APP下载

(一)服务器部署实战

2019-06-28顾武雄

网络安全和信息化 2019年6期
关键词:命令名称邮件

俗话说天下大势合久必分,分久必合,Microsoft Exchange Server的内部网络架构设计从最早版本的Exchange 4.x/5.x一个服务器角色,演化成前后端(FE/BE)的两个服务器角色,后来到了Exchange Server 2007/2010时期则变成了四大服务器角色。来到了前一个版本Exchange Server 2013,则缩减成了两大服务器角色。

目前到了最新的Exchange Server 2016则又变回了只剩一个服务器角处理器是以x64为基础的服务器主机,CPU采用Intel 64或 AMD64,但并不支持Intel Itanium IA64。

内部的Mailbox Server至少要8GB以上的RAM,Edge Transport Server则需要4GB以上的RAM。

分页文件(Paging file)色,那就是Mailbox Server。不过有一项特色是打从Exchange Server 2007版本开始就没变过的,那就是企业IT可以选择是否要在DMZ网络区段,安装一部Edge Transport Server的服务器角色,来守护对外部Email收发的安全,包括了垃圾邮件与病毒邮件的筛选。

变回只剩一个内部服务器角色架构的优点是什么呢?当然第一项就是让IT人员在往后的部署与管理上简化了许多,不必像以往得耗费一方心思,来思考各服

系统安装

大小一般来说会将此设置成物理内存大小再加上10MB即可,不过最大至32778MB即可,即便您系统的物理内存已经超过32GB也是一样。

至少需30GB的剩余空间来安装Exchange Server,如果需要加装Unified Messaging的语言套件,则需务器角色的规划方式,更可以省去物理主机的安装成本。若是未来的安装选择将它部署在Azure云端服务,或是公司内部的Windows Server 2016的Hyper-v中,便能够让系统导入时的整体拥有成本降至最低。

想要接下来跟着笔者完成接下来的实战操作,您可以到Microsoft官方网站下载Exchange Server 2016的中文评估版,并且还可以将它安装在Windows 10专业版的Hyper-v虚拟机中来学习。要再增加500MB。

在Exchange Server文件存放的规划上,最佳做法是将NTFS的磁盘分区。与数据相关的事务历史记录文件、数据库文件以及内容索引文件,则建议存放在ReFS的文件系统分区之中,以获得最佳的数据访问经验。

安装设置指引

请将您从Microsoft官方网站下载的Exchange Server 2016的 镜像档(mu_exchange_server_2016_x64_dvd_7047456.iso),挂载至您准备好的虚拟机之中,或是将它刻录DVD放入置物理的服务器之中。

在此要特别提醒大家,目前不支持将Exchange 2016安装在Windows Server Core模式下的服务器,在这种情况下以Windows Server 2012 R2来 说,您必须先通过执行“Install-WindowsFeature Server-Gui-Mgmt-Infra, Server-Gui-Shell –Restart” 的PowerShell命令,来将它转换成完全安装的图型窗口作业模式,才能够继续。

在开启Exchange Server 2016的安装主页面之前,建议您先在Windows PowerShell命令窗口中,执行以下命令来完成相关必要Windows Server角色与功能的安装,如图1所示。

图1 安装必要Windows Server角色与功能

注意:基于安全与效能方面的考虑,强烈建议您将Exchange Server 2016安装在网域中的成员服务器,而不是安装在域控制器(DC)主机上。

在“建议设置”的页面中,则是可以自行决定是否要在发生错误时,自动检查在线是否有相关解决方案,并自动回馈给原厂以协助产品的改善设计。来到 “服务器角色选取”页面中,选择所要安装的服务器角色,在此内部服务器也只剩下一个邮箱角色可以选择,若想要一并自动安装相依的角色与功能组件,也可以在此进行勾选。

在“安装空间与位置”页面中,可以选定Exchange Server的安装路径,如果有较快的磁盘数组区,例如RAID 0+1、RAID 10或是SSD磁盘数组区,会建议您它选定在这一些磁盘路径下。

另外笔者认为较可惜的是,在这里的设置中并无法将程序与数据库的路径分开选定,只能在完成安装之后再来选择性进行调整。

接着可以决定是否要停用系统默认提供的恶意程序码防护功能,如果您已经事先准备好了其他第三方的集成产品,便可以在此勾选“是”。

一旦通过了整备检查之后,便可以开始进行安装了,完成安装作业之后请不要立即开启“Exchange系统管理中心”网站,而是先重新启动主机。

小提示:关于Exchange Server 2016邮箱服务器角色的安装,您也可以通过PowerShell界面,来执行Setup.exe /Mode:Install /Roles:Mailbox /IAcceptExchangeServerLicenseTe rms命令参数进行安装。

安装后的检查任务

成功完成安装与重新启动主机之后,我们必须通过一些简单的检查,来确定Exchange

Server的基本健康状态是没有问题的,然后才能开始陆续各种网络配置的配置,以及开始进行各类内外客户端的连接测试。

首先请从“服务器管理员”界面的“工具”下拉选单中,开启“服务”管理界面,在此必须确认所有已设置为“自动”类型的Microsoft Exchange服务都已经在正常执行中。

图2 检查已安装的Exchange Server

注意:在完成Exchange Server 2016在网域成员服务器上的安装之后,您将无法让此服务器通过DCPromo命令,转换成域控制器服务器。

接着可以开启“Exchange Management Shell”命令界面,然后如图2所示执行Get-ExchangeServer命令,来查看目前网域中的Exchange Server清单。在该例中可以看到笔者的网域中有两部新旧并存 的 Exchange Server,分别是Exchange Server 2010(Version 14.3)以及 Exchange Server 2016(Version 15.1)。未来我们可以完成升级迁移的作业,然后将旧版系统彻底在现行的网络环境之中移除。

紧接着执行Test-ServiceHealth命令,来查看所有的Exchange Server角色的服务是否都在正常运行之中。如果您只想检测选定的Exchange Server健康状态,只要搭配Server参数来选定服务器名称即可。

确定Exchange Server的相关服务执行皆正常之后,打开“Exchange系统管理中心”网站,并且以默认的系统管理员(Administrator)账号登录。最后输入所购买的Exchange Server 2016产品密钥。

DNS记录管理

如同一般的Mail Server一样,若想要提供给内外部的客户端可以进行连接,就必须预先在DNS服务器上创建好相对应的记录,以供各类客户端的连接。

一般来说我们会有两部DNS服务器,一部提供内部网络连接时的解析,一部提供Internet客户端连接时的解析使用。您可以选择将这两部DNS服务器皆安装在企业内部网络之中,或是让供Internet解析使用的DNS,使用ISP托管的服务也是可以的,不过必须注意的是最好内外网域的名称都是设置成一样,如此一来在后续证书与导向的管理上会简化许多。

您必须在内外部的DNS服务器都有相同的记录设置,这包括了网域的MX记录、Exchange Server的 A记录、OWA的别名设置、自动探索(Autodiscover)的记录设置,只是一组是对应内部IP地址,一组则是对应外部的IP地址。其中Autodiscover的记录,便是用来方便客户端,在无需输入Exchange Server地址的设置,即可找到其连接地址。

配置Exchange Server证书

Exchange Server对于连接的创建都是采用SSL加密连接完成,可以有效避免发送中的账号、密码以及各类信息遭到网络数据包分析工具的侧录。为此我们必须为Exchange Server创建专属的服务器证书。

登录Exchange系统管理中心网站,然后点击“服务器”节点的“证书”页面中。点击添加的图标后将会开启“添加Exchange证书”页面,选取“创建向证书授权单位索取证书的要求”,点击“下一步”继续。

如果目前Exchange Server 2016服务器正与旧版的Exchange Server 2013或Exchange Server 2010并存运行,那么证书也可以直接从这些服务器来汇出之后,再汇入至Exchange Server 2016中来使用。

接着必须输入一个易于识别的证书显示名称,然后在下一步页面中可以决定是否要使用通配符(*)方式来创建证书,点击“下一步”。

接着点击“浏览”按扭来挑选准备用来保存证书要求的 Exchange Server,点 击“下一步”。

接着为这个新申请的服务器证书设置相关组织名称等。在点选“下一步”之后,请输入一个UNC的共享路径来存放证书要求文件。此路径必须是允许Exchange Server计算机组所能够访问的共享路径,点击“完成”。

接下来开启刚刚产生的证书要求文件,并先复制好其完整内容。然后连接CA证书服务器的网站。在成功以系统管理员身份登录后,点击“要求证书”连接继续。

在要求证书页面中,点击“进阶证书要求”页面,在此点击“用Base-64编码的CMC或 ...” 链接,来到“提交证书要求或更新要求”页面,先将前面所复制好的证书要求内容,粘贴至“已保存的要求”字段之中,然后再从“证书模板”字段中挑选“Web服务器”并点击“提交”按钮。

最后将会开启“证书已发出”页面,请在选取“DER编码”的状态下,点击“下载证书”,即可保存新申请好的证书至本地。回到“Exchange系统管理中心”的“服务器”节点的“证书”页面中,然后在搁置的要求证书项上,点击“完成”连接。然后在“完成搁置的要求”页面中,输入新证书文件的UNC共享路径(例如:\Ex2016Sharecertnew.cer)并 点 击“确定”。最后点击编辑此证书的内容,然后在“服务”页面将所有要引用此证书的服务器服务勾选,一般来说至少有SMTP与IIS,点击“保存”。

正确设置虚拟目录

想要让Exchange Server 2016各个应用程序对内对外皆运行正常,就必须检查网站中相对的每一个虚拟目录设置是否正确。打开“服务器”中的“虚拟目录”页面,在此可以发现不同的虚拟目录名称,其实都有其不同用途,并且您可以来进行管理。

