Предварительные компоненты для Exchange 2016

Предварительные компоненты для Exchange 2016 для ОС Windows Server 2016

1.Установка компонент Windows

Install-WindowsFeature NET-Framework-45-Features, Server-Media-Foundation, RPC-over-HTTP-proxy, RSAT-Clustering, RSAT-Clustering-CmdInterface, RSAT-Clustering-Mgmt, RSAT-Clustering-PowerShell, WAS-Process-Model, Web-Asp-Net45, Web-Basic-Auth, Web-Client-Auth, Web-Digest-Auth, Web-Dir-Browsing, Web-Dyn-Compression, Web-Http-Errors, Web-Http-Logging, Web-Http-Redirect, Web-Http-Tracing, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Lgcy-Mgmt-Console, Web-Metabase, Web-Mgmt-Console, Web-Mgmt-Service, Web-Net-Ext45, Web-Request-Monitor, Web-Server, Web-Stat-Compression, Web-Static-Content, Web-Windows-Auth, Web-WMI, Windows-Identity-Foundation, RSAT-ADDS
2.Запустить обновление Windows Update
3.https://go.microsoft.com/fwlink/?linkid=2088631 — .NET Framework 4.8
4.https://www.microsoft.com/en-us/download/confirmation.aspx?id=34992 — Unified Communications Managed API 4.0 Runtime
5.https://support.microsoft.com/help/4032938/update-for-visual-c-2013-redistributable-package — Visual C++ Redistributable Package for Visual Studio 2013

Exchange 2016 | IMAP 4

Баян конечно, но возможно кому-то понадобиться сократить время настройки.

В данном примере для подключения к почтовому серверу по протоколам IMAP и SMTP используется одно и то же DNS имя — mail.contoso.com.

Для защиты подключений к протоколам IMAP и SMTP используется сертификат, который содержит DNS имя почтового сервера mail.contoso.com.

Настройка подключений IMAP не используются коннекторы.

Настройка подключений SMTP используется принимающий коннектор «Client Frontend..», который использует 587 порт.

Для настройки подключений клиентов по 25 порту необходимо добавить новый внешний IP-адрес на оборудовании NAT, новый IP-адрес на сервере Exchange, создать новую запись A во внешней зоне DNS и далее создать новый принимающий коннектор с использованием 25 порта.

 

Для настройки подключений IMAP/SMTP необходимо:

• Включить сервис IMAP на сервере Exchange:

Start-Service MSExchangeIMAP4; Start-Service MSExchangeIMAP4BE

Перевести сервис в режим автоматического запуска:

Set-Service MSExchangeIMAP4 -StartupType Automatic; Set-Service MSExchangeIMAP4BE -StartupType Automatic

• Настроить подключение с использованием протокола SSL:

Set-ImapSettings -ExternalConnectionSettings «mail.contoso.com:993:SSL» -X509CertificateName mail.contoso.com -EnableGSSAPIAndNTLMAuth $false

Где:

mail.contoso.com — DNS имя во внешней зоне DNS к которому пользователи будут подключаться к IMAP

X509CertificateName — имя сертификата для возможности установки SSL соединения. Имена в сертификате должны совпадать с DNS именем сервера к которому выполняется подключение.

EnableGSSAPIAndNTLMAuth — без отключения данного параметра Outlook 2016 не выполнял аутентификацию на сервере Exchange.

• После настройки параметров, обязательно необходимо перезапустить сервис IMAP:

Restart-Service MSExchangeIMAP4; Restart-Service MSExchangeIMAP4BE

После настройки параметров IMAP необходимо настроить параметры подключения пользователей к сервису SMTP.

• Настроить свойства прнимающего коннектора  SMTP (Принимающий коннектор «Client Frontend..»).

$TLSCert = Get-ExchangeCertificate -Thumbprint 434AC224C8459924B26521298CE8834C514856AB

$TLSCertName = «<I>$($TLSCert.Issuer)<S>$($TLSCert.Subject)»

Get-ReceiveConnector -Identity «Client Frontend*» | Set-ReceiveConnector -TlsCertificateName $TLSCertName

Изначально в коннекторе FQDN сервера совпадает с именем компьютера, оно отображается в приветсвии диалога SMTP. Необходимо, чтобы оно соответствовало имени сервера во внешней DNS зоне ( mail.contoso.com):

Get-ReceiveConnector -Identity «Client Frontend*» | Set-ReceiveConnector -Fqdn mail.contoso.com

Развертывание и миграция Exchange 2010. Часть 5 переход на Hub(до миграции ящиков).

После того, как пользовательские подключения переведены на новые серверы CAS, необходимо настроить маршрутизацию почтового трафика SMTP для Hub 2010.

Сервер Mail01-srv обеспечивает маршрутизацию исходящего и входящего трафика SMTP. В конечной топологии маршрутизацию между инфраструктурой Exchange и внешними почтовыми серверами будут обеспечивать серверы Edge. Изменить маршрутизацию SMTP планируется после миграции всех почтовых ящиков на новые серверы.

На схеме ниже изображена маршрутизация SMTP в процессе перехода с Exchange 2007 на Exchange 2010.

На некоторое время необходимо настроить маршрутизацию между Hub Transport 2007 и 2010. Для этого на серверах Exchange должны быть настроены принимающие соединители с типом аутентификации «Exchange Server Authentication» и разрешением «Exchange Servers».

На новых серверах Hub Transport 2010 изменять принимающие соединители нет необходимости. На сервере Mail01-srv существует принимающий коннектор в котором добавлено внешнее имя сервера (mail.mailmig.com) не соответсвующее FQDN сервера, что не позволит установить тип аутентификации Exchange Server Authentication. Решить вопрос можно, создав новый принимающий соединитель типа «Internal» и указав IP серверов Hub 2010 в разделе удаленной сети(Remote Network). На рисунке отображены настройки принимающего соединителя сервера Mail01-srv.

Exchange 2010 ActiveSync users cannot synchronize an EAS device for the first time

В инфраструктуре развернут один виртуальный сервер Exchange с ролями Mailbox, Hub, CAS. При попытке тестирования подключения к серверу Exchange с помощью ActiveSync на ресурсе testexchangeconnectivity отображается следующая ошибка:

Причина проблемы — группа Exchange Servers не имеет прав доступа к объекту почтового ящика пользователя в Active Directory. Нарушается наследование прав ACL в Active Directory. Если быть более точным, не хватает следующих прав доступа:

Для восстановления прав доступа необходимо зайти в закладку Security пользователя, далее Advanced активировать опцию «Include inheritable permissions from this object’s parent» и попробовать доступ к почтовому ящику используя Active Sync. Проблема с доступом к ActiveSync решена, но через некоторое время разрешения «Create, Delete» к объекту msExchActiveSyncDevices будут утеряны. Нехватка прав доступа может приводить к самым разным не предсказуемым проблемам.

Самостоятельные сбрасывания разрешений на объекты чаще всего связаны с AdminSDHolder.

AdminSDHolder — это объект-контейнер в разделе каталога домена CN=AdminSDHolder, CN=System,<Domain DN> — например, CN=AdminSDHolder, CN=System, DC=north, DC=com.

Данный объект предназначен для защиты объектов определенных привилегированных групп и пользователей и используется в качестве объекта-заполнителя.

Каждый час на контроллере домена роли PDC выполняется процесс SDPROP, который просматривает текущие значения ACL защищаемых объектов групп и пользователей и значения объекта AdminSDHolder.  В случае не совпадения ACL защищаемых объектов устанавливаются идентичными ACL объекту AdminSDHolder.

Идентифицировать защищаемые объекты можно по атрибуту adminCount равному 1.

Get-ADUser -LDAPFilter "(objectcategory=person)(samaccountname=*)(admincount=1)"

Для решения проблем с доступом к объектам необходимо выполнить следующие действия:

1. Идентифицировать защищаемые объекты, выполнив следующую команду в Active Directory PowerShell:

Get-ADUser -LDAPFilter «(objectcategory=person)(samaccountname=*)(admincount=1)»

2. В соответствии с security best practise, для административных целей создать специализированные учетные записи, которые не должны иметь почтовые ящики и другие атрибуты Exchange.

3. После того, как учетные записи пользователей были удалены из защищаемых AdminSDHolder административных групп, значение атрибута admincount останется равным 1, поэтому необходимо вручную поменять значение атрибута на 0 (ноль).

4.  Восстановить права доступа см. выше.

После этого права доступа на объекты Exchange будут восстановлены и не будут утеряны после отработки процесса SDPROP.

О AdminSDHolder:

http://technet.microsoft.com/ru-ru/magazine/2009.09.sdadminholder(en-us).aspx

Exchange ActiveSync Returned an HTTP 500 Error:

http://technet.microsoft.com/en-us/library/620c5ce8-3595-4658-9a7a-ec76c10e4a69.aspx