Microsoft exchange server 2016 полное руководство

Пошаговая установка Exchange Server 2016 на Windows Server 2016.

Убедитесь, что для Windows установлены последние обновления

Подготовка сервера для Exchange 2016

Мы будем развертывать Exchange 2016 в самой простой конфигурации.

Аппаратные характеристики нашего почтового сервера с Exchange 2016 приведена ниже:

1. 6 vCPU.
2. 8 ГБ RAM.
3. 120 ГБ диск для системного раздела.
4. 60 ГБ диск для баз данных.

Поскольку в Exchange 2019 нет разделения на сервера клиентского доступа и сервера почтовых ящиков, то процесс установки довольно прямолинеен.

Немного о ролях Mailbox и Edge Transport

Роль Mailbox  содержит:

• Транспортные службы, которые используются для маршрутизации почты
• Базы данных почтовых ящиков, которые обрабатывают, отображают и хранят данные
• Службы клиентского доступа, которые принимают клиентские подключения для всех протоколов.

Роль Edge Transport:

• Необязательная роль , которая обрабатывает весь внешний поток почты для организации Exchange.
• Защита организации Exchange от вирусов и спама при входе и выходе почты
• Установлен в сети периметра организации Exchange (DMZ).

Поддерживаемые операционные системы

Посмотрите, какие операционные системы поддерживают Exchange Server 2016 и Exchange Server 2019.

Exchange 2016

• Windows Server 2016 Standard or Datacenter (Exchange Server 2016 CU3 или более поздней версии)
• Windows Server 2012 R2 Standard or Datacenter
• Windows Server 2012 Standard or Datacenter
• Windows Server Desktop Experience

Exchange 2019

• Windows Server 2022 Standard or Datacenter (Exchange Server 2019 CU12 или более поздней версии)
• Windows Server 2019 Standard or Datacenter
• Windows Server Desktop Experience
• Windows Server Core

Требования к Active Directory

Для того, чтобы добавить сервер с Microsoft Exchange 2016 в вашу инфраструктуру необходимо, чтобы функциональный уровень домена и леса вашей AD был Windows Server 2012 R2 или выше.

Более подробно требования к Active Directory приведены в соответствующем разделе официальной документации.

Установите необходимые компоненты для сервера Mailbox Exchange

Непосредственно перед началом установки ролей Exchange необходимо выполнить подготовку операционной системы. Наша операционная система Windows Server 2016 Standard.

Полный перечень всех предварительных требований приведен в документации на сайте Microsoft. Ниже мы приведем весь перечень необходимых компонентов и дополнительного ПО применительно к Windows Server 2016.

Выполните следующие шаги, чтобы установить необходимые компоненты сервера почтовых ящиков Exchange для Windows Server.

Шаг 1. Запустите PowerShell от имени администратора. Выполните следующую команду, чтобы установить необходимые компоненты Windows.

Install-WindowsFeature NET-Framework-45-Features, Server-Media-Foundation, RPC-over-HTTP-proxy, RSAT-Clustering, RSAT-Clustering-CmdInterface, RSAT-Clustering-Mgmt, RSAT-Clustering-PowerShell, WAS-Process-Model, Web-Asp-Net45, Web-Basic-Auth, Web-Client-Auth, Web-Digest-Auth, Web-Dir-Browsing, Web-Dyn-Compression, Web-Http-Errors, Web-Http-Logging, Web-Http-Redirect, Web-Http-Tracing, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Lgcy-Mgmt-Console, Web-Metabase, Web-Mgmt-Console, Web-Mgmt-Service, Web-Net-Ext45, Web-Request-Monitor, Web-Server, Web-Stat-Compression, Web-Static-Content, Web-Windows-Auth, Web-WMI, Windows-Identity-Foundation, RSAT-ADDS

Шаг 2. Установить NET Framework 4.8.

Шаг 3. Установить Visual C++ Redistributable Package for Visual Studio 2012.

Шаг 4. Также установить Visual C++ Redistributable Package for Visual Studio 2013.

Шаг 5. Модуль перезаписи URL-адресов IIS требуется с накопительным обновлением 22 или более поздней версии. IIS URL Rewrite Module

Шаг 6. И установить Microsoft Unified Communications Managed API 4.0, Core Runtime 64-bit.

Установите необходимые компоненты для Edge Transport сервера Exchange

Выполните следующие действия, чтобы установить необходимые компоненты пограничного транспортного сервера Exchange для Windows Server.

Шаг 1. Запустите PowerShell от имени администратора. Выполните следующую команду, чтобы установить необходимые компоненты Windows.

PS C:> Install-WindowsFeature ADLDS

Success Restart Needed Exit Code      Feature Result
------- -------------- ---------      --------------
True    No             Success        {Active Directory Lightweight Directory Se...
WARNING: To create a new AD LDS instance on server, log on to the destination server and then run the Active Directory
Lightweight Directory Services Setup Wizard. For more information, see http://go.microsoft.com/fwlink/?LinkId=224859.

Шаг 2. Установите .NET Framework 4.8 .

Шаг 3. Установите распространяемый пакет Visual C++ для Visual Studio 2012 .

Установите инструменты управления Exchange для места администратора

Выполните следующие шаги, чтобы установить необходимые инструменты управления Exchange для Windows 10 и Windows 11.

Шаг 1. Установите распространяемый пакет Visual C++ для Visual Studio 2012 .

Шаг 2. Запустите PowerShell от имени администратора и выполните следующую команду, чтобы установить необходимые компоненты Windows.

PS C:> Enable-WindowsOptionalFeature -Online -FeatureName IIS-ManagementScriptingTools,IIS-ManagementScriptingTools,IIS-IIS6ManagementCompatibility,IIS-LegacySnapIn,IIS-ManagementConsole,IIS-Metabase,IIS-WebServerManagementTools,IIS-WebServerRole

Скачиваем последнею версию Exchange сервер

Прежде чем вы сможете подготовить AD для Exchange Server, вам необходимо загрузить ISO-образ Exchange Server. Перейдите на следующую страницу, чтобы получить список последних CU Exchange Server . На странице будут показаны номера сборки и даты выпуска Exchange Server. Найдите версию Exchange Server, которую хотите установить. В яндексе вбейте запрос с нужной CU .

В нашем примере мы установим Exchange Server 2016. На момент написания последней версией для Exchange Server 2016 является Exchange Server 2016 CU23. Дата выпуска — 9 Августа 2022 г. Номер сборки — 15.1.2507.006.

Какой Exchange Server CU следует установить?
Мы рекомендуем загрузить и установить последнюю версию Exchange Server. Каждый CU — это полная установка Exchange, включающая обновления и изменения всех предыдущих CU. Вам не нужно сначала устанавливать какие-либо предыдущие CU или Exchange Server RTM.

Подготовка схемы Active Directory

Прежде чем начать, войдите на сервер Windows, который будет сервером Exchange, и выполните следующие действия:

• Установите последние обновления Windows
• Перезагрузите компьютер после установки обновлений Windows.
• Присоедините сервер к домену

Необходимые условия для расширения Active Directory

Перед расширением схемы Active Directory на сервере Exchange необходимо следующее:

• Учетная запись должна быть добавлена ​​в группы безопасности «Администраторы схемы» и «Администраторы предприятия». По английски будет  Schema Admins и  Enterprise Admins

Группы безопасности «Администраторы схемы» и «Администраторы предприятия»

Прежде чем вы сможете расширить схему, ваша учетная запись должна быть членом групп безопасности « Администраторы схемы » и «Администраторы предприятия» . Откройте Active Directory и добавьте обе группы в свою учетную запись, если она еще не настроена. Это группы с высокими привилегиями. Мы рекомендуем исключит вашу учетную запись из групп, когда вы закончите с этой задачей.

Примечание. Если вы только что добавили себя в эти группы, вам потребуется выйти из системы и снова зайти на сервер, чтобы новое членство в группе вступило в силу.

Подготовить схему Active Directory

Первым шагом в подготовке вашей организации к Exchange Server является расширение схемы Active Directory. Exchange хранит много информации в Active Directory, но прежде чем он сможет это сделать, ему необходимо добавить/обновить классы и атрибуты.

В проводнике щелкните правой кнопкой мыши файл ISO-образа Exchange Server CU и выберите « Mount» . Он смонтирует образ ISO на диск. Например, диск E:. Диск E: содержит установочные файлы Exchange. Прежде чем переходить к следующему шагу, обязательно смонтируйте ISO-образ Exchange.

Запустите командную строку от имени администратора. Выполните следующую команду, чтобы расширить/подготовить схему для Exchange Server.

C:>E:Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF /PrepareSchema

Microsoft Exchange Server 2016 Cumulative Update 16 Unattended Setup

Copying Files...
File copy complete. Setup will now collect additional information needed for installation.


Performing Microsoft Exchange Server Prerequisite Check

    Prerequisite Analysis                                                                             COMPLETED

Configuring Microsoft Exchange Server

    Extending Active Directory schema                                                                 COMPLETED

The Exchange Server setup operation completed successfully.

Вы увидите сообщения COMPLETED в выводе. Схема расширения/подготовки для Exchange Server прошла успешно.

Теперь необходимо запустить процесс репликации изменений в Active Directory:

repadmin /syncall

Прежде чем переходить к следующему шагу необходимо дождаться окончания процесса репликации изменений в Active Directory на все контроллеры домена.

Подготовка леса и домена Active Directory

После расширения схемы Active Directory можно подготовить другие части Active Directory для Exchange Server. На этом этапе Exchange создаст контейнеры, объекты и другие элементы в Active Directory для хранения информации. Набор контейнеров, объектов, атрибутов и т. д. Exchange называется организацией Exchange .

Если вы следили за статьей, вы уже являетесь членом групп безопасности « Администраторы схемы » и «Администраторы предприятия» . Откройте Active Directory и добавьте обе группы в свою учетную запись, если она еще не настроена. Это группы с высокими привилегиями. Мы рекомендуем вам удалить свою учетную запись из групп, когда вы закончите с этой задачей.

Если у вас еще нет организации Exchange, вам потребуется указать имя организации.

Примечание. Вам необходимо выбрать имя для организации Exchange. Имя организации используется внутри Exchange. Обычно он не виден пользователям и не влияет на функциональность Exchange. Кроме того, он не определяет, что вы можете использовать для адресов электронной почты. По сути мы так называем раздел в схеме куда устанавливаем Excahnge Название организации не может содержать более 64 символов и не может быть пустым. Допустимые символы: от A до Z, от a до z, от 0 до 9, дефис или тире (-) и пробел, но начальные или конечные пробелы не допускаются. Вы не можете изменить название организации после его установки.

Запустите командную строку от имени администратора. Выполните следующую команду, чтобы подготовить Active Directory для Exchange Server.

C:>E:Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF /PrepareAD /OrganizationName:"Pentagon"

Microsoft Exchange Server 2016 Cumulative Update 16 Unattended Setup

Copying Files...
File copy complete. Setup will now collect additional information needed for installation.


Performing Microsoft Exchange Server Prerequisite Check

    Prerequisite Analysis                                                                             100%

Setup will prepare the organization for Exchange Server 2016 by using 'Setup /PrepareAD'. No Exchange Server 2013 roles
have been detected in this topology. After this operation, you will not be able to install any Exchange Server 2013
roles.
For more information, visit: https://docs.microsoft.com/Exchange/plan-and-deploy/deployment-ref/readiness-checks?view=exchserver-2016

Setup will prepare the organization for Exchange Server 2016 by using 'Setup /PrepareAD'. No Exchange Server 2010 roles
have been detected in this topology. After this operation, you will not be able to install any Exchange Server 2010
roles.
For more information, visit: https://docs.microsoft.com/Exchange/plan-and-deploy/deployment-ref/readiness-checks?view=exchserver-2016


Configuring Microsoft Exchange Server

    Organization Preparation                                                                          COMPLETED

The Exchange Server setup operation completed successfully.

Подготовка множества доменов Active Directory

Последним шагом подготовки Active Directory к Exchange является подготовка каждого из доменов Active Directory, в которых будет установлен Exchange. На этом шаге создаются дополнительные контейнеры, группы безопасности и устанавливаются разрешения, чтобы Exchange мог получить к ним доступ.

Если у вас более одного домена, вы можете запустить следующую команду, чтобы подготовить все домены для Exchange Server.

Если у вас есть только один домен, вы можете пропустить этот шаг, поскольку команда /PrepareAD на предыдущем шаге уже подготовила для вас домен.

C:>E:Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF /PrepareAllDomains

Microsoft Exchange Server 2016 Cumulative Update 16 Unattended Setup

Copying Files...
File copy complete. Setup will now collect additional information needed for installation.


Performing Microsoft Exchange Server Prerequisite Check

    Prerequisite Analysis                                                                             COMPLETED

Configuring Microsoft Exchange Server

    Prepare Domain Progress                                                                           COMPLETED

The Exchange Server setup operation completed successfully.

Проверка версии схемы

Для того, чтобы проверить текущую версию конфигурации схемы для Microsoft Exchange мы можем использовать, например, оснастку ADSI Edit.

Подключимся к контексту конфигурации и в контекстном меню нашей установки выберем пункт “Properties“. В списке атрибутов найдите атрибут objectVerison:

objectVerison 16223– это Exchange Server 2019 CU23. Именно его мы и устанавливали. Полный перечень доступен в документации.

Информация перед установкой Exchange Server 2016

Существует два варианта установки Exchange Server:

1. Установите сервер почтовых ящиков Exchange с помощью мастера установки(setup.exe).
2. Установите сервер почтовых ящиков Exchange с помощью командной строки(unattended mode).

Мастер установки Exchange поможет вам установить Exchange Server с графическим интерфейсом. Автоматический режим Exchange установит Exchange Server с помощью командной строки. В этой статье вы шаг за шагом установите Exchange Server 2016 с графическим интерфейсом.

Прежде чем приступить к установке Exchange Server 2016 на Windows Server 2016, убедитесь, что настроено следующее:

• Имя сервера
• Фиксированный IP-адрес
• Присоединился к домену
• Предварительные требования, установленные на сервере
• Войдти на сервер под Учетной записью которая должна быть членом групп безопасности « Администраторы схемы » и «Администраторы предприятия» * .
• Скаченный образ последней версии Exchange
• Проверить наличие обновлений перед установкой, они должны быть все установлены

Установка Exchange Server 2016 с помощью мастера установки

1. Запустить установщик из дистрибутива

2. На шаге проверки обновлений укажем, что мы не будем проверять наличие последних обновлений:

3. На следующем шаге мастера нажмем “Next”.

Программа установки копирует файлы в %winDir%TempExchangeSetup .

4. При согласии принимаем лицензионное соглашение:

5. Укажем, что мы не планируем принимать участие в программе улучшения качества продукта:

6. Укажем, что мы будем устанавливать сервер почтовых ящиков:

7. Укажем директорию установки:

8. Держите защиту от вредоносных программ включенной. Защита от вредоносных программ автоматически сканирует сообщения на наличие вирусов и шпионского ПО. Нажмите «Нет»  и нажмите « Далее» .

9. После завершения проверки готовности на экране отобразятся предупреждения и ошибки. Если у вас есть ошибки, вы не сможете продолжить установку Exchange Server 2016. Внимательно прочтите их и исправьте. После этого повторите настройку.

В нашем примере у нас есть только предупреждения и нет ошибок. Это показывает, что у нас нет Exchange Server 2010 и Exchange Server 2013 в организации. Это верно, так как мы устанавливаем наш раз Exchange Server 2016. Программа установки подготовит активный каталог и домены для Exchange Server . Нажмите « Install», чтобы начать установку Exchange Server 2016.

Начинается установка, и отображается ход установки.

Установка Exchange Server 2016 может занять некоторое время, производительность уперается в скорость жесткого диска.

Проверьте журналы установки Exchange, если хотите знать, что мастер установки настраивает в серверной части. Откройте проводник и перейдите в папку C:ExchangeSetupLogs . Сортировать по дате изменения .

Нажмите  « Готово » после завершения установки Exchange и перезапустите систему.

Установка Exchange Server 2016 с помощью командной строки

Это другой способ установки Exchange , если вы ранее уже установили Exchange пропустите этот пункт

Запустите командную строку от имени администратора. Установите роль сервера почтовых ящиков и инструменты управления в папку по умолчанию на локальном сервере. Обозначение ключей тут , где /r:MB это установки роли Mailbox.

/Roles:<ServerRole>
(or /Role:<ServerRole> or /r:<ServerRole>)	This switch is required in /Mode:Install commands. Valid values are:
Mailbox (or mb): Installs the Mailbox server role and the Exchange management tools on the local server. This is the default value. You can't use this value with EdgeTransport.
EdgeTransport (or et): Installs the Edge Transport server role and the Exchange management tools on the local server. You can't use this value with Mailbox.
ManagementTools (or mt or t): Installs the Exchange management tools on clients or other Windows servers that aren't running Exchange.

1.Начинаем установку, монтируем установочный образ и в powershell вставляем команду

C:>E:Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF /mode:Install /r:MB

Microsoft Exchange Server 2016 Cumulative Update 16 Unattended Setup

Copying Files...
File copy complete. Setup will now collect additional information needed for installation.

Languages
Management tools
Mailbox role: Transport service
Mailbox role: Client Access service
Mailbox role: Mailbox service
Mailbox role: Front End Transport service
Mailbox role: Client Access Front End service

Performing Microsoft Exchange Server Prerequisite Check

    Configuring Prerequisites                                                                         COMPLETED
    Prerequisite Analysis                                                                             COMPLETED

Configuring Microsoft Exchange Server

    Preparing Setup                                                                                   COMPLETED
    Stopping Services                                                                                 COMPLETED
    Copying Exchange Files                                                                            COMPLETED
    Language Files                                                                                    COMPLETED
    Restoring Services                                                                                COMPLETED
    Language Configuration                                                                            COMPLETED
    Exchange Management Tools                                                                         COMPLETED
    Mailbox role: Transport service                                                                   COMPLETED
    Mailbox role: Client Access service                                                               COMPLETED
    Mailbox role: Mailbox service                                                                     COMPLETED
    Mailbox role: Front End Transport service                                                         COMPLETED
    Mailbox role: Client Access Front End service                                                     COMPLETED
    Finalizing Setup                                                                                  COMPLETED

The Exchange Server setup operation completed successfully.
Setup has made changes to operating system settings that require a reboot to take effect. Please reboot this server
prior to placing it into production.

Установка роли почтового ящика сервера Exchange завершена. Перезагрузите сервер.

Проверка корректности установки

В большинстве случаев маркером успешной установки является то, что вы можете перейти в панель управления Exchange (Exchange Control Panel – ECP). Для перехода в ECP перейдите по следующей ссылке:

https://mbx1.pentagon.loc/ecp

В данном руководстве рассматривается установка Exchange Server 2016.

Для установки Exchange 2016 ниже представлены следующие рекомендации:

• Почтовый ящик – минимум 8 ГБ ОЗУ;
• Клиентский доступ – минимум 4 ГБ ОЗУ;
• Сочетание почтовых ящиков и клиентского доступа – минимум 8 ГБ ОЗУ;
• Пограничный транспорт – минимум 4 ГБ ОЗУ;

Мы будем рассматривать тот случай, когда у вас уже есть два сервера с установленной на них операционной системой Windows Server 2016. Кроме того, на одном из серверов должна быть установлена роль Active Directory Domain Services.

На Windows Server 2016 требуется установить все доступные обновления перед установкой Exchange Server 2016.

На будущем сервере Exchange заходим в систему под учетной записью, которая состоит в группах: Администраторы предприятия, администраторы схемы и администраторы домена.

На «Панели задач» нажимаем правой кнопкой мыши на «Windows PowerShell» и выбираем «Запуск от имени администратора».

Теперь необходимо установить средства удаленного администрирования для последующей подготовки Active Directory к установке Exchange Server 2016.

Выполняем команду «Install-WindowsFeature RSAT-ADDS».

Начался процесс установки средств удаленного администрирования.

После того, как установка средств удаленного администрирования успешно завершена, необходимо установить компоненты, необходимые для работы сервера Exchange.

Выполняем команду:

 «Install-WindowsFeature NET-Framework-45-Features, Server-Media-Foundation, RPC-over-HTTP-proxy, RSAT-Clustering, 
RSAT-Clustering-CmdInterface, RSAT-Clustering-Mgmt, RSAT-Clustering-PowerShell, Web-Mgmt-Console, WAS-Process-Model, 
Web-Asp-Net45, Web-Basic-Auth, Web-Client-Auth, Web-Digest-Auth, Web-Dir-Browsing, Web-Dyn-Compression, Web-Http-Errors, 
Web-Http-Logging, Web-Http-Redirect, Web-Http-Tracing, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Lgcy-Mgmt-Console, 
Web-Metabase, Web-Mgmt-Console, Web-Mgmt-Service, Web-Net-Ext45, Web-Request-Monitor, Web-Server, Web-Stat-Compression,
Web-Static-Content, Web-Windows-Auth, Web-WMI, Windows-Identity-Foundation, RSAT-ADDS »

Начался процесс установки необходимых компонентов.

Установка необходимых компонентов успешно завершена.

Теперь необходимо перезагрузить сервер.

Когда сервер перезагрузился — необходимо установить Unified Communications Managed API 4.0 на будущий сервер Exchange.

Заходим на сайт.

Скачиваем Unified Communications Managed API 4.0 после чего запускаем «UcmaRuntimeSetup.exe».

Откроется «Мастер установки Unified Communications Managed API 4.0».

Нажимаем на кнопку «Далее».

Далее необходимо принять условия лицензии.

Нажимаем на кнопку «Установить».

Начался процесс установки «Unified Communications Managed API 4.0».

Установка «Unified Communications Managed API 4.0» завершена.

Нажимаем на кнопку «Готово».

Далее необходимо скачать Microsoft .NET Framework 4.7.1 по ссылке.

Запускаем установщик NDP471-KB4033342-x86-x64-AllOS-ENU.exe

Подтверждаем лицензионное соглашение и нажимаем «Установить».

Затем начинается установка.

Для продолжении установки требуется закрыть программы, для этого нажимаем «ДА».

После завершения установки нажимаем «Готово».

Затем установщик запросит перезагрузить сервер, нажимаем «Перезагрузить сейчас».

После перезагрузки устанавливаем еще Распространяемые пакеты Visual C++ для Visual Studio 2013 для этого переходим по ссылке.

После того как скачали файл, запускаем его и подтверждаем лицензию затем нажимаем «Install».

Пакеты Visual C++ установлены. Нажимаем «Close».

Теперь необходимо подготовить схему Active Directory.

На «Панели задач» нажимаем правой кнопкой мыши на «Windows PowerShell» и выбираем «Запуск от имени администратора».

Переходим на диск «D», где находятся установочные файлы Exchange Server 2016.

Выполняем команду:

«сd D:»

Выполняем команду:

«.setup.exe /PrepareSchema /IAcceptExchangeServerLicenseTerms»

Начался процесс подготовки схемы Active Directory.

Процесс подготовки схемы Active Directory успешно завершен.

Теперь необходимо подготовить Active Directory и создать организацию Exchange.

Обратите внимание, после «OrganizationName» необходимо указать название вашей организации на английском языке.

В данном руководстве используется название организации «dm11».

Выполняем команду:

«.setup.exe /PrepareAD /OrganizationName:"dm11" /IAcceptExchangeServerLicenseTerms»

Начался процесс подготовки Active Directory и создания организации Exchange.

Процесс подготовки Active Directory и создания организации Exchange успешно завершен.

Теперь необходимо подготовить домен.

Выполняем команду:

«.setup.exe /PrepareDomain:dm11.esit.info /IAcceptExchangeServerLicenseTerms».

Процесс подготовки домена успешно завершен.

Теперь можно приступить к установке Exchange Server 2016.

Запускаем «Setup.exe».

На данном этапе можно проверить наличие обновлений для Exchange Server 2016.

Выбираем «Подключиться к Интернету и проверить наличие обновлений» и нажимаем на кнопку «Далее».

На данный момент обновлений для Exchange Server 2016 нет.

Нажимаем на кнопку «Далее».

Далее «Мастер установки Exchange Server» предлагает ознакомиться с информацией касательно Exchange Server 2016.

Нажимаем на кнопку «Далее».

Теперь необходимо принять условия лицензии.

Нажимаем на кнопку «Далее».

Выбираем «Не использовать рекомендуемые параметры», чтобы сервер Exchange автоматически не отправлял в Microsoft отчеты об ошибках и другую информацию по использованию сервера Exchange.

Нажимаем «Далее».

Теперь необходимо выбрать какие роли будут установлены на ваш сервер.

Выбираем «Роль почтового ящика», затем выбираем «Автоматически установить роли и компоненты Windows Server, необходимые для Exchange Server» и нажимаем на кнопку «Далее».

Оставляем настройки без изменений и нажимаем на кнопку «Далее».

Теперь можно настроить параметры защиты от вредоносных программ.

В пункте «Отключить проверку на наличие вредоносных программ» выбираем «Нет» и нажимаем на кнопку «Далее».

Далее начнется процесс проверки готовности к установке, после того как процесс будет завершен, можно запускать процесс установки Exchange Server 2016.

Нажимаем на кнопку «Установить».

Начался процесс установки Exchange Server 2016.

Установка Exchange Server 2016 успешно завершена.

Нажимаем на кнопку «Готово».

Для администрирования сервера Exchange используется «Exchange Administration Center», доступный по ссылке https://Exchange2016/ecp, где Exchange2016 – имя сервера.

Теперь необходимо указать имя пользователя и пароль для входа в «Exchange Admin Center».

Нажимаем на кнопку «Войти».

Далее необходимо выбрать язык на котором будет отображаться дальнейшая информация, а также часовой пояс.

Добро пожаловать в «Exchange Admin Center».

Можно приступать к работе с сервером Exchange.

Теперь можно проверить состояние служб Exchange Server.

Нажимаем «Start», ищем «Exchange Management Shell», затем нажимаем правой кнопкой мыши на «Exchange Management Shell» и выбираем «Запуск от имени администратора».

Выполняем команду:

«Test-ServiceHealth»

Проверка служб успешно завершена.

Значение «True» в «RequireServiceRunning» свидетельствует о том, что служба запущена.

Необходимо перезагрузить сервер, можно приступать к дальнейшей настройке.

Порядок установки антиспам-агентов через командную консоль Exchange Management Shell

1. Запустите сценарий PowerShell Install-AntispamAgents.ps1 и в консоли запустите команду:

& 
$env:ExchangeInstallPathScriptsInstall-AntiSpamAgents.ps

2. Сделайте перезапуск транспортной службы MS Exchange:

Restart-Service MSExchangeTransport

3. Дальше перечислите IP-адреса SMTP-серверов вашей организации — это необходимо, чтобы их пропускал агент Sender ID. Укажите IP-адреса (как минимум один) так:

Set-TransportConfig -InternalSMTPServers 10.15.73.153

4. Убедитесь, что на сервере запущены все необходимые для анализа и защиты входящей почты агенты. Проверьте это командами:

Get-TransportAgent

Get-ContentFilterConfig | Format-Table Name,Enabled; Get-SenderFilterConfig | Format-Table Name,Enabled; 
Get-SenderIDConfig | Format-Table Name,Enabled; Get-SenderReputationConfig | Format-Table Name,Enabled

5. Настройте отказ от приема письма. Добавьте отправку автоматического сообщения отправителю, что его письмо посчитали спамом:

Set-ContentFilterConfig -RejectionResponse "Your email is identified as spam, and has been rejected by the recipient's 
e-mail system.."

Проверьте, как это работает:

Get-ContentFilterConfig | Format-List *Reject*

В конце проверьте работу фильтра полностью, со всеми параметрами конфигурации:

Get-ContentFilterConfig | fl

Обратите внимание, включено ли автоматическое удаление спама. Для начала эту функцию лучше оставить выключенной, чтобы не потерять нужные письма.

Рекомендуем включить функцию отбоя спама с уведомлением отправителю:

set-ContentFilterConfig -SCLRejectEnabled $true

Вы можете также указать список доменов или почтовых адресов, сообщения с которых никогда не будут отправлены в спам. Создаем новый список доверенных доменов:

Set-ContentFilterConfig -BypassedSenderDomains microsoft.com,efsol.ru

Добавляем новые домены к ранее созданному списку:

Set-ContentFilterConfig –BypassedSenderDomains @{Add=”gmail.com”, “yandex.ru”}

Рекомендуем установить и включить антиспам-агенты на сервере почтовых ящиков после установки Exchange Server 2016. Это просто необходимо, если нет иных инструментов против спама в получаемой почте.

Привет! Сегодня разберём как установить exchange server 2016 с нуля. Всё нижесказанное также относится и к 2013 exchange. Миграция описана в статье Миграция с exchange server 2007 на 2013 отличий от миграции с 2010 или 2013 на 2016 нет.

Предварительные требования:

1. NET Framework 4.7.1
2. компоненты из статьи KB3206632 базы знаний Майкрософт
3. распространяемый пакет Visual C++ для Visual Studio 2012
4. распространяемый пакет Visual C++ для Visual Studio 2013
5. Microsoft Unified Communications Managed API 4.0, среда выполнения Core (64-разрядная версия)

6. Install-WindowsFeature RSAT-ADDS

7. Install-WindowsFeature NET-Framework-45-Features, Server-Media-Foundation, RPC-over-HTTP-proxy, RSAT-Clustering, RSAT-Clustering-CmdInterface, RSAT-Clustering-Mgmt, RSAT-Clustering-PowerShell, WAS-Process-Model, Web-Asp-Net45, Web-Basic-Auth, Web-Client-Auth, Web-Digest-Auth, Web-Dir-Browsing, Web-Dyn-Compression, Web-Http-Errors, Web-Http-Logging, Web-Http-Redirect, Web-Http-Tracing, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Lgcy-Mgmt-Console, Web-Metabase, Web-Mgmt-Console, Web-Mgmt-Service, Web-Net-Ext45, Web-Request-Monitor, Web-Server, Web-Stat-Compression, Web-Static-Content, Web-Windows-Auth, Web-WMI, Windows-Identity-Foundation, RSAT-ADDS

Миграция возможно минимум с exchange 2010 CU11. Контроллеры домена и уровень леса не менее Windows Server 2008 R2. Оперативная память – Почтовый ящик: не менее 8 ГБ.  Пограничный транспортный сервер: не менее 4 ГБ.

ОС windows server 2012 или windows server 2016.

В нашем случае будет идеальный вариант – чистый контроллер домена и чистая система, обе windows server 2016.

Устанавливаем компоненты:

Теперь можно устанавливать exchange server 2016. В принципе, установщик всё сделает за вас. Каких то особых требований, кроме описанных выше, нет. Если вы ставите сервер в существующую среду 2010 или 2013, то также никаких дополнительных действий не требуется. После установки они будут сосуществовать вместе, текущую инфраструктуру и работу почты данная установка не затронет.

Ставим галочки:

В этом случае установщик сам до установит недостающие компоненты, расширит схему AD выполнит подготовку. Имя организации – это имя раздела, в котором будут хранится настройки exchange в текущем лесу. Если в процессе установки у вас ошибка “Windows Server-Gui-Mgmt-Infra not installed” значит вы пытаетесь установить версию exchange до CU3. Скачиваем версию с последним CU. На текущий момент – CU12.

Не пугаемся названия – Cumulative Update 12 for Exchange Server это полноценный дистрибутив с последними обновлениями.

Как видим, установщик сам расширит схему и подготовит AD.

В том случае если у вас большая инфраструктура с несколькими доменами, или разделёнными правами, перед установкой можно выполнить команды вручную:

Расширение схемы, вы должны состоять в группе “Администраторы схемы” на этом этапе добавляются необходимые атрибуты в схему AD.
E:Setup.exe /IAcceptExchangeServerLicenseTerms /PrepareSchema

Подготовка AD, создание нужных контейнеров и объектовE:Setup.exe /IAcceptExchangeServerLicenseTerms /PrepareAD /OrganizationName:”First organization”

И на третьем этапе создаются группы, назначаются разрешения
E:Setup.exe /IAcceptExchangeServerLicenseTerms /PrepareAllDomains

Если в процессе установки возникли ошибки, нам сильно поможет C:ExchangeSetupLogsExchangeSetup.log.

В случае если установка завершилась успешно, переходим по ссылке https://localhost/ecp и радуемся.

В принципе, можно создавать пользователей, и пользоваться почтой через owa, внутри организации она уже работает полноценно. Для отправки нам нужно создать коннектор отправки, он находится в “поток обработки почты – соединители отправки”. Тип коннектора – выбираем internet.

Адресное пространство – ставим звездочку. Это значит, что на все домены почта будет оправляться через этот коннектор. Если же мы хотим что бы почта на определенный домен отправлялась через специфический сервер – то создаём еще один коннектор. Затраты – приоритет отправки, сначала почта будет отправляться через коннектор с приоритетом 1, если условия совпадают.

Исходный сервер – если у нас несколько серверов, например в разных сайтах, и мы хотим отправлять почту со всех серверов exchange только через один, выбираем его в этом пункте. В нашем примере у  нас один сервер, естественно мы его и указываем.

И так – теперь мы можем отправлять почту в интернет. Но возникнет проблема – почти все наши письма будут помечены как спам. Почему так происходит? Потому что основные антиспам проверки включают в себя PTR запись, она должна совпадать с именем сервера, которым он представляется.

Переходим в нас тройки созданного коннектора, пункт “определение области”, и укажите FQDN имя, через которое ваш сервер будет доступен во внешних DNS. Также нужно написать провайдеру, что бы он прописал PTR запись на ваш внешний IP.

Первое дело сделано. Второй важный шаг – это настроить SPF запись. Про это можно прочитать в моей статье STOP SPAM. PTR, SPF, DKIM, DMARC

DKIM и DMARC можете настроить по своему усмотрению. Теперь наша почта должна доходить до адресата без проблем. Проверить корректность настроек можно с помощью сайта https://www.mail-tester.com/.

Переходим к коннекторам приёма. Эта штука определяет, как и кто может отправлять почту в наше систему. Приём почты разрешен для домена по умолчанию, он указан сразу.

То есть если домен у вас local, то естественно для маршрутизации в интернете нам нужен существующий, например hobbycomp.ru. Добавляем его в обслуживаемые домены. Тип – заслуживающий доверия. Письма,отправленные извне на этот домен будут обрабатываться, а если адреса не существует отклоняться. Если выбрать внутренняя ретрансляция – то если адресат не обнаружен, письма будут пересылаться дальше, например на другой сервер, указанный в коннекторе отправке, если внешняя ретрансляция – наличие пользователя проверяться не будет, просто будет пересылаться дальше.

Не забываем создать Политику адресов электронной почты, она находится в разделе “поток обработки почты”. Она нужна для того, что бы все новые сотрудники сразу создавались с нужным нам адресом почты, например имя.фамилия”домен.ру

Если уже готовые шаблоны не нравятся, можно перейти в дополнительные параметры, и создать свой шаблон, используя такие параметры:

Переменная	Значение
%d	Краткое имя
%g	Имя
%i	Буква отчества
%m	Псевдоним Exchange
%s	Фамилия
% _x_g	Первые буквы x первого имени. Например, %2g первые две буквы с именем не используются.
% _x_s	Первые буквы x фамилии. Например, %2s использует первые две буквы фамилии.

Продолжаем про коннекторы приёма. В них мы указываем: IP адреса с которых сервер принимает почту, на каких интерфейсах слушать порт приёма (25-й по дефолту) каких пользователей обслуживать – анонимных, или только с аутентификацией.

Коннектор по умолчанию default frontend настроен на приём писем со всех IP адресов, в том числе и от анонимных пользователей.  От анонимных – это значит что любой пользователь может прислать нам письмо на заслуживающий доверия домен.

Что бы это работало, рекомендую снять галку взаимная проверка подлинности, если у сервера будет самоподписанный (не доверенный) сертификат – письмо до вас не дойдёт.

Также на всех коннекторах включите ведение журнала – это очень поможет выявлять неполадки.

Нужные нам журналы хранятся здесь – C:Program FilesMicrosoftExchange ServerV15TransportRolesLogsFrontEndProtocolLog

Архитектура exchange сервера обычно предполагает наличие перед ним front end сервера ,который бы осуществлял фильтрацию писем на спам и вирусы. Встроенный функционал сервера в этом смысле слабоват.

Можно использовать exim, postfix, Cisco ESA. Лично мне нравится postfix, можно использовать его в связке с ClamAV и Spamassasin. Неплохое бесплатное решение.

В этом случае коннектор приёма настраиваем на приём только с одного IP – IP нашего front end сервера. Для принтеров, различных программ типа 1С создаём отдельный коннектор с IP нужного нам сервера, и анонимным приёмом. Отправлять в этом случае можно будет с любого несуществующего адреса в нашем домене, на адреса опять же в нашем домене (использовать для оповещений, без обратной связи). Если мы хотим отправлять письма на внешние адреса – нам нужно будет создать либо учетную запись с ящиком, и указать учетные данные при отправке.

В веб интерфейсе нам доступна только малая часть настроек, всё остальное скрыто в EMS.

Например, вот вывод всех настроек дефолтного коннектора приёма:

Get-ReceiveConnector -Identity "Default Frontend EX01" | fl

RunspaceId : 0b4604c3-bfef-4b7b-b8b6-b55b79d9f894
AuthMechanism : Tls, Integrated, BasicAuth, BasicAuthRequireTLS, ExchangeServer
Banner :
BinaryMimeEnabled : True
Bindings : {[::]:25, 0.0.0.0:25}
ChunkingEnabled : True
DefaultDomain :
DeliveryStatusNotificationEnabled : True
EightBitMimeEnabled : True
SmtpUtf8Enabled : True
BareLinefeedRejectionEnabled : False
DomainSecureEnabled : True
EnhancedStatusCodesEnabled : True
LongAddressesEnabled : False
OrarEnabled : False
SuppressXAnonymousTls : False
ProxyEnabled : False
AdvertiseClientSettings : False
Fqdn : ex01.test.local
ServiceDiscoveryFqdn :
TlsCertificateName :
Comment :
Enabled : True
ConnectionTimeout : 00:10:00
ConnectionInactivityTimeout : 00:05:00
MessageRateLimit : Unlimited
MessageRateSource : IPAddress
MaxInboundConnection : 5000
MaxInboundConnectionPerSource : 20
MaxInboundConnectionPercentagePerSource : 2
MaxHeaderSize : 256 KB (262,144 bytes)
MaxHopCount : 60
MaxLocalHopCount : 12
MaxLogonFailures : 3
MaxMessageSize : 36 MB (37,748,736 bytes)
MaxProtocolErrors : 5
MaxRecipientsPerMessage : 200
PermissionGroups : AnonymousUsers, ExchangeServers, ExchangeLegacyServers
PipeliningEnabled : True
ProtocolLoggingLevel : Verbose
RemoteIPRanges : {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255}
RequireEHLODomain : False
RequireTLS : False
EnableAuthGSSAPI : False
ExtendedProtectionPolicy : None
LiveCredentialEnabled : False
TlsDomainCapabilities : {}
Server : EX01
TransportRole : FrontendTransport
RejectReservedTopLevelRecipientDomains : False
RejectReservedSecondLevelRecipientDomains : False
RejectSingleLabelRecipientDomains : False
AcceptConsumerMail : False
SizeEnabled : Enabled
TarpitInterval : 00:00:05
AuthTarpitInterval : 00:00:05
MaxAcknowledgementDelay : 00:00:30
AdminDisplayName :
ExchangeVersion : 0.1 (8.0.535.0)
Name : Default Frontend EX01
DistinguishedName : CN=Default Frontend EX01,CN=SMTP Receive Connectors,CN=Protocols,CN=EX01,CN
=Servers,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrati
ve Groups,CN=First Organization,CN=Microsoft Exchange,CN=Services,CN=Config
uration,DC=test,DC=local
Identity : EX01Default Frontend EX01
Guid : e569491e-7fd2-4c48-b43b-6bd4e76ebf96
ObjectCategory : test.local/Configuration/Schema/ms-Exch-Smtp-Receive-Connector
ObjectClass : {top, msExchSmtpReceiveConnector}
WhenChanged : 16.03.2019 13:42:54
WhenCreated : 16.03.2019 13:42:54
WhenChangedUTC : 16.03.2019 10:42:54
WhenCreatedUTC : 16.03.2019 10:42:54
OrganizationId :
Id : EX01Default Frontend EX01
OriginatingServer : dc01.test.local
IsValid : True
ObjectState : Unchanged

Многие параметры говорят сами за себя, например MaxRecipientsPerMessage:200 значит что на этом коннекторе возможен приём для максимум  200 получателей, а MessageRateLimit : Unlimited о том что количество принимаемых писем в секунду не ограничено.

А вот так можно посмотреть ограничения на количество отправленных сообщений в секунду на всех коннекторах:

Get-ReceiveConnector | fl Name,MessageRateLimit

Name : Default EX01
MessageRateLimit : Unlimited

Name : Client Proxy EX01
MessageRateLimit : 5

Name : Default Frontend EX01
MessageRateLimit : Unlimited

Name : Outbound Proxy Frontend EX01
MessageRateLimit : Unlimited

Name : Client Frontend EX01
MessageRateLimit : 5

Теперь поговорим об еще одном важном аспекте – сертификатах. Сертификаты прежде всего нужны нам для подключения outlook к серверу, и для подключения через браузер, без уведомления о том, что сайт небезопасен.

Давайте разберёмся, что такое сертификат, и как он работает. По сути это ключ, две половинки которого называются закрытый и открытый ключ. То что зашифровано одним ключом можно расшифровать другим, и наоборот. Закрытый ключ хранится только на сервере, открытый же доступен всем. Когда мы генерируем сертификат с помощью нашего внутреннего центра сертификации, он подписан его корневым сертификатом. А корневой сертификат имеется в доверенных на всех компьютерах домена, поэтому ошибок не возникает. Как только мы пытаемся подключится с компьютера, на котором данного корневого сертификата нет – получаем ошибку. Если устраивает такой вариант, когда мы можем всем пользователям установить свой корневой сертификат – то тогда используем его. Как развернуть внутренний центр сертификации описано в моей статье Установка Certification Authority

В противном случае нам понадобится коммерческий сертификат. Суть его состоит в том что корневой сертификат уже вшит во все браузеры, операционные системы, в том числе и мобильные.

Как установить сертификат на примере внутреннего центра сертификации. Заходим в раздел серверы – сертификаты. Выбираем “создать запрос на сертификат, подписанный центром сертификации”.

Проходим через мастер, важный момент выбор имён, которые будут использоваться в сертификате. Я рекомендую использовать единое пространство имен как внутри, так и снаружи. На внутреннем DNS создать  зоны mail.hobbycomp.ru и autodiscover.hobbycomp.ru, для работы хватит этих двух имен. Если планируется раздельное пространство имен – они должны присутствовать в сертификате.

Сохраняем запрос на сертификат, сохранить можно на сетевую шару. теперь у нас есть ожидающий запрос. Это значит, что сгенерирован закрытый ключ, он хранится на сервере, а нам нужно подписать наш сертификат с открытыми данными корневым сертификатом центра сертификации. Для этого идём на веб интерфейс центра сертификации. https://server/certsrv

Выбираем запрос сертификата – расширенный запрос сертификата, открываем блокнотом сохраненный запрос на сертификат, и вставляем в поле сохранённый запрос. Шаблон сертификата выбираем веб сервер.

В интерфейсе с сертификатами сервера, выбираем “выполнить”, и подсовываем полученный сертификат. Путь также указываем в формате сетевой шары.

Назначаем новый сертификат службам IIS и SMTP.

На выходе получаем валидный сертификат, для тех устройств на которых установлен корневой сертификат.

Не забывайте, что имена по которым будут обращаться пользователи снаружи и изнутри должны присутствовать в сертификате. Имена для подключения outlook задаются в настройках виртуальных директорий.

Вкладка серверы – виртуальные каталоги. В настройках нужно прописать имя сервера, для простоты опять же рекомендуется использовать одинаковые имена для внешних и внутренних адресов. Если у вас один сервер – особо не заморачиваемся. Если вы мигрируете на новый сервер, или у вас их несколько – тут схема будет действовать следующим образом. Для OWA, если пользователь будет в базе на одном сервере, а подключается на другой, будет срабатывать редирект на другой сервер. В остальных случаях, если внутреннее имя сервера не прописано, должно работать проксирование с одного сервера на другой.

Для каталога autodoscover адрес нужно задать через EMS. Задаётся только внутренний адрес, это будет адрес SCP – service connection point, outlook вытащит его из active directory.

Посмотреть текущий адрес можно командлетом:

Get-ClientAccessService | fl AutoDiscoverServiceInternalUri

В принципе, на этом основные настройки заканчиваются. Мы получили работающую систему, отправляющую и принимающую письма. Дальше идёт тонкий тюнинг, для текущих потребностей. Пожалуйста, напишите в комментариях, что еще вам интересно, я постараюсь ответить на все вопросы, и дополнить статью.

Если у Вас есть вопросы, задавайте их на форуме, или ниже в комментариях.

Мы добавили сервера Exchange 2016 в нашу организацию. Теперь необходимо выполнить их настройку. Первоначальная настройка Exchange 2016 включает в себя следующие шаги:

1. Импорт и привязка сертификатов.
2. Настройка служб автообнаружения.
3. Настройка виртуальных директорий.
4. Конфигурирование Outlook Anywhere.
5. Переименование и перемещение почтовых баз.
6. Создание группы высокой доступности.

Также мы выполним настройку группы высокой доступности из наших серверов MBX03 и MBX04, чтобы мы могли выполнять миграцию почтовых ящиков уже на отказоустойчивое решение.

Импорт и привязка сертификатов

Для корректной работы HTTPS сервисов и службы обнаружения нам необходим сертификат, который будет доверенным для наших клиентов Outlook. Потому что после установки Exchange привязывает к веб-сервисам самоподписанный сертификат и наши клиенты будут получать сообщение о том, что у них нет доверия к этому сертификату:

Вариант с использованием самоподписанного сертификата мы рассматривать не будем. В остальных случаях у вас будет два варианта:

1. Купить коммерческий сертификат на год или более.
2. Выпустить бесплатный сертификат от Let-s Encrypt на 3 месяца.
3. Использовать сертификаты от внутреннго ЦС. Это может быть инфраструктура PKI на базе Windows Server, либо же другое решение. Однако, это накладывает определённые дополнительные трудозатраты. Как минимум нужно вручную импортировать сертификат корневого ЦС на мобильные клиенты при публикации сервисов наружу (десктопные/мобильные клиента, OWA и т.д.).

Поскольку мы уже выпускали бесплатный сертификат для нашего сервера Exchange 2010, то мы будем использовать его.

Предварительно либо экспортируйте этот сертификат с одного из серверов Exchange 2010, либо найдите исходный PFX файл с открытым и закрытым ключом.

Импорт сертификата на сервера клиентского доступа

Для импорта сертификата на сервера клиентского доступа выполните следующие шаги:

1. Запустить MMC консоль управления сертификатами для локального компьютера на первом сервер Exchange 2016:

2. В контекстом меню персонального контейнера выбрать пункт для импорта сертификата:

3. Выполнить все шаги мастера импорта сертификатов.

4. Сертификат должен отобразиться в локальном хранилище сертификатов:

5. Выполнить импорт сертификата на все сервера клиентского доступа Exchange.

Привязка сертификата к сервисам Exchange

Импорт сертификата – это лишь половина дела. Далее их нужно указать – какие сервисы будут использовать наш сертификат:

1. Запустим Exchange Management Shell на первом сервере Exchange 2016 и посмотрим на список наших сертификатов:

Get-ExchangeCertificate | fl Subject,Services,Thumbprint

2. Находим необходимый нам сертификат и привязываем его ко всем сервисам:

Get-ExchangeCertificate -Thumbprint "5CEC8544D4743BC279E5FEA1679F79F5BD0C2B3A" | Enable-ExchangeCertificate -Services  IMAP, POP, IIS, SMTP

3. Перезапускаем сервер IIS:

iisreset

4. Выполняем аналогичные действия на втором сервере Exchange 2016.

Настройка службы автообнаружения

Теперь посмотрим, как выглядят настройки служб автообнаружения после добавления серверов Exchange 2016 в нашу организацию:

Get-ClientAccessService | fl identity, *uri*

Мы видим, что на серверах Exchange 2016 (MBX03 и MBX04) службы автообнаружения ведут не на имя, которое мы настроили ранее (mail.itproblog.ru), а на собственные имена серверов:

Напомню, что мы используем пространство имен mail.itproblog.ru.

Скорректируем имена службы автообнаружения:

Get-ClientAccessService -Identity MBX03 | Set-ClientAccessService -AutoDiscoverServiceInternalUri https://mail.itproblog.ru/Autodiscover/Autodiscover.xml

Get-ClientAccessService -Identity MBX04 | Set-ClientAccessService -AutoDiscoverServiceInternalUri https://mail.itproblog.ru/Autodiscover/Autodiscover.xml

Проверим теперь адреса служб автообнаружения для всех наших серверов Exchange:

Get-ClientAccessService | fl identity, *uri*

Теперь все имена настроены корректно, и мы перейдем к настройке виртуальных директорий.

Настройка виртуальных директорий

В Exchange 2016 у нас присутствуют следующие виртуальные директории:

1. ActiveSync Virtual Directory. Виртуальная директория для протокола ActiveSync. В осносном это подключение мобильных устройств.
2. MAPI Virtual Directory. Эта виртуальная директория появилась в Exchange 2013 SP1. Используется современными клиентами Outlook (начиная с Outlook 2013 SP1) для подключения к почтовым ящикам через MAPI/HTTP. Этот метод подключения пришел на замену RPC over HTTP.
3. Autodiscover Virtual Directory. Предназначена для сервиса автоматического конфигурирования внутренних клиентов.
4. Ecp Virtual Directory. Виртуальная директория веб-консоли управления.
5. Oab Virtual Directory. Предназначения для хранения файлов оффлайн адресной книги.
6. Owa Virtual Directory. Виртуальная директории веб версии Outlook.
7. PowerShell Virtual Directory. Виртуальная директория веб-версии PowerShell.
8. WebServices Virtual Directory. Виртуальная директория веб-сервисов Exchange.

У каждой из виртуальных директория (за исключением виртуальной службы автообнаружения) в настройках необходимо указать URL адрес, который будут использовать внутренние клиенты и URL адрес, который будут использовать внешние клиенты. Этот URL адрес, может быть одинаковый как для внутренних клиентов, так и для внешних клиентов. В нашем случае будет именно так.

Как было сказано выше, мы будем использовать URL вида https://mail.itproblog.ru.

Выполним настройку виртуальной директории для ActiveSync:

Get-ActiveSyncVirtualDirectory -Server MBX03 | Set-ActiveSyncVirtualDirectory -InternalUrl "https://mail.itproblog.ru/Microsoft-Server-ActiveSync" -ExternalUrl "https://mail.itproblog.ru/Microsoft-Server-ActiveSync"

Get-ActiveSyncVirtualDirectory -Server MBX04 | Set-ActiveSyncVirtualDirectory -InternalUrl "https://mail.itproblog.ru/Microsoft-Server-ActiveSync" -ExternalUrl "https://mail.itproblog.ru/Microsoft-Server-ActiveSync"

Выполним настройку виртуальной директории для MAPI:

Get-MapiVirtualDirectory -Server MBX03 | Set-MapiVirtualDirectory -InternalUrl "https://mail.itproblog.ru/mapi" -ExternalUrl "https://mail.itproblog.ru/mapi"

Get-MapiVirtualDirectory -Server MBX04 | Set-MapiVirtualDirectory -InternalUrl "https://mail.itproblog.ru/mapi" -ExternalUrl "https://mail.itproblog.ru/mapi"

Настроим виртуальную директорию ECP:

Get-EcpVirtualDirectory -Server MBX03 | Set-EcpVirtualDirectory -InternalUrl "https://mail.itproblog.ru/ecp" -ExternalUrl "https://mail.itproblog.ru/ecp"

Get-EcpVirtualDirectory -Server MBX04 | Set-EcpVirtualDirectory -InternalUrl "https://mail.itproblog.ru/ecp" -ExternalUrl "https://mail.itproblog.ru/ecp"

Настроим виртуальную директорию OWA:

Get-OwaVirtualDirectory -Server MBX03 | Set-OwaVirtualDirectory -InternalUrl "https://mail.itproblog.ru/owa" -ExternalUrl "https://mail.itproblog.ru/owa"

Get-OwaVirtualDirectory -Server MBX04 | Set-OwaVirtualDirectory -InternalUrl "https://mail.itproblog.ru/owa" -ExternalUrl "https://mail.itproblog.ru/owa"

Затем настроим виртуальную директорию автономной адресной книги:

Get-OabVirtualDirectory -Server MBX03 | Set-OabVirtualDirectory -InternalUrl "https://mail.itproblog.ru/OAB" -ExternalUrl "https://mail.itproblog.ru/OAB"

Get-OabVirtualDirectory -Server MBX04 | Set-OabVirtualDirectory -InternalUrl "https://mail.itproblog.ru/OAB" -ExternalUrl "https://mail.itproblog.ru/OAB"

Нам остается настроить виртуальную директорию для PowerShell:

Get-PowerShellVirtualDirectory -Server MBX03 | Set-PowerShellVirtualDirectory -InternalUrl "http://mail.itproblog.ru/powershell" -ExternalUrl "http://mail.itproblog.ru/powershell"

Get-PowerShellVirtualDirectory -Server MBX04 | Set-PowerShellVirtualDirectory -InternalUrl "http://mail.itproblog.ru/powershell" -ExternalUrl "http://mail.itproblog.ru/powershell"

Последним шагом конфигурируем виртуальную директорию веб-сервисов:

Get-WebServicesVirtualDirectory -Server MBX03 | Set-WebServicesVirtualDirectory -InternalUrl "https://mail.itproblog.ru/EWS/Exchange.asmx" -ExternalUrl "https://mail.itproblog.ru/EWS/Exchange.asmx"

Get-WebServicesVirtualDirectory -Server MBX04 | Set-WebServicesVirtualDirectory -InternalUrl "https://mail.itproblog.ru/EWS/Exchange.asmx" -ExternalUrl "https://mail.itproblog.ru/EWS/Exchange.asmx"

Настройка виртуальных директорий для серверов Exchange 2016 завершена.

Конфигурирование Outlook Anywhere

Первоначальная настройка Exchange 2016 также включает в себя настройку пространства имен для Outlook Anywehere (OA). OA позволяет клиентам Outlook подключаться к своим почтовым ящикам за пределами локальной сети (без использования VPN).

Проверим текущие настройки AO для первого сервера Exchange 2016:

Get-OutlookAnywhere -Server MBX03 | fl *host*

Как можно увидеть на скриншоте выше пространство имен OA отличается от нашего пространства имен mail.itproblog.ru. Скорректируем его для обоих серверов Exchange 2016:

Get-OutlookAnywhere -Server MBX03 | Set-OutlookAnywhere -InternalHostname "mail.itproblog.ru" -ExternalHostname "mail.itproblog.ru" -ExternalClientsRequireSsl $true -ExternalClientAuthenticationMethod NTLM -InternalClientsRequireSsl $true

Get-OutlookAnywhere -Server MBX04 | Set-OutlookAnywhere -InternalHostname "mail.itproblog.ru" -ExternalHostname "mail.itproblog.ru" -ExternalClientsRequireSsl $true -ExternalClientAuthenticationMethod NTLM -InternalClientsRequireSsl $true

Настройка Outlook Anywhere завершена.

Переименование и перемещение баз данных

Перед настройкой Database Availability Group нам нужно будет выполнить некоторые подготовительные работы:

1. Дать более понятное имя почтовым базам.
2. Переместить файлы почтовых баз на отдельный выделенный диск.

Сейчас у нас по одной на каждом сервере Exchange 2016. Посмотреть их мы можем следующим командлетом:

Get-MailboxDatabase

Переименование почтовой базы состоит из двух шагов: переименование объекта базы данных в конфигурации и переименование физических файлов на системе хранения.

Сначала переименуем наши почтовые базы в конфигурации:

Get-MailboxDatabase -Identity "Mailbox Database 0974770101" | Set-MailboxDatabase -Name DB03
Get-MailboxDatabase -Identity "Mailbox Database 1626184921" | Set-MailboxDatabase -Name DB04

Однако, физические файлы базы все еще называются старым именем, которое было присвоено мастером установки:

Мы совместим процесс переименование физических файлов почтовой базы и процесс переноса физических файлов почтовой базы на отдельный выделенный диск. В нашем случае необходимо выполнить следующий командлет на первом сервере Exchange 2016 (MBX03):

Move-DatabasePath -Identity DB03 -EdbFilePath e:DB03db03.edb -LogFolderPath e:DB03

Нас предупредят о том, что на время переноса почтовая база будет недоступна:

Теперь наша почтовая база расположена на нужном нам диске и наименована так, как мы и просили:

Выполним аналогичный командлет на втором сервере Exchange 2016 (MBX04):

Move-DatabasePath -Identity DB04 -EdbFilePath e:DB03db04.edb -LogFolderPath e:DB04

Переименование и перемещение почтовых баз завершено.

Создание группы высокой доступности

Последним подготовительным шагом для наших серверов Exchange 2016 станет процесс создания группы высокой доступности (Database Availability Group – DAG).

Высокоуровнево процесс создания группы высокой доступности состоит из следующим шагов:

1. Создание группы высокой доступности в конфигурации.
2. Добавление почтовых серверов в группу высокой доступности.
3. Настройка дополнительных копий почтовых баз.

Database Availability Group в основе своей использует Windows Server Failover Clustering. Поскольку наши сервера версии Windows Server 2012, то нам будет достаточно реакции Standard. Для Windows Server 2016 также будет достаточно редакции Standard.

Важный момент – поскольку у нас всего два почтовых сервера, то кворум они собрать не смогут и им нужен сервер свидетель. Поскольку размещать свидетеля на контроллере домена далеко не самая хорошая практика (даже в тестовой среде), то мы подготовим отдельный сервер – SRV01.

Более подробно про кворумы можно почитать в документации на сайте Microsoft.

Подготовка сервера свидетеля

Наш новый сервер будет рядовым сервером в домене. Назовем его SRV01. Операционная система – Windows Server 2012 R2.

С сервером SRV01 нам необходимо выполнить следующие действия:

1. Установить и выполнить первоначальную настройку Windows Server 2012 R2.

2. Выполнить настройку IP-адресации (10.10.10.164).

3. Установить все обновления для ОС.

4. Присоединить сервера к домену itproblog.ru.

5. Добавить группу Active Directory “Exchange Trusted Subsystem” в группу локальных администраторов.

Создание группы высокой доступности в конфигурации

Первый шаг создания DAG на сервере Exchange 2016 – создание объекта группы высокой доступности в конфигурации Exchange. Создадим группу высокой доступности:

New-DatabaseAvailabilityGroup -Name DAG02 -WitnessServer SRV01.itproblog.ru

Если при создании группы высокой доступности Exchange будет ругаться на то, что он не может создать директорию на сервере свидетеле, как показано ниже:

В таком случае вам необходимо либо отключить брандмауэр на сервере свидетеле, либо включить следующие правила брандмауэра:

Добавление почтовых серверов в группу высокой доступности

После того, как мы создали группу высокой доступности необходимо добавить в неё оба наших почтовых сервера.

Добавим первый сервер:

Add-DatabaseAvailabilityGroupServer -Identity DAG02 -MailboxServer MBX03

В процессе добавления почтового сервера в группу высокой доступности будут установлены все необходимые дополнительные компоненты, в т.ч. Windows Server Failover Clustering.

Теперь добавим в группу высокой доступности второй почтовый сервер:

Add-DatabaseAvailabilityGroupServer -Identity DAG02 -MailboxServer MBX04

Посмотрим теперь на нашу группу высокой доступности:

Get-DatabaseAvailabilityGroup -Identity DAG02

Мы видим, что оба наших сервера представлены в колонке “Member Server”, т.е. оба сервера были успешно добавлены в группу высокой доступности.

Настройка дополнительных копий почтовых баз

Мы создали группу высокой доступности, добавили в неё оба почтовых сервера, но это еще не обеспечивает нам никакой защиты наших почтовых баз. Чтобы наши почтовые базы были доступны в случае потери почтового сервера, на котором они расположены необходимо настроить дополнительные копии почтовых баз. Займемся этим.

Основная суть в том, чтобы, например, для почтовой базы DB03, которая расположена на сервере MBX03, создать дополнительную копию на сервере MBX04. В случае выхода из строя сервера MBX03, почтовая база DB03 будет автоматически активирована на сервере MBX04. Аналогичное справедливо и для почтовой базы DB04 на сервере MBX04.

Создадим дополнительную копию почтовой базы DB03 на сервере MBX04. Выполним следующий командлет:

Add-MailboxDatabaseCopy -Identity DB03 -MailboxServer MBX04

Теперь создадим дополнительную копию почтовой базы DB04 на сервере MBX03. Выполним следующий командлет:

Add-MailboxDatabaseCopy -Identity DB04 -MailboxServer MBX03

Первоначальная настройка Exchange 2016 Database Availability Group завершена, но еще давайте посмотрим в конфигурацию дополнительных копий баз данных:

Get-MailboxDatabaseCopyStatus -Server MBX03
Get-MailboxDatabaseCopyStatus -Server MBX04

Мы видим, что для почтовой базы DB03 создано две копии:

1. На сервере MBX03. Это основная копию и её статус “Mounted”, т.е. она смонтирована на сервере MBX03, т.к. в соответствующей колонке “Status” для сервера MBX03 указано значение “Mounted”.
2. На сервере MBX04. Это дополнительная копия, т.к. в соответствующей колонке “Status” для сервера MBX04 указано значение “Healthy”. В случае непредвиденной аварии сервер MBX04 готов подхватить базу.

Нулевые значения в колонках “Copy Queue Length” и “Replay Queue Length” говорят о том, что почтовая база успешно реплицируется между серверами MBX03 и MBX04.

Настройка группы высокой доступности завершена.

Заключение

Первоначальная настройка Exchange 2016 завершена. Мы импортировали и привязали сертификаты, настроили виртуальные директории. Дополнительно мы сконфигурировали группу высокой доступности для отказоустойчивое работы наших новых почтовых баз.

Теперь у нас все готово для начала процесса переключения всего траффика электронной почты, HTTP/HTTPS трафика на почтовые сервера Exchange 2016 с последующей миграцией непосредственно почтовых ящиков. Этим мы и займемся в следующий раз.