Như ở bài lab trước mình đã giới thiệu cách cài đặt exchange 2010 trên windows server 2008 và publish ra ngoài internet ở bài Lab nầy mình sẽ tiếp tục phần publish 2 dịch vụ POP3 và IMAP ra ngoài internet. – Bình thường mặc định service POP3 va IMAP trên Exchange 2010 sẽ ở trạng thái stop, vì thế để 2 dịch vụ nầy đi vào hoạt động dĩ nhiên là bạn phải start 2 service nầy lên.
- Start > run > gõ lệnh service.msc và ta thấy status của 2 service nầy đang là manual và stop.
– Ta start 2 service nầy lên ở chế độ Automatic: click chuột phải vào service POP3 chọn properties, start type chọnAutomatic và start, tương tự như vậy làm cho IMAP.
– 2 Service đã được start lên:
– Kiểm trang IMAP4 đã hoạt động chưa: Exchange Console> Server Configuration > Client Access > Chọn IMAP > Click chuột phải Properties và ta thấy status nó đã ready.
- Tương tự như vậy ta kiểm tra status của POP3 và ta thấy status cũng đã ready.
– Bước tiếp theo ta phân quyền cho Anonymous Userrs được quyền access check mail (user sử dụng ngoài mạng nội bộ ):Server configuration> Hub Transport > Click chuột phải vào Client SERVER chọn Properties chọn tab Permission Groups và tick vào Anonymous users. sau đó ok để hoàn tất
– Tương tự như bước trên cho Default SERVER . ta tick chọn cho phép Anonymous user access check mail.
– Tại máy user ngoài internet ta cấu hình outlook cho user check mail.
– Đối với IMAP thì ta cấu hình như Incoming server port 995, Outgoing server chọn port 587 vì mặc định Exchange cho check bằng 2 port nầy. Trường hợp bạn không muốn check bằng 2 security port nầy thì bạn vào phần Server configuration > Client Access > Và click chọn và service IMAP hoặc POP3 tương ứng rồi chọn Properties sau đó qua tab Authentication bạn chọn không chứng thực TLS.
- Tương tự như vậy ta cấu hình cho user check mail bằng IMAP:
– Và dĩ nhiên đối với IMAP cũng như POP 3 thì trong phần Internet E-Mail Settings tab Outgoing server bạn đều chọn My outgoing server (SMTP) requires authentication.
– Sau khi hoàn tất ta thấy hộp mail đã load về và email đã gửi nhận ra ngoài internet thành công.
1.1 Chuẩn bị trước khi cài đặt exchange 2010 – Trên máy SERVER:
1.1.1. Nâng cấp domain
– Máy tính phải là domain member (Hoặc domain cái nầy không khuyến cáo, tuy nhiên được sử dụng trong bài lab vì hạn chế về resource).
* Chi tiết quá trình nâng cấp domain nằm ở video bên dưới:
1.1.2.Cài đặt các phần yêu cầu trước khi cài đặt Exchange 2010 SP2:
– Enable IPV6
– Cài đặt Dotnetframework 3.5
– Microsoft Office Packet Filter 2010 – FilterPackx64
– Cài Active Directory Domain Services remote management tools:
Mở CMD Run as administrator và gõ lệnh ServerManagerCmd -i RSAT-ADDS
– Cài đặt IIS và các Feature của IIS:
Mở CMD Run as administrator và gõ lệnh:
ServerManagerCmd -i Web-Server
ServerManagerCmd -i Web-ISAPI-Ext
ServerManagerCmd -i Web-Metabase
ServerManagerCmd -i Web-Lgcy-Mgmt-Console
ServerManagerCmd -i Web-Basic-Auth
ServerManagerCmd -i Web-Digest-Auth
ServerManagerCmd -i Web-Windows-Auth
ServerManagerCmd -i Web-Dyn-Compression
Mở Server Manager lên vào Role và chọn add feature và add role:
ASP.NET, ASP, IIS 6 WMI.
– Cai DESKTOP MANAGER: vào Server manager chọn Feature rồi add feature DESKTOP MANAGER
- Cài Unified Communications Managed API 2.0, Core Runtime (64-bit)
– Cài đặt Microft Speed flatform runtime (x64).
– Cài RPC-over-HTTP-proxy ( có thể không làm bước này nếu bạn không có nhu cầu sử dụng outlook anywhere )
Mở CMD Run as administrator và gõ lệnh:
ServerManagerCmd -i RPC-over-HTTP-proxy
* Chi tiết chuẩn bị setup và setup exchange nằm ở video bên dưới:
1.2.Setup các tất cả role Exchange (Ngoại trừ Edge Transport).
