Die Exchange Server-Einstellungen müssen richtig sein

Microsoft hat Millionen von Dollar in Azure und Office 365 investiert, und seine Konkurrenten folgen mit echten eigenen öffentlichen Cloud-Angeboten. Public Cloud-Lösungen sind jedoch nicht jedermanns Sache. Unternehmen mit vielen Streifen haben berechtigte Gründe dafür, dass sie ihre eingeschränkten Daten auf Systemen nicht außerhalb ihrer vollständigen Kontrolle haben möchten.

Für viele dieser Entitäten ist der lokale Exchange Server ein Messaging-Muss. Microsoft aktualisiert die Software weiterhin mit der Gewissheit, dass Verbesserungen an seinem Cloud-basierten Stack irgendwann nachlassen werden. Diese Funktionen erhöhen zunehmend die Komplexität der bereits entmutigenden Aufgabe, ein Messaging-System für Unternehmen auszuführen. Es ist leicht, sich zu verirren, wenn Sie die Hardware-Kapazitätsplanung durchlaufen, DAGs (Datenbankverfügbarkeitsgruppen) und die Ausfallsicherheit der Site einrichten, das Mail-Routing konfigurieren und sicherstellen, dass Ihre Benutzer tatsächlich eine Verbindung zum System herstellen können.

In diesem Sinne sind hier einige Details aufgeführt, die Sie unbedingt beachten müssen, bevor Sie die Türen zu Ihrer neuen Messaging-Umgebung öffnen.

Kapazität

Bevor Sie Exchange Server herunterladen, sollten Sie eine gute Vorstellung davon haben, wie viele Benutzer Ihr System unterstützen muss, welche Service Level Agreements möglicherweise vorhanden sind und wie lange ein Disaster Recovery-Fenster für Ihr Unternehmen erforderlich ist. Dies sind sehr tiefe Themen, die weit über den Rahmen dieses Artikels hinausgehen. Microsoft bietet jedoch einige Tools an, mit denen Sie dies planen können.

An erster Stelle steht der Artikel zu den Größen- und Konfigurationsempfehlungen von Exchange 2013 im TechNet. Es führt Sie durch die Grundlagen wie das Verhältnis von Active Directory-CPU-Kern zu Postfachserver-CPU-Kern, die Netzwerkkonfiguration, die erforderlichen Windows Server-Hotfixes und die Auslagerungsdateikonfiguration. Wenn Sie mit Exchange Server 2010 vertraut sind, werden Sie einige Änderungen bemerken, die in diesem Artikel für die Konfiguration von Exchange 2013 hervorgehoben werden, z. B. die Empfehlung eines separaten Netzwerks für die Replikation.

Sobald Sie sich mit den wichtigsten Empfehlungen vertraut gemacht haben, ist es Zeit, sich mit der Kapazitätsplanung zu befassen. Der Exchange-Team-Blog ist hierfür eine hervorragende Informationsquelle. Die Gruppe hat einen umfassenden Überblick über die korrekte Größe Ihrer Umgebung veröffentlicht. Lassen Sie sich von den mathematischen Formeln nicht entmutigen - ein Größenrechner steht zum Download zur Verfügung, um Ihnen den Prozess zu erleichtern.

Einige TL; DR-Tipps:

  • Spielen Sie nicht mit RAID-Setups für Ihre Datenbankvolumes. Das ist alte Schule und aufgrund von Leistungsverbesserungen in Exchange nicht mehr erforderlich. JBOD ist in Ordnung, insbesondere wenn DAGs für hohe Verfügbarkeit verwendet werden.
  • Verwenden Sie einen Active Directory-CPU-Kern für jeweils acht Postfach-CPU-Kerne.
  • Verwenden Sie Hyperthreading nicht auf physischen Postfachservern.
  • Richten Sie Leistungsmonitore für kritische Metriken wie AD-Abfragedauer, IOPS auf Ihren Datenbankfestplatten und die Überprüfung ein, ob die gesamte AD-Datenbank in den Arbeitsspeicher passt.

Mail-Routing

Sie haben alles installiert. Ihre Datenbanken werden repliziert. Ihre Lasten sind ausgeglichen. Die Leistung wird überwacht. Jetzt ist es an der Zeit, E-Mails tatsächlich in Ihr System und aus diesem heraus zu holen.

Akzeptierte Domänen- und E-Mail-Adressrichtlinien

Stellen Sie sicher, dass alle Ihre Domains unter Nachrichtenfluss> Akzeptierte Domains mit dem richtigen Domänentyp aufgeführt sind und Ihre Standarddomain korrekt ist. Wenn Sie beabsichtigen, E-Mail-Adressrichtlinien zu verwenden, sollten Sie diese jetzt überprüfen, um sicherzustellen, dass Sie die richtigen Domains und das richtige Benutzernamenformat ausgewählt haben. Sie können dies unter Nachrichtenfluss> E-Mail-Adressrichtlinien tun.

DNS

Wie bei Office 365 müssen Sie Ihre DNS-Einträge korrekt einrichten, bevor E-Mails an Ihr System weitergeleitet werden können oder Clients ihre Einstellungen automatisch erkennen können. Dies ist für lokale Lösungen etwas schwieriger, da Sie Firewall-Regeln konfigurieren müssen, damit Port 25 je nach Ihrer spezifischen Konfiguration entweder an Ihre Front-End- oder Edge-Transport-Server eingeht.

Sie müssen zuerst einen A-Eintrag für die IP-Adresse Ihres MTA (Message Transfer Agent) erstellen. Zum Beispiel verwenden wir mail.exampleagency.com in unserem Labor. Sobald der A-Datensatz vorhanden ist, erstellen Sie einen MX-Datensatz, der darauf verweist. Ihr DNS-Hosting-Anbieter sollte über ausreichende Unterlagen verfügen, um die Erstellung dieser Einträge abzudecken.

Für die automatische Erkennung müssen Sie entweder einen A-Eintrag an die IP-Adresse Ihres Clientzugriffsservers oder, falls dieser mit Ihrem MTA identisch ist, einen CNAME-Eintrag erstellen, der darauf verweist. Auch für unser Labor verwenden wir einen CNAME - Datensatz von einem utodiscover.exampleagency.com zeigt auf mail.exampleagency.com , da sie die gleiche IP - Adresse beide verwenden. Es ist erforderlich, dass dieser Datensatz autodiscover.yourdomain.tld ist, da Outlook Autodiscover auf diese Weise danach sucht.

Anschlüsse

Im Gegensatz zu Office 365, das wir in einem früheren Artikel behandelt haben, erstellt das lokale Exchange nicht automatisch einen Sendeconnector für Sie. Öffnen Sie dazu EAC (Exchange Admin Center) und navigieren Sie zu Mail Flow> Connect Connectors. Ein Basis-Connector wird lediglich über die DNS-Auflösung an das Internet gesendet.

Wenn Sie ein Messaging-Gateway eines Drittanbieters wie Mimecast verwenden, konfigurieren Sie dieses als benutzerdefinierten Connector. Hier richten Sie auch erzwungene TLS-Verbindungen zu anderen MTAs ein. Beispielsweise verlangt die Bank of America für ihre Anbieter erzwungene TLS-Verbindungen. Dazu benötigen Sie einen Partner-Connector.

Dies ist auch eine gute Gelegenheit, Ihre Empfangsconnectors zu überprüfen. Hier können Sie die maximale Größe eingehender Nachrichten festlegen (Standard ist 35 MB - denken Sie daran, den MIME-Codierungsaufwand von ungefähr 33 Prozent zu berücksichtigen), ob die Verbindungsprotokollierung, Sicherheitseinstellungen wie erzwungenes TLS und IP-Einschränkungen aktiviert werden sollen.

Clientzugriff

Sie haben das grundlegende Mail-Routing konfiguriert und können E-Mails senden und empfangen. Jetzt müssen Sie Clients mit Ihrem System verbinden, damit sie es tatsächlich verwenden können.

Zertifikate

Mit Office 365 verwendet Microsoft einen eigenen Namespace für Outlook Autodiscover, Outlook Web App und SMTP-Konnektivität über TLS. Daher verwendet Microsoft seine eigenen Zertifikate. Für den lokalen Austausch müssen Sie neue Zertifikate von einer vertrauenswürdigen Zertifizierungsstelle erwerben, um eine vertrauenswürdige sichere Verbindung zu Ihren Systemen zu ermöglichen.

Glücklicherweise hat Microsoft den Vorgang einfach abgeschlossen. Öffnen Sie zunächst die EAC und navigieren Sie zu Server> Zertifikate. Fügen Sie ein neues Zertifikat hinzu und generieren Sie eine Anfrage. Ein Assistent öffnet sich und führt Sie durch den Vorgang. Sie haben die Möglichkeit, Ihre Domain für jeden Zugriffstyp auszuwählen. In diesem Beispiel habe ich hauptsächlich webmail.exampleagency.com für alles verwendet.

Wenn Sie den Assistenten beendet haben, nehmen Sie Ihre Zertifikatanforderungsdatei und laden Sie sie zu Ihrer bevorzugten Zertifizierungsstelle hoch (wir haben GoDaddy verwendet). Sie erhalten dann das Zertifikat in Form einer CER-Datei. Klicken Sie einfach auf Fertig stellen und importieren Sie die CER-Datei, damit das Zertifikat importiert und für die Verwendung in Ihrer Umgebung aktiviert wird.

Virtuelle Verzeichnisse

Nachdem Sie Ihr Zertifikat installiert haben, müssen Sie Exchange mitteilen, welche Domänen für welche Dienste verwendet werden sollen. Navigieren Sie zu Server> Virtuelle Verzeichnisse. Von hier aus sollten Sie für jeden den externen Zugriff konfigurieren. In diesem Beispiel haben wir das virtuelle OWA-Verzeichnis für die Verwendung von webmail.exampleagency.com konfiguriert.

Es gibt komplexere Themen wie Clientzugriffsarrays und Lastausgleich, die jedoch am besten für eine eingehendere Untersuchung als in diesem Artikel verwendet werden sollten. Weitere Informationen finden Sie in der Microsoft Exchange Server-Dokumentation zu TechNet.

Sicherheit und Compliance

Auch wenn sich Ihre Daten nicht in einer öffentlichen Cloud befinden, müssen Sie die Sicherheit sorgfältig prüfen. Stellen Sie zunächst sicher, dass Sie regelmäßige Updates sowohl auf Windows Server als auch auf Exchange Server anwenden. Der gleiche Rat gilt auch für Administratorkonten. Verwenden Sie immer separate Administratorkonten von regulären Konten.

Sie müssen den Zugriff auf Verwaltungsaufgaben, die auf interne Netzwerke oder VPNs beschränkt sind, unbedingt beschränken, es sei denn, Sie möchten eine Form der Multifaktorauthentifizierung über Produkte von Drittanbietern wie RSA SecurID aktivieren.

Stellen Sie sicher, dass Sie über eine vernünftige Kennwortrichtlinie verfügen. Die Richtlinien dazu ändern sich ständig, aber wir sind teilweise der neueren Idee, längere Passwörter anstelle komplexerer Passwörter zu verwenden. In unserem Labor müssen Benutzer über Kennwörter mit 14 Zeichen verfügen - abzüglich etwaiger Komplexitätsanforderungen -, die alle 90 Tage ablaufen.

Sie sollten auch überlegen, ob Sie das Senden vertraulicher Informationen per E-Mail wie Sozialversicherungsnummern und Kreditkartennummern einschränken müssen. Sie können diese Einschränkungen unter Compliance Management> Data Loss Prevention konfigurieren. Microsoft bietet eine Reihe von Vorlagen, mit denen Sie schnell einsatzbereit sind. In diesem Beispiel verwende ich die US-amerikanische FTC-Vorlage, um das Senden von Kreditkartennummern einzuschränken.

Gedanken zu anderer Software

Wenn Sie so weit gegangen sind, haben Sie hoffentlich ein funktionierendes lokales Exchange-System. Jetzt müssen Sie es schützen, sichern und im Allgemeinen sicherstellen, dass es online bleibt.

Für Antivirenlösungen benötigen Sie sowohl ein systemweites Echtzeit-Antivirenpaket als auch ein Paket, das Nachrichten während der Übertragung scannt. Microsoft bietet eine Liste der erforderlichen Ausschlüsse sowohl für Active Directory-Domänencontroller als auch für Exchange Server-Systeme. Befolgen Sie unbedingt die Empfehlungen von Microsoft und verlassen Sie sich nicht darauf, dass Ihr Antivirenanbieter diese automatisch für Sie implementiert. Ich habe zu viele Antivirenpakete gesehen, die die Postfachdatenbank-Protokolldateien sofort mit Füßen getreten haben, um darauf zu vertrauen, dass sie dies für Sie tun.

Sie müssen auch die Art der Sicherungs- und Wiederherstellungsmethoden berücksichtigen, die Sie unterstützen möchten. Sichern Sie auf Festplatte oder Band? Benötigen Sie eine granulare Wiederherstellung (die weitaus ressourcenintensiver ist, als es normalerweise wert ist)? Wie weit müssen Ihre Backups zurückgehen? Es gibt viele Fragen, die Sie sich, Ihrem Team und dem oberen Management stellen müssen.

Weitere Produktüberlegungen umfassen die Verhinderung von Datenverlust, Antispam-Software und E-Mail-Archivierung. In einigen Fällen kann dies alles in einem einzigen Paket enthalten sein. Stellen Sie jedoch sicher, dass es für die Verwendung mit Exchange Server 2013 zertifiziert ist und über ausreichende Herstellerunterstützung verfügt. Sie möchten ein Produkt nicht nur kaufen, um herauszufinden, dass es für Exchange Server 2007 entwickelt wurde und nur E-Mail-Unterstützung bietet.

Abschließende Gedanken

Zuletzt stellen Sie sicher, dass Sie Ihre Hausaufgaben machen. Stellen Sie sicher, dass Ihr Unternehmen keine spezifischen Gesetze zur Vorratsdatenspeicherung, Verhinderung von Datenverlust oder Datenzugriff befolgen muss. Führen Sie regelmäßig Testsicherungen und Wiederherstellungen durch. Verwenden Sie die EICAR-Testdatei, um sicherzustellen, dass Ihre Antivirensoftware ordnungsgemäß ausgeführt wird. Überprüfen Sie regelmäßig Ihre Leistungsmonitore, um sicherzustellen, dass Sie keine DAG neu ausgleichen oder einen Domänencontroller hinzufügen müssen. Und noch etwas: Lernen Sie, PowerShell zu lieben.

Das Ausführen eines lokalen Exchange Servers ist weitaus komplizierter als das einfache Anmelden bei Office 365, aber Sie haben viel mehr Kontrolle und erhalten als IT-Experte eine weitaus lohnendere Erfahrung. Dieser Artikel gab Ihnen hoffentlich zumindest einen guten Überblick über Ihre Optionen und darüber, was Sie bei der Konfiguration des lokalen Exchange Servers unbedingt richtig machen müssen. Jede Organisation ist anders, und diese Anleitung ist für Ihr Szenario möglicherweise nicht zutreffend. Dies sollte jedoch für die Mehrheit der IT-Administratoren kleiner Unternehmen ausreichen, die sich schnell einrichten möchten.

Zum Thema passende Artikel

  • Die Leistung von PowerShell: Ein Intro für Exchange-Administratoren
  • Download: Kurzanleitung: So wechseln Sie zu Office 365
  • Download: Microsoft Office 365 vs. Google Apps: Der ultimative Leitfaden
  • 5 Office 365-Administratoreinstellungen müssen Sie richtig machen
  • 10 Tools von Drittanbietern für Ihre Office 365-Anforderungen
  • 10 wichtige Probleme bei der Migration von Office 365, die vermieden werden sollten
  • So migrieren Sie Ihren Exchange-Server nach Office 365