Le impostazioni di Exchange Server devono essere corrette

Microsoft ha investito milioni di dollari in Azure e Office 365 ei loro concorrenti stanno seguendo l'esempio con offerte di cloud pubblico in buona fede. Ma le soluzioni di cloud pubblico non sono per tutti. Le organizzazioni di molte strisce hanno motivi legittimi per non volere i loro dati limitati su sistemi al di fuori del loro controllo totale.

Per molte di queste entità, Exchange Server locale è un must per la messaggistica. Microsoft continua ad aggiornare il software con la certezza che eventuali miglioramenti apportati al suo stack basato su cloud finiranno per ridursi. Queste funzionalità aggiungono sempre più livelli di complessità al già arduo compito di eseguire un sistema di messaggistica di livello aziendale. È facile perdersi durante la pianificazione della capacità hardware, la configurazione di DAG (gruppi di disponibilità del database) e la resilienza del sito, la configurazione del routing della posta e la verifica che gli utenti possano effettivamente connettersi al sistema.

Con questo in mente, ecco alcuni dettagli che devi assolutamente ottenere prima di aprire le porte al tuo nuovo ambiente di messaggistica.

Capacità

Prima ancora di scaricare Exchange Server, dovresti avere una buona idea di quanti utenti il ​​tuo sistema dovrà supportare, eventuali accordi sul livello di servizio che potresti avere in atto e quanto tempo richiederà una finestra di ripristino di emergenza per la tua organizzazione. Questi sono argomenti molto profondi che vanno ben oltre lo scopo di questo articolo, ma Microsoft fornisce alcuni strumenti per aiutarti a pianificarlo.

Il primo è l'articolo relativo ai consigli per il dimensionamento e la configurazione di Exchange 2013 su TechNet. Ti guiderà attraverso le nozioni di base come i rapporti tra core CPU di Active Directory e core CPU del server di cassette postali, configurazione di rete, hotfix di Windows Server richiesti e configurazione del file di paging. Se hai familiarità con Exchange Server 2010, noterai alcune modifiche evidenziate in questo articolo per la configurazione di Exchange 2013, come non consigliare più una rete separata per la replica.

Dopo aver acquisito familiarità con i principali consigli, è il momento di immergersi nella pianificazione della capacità. Il blog del team di Exchange è un'ottima fonte di informazioni per questo e il gruppo ha pubblicato uno sguardo completo su come dimensionare correttamente l'ambiente. Non lasciarti scoraggiare dalle formule matematiche: un calcolatore di taglie è disponibile per il download per aiutarti a facilitare il processo.

Alcuni suggerimenti TL; DR:

  • Non scherzare con le configurazioni RAID per i volumi del database. È vecchia scuola e non è più necessario a causa dei miglioramenti delle prestazioni in Exchange. JBOD va bene, soprattutto quando si utilizzano DAG per l'alta disponibilità.
  • Utilizzare un core della CPU di Active Directory per ogni otto core della CPU della cassetta postale.
  • Non utilizzare hyperthreading su server di cassette postali fisici.
  • Configura i monitoraggi delle prestazioni per metriche critiche come la durata delle query AD, IOPS sui dischi del database e verifica che l'intero database AD possa adattarsi alla RAM.

Instradamento della posta

Hai tutto installato. I tuoi database si stanno replicando. I tuoi carichi sono equilibrati. Le prestazioni vengono monitorate. Ora è il momento di passare all'effettiva ricezione della posta in entrata e in uscita dal sistema.

Domini accettati e criteri degli indirizzi di posta elettronica

Assicurati che tutti i tuoi domini siano elencati con il tipo di dominio corretto in Flusso di posta> Domini accettati e che il tuo dominio predefinito sia corretto. Se intendi utilizzare i criteri degli indirizzi e-mail, ora è il momento giusto per esaminarli per assicurarti di aver selezionato i domini e il formato nome utente corretti. Puoi farlo in Flusso di posta> Criteri indirizzo email.

DNS

Come con Office 365, è necessario configurare correttamente le voci DNS prima che la posta possa essere indirizzata al sistema o che i client possano rilevare automaticamente le proprie impostazioni. Questo è un po 'più difficile per le soluzioni locali perché sarà necessario configurare le regole del firewall per consentire la porta 25 in ingresso ai server front-end o di trasporto edge a seconda della configurazione specifica.

