Microsoft Exchange Server 2010
Увы, жизнь вносит свои коррективы в желание как можно быстрее закрыть вопросы с получением CCNP R&S и вот, вместо родной и уютной ч/б консоли я, в очередной раз, погребен под мануалами, wiki, technet’ом в благом порыве предоставить пользователям теплый и уютный Exchange.
В первой части нам суждено будет рассмотреть роли, познакомиться с путем следования сообщений, подготовить тестовую среду к установке Microsoft Exchange Server 2010, а так же рассмотреть сервисы, предоставляемые Hub Transport Server и Client Access Server.
Роли и компоненты:
- Mailbox Server Role – как не трудно догадаться это роль, которой присуще хранение огромных баз данных содержащих непосредственно письма, вложения, календари.
- Client Access Server Role – точка входа для клиентов, поддерживающая несколько методов доступа к инфраструктуре.
- Hub Transport Server Role – интеллектуальная маршрутизация сообщений. Например вы отправляете одно письмо с 200мб tiff вложением-фото вашего котика (common case) целиком для всего подразделения, состоящего из, скажем, 90 человек, которые находятся в другом офисе. Вместо 90 отдельных писем Hub Server отправит одно.
- Edge Transport Server Role – роль, отвечающая за фильтрацию спама, антивирусную защиту, изменение адреса.
- Unified Messaging Server Role – интеграция с IP телефонией.
Зачем такая сегментация? Ответ один – масштабируемость от маленьких предприятий до огромных корпораций. Минимальные для функционирования роли Mailbox, Client Access и Hub Transport могут быть размещены на одном сервере.
Чтобы уложить все в голове посмотрим что будет происходить когда пользователь захочет посмотреть почту:
- Пользователь открывает outlook и подключается к Client Access Server (CAS).
- CAS подключает пользователя к его почтовому ящику на Mailbox Server (MBS). MBS может располагаться на той же или удаленной площадке.
отправить почту:
- Письмо путешествует до Hub Transport Server (HTS).
- HTS кладет его в почтовый ящик на MBS.
Почему такой не эффективный путь? Не легче просто переложить письмо из одного ящика в другой непосредственно на MBS? Как оказалось нет. Именно на HBS применяются различные политики. Именно HBS принимает решение о том, стоит ли положить письмо в MBS на той же площадке или передать его другому HBS на удаленной.
отправить почту за пределы организации:
Подготовка инфраструктуры
Вот мы кратенько и познакомились с компонентами Microsoft Exchange, теперь настала пора заняться непосредственно установкой, подготовив перед этим инфраструктуру.
Первым делом мы подготовим AD и домены (http://technet.microsoft.com/en-us/library/bb125224.aspx):
setup /PrepareLegacyExchangePermissions (*) setup /PrepareSchema setup /PrepareAD /OrganizationName:DerCompany setup /PrepareDomain (**)
* – только если у вас в организации уже существует Exchange 2003.
** – если доменов несколько, то процедуру надо повторить в каждом, указав после ключа /PrepareDomain fqdn требуемого домена через двоеточие, или, если требуется выполнить процедуру во всех доменах достаточно воспользоваться ключем /PrepareAllDomains
Займемся подготовкой сервера или серверов, которым суждено хостить различные роли (http://technet.microsoft.com/en-us/library/bb691354.aspx):
- На сервер или сервера, которым суждено хостить HTS и MBS роли необходимо установить Microsoft Office 2010 Filter Packs. Нужны они для того, чтобы эффективно индексировать содержимое вложенных документов и осуществлять поиск по вложениям.
- Далее импортируем модуль ServerManager в powershell командой Import-Module ServerManager.
- Далее идем на указанную выше статью и смотрим фичи, которые нам стоит добавить. Так как я использую тестовую среду и собираюсь ставить все фичи (CAS, HTS, MBS) на один сервер то, следовательно я выберу пункт 1:
Add-WindowsFeature NET-Framework,RSAT-ADDS,Web-Server,Web-Basic-Auth,Web-Windows-Auth,Web-Metabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-Process-Model,RSAT-Web-Server,Web-ISAPI-Ext,Web-Digest-Auth,Web-Dyn-Compression,NET-HTTP-Activation,Web-Asp-Net,Web-Client-Auth,Web-Dir-Browsing,Web-Http-Errors,Web-Http-Logging,Web-Http-Redirect,Web-Http-Tracing,Web-ISAPI-Filter,Web-Request-Monitor,Web-Static-Content,Web-WMI,RPC-Over-HTTP-Proxy -Restart
После перезагрузки на сервере, который будет хостить CAS роль необходимо выполнить команду
Set-Service NetTcpPortSharing -StartupType Automatic
Это и станет последним штрихом. И вот, наконец, мы можем себе позволить смонтировать диск с exchange и дважды кликнуть на инсталлятор. Ну а с прокликиваньем мышью 10-ок раз “next” проблем, надеюсь, возникнуть не должно.
И так, у нас теперь есть сервер с тремя ролями, одной из которых является Client Access Server (CAS)
CAS предоставляет следующие сервисы:
- RPC Client Access – этот сервис предоставляет RPC подключение для Outlook клиентов, отвечает за проверку целостности, достоверности данных и предоставляет возможность подключаться к архивным почтовым ящикам.
- Address Book Service – пришел на смену NSPI (Name Service Provider Interface), чей ролью было направлять Outlook клиентов на правильный Globac Catalog (GC) сервер или предоставлять прокси-соединения к тому же GC. В дополнение к этому Address book service записывает изменения, которые были сделаны в Outlook в AD (например изменения в distribution group, списки участников и т.д). Ну и предоставляет доступ к адресным книгам:
- CAS получает от Outlook запрос на адресную книгу.
- CAS, используя AD, с помощью свойства RPCClientAccessServer базы данных mailbox’а собирает информацию о местонахождении этих самых баз данных, версии Exchange и CAS.
- CAS рассказывает Outlook какой CAS использовать для получения адресной книги.
- Outlook шаркает ножкой, говорит спасибо и идет в указанном направлении.
- Mailbox Replication – позволяет создавать задания на перемещение (move request) почтовых ящиков, импортировать и экспортировать PST файлы.
- Remote PowerShell – позволяет удаленно подключаться к Exchange Management Shell и выполнять команды с третьих компьютеров.
- Outlook Web App (OWA) – вэб интерфейс для доступа к почтовым ящикам клиентов.
- Exchange Control Panel (ECP) – вэб интерфейс для управления с гибко настраивымыми правами. Пользователям от позволяет рулить своей учетной записью, администраторам – почтовыми ящиками и пользователями, а так же разрешает делигировать некоторые полномочия другим группам пользователей.
- Outlook Anywhere – есть механизм инкапсуляции RPC в HTTPS, который позволяет пользователям из интернетов получать доступ к почте. По умолчанию Outlook anywhere выключен. Для функционирования требуется компонент RPC over HTTP Proxy, который на самом деле over HTTPS.
- SSL Offloading – по умолчанию Outlook Anywhere устанавливает SSL соединение. Много SSL соединений – серьезная нагрузка на ваш CAS. SSL Offloading позволяет разгрузить ваши CAS сервера, осуществляя шифрование и дешифрование на балансировщиках нагрузки. Подробнее можно почитать тут.
- Autodiscovery service – служит для автоматической конфигурации профилей Outlook.
- Availability service – служит для получения информации о том свободен или занят пользователь в текущий момент.
- Offline Address List Distribution – по сути является сервисом Microsoft Exchange File Distribution Serivce (MSExchangeFDS), задача которого состоит в том, чтобы взять файлы из расшаренного каталога на MBS (из \\MBS\ExchangeOAB) и перенести их на CAS (в https://cas.fqdn.ltd/oab).
Hub transport server (HTS). HTS оперирует понятиями Receive Connectors и Send Connectors.
Receive Connectors – точка в которой входящая SMTP почта приходит на HTS. Receive Connectors не доставляет исходящую почту. Каждый HTS по умолчанию имеет 2 Receive Connector – один default [servername] и один client [servername]. Client receive connector служит для принятия входящей почты от клиентов, которые не разумеют MAPI (POP3, IMAP4) и слушает такой connector порт 587. Default Receive connector слушает порт 25 и отвечает для принятия входящей SMTP почты от других HTS.
Send Connectors – служит для маршрутизации исходящей почты либо на другие сервера, либо на SmartHost, который, в свою очередь, будет маршрутизировать все это дело дальше. Send Connectors бывают 4ех типов:
- Custom Send connector – позволяет настроить вручную все параметры после создания.
- Internal Send connector – позволяет настроить connector, который будет соединяться с Edge Transport Server в вашей организации или с сервером в другой организации.
- Internet Send connector – используется для отправки почты в интернеты с использованием разрешения DNS MX записей.
- Partner Send connector – создает connector, который будет отправлять почту на указанный домены, используя TLS шифрование и аутентификацию по сертификатам.