Exchange Server2010系列之十三:高可用部署后的配置工作-阿里云开发者社区

开发者社区> 安全> 正文

Exchange Server2010系列之十三:高可用部署后的配置工作

简介:

 在前面我们利用NLB实现了CAS+HT角色的高可用,借助DAG技术实现了邮箱数据库的高可用。但如果要让Exchange真正跑起来还需要进行一些必要的设置。在本系统的第三篇文章中曾详细介绍了三合一角色部署后的设置。其实这些设置项是一样的,只是现在角色分开了,并且实现了相应的高可用,在配置上稍有改变,本篇文章将讲解此部分内容。

     服务器许可

      Exchange Server安装完成后,默认只是一个120天的试用版本,此时我们打开EMC控制台时,就会显示出当前组织中没有获得许可的Exchange Server的服务器信息,我们本案例中用到的四台服务器如悉列出,如下图所示:image

      未输入产品密钥的Exchange 2010 服务器,仅能使用标准版功能。每台邮箱服务器最多只能挂载5个数据库。而企业版最多可支持100个数据库。在购买了许可后我们需要更改产品密钥,方法非常简单。分别在四台服务器上进行下述操作(或者是在任意一个服务器的EMC中分别选择不同的服务器进行操作):打开Exchanger管理控制台,切换到服务器配置节点,选择服务器名称之后,再点击右边的输入产品密钥,如下图所示:

image

    证书

     Exchange Server2010需要使用到多域名证书,因为存在多种客户端访问方式,例如当用户使用Outlook或OWA连接Exchange服务器时,需要服务器提供一个名称为mail.uec.com的证书;当使用自动发现功能时,服务器需要出示一个autodiscover.uec.com的证书。Exchange服务器安装完成后会生成一个自签名证书,这个证书是Exchange服务器自己颁发给自己的,因此客户机都不信任证书,使用起来极为不便。所以,我们需要新建证书。

      第一步,安装CA服务器。用户完全可以根据需要向权威CA直接购买证书,在此我们是在企业组织内部署自己的CA服务器。我们就在DC1上安装证书服务,打开服务器角色,选择其中的“AD证书服务”。如下图所示:

image

      然后根据向导完成证书服务器的安装。

     第二步,新建证书。我们在CASHUB1上操作,打开EMC,点击“服务器设置”节点,选择CASHUB1,然后点击右边的“新建Exchange 证书”。出现“新建Exchange证书”向导,输入证书的友好名称mail.uec.com,此名称仅仅用于标示证书,无实际意义,可以随意命名。如下图所示:

image

      下一步之后,将询问是否支持通配符证书,在此直接跳过,因为我们需要的是多域名证书。再向下就是Exchange证书配置界面,输入证书应用的不同客户端访问方式。我们可以在这里进行配置或者是直接跳过,进行下一步,手动设置所用到的证书。当然在这里,我还是习惯进行如下图的配置。在证书域这里,可以看到经过Exchange配置后所用到的证书都出现在这里了。如果感觉上述配置不正确,也可以在这里进行添加、删除、编辑等。

image

再向下就是输入组织和位置,这些信息都是无关紧要的,只要如实填写即可。把申请证书文件保存到一个文件中,在此保存到了c:\newcert.req文件中。

image

     第三步,证书申请及下载。在CASHUB1服务器上打开浏览器,连接CA证书服务器的网页(如:http://dc01.uec.com/certsrv),此页面中选择 [申请证书] 链接,然后到[高级证书申请],请选择 [用Base-64 编码的CMC或PKCS #10文件提交一个证书申请,或用Base64编码的PKCS#7文件续订证书申请] 连接继续,复制的证书请求文件的文字内容,然后在 [证书模板] 的下拉菜单中选择 [Web服务器],点击 [提交] 按钮。如下图所示:

image

      点击“提交”后,出现下图所示的页面,在此选择 [DER编码] 选项,然后点选 [下载证书] 选项。接着会弹出对话框提示要求输入证书文件的保存位置,在此将它储存在C:\LS\certnew.cer。

image

      第四步,导入证书。到CASHUB1的Exchange管理控制台 界面中,在“服务器配置” 节点中,先选取刚刚所新建的新证书项目,选择位于 “操作” 窗口中“完成搁置请求”,找到刚才下载的证书文件,点击完成即可结束在CASHUB1上导入证书的操作。如果报告此证书无效,则还需要导入CA的证书。

image

     到这一步为止,和单独一个CAS角色上证书操作是一样的,但是再往下就不同了。一个CAS角色时下一步应该是为证书分配服务,但在这里有两个CAS角色组成的阵列,所以我们需要在CASHUB1上将此证书导出,在CASHUB2上将证书导入,以保证两个CAS上都有相同的证书。