Dovrai prima creare un record A per l'indirizzo IP del tuo MTA (Message Transfer Agent). Ad esempio, stiamo utilizzando mail.exampleagency.com nel nostro laboratorio. Una volta posizionato il record A, crea un record MX che punti ad esso. Il tuo provider di hosting DNS dovrebbe avere una documentazione adeguata per coprire la creazione di questi record.

Per l'individuazione automatica, sarà necessario creare un record A per l'indirizzo IP del server di accesso client o, se è uguale al MTA, un record CNAME che punta ad esso. Ancora una volta, per il nostro laboratorio utilizziamo un record CNAME di un utodiscover.exampleagency.com che punta a mail.exampleagency.com poiché entrambi utilizzano lo stesso indirizzo IP. È necessario che questo record sia autodiscover.yourdomain.tld poiché è così che Outlook Autodiscover lo cercherà.

Connettori

A differenza di Office 365, di cui abbiamo parlato in un articolo precedente, Exchange locale non crea automaticamente un connettore di invio per te. Per fare ciò, apri EAC (Exchange Admin Center) e vai a Flusso di posta> Connettori di invio. Un connettore di base invierà semplicemente a Internet tramite risoluzione DNS.

Se utilizzi un gateway di messaggistica di terze parti come Mimecast, lo configurerai come connettore personalizzato. Questo è anche il luogo in cui imposterai qualsiasi connessione TLS applicata ad altri MTA. Ad esempio, Bank of America richiede che le connessioni TLS siano applicate ai suoi fornitori. Per questo, dovrai utilizzare un connettore Partner.

Questa è anche una buona opportunità per esaminare i connettori di ricezione. Qui puoi impostare la dimensione massima dei messaggi in arrivo (il valore predefinito è 35 MB - ricorda di tenere conto dell'overhead di codifica MIME di circa il 33%), se abilitare la registrazione della connessione, le impostazioni di sicurezza come TLS applicato e le restrizioni IP.

Accesso client

Hai configurato il routing della posta di base e puoi inviare e ricevere email. Ora devi connettere i client al tuo sistema in modo che possano effettivamente usarlo.

Certificati

Con Office 365, Microsoft utilizza il proprio spazio dei nomi per l'individuazione automatica di Outlook, Outlook Web App e la connettività SMTP su TLS. In quanto tale, Microsoft utilizza i propri certificati. Per Exchange locale, sarà necessario acquistare nuovi certificati da una CA attendibile per consentire la connettività sicura e affidabile ai sistemi.

Fortunatamente, Microsoft ha reso il processo facile da completare. Per iniziare, apri EAC e vai a Server> Certificati. Aggiungi un nuovo certificato e scegli di generare una richiesta. Si aprirà una procedura guidata che ti guiderà attraverso il processo. Ti verrà data la possibilità di scegliere il tuo dominio per ogni tipo di accesso. In questo esempio, ho utilizzato principalmente webmail.exampleagency.com per tutto.

Una volta terminata la procedura guidata, prendi il file di richiesta del certificato e caricalo sulla tua autorità di certificazione preferita (abbiamo utilizzato GoDaddy). Riceverai quindi il certificato sotto forma di file CER. Fare clic su Completa e importare il file CER per importare il certificato e abilitarlo per l'uso nel proprio ambiente.

Directory virtuali

Ora che hai installato il certificato, è il momento di dire a Exchange quali domini utilizzare per quali servizi. Accedi a Server> Directory virtuali. Da qui, dovresti configurare l'accesso esterno per ognuno. In questo esempio, abbiamo configurato la directory virtuale OWA per utilizzare webmail.exampleagency.com.

Ci sono argomenti più complessi da discutere come gli array di accesso client e il bilanciamento del carico, ma è meglio lasciarli per un'esplorazione più approfondita rispetto a questo articolo. Per ulteriori informazioni, vedere la documentazione di Microsoft Exchange Server su TechNet.

Sicurezza e conformità

Anche se i tuoi dati non sono in un cloud pubblico, devi comunque considerare attentamente la sicurezza. Per i principianti, assicurati di applicare aggiornamenti regolari sia a Windows Server che a Exchange Server. Lo stesso consiglio vale anche per gli account amministratore; utilizzare sempre account amministratore separati dagli account normali.

