Microsoft Exchange Server с нуля
 

Всем привет. Прошу помочь с развертыванием Exchange Server с нуля. Что требуется:
- Корпоративный почтовый сервер с возможностью отправлять и получать письма не только внутри компании, но и для внешней переписки.

Сразу скажу, что пока речь не идет о том, как его установить, просто хочу понять как это работает. Пока вопросы следующие:
- Нужно ли для этого доменное имя?
- Что еще нужно кроме доменного имени?
- Требуется ли для Exchange Server 2016 функциональный уровень домена и леса выше Windows 2008 R2?

А как Вы видите нашу помощь? Если хотите разобраться, то вам нужно просто пройти курс по установке Exchange Server 2016. Вот купите отличный курс Курс по Exchange Server 2016 от Ильи Рудя Получите доступ к лабе и лабораторные работы. Он ответит на все возникающие вопросы.

Просто так вы сэкономите кучу времени себе и участникам форума.

Pavel Nagaev, вот что непонятно. Допустим домен в фирме или компания называется company.local. Я так думаю в Exchange Server можно сделать так, чтобы почта внутри локального домена работала. А если есть зарегистрированное доменное имя company.ru, как мне привязать почтовые ящики к этому зарегистрированному домену?

P.S. За ссылку на курс отдельное спасибо.

Вы просто прослушайте курс и почитайте книги, станет многое понятно и подобных вопросов не будет. Для ящиков делается политика адресов, для Exchange делается accepted domain company.ru и для company.ru делается MX во внешнем DNS, где IP указывает на внешний IP вашего Exchange.

Всем привет. Установил Exchange Server 2013. Помогите с парочкой ошибок.

1. При запуске Outlook выходит вот такая ошибка (error 1). При чем на windows 7 после предупреждения о недоверии сертификата профиль создается. А в windows 10 нет. Пробовал сносить и создавать профиль, а также настроить Outlook вручную. Оба решения не помогли.
2. При создании базы данных почтовых ящиков, а точнее при монтировании выходит ошибка.

Поднял на Vmware сервер Exchange 2013. Изначально была проблема в том, что виртуальные клиентские машины на Windows 7 и 8.1 подключались к Exchange серверу, а машина на Windows 10 никак. Также, хотелось избавиться от сообщения "There is a problem with this website’s security certificate." при открытии Exchange Admin Center. Подсказали, что нужен сертификат, чтобы клиентские машины доверяли Exchange серверу. Что я сделал:
1. Установил роль Active Directory Certificate Services с базовыми настройками.
2. В Exchange Admin консоли создал запрос на выпуск сертификата для Exchange 2013 через Certificate Authority. По шагам:
- В Exchange Admin Center -> servers - certificates
- Create a request for a certificate from a certification authority и т.д.
3. В итоге у меня создался сертификат certnew.cer
4. На контроллере домена создал GPO exchange certificate: Computer Configuration/Policies/Windows Settings/Security Settings/Public Key Policies/Trusted Root Certification Authorities и импортировал только созданный сертификат.
5. Прицепил exchange certificate к контейнеру с серверами и клиентскими машинами.

В итоге, десятка так и не подключается к Exchange, при запуске Exchange Admin Center все то же сообщение об ошибке сертификата.

Это у меня групповые политики не срабатывают или я с сертификатом что-то сделал криво?

Такой вопрос. Есть публичный адрес. Сейчас я в процессе регистрации доменного имени. Допустим доменное имя я купил. Кто настраивает MX запись, регистратор моего доменного имени?

В Trusted Root надо добавлять рутовый сертификат CA, выпустившего сертификат для Exchange.
Сертификат сделанный с помощью Exchange Admin Center, как это не странно, ставиться на Exchange :)

Когда домен покупаете, у вас есть возможность делегировать его - делаете это на нужный вам DNS хостинг и затем сможете там редактировать все записи.

ko4evneg, не совсем понял что такое делегировать доменное имя на DNS хостинг. Если вам несложно расскажите пожалуйста поподробнее.

Спасибо.

На вышестоящих DNS серверах меняется NS запись вашего домена (нижестоящего по отношению к этим серверам) на нужные вам DNS сервера. Таким образом за разрешением имен в этом домене DNS клиенты начнут обращаться именно к вашим серверам, а уже на них вы сможете создавать нужные вам записи.

Ребят, объясните пожалуйста про сертификаты для Exchange сервера. Как я понял сторонний внешний сертификат нужен для OWA а для работы почты внутри компании можно ограничится самоподписным. Допустим я обратился в организацию по выдаче SSL сертификатов и купил сертификат. Что он вообще из себя представляет? Файл в котором данные об организации? Далее, получив этот файл что требуется сделать для того чтобы его внедрить в OWA? Я понимаю, что ответ на этот вопрос может быть обширным. Поэтому был бы благодарен если бы подсказали что искать в гугле на тему Exchange и сертификатов. Спасибо.