      第五步,证书的导入/导出。我们先在CASHUB1上将此证书导出,方法是右键新建的证书“导出Exchange证书”,指定证书存放的位置、名称以及密码,再点击“导出”即可。

image

      然后,在服务器配置列表中选择CASHUB2,点击选择“导入Exchange证书”。在此需要输入pfx文件名,也就是刚刚导出的文件名以及私钥保护密码。如下图所示:

image

      下一步之后,需要确认导入证书的服务器,在此选择在CASHUB2上导入证书,如下图所示:

image

      第六步,为证书分配服务。为了让证书能发挥作用,我们需要为其分配服务。在EMC中右键点击证书,选择“为证书分配服务”,选择要分配服务的服务器,在此需要把两台CAS服务器都选中。

image

      点击下一步之后,出现下图所示的界面,在此选择要将哪些服务分配给该证书,然后根据向导,点击“分配”。

image

        向导提示是否要新证书覆盖SMTP使用的自签名证书,点击“全是”同意覆盖,即可完成证书的所有操作。

image

发送连接器

      因为现在咱们没有安装EDGE服务器,HT服务器则起到组织内部对外部接收和发送电子邮件的功能,以及负责邮件在Exchange组织内不同站点之间的消息路由。下面就先如何创建发送连接器,在任何一台Exchange服务器上(在此,我选择的是CASHUB1)的EMC控制台里,选择“组织配置”--“集线器传输”。切换到“发送连接器”选项卡,默认没有,然后空白处右键“新建发送连接器”如下图所示:

image 

名称这里我们输入: To Internet,用法选择:Internet。下一步之后,出现下图所示的”地址空间”界面:如下图所示:

image

      地址空间设定为“*”,表示所有发送到互联网邮局的邮件都将通过这个发送连接器出站,然后继续。在下面的“网络设置”界面中,选择“使用域名系统(DNS)‘MX’记录自动路由邮件”,则说明使用DNS的MX记录完成出站。在“源服务器”中需要添加所有的HT角色服务器,在此就是CASHUB1和CASHUB2。下一步之后,点击新建即可完成发送连接器的配置。image     

    接收连接器

      Exchange安装完成后默认创建两个接收连接器。一个是Client连接器,一个是Default连接器。Client连接器很少使用,它用于客户机使用SMTP协议访问Exchange服务器的情况,而内网用户访问Exchange服务器一般使用MAPI协议,因此一般不用配置。而Default连接器则用于外网邮局访问Exchange服务器。外网邮局邮件入站都要经过Default连接器。我们必须要对Default连接器中的权限进行配置。方法是:在EMC中打开服务器配置---集线器传输,先配置CASHUB1,然后右键Default连接器,在权限组选项卡中,勾选匿名用户,单击“确定”,完成CASHUB1上接收连接器的设置。然后再用同样的方法配置CASHUB2上的接收连接器。也就是说所有的HUB传输角色服务器都要进行此操作,不然外网邮件会被拒收。

image

Outlook Anywhere

      下面我们需要启用CAS角色的Outlook Anywhere。用户在内网访问Exchange,一般使用MAPI协议。用户通过公网访问Exchange,一般需要使用OWA或Outlook Anywhere。Outlook Anywhere其实就是把MAPI封装在HTTPS协议里(以前称为 RPC over HTTP),启用方法是: 打开EMC---"服务器配置"---"客户端访问"---"CASHUB1"----右键"启用Outlook Anywhere",键入外部主机名"mail.uec.com",也就是通过OWA访问时的主机名,客户端身份验证方式,选择基本身份验证,点击"启用"。如下图所示:注意:所有CAS角色都需要进行此设置,即在CASHUB2上也需要进行同样的操作。

image

OWA重定向设置

      安装完Exchange 之后,默认客户端使用类似于https://mail.uec.com/owa访问邮箱。但这样会很不方便,很多用户不习惯输入https,那么我们可以通过修改IIS设置,当输入http://mail.uec.com或者mail.uec.com时可自动跳转。方法是:登录到Exchange的CAS服务器,在此先在CASHUB1上打开 Internet信息服务(IIS)管理器,找到”Default Web Site”,然后打开右边的HTTP重定向。在“将请求重定向到此目标”处输入:https://mail.uec.com/owa,并选中“仅将请求重定向至此目录(非子目录)中的内容”,状态代码是302。点击“应用”。如下图所示:

image

       同时取消掉Default Web Site下相关虚拟目录的Http重定向,文件夹有:Aspnet_client,Autodiscover,Ecp,Ews,Microsoft-Server-Activesync,Oab,Owa,Powershell,Rpc。在此以Aspnet_client为例:

image

      通过上述设置可以使用户在输入https://mail.contoso.com时可以自动跳转到OWA,下面还需要实现用户使用http协议访问mail.uec.com时实现自动跳转,方法是设置默认站点下的“错误页”,编辑403代码,选中下面的“以302重定向响应”,绝对URL中输入https://mail.uec.com/owa

image

      然后,运行CMD命令行,在CMD命令行中运行 iisreset /noforce,重启IIS服务,如下图所示:

image

      以上就完成了一台CAS角色上的OWA重定向设置。注意,所有的CAS角色都需要进行重定向配置,即CASHUB2上也需要进行同样的设置。

 

OAB脱机通讯簿设置

    当我们安装完Exchange 服务器之后,自带一个默认脱机通讯簿。用户也可以根据需要新建OAB。在此我们就看一下默认OAB的设置,如何让Outlook客户端在缓存或与Exchange服务器断开的情况下还可以访问收件人信息。注意,下列操作中第一步、第二步在一台CAS角色服务器上操作即可,第三步、第四步需要在所有的CAS角色服务器上进行相同的操作。

    第一步,设置默认OAB属性,包括地址列表、分发方式、更新计划等。设置分发的地址列表的方法是,右键默认脱机通讯簿---属性,切换到“地址列表”,在此选择相应的地址列表,在此我直接使用默认全局地址列表。如下图所示:

image

      在分发选项卡,我们需要选择分发的方式,因为在此我们只有Outlook2010客户端,所以使用基于WEB的分发,添加相应的CAS服务器和虚拟目录。

image

     可以手动更新OAB信息,重新生成OAB内容,在生产环境也可以使用自定义计划,默认是每天的五点,方法是在“北京分支机构员工”OAB上右键,在弹出的快捷菜单中选择“更新”命令。

image

     第二步:邮箱数据库配置。指定某邮箱数据库所使用的脱机通讯簿,方法是打开指定的邮箱数据库属性,切换到”客户端设置“选项卡,针对”脱机通讯簿“进行设置,如下图所示:

image

        第三步,分发点检查OAB文件的频率,Exchange中查看脱机通讯簿的更新时间间隔和URL地址是否正确。Microsoft Exchange 文件分发服务在客户端访问服务器上运行,负责收集 OAB 并将该内容与邮箱服务器上的内容同步。 OAB 虚拟目录是基于 Web 的分发方法使用的分发点。默认情况下,安装 Exchange  时,将在 Internet 信息服务 (IIS) 的默认内部网站中创建一个名为 OAB 的新虚拟目录。分发点将使用此间隔轮询更新的 OAB 文件。默认设置为八小时(480 分钟)。同时检查URL地址是否正确。如下图所示:

image

      第四步,OAB虚拟目录的权限设置。在IIS服务器的OAB虚拟目录中确认”IIS_IUSRS“组具备有”读取“、”读取和运行“、”列出文件夹“权限,方法是右键打开OAB虚拟目录中的”编辑权限“,切换到”安全“选项卡,可点击”高级“进行查看,一般无须更改。同时修改OAB虚拟目录中web.config权限,添加authenticated users组读取和执行权限。如下图所示:

image

      经过上述配置后,Outlook2007或者Outlook2010用户就可以下载相应的OAB内容,如下图所示:

image

      POP3和IMAP设置

      这个设置不是必须的。出于安全性考虑,Exchange2010推荐客户端访问时使用MAPI或Outlook AnyWhere协议。如果某些用户还需要使用POP3或者IMAP协议。就必须启用这些协议,Exchange安装后默认是禁用POP3和IMAP的,启用方法是:在Exchange管理控制台—服务器配置—客户端访问中切换到CASHUB1服务器的“POP3和IMAP4”标签,双击打开 POP3协议  如下图所示,在POP3的身份验证标签中,默认是使用安全登录的。一般POP3用户使用明文登录的情况具多,需要把身份验证方法改变为纯文本登录。IMAP服务也做同样的操作。然后需要重启Microsoft Exchange POP3服务和IMP4服务,所有的CAS服务器也都要进行这样的修改,即在CASHUB2上也要做同样的操作。

image

image

      此外,如果发现某个用户不能使用POP3或者IMAP4,还需要去确认此用户邮箱是否启用了POP3或者是IMAP4,如下图所示:

     文章写到这里就要结束了。基本上来说,掌握这些设置应该可以满足一般企业的要求,Exchange高可用已经可以运行起来了。后续文章将继续介绍关于Exchange Server2010的其他内容,时间不早了,睡吧!






 本文转自 dufei 51CTO博客,原文链接:http://blog.51cto.com/dufei/1169644,如需转载请自行联系原作者


版权声明:本文首发在云栖社区,遵循云栖社区版权声明:本文内容由互联网用户自发贡献,版权归用户作者所有,云栖社区不为本文内容承担相关法律责任。云栖社区已升级为阿里云开发者社区。如果您发现本文中有涉嫌抄袭的内容,欢迎发送邮件至:developer2020@service.aliyun.com 进行举报,并提供相关证据,一经查实,阿里云开发者社区将协助删除涉嫌侵权内容。

分享:
+ 订阅

云安全开发者的大本营

其他文章