È assolutamente necessario mantenere l'accesso alle attività amministrative limitato alle reti interne o VPN a meno che non si intenda abilitare una qualche forma di autenticazione a più fattori tramite prodotti di terze parti come RSA SecurID.

Assicurati di avere una politica delle password ragionevole in atto. Le indicazioni su questo aspetto continuano a cambiare, ma siamo parziali all'idea più recente di utilizzare password più lunghe piuttosto che password più complesse. Nel nostro laboratorio, richiediamo agli utenti di disporre di password di 14 caratteri, meno eventuali requisiti di complessità, che scadono ogni 90 giorni.

È inoltre necessario considerare se è necessario limitare l'invio di informazioni sensibili tramite e-mail come numeri di previdenza sociale e numeri di carte di credito. È possibile configurare queste restrizioni in Gestione conformità> Prevenzione della perdita di dati. Microsoft fornisce una serie di modelli che possono essere utilizzati per aiutarti a diventare subito operativo. In questo esempio, sto utilizzando il modello FTC degli Stati Uniti per limitare l'invio di numeri di carte di credito.

Pensieri su altri software

Se sei arrivato fino a questo punto, si spera che tu abbia un sistema Exchange locale funzionante. Ora devi proteggerlo, eseguirne il backup e in generale assicurarti che rimanga online.

Per le soluzioni antivirus, ti consigliamo sia un pacchetto antivirus in tempo reale a livello di sistema che un pacchetto che analizzi i messaggi in transito. Microsoft fornisce un elenco delle esclusioni richieste sia per i controller di dominio Active Directory che per i sistemi Exchange Server. Assicurati di seguire i consigli di Microsoft e non fare affidamento sul tuo fornitore di antivirus per implementarli automaticamente per te. Ho visto troppi pacchetti antivirus calpestare i file di registro del database delle cassette postali immediatamente per fidarsi che lo facciano per te.

È inoltre necessario considerare il tipo di metodi di backup e ripristino che si desidera supportare. Stai eseguendo il backup su disco o nastro? Hai bisogno di un ripristino granulare (che richiede molte più risorse di quanto valga normalmente)? Quanto indietro devono andare i tuoi backup? Ci sono molte domande da porsi a te stesso, al tuo team e ai dirigenti.

Altre considerazioni sul prodotto includono prevenzione della perdita di dati, software antispam e archiviazione della posta elettronica. In alcuni casi, tutto questo potrebbe essere incluso in un unico pacchetto. Assicurati però che sia certificato per funzionare con Exchange Server 2013 e che disponga di un adeguato supporto del fornitore. Non si desidera acquistare un prodotto solo per scoprire che è stato creato per Exchange Server 2007 e dispone del supporto solo tramite posta elettronica.

Pensieri finali

Infine, assicurati di fare i compiti. Verifica che la tua organizzazione non debba seguire alcuna legge specifica per la conservazione dei dati, la prevenzione della perdita dei dati o l'accesso ai dati. Esegui regolarmente backup e ripristini di prova. Usa il file di prova EICAR per assicurarti che il tuo software antivirus funzioni correttamente. Controlla regolarmente i tuoi monitor delle prestazioni per assicurarti che non sia necessario ribilanciare un DAG o aggiungere un controller di dominio. Oh, e ancora una cosa: impara ad amare PowerShell.

L'esecuzione di un Exchange Server locale è molto più complicato della semplice registrazione a Office 365, ma hai molto più controllo e ottieni un'esperienza molto più gratificante come professionista IT. Si spera che questo articolo ti abbia fornito almeno una buona panoramica delle tue opzioni e di ciò che devi assolutamente ottenere quando configuri Exchange Server locale. Ogni organizzazione è diversa e questa guida potrebbe non essere adatta al tuo scenario. Tuttavia, dovrebbe essere sufficiente per la maggior parte degli amministratori IT di piccole imprese che desiderano configurarsi rapidamente.

Articoli Correlati

  • La potenza di PowerShell: un'introduzione per gli amministratori di Exchange
  • Download: Guida rapida: come passare a Office 365
  • Download: Microsoft Office 365 vs Google Apps: la guida definitiva
  • 5 Impostazioni di amministrazione di Office 365 che devi ottenere correttamente
  • 10 strumenti di terze parti per soddisfare le tue esigenze di Office 365
  • 10 principali trucchi per la migrazione a Office 365 da evitare
  • Come migrare il tuo server Exchange a Office 365