- Добавление почтовых серверов в группу высокой доступности
- Настройка дополнительных копий почтовых баз
- Почему не работает веб-интерфейс exchange 2021?
- Exchange 2021: как создать свой csr
- Exchange 2021: установка и настройка ssl-сертификата
- Активируйте ssl-сертификат
- Выпуск ssl сертификатов для exchange сервера
- Добавление обслуживаемого домена (accepted domains)
- Добавьте оснастку сертификата в консоли управления microsoft (mmc)
- Запрос сертификата exchange 2021
- Импортируйте промежуточный ssl-сертификат
- Конфигурирование outlook anywhere
- Настройка виртуальных директорий
- Настройка внешних url адресов exchange сервера
- Настройка окружения
- Настройка политики адресов электронной почты
- Настройка службы автообнаружения
- Переименование и перемещение баз данных
- Подготовка сервера свидетеля
- Привязка сертификата к сервисам exchange
- Проверка конфигурации
- Скопируйте файлы сертификата на сервер
- Создание группы высокой доступности
- Создание группы высокой доступности в конфигурации
- Установите ssl-сертификат в консоли управления exchange
- Установка ssl сертификата exchange 2021.
- Экспорт ssl-сертификата на ваш isa-сервер – очень важно
- Заключение
- Настройка соединителя отправки (send connector)
Добавление почтовых серверов в группу высокой доступности
После того, как мы создали группу высокой доступности необходимо добавить в неё оба наших почтовых сервера.
Добавим первый сервер:
Add-DatabaseAvailabilityGroupServer -Identity DAG03 -MailboxServer MBX05В процессе добавления почтового сервера в группу высокой доступности будут установлены все необходимые дополнительные компоненты, в т.ч. Windows Server Failover Clustering.
Теперь добавим в группу высокой доступности второй почтовый сервер:
Add-DatabaseAvailabilityGroupServer -Identity DAG03 -MailboxServer MBX06Посмотрим теперь на нашу группу высокой доступности:
Get-DatabaseAvailabilityGroup -Identity DAG03Мы видим, что оба наших сервера представлены в колонке “Member Server”, т.е. оба сервера были успешно добавлены в группу высокой доступности.
Настройка дополнительных копий почтовых баз
Мы создали группу высокой доступности, добавили в неё оба почтовых сервера, но это еще не обеспечивает нам никакой защиты наших почтовых баз. Чтобы наши почтовые базы были доступны в случае потери почтового сервера, на котором они расположены необходимо настроить дополнительные копии почтовых баз. Займемся этим.
Основная суть в том, чтобы, например, для почтовой базы DB05, которая расположена на сервере MBX05, создать дополнительную копию на сервере MBX06. В случае выхода из строя сервера MBX05, почтовая база DB05 будет автоматически активирована на сервере MBX06. Аналогичное справедливо и для почтовой базы DB06 на сервере MBX06.
Создадим дополнительную копию почтовой базы DB05 на сервере MBX06. Выполним следующий командлет на сервер MBX05:
Add-MailboxDatabaseCopy -Identity DB05 -MailboxServer MBX06Теперь создадим дополнительную копию почтовой базы DB06 на сервере MBX05. Выполним следующий командлет на сервер MBX06:
Add-MailboxDatabaseCopy -Identity DB06 -MailboxServer MBX05Первоначальная настройка Exchange 2021 Database Availability Group завершена, но еще давайте посмотрим в конфигурацию дополнительных копий баз данных:
Get-MailboxDatabaseCopyStatus -Server MBX05
Get-MailboxDatabaseCopyStatus -Server MBX06Мы видим, что для почтовой базы DB05 создано две копии:
- На сервере MBX05. Это основная копию и её статус “Mounted”, т.е. она смонтирована на сервере MBX05, т.к. в соответствующей колонке “Status” для сервера MBX05 указано значение “Mounted”.
- На сервере MBX06. Это дополнительная копия, т.к. в соответствующей колонке “Status” для сервера MBX06 указано значение “Healthy”. В случае непредвиденной аварии сервер MBX06 готов подхватить базу.
Нулевые значения в колонках “Copy Queue Length” и “Replay Queue Length” говорят о том, что почтовая база успешно реплицируется между серверами MBX05 и MBX06.
Настройка группы высокой доступности завершена.
Почему не работает веб-интерфейс exchange 2021?
Есть WIndows server 2021 core с установленным Exchange 2021 CU9
Решил обновить до CU11.
