Назад | Перейти на главную страницу

Консультации по топологии и сертификатам Exchange 2010

Случайно меня попросили провести небольшое исследование миграции с Exchange 2003 на 2010. Я работаю с Exchange 2007 в течение нескольких лет, но без какой-либо официальной сертификации и т.п.

Я прочитал много учебных материалов и технических документов, чтобы разобраться в процессе миграции и новых концепциях 2010 года. Моя цель - получить четкое представление о том, что происходит, внести общие предложения по топологии и уметь оказать компетентную помощь в случае, если мы привлечем стороннюю компанию для выполнения миграции.

Общая топология:
Я достаточно уверен в своем общем понимании ролей и принципов настройки высокой доступности - хотя у меня есть несколько дополнительных вопросов, я надеюсь, вы можете мне помочь :)

Теперь, для вышеупомянутой настройки, мне было интересно несколько вещей:

Сертификаты:
Я признаю, что мои знания о сертификатах довольно базовые - я над этим работаю :). При заказе сертификата SAN у нашего провайдера должен ли этот сертификат также включать внутренние адреса или просто внешние FQDN? Я имею в виду, что мне нужно включить mail.contoso.com, autodiscover.contoso.com и legacy.contoso.com, но кроме этого, нужно ли включать какие-либо внутренние имена? А как насчет нескольких расширений TLD - нужно ли их также учитывать в сертификате SAN?

Я думаю, что эти вопросы меня больше всего озадачивали. Я с нетерпением жду отзывов об этом моем маленьком проекте и ценю любой хороший совет :)

Если у вас четное количество серверов почтовых ящиков в DAG требуется файловый свидетель, так что в вашем случае вы это сделаете. Microsoft рекомендует вы используете транспортный сервер-концентратор в качестве следящего сервера. Если ваш следящий сервер не является сервером Exchange 2010, вам необходимо добавить учетную запись компьютера Active Directory в Надежная подсистема Exchange группа безопасности.

Также имейте в виду, что структура дисков на обоих ваших серверах DAG должны быть идентичны. Если на одном сервере у вас есть операционная система на C :, ваши базы данных на E: и ваши журналы транзакций на F :, они должны быть такими же на другом сервере.

Вам следует разделить свои базы данных по своему усмотрению, и я не знаю никаких официальных рекомендаций. Однако я перечислю вам несколько достаточно распространенных причин.

  • Квоты почтовых ящиков
  • Разделение бизнес-единиц
  • Разделение физических локаций
  • Производительность. Чем меньше пользователей у БД почтовых ящиков, тем быстрее она будет. Если все файлы базы данных находятся на одном томе, ваша дисковая подсистема может затем стать узким местом.
  • Ваше целевое время восстановления. Чем меньше база данных, тем быстрее ее можно будет восстановить в случае Something Bad Happens ™.
  • По фамилии. В этом нет ни рифмы, ни причины - он просто распределяет людей по доступным базам данных.
  • Случайно. Опять же, это просто для равномерного распределения людей по базам данных и действительно работает только в том случае, если вы не используете базы данных для таких вещей, связанных с политикой, как квоты. Если у вас несколько баз данных, и вы специально не размещаете почтовый ящик при его создании, Exchange просто выберет для вас любую. FWIW вы можете исключить определенные базы данных из этого процесса, используя Set-MailboxDatabase <The DB Name> -IsExcludedFromProvisioning $true.

Что касается вашего сертификата, вам следует запустить мастер сертификатов, который вам предоставляет Exchange 2010. После того, как вы введете соответствующую информацию, он в конечном итоге сгенерирует вам запрос сертификата, который вы сможете отправить в ЦС для создания сертификата. Он обрабатывает все необходимые вам поддомены (ActiveSync, AutoDiscover, OWA и т. Д.) И довольно прост в использовании.

В ответ на ваш вопрос о сертификатах наша установка выглядит следующим образом

Все наши серверы находятся в нашей внутренней сети / домене с полными доменными именами, например [xxx] .internal.lan. Однако у нас настроен разделенный DNS, поэтому на наших внутренних DNS-серверах, например exchange.company.com - это псевдоним для exchange.internal.lan

Таким образом, мы можем опубликовать сервер извне через наш брандмауэр и сказать людям использовать exchange.company.com независимо от того, находятся они внутри сети или за ее пределами.

Публикуем автообнаружение, OWA, ActiveSync и др.

Поэтому нам нужен только один подстановочный сертификат для * .company.com, который мы используем на серверах Exchange, например, для autodiscover.company.com, exchange.company.com и т. д. и т. д.