четверг, 15 ноября 2012 г.

Установка Exchange Server 2013 – часть 3 [настройка]

Exchange_2013Продолжаю цикл статей под названием Установка Exchange Server 2013. Сейчас уже становиться понятно, что название для цикла было выбрано неудачно. Цикл следовало бы назвать “Внедрение Exchange 2013” т.к. я собираюсь рассмотреть все аспекты и затронуть все темы, от предварительной подготовки, до окончательной настройки, почтового потока.






ВНИМАНИЕ: Если Вы испытываете проблемы с установкой или настройкой Exchange, то можете обратиться за помощью в бесплатную службу поддрежки support@danshin.ms



На данный момент было написано две статьи:
В них было рассказано о том как подготовить сервер к установке Exchange 2013 и описан сам процесс установки.

Дополнительно рекомендую внимательно изучить статью:
В ней приведена информация, которая поможет Вам сократить время в некоторых ситуациях.

После установки Microsoft Exchange Server 2013 в Вашей организации, вам нужно настроить почтовый поток и доступ для клиентов в Exchange Server 2013 . Без этих дополнительных шагов, вы не сможете отправлять почту в Интернет и внешние клиенты, такие как Microsoft Office Outlook и ActiveSync устройства не смогут подключиться к вашей организации Exchange.

В этой статье предполагается, что Exchange развернут как описано в вышеприведенных статьях, с одним сайтом Active Directory и одним пространством имен Simple Mail Transport Protocol (SMTP).
В этом примере я использую следующие настройки:
    • DNS-имя домена corp.contoso.com,
    • NetBIOS имя домена: corp
    • Внешнее имя сайта: mail.danshin.ms
    • IP-адрес сервера 172.21.0.38.
 Вы можете заменить их на те, что используются в Вашей организации.
В будущих статьях я более подробно рассмотрю все, что связано с почтовым потоком и клиентским и мобильным доступом. Сейчас ограничусь лишь той информацией которой будет достаточно для первоначальной настройки.

Введение

  • Предполагаемое время для выполнения этой задачи: 35 минут
  • В каждой организации должен быть установлен минимум один Client Access сервер и один Mailbox сервер. Все роли могут быть установлены на одном сервере. Однако если Вы планируете разделять роли, то рекомендуется сначала устанавливать Mailbox сервер.
  • В Exchange 2013 не требуется установка Client Access в каждом сайте Active Directory где установлен Mailbox. Например Вы можете установить Mailbox в сайт без выхода в Internet и направлять почту через Client Access сервер установленный в Active Directory сайте с выходом в Internet.
  • Вы будете получать предупреждения сертификата при подключении к вебсайту при помощи Exchange Administration Center (EAC) , до тех пор пока вы не настроите сертификат Secure Sockets Layer (SSL) на сервере клиентского доступа. Как это сделать будет показано позже, в этой статье.
  • Для получения информации о сочетаниях клавиш, которые могут применяться к процедурам в этой статье см. Keyboard Shortcuts in Exchange 2013.
tipПодсказка:
В случае возникновения проблем Вы можете обратиться на форум: Exchange Server или написать мне на адрес эл. почты mdanshin@gmail.com


Что осталось за рамками статьи

  • В этой статье я не стал подробно рассматривать как создавать DNS записи. Уверен, что Вы сами сможете это сделать. Я указал лишь какие записи должны быть созданы.
  • Весь пример основан на том, что мы настраиваем внутренний сервер. Проброс данного сервера в Internet выходит за рамки данной статьи. Для того чтобы почта принималась снаружи Вам самим придется позаботиться о том, как вывести сервер в Internet . Я только покажу как сделать необходимые настройки на сервере.
  • В статье не приводится подробных сведений о SSL сертификатах и о том как они работают. Приводятся лишь конкретные инструкции, которые нужно выполнить для настройки сертификатов в Exchange 2013. При этом предполагается, что вы хоть раз делали самоподписной сертификат или заказывали и устанавливали сертификат от стороннего поставщика.

Что нужно сделать

  • Шаг 1: Создать соединитель отправки (Send connector)
  • Шаг 2: Добавить дополнительные принимаемые домены (accepted domains)
  • Шаг 3: Настроить почтовую политику по умолчанию (default email address policy)
  • Шаг 4: Настроить SSL сертификат (SSL certificate)
  • Шаг 5: Настроить внешние имена (external URLs)
  • Проверить работоспособность 

Шаг 1: Создать соединитель отправки (Send connector)

Чтобы отправлять почту в Internet Вам нужно создать соединитель отправки (Send connector). Для этого сделайте следующее.

1. Откройте Internet Explorer и пройдите по адресу “https://(fully qualified domain name (FQDN) of Client Access server)ECP”, где FQDN – это полное имя компьютера. В моем примере ссылка выглядит так “https://hq-ib-dan-01.corp.contoso.com/ecp
imageВАЖНО:
Если Вы получите следующее сообщение:
To use Outlook Web App, browser settings must allow scripts to run. For information about how to allow scripts, consult the Help for your browser. If your browser doesn't support scripts, you can download Windows Internet Explorer for access to Outlook Web App.

то проще всего добавить сайт в доверенные, но вообще нужно разрешить выполнение скриптов.



2. Введите логин и пароль и нажмите “sign in”.

3. Перейдите в Mail flow - Send connectors. На странице Send connectors нажмите Add (Add Icon).
image

4. В открывшемся окне New send connector впишите имя Вашего соединителя (Send connector) и выберите опцию Internet. Затем нажмите Next.
image

5. Убедитесь, что выбрана опция “MX record associated with recipient domain” и нажмите Next.
image

6. В разделе Address space, нажмите AddAdd Icon. В открывшемся окне Add domain убедитесь, что в поле Type написано SMTP. В поле Fully Qualified Domain Name (FQDN) введите символ * (звездочка), а затем нажмите Save.
image

7. Убедитесь, что поле “Scoped send connector” не выбрано и нажмите  Next.

8. В поле Source server нажмите AddAdd Icon. В открывшемся окне выберите сервер с ролью Mailbox который будет использоваться для отправки почты в интернет через сервер с ролью Client Access. В нашем примере всего один сервер – его и выбираем. После этого нажмите кнопку “Add“, а затем OK.
image

9. Теперь нажмите Finish.
Примечание:
После установки Exchange 2013 был создан принимающий соединитель по умолчанию (default inbound Receive connector). Этот соединитель принимает анонимные SMTP соединения от внешних серверов. Вам не требуется делать никаких дополнительных настроек. Если Вы хотите ограничить подключение от внешних серверов Вам следует изменить коннектор “Default Frontend (имя_сервера)“ на сервере клиентского доступа (Client Access server). 
image
  

Как убедиться, что все работает?


Чтобы убедиться в том, что Вы правильно создали соединитель отправки (outbound Send connector) сделайте следующее:

1. В EAC убедитесь, что новый соединитель появился в разделе Mail flow - Send connectors.
2. Откройте Outlook Web App и отправьте почтовое сообщение внешнему получателю. Если Ваше сообщение было получено, то Вы сделали все правильно!
Шаг 2: Добавить дополнительные принимаемые домены (accepted domains)
После того как вы развернули Ваш новый Exchange 2013 в организации, в качестве принимающего домена Exchange использует имя домена Active Directory. Если Вы хотите, чтобы Выши пользователи имели возможность принимать почту для других доменов или отправлять от их имени Вы должны добавить эти домены как “принимаемые домены” (accepted domain). Этот домен также добавляется как  основной SMTP адрес (primary SMTP address ) в политику почтовых адресов по умолчанию (default email address policy) на следующем шаге.
Важно: Внешняя  MX запись требуется для каждого SMTP домена для которого Вы собираетесь принимать почту из Интернет. Каждая MX запись должна разрешать внешний сервер, который будет принимать почту в Вашей организации.

1. Откройте Internet Explorer и пройдите по адресу “https://(fully qualified domain name (FQDN) of Client Access server)ECP”, где FQDN – это полное имя компьютера. В моем примере ссылка выглядит так “https://hq-ib-dan-01.corp.contoso.com/ecp
image 
2. Введите логин и пароль и нажмите “sign in”.
3. Перейдите в раздел Mail flow - Accepted domains. На странице Accepted domains нажмите AddAdd Icon.
4. В окне New accepted domain введите имя нового принимаемого домена.
5. В поле Accepted domain введите SMTP имя принимаемого домена. Например danshin.ms.
6. Выберите опцию Authoritative domain и нажмите Save.
image 

Чтобы убедиться, что все выполнено правильно удостоверьтесь, что новый принимаемый домен появился в Mail flow - Accepted domains.

Шаг 3: Настроить почтовую политику по умолчанию (default email address policy)

Если Вы добавили новый принимающий домен, как показано в предыдущем шаге, и Вы хотите, чтобы этот домен был добавлен каждому Вашему получателю в качестве основного SMTP адреса, для этого нужно изменить политику почтовых адресов по умолчанию (default email address policy).

1. Откройте Internet Explorer и пройдите по адресу “https://(fully qualified domain name (FQDN) of Client Access server)ECP”, где FQDN – это полное имя компьютера. В моем примере ссылка выглядит так “https://hq-ib-dan-01.corp.contoso.com/ecp

2. Введите логин и пароль и нажмите “sign in”.

3. Перейдите в раздел  Mail flow - Email address policies. В окне Email address policies выберите Default Policy и нажмите EditEdit Icon.
image

4. На странице Default Policy Email Address Policy нажмите Email Address Format.

5. В разделе Email address format, выберите SMTP адрес который Вы хотите изменить и нажмите EditEdit Icon.

6. На странице Email address format, в поле Email address parameters, введите SMTP домен который Вы хотите использовать для всех получателей в организации. Этот домен должен совпадать с тем, что Вы создали в предыдущем шаге. Затем нажмите Save.
image

7. В окне Default Policy нажмите Save

8. В окне дополнительных параметров Default Policy нажмите Apply.
image
noteНа заметку: Мы рекомендуем Вам настроить каждому пользователю user principal name (UPN) так, чтобы он совпадал с основным email адресом (primary email address). Если этого не сделать, то пользователю придется вручную добавлять domain\user name или UPN в качестве дополнительного email адреса. Если UPN совпадает с email адресом, то Outlook Web App, ActiveSync, и Outlook будут автоматически сопоставлять email адрес с UPN.


Как проверить, что все работает?

Чтобы проверит, что Вы успешно настроили политику почтовых адресов по умолчанию (default email address policy), выполните следующее:
  1. В EAC, перейдите в Recipients - Mailboxes.
  2. Выберите почтовый ящик, а затем в дополнительной панели (details pane) убедитесь, что поле User mailbox имеет значение вида (alias)@(new accepted domain).
image
ПРИМЕЧАНИЕ: Для того, чтобы я смог увидеть вступившие в силу изменения мне понадобилось нажать кнопку Refresh.
Дополнительно к этому Вы можете создать новый почтовый ящик и убедиться, что он получил то email который Вы настроили. Для этого сделайте следующее:

1. Перейдите в Recipients - Mailboxes и нажмите AddAdd Icon

2. На странице создания нового почтового ящика введите все необходимые данные и нажмите Save.
image

3. Выберите почтовый ящик, а затем в дополнительной панели (details pane) убедитесь, что поле User mailbox имеет значение вида (alias)@(new accepted domain).

Шаг 4: Настроить SSL сертификат (SSL certificate)

Некоторые сервисы, например Outlook Anywhere или ActiveSync, требуют установленного и настроенного сертификата на Вашем Exchange 2013 сервере. Далее показано как настроить сервер на работу с SSL сертификатом выпущенным сторонним производителем (third-party certificate authority (CA))

1. Откройте Internet Explorer и пройдите по адресу “https://(fully qualified domain name (FQDN) of Client Access server)ECP”, где FQDN – это полное имя компьютера. В моем примере ссылка выглядит так “https://hq-ib-dan-01.corp.contoso.com/ecp

2. Введите логин и пароль и нажмите “sign in”.
3. Перейдите в раздел Servers - Certificates. На странице Certificates убедитесь, что выбран Ваш Client Access сервер, в выпадающем списке Select server нажмите AddAdd Icon.
image

4. В открывшемся окне New Exchange certificate выберите Create a request for a certificate from a certification authority, и нажмите Next.
image

5. Введите имя для нового сертификата и нажмите Next.
image

6. Если Вы хотите запросить wildcard сертификат, то выберите пункт Request a wild-card certificate, а затем введите имя рутового домена (root domain) в поле Root domain. Если Вы не хотите заказывать wildcard сертификат, а хотите перечислить по отдельности каждый домен, который вы хотите добавить в сертификат, не ставьте галочку, а просто нажмите Next.
image

7. Нажмите Browse и выберите Exchange сервер на котором Вы хотите сохранить сертификаты. Сервер, который Вы выберите, должен быть внешним Client Access сервером и смотреть в интернет. Нажмите Next.
image
image

8. Для каждого сервиса в списке выберите внешнее или внутреннее имя сервера, которое будет использоваться для подключения пользователей. Например для Outlook Web App (when access from the Internet), Вы можете написать owa.danshin.ms. Для OWA (when access from the Intranet), можно написать hq-ib-dan-01.corp.contoso.com. Эти домены будут использоваться при создании запроса SSL сертификата. Теперь нажмите Next.
image

9. Добавьте любые дополнительные домены в SSL сертификат и нажмите Next.
image

10. Введите информацию о своей организации. Эта информация будет включена в SSL сертификат. Нажмите Next.
image

11. Введите сетевой путь где Вы хотите сохранить запрос на сертификат и нажмите Finish.
image

После сохранения запроса на сертификат, отправьте его в центр сертификации (certificate authority (CA)). Это может быть внутренний CA или сторонний центра сертификации. Клиенты, которые подключаются к серверу клиентского доступа должны доверять CA который выпустит Вам сертификат. После получения сертификата от центра сертификации, выполните следующие шаги:

1. В разделе Server - Certificates в EAC, выберите запрос на сертификат который был создан на предыдущем шаге.
  image

2. На панеле деталей нажмите Complete в разделе Status.
image

3. На странице complete pending request введите путь к вашему SSL сертификату и нажмите OK.
image

4. Выберите только что добавленный сертификат и нажмите EditEdit Icon.

5. В открывшемся окне нажмите Services.

6. Выберите сервисы для которых вы хотите назначить данный сертификат. Как минимум Вы должны выбрать SMTP и IIS. Затем нажмите Save.
image

7. Если Вы получите предупреждение Overwrite the existing default SMTP certificate?, нажмите OK.
image


Как убедиться, что все работает?

Чтобы убедиться, что вы успешно добавили новый сертификат сделайте следующее:
  1. В EAC, перейдите в раздел Servers - Certificates.
  2. Выберите новый сертификат, а затем на панели деталей убедитесь в следующем:
    • Status показан как Valid
    • Assigned to services показан как IIS и SMTP
image
 

Шаг 5: Настроить внешние имена (external URLs)

После того как Вы настроили внешний домен и установили сертификат Вам нужно настроить внешний домен на виртуальных каталогах (virtual directories) Client Access сервера. А затем создать DNS записи. Ниже показано как настроить одинаковые внешние домены на всех виртуальных каталогах. Если на какие-то каталоги Вы хотите настроить другие домены Вам нужно настроить внешние ссылки (external URLs) вручную. Для более подробной информации см. Virtual Directory Management.

1. Откройте Internet Explorer и пройдите по адресу “https://(fully qualified domain name (FQDN) of Client Access server)ECP”, где FQDN – это полное имя компьютера. В моем примере ссылка выглядит так “https://hq-ib-dan-01.corp.contoso.com/ecp

2. Введите логин и пароль и нажмите “sign in”.

3. Перейдите в Servers - Servers и нажмите Configure external access domain.
image

4. В разделе Select the Client Access servers to use with the external URL нажмите AddAdd Icon

5. Выберите Client Access сервер, который Вы хотите настроить и нажмите Add. После этого нажмите OK.
image

6. В поле Enter the domain name you will use with your external Client Access servers введите название внешнего домена и нажмите Save.
image
image

7. Перейдите в ServersServers выберите внешний Client Access сервер и нажмите EditEdit Icon.
image

8. Выберите Outlook Anywhere.

9. В поле Specify the external hostname укажите внешнее FQDN имя для Client Access сервера. Например mail.danshin.ms.
image

10. Нажмите Save.

После того как Вы настроили внешние URL на виртуальные директории Client Access сервера Вам нужно создать DNS записи для Autodiscover, Outlook Web App, и приема почты.

Следующий пример показывает как настроить рекомендованные DNS записи, которые необходимы для работы почтового потока и подключении внешних клиентов.

В данном примере я использую внутренний IP адрес. Но Ваши DNS записи должны указывать на внешний IP адрес Client Access сервера и использовать доступные из вне FQDN-ы, которые Вы настроили на своем Client Access сервере.

FQDN DNS record type Value
danshin.ms MX Mail.danshin.ms
Mail.danshin.ms A 172.21.0.38
Owa.danshin.ms A 172.21.0.38
Autodiscover.danshin.ms A 172.21.0.38
Как проверить, что все работает?

Чтобы убедиться, что Вы правильно настроили внешние URL на виртуальные директории Client Access сервера, выполните следующее:

1. В EAC перейдите в Servers - Virtual directories.
2. В поле Select server выберите внешний (Internet-facing) Client Access сервер.
3. Выберите виртуальную директорию, а затем на панели деталей убедитесь, что поле External URL содержит корректные сведения о FQDN, как показано ниже:

Virtual directory








External URL value
Autodiscover No external URL displayed
ECP https://mail.danshin.ms/ecp
EWS https://mail.danshin.ms/EWS/Exchange.asmx
Microsoft-Server-ActiveSync https://mail.danshin.ms/Microsoft-Server-ActiveSync
OAB https://mail.danshin.ms/OAB
OWA https://mail.danshin.ms/owa
PowerShell http://mail.danshin.ms/PowerShell
image  

Чтобы убедиться, что Вы правильно настроили DNS записи сделайте следующее:

1. Откройте командную строку и наберите nslookup.exe.

2. В nslookup найдите все А записи для каждого созданного Вами FQDN. Проверьте, что возвращается правильный IP адрес для каждого FQDN.

3. В nslookup введите set type=mx и найдите принимаемый домен, который Вы настроили на шаге 1.

Убедитесь, что возвращаемое значение совпадает с FQDN Client Access сервера.
image


Как проверить работу почты?

Чтобы убедиться, что Вы правильно настроили почтовый поток и доступ для внешних клиентов, сделайте следующее:

1. В Outlook или на устройстве с ActiveSync создайте новый профиль. Убедитесь, что профиль успешно создан.

2. В Outlook, или на мобильном устройстве отправьте новое сообщение на внешний почтовый ящик. Убедитесь, что сообщение получено.

3. Во внешнем почтовом ящике ответьте на полученное из Exchange сообщение. Убедитесь, что сообщение дошло до почтового ящика Exchange.

4. Зайдите на https://owa.danshin.ms/owa и удостоверьтесь, что Вы не получаете предупреждение о не доверенном сертификате.


На этом установка и настройка Exchange 2013 завершена.
Следующие статьи я собираюсь посвятить Правам. Рассказать о модели доступа Role Based Access Control (RBAC) и о том как делегировать права администраторам и пользователям.
   
clip_image002[6] Зеркало блога в Facebook https://www.facebook.com/Danshin.ms
Группа Facebook посвященная Exchange 2013 https://www.facebook.com/#!/groups/Exchange2013/