Что такое сертификат
Пример установки сертификата
Можете использовать самоподписаный сертификат везде. Требование - чтобы он являлся доверенным у всех клиентов.

Я почитал пару статей про создание самоподписного сертификата для Exchange. В обеих статьях это делается через Exchange Admin Center. Этот сертификат создается через Exchange Admin Center, затем экспортируется на AD и оттуда раздается через GPO.

В связи с этим у меня вопрос. А на хрена тогда нужен сервер со службой сертификатов? Буду признателен если объясните.

Через ADmin Center создается только запрос, на основе которого служба сертификатов выдаст сертификат.

В окне new Exchange Certificate есть два варианта:
- Create a request for a certificate from a certification authority
- Create a self-signed certificate

Первый для получения сертфиката от сервера CA, а второй для сертификата самоподписного Exchange сервером. Правильно?

И еще, на этапе "Specify the domains you want to be included in your certificate" есть строчка "Outlook Web Access (when accessed from the Internet) - <Not Specified>. У меня внутренний домен corp.netdoc.com.au. Могу ли я указать mail.netdoc.com.au вместо mail.corp.netdoc.com.au?

Да

Да, только нужно будет owa настроить на этот адрес в дальнейшем

Это в настройках Exchange?

И еще, OWA это клиенткий доступ к почтовму ящику в вэб браузере. Верно?

Простите за идиотский вопрос, а что нужно, чтобы доступ к Exchange Admin Center осуществлялся по адресу https://mail.netdoc.com.au/ecp, а OWA соответственно https://mail.netdoc.com.au/owa вместо соответственно https://sydhombx01/ecp и https://sydhombx01/owa?

Да

Посмотрите пример настройки URL тут.

Поменял URL для OWA и ECP на mail.netdoc.com.au. Какие записи помимо нижеперечисленных нужн создать в DNS:

mail.netdoc.com.au - A - 172.16.1.4
owa.netdoc.com.au - A - 172.16.1.4
autodiscover.mail.com.au - A - 172.16.1.4

Сделал вот что: поменял почти внешние и внутренние URL (т.к. у меня все на виртуалке то важны больше внутренние) почти для всех виртуальных директорий кроме Autodiscover (Default Web Site). Было sydhombx01.corp.netdoc.com.au, а стало mail.corp.netdoc.com.au. DNS записи я еще не создал, но создал самоподписный Exchange сервером сертификат. Теперь имею то, что ни на одной клиентской машине Outlook не может подлючится к Exchange серверу.

Не прошу помочь разобраться с этим. У меня тут больше вопрос теории. Я правильно понимаю, что сейчас Outlook не может подключиться к Exchange серверу потому, что был создан сертификат в котором указаны URL не имеющие к моей сети никакого отношения т.к. не были созданы соответствующие DNS записи, а именно mail.netdoc.com.au? Кстати не знаю имеет ли это какое то значение, но GPO, который должен раздавать сертификат на клиентские машины на данный момент разлинкован от контейнера с клиентcкими машинами в Диспетчере Групповых Политик.

Подскажите как сделать так чтобы в ECP можно было входить используя только имя пользователя без указания имени домена.
Например username, а не domainname/username.

Разобрался.

Ребят, если не сложно в двух словах объясните пожалуйста смысл в Exchange Server таких типов реципиентов как public folder mailbox и reqources. Где или для чего это может применяться?

Public Folder - для работы нескольких человек с одним ящиком например
resource mailbox - ящики переговорок и оборудования (например проектор). Нужны для бронирования комнат и оборудования в нужное время.

При подготовке к установке Exchange 2013 вылезла такая штука:
Может ли происходить такое если схема уже была установлена?

Подготовьте схему вручную с ключом /prepareAD. Ошибка как раз похожа именно на расширение схемы

/PrepareAD прошло успешно.

Ну теперь пробуйте ставить

Ребят, купил доменное имя и хочу теперь прицепить к нему почту. В панели ничего нет. Большая просьба объяснить что делать дальше. Что мне нужно сделать чтобы привязать почту к имеющемуся IP адресу?

По адресу следующий вопрос. Интернет поднят на обычном домашнем роутере. Снаружи белый адрес а внутри по DHCP из области 192.168.0.0/24. Какие порты мне нужно будет пробросить до почтового сервера?

0. Прочитать какую-нибудь книжку по серверу :)
1. Делегировать ваше доменное имя какому-то DNS-серверу, обычно эта услуга доступна у регистратора, того где вы покупали имя.
2. Создать запись типа А, указывающую на внешний адрес роутера.
3. Создать запись типа МХ указывающую на запись А созданную на шаге 2.
4. Настроить static NAT по TCP25 с внешнего интерфейса роутера на внутренний адрес сервера
5. Добавить купленный домен в качестве Accepted Domain (New-AcceptedDomain в EMS)
6. Создать политику адресов электронной почты с новым доменным суффиксом.
7. В настройках отправляющего коннектора указать FQDN равный записи А, созданной на шаге 2
8. Создать запись типа PTR у провайдера, чтобы внешний адрес роутера разрешался в FQDN
9. Создать запись SPF
Последние два шага не обязательны, но в противном случае ваша почта будет попадать в спам.
Как-то так. Подробные инструкции по каждому шагу гуглите.

Насчет записей обращаться туда где я доменное имя покупал?

И еще один вопрос по настройке DAG. В целом все понятно за исключением интерфейсов. Читаю одну статью, а в ней у каждого почтового сервера (или члена DAG) по два интерфейса. Один из интерфейсов смотрит в локалку (в статье сеть MAPI), а второй должен смотреть в сеть для членов DAG (в статье сеть REPLICATION). Читаю другую статью, а там DAG на почтовых серверах поднят с помощью одного интерфейса на каждом почтовом сервере. Как я понимаю из обоих статей можно сделать и с одним интерфейсом на почтовом сервере (MAPI+REPLICATOION), а можно с двумя интерфейсами на каждом почтовом сервере. Все верно?

Как и написал Олег, делегируете на свой DNS домен который купили на свой DNS хостинг и там сами меняете записи A и MX. PTR запись может прописать только провайдер, если у вас домашний интернет, провайдер конечно ничего вам не пропишет скорее всего )
Да, на второй интерфейс можно вынести трафик репликации (а можно не выносить)

Помогите с парочкой вопросов. :)

1. Как можно сделать так чтобы внешняя почта (за пределы организации) прием/отправка работала, а внутренняя не работала. Я подозреваю что это где то в настройках Mail Flow но не знаю где точно.

2. Установил Exchange 2013, но не как обычно CAS + Mailbox на одном сервере, а развел роли по разным серверам. В итоге при попытке войти на EAC выходит ошибка:
Судя по всему что-то не так в IIS. Что там надо проверить?

Это вам зачем такое?) Можно создать транспортное правило для удаления почты отправленной внутренним юзером на внутренний домен.

Пересоздайте виртуальную директорию EAC на CAS сервере.

Это хороший вопрос. Недавно товарищу на интервью задавали. Вот только я не понял можно ли так сделать для одного пользователя или для всей организации.

Переустановил Exchange. Теперь такая проблема. При попытке войти в админ консоль получаю это:

400
Outlook Web App Options :(
There was a problem opening Options in Outlook Web App. Please click Sign out below, then sign in to Options in Outlook Web App again. If that doesn't work, sign out, delete browser cookies, and sign in again.

Погуглил и нашел вот это https://support.microsoft.com/en-au/kb/2871485. Но тут следующая проблема, оказалось что таких командлетов как Get-OwaVirtualDirectory, Get-EcpVirtualDirectory, Set-OwaVirtualDirectory, Set-EcpVirtualDirectory в Exchange Management Shell нет. И по моему не только этих командлетов.

Скажите почему у меня нет некоторых командлетов и как их добавить?

Такого не может быть! Может быть что EMS не подключается к Exchange, тогда командлетов действительно не будет видно!

Открываю Exchange Management Shell от имени администратора и у меня выходит это.

Вобщем разобрался в чем дело. Проблемы с Exchange были на Hyper-V. Установил ровно так же но на VMware Workstation и все нормально. Вобщем видимо есть какие то подводные камни с Exchange 2013 на Hyper-V с которыми надо разобраться.


Постараюсь нагуглить на эту тему, но также буду благодарен если поможете понять в чем нюансы установки Exchange 2013 а может и не только 2013 на Hyper-V.

Что-то криво сделали. Попробуйте еще раз. Никаких проблем с Hyper-V у Exchange нет на данный момент.

На этой виртуальной машине тип отмечена опция динамической памяти. Сегоня прочитал что виртуальный Exchange такой тип памяти не поддерживает. Могло ли это быть причиной? Устанавливал с нуля несколько раз и все одно и тоже.

Еще несколько вопросов по DNS и почтовому серверу:
1. У меня зарегистрировано доменное имя romashka.ru. Где создается доменное имя для почты типа mail.romashka.ru?
2. Внешнее имя домена romashka.ru, а в локальной сети используется local.romashka.ru или romashka.local. В нострайках Exchange я поменял виртуальные директории с local.romashka.ru на romashka.ru. Какие записи мне нужно создать на ДНС сервере?

Ребят, есть такая штука в Exchange: например есть группа рассылки, но она скрыта в Global Address List и для того чтобы иметь возможность видеть адрес этой группы рассылки и посылать на нее сообщение нужны права.

Подскажите пожалуйста где это настраивается.

Доброго дня. проблема такая: при попытке входа в Центр управления, ввожу логин и пароль администратора домена вида ***.local\Администратор... на что система отвечает ошибкой ввода логина и пароля. в логах безопасности видно что ***.local\??????????? нет пользователя или не верен пароль. Домен стоит на русской винде а почта развертута на англ чистом клиенте. и родилась ошибка распознавания русский букв что ли ?