Admin Center».

Можно приступать к работе с сервером Exchange.

Теперь можно проверить состояние служб Exchange Server.

Нажимаем «Start», ищем «Exchange Management Shell», затем нажимаем правой кнопкой мыши на «Exchange Management Shell» и выбираем «Запуск от имени администратора».

Выполняем команду:

«Test-ServiceHealth»

Проверка служб успешно завершена.

Значение «True» в «RequireServiceRunning» свидетельствует о том, что служба запущена.

Необходимо перезагрузить сервер, можно приступать к дальнейшей настройке.

Порядок установки антиспам-агентов через командную консоль Exchange Management Shell

1. Запустите сценарий PowerShell Install-AntispamAgents.ps1 и в консоли запустите команду:

2. Сделайте перезапуск транспортной службы MS Exchange:

Restart-Service MSExchangeTransport

3. Дальше перечислите IP-адреса SMTP-серверов вашей организации — это необходимо, чтобы их пропускал агент Sender ID. Укажите IP-адреса (как минимум один) так:

Set-TransportConfig -InternalSMTPServers 10.15.73.153

4. Убедитесь, что на сервере запущены все необходимые для анализа и защиты входящей почты агенты. Проверьте это командами:

5. Настройте отказ от приема письма. Добавьте отправку автоматического сообщения отправителю, что его письмо посчитали спамом:

Проверьте, как это работает:

Get-ContentFilterConfig | Format-List *Reject*

В конце проверьте работу фильтра полностью, со всеми параметрами конфигурации:

Get-ContentFilterConfig | fl

Обратите внимание, включено ли автоматическое удаление спама. Для начала эту функцию лучше оставить выключенной, чтобы не потерять нужные письма.

Рекомендуем включить функцию отбоя спама с уведомлением отправителю:

set-ContentFilterConfig -SCLRejectEnabled $true

Вы можете также указать список доменов или почтовых адресов, сообщения с которых никогда не будут отправлены в спам. Создаем новый список доверенных доменов:

Set-ContentFilterConfig -BypassedSenderDomains microsoft.com,efsol.ru

Добавляем новые домены к ранее созданному списку:

Set-ContentFilterConfig –BypassedSenderDomains @{Add=”gmail.com”, “yandex.ru”}

Рекомендуем установить и включить антиспам-агенты на сервере почтовых ящиков после установки Exchange Server 2016. Это просто необходимо, если нет иных инструментов против спама в получаемой почте.

Мы также готовы оказать помощь в установке и настройке почтового сервера MS Exchange.

Нашим клиентам мы предлагаем реализацию данного проекта и последующее ИТ-обслуживание в рамках ИТ-аутсорсинга.

Альтернативным вариантом является — взять в аренду уже настроенный сервер Exchange или подключиться к публичному облачному Exchange на базе структуры EFSOL.

Комментарии для сайта Cackle—> —> Комментарии для сайта Cackle—> Инструкции

Привет! Сегодня разберём как установить exchange server 2016 с нуля. Всё нижесказанное также относится и к 2013 exchange. Миграция описана в статье Миграция с exchange server 2007 на 2013 отличий от миграции с 2010 или 2013 на 2016 нет.

Предварительные требования:

1. NET Framework 4.7.1
2. компоненты из статьи KB3206632 базы знаний Майкрософт
3. распространяемый пакет Visual C++ для Visual Studio 2012
4. распространяемый пакет Visual C++ для Visual Studio 2013
5. Microsoft Unified Communications Managed API 4.0, среда выполнения Core (64-разрядная версия)

6. Install-WindowsFeature RSAT-ADDS

7. Install-WindowsFeature NET-Framework-45-Features, Server-Media-Foundation, RPC-over-HTTP-proxy, RSAT-Clustering, RSAT-Clustering-CmdInterface, RSAT-Clustering-Mgmt, RSAT-Clustering-PowerShell, WAS-Process-Model, Web-Asp-Net45, Web-Basic-Auth, Web-Client-Auth, Web-Digest-Auth, Web-Dir-Browsing, Web-Dyn-Compression, Web-Http-Errors, Web-Http-Logging, Web-Http-Redirect, Web-Http-Tracing, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Lgcy-Mgmt-Console, Web-Metabase, Web-Mgmt-Console, Web-Mgmt-Service, Web-Net-Ext45, Web-Request-Monitor, Web-Server, Web-Stat-Compression, Web-Static-Content, Web-Windows-Auth, Web-WMI, Windows-Identity-Foundation, RSAT-ADDS

Миграция возможно минимум с exchange 2010 CU11. Контроллеры домена и уровень леса не менее Windows Server 2008 R2. Оперативная память – Почтовый ящик: не менее 8 ГБ.  Пограничный транспортный сервер: не менее 4 ГБ.

