Миграция с Exchange 2010 на 2019. Часть 17. Первоначальная настройка Exchange 2019 и создание группы высокой доступности

Мы добавили сервера Exchange 2019 в нашу организацию. Теперь необходимо выполнить их настройку. Первоначальная настройка Exchange 2019 включает в себя следующие шаги:

1. Импорт и привязка сертификатов.
2. Настройка служб автообнаружения.
3. Настройка виртуальных директорий.
4. Конфигурирование Outlook Anywhere.
5. Переименование и перемещение почтовых баз.
6. Создание группы высокой доступности.

Также мы выполним настройку группы высокой доступности из наших серверов MBX05 и MBX06, чтобы мы могли выполнять миграцию почтовых ящиков уже на отказоустойчивое решение.

Импорт и привязка сертификатов

Для корректной работы HTTPS сервисов и службы обнаружения нам необходим сертификат, который будет доверенным для наших клиентов Outlook. Потому что после установки Exchange привязывает к веб-сервисам самоподписанный сертификат и наши клиенты будут получать сообщение о том, что у них нет доверия к этому сертификату. Например:

Вариант с использованием самоподписанного сертификата мы рассматривать не будем. В остальных случаях у вас будет два варианта:

1. Купить коммерческий сертификат на год или более.
2. Выпустить бесплатный сертификат от Let-s Encrypt на 3 месяца.

Поскольку мы уже выпускали бесплатный сертификат для нашего сервера Exchange 2016, то мы будем использовать его.

Предварительно либо экспортируйте этот сертификат с одного из серверов Exchange 2016, либо найдите исходный PFX файл с открытым и закрытым ключом.

Импорт сертификата на сервера клиентского доступа

Для импорта сертификата на сервера клиентского доступа выполните следующие шаги:

1. Запустить MMC консоль управления сертификатами для локального компьютера на первом сервер Exchange 2016:

2. В контекстом меню персонального контейнера выбрать пункт для импорта сертификата:

3. Выполнить все шаги мастера импорта сертификатов.

4. Сертификат должен отобразиться в локальном хранилище сертификатов:

5. Выполнить импорт сертификата на второй сервер Exchange 2019.

Привязка сертификата к сервисам Exchange

Импорт сертификата – это лишь половина дела. Далее их нужно указать – какие сервисы будут использовать наш сертификат:

1. Запустим Exchange Management Shell на первом сервере Exchange 2016 и посмотрим на список наших сертификатов:

Get-ExchangeCertificate | fl Subject,Services,Thumbprint

2. Находим необходимый нам сертификат и привязываем его ко всем сервисам:

Get-ExchangeCertificate -Thumbprint "5CEC8544D4743BC279E5FEA1679F79F5BD0C2B3A" | Enable-ExchangeCertificate -Services  IMAP, POP, IIS, SMTP

3. Перезапускаем сервер IIS:

iisreset

4. Выполняем аналогичные действия на втором сервере Exchange 2019.

Настройка службы автообнаружения

Теперь посмотрим, как выглядят настройки служб автообнаружения после добавления серверов Exchange 2016 в нашу организацию:

Get-ClientAccessService | fl identity, *uri*

Мы видим, что на серверах Exchange 2019 (MBX05 и MBX06) службы автообнаружения ведут не на имя, которое мы настроили ранее (mail.itproblog.ru), а на собственные имена серверов:

Напомню, что мы используем пространство имен mail.itproblog.ru.

Скорректируем имена службы автообнаружения:

Get-ClientAccessService -Identity MBX05 | Set-ClientAccessService -AutoDiscoverServiceInternalUri https://mail.itproblog.ru/Autodiscover/Autodiscover.xml

Get-ClientAccessService -Identity MBX06 | Set-ClientAccessService -AutoDiscoverServiceInternalUri https://mail.itproblog.ru/Autodiscover/Autodiscover.xml

Проверим теперь адреса служб автообнаружения для всех наших серверов Exchange:

Get-ClientAccessService | fl identity, *uri*

Теперь все имена настроены корректно, и мы перейдем к настройке виртуальных директорий.