– Đối với mô hình lab nên mình setup tất cả các role vào 1 máy, ngoại trừ Edge Transport buộc phải setup riêng do theo Exchange 2010 SP2 thì Edge Transport phải nằm ở 1 DMZ không thuộc domain member.
– Đối với trên thực tế tùy thuộc và nhu cầu của công ty mà bạn setup các role khác nhau ở các server khác nhau. Ví dụ như quy mô của công ty bạn không quá lớn thì bạn có thể gom các role lại chung 1 server(ngoại trừ Edge Transport).
2.Cài đặt Edge Transport.
2.1.Khái quán trước khi cài đặt:
– Tại sao phải cài Edge Transport: đơn giản là bạn muốn Publish server của bạn ra ngoài internet.
– Edge Transport làm nhiệm vụ Filter, antispam cho hệ thống Exchange của bạn.
– Về Resource Edge Transport không đòi nhiều về phần cứng nhiều như Exchange:
RAM : Tối thiểu 2GB, Recommend 4GB
HDD : 40 GB
CPU : 2 Core, tốt nhất thì hơn 4 Core
2.2. Chuẩn bị trước khi cài đặt và cài đặt Edge Transport:
– Máy buộc không phải là Domain Member và:
+ Trỏ DNS Suffix về Domain ITDOCVN.COM – Done
+ DNS Trỏ MX về Edge Transport (MAIL.ITDOCVN.COM) – Done
– Cần Cài Dotneframework 3.5 và AD LDS (Active Directory Lightweight Directory Services) trước khi setup Edge Transport.
+ Cài đặt Dotnet Framework 3.5 Bạn vào Server Manager > Add Features > Tick chọn .Net Framework 3.5 Feature và next>next…Finish để hoàn tất cài đặt
+ Cài đặt ADLDS : Server manager > Roles > Add Roles > Next > Tick chọn Active Directory Lightweight Directory Services > Và Next… finish để hoàn tất cài đặt
* Chi tiết setup:
3.Cấu hình Edge Transport
– Cấu hình LDAP: Lưu ý LDAP phải được cấu hình sau khi cài xong Edge Transport
– Bắt đầu quá trình đồng bộ giữa Hub Transport Server: Mở Exchange Management Shell, đánh lệnh Start-EdgeSynchronization và kiểm tra kết quả là Success
– Mở cho phép gửi nhận email từ bên ngòai vào:
Cấu hình tại Exchange serever > Server Configuration > Hub transport > Default Server > Properties > Tab thứ 3 Chọn anonymous => Dể cho phép nhận email từ bên ngoài internet.
* Chi tiết cấu hình Edge Transport và Hub Transport ở video bên dưới:
4. Publish Exchange 2010 SP2 ra internet.
4.1. NAT Trên router(modem,firewall)
– Ở đây do công ty mình sài ASA và mình đã có sẳn IP WAN do đó mình tiến hành NAT vào server exchange (lưu ý không phải server Edge Transport)
+ Bây giờ kiểm tra xem IP WAN NAT Đã hoạt động hay chưa.
– Ở đây mình thực hiện chế độ NAT 1:1 có nghĩa là mở all port trên mail server, trên thực tế bạn nên mở những port cần thiết để tránh bị tấn công.
4.2.Yêu cầu ISP trỏ PTR về IP WAN public của mình
- Tùy ISP mà bạn có cách tiếp cận khác nhau, đối với FPT thì bạn dùng email công ty email nhờ kỹ thuật họ tạo giúp. ở đây mình đã làm rồi, nên giờ chỉ test lại thôi.
4.3.Vào domain thật tạo MX và trỏ về IP WAN
– Bạn cần mua 1 domain thật giống như domain đã tạo. ở dây domain của mình là ITDOCVN.COM được mua từ nha cung cấp domain. Giờ mình sẽ cấu hình tạo MX trỏ về IPWAN của mình.
- Đầu tiên bạn tạo 1 cord A là mail trỏ về IPWAN
- Sau đó bạn tạo 1 MX trỏ về mail.itdocvn.com sau đó submit và đợi cho nó apply.
* Chi tiết triển khai Publish Exchange 2010 SP2 ra internet ở video bên dưới
——————Hết——————
Chúc các bạn triển khai thử thành công, trong quá trình làm có gì thắc mắc các bạn comment bên dưới để cùng nhau nghiên cứu nhé.
Hướng dẫn cấu hình Database Availability Group (DAG) - Exchange 2013
GIỚI THIỆU
DAG là chức năng cho phép tăng tính chịu lỗi cho Mailbox Server trong Exchange. DAG là một nhóm gồm nhiều Mailbox Server hoạt động song song trong hệ thống Exchange Server và đồng bộ Mailbox Database với nhau để tăng tính chịu lỗi cho Mailbox Server Role. Tại một thời điểm chỉ có 1 Server đảm nhận