ОС windows server 2012 или windows server 2016.

В нашем случае будет идеальный вариант – чистый контроллер домена и чистая система, обе windows server 2016.

Устанавливаем компоненты:

Теперь можно устанавливать exchange server 2016. В принципе, установщик всё сделает за вас. Каких то особых требований, кроме описанных выше, нет. Если вы ставите сервер в существующую среду 2010 или 2013, то также никаких дополнительных действий не требуется. После установки они будут сосуществовать вместе, текущую инфраструктуру и работу почты данная установка не затронет.

Ставим галочки:

В этом случае установщик сам до установит недостающие компоненты, расширит схему AD выполнит подготовку. Имя организации – это имя раздела, в котором будут хранится настройки exchange в текущем лесу. Если в процессе установки у вас ошибка “Windows Server-Gui-Mgmt-Infra not installed” значит вы пытаетесь установить версию exchange до CU3. Скачиваем версию с последним CU. На текущий момент – CU12.

Не пугаемся названия – Cumulative Update 12 for Exchange Server это полноценный дистрибутив с последними обновлениями.

Как видим, установщик сам расширит схему и подготовит AD.

В том случае если у вас большая инфраструктура с несколькими доменами, или разделёнными правами, перед установкой можно выполнить команды вручную:

Подготовка AD, создание нужных контейнеров и объектовE:Setup.exe /IAcceptExchangeServerLicenseTerms /PrepareAD /OrganizationName:”First organization”

Если в процессе установки возникли ошибки, нам сильно поможет C:ExchangeSetupLogsExchangeSetup.log.

В случае если установка завершилась успешно, переходим по ссылке https://localhost/ecp и радуемся.

В принципе, можно создавать пользователей, и пользоваться почтой через owa, внутри организации она уже работает полноценно. Для отправки нам нужно создать коннектор отправки, он находится в “поток обработки почты – соединители отправки”. Тип коннектора – выбираем internet.

Адресное пространство – ставим звездочку. Это значит, что на все домены почта будет оправляться через этот коннектор. Если же мы хотим что бы почта на определенный домен отправлялась через специфический сервер – то создаём еще один коннектор. Затраты – приоритет отправки, сначала почта будет отправляться через коннектор с приоритетом 1, если условия совпадают.

Исходный сервер – если у нас несколько серверов, например в разных сайтах, и мы хотим отправлять почту со всех серверов exchange только через один, выбираем его в этом пункте. В нашем примере у  нас один сервер, естественно мы его и указываем.

И так – теперь мы можем отправлять почту в интернет. Но возникнет проблема – почти все наши письма будут помечены как спам. Почему так происходит? Потому что основные антиспам проверки включают в себя PTR запись, она должна совпадать с именем сервера, которым он представляется.

Переходим в нас тройки созданного коннектора, пункт “определение области”, и укажите FQDN имя, через которое ваш сервер будет доступен во внешних DNS. Также нужно написать провайдеру, что бы он прописал PTR запись на ваш внешний IP.

Первое дело сделано. Второй важный шаг – это настроить SPF запись. Про это можно прочитать в моей статье STOP SPAM. PTR, SPF, DKIM, DMARC

DKIM и DMARC можете настроить по своему усмотрению. Теперь наша почта должна доходить до адресата без проблем. Проверить корректность настроек можно с помощью сайта https://www.mail-tester.com/.

Переходим к коннекторам приёма. Эта штука определяет, как и кто может отправлять почту в наше систему. Приём почты разрешен для домена по умолчанию, он указан сразу.

То есть если домен у вас local, то естественно для маршрутизации в интернете нам нужен существующий, например hobbycomp.ru. Добавляем его в обслуживаемые домены. Тип – заслуживающий доверия. Письма,отправленные извне на этот домен будут обрабатываться, а если адреса не существует отклоняться. Если выбрать внутренняя ретрансляция – то если адресат не обнаружен, письма будут пересылаться дальше, например на другой сервер, указанный в коннекторе отправке, если внешняя ретрансляция – наличие пользователя проверяться не будет, просто будет пересылаться дальше.