После обновления невозможно зайти в веб-интерфейс. После логина – ошибка 500
Ради эксперимента, установил на чистую машину с нуля windows server 2021 и сразу Exchange 2021 CU11
Ситуация та же самая. Ошибка 500
В логах непонятная ругань, но подозреваю что это совсем по другому поводу. Напоминаю, это чистый компьютер, только что установленное ПО. И есть подозрение что эти ошибки к моей проблеме не относятся.
Есть идеи как полечить? Или откатываться на предыдущее обновление?
Не удается найти описание для идентификатора события 1003 из источника MSExchange Front End HTTP Proxy. Вызывающий данное событие компонент не установлен на этом локальном компьютере или поврежден. Установите или восстановите компонент на локальном компьютере.
Если событие возникло на другом компьютере, возможно, потребуется сохранить отображаемые сведения вместе с событием.
К событию были добавлены следующие сведения:
Owa
Microsoft.Exchange.Diagnostics.ExAssertException: ASSERT: HMACProvider.GetCertificates:protectionCertificates.Length<1
в Microsoft.Exchange.Diagnostics.ExAssert.AssertInternal(String formatString, Object[] parameters)
в Microsoft.Exchange.Diagnostics.ExAssert.RetailAssert[T1,T2](Boolean condition, String formatString, T1 parameter1, T2 parameter2)
в Microsoft.Exchange.Clients.Common.HmacProvider.GetCertificates()
в Microsoft.Exchange.Clients.Common.HmacProvider.GetHmacProvider()
в Microsoft.Exchange.Clients.Common.HmacProvider.ComputeHmac(Byte[][] messageArrays)
в Microsoft.Exchange.HttpProxy.FbaModule.SetCadataCookies(HttpApplication httpApplication)
в Microsoft.Exchange.HttpProxy.FbaFormPostProxyRequestHandler.HandleFbaFormPost(BackEndServer backEndServer)
в Microsoft.Exchange.HttpProxy.FbaFormPostProxyRequestHandler.ShouldContinueProxy()
в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.BeginProxyRequestOrRecalculate()
в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.InternalOnCalculateTargetBackEndCompleted(TargetCalculationCallbackBeacon beacon)
в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.<>c__DisplayClass280_0.<OnCalculateTargetBackEndCompleted>b__0()
в Microsoft.Exchange.Common.IL.ILUtil.DoTryFilterCatch(Action tryDelegate, Func`2 filterDelegate, Action`1 catchDelegate)И вот такая еще ошибка:
Не удается найти описание для идентификатора события 1309 из источника ASP.NET 4.0.30319.0. Вызывающий данное событие компонент не установлен на этом локальном компьютере или поврежден. Установите или восстановите компонент на локальном компьютере.
Если событие возникло на другом компьютере, возможно, потребуется сохранить отображаемые сведения вместе с событием.
К событию были добавлены следующие сведения:
3005
Возникло необработанное исключение.
29.10.2021 13:16:31
29.10.2021 10:16:31
f48d84f8cce44008afdf34b6ac7c78e6
802
801
0
/LM/W3SVC/1/ROOT/owa-2-132799281827015863
Full
/owa
C:Program FilesMicrosoftExchange ServerV15FrontEndHttpProxyowa
TESTMAIL
15664
w3wp.exe
NT AUTHORITYСИСТЕМА
ExAssertException
ASSERT: HMACProvider.GetCertificates:protectionCertificates.Length<1
в Microsoft.Exchange.Diagnostics.ExAssert.AssertInternal(String formatString, Object[] parameters)
в Microsoft.Exchange.Diagnostics.ExAssert.RetailAssert[T1,T2](Boolean condition, String formatString, T1 parameter1, T2 parameter2)
в Microsoft.Exchange.Clients.Common.HmacProvider.GetCertificates()
в Microsoft.Exchange.Clients.Common.HmacProvider.GetHmacProvider()
в Microsoft.Exchange.Clients.Common.HmacProvider.ComputeHmac(Byte[][] messageArrays)
в Microsoft.Exchange.HttpProxy.FbaModule.SetCadataCookies(HttpApplication httpApplication)
в Microsoft.Exchange.HttpProxy.FbaFormPostProxyRequestHandler.HandleFbaFormPost(BackEndServer backEndServer)
в Microsoft.Exchange.HttpProxy.FbaFormPostProxyRequestHandler.ShouldContinueProxy()
в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.BeginProxyRequestOrRecalculate()
в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.InternalOnCalculateTargetBackEndCompleted(TargetCalculationCallbackBeacon beacon)
в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.<>c__DisplayClass280_0.<OnCalculateTargetBackEndCompleted>b__0()
в Microsoft.Exchange.Common.IL.ILUtil.DoTryFilterCatch(Action tryDelegate, Func`2 filterDelegate, Action`1 catchDelegate)
