Microsoft har investert millioner av dollar i Azure og Office 365, og deres konkurrenter følger etter med bona fide offentlige skytilbud. Men offentlige skyløsninger er ikke for alle. Organisasjoner med mange striper har legitime grunner til ikke å ønske sine begrensede data på systemer utenfor deres totale kontroll.
For mange av disse enhetene er lokal Exchange Server et must for meldinger. Microsoft fortsetter å oppdatere programvaren med forsikring om at eventuelle forbedringer som gjøres i den skybaserte stakken, til slutt vil falle ned. Disse funksjonene legger i økende grad lag av kompleksitet til den allerede skremmende oppgaven med å kjøre et meldingssystem av bedriftens kvalitet. Det er lett å gå seg vill når du går gjennom maskinvarekapasitetsplanlegging, konfigurerer DAGer (databasetilgjengelighetsgrupper) og fleksibilitet på nettstedet, konfigurerer ruting av e-post og sørger for at brukerne faktisk kan koble til systemet.
Med det i tankene er det noen detaljer du absolutt må få rett før du åpner dørene til det nye meldingsmiljøet ditt.
Kapasitet
Før du til og med laster ned Exchange Server, bør du ha en god ide om hvor mange brukere systemet ditt vil trenge å støtte, eventuelle servicenivåavtaler du måtte ha på plass, og hvor lenge et katastrofegjenopprettingsvindu organisasjonen din vil kreve. Dette er veldig dype emner som ligger langt utenfor omfanget av denne artikkelen, men Microsoft gir noen verktøy som hjelper deg med å planlegge dette.
Først er artikkelen om anbefaling av Exchange 2013 Sizing and Configuration på TechNet. Det vil ta deg gjennom det grunnleggende som Active Directory CPU-kjerne-til-postkasseserver-CPU-kjerneforhold, nettverkskonfigurasjon, nødvendige Windows Server-hurtigreparasjoner og sidefilekonfigurasjon. Hvis du er kjent med Exchange Server 2010, vil du legge merke til noen få endringer uthevet i denne artikkelen for å konfigurere Exchange 2013, for eksempel ikke lenger å anbefale et eget nettverk for replikering.
Når du har gjort deg kjent med kjerneanbefalingene, er det på tide å dykke ned i kapasitetsplanlegging. Exchange Team-bloggen er en god kilde til informasjon for dette, og gruppen har publisert et omfattende blikk på hvordan du kan dimensjonere miljøet ditt riktig. Ikke la deg motløse av de matematiske formlene - en størrelses kalkulator er tilgjengelig for nedlasting for å hjelpe deg gjennom prosessen.
Noen få TL; DR-tips:
- Ikke rot med RAID-oppsett for databasevolumene. Det er old school og ikke lenger nødvendig på grunn av ytelsesforbedringer i Exchange. JBOD er greit, spesielt når du bruker DAG-er for høy tilgjengelighet.
- Bruk en Active Directory CPU-kjerne for hver åtte prosessorkjerne i postboksen.
- Ikke bruk hypertråd på fysiske postkasseservere.
- Konfigurer ytelsesmonitorer for kritiske beregninger som AD-spørringsvarighet, IOPS på databaseskivene dine, og verifisering av hele AD-databasen kan passe i RAM.
E-postruting
Du har alt installert. Databasene dine replikeres. Lastene dine er balanserte. Ytelsen overvåkes. Nå er det på tide å gå videre til å faktisk få e-post inn og ut av systemet ditt.
Aksepterte domener og retningslinjer for e-postadresser
Forsikre deg om at alle domenene dine er oppført med riktig domenetype under Mail Flow> Accepted Domaines, og at standarddomenet ditt er riktig. Hvis du har tenkt å bruke retningslinjene for e-postadresser, er det nå en god tid å gjennomgå dem for å sikre at du har de riktige domenene og brukernavnformatet valgt. Du kan gjøre det under E-poststrøm> Retningslinjer for e-postadresser.
DNS
Som med Office 365, må du konfigurere DNS-oppføringene dine riktig før e-post kan rute til systemet ditt, eller klienter kan automatisk oppdage innstillingene. Dette er litt vanskeligere for lokale løsninger fordi du må konfigurere brannmurregler for å tillate port 25 inngående til enten frontend- eller kanttransportservere, avhengig av din spesifikke konfigurasjon.