Настройка виртуальных директорий

Первоначальная настройка Exchange 2019 включает в себя настройку виртуальных директорий. В Exchange 2019 у нас присутствуют следующие виртуальные директории:

1. ActiveSync Virtual Directory. Виртуальная директория для протокола ActiveSync. В осносном это подключение мобильных устройств.
2. MAPI Virtual Directory. Эта виртуальная директория появилась в Exchange 2013 SP1. Используется современными клиентами Outlook (начиная с Outlook 2013 SP1) для подключения к почтовым ящикам через MAPI/HTTP. Этот метод подключения пришел на замену RPC over HTTP.
3. Autodiscover Virtual Directory. Предназначена для сервиса автоматического конфигурирования внутренних клиентов.
4. Ecp Virtual Directory. Виртуальная директория веб-консоли управления.
5. Oab Virtual Directory. Предназначения для хранения файлов оффлайн адресной книги.
6. Owa Virtual Directory. Виртуальная директории веб версии Outlook.
7. PowerShell Virtual Directory. Виртуальная директория веб-версии PowerShell.
8. WebServices Virtual Directory. Виртуальная директория веб-сервисов Exchange.

У каждой из виртуальных директория (за исключением виртуальной службы автообнаружения) в настройках необходимо указать URL адрес, который будут использовать внутренние клиенты и URL адрес, который будут использовать внешние клиенты. Этот URL адрес, может быть одинаковый как для внутренних клиентов, так и для внешних клиентов. В нашем случае будет именно так.

Как было сказано выше, мы будем использовать URL вида https://mail.itproblog.ru.

Выполним настройку виртуальной директории для ActiveSync:

Get-ActiveSyncVirtualDirectory -Server MBX05 | Set-ActiveSyncVirtualDirectory -InternalUrl "https://mail.itproblog.ru/Microsoft-Server-ActiveSync" -ExternalUrl "https://mail.itproblog.ru/Microsoft-Server-ActiveSync"

Get-ActiveSyncVirtualDirectory -Server MBX06 | Set-ActiveSyncVirtualDirectory -InternalUrl "https://mail.itproblog.ru/Microsoft-Server-ActiveSync" -ExternalUrl "https://mail.itproblog.ru/Microsoft-Server-ActiveSync"

Выполним настройку виртуальной директории для MAPI:

Get-MapiVirtualDirectory -Server MBX05 | Set-MapiVirtualDirectory -InternalUrl "https://mail.itproblog.ru/mapi" -ExternalUrl "https://mail.itproblog.ru/mapi"

Get-MapiVirtualDirectory -Server MBX06 | Set-MapiVirtualDirectory -InternalUrl "https://mail.itproblog.ru/mapi" -ExternalUrl "https://mail.itproblog.ru/mapi"

Настроим виртуальную директорию ECP:

Get-EcpVirtualDirectory -Server MBX05 | Set-EcpVirtualDirectory -InternalUrl "https://mail.itproblog.ru/ecp" -ExternalUrl "https://mail.itproblog.ru/ecp"

Get-EcpVirtualDirectory -Server MBX06 | Set-EcpVirtualDirectory -InternalUrl "https://mail.itproblog.ru/ecp" -ExternalUrl "https://mail.itproblog.ru/ecp"

Настроим виртуальную директорию OWA:

Get-OwaVirtualDirectory -Server MBX05 | Set-OwaVirtualDirectory -InternalUrl "https://mail.itproblog.ru/owa" -ExternalUrl "https://mail.itproblog.ru/owa"

Get-OwaVirtualDirectory -Server MBX06 | Set-OwaVirtualDirectory -InternalUrl "https://mail.itproblog.ru/owa" -ExternalUrl "https://mail.itproblog.ru/owa"

Затем настроим виртуальную директорию автономной адресной книги:

Get-OabVirtualDirectory -Server MBX05 | Set-OabVirtualDirectory -InternalUrl "https://mail.itproblog.ru/OAB" -ExternalUrl "https://mail.itproblog.ru/OAB"

Get-OabVirtualDirectory -Server MBX06 | Set-OabVirtualDirectory -InternalUrl "https://mail.itproblog.ru/OAB" -ExternalUrl "https://mail.itproblog.ru/OAB"

Нам остается настроить виртуальную директорию для PowerShell:

Get-PowerShellVirtualDirectory -Server MBX05 | Set-PowerShellVirtualDirectory -InternalUrl "http://mail.itproblog.ru/powershell" -ExternalUrl "http://mail.itproblog.ru/powershell"

Get-PowerShellVirtualDirectory -Server MBX06 | Set-PowerShellVirtualDirectory -InternalUrl "http://mail.itproblog.ru/powershell" -ExternalUrl "http://mail.itproblog.ru/powershell"

Последним шагом конфигурируем виртуальную директорию веб-сервисов:

Get-WebServicesVirtualDirectory -Server MBX05 | Set-WebServicesVirtualDirectory -InternalUrl "https://mail.itproblog.ru/EWS/Exchange.asmx" -ExternalUrl "https://mail.itproblog.ru/EWS/Exchange.asmx"

Get-WebServicesVirtualDirectory -Server MBX06 | Set-WebServicesVirtualDirectory -InternalUrl "https://mail.itproblog.ru/EWS/Exchange.asmx" -ExternalUrl "https://mail.itproblog.ru/EWS/Exchange.asmx"

Настройка виртуальных директорий для серверов Exchange 2019 завершена.