в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.CallThreadEntranceMethod(Action method)
https://localhost:443/OWA/auth.owa
/OWA/auth.owa
::1
TESTDOMAINHealthMailboxd77f0b2
True
Basic
NT AUTHORITYСИСТЕМА
44
NT AUTHORITYСИСТЕМА
False
в Microsoft.Exchange.Diagnostics.ExAssert.AssertInternal(String formatString, Object[] parameters)
в Microsoft.Exchange.Diagnostics.ExAssert.RetailAssert[T1,T2](Boolean condition, String formatString, T1 parameter1, T2 parameter2)
в Microsoft.Exchange.Clients.Common.HmacProvider.GetCertificates()
в Microsoft.Exchange.Clients.Common.HmacProvider.GetHmacProvider()
в Microsoft.Exchange.Clients.Common.HmacProvider.ComputeHmac(Byte[][] messageArrays)
в Microsoft.Exchange.HttpProxy.FbaModule.SetCadataCookies(HttpApplication httpApplication)
в Microsoft.Exchange.HttpProxy.FbaFormPostProxyRequestHandler.HandleFbaFormPost(BackEndServer backEndServer)
в Microsoft.Exchange.HttpProxy.FbaFormPostProxyRequestHandler.ShouldContinueProxy()
в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.BeginProxyRequestOrRecalculate()
в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.InternalOnCalculateTargetBackEndCompleted(TargetCalculationCallbackBeacon beacon)
в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.<>c__DisplayClass280_0.<OnCalculateTargetBackEndCompleted>b__0()
в Microsoft.Exchange.Common.IL.ILUtil.DoTryFilterCatch(Action tryDelegate, Func`2 filterDelegate, Action`1 catchDelegate)
в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.CallThreadEntranceMethod(Action method)
Неверный дескрипторExchange 2021: как создать свой csr
Используйте Центр администрирования Exchange (EAC) для создания CSR:
Exchange 2021: установка и настройка ssl-сертификата
После проверки и выдачи Вашего SSL-сертификата Вам необходимо установить его на сервере Windows Server 2021, где был создан CSR. Затем Вам нужно настроить сервер для его использования.
Установите и назначьте службы на свой SSL – сертификат с помощью EAC
Установка SSL – сертификата:
Активируйте ssl-сертификат
- На главной панели найдите раздел Сертификаты Exchange и выберите свой сертификат.
- На панели Действия справа найдите раздел со своим сертификатом и нажмите Назначение служб сертификату.
- В новом окне выберите свой сервер и нажмите Далее.
- Выберите службы, для которых хотите активировать сертификат (например, SMTP, IMAP, POP и IIS).
- Нажмите Далее, а затем Назначить.
- Нажмите Готово.
Выпуск ssl сертификатов для exchange сервера
Цифровые сертификаты очень важны в любой Exchange организации. Именно с их помощью обеспечивается защищенный обмен между клиентами и компонентами почтовой инфраструктуры. По умолчанию, Exchange Server настроен на использование протокола TLS с помощью самоподписанных сертификатов.
Однако, для подключения Outlook клиентов такая конфигурация не совсем корректна. В качестве решения, рекомендуется использовать корпоративную PKI инфраструктуру, на базе ADCS. Службы сертификатов будут работать внутри корпоративного периметра обеспечивая поддержку не только Exchange, но и других криптографических задач предприятия.
Для выпуска сертификата, переходим во вкладку (servers) и открываем раздел (certificates). Заказываем выпуск нового сертификата:
Выбираем первый пункт (Create a request for a certificate from a certification authority) так как использование самоподписанных сертификатов не предполагается:
Указываем отображаемое имя будущего сертификата:
Далее, возможно настроить получение сертификата типа wildcard. Хоть и последние версии Exchange корректно работают с данным типом, я предпочитаю его не использовать. Оставляем без изменений и переходим на следующую страницу.
Указываем сервер на котором будет создан сертификат, т. к. закрытый ключ ключевой пары не покидает Exchange сервер:
Следующий шаг пропускаем не меняя настройки. Далее, подправляем домены на следующие:
- mail.corp.ait.in.ua
- mail.ait.in.ua
- autodiscover.ait.in.ua
- autodiscover.corp.ait.in.ua
- kv-ex01
- kv-ex01.corp.ait.in.ua
где, my-sertif.ru почтовый домен и corp.my-sertif.ru — домен Active Directory. kv-ex01 и kv-ex01.corp.my-sertif.ru — имена сервера. Запись autodiscover необходима для функционирования сервиса автоматического обнаружения почтовой конфигурации клиентами Outlook и ActiveSync. Она должна обязательно присутствовать в теле сертификата.
На следующем шаге необходимо определить расположение для сохранения CSR запроса. В последствии, он будет передан во внешним ЦС. Так как учетная запись Exchange сервера является членом группы Trasted Sybsystems, возможно использовать общими административными каталогами.
Для этого указываем следующий UNC путь — \kv—ex01.corp.my-sertif.ruC$req.req Файл req.req содержащий CSR запрос будет создан в корне системного диска.
Для задачи подписания, можно воспользоваться CertificateEnrollmentWebService. Этот компонент упрощает процесс предоставляя веб приложения для этих целей. По умолчанию, CEWS доступен в каталоге /certsrv сервера.
Перейдя на него, необходимо заказать запрос сертификата (Requestacertificate).
Выбираем расширенный тип запроса (advanced certificate request):
Вставляем содержимое CSR запроса. Из списка доступных шаблонов сертификатов выбираем Web Server:
Скачиваем файл цифрового сертификата:
Загружаем сертификат в корень системного диска Exchange сервера:
В той же вкладке certificates необходимо завершить процедуру выпуска «подложив» подписанный сертификат. Для этого выбираем действие Complete:
В открывшейся окне указываем UNC путь к файлу, который ранее был загружен в корень системного диска.
После завершения операции, сертификат готов к использованию в компонентах сервера. Для его назначения сервисам нажимаем на иконку «карандаш»:
и выбираем сервисы IIS, SMTP:
После применения, необходимо перезапустить браузер. При условии корректно настроенных служб сертификатов Active directory предупреждение о недоверенном сертификате в строке браузера должно исчезнуть. Клиенты Outlook также не выдадут предупреждение при попытке подключения к серверу.
Добавление обслуживаемого домена (accepted domains)
Обслуживаемый домен (accepted domains) — это домен, который используется Exchange организацией для получения и отправки почтового трафика. В рамках него (типы Authoritative и Internal Relay) могут формироваться почтовые адреса пользователей, общих почтовых ящиков, групп распространения и других объектов Exchange которым возможно назначить почтовый адрес.По умолчанию, сразу же после развертывания, доступен лишь один обслуживаемый домен:
Имя его соответствует домену Active Directory. Всего существует три типа обслуживаемых доменов:
- Уполномоченный домен (Authoritative)
- Домен внутренней ретрансляции (InternalRelay)
- Внешний домен ретрансляции (ExternalRelay)
Домены первого типа полностью обслуживаются Exchange организацией. При поступлении на него входящего письма происходит поиск почтового адреса в глобальном каталоге Active Directory. В случае его отсутствия будет возвращен NDR (Not Delivery Report).
Домен внутренней ретрансляции применяется тогда, когда адресное пространство используется совместно с другой почтовой инфраструктурой. Логика работы такая же, как и в первом типе, но при отсутствии почтового адреса в глобальном каталоге возможно перенаправление письма на другой SMTP шлюз.
Последний тип используется в задачах перенаправления входящих писем на внешний SMTP шлюз тогда, когда нет надобности в использовании одного адресного пространства с другой почтовой системой. Так же, его невозможно использовать при формировании почтовых адресов в Exchange организации.
Если письмо будет доставляться в Exchange организацию, а домен получателя отсутствует в обслуживаемых доменах, оно автоматически будет отклонено с ошибкой 550 5.7.54 SMTP; Unabletorelayrecipientinnon—accepteddomain.
Сам процесс добавления домена необходимого типа выглядит следующим образом:
Добавьте оснастку сертификата в консоли управления microsoft (mmc)
- Откройте меню Пуск и нажмите Выполнить.
- Введите mmc в строке и нажмите ОК.
- В меню Файл выберите Добавить или удалить оснастку.
- В открывшемся окне нажмите кнопку Добавить.
- Нажмите Сертификаты, а затем Добавить.
- Выберите Аккаунт компьютера и нажмите Далее.
- Нажмите Локальный компьютер, а затем Готово.
- В окне Добавить изолированную оснастку нажмите Закрыть.
- В окне Добавить или удалить оснастку нажмите ОК.
Запрос сертификата exchange 2021
Дальше переходим в центр администрирования Exchange 2021 и идем к сертификатам, нажимаем на «плюсик» и создаем запрос на сертификат. Все просто, но на всякий случай прокомментирую.
Задаем понятное имя запроса:
Групповой сертификат не нужен, пропускаем:
Сохраняем запрос на любом сервере. Если сервер у вас один, то и выбор очевиден.
Дальше идет достаточно ответственный момент и лучше бы все сделать правильно с первого раза. Если за первый раз не получится, ничего страшного, просто пройдете весь путь снова, за одно и руку набьете. Вообще Exchange достаточно умный и практически всегда сам правильно выставляет все необходимые ему имена. Однако если у вас несколько серверов, то их внутренние имена придется ввести вручную, что я и сделал.
Проверяем сводную информацию:
Если вы дошли до этого момента, то возня с запросом практически закончилась. На этом этапе вводим данные организации. Можно ввести что угодно, но пусть лучше там будет осмысленная информация, если вы делаете сертификат для своего работодателя.
Импортируйте промежуточный ssl-сертификат
- В консоли MMC нажмите ▸, чтобы открыть раздел Сертификаты (локальный компьютер).
- Нажмите правой кнопкой мыши на папку Промежуточные центры сертификации. Наведите указатель мыши на пункт Все задачи и выберите Импорт.
- В открывшемся окне нажмите Далее.
- Выберите Обзор. Найдите файл загруженного промежуточного сертификата и нажмите Открыть.
- Нажмите Далее. Проверьте данные сертификата и выберите Готово.
- Закройте уведомление об успешном импорте.
Конфигурирование outlook anywhere
Первоначальная настройка Exchange 2021 также включает в себя настройку пространства имен для Outlook Anywehere (OA). OA позволяет клиентам Outlook подключаться к своим почтовым ящикам за пределами локальной сети (без использования VPN).
Проверим текущие настройки AO для первого сервера Exchange 2021:
Get-OutlookAnywhere -Server MBX05 | fl *host*Настройка виртуальных директорий
Первоначальная настройка Exchange 2021 включает в себя настройку виртуальных директорий. В Exchange 2021 у нас присутствуют следующие виртуальные директории:
Настройка внешних url адресов exchange сервера
Базовая настройка Exchange Server не заканчивается добавлением обслуживаемого домена и настройкой соединителей. Необходимо задать корректные URL адреса для подключения клиентов. Для этого перейдем в настройки конфигурации:
Выберем сервер и нажмем на «карандаш» открыв страницу настроек. Далее, необходимо перейти в настройки OutlookAnywhere и задаем внешний домен для подключения клиентов:
Данный домен, в последствии, будет использоваться для публикации Exchange сервера. Этот процесс будет описан в будущей статье.
Задание внешнего домена требуется и для веб каталогов Exchange сервера. Для этого необходимо перейти в конфигурацию virtual directories и найти «гаечный ключ»:
На открывшейся странице задаем необходимую конфигурацию:
Задание внешнего домена по которому будет доступна Exchange инфраструктура необходимо для дальнейшего выпуска SSL сертификатов.
Настройка окружения
Как и в статье Алексея, мне пришлось немного поднастроить свой центр сертификации и все началось с установки компонента «Служба регистрации в центре сертификации через Интернет». Если кто-то не помнит как добавлять необходимые компоненты определенной роли в Windows Server 2008 R2, то это делается вот так:
Для поддержки сертификатом дополнительных имен узлов нам действительно нужно отдельно включать поддержку SAN45 в нашем ЦС. Алексей не забыл упомянуть и это в своей статье6. Выполняем в командной строке с правами админа команду:
certutil -setreg policyEditFlags EDITF_ATTRIBUTESUBJECTALTNAME2
Перезапускаем службу:
net stop certsvcnet start certsvc
Дальше нас ждет процесс генерации запроса на получение сертификата в локальном центре сертификации.
Настройка политики адресов электронной почты
Политики адресов электронной почты определяют правила создания электронных адресов для получателей в организации Exchange. Функционал крайне полезен, так как с его помощью транслируется единый формат почтовых алиасов как для существующих, так и для новых пользователей организации.
Чтобы приступить к созданию первой политики, необходимо перейти в раздел (mail flow), далее во вкладку (mail address policies):
Создаем новую политики нажав “Add” ( ). Откроется окно, где необходимо задать название политики и формат адресов электронной почты:
В качестве шаблонов, возможно использовать один из стандартных, либо подготовить его самостоятельно.
Самостоятельно подготовить шаблон можно используя переменные. Ниже таблица с их возможными значениями:
| Переменная | Значение |
| %d | Краткое имя |
| %g | Имя |
| %i | Буква отчества |
| %m | Псевдоним Exchange |
| % rXY | Заменить все вхождения x на y |
| % rXX | Удалить все вхождения x |
| %s | Фамилия |
| %ng | Первые n букв имени. Например, %2g первые две буквы с именем не используются. |
| %ns | Первые n букв фамилии. Например, %2s использует первые две буквы фамилии. |
Следующий шаг будет в определении области применения политики. Она состоит из типов объектов Exchange и их расположения.
После создания, необходимо применение политики:
Настройка службы автообнаружения
Теперь посмотрим, как выглядят настройки служб автообнаружения после добавления серверов Exchange 2021 в нашу организацию:
Get-ClientAccessService | fl identity, *uri*Переименование и перемещение баз данных
Перед настройкой Database Availability Group нам нужно будет выполнить некоторые подготовительные работы:
- Дать более понятное имя почтовым базам.
- Переместить файлы почтовых баз на отдельный выделенный диск.
Сейчас у нас по одной на каждом сервере Exchange 2021. Посмотреть их мы можем следующим командлетом:
Get-MailboxDatabase -Server MBX05
Get-MailboxDatabase -Server MBX06Переименование почтовой базы состоит из двух шагов: переименование объекта базы данных в конфигурации и переименование физических файлов на системе хранения.
Сначала переименуем наши почтовые базы в конфигурации:
Get-MailboxDatabase -Identity "Mailbox Database 0290655971" | Set-MailboxDatabase -Name DB05
Get-MailboxDatabase -Identity "Mailbox Database 1173892190" | Set-MailboxDatabase -Name DB06Однако, физические файлы базы все еще называются старым именем, которое было присвоено мастером установки:
Мы совместим процесс переименование физических файлов почтовой базы и процесс переноса физических файлов почтовой базы на отдельный выделенный диск. В нашем случае необходимо выполнить следующий командлет на первом сервере Exchange 2021 (MBX03):
Move-DatabasePath -Identity DB05 -EdbFilePath e:DB05db05.edb -LogFolderPath e:DB05Нас предупредят о том, что на время переноса почтовая база будет недоступна:
Теперь наша почтовая база расположена на нужном нам диске и наименована так, как мы и просили:
Выполним аналогичный командлет на втором сервере Exchange 2021 (MBX06):
Move-DatabasePath -Identity DB06 -EdbFilePath e:DB06db06.edb -LogFolderPath e:DB06Переименование и перемещение почтовых баз завершено.
Подготовка сервера свидетеля
В качестве сервера свидетеля мы будем использовать сервер SRV01. Операционная система – Windows Server 2021 R2. Этот сервер мы использовали в качестве сервера свидетеля при настройке DAG для Exchange 2021, т.е. все необходимые шаги по его подготовке мы уже выполнили.
Если вы планируете использовать другой сервер, то его необходимо будет подготовить. Для подготовки сервера к работе в качестве свидетеля для DAG Exchange 2021 необходимо выполнить следующие действия:
1. Установить и выполнить первоначальную настройку операционной системы.
2. Выполнить настройку IP-адресации.
3. Установить все обновления для ОС.
Привязка сертификата к сервисам exchange
Импорт сертификата – это лишь половина дела. Далее их нужно указать – какие сервисы будут использовать наш сертификат:
1. Запустим Exchange Management Shell на первом сервере Exchange 2021 и посмотрим на список наших сертификатов:
Get-ExchangeCertificate | fl Subject,Services,Thumbprint2. Находим необходимый нам сертификат и привязываем его ко всем сервисам:
Get-ExchangeCertificate -Thumbprint "5CEC8544D4743BC279E5FEA1679F79F5BD0C2B3A" | Enable-ExchangeCertificate -Services IMAP, POP, IIS, SMTP3. Перезапускаем сервер IIS:
iisreset4. Выполняем аналогичные действия на втором сервере Exchange 2021.
Проверка конфигурации
Доступ к Outlook Web Access:
Почтовый обмен с внешней почтовой системой:
Скопируйте файлы сертификата на сервер
- Найдите на сервере папку, в которой хранятся файлы сертификатов и ключей, и загрузите в нее промежуточный сертификат (с названием вида
gd_iis_intermediates.p7b) и основной сертификат (файл в формате.crtсо случайным названием).
Создание группы высокой доступности
Последним подготовительным шагом для наших серверов Exchange 2021 станет процесс создания группы высокой доступности (Database Availability Group – DAG).
Высокоуровнево процесс создания группы высокой доступности состоит из следующим шагов:
- Создание группы высокой доступности в конфигурации.
- Добавление почтовых серверов в группу высокой доступности.
- Настройка дополнительных копий почтовых баз.
Важный момент – поскольку у нас всего два почтовых сервера, то кворум они собрать не смогут и им нужен сервер свидетель. Поскольку размещать свидетеля на контроллере домена далеко не самая хорошая практика (даже в тестовой среде), то мы подготовим отдельный сервер – SRV01.
Более подробно про кворумы можно почитать в документации на сайте Microsoft.
Создание группы высокой доступности в конфигурации
Первый шаг создания DAG на сервере Exchange 2021 – создание объекта группы высокой доступности в конфигурации Exchange. Создадим группу высокой доступности:
Установите ssl-сертификат в консоли управления exchange
- Откройте меню Пуск и нажмите Программы.
- Нажмите Microsoft Exchange 2021, а затем Консоль управления Exchange.
- На панели навигации слева выберите Локальный сервер Microsoft Exchange.
- На главной панели найдите раздел Сводка об организации и нажмите Управление базами данных.
- На панели навигации слева нажмите Локальный сервер Microsoft Exchange, а затем Конфигурация сервера.
- На главной панели найдите раздел Сертификаты Exchange и выберите свой сертификат.
- На панели Действия справа найдите раздел со своим сертификатом и нажмите Выполнить ожидающий запрос.
- Выберите Обзор. Найдите файл загруженного основного сертификата и нажмите Открыть.
- Нажмите Завершить.
- Нажмите Готово.
Примечание. Если появляется ошибка Исходные данные повреждены или неверно закодированы в формате Base64), перезагрузите консоль, нажав клавишу F5. Убедитесь, что в столбце Самоподписывающиеся для вашего сертификата указано значение Неверно. Если вы видите значение Верно, создайте новый запрос подписи сертификата (CSR) и новый ключ.
Установка ssl сертификата exchange 2021.
https://letsencrypt.org/
с помощью acme клиента получаем сертификат *.pfx (мы используем его в ручном режиме Manual и клиент автоматически не подтверждает доменное имя на который выпускается сертификат и оно должно проверяться снаружи, а также он не устанавливает сертификат автоматически).
Чуть подробнее про обновление (или выпуск) сертификата:
Запустим клиента.
Manage renewals (A)
Видим, что один (в нашем случае №2) сертификат due now, то есть готов к обновлению.
Выбираем его:
Выбираем наше действие (R):
Здесь нам говорят, что надо подтвердить домен методом dns-01 вручную и показывает, что нам надо сделать:
Authorizing sso(mail).yourdomain.ru using dns-01 validation (Manual)
А именно, добавить указанную запись TXT (на внешнем dns сервере): _acme-challenge.sso
В поле Text вставляем содержимое нашего черного окошка из поля content (я вставил без кавычек).
Выгружаем зону.
До нас изменения могут приходить долго, поэтому все равно его проверяем в acme, acme снаружи проверит это достаточно скоро.
Удаляем ранее созданную запись во внешнем DNS.
И нажимаем Enter
Как мы видим Renewals success
Посмотрим информацию про сертификат.
В папке у нас он тоже появился:
Устанавливаем его в локальное хранилище сервера Exchange (если нод несколько, то на все ноды):
Импортируем его себе в ЛИЧНОЕ ХРАНИЛИЩЕ СЕРТИФИКАТОВ СЕРВЕРА.
Здесь потребуется пароль от закрытого ключа.
Запустим клиента.
Manage renewals (A)
D: Show details for *all* renewals
Нас интересует поле .pfx password (и в последствии нужен будет Thumbprint, его тоже надо будет запомнить или записать).
Копируем пароль и вставляем в нужное нам окно.
После этого на сервере Exchange запускаем certmgr, и здесь у нас появляется наш сертификат и сертификат промежуточный издающего центра.
Далее, необходимо поставить его на сервер Exchange.
https://my-sertif.ru/ru-ru/powershell/module/exchange/enable-exchangecertificate?view=exchange-ps
https://gist.github.com/Kimanibob/5531884
Enable-ExchangeCertificate -Thumbprint 5113ae0233a72fccb75b1d0198628675333d010e -Services POP,IMAP,SMTP,IIS
(SMTP мы его не ставим, у нас тут самоподписный сертификат Exchange), поэтому вот так
Enable-ExchangeCertificate -Thumbprint 5113ae0233a72fccb75b1d0198628675333d010e -Services POP,IMAP,IIS
Thumbprint отпечаток, берем из wacs.exe, который открывали ранее:
Версия о том, что после этого обязательно надо «ребутнуть» IIS, пока остается не подтвержденной:
Далее, у нас должен появится наш новый сертификат вот здесь:
Можно посмотреть его свойства:
Старый сертификат можно удалить прям из графической оболочки.
Посмотреть действующий сертификат:
https://my-sertif.ru/ru-ru/powershell/module/exchange/get-exchangecertificate?view=exchange-ps
Get-ExchangeCertificate | Format-List
Get-ExchangeCertificate | select Thumbprint, Services, NotAfter, Subject, CertificateDomains
Get-ExchangeCertificate | select Thumbprint, Services, NotAfter, Subject, CertificateDomains | where {$_.Services -match «SMTP»} | fl
На вторую ноду перетаскиваем pfx, также импортируем в ЛОКАЛЬНОЕ ХРАНИЛИЩЕ СЕРТИФИКАТОВ НЕ ПОЛЬЗОВАТЕЛЯ, А СЕРВЕРА
И делаем тоже самое:
Enable-ExchangeCertificate -Thumbprint 5113ae0233a72fccb75b1d0198628675333d010e -Services POP,IMAP,SMTP,IIS
В итоге, видим сертификаты на обоих нодах. На этом все.
Выше рассмотрен вариант установки сертификата в готовом pfx формате.
А вот в случае если сертификат и закрытый ключ мы получаем отдельными файлами,
Мы попробовали просто импортировать сертификат *.crt, оснастка Эксченжда ECP его успешно приняла, но в списке сертификатов Эксченджа он не появился.
Оказалось, что для импорта этой пары в Эксчендж их необходимо упаковать в контейнер формата PKCS#12 (расширение .pfx).
Онлайн утилитам я бы такое доверять наверно не стоит, здесь лучше опять же использовать openssl. Конвертируем пару закрытый ключ сертификат в контейнер командой
opensslpkcs12 -export -out output-cert-name.pfx -inkey key-file-name.key -in input-cert-name.crt
на запрос пароля вводим новый пароль создаваемого контейнера.
Далее импортируем результат в Эксчендж :
Import-ExchangeCertificate -Server EX2021-01 -FileName «\Server-NameShare-Nameoutput-cert-name.pfx» -Password (ConvertTo-SecureString -String ‘Your-Password‘ -AsPlainText -Force)
если предварительно попробовать импортировать голый сертификат в консоль Эксча, то вывалится ошибка:
Не удается импортировать сертификат. Сертификат с отпечатком 12312312301178A455F7852D6519464123123123 уже существует.
однако сертификата с таким отпечатком в Эксче нет:
get-exchangecertificate -Thumbprint 12312312301178A455F7852D6519464123123123
На сервере ******* возникает характерная для Rpc ошибка: Сертификат с отпечатком 12312312301178A455F7852D6519464123123123 не найден.
Проблема исправляется: запуском mmc сертификаты компьютера, и ручным удалением ранее импортированного сертификата (того который без закрытого ключа). После этого контейнер успешно импортируется.
Для информации: https://www.petenetlive.com/KB/Article/0001528
Всем хорошей работы!!!
Sorry, the comment form is closed at this time.
Экспорт ssl-сертификата на ваш isa-сервер – очень важно
Когда Вы экспортируете SSL – сертификат, не забудьте включить все сертификаты в цепочку сертификации по запросу. Если Вы этого не сделаете, Ваш сертификат не будет работать должным образом.
Заключение
Первоначальная настройка Exchange 2021 завершена. Мы импортировали и привязали сертификаты, настроили виртуальные директории. Дополнительно мы сконфигурировали группу высокой доступности для отказоустойчивое работы наших новых почтовых баз.
Настройка соединителя отправки (send connector)
В Exchange инфраструктуре коннекторы или соединители выполняют задачи обработки входящего и исходящего почтового потока, также участвуют внутри транспортного потока Exchange. Чтобы почтовая инфраструктура могла взаимодействовать с внешними системами по протоколу SMTP, необходимо создать новый соединитель отправки.
Как и в случае с обслуживаемыми доменами, существует несколько типов исходящих почтовых соединителей:
- Внутренний (Internal)
- Внешний (Internet)
- Партнерский (Partner)
Внутренний соединитель отправки используется для ретрансляции почтового потока внутри почтовой организации. Например, в сочетании с доменом внутренней ретрансляции.
Внешний тип предполагает отправку почты во вне организации, например удаленному почтовому серверу через Интернет.
Партнерский тип используется для настройки почтового взаимодействия между двумя внешними партнерскими организациями. Примером может служить холдинг. В холдинге множество отдельно стоящих почтовых систем, взаимодействие между которыми регулироваться политиками безопасности. Одна из политик требует, чтобы во время почтового обмена использовалось шифрование. Партнерский тип решает эту задачу.
Возвращаясь к задаче, для отправки внешним почтовым системам необходим внешний (Internet) тип соединителя.
На следующей странице необходимо указать каким образом будет осуществляться отправка почты. Либо используя MX записи, либо выделенный смарт-хост в виде внешнего почтового релея.
Внизу страницы присутствует чек-бокс с включением конфигурации Use the external DNS lookup settings on servers with transport roles. Задействование данной опции позволит не использовать конфигурацию DNS серверов сетевого интерфейса Exchange сервера, а применить настройки из конфигурации самого сервера. Они задаются на странице Servers, в первом же разделе Servers:
Необходимая вкладка называется DNS lookups:
