הגדרות שרת Exchange אתה חייב לקבל נכון

מיקרוסופט השקיעה מיליוני דולרים ב- Azure וב- Office 365, ומתחרותיה עוקבות אחר הצעות ענן ציבוריות בתום לב. אך פתרונות ענן ציבוריים אינם מתאימים לכל אחד. לארגונים של פסים רבים יש סיבות לגיטימיות לכך שהם לא רוצים את הנתונים המוגבלים שלהם במערכות שאינם בשליטתם הכוללת.

עבור רבים מהישויות הללו, שרת Exchange מקומי הוא חובה להעביר הודעות. מיקרוסופט ממשיכה לעדכן את התוכנה בהבטחה שכל שיפורים שיבוצעו בערימה מבוססת הענן שלה יזלגו בסופו של דבר. יותר ויותר, תכונות אלה מוסיפות שכבות של מורכבות למשימה המרתיעה שכבר מפעילה מערכת העברת הודעות ברמה ארגונית. קל ללכת לאיבוד כשעוברים על תכנון קיבולת חומרה, מגדירים DAGs (קבוצות זמינות מסדי נתונים) וגמישות אתרים, מגדירים את ניתוב הדואר ומוודאים שהמשתמשים שלך יכולים להתחבר למערכת.

עם זאת, הנה כמה פרטים שאתה בהחלט חייב לקבל ממש לפני שאתה פותח את הדלתות לסביבת המסרים החדשה שלך.

קיבולת

לפני שתוריד אפילו את שרת Exchange, תהיה לך מושג טוב בכמה משתמשים המערכת שלך תצטרך לתמוך, בכל ההסכמים ברמת השירות שיש לך, וכמה זמן חלון התאוששות מאסון יצטרך הארגון שלך. אלו נושאים עמוקים מאוד שהם הרבה מעבר לתחום מאמר זה, אך מיקרוסופט מספקת כמה כלים שיעזרו לך לתכנן זאת.

ראשית, מאמר המלצות הגודל והתצורה של Exchange 2013 ב- TechNet. זה יעבור אותך דרך היסודות כגון ליבת מעבד Active Directory ליחסי מעבד לשרת תיבת דואר, תצורת רשת, תיקונים חמים של Windows Server ותצורה של קבצי דף. אם אתה מכיר את Exchange Server 2010, תוכל להבחין בכמה שינויים המודגשים במאמר זה להגדרת תצורה של Exchange 2013, כגון שאינך ממליץ עוד על רשת נפרדת לשכפול.

לאחר שהכרתם את המלצות הליבה, הגיע הזמן לצלול לתכנון יכולות. הבלוג של צוות Exchange הוא מקור נהדר למידע לכך, והקבוצה פרסמה מבט מקיף כיצד לגודל נכון את הסביבה שלך. אל תרתע מהנוסחאות המתמטיות - מחשבון גודל זמין להורדה שיעזור לך להקל על התהליך.

כמה טיפים של TL; DR:

  • אל תתעסק עם הגדרות RAID עבור אמצעי האחסון שלך במסד הנתונים. זהו בית ספר ישן ואינו נחוץ עוד עקב שיפורי ביצועים ב- Exchange. JBOD הוא בסדר, מיוחד כאשר משתמשים ב- DAG לזמינות גבוהה.
  • השתמש בליבת מעבד Active Directory אחת לכל שמונה ליבות מעבד של תיבת דואר.
  • אל תשתמש בשרשור יתר בשרתי תיבות דואר פיזיות.
  • הגדר צגי ביצועים עבור מדדים קריטיים כגון משך שאילתת AD, IOPS בדיסקי מסד הנתונים שלך, ואימות של כל מסד הנתונים של AD יכול להתאים ל- RAM.

ניתוב דואר

הכל מותקן אצלך. מאגרי המידע שלך משכפלים. העומסים שלך מאוזנים. מעקב אחר הביצועים. עכשיו הגיע הזמן לעבור למעשה להעביר דואר למערכת שלך.

דומיינים מקובלים ומדיניות כתובות דוא"ל

ודא שכל הדומיינים שלך רשומים עם סוג הדומיין המתאים תחת זרימת דואר> דומיינים מקובלים, ודומיין ברירת המחדל שלך נכון. אם אתה מתכוון להשתמש במדיניות כתובות דוא"ל, זה זמן טוב לבדוק אותן כדי לוודא שנבחרו הדומיינים והפורמט של שם המשתמש הנכון. תוכל לעשות זאת תחת זרימת דואר> מדיניות כתובות דוא"ל.

DNS

כמו ב- Office 365, עליך להגדיר את רשומות ה- DNS שלך כהלכה לפני שהדואר יכול לנתב למערכת שלך או שלקוחות יכולים לגלות אוטומטית את ההגדרות שלהם. זה קצת יותר קשה לפתרונות מקומיים מכיוון שתצטרך להגדיר כללי חומת אש כדי לאפשר יציאה 25 נכנסת לשרתי התחבורה הקדמיים או לקצה שלך בהתאם לתצורה הספציפית שלך.

ראשית יהיה עליך ליצור רשומת A עבור כתובת ה- IP של ה- MTA שלך (סוכן העברת הודעות). לדוגמה, אנו משתמשים ב- mail.exampleagency.com במעבדה שלנו. ברגע שרשומת ה- A נמצאת במקום, צור רשומת MX ​​המצביעה עליה. ספק אירוח ה- DNS שלך אמור להיות בעל תיעוד הולם בכדי לכסות את יצירת הרשומות הללו.

לצורך גילוי אוטומטי, יהיה עליך ליצור רשומת A לכתובת ה- IP של שרת הגישה ללקוח שלך, או אם זהה ל- MTA שלך, רשומת CNAME המפנה אליו. שוב, עבור המעבדה שלנו אנו משתמשים רשומת CNAME של הצבעה utodiscover.exampleagency.com כדי mail.exampleagency.com מאז ששניהם משתמשים באותה כתובת IP. נדרש כי הרשומה הזו תהיה autodiscover.yourdomain.tld מכיוון שכך גילוי אוטומטי של Outlook יחפש אותה.

מחברים

בניגוד ל- Office 365, אותו סקרנו במאמר קודם, Exchange המקומי אינו יוצר עבורך באופן אוטומטי מחבר שליחה. לשם כך, פתח את EAC (Exchange Admin Center) ונווט אל זרימת הדואר> שלח מחברים. מחבר בסיסי ישלח רק לאינטרנט באמצעות רזולוציית DNS.

אם אתה משתמש בשער העברת הודעות של צד שלישי כגון Mimecast, תגדיר זאת כמחבר מותאם אישית. זה גם המקום שבו תגדירו כל חיבורי TLS שנאכפו ל- MTA אחרים. למשל, בנק אוף אמריקה דורש חיבורי TLS מאולצים עבור הספקים שלו. לשם כך תצטרך להשתמש במחבר שותף.

זו גם הזדמנות טובה לבדוק את המחברים שקיבלתם. כאן תוכלו להגדיר גודל מקסימלי של הודעות נכנסות (ברירת המחדל היא 35MB - זכרו לקחת בחשבון את התקורה המקודדת של קידוד MIME בערך 33 אחוז), בין אם לאפשר רישום חיבורים, הגדרות אבטחה כגון TLS נאכף והגבלות IP.

גישה ללקוח

מוגדרת ניתוב הדואר הבסיסי ותוכל לשלוח ולקבל דוא"ל. עכשיו אתה צריך לחבר לקוחות למערכת שלך כדי שהם יוכלו להשתמש בה בפועל.

תעודות

עם Office 365, מיקרוסופט משתמשת במרחב שמות משלה עבור גילוי אוטומטי של Outlook, יישום האינטרנט של Outlook וקישוריות SMTP באמצעות TLS. ככזו, מיקרוסופט משתמשת באישורים משלה. עבור Exchange מקומי, תצטרך לרכוש אישורים חדשים מ- CA מהימן כדי לאפשר קישוריות מאובטחת מהימנה למערכות שלך.

למרבה המזל, מיקרוסופט הפכה את התהליך לקל לביצוע. כדי להתחיל, פתח את EAC ונווט אל שרתים> אישורים. הוסף אישור חדש ובחר ליצור בקשה. אשף יפתח וינחה אותך בתהליך. תינתן לך האפשרות לבחור את הדומיין שלך לכל סוג גישה. בדוגמה זו השתמשתי בעיקר ב- webmail.exampleagency.com לכל דבר.

לאחר שתסיים את האשף, קח את קובץ בקשת האישור שלך והעלה אותו לרשות האישורים המועדפת עליך (השתמשנו ב- GoDaddy). לאחר מכן תקבל את האישור בצורה של קובץ CER. כל שעליך לעשות הוא ללחוץ על השלם ולייבא את קובץ ה- CER כדי לייבא את האישור ולהפעיל אותו בסביבתך.

ספריות וירטואליות

כעת לאחר שהתקנת האישור שלך, הגיע הזמן לומר ל- Exchange באילו תחומים להשתמש עבור אילו שירותים. נווט לשרתים> ספריות וירטואליות. מכאן, עליך להגדיר גישה חיצונית לכל אחד. בדוגמה זו, הגדרנו את הספרייה הווירטואלית של OWA לשימוש ב- webmail.exampleagency.com.

ישנם נושאים מורכבים יותר שניתן לדון בהם, כגון מערכי גישה ללקוחות ואיזון עומסים, אך עדיף להשאיר אותם לבדיקה מעמיקה יותר ממאמר זה. למידע נוסף, עיין בתיעוד של שרת Exchange של מיקרוסופט ב- TechNet.

אבטחה ותאימות

למרות שהנתונים שלך אינם בענן ציבורי, אתה עדיין צריך לשקול היטב אבטחה. בתור התחלה, וודא שאתה מחיל עדכונים שוטפים הן על Windows Server והן עבור Exchange Server. אותה עצה לגבי חשבונות מנהל חלה גם כן; השתמש תמיד בחשבונות מנהל נפרדים מחשבונות רגילים.

עליכם לשמור על גישה למשימות ניהוליות מוגבלות לרשתות פנימיות או רשתות VPN אלא אם אתם מתכוונים לאפשר צורה כלשהי של אימות מולטי-פקטור באמצעות מוצרי צד שלישי כגון RSA SecurID.

ודא שיש לך מדיניות הגיונית בנושא סיסמאות. ההנחיות לכך לא מפסיקות להשתנות, אך אנו חלקים מהרעיון החדש יותר של שימוש בסיסמאות ארוכות יותר ולא בסיסמאות מורכבות יותר. במעבדה שלנו אנו דורשים מהמשתמשים סיסמאות בעלות 14 תווים - פחות דרישות מורכבות - שתוקפן יפוג כל 90 יום.

עליכם גם לשקול אם עליכם להגביל שליחת מידע רגיש באמצעות דוא"ל כמו מספרי ביטוח לאומי ומספרי כרטיסי אשראי. באפשרותך להגדיר הגבלות אלה תחת ניהול תאימות> מניעת אובדן נתונים. מיקרוסופט מספקת מספר תבניות שניתן להשתמש בהן בכדי לעזור לך להתחיל לפעול במהירות. בדוגמה זו, אני משתמש בתבנית FTC בארה"ב להגבלת שליחת מספרי כרטיסי אשראי.

מחשבות על תוכנות אחרות

אם עקבת עד כה, בתקווה שיש לך מערכת Exchange מקומית עובדת. עכשיו אתה צריך להגן עליו, לגבות אותו ובדרך כלל לוודא שהוא יישאר מקוון.

לפתרונות אנטי-וירוס, תרצה גם חבילת אנטי-וירוס בזמן אמת, כמו גם חבילה שסורקת הודעות במעבר. מיקרוסופט מספקת רשימה של אי הכללות נדרשות הן לבקרי תחום Active Directory והן למערכות Exchange Server. הקפד לעקוב אחר ההמלצות של מיקרוסופט ולא להסתמך על ספק האנטי-וירוס שלך שיישם אותן באופן אוטומטי עבורך. ראיתי יותר מדי חבילות אנטי-וירוס רומסות קבצי יומן רישום של תיבות דואר מחוץ לקופסה כדי לסמוך עליהם שיעשו את זה בשבילך.

אתה צריך גם לשקול את סוג שיטות הגיבוי והשחזור שאתה רוצה לתמוך בו. האם אתה מגבה לדיסק או קלטת? האם אתה זקוק לשחזור גרעיני (שהוא הרבה יותר עתיר משאבים ממה שהוא שווה בדרך כלל)? כמה רחוק צריך לגבות את הגיבויים שלך? יש הרבה שאלות שתצטרך לשאול את עצמך, את הצוות שלך ואת ההנהלה העליונה.

שיקולים אחרים של מוצרים כוללים מניעת אובדן נתונים, תוכנות נגד ספאם וארכיון דוא"ל. במקרים מסוימים, כל זה יכול להיכלל בחבילה אחת. אך וודא שהוא מאושר לעבודה עם Exchange Server 2013 ויש לו תמיכה מספקת מספקת. אינך רוצה לקנות מוצר רק כדי לגלות שהוא נבנה עבור Exchange Server 2007 ויש לו תמיכה בדוא"ל בלבד.

מחשבות אחרונות

לבסוף, דאגו להכין שיעורי בית. בדוק כדי לוודא שהארגון שלך לא צריך לעקוב אחר חוקים ספציפיים לצורך שמירת נתונים, מניעת אובדן נתונים או גישה לנתונים. בצע גיבויים ושחזור על בסיס קבוע. השתמש בקובץ הבדיקה EICAR כדי לוודא שתוכנת האנטי-וירוס פועלת כהלכה. בדוק באופן שגרתי את צגי הביצועים שלך כדי לוודא שאתה לא צריך לאזן מחדש DAG או להוסיף בקר תחום. אה, ועוד דבר: ללמוד לאהוב את PowerShell.

הפעלת שרת Exchange מקומי היא הרבה יותר מסובכת מאשר פשוט להירשם ל- Office 365, אך יש לך הרבה יותר שליטה ומקבלת חוויה מתגמלת הרבה יותר כמקצוען IT. בתקווה שמאמר זה נתן לך לפחות סקירה טובה של האפשרויות שלך ומה שאתה בהחלט צריך לעשות כשאתה מגדיר שרת Exchange מקומי. כל ארגון שונה, והנחיה זו עשויה להיות מחוץ לסימן התרחיש שלך. עם זאת, זה אמור להספיק עבור רוב מנהלי ה- IT של עסקים קטנים המעוניינים להקים מהירות.

מאמרים קשורים

  • הכוח של PowerShell: מבוא למנהלי Exchange
  • הורדה: מדריך מהיר: כיצד לעבור ל- Office 365
  • הורדה: Microsoft Office 365 לעומת Google Apps: המדריך האולטימטיבי
  • 5 הגדרות מנהל מערכת של Office 365 חייבות להיות נכונות
  • 10 כלים של צד שלישי שיתאימו לצרכי Office 365 שלך
  • עשרה מכשירי הגירה גדולים של Office 365 שיש להימנע מהם
  • כיצד להעביר את שרת Exchange שלך ​​ל- Office 365