SSL сертификат требуется для создания безопасного канала связи между CAS и клиентом. Существует 3 способа получения такого сертификата:

  • Получение самоподписанного сертификата. К сожалению такие сертификаты не поддерживаются Outlook Anywhere.
  • Покупка сертификата во внешнем центре сертификатов.
  • Получение сертификата с внутреннего сервера сертификатов.

Самый последний случай нам и нужен. Для начала нужно сформировать запрос на сертификат. Делается это через Exchange Managment Shell следующим командлетом:

New-ExchangeCertificate -GenerateRequest -DomainName fqdn.external,autodiscover.external.domainname,netbios-name,fqdn.internal -FriendlyName fqdn.external -PrivateKeyExportable:$true -Path c:cert_netbios-name.txt

EMS надо запускать от имени администратора. В результате выполнения в корне диска С мы получим файл с запросом для сервера выдачи сертификатов. Идём на сервер выдачи сертификатов, выбираем запрос сертификата, с помощью файла запроса вставляем в предложенную форму содержимое сгенерированного файла запроса, в качестве шаблона выбираем ‘Web Server’ и отправляем запрос на сертификат. По выданной ссылке сохраняем сертификат на наш CAS сервер. Теперь его нужно импортировать и подключить к нашему серверу. Делается это через EMS. Импорт сертификата:

Import-ExchangeCertificate -Path c:newcert.cer

Теперь надо узнать так называемый отпечаток нашего сертификата. Делается это следующим образом:

dir cert:LocalMachineMy | fl

Полученный отпечаток копируем и с его помощью подключаем сертификат к нашему серверу:

Enable-ExchangeCertificate -Thumbprint "отпечаток" -Services "IIS,POP,IMAP,SMTP"

Для того, чтобы наш Hub Transport смог принимать и отсылать почту необходимо создать принимающие и отправляющие коннекторы.

  • Принимающие коннекторы создаются при установке роли Hub Transport и для их корректной работы необходимо добавить разрешения для анонимных пользователей (в противном случае ни один почтовый сервер не сможет послать почту на наш). Можно сделать это через Exchange Managment Console: Server Configuration -> Hub Transport -> в Receive Connectors в свойствах дефолтного коннектора на закладке Permission Groups ставим галку напротив Anonimous users.
  • Отправляющие коннекторы по умолчанию не создаются. Их необходимо создать, например, через Exchange Managment Console: Organization Configuration -> Hub Transport -> закладка Send Connectors -> New Send Connector. Настройки такого коннектора полностью аналогичны настройкам SMTP коннекторов в Exchange 2003. Следует иметь ввиду, что если у нас ещё не настроена внешняя DNS-зона, то стоимость такого коннектора должна быть выше, чем стоимость SMTP-коннектора, который отправляет почту в организации Exchange 2003, инначе весь внешний SMTP траффик пойдёт через наш новый Hub Transport, и, скорее всего, будет резаться принимающими серверами как спам. Кроме этого в свойствах коннектора надо указать FQDN-имя, которым будет представляться наш Hub Transport другим почтовым серверам в начале SMTP-сессий. В дальнейшем на это имя нужно будет выдавать сертификат и добавлять его во внешюю DNS-зону.

Миграция на Exchange 2007В Exchange 2007 структура маршрутизации почтового траффика была сильно переработана по сравнению с Exchange 2003. Теперь при маршрутизации почты используются сайты AD, а не свои собcтвенные группы маршрутизации. Для облегчения перехода с Exchange 2003 на 2007 последний поддерживает группы маршрутизации Exchange 2003 и при установке первого сервера с ролью Hub-Transport создаёт 2 соединителя для маршрутизации почты от Exchange 2003 до Exchange 2007 и наоборот. По умолчанию в этом соединителе указывается Front-End сервер, который запрашивался при установке, и сам Hub-Transport. Если же у нас несколько Front-End серверов и несколько Hub-Transport серверов? Было бы вполне логично и их указать в этих соединителях. Exchange Managment Console не имеет средств для работы с такими коннекторами. Их настройка ведётся исключительно средствами Exchange Managment Shell – командлетами Get-RoutingGroupConnector и Set-RoutingGroupConnector. В свойствах объекта коннектора нас интересуют SourceTransportServers и TargerTransportServers. Изменение многозначных свойств подробно описано в этой статье. Вооружившись ей, пробую:

$rgc = Get-RoutingGroupConnector -Identity "RoutingGroupName"
$rgc.SourceTransportServers += "HUB2"

После этого получаю ошибку:

Exception setting "SourceTransportServers": "Cannot convert value "System.Objec
t[]" to type "Microsoft.Exchange.Data.MultiValuedProperty`1[Microsoft.Exchange.
Data.Directory.ADObjectId]". Error: "Failed to convert HUB2 from System.Stri
ng to Microsoft.Exchange.Data.Directory.ADObjectId.""
At line:1 char:7
+ $rgs.S <<<< ourceTransportServers += "HUB2"

Незадача. Поиск по технету приводит к этой теме на форуме. Предложено вручную через Exchange System Manager удалить коннекторы созданные при установке первого Hub-Transport сервера и создать их вручную, указав при этом необходимые Front-End и Hub-Transport сервера. Похоже ошибка связана с наличием в среде Exchange 2003 back-End кластеров.

Миграция на Exchange 2007В предыдущем посте я начал процесс миграции почтовой системы с Exchage 2003 на Exchange 2007. Таким образом мы имеем подготовленный домен. Пора начать установку серверов Exchange 2007. Порядок установки следующий:

  • Сервер с ролью Client Access Server (CAS)
  • Сервер с ролью Hub Transport (HUB)
  • Сервер с ролью Mailbox

Установку ролей Edge Server и Unified Communications я не рассматриваю. Роли CAS и HUB можно совместить на одном сервере. Собственно, это я и сделаю. В качестве операционной системы буду использовать Windows 2008 Server. На мой взгляд, использование Windows 2003 Server, на текущий момент смысла не имеет, к тому же, сценарий обновления версии Windows Server с 2003 на 2008 c установленным Exchange 2007 не поддерживается.

Итак, система у нас установлена, так же установлены все свежие обновления для системы. Для установки ролей CAS и HUB необходимо установить некоторые дополнительные компоненты Windows 2008 Server. Проще всего это сделать через SeverManagerCmd. Командный файл с необходимыми для установки компонентами выглядит следующим образом:

ServerManagerCmd -i Web-Server
ServerManagerCmd -i Web-ISAPI-Ext
ServerManagerCmd -i Web-Metabase
ServerManagerCmd -i Web-Lgcy-Mgmt-Console
ServerManagerCmd -i Web-Basic-Auth
ServerManagerCmd -i Web-Digest-Auth
ServerManagerCmd -i Web-Windows-Auth
ServerManagerCmd -i Web-Dyn-Compression
ServerManagerCmd -i PowerShell
ServerManagerCmd -i RPC-over-HTTP-proxy

Затем запускаем setup.exe от имени администратора системы (это важно, иначе процесс установки просто не запустится). Процесс установки вызвать проблем не должен. Сначала система проверится на наличие необходимых компонентов/привилегий, и, в случае успешного прохождения всех проверок, можно будет начать устанавливать Exchange 2007. При установке выбираем две роли – Hub Transport и Client Access Server, а в качестве сервера, через который будет пересылаться почтовый трафик для текущей почтовой организации выбираем один из текущих front-end серверов. Установка занимает несколько десятков минут, в зависимости от конфигурации серверного железа.

После установки сервера нас попросят перезагрузиться. После перезагрузки можно установить последний Rollup Update. Здесь тоже есть тонкий момент – во время установки этого пакета обновления сервер связывается со следующим адресом http://crl.microsoft.com/pki/crl/products/CodeSigPCA.crl. И если не может этого сделать, то ничего хорошего не выйдет. Ситуацию можно исправить, но лучше разрешить серверу выходить в интернет по http. В следующий раз рассмотрю процесс конфигурации нового Exchange-сервера.

Windows Server 2008Windows Server 2008 имеет в комплекте сильно изменённую роль веб-сервера IIS. Изменения коснулись как самого веб-сервера, так и инструментов его управления. В этой заметке я коснусь только простейших настроек. Впрочем и решённую задачу назвать сложной проблематично. Итак, имеется сервер, на базе его надо настроить ftp-сервер с доступом по паролю к определённой папке и http-сервер с анонимным доступом к этой же папке, но без возможности просмотра содержимого папки.
Continue Reading »

SymantecСкомпоновал свои записки по установке Enterprise Vault и по предложению Влада – владельца WindowsFAQ.ru опубликовал её на этом ресурсе. Смотреть и обсуждать можно здесь.

Прямо перед новым годом (29 декабря) получил письмо из Symantec’а с заголовком “Version Upgrade Notification – Enterprise Vault 8.0”. Сижу, читаю документацию. Попозже напишу о том, что появилось нового в этой версии. Продукт, по итогам первого прочтения документации, обещает быть интересным.

Миграция на Exchange 2007В просторах интернета нашёлся замечательный пошаговый мануал по процессу миграции на Exchange 2007. В связи с тем, что я приступил к процессу миграции – буду в процессе комментировать свои действия.
Continue Reading »