Мы добавили сервера Exchange 2019 в нашу организацию. Теперь необходимо выполнить их настройку. Первоначальная настройка Exchange 2019 включает в себя следующие шаги:
- Импорт и привязка сертификатов.
- Настройка служб автообнаружения.
- Настройка виртуальных директорий.
- Конфигурирование Outlook Anywhere.
- Переименование и перемещение почтовых баз.
- Создание группы высокой доступности.
Также мы выполним настройку группы высокой доступности из наших серверов MBX05 и MBX06, чтобы мы могли выполнять миграцию почтовых ящиков уже на отказоустойчивое решение.
Импорт и привязка сертификатов
Для корректной работы HTTPS сервисов и службы обнаружения нам необходим сертификат, который будет доверенным для наших клиентов Outlook. Потому что после установки Exchange привязывает к веб-сервисам самоподписанный сертификат и наши клиенты будут получать сообщение о том, что у них нет доверия к этому сертификату. Например:
Вариант с использованием самоподписанного сертификата мы рассматривать не будем. В остальных случаях у вас будет два варианта:
- Купить коммерческий сертификат на год или более.
- Выпустить бесплатный сертификат от Let-s Encrypt на 3 месяца.
Поскольку мы уже выпускали бесплатный сертификат для нашего сервера Exchange 2016, то мы будем использовать его.
Предварительно либо экспортируйте этот сертификат с одного из серверов Exchange 2016, либо найдите исходный PFX файл с открытым и закрытым ключом.
Импорт сертификата на сервера клиентского доступа
Для импорта сертификата на сервера клиентского доступа выполните следующие шаги:
1. Запустить MMC консоль управления сертификатами для локального компьютера на первом сервер Exchange 2016:
2. В контекстом меню персонального контейнера выбрать пункт для импорта сертификата:
3. Выполнить все шаги мастера импорта сертификатов.
4. Сертификат должен отобразиться в локальном хранилище сертификатов:
5. Выполнить импорт сертификата на второй сервер Exchange 2019.
Привязка сертификата к сервисам Exchange
Импорт сертификата – это лишь половина дела. Далее их нужно указать – какие сервисы будут использовать наш сертификат:
1. Запустим Exchange Management Shell на первом сервере Exchange 2016 и посмотрим на список наших сертификатов:
Get-ExchangeCertificate | fl Subject,Services,Thumbprint
2. Находим необходимый нам сертификат и привязываем его ко всем сервисам:
Get-ExchangeCertificate -Thumbprint "5CEC8544D4743BC279E5FEA1679F79F5BD0C2B3A" | Enable-ExchangeCertificate -Services IMAP, POP, IIS, SMTP
3. Перезапускаем сервер IIS:
iisreset
4. Выполняем аналогичные действия на втором сервере Exchange 2019.
Настройка службы автообнаружения
Теперь посмотрим, как выглядят настройки служб автообнаружения после добавления серверов Exchange 2016 в нашу организацию:
Get-ClientAccessService | fl identity, *uri*
Мы видим, что на серверах Exchange 2019 (MBX05 и MBX06) службы автообнаружения ведут не на имя, которое мы настроили ранее (mail.itproblog.ru), а на собственные имена серверов:
Напомню, что мы используем пространство имен mail.itproblog.ru.
Скорректируем имена службы автообнаружения:
Get-ClientAccessService -Identity MBX05 | Set-ClientAccessService -AutoDiscoverServiceInternalUri https://mail.itproblog.ru/Autodiscover/Autodiscover.xml
Get-ClientAccessService -Identity MBX06 | Set-ClientAccessService -AutoDiscoverServiceInternalUri https://mail.itproblog.ru/Autodiscover/Autodiscover.xml
Проверим теперь адреса служб автообнаружения для всех наших серверов Exchange:
Get-ClientAccessService | fl identity, *uri*
Теперь все имена настроены корректно, и мы перейдем к настройке виртуальных директорий.
Настройка виртуальных директорий
Первоначальная настройка Exchange 2019 включает в себя настройку виртуальных директорий. В Exchange 2019 у нас присутствуют следующие виртуальные директории:
- ActiveSync Virtual Directory. Виртуальная директория для протокола ActiveSync. В осносном это подключение мобильных устройств.
- MAPI Virtual Directory. Эта виртуальная директория появилась в Exchange 2013 SP1. Используется современными клиентами Outlook (начиная с Outlook 2013 SP1) для подключения к почтовым ящикам через MAPI/HTTP. Этот метод подключения пришел на замену RPC over HTTP.
- Autodiscover Virtual Directory. Предназначена для сервиса автоматического конфигурирования внутренних клиентов.
- Ecp Virtual Directory. Виртуальная директория веб-консоли управления.
- Oab Virtual Directory. Предназначения для хранения файлов оффлайн адресной книги.
- Owa Virtual Directory. Виртуальная директории веб версии Outlook.
- PowerShell Virtual Directory. Виртуальная директория веб-версии PowerShell.
- WebServices Virtual Directory. Виртуальная директория веб-сервисов Exchange.
У каждой из виртуальных директория (за исключением виртуальной службы автообнаружения) в настройках необходимо указать URL адрес, который будут использовать внутренние клиенты и URL адрес, который будут использовать внешние клиенты. Этот URL адрес, может быть одинаковый как для внутренних клиентов, так и для внешних клиентов. В нашем случае будет именно так.
Как было сказано выше, мы будем использовать URL вида https://mail.itproblog.ru.
Выполним настройку виртуальной директории для ActiveSync:
Get-ActiveSyncVirtualDirectory -Server MBX05 | Set-ActiveSyncVirtualDirectory -InternalUrl "https://mail.itproblog.ru/Microsoft-Server-ActiveSync" -ExternalUrl "https://mail.itproblog.ru/Microsoft-Server-ActiveSync"
Get-ActiveSyncVirtualDirectory -Server MBX06 | Set-ActiveSyncVirtualDirectory -InternalUrl "https://mail.itproblog.ru/Microsoft-Server-ActiveSync" -ExternalUrl "https://mail.itproblog.ru/Microsoft-Server-ActiveSync"
Выполним настройку виртуальной директории для MAPI:
Get-MapiVirtualDirectory -Server MBX05 | Set-MapiVirtualDirectory -InternalUrl "https://mail.itproblog.ru/mapi" -ExternalUrl "https://mail.itproblog.ru/mapi"
Get-MapiVirtualDirectory -Server MBX06 | Set-MapiVirtualDirectory -InternalUrl "https://mail.itproblog.ru/mapi" -ExternalUrl "https://mail.itproblog.ru/mapi"
Настроим виртуальную директорию ECP:
Get-EcpVirtualDirectory -Server MBX05 | Set-EcpVirtualDirectory -InternalUrl "https://mail.itproblog.ru/ecp" -ExternalUrl "https://mail.itproblog.ru/ecp"
Get-EcpVirtualDirectory -Server MBX06 | Set-EcpVirtualDirectory -InternalUrl "https://mail.itproblog.ru/ecp" -ExternalUrl "https://mail.itproblog.ru/ecp"
Настроим виртуальную директорию OWA:
Get-OwaVirtualDirectory -Server MBX05 | Set-OwaVirtualDirectory -InternalUrl "https://mail.itproblog.ru/owa" -ExternalUrl "https://mail.itproblog.ru/owa"
Get-OwaVirtualDirectory -Server MBX06 | Set-OwaVirtualDirectory -InternalUrl "https://mail.itproblog.ru/owa" -ExternalUrl "https://mail.itproblog.ru/owa"
Затем настроим виртуальную директорию автономной адресной книги:
Get-OabVirtualDirectory -Server MBX05 | Set-OabVirtualDirectory -InternalUrl "https://mail.itproblog.ru/OAB" -ExternalUrl "https://mail.itproblog.ru/OAB"
Get-OabVirtualDirectory -Server MBX06 | Set-OabVirtualDirectory -InternalUrl "https://mail.itproblog.ru/OAB" -ExternalUrl "https://mail.itproblog.ru/OAB"
Нам остается настроить виртуальную директорию для PowerShell:
Get-PowerShellVirtualDirectory -Server MBX05 | Set-PowerShellVirtualDirectory -InternalUrl "http://mail.itproblog.ru/powershell" -ExternalUrl "http://mail.itproblog.ru/powershell"
Get-PowerShellVirtualDirectory -Server MBX06 | Set-PowerShellVirtualDirectory -InternalUrl "http://mail.itproblog.ru/powershell" -ExternalUrl "http://mail.itproblog.ru/powershell"
Последним шагом конфигурируем виртуальную директорию веб-сервисов:
Get-WebServicesVirtualDirectory -Server MBX05 | Set-WebServicesVirtualDirectory -InternalUrl "https://mail.itproblog.ru/EWS/Exchange.asmx" -ExternalUrl "https://mail.itproblog.ru/EWS/Exchange.asmx"
Get-WebServicesVirtualDirectory -Server MBX06 | Set-WebServicesVirtualDirectory -InternalUrl "https://mail.itproblog.ru/EWS/Exchange.asmx" -ExternalUrl "https://mail.itproblog.ru/EWS/Exchange.asmx"
Настройка виртуальных директорий для серверов Exchange 2019 завершена.
Конфигурирование Outlook Anywhere
Первоначальная настройка Exchange 2019 также включает в себя настройку пространства имен для Outlook Anywehere (OA). OA позволяет клиентам Outlook подключаться к своим почтовым ящикам за пределами локальной сети (без использования VPN).
Проверим текущие настройки AO для первого сервера Exchange 2019:
Get-OutlookAnywhere -Server MBX05 | fl *host*
Как можно увидеть на скриншоте выше пространство имен OA отличается от нашего пространства имен mail.itproblog.ru. Скорректируем его для обоих серверов Exchange 2019:
Get-OutlookAnywhere -Server MBX05 | Set-OutlookAnywhere -InternalHostname "mail.itproblog.ru" -ExternalHostname "mail.itproblog.ru" -ExternalClientsRequireSsl $true -ExternalClientAuthenticationMethod NTLM -InternalClientsRequireSsl $true
Get-OutlookAnywhere -Server MBX06 | Set-OutlookAnywhere -InternalHostname "mail.itproblog.ru" -ExternalHostname "mail.itproblog.ru" -ExternalClientsRequireSsl $true -ExternalClientAuthenticationMethod NTLM -InternalClientsRequireSsl $true
Настройка Outlook Anywhere завершена.
Переименование и перемещение баз данных
Перед настройкой Database Availability Group нам нужно будет выполнить некоторые подготовительные работы:
- Дать более понятное имя почтовым базам.
- Переместить файлы почтовых баз на отдельный выделенный диск.
Сейчас у нас по одной на каждом сервере Exchange 2019. Посмотреть их мы можем следующим командлетом:
Get-MailboxDatabase -Server MBX05
Get-MailboxDatabase -Server MBX06
Переименование почтовой базы состоит из двух шагов: переименование объекта базы данных в конфигурации и переименование физических файлов на системе хранения.
Сначала переименуем наши почтовые базы в конфигурации:
Get-MailboxDatabase -Identity "Mailbox Database 0290655971" | Set-MailboxDatabase -Name DB05
Get-MailboxDatabase -Identity "Mailbox Database 1173892190" | Set-MailboxDatabase -Name DB06
Однако, физические файлы базы все еще называются старым именем, которое было присвоено мастером установки:
Мы совместим процесс переименование физических файлов почтовой базы и процесс переноса физических файлов почтовой базы на отдельный выделенный диск. В нашем случае необходимо выполнить следующий командлет на первом сервере Exchange 2016 (MBX03):
Move-DatabasePath -Identity DB05 -EdbFilePath e:\DB05\db05.edb -LogFolderPath e:\DB05
Нас предупредят о том, что на время переноса почтовая база будет недоступна:
Теперь наша почтовая база расположена на нужном нам диске и наименована так, как мы и просили:
Выполним аналогичный командлет на втором сервере Exchange 2019 (MBX06):
Move-DatabasePath -Identity DB06 -EdbFilePath e:\DB06\db06.edb -LogFolderPath e:\DB06
Переименование и перемещение почтовых баз завершено.
Создание группы высокой доступности
Последним подготовительным шагом для наших серверов Exchange 2019 станет процесс создания группы высокой доступности (Database Availability Group – DAG).
Высокоуровнево процесс создания группы высокой доступности состоит из следующим шагов:
- Создание группы высокой доступности в конфигурации.
- Добавление почтовых серверов в группу высокой доступности.
- Настройка дополнительных копий почтовых баз.
Важный момент – поскольку у нас всего два почтовых сервера, то кворум они собрать не смогут и им нужен сервер свидетель. Поскольку размещать свидетеля на контроллере домена далеко не самая хорошая практика (даже в тестовой среде), то мы подготовим отдельный сервер – SRV01.
Более подробно про кворумы можно почитать в документации на сайте Microsoft.
Подготовка сервера свидетеля
В качестве сервера свидетеля мы будем использовать сервер SRV01. Операционная система – Windows Server 2012 R2. Этот сервер мы использовали в качестве сервера свидетеля при настройке DAG для Exchange 2016, т.е. все необходимые шаги по его подготовке мы уже выполнили. Если один и тот же сервер выступает в качестве свидетеля для нескольких DAG, то для каждой группы высокой доступности создается своя отдельная директория:
Если вы планируете использовать другой сервер, то его необходимо будет подготовить. Для подготовки сервера к работе в качестве свидетеля для DAG Exchange 2019 необходимо выполнить следующие действия:
1. Установить и выполнить первоначальную настройку операционной системы.
2. Выполнить настройку IP-адресации.
3. Установить все обновления для ОС.
4. Присоединить сервера к домену itproblog.ru.
5. Добавить группу Active Directory “Exchange Trusted Subsystem” в группу локальных администраторов.
Создание группы высокой доступности в конфигурации
Первый шаг создания DAG на сервере Exchange 2019 – создание объекта группы высокой доступности в конфигурации Exchange. Создадим группу высокой доступности:
New-DatabaseAvailabilityGroup -Name DAG03 -WitnessServer SRV01.itproblog.ru
Если при создании группы высокой доступности Exchange будет ругаться на то, что он не может создать директорию на сервере свидетеле, как показано ниже:
В таком случае вам необходимо либо отключить брандмауэр на сервере свидетеле, либо включить следующие правила брандмауэра:
Добавление почтовых серверов в группу высокой доступности
После того, как мы создали группу высокой доступности необходимо добавить в неё оба наших почтовых сервера.
Добавим первый сервер:
Add-DatabaseAvailabilityGroupServer -Identity DAG03 -MailboxServer MBX05
В процессе добавления почтового сервера в группу высокой доступности будут установлены все необходимые дополнительные компоненты, в т.ч. Windows Server Failover Clustering.
Теперь добавим в группу высокой доступности второй почтовый сервер:
Add-DatabaseAvailabilityGroupServer -Identity DAG03 -MailboxServer MBX06
Посмотрим теперь на нашу группу высокой доступности:
Get-DatabaseAvailabilityGroup -Identity DAG03
Мы видим, что оба наших сервера представлены в колонке “Member Server”, т.е. оба сервера были успешно добавлены в группу высокой доступности.
Настройка дополнительных копий почтовых баз
Мы создали группу высокой доступности, добавили в неё оба почтовых сервера, но это еще не обеспечивает нам никакой защиты наших почтовых баз. Чтобы наши почтовые базы были доступны в случае потери почтового сервера, на котором они расположены необходимо настроить дополнительные копии почтовых баз. Займемся этим.
Основная суть в том, чтобы, например, для почтовой базы DB05, которая расположена на сервере MBX05, создать дополнительную копию на сервере MBX06. В случае выхода из строя сервера MBX05, почтовая база DB05 будет автоматически активирована на сервере MBX06. Аналогичное справедливо и для почтовой базы DB06 на сервере MBX06.
Создадим дополнительную копию почтовой базы DB05 на сервере MBX06. Выполним следующий командлет на сервер MBX05:
Add-MailboxDatabaseCopy -Identity DB05 -MailboxServer MBX06
Теперь создадим дополнительную копию почтовой базы DB06 на сервере MBX05. Выполним следующий командлет на сервер MBX06:
Add-MailboxDatabaseCopy -Identity DB06 -MailboxServer MBX05
Первоначальная настройка Exchange 2016 Database Availability Group завершена, но еще давайте посмотрим в конфигурацию дополнительных копий баз данных:
Get-MailboxDatabaseCopyStatus -Server MBX05
Get-MailboxDatabaseCopyStatus -Server MBX06
Мы видим, что для почтовой базы DB05 создано две копии:
- На сервере MBX05. Это основная копию и её статус “Mounted”, т.е. она смонтирована на сервере MBX05, т.к. в соответствующей колонке “Status” для сервера MBX05 указано значение “Mounted”.
- На сервере MBX06. Это дополнительная копия, т.к. в соответствующей колонке “Status” для сервера MBX06 указано значение “Healthy”. В случае непредвиденной аварии сервер MBX06 готов подхватить базу.
Нулевые значения в колонках “Copy Queue Length” и “Replay Queue Length” говорят о том, что почтовая база успешно реплицируется между серверами MBX05 и MBX06.
Настройка группы высокой доступности завершена.
Заключение
Первоначальная настройка Exchange 2019 завершена. Мы импортировали и привязали сертификаты, настроили виртуальные директории. Дополнительно мы сконфигурировали группу высокой доступности для отказоустойчивое работы наших новых почтовых баз.
Теперь у нас все готово для начала процесса переключения всего траффика электронной почты, HTTP/HTTPS трафика на почтовые сервера Exchange 2019 с последующей миграцией непосредственно почтовых ящиков. Этим мы и займемся в следующий раз.
Миграция с Exchange 2010 на 2019. Часть 17. Первоначальная настройка Exchange 2019 и создание группы высокой доступности: 2 комментария
“Напомню, что мы используем пространство имен mail.itproblog.ru.” не нашел ничего про настройку этого пространства имен.
Добрый день! Эта статья является продолжением цикла статей по миграции с Exchange 2010 на Exchnage 2019. Настройка пространства имен обсуждалась вот в этой публикации – https://itproblog.ru/%d0%bc%d0%b8%d0%b3%d1%80%d0%b0%d1%86%d0%b8%d1%8f-%d1%81-exchange-2010-%d0%bd%d0%b0-2019-%d1%87%d0%b0%d1%81%d1%82%d1%8c-6-%d0%bf%d0%b5%d1%80%d0%b2%d0%be%d0%bd%d0%b0%d1%87%d0%b0%d0%bb%d1%8c%d0%bd/#Nastrojka_vnutrennih_i_vnesnih_URL_adresov_virtualnyh_direktorij