Не забываем создать Политику адресов электронной почты, она находится в разделе “поток обработки почты”. Она нужна для того, что бы все новые сотрудники сразу создавались с нужным нам адресом почты, например имя.фамилия”домен.ру

Если уже готовые шаблоны не нравятся, можно перейти в дополнительные параметры, и создать свой шаблон, используя такие параметры:

Переменная	Значение
%d	Краткое имя
%g	Имя
%i	Буква отчества
%m	Псевдоним Exchange
%s	Фамилия
% _x_g	Первые буквы x первого имени. Например, %2g первые две буквы с именем не используются.
% _x_s	Первые буквы x фамилии. Например, %2s использует первые две буквы фамилии.

Продолжаем про коннекторы приёма. В них мы указываем: IP адреса с которых сервер принимает почту, на каких интерфейсах слушать порт приёма (25-й по дефолту) каких пользователей обслуживать – анонимных, или только с аутентификацией.

Коннектор по умолчанию default frontend настроен на приём писем со всех IP адресов, в том числе и от анонимных пользователей.  От анонимных – это значит что любой пользователь может прислать нам письмо на заслуживающий доверия домен.

Что бы это работало, рекомендую снять галку взаимная проверка подлинности, если у сервера будет самоподписанный (не доверенный) сертификат – письмо до вас не дойдёт.

Также на всех коннекторах включите ведение журнала – это очень поможет выявлять неполадки.

Нужные нам журналы хранятся здесь – C:Program FilesMicrosoftExchange ServerV15TransportRolesLogsFrontEndProtocolLog

Архитектура exchange сервера обычно предполагает наличие перед ним front end сервера ,который бы осуществлял фильтрацию писем на спам и вирусы. Встроенный функционал сервера в этом смысле слабоват.

Можно использовать exim, postfix, Cisco ESA. Лично мне нравится postfix, можно использовать его в связке с ClamAV и Spamassasin. Неплохое бесплатное решение.

В этом случае коннектор приёма настраиваем на приём только с одного IP – IP нашего front end сервера. Для принтеров, различных программ типа 1С создаём отдельный коннектор с IP нужного нам сервера, и анонимным приёмом. Отправлять в этом случае можно будет с любого несуществующего адреса в нашем домене, на адреса опять же в нашем домене (использовать для оповещений, без обратной связи). Если мы хотим отправлять письма на внешние адреса – нам нужно будет создать либо учетную запись с ящиком, и указать учетные данные при отправке.

В веб интерфейсе нам доступна только малая часть настроек, всё остальное скрыто в EMS.

Например, вот вывод всех настроек дефолтного коннектора приёма:

Get-ReceiveConnector -Identity "Default Frontend EX01" | fl

RunspaceId : 0b4604c3-bfef-4b7b-b8b6-b55b79d9f894AuthMechanism : Tls, Integrated, BasicAuth, BasicAuthRequireTLS, ExchangeServerBanner :BinaryMimeEnabled : TrueBindings : {[::]:25, 0.0.0.0:25}ChunkingEnabled : TrueDefaultDomain :DeliveryStatusNotificationEnabled : TrueEightBitMimeEnabled : TrueSmtpUtf8Enabled : TrueBareLinefeedRejectionEnabled : FalseDomainSecureEnabled : TrueEnhancedStatusCodesEnabled : TrueLongAddressesEnabled : FalseOrarEnabled : FalseSuppressXAnonymousTls : FalseProxyEnabled : FalseAdvertiseClientSettings : FalseFqdn : ex01.test.localServiceDiscoveryFqdn :TlsCertificateName :Comment :Enabled : TrueConnectionTimeout : 00:10:00ConnectionInactivityTimeout : 00:05:00MessageRateLimit : UnlimitedMessageRateSource : IPAddressMaxInboundConnection : 5000MaxInboundConnectionPerSource : 20MaxInboundConnectionPercentagePerSource : 2MaxHeaderSize : 256 KB (262,144 bytes)MaxHopCount : 60MaxLocalHopCount : 12MaxLogonFailures : 3MaxMessageSize : 36 MB (37,748,736 bytes)MaxProtocolErrors : 5MaxRecipientsPerMessage : 200PermissionGroups : AnonymousUsers, ExchangeServers, ExchangeLegacyServersPipeliningEnabled : TrueProtocolLoggingLevel : VerboseRemoteIPRanges : {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255}RequireEHLODomain : FalseRequireTLS : FalseEnableAuthGSSAPI : FalseExtendedProtectionPolicy : NoneLiveCredentialEnabled : FalseTlsDomainCapabilities : {}Server : EX01TransportRole : FrontendTransportRejectReservedTopLevelRecipientDomains : FalseRejectReservedSecondLevelRecipientDomains : FalseRejectSingleLabelRecipientDomains : FalseAcceptConsumerMail : FalseSizeEnabled : EnabledTarpitInterval : 00:00:05AuthTarpitInterval : 00:00:05MaxAcknowledgementDelay : 00:00:30AdminDisplayName :ExchangeVersion : 0.1 (8.0.535.0)Name : Default Frontend EX01DistinguishedName : CN=Default Frontend EX01,CN=SMTP Receive Connectors,CN=Protocols,CN=EX01,CN=Servers,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=First Organization,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=test,DC=localIdentity : EX01Default Frontend EX01Guid : e569491e-7fd2-4c48-b43b-6bd4e76ebf96ObjectCategory : test.local/Configuration/Schema/ms-Exch-Smtp-Receive-ConnectorObjectClass : {top, msExchSmtpReceiveConnector}WhenChanged : 16.03.2019 13:42:54WhenCreated : 16.03.2019 13:42:54WhenChangedUTC : 16.03.2019 10:42:54WhenCreatedUTC : 16.03.2019 10:42:54OrganizationId :Id : EX01Default Frontend EX01OriginatingServer : dc01.test.localIsValid : TrueObjectState : Unchanged

Многие параметры говорят сами за себя, например MaxRecipientsPerMessage:200 значит что на этом коннекторе возможен приём для максимум  200 получателей, а MessageRateLimit : Unlimited о том что количество принимаемых писем в секунду не ограничено.

А вот так можно посмотреть ограничения на количество отправленных сообщений в секунду на всех коннекторах:

Get-ReceiveConnector | fl Name,MessageRateLimit

Name : Default EX01MessageRateLimit : Unlimited

Name : Client Proxy EX01MessageRateLimit : 5

Name : Default Frontend EX01MessageRateLimit : Unlimited

Name : Outbound Proxy Frontend EX01MessageRateLimit : Unlimited

Name : Client Frontend EX01MessageRateLimit : 5

Теперь поговорим об еще одном важном аспекте – сертификатах. Сертификаты прежде всего нужны нам для подключения outlook к серверу, и для подключения через браузер, без уведомления о том, что сайт небезопасен.

Давайте разберёмся, что такое сертификат, и как он работает. По сути это ключ, две половинки которого называются закрытый и открытый ключ. То что зашифровано одним ключом можно расшифровать другим, и наоборот. Закрытый ключ хранится только на сервере, открытый же доступен всем. Когда мы генерируем сертификат с помощью нашего внутреннего центра сертификации, он подписан его корневым сертификатом. А корневой сертификат имеется в доверенных на всех компьютерах домена, поэтому ошибок не возникает. Как только мы пытаемся подключится с компьютера, на котором данного корневого сертификата нет – получаем ошибку. Если устраивает такой вариант, когда мы можем всем пользователям установить свой корневой сертификат – то тогда используем его. Как развернуть внутренний центр сертификации описано в моей статье Установка Certification Authority

В противном случае нам понадобится коммерческий сертификат. Суть его состоит в том что корневой сертификат уже вшит во все браузеры, операционные системы, в том числе и мобильные.

Как установить сертификат на примере внутреннего центра сертификации. Заходим в раздел серверы – сертификаты. Выбираем “создать запрос на сертификат, подписанный центром сертификации”.

Проходим через мастер, важный момент выбор имён, которые будут использоваться в сертификате. Я рекомендую использовать единое пространство имен как внутри, так и снаружи. На внутреннем DNS создать  зоны mail.hobbycomp.ru и autodiscover.hobbycomp.ru, для работы хватит этих двух имен. Если планируется раздельное пространство имен – они должны присутствовать в сертификате.

Сохраняем запрос на сертификат, сохранить можно на сетевую шару. теперь у нас есть ожидающий запрос. Это значит, что сгенерирован закрытый ключ, он хранится на сервере, а нам нужно подписать наш сертификат с открытыми данными корневым сертификатом центра сертификации. Для этого идём на веб интерфейс центра сертификации. https://server/certsrv

Выбираем запрос сертификата – расширенный запрос сертификата, открываем блокнотом сохраненный запрос на сертификат, и вставляем в поле сохранённый запрос. Шаблон сертификата выбираем веб сервер.

В интерфейсе с сертификатами сервера, выбираем “выполнить”, и подсовываем полученный сертификат. Путь также указываем в формате сетевой шары.

Назначаем новый сертификат службам IIS и SMTP.

На выходе получаем валидный сертификат, для тех устройств на которых установлен корневой сертификат.

Не забывайте, что имена по которым будут обращаться пользователи снаружи и изнутри должны присутствовать в сертификате. Имена для подключения outlook задаются в настройках виртуальных директорий.

Вкладка серверы – виртуальные каталоги. В настройках нужно прописать имя сервера, для простоты опять же рекомендуется использовать одинаковые имена для внешних и внутренних адресов. Если у вас один сервер – особо не заморачиваемся. Если вы мигрируете на новый сервер, или у вас их несколько – тут схема будет действовать следующим образом. Для OWA, если пользователь будет в базе на одном сервере, а подключается на другой, будет срабатывать редирект на другой сервер. В остальных случаях, если внутреннее имя сервера не прописано, должно работать проксирование с одного сервера на другой.

Для каталога autodoscover адрес нужно задать через EMS. Задаётся только внутренний адрес, это будет адрес SCP – service connection point, outlook вытащит его из active directory.

Посмотреть текущий адрес можно командлетом:

Get-ClientAccessService | fl AutoDiscoverServiceInternalUri

В принципе, на этом основные настройки заканчиваются. Мы получили работающую систему, отправляющую и принимающую письма. Дальше идёт тонкий тюнинг, для текущих потребностей. Пожалуйста, напишите в комментариях, что еще вам интересно, я постараюсь ответить на все вопросы, и дополнить статью.

Если у Вас есть вопросы, задавайте их на форуме, или ниже в комментариях.

Базовая настройка Exchange Server является обязательной задачей после установки продукта. О том как выполнить установку, какие необходимо учесть нюансы можно ознакомится по следующей ссылке. Весь процесс базовой настройки разбит по кейсам, итог выполнения которых — работоспособный Exchange сервер. Будут реализованы возможности отправки и получения электронной почты, а также выполнены условия для подключения клиентов. Виду объема необходимой конфигурации, весь материал разбит на две статьи. В первой части рассматриваются следующие вопросы:

• Добавление обслуживаемого домена (accepted domains)
• Настройка соединителя отправки (send connector)
• Настройка внешних URL адресов Exchange сервера

Во второй:

• Выпуск SSL сертификатов для Exchange сервера
• Настройка политики адресов электронной почты

Добавление обслуживаемого домена (accepted domains)

Обслуживаемый домен (accepted domains) — это домен, который используется Exchange организацией для получения и отправки почтового трафика. В рамках него (типы Authoritative и Internal Relay) могут формироваться почтовые адреса пользователей, общих почтовых ящиков, групп распространения и других объектов Exchange которым возможно назначить почтовый адрес. По умолчанию, сразу же после развертывания, доступен лишь один обслуживаемый домен:

Имя его соответствует домену Active Directory. Всего существует три типа обслуживаемых доменов:

1. Уполномоченный домен (Authoritative)
2. Домен внутренней ретрансляции (InternalRelay)
3. Внешний домен ретрансляции (ExternalRelay)

Домены первого типа полностью обслуживаются Exchange организацией. При поступлении на него входящего письма происходит поиск почтового адреса в глобальном каталоге Active Directory. В случае его отсутствия будет возвращен NDR (Not Delivery Report).

Домен внутренней ретрансляции применяется тогда, когда адресное пространство используется совместно с другой почтовой инфраструктурой. Логика работы такая же, как и в первом типе, но при отсутствии почтового адреса в глобальном каталоге возможно перенаправление письма на другой SMTP шлюз.

Последний тип используется в задачах перенаправления входящих писем на внешний SMTP шлюз тогда, когда нет надобности в использовании одного адресного пространства с другой почтовой системой. Так же, его невозможно использовать при формировании почтовых адресов в Exchange организации.

Если письмо будет доставляться в Exchange организацию, а домен получателя отсутствует в обслуживаемых доменах, оно автоматически будет отклонено с ошибкой 550 5.7.54 SMTP; Unabletorelayrecipientinnon—accepteddomain.

Сам процесс добавления домена необходимого типа выглядит следующим образом:

Настройка соединителя отправки (send connector)

В Exchange инфраструктуре коннекторы или соединители выполняют задачи обработки входящего и исходящего почтового потока, также участвуют внутри транспортного потока Exchange. Чтобы почтовая инфраструктура могла взаимодействовать с внешними системами по протоколу SMTP, необходимо создать новый соединитель отправки. Для этого следует перейти в раздел почтовый поток (mailflow), во вкладку исходящие почтовые соединители (sendconnectors)

Как и в случае с обслуживаемыми доменами, существует несколько типов исходящих почтовых соединителей:

• Внутренний (Internal)
• Внешний (Internet)
• Партнерский (Partner)

Внутренний соединитель отправки используется для ретрансляции почтового потока внутри почтовой организации. Например, в сочетании с доменом внутренней ретрансляции.

Внешний тип предполагает отправку почты во вне организации, например удаленному почтовому серверу через Интернет.

Партнерский тип используется для настройки почтового взаимодействия между двумя внешними партнерскими организациями. Примером может служить холдинг. В холдинге множество отдельно стоящих почтовых систем, взаимодействие между которыми регулироваться политиками безопасности. Одна из политик требует, чтобы во время почтового обмена использовалось шифрование. Партнерский тип решает эту задачу.

Возвращаясь к задаче, для отправки внешним почтовым системам необходим внешний (Internet) тип соединителя.

На следующей странице необходимо указать каким образом будет осуществляться отправка почты. Либо используя MX записи, либо выделенный смарт-хост в виде внешнего почтового релея.

Внизу страницы присутствует чек-бокс с включением конфигурации Use the external DNS lookup settings on servers with transport roles. Задействование данной опции позволит не использовать конфигурацию DNS серверов сетевого интерфейса Exchange сервера, а применить настройки из конфигурации самого сервера. Они задаются на странице Servers, в первом же разделе Servers:

Необходимая вкладка называется DNS lookups:

Следующий шаг заключается в задании адресного пространства, за которое ответственен соединитель. В случае если создаваемый тип соединителя внутренний или партнерский, задаться конкретный почтовый домен. Например, partnerdomain.com. Если же используется *, коннектор будет обсуживать все существующее пространство имен. Если в конфигурации присутствует несколько коннекторов, один из которых обслуживает пространство *, а второй с partnerdomain.com, приоритет получит последний.

Чек-бокс Scopedsendconnector даст возможность привязать коннектор к определенному сайту Active Directory, в котором находится сам Exchange. Для базовой настройки Exchange инфраструктуры этот параметр не требуется.

Задание адресного пространства выглядит следующим образом:

Далее, задаем сервер или сервера Exchange которые могут использовать данный соединитель:

В моем случае, у меня один и едиснтвенный Exchange сервер с ролью Hub Transport Service:

Конфигурация исходящего соединителя завершена:

Важно учесть, что со стороны сети, Exchange сервер должен иметь доступ по 25-му порту в Интернет (NAT). На Exchange сервер должен быть «проброшен» сделан DNAT с 25-го порта с публичного IP.  Публичный IP используемый в NAT и DNAT должны совпадать.

Помимо правильной сетевой конфигурации необходимо корректно настроить публичную DNS зону почтового домена. Для обмена с внешними почтовыми системами необходимо добавить два типа записей — MX и А.

• Запись типа А должна иметь значение внешнего IP адреса, с которого сделан DNAT на приватный адрес Exchange сервера. В случае применения пограничного Edge сервера, DNAT делается на него;
• MX запись указывает на A запись.

Настройка внешних URL адресов Exchange сервера

Базовая настройка Exchange Server не заканчивается добавлением обслуживаемого домена и настройкой соединителей. Необходимо задать корректные URL адреса для подключения клиентов. Для этого перейдем в настройки конфигурации:

Выберем сервер и нажмем на «карандаш» открыв страницу настроек. Далее, необходимо перейти в настройки OutlookAnywhere и задаем внешний домен для подключения клиентов:

Данный домен, в последствии, будет использоваться для публикации Exchange сервера. Этот процесс будет описан в будущей статье.

Задание внешнего домена требуется и для веб каталогов Exchange сервера. Для этого необходимо перейти в конфигурацию virtual directories и найти «гаечный ключ»:

На открывшейся странице задаем необходимую конфигурацию:

Задание внешнего домена по которому будет доступна Exchange инфраструктура необходимо для дальнейшего выпуска SSL сертификатов.

На этом пока все. Если у вас возникли какие-либо вопросы, пожалуйста, пишите в комментарии.

Базовая настройка Exchange Server 2019. Часть 2

Используемые источники:

• https://efsol.ru/manuals/exchange-setup.html
• https://hobbycomp.ru/soft/ustanovka-exchange-server-2016-na-windows-server-2016/
• https://ait.in.ua/on-premise/exchange/bazovaya-nastrojka-exchange-server-2019-chast-1.html