Du må først opprette en A-post for IP-adressen til MTA (Message Transfer Agent). For eksempel bruker vi mail.exampleagency.com i laboratoriet vårt. Når A-posten er på plass, oppretter du en MX-post som peker mot den. Din DNS-vertsleverandør bør ha tilstrekkelig dokumentasjon for å dekke opprettelsen av disse postene.
For autodiscover må du opprette enten en A-post til IP-adressen til klienttilgangsserveren din, eller, hvis den er den samme som MTA-en din, en CNAME-post som peker på den. Igjen, for vårt laboratorium bruker vi en CNAME-registrering av enutodiscover.exampleagency.com som peker på mail.exampleagency.com siden de begge bruker samme IP-adresse. Det kreves at denne posten er autodiscover.yourdomain.tld siden det er slik Outlook Autodiscover vil se etter den.
Kontakter
I motsetning til Office 365, som vi dekket i en forrige artikkel, oppretter ikke lokal Exchange automatisk en sendekontakt for deg. For å gjøre det, åpne EAC (Exchange Admin Center) og naviger til Mail Flow> Send Connectors. En grunnleggende kontakt vil bare sende til Internett via DNS-oppløsning.
Hvis du bruker en tredjeparts meldingsgateway som Mimecast, vil du konfigurere det som en tilpasset kontakt. Dette er også her du vil konfigurere eventuelle tvangs TLS-tilkoblinger til andre MTAer. For eksempel krever Bank of America tvungne TLS-tilkoblinger for leverandørene. For dette må du bruke en Partner-kontakt.
Dette er også en god mulighet til å se gjennom mottakskontaktene dine. Her kan du angi maksimal innkommende meldingsstørrelse (standard er 35 MB - husk å ta hensyn til de rundt 33 prosent MIME-kodingskostnadene), om du vil aktivere tilkoblingslogging, sikkerhetsinnstillinger som håndhevet TLS og IP-begrensninger.
Klienttilgang
Du har den grunnleggende postrutingen konfigurert, og du kan sende og motta e-post. Nå må du få klienter koblet til systemet ditt slik at de faktisk kan bruke det.
Sertifikater
Med Office 365 bruker Microsoft sitt eget navneområde for Outlook Autodiscover, Outlook Web App og SMTP-tilkobling over TLS. Som sådan bruker Microsoft sine egne sertifikater. For lokal utveksling må du kjøpe nye sertifikater fra en klarert CA for å tillate pålitelig sikker tilkobling til systemene dine.
Heldigvis har Microsoft gjort prosessen enkel å fullføre. For å starte, åpne EAC og naviger til Servere> Sertifikater. Legg til et nytt sertifikat og velg å generere en forespørsel. En veiviser åpner og veileder deg gjennom prosessen. Du vil få muligheten til å velge domenet ditt for hver tilgangstype. I dette eksemplet har jeg hovedsakelig brukt webmail.exampleagency.com for alt.
Når du er ferdig med veiviseren, ta sertifikatforespørselsfilen din og last den opp til din foretrukne sertifikatmyndighet (vi brukte GoDaddy). Du vil da motta sertifikatet i form av en CER-fil. Bare klikk på Fullfør og importer CER-filen for å få sertifikatet importert og aktivert for bruk i ditt miljø.
Virtuelle kataloger
Nå som du har installert sertifikatet ditt, er det på tide å fortelle Exchange hvilke domener du skal bruke for hvilke tjenester. Naviger til Servere> Virtuelle kataloger. Herfra bør du konfigurere ekstern tilgang for hver enkelt. I dette eksemplet har vi konfigurert den virtuelle OWA-katalogen til å bruke webmail.exampleagency.com.
Det er mer komplekse emner å diskutere som klienttilgangsarrayer og lastbalansering, men de er best igjen for en mer grundig utforskning enn denne artikkelen. For mer informasjon, se Microsofts Exchange Server-dokumentasjon på TechNet.
Sikkerhet og samsvar
Selv om dataene dine ikke er i en offentlig sky, må du fremdeles nøye vurdere sikkerhet. For det første må du sørge for at du bruker regelmessige oppdateringer til både Windows Server og Exchange Server. Det samme rådet for administratorkontoer gjelder også; bruk alltid separate administratorkontoer fra vanlige kontoer.