Конфигурирование Outlook Anywhere

Первоначальная настройка Exchange 2019 также включает в себя настройку пространства имен для Outlook Anywehere (OA). OA позволяет клиентам Outlook подключаться к своим почтовым ящикам за пределами локальной сети (без использования VPN).

Проверим текущие настройки AO для первого сервера Exchange 2019:

Get-OutlookAnywhere -Server MBX05 | fl *host*

Как можно увидеть на скриншоте выше пространство имен OA отличается от нашего пространства имен mail.itproblog.ru. Скорректируем его для обоих серверов Exchange 2019:

Get-OutlookAnywhere -Server MBX05 | Set-OutlookAnywhere -InternalHostname "mail.itproblog.ru" -ExternalHostname "mail.itproblog.ru" -ExternalClientsRequireSsl $true -ExternalClientAuthenticationMethod NTLM -InternalClientsRequireSsl $true

Get-OutlookAnywhere -Server MBX06 | Set-OutlookAnywhere -InternalHostname "mail.itproblog.ru" -ExternalHostname "mail.itproblog.ru" -ExternalClientsRequireSsl $true -ExternalClientAuthenticationMethod NTLM -InternalClientsRequireSsl $true

Настройка Outlook Anywhere завершена.

Переименование и перемещение баз данных

Перед настройкой Database Availability Group нам нужно будет выполнить некоторые подготовительные работы:

1. Дать более понятное имя почтовым базам.
2. Переместить файлы почтовых баз на отдельный выделенный диск.

Сейчас у нас по одной на каждом сервере Exchange 2019. Посмотреть их мы можем следующим командлетом:

Get-MailboxDatabase -Server MBX05
Get-MailboxDatabase -Server MBX06

Переименование почтовой базы состоит из двух шагов: переименование объекта базы данных в конфигурации и переименование физических файлов на системе хранения.

Сначала переименуем наши почтовые базы в конфигурации:

Get-MailboxDatabase -Identity "Mailbox Database 0290655971" | Set-MailboxDatabase -Name DB05
Get-MailboxDatabase -Identity "Mailbox Database 1173892190" | Set-MailboxDatabase -Name DB06

Однако, физические файлы базы все еще называются старым именем, которое было присвоено мастером установки:

Мы совместим процесс переименование физических файлов почтовой базы и процесс переноса физических файлов почтовой базы на отдельный выделенный диск. В нашем случае необходимо выполнить следующий командлет на первом сервере Exchange 2016 (MBX03):

Move-DatabasePath -Identity DB05 -EdbFilePath e:\DB05\db05.edb -LogFolderPath e:\DB05

Нас предупредят о том, что на время переноса почтовая база будет недоступна:

Теперь наша почтовая база расположена на нужном нам диске и наименована так, как мы и просили:

Выполним аналогичный командлет на втором сервере Exchange 2019 (MBX06):

Move-DatabasePath -Identity DB06 -EdbFilePath e:\DB06\db06.edb -LogFolderPath e:\DB06

Переименование и перемещение почтовых баз завершено.

Создание группы высокой доступности

Последним подготовительным шагом для наших серверов Exchange 2019 станет процесс создания группы высокой доступности (Database Availability Group – DAG).

Высокоуровнево процесс создания группы высокой доступности состоит из следующим шагов:

1. Создание группы высокой доступности в конфигурации.
2. Добавление почтовых серверов в группу высокой доступности.
3. Настройка дополнительных копий почтовых баз.

Важный момент – поскольку у нас всего два почтовых сервера, то кворум они собрать не смогут и им нужен сервер свидетель. Поскольку размещать свидетеля на контроллере домена далеко не самая хорошая практика (даже в тестовой среде), то мы подготовим отдельный сервер – SRV01.

Более подробно про кворумы можно почитать в документации на сайте Microsoft.

Подготовка сервера свидетеля

В качестве сервера свидетеля мы будем использовать сервер SRV01. Операционная система – Windows Server 2012 R2. Этот сервер мы использовали в качестве сервера свидетеля при настройке DAG для Exchange 2016, т.е. все необходимые шаги по его подготовке мы уже выполнили. Если один и тот же сервер выступает в качестве свидетеля для нескольких DAG, то для каждой группы высокой доступности создается своя отдельная директория:

Если вы планируете использовать другой сервер, то его необходимо будет подготовить. Для подготовки сервера к работе в качестве свидетеля для DAG Exchange 2019 необходимо выполнить следующие действия:

1. Установить и выполнить первоначальную настройку операционной системы.