举例来说,您开启最常用的OWA虚拟目录内容,在“一般”页面中,可以发现它在默认的状态下,仅有设置“内部URL”的域值,并且其中的服务器完整名称(FQDN),是以主机的名称为主。在此您可能需要配合Exchange证书的设置,来修改其中的服务器完整名称,并同时完成“外部URL”的设置。

完成各个虚拟目录的内外部网址设置后,您可以回到“Exchange系统管理中心”网站,来开启其中几个虚拟目录的内容,查看一下其设置是否已经生效。其中OWA与ECP的完整服务器名称皆是一样的。

值得注意的是EWS虚拟目录,它的全名为Exchange Web Services,其用途主要除了是提供给Microsoft自家产品的进行集成应用之外(例如SharePoint Server),也可以提供给企业的其他应用程序来进行集成,像是在您的网站应用程序中,就可以取得Exchange人员日历的忙碌/空闲的信息。

发送连接器管理

Exchange Server 2016可以对于不同的外部网络创建不同的发送连接器设置,以管控Email发送时的路由与限制。

例如IT部门可以管控凡是寄送给某合作伙伴的网域,皆允许夹带30MB的附件文件,而其他网则只允许10MB大小的附件。

究竟要如何来配置这方面的设置,以及排除可能面临的实务问题呢?

图3 出现错误提示

请在“Exchange系统管理中心”页面中,点击至“发送连接器”页面,在默认的状态下并没有任何发送连接器的设置,如此一来将会造成内部人员互寄邮件正常,而内部的邮件无法寄送到外部的邮箱。但如果新安装的Exchange Server 2016是与现行的Exchange Server 2013或2010并存,这时候就必须要对连接器设置进行修改。

否则当内部寄往Internet的Email是通过旧版主机(例如Exchange Server 2010)的传输服务来发送时,而旧主机又在停机状态时,便会无法成功寄送。进一步若您在Exchange Management Shell界面中,执行“Get-Queue | Format-List”命令时,就会检测到在“Last Error”字段中出现了如图3所示的“primary target IP address:"Failed to connect"”错误信息,这表示目标的旧版Exchange Server 2010主机目前无法连接所致。

解决的办法就是在开启现行的发送连接器设置页面之后,开启至“范围”页面中,在来源服务器的区域中点击添加图标。紧接着在“选取服务器”页面中,便可以看到目前所有并存运行中的Exchange Server清 单,将新安装的Exchange Server 2016主机在选取后,点击“添加”按钮,再点击“确定”即可。

前面曾提到对于后续所创建的每一个发送连接器,皆可以设置不同的发送邮件大小限制,而它的设置位置就在“一般”页面中。

上述的例子我们以修改现行的发送连接器来做为操作讲解,这些操作通常是在新旧Exchange Server并存的环境中,所必须调整的设置。接着让我们点击添加图标来加入一项新设置吧。

首先请输入一个全新的发送连接器名称,然后选取“网际网络”类型。点击“下一步”。

一般来说会采用默认的“与收件者网域关联的MX记录”选项即可,但是某些企业IT会希望对于外部邮件的发送,也需要通过选定的邮件网关主机(例如Spam Server),以利于内部的审核政策,这时就需要改设置为“通过智能主机路由邮件”,然后再加入相关连接的地址至下方的智能主机列表之中即可。此外也必须注意所选定的智能主机本身,预先设置好允许此Exchange Server的邮件转送权限,点击“下一步”继续。

接着必须选定此发送连接器路由邮件的地址空间,一般来说我们会添加一笔网域为*的SMTP类型,如果有其他选定网域的邮件发送,后续需要额外设置选定的控管(例如邮件的大小限制),则可以在之后陆续添加不同的网域设置即可。

最后必须选定兼容并存 的Exchange Server来源服务器,如果有集成Edge Transport Server,则 可以在此加入其订阅。在这个例子中我们选定主机本身即可,点击“完成”。

当您完成所有发送连接器的设置之后,可以开启OWA或Outlook的连接,来对于所创建的每一个相对网络分别寄送一封测试邮件测试。然后紧接着可以开启“队列查看器”界面,来查看每一封测试邮件的路由情形。

若想通过Exchange Management Shell命令控制台,来查看最新的邮件队列信息,则可以执行Get-Queue命令即可。关于这个命令您可以执行在任一部的邮箱服务器或Edge Transport服务器之中。

猜你喜欢

命令名称邮件
基于James的院内邮件管理系统的实现
管理Windows10的PowerShell命令行使用记录
来自朋友的邮件
安装和启动Docker
一封邮件引发的梅赛德斯反弹
移防命令下达后
解析Windows10的内部命令
沪港通一周成交概况
沪港通一周成交概况
沪港通一周成交概况