Du må absolutt holde tilgang til administrative oppgaver begrenset til interne nettverk eller VPN-er, med mindre du har tenkt å aktivere noen form for multifaktorautentisering via tredjepartsprodukter som RSA SecurID.
Forsikre deg om at du har en fornuftig passordpolicy. Veiledningen om dette endres stadig, men vi er delvis med den nyere ideen om å bruke lengre passord i stedet for mer komplekse passord. I laboratoriet vårt krever vi at brukerne har passord med 14 tegn - minus eventuelle krav til kompleksitet - som utløper hver 90. dag.
Du bør også vurdere om du trenger å begrense sending av sensitiv informasjon via e-post, for eksempel personnummer og kredittkortnummer. Du kan konfigurere disse begrensningene under Compliance Management> Data Loss Prevention. Microsoft tilbyr en rekke maler som kan brukes til å hjelpe deg raskt og raskt. I dette eksemplet bruker jeg den amerikanske FTC-malen for å begrense sending av kredittkortnumre.
Tanker om annen programvare
Hvis du har fulgt så langt, har du forhåpentligvis et fungerende Exchange-system. Nå må du beskytte den, sikkerhetskopiere den og generelt sørge for at den forblir online.
For antivirusløsninger vil du ha både en systemomfattende antiviruspakke i sanntid, samt en pakke som skanner meldinger under transport. Microsoft gir en liste over nødvendige unntak for både Active Directory-domenekontrollere og Exchange Server-systemer. Sørg for å følge Microsofts anbefalinger og ikke stole på at antivirusleverandøren din implementerer disse automatisk for deg. Jeg har sett for mange antiviruspakker tråkke postboksens loggfiler utenom boksen for å stole på at de gjør det for deg.
Du må også vurdere typen sikkerhetskopierings- og gjenopprettingsmetoder du vil støtte. Sikkerhetskopierer du disk eller tape? Trenger du granulær gjenoppretting (som er langt mer ressurskrevende enn det vanligvis er verdt)? Hvor langt tilbake må sikkerhetskopiene dine gå? Det er mange spørsmål du må stille deg selv, teamet ditt og toppledelsen.
Andre produkthensyn inkluderer forebygging av tap av data, antispam-programvare og arkivering av e-post. I noen tilfeller kan dette inkluderes i en enkelt pakke. Men sørg for at det er sertifisert for å fungere med Exchange Server 2013 og har tilstrekkelig støtte fra leverandøren. Du vil ikke kjøpe et produkt bare for å finne ut at det ble bygget for Exchange Server 2007 og bare har e-poststøtte.
Siste tanker
Til slutt, sørg for å gjøre leksene dine. Kontroller at organisasjonen din ikke trenger å følge noen spesifikke lover for datalagring, forebygging av datatap eller datatilgang. Test sikkerhetskopier og gjenoppretting regelmessig. Bruk EICAR-testfilen for å sikre at antivirusprogramvaren kjører riktig. Sjekk ytelsesmonitorene dine rutinemessig for å sikre at du ikke trenger å balansere en DAG på nytt eller legge til en domenekontroller. Å, og en ting til: lær å elske PowerShell.
Å kjøre en lokal Exchange-server er langt mer komplisert enn å bare registrere deg for Office 365, men du har mye mer kontroll og får en langt mer givende opplevelse som IT-profesjonell. Denne artikkelen ga forhåpentligvis deg i det minste en god oversikt over alternativene dine og hva du absolutt må få riktig når du konfigurerer Exchange Exchange på stedet. Hver organisasjon er forskjellig, og denne veiledningen kan være utenfor merket for ditt scenario. Det bør imidlertid være tilstrekkelig for de fleste IT-administratorer for små bedrifter som ønsker å bli satt opp raskt.
Relaterte artikler
- Kraften til PowerShell: En intro for Exchange-administratorer
- Nedlasting: Hurtigveiledning: Hvordan flytte til Office 365
- Nedlasting: Microsoft Office 365 kontra Google Apps: Den ultimate guiden
- 5 Office 365 admin-innstillinger må du få riktig
- 10 tredjepartsverktøy som passer dine Office 365-behov
- 10 store Office 365 migrasjonsfiler å unngå
- Hvordan migrere Exchange-serveren din til Office 365