2. Выполнить настройку IP-адресации.

3. Установить все обновления для ОС.

4. Присоединить сервера к домену itproblog.ru.

5. Добавить группу Active Directory “Exchange Trusted Subsystem” в группу локальных администраторов.

Создание группы высокой доступности в конфигурации

Первый шаг создания DAG на сервере Exchange 2019 – создание объекта группы высокой доступности в конфигурации Exchange. Создадим группу высокой доступности:

New-DatabaseAvailabilityGroup -Name DAG03 -WitnessServer SRV01.itproblog.ru

Если при создании группы высокой доступности Exchange будет ругаться на то, что он не может создать директорию на сервере свидетеле, как показано ниже:

В таком случае вам необходимо либо отключить брандмауэр на сервере свидетеле, либо включить следующие правила брандмауэра:

Добавление почтовых серверов в группу высокой доступности

После того, как мы создали группу высокой доступности необходимо добавить в неё оба наших почтовых сервера.

Добавим первый сервер:

Add-DatabaseAvailabilityGroupServer -Identity DAG03 -MailboxServer MBX05

В процессе добавления почтового сервера в группу высокой доступности будут установлены все необходимые дополнительные компоненты, в т.ч. Windows Server Failover Clustering.

Теперь добавим в группу высокой доступности второй почтовый сервер:

Add-DatabaseAvailabilityGroupServer -Identity DAG03 -MailboxServer MBX06

Посмотрим теперь на нашу группу высокой доступности:

Get-DatabaseAvailabilityGroup -Identity DAG03

Мы видим, что оба наших сервера представлены в колонке “Member Server”, т.е. оба сервера были успешно добавлены в группу высокой доступности.

Настройка дополнительных копий почтовых баз

Мы создали группу высокой доступности, добавили в неё оба почтовых сервера, но это еще не обеспечивает нам никакой защиты наших почтовых баз. Чтобы наши почтовые базы были доступны в случае потери почтового сервера, на котором они расположены необходимо настроить дополнительные копии почтовых баз. Займемся этим.

Основная суть в том, чтобы, например, для почтовой базы DB05, которая расположена на сервере MBX05, создать дополнительную копию на сервере MBX06. В случае выхода из строя сервера MBX05, почтовая база DB05 будет автоматически активирована на сервере MBX06. Аналогичное справедливо и для почтовой базы DB06 на сервере MBX06.

Создадим дополнительную копию почтовой базы DB05 на сервере MBX06. Выполним следующий командлет на сервер MBX05:

Add-MailboxDatabaseCopy -Identity DB05 -MailboxServer MBX06

Теперь создадим дополнительную копию почтовой базы DB06 на сервере MBX05. Выполним следующий командлет на сервер MBX06:

Add-MailboxDatabaseCopy -Identity DB06 -MailboxServer MBX05

Первоначальная настройка Exchange 2016 Database Availability Group завершена, но еще давайте посмотрим в конфигурацию дополнительных копий баз данных:

Get-MailboxDatabaseCopyStatus -Server MBX05
Get-MailboxDatabaseCopyStatus -Server MBX06

Мы видим, что для почтовой базы DB05 создано две копии:

1. На сервере MBX05. Это основная копию и её статус “Mounted”, т.е. она смонтирована на сервере MBX05, т.к. в соответствующей колонке “Status” для сервера MBX05 указано значение “Mounted”.
2. На сервере MBX06. Это дополнительная копия, т.к. в соответствующей колонке “Status” для сервера MBX06 указано значение “Healthy”. В случае непредвиденной аварии сервер MBX06 готов подхватить базу.

Нулевые значения в колонках “Copy Queue Length” и “Replay Queue Length” говорят о том, что почтовая база успешно реплицируется между серверами MBX05 и MBX06.

Настройка группы высокой доступности завершена.

Заключение

Первоначальная настройка Exchange 2019 завершена. Мы импортировали и привязали сертификаты, настроили виртуальные директории. Дополнительно мы сконфигурировали группу высокой доступности для отказоустойчивое работы наших новых почтовых баз.

Теперь у нас все готово для начала процесса переключения всего траффика электронной почты, HTTP/HTTPS трафика на почтовые сервера Exchange 2019 с последующей миграцией непосредственно почтовых ящиков. Этим мы и займемся в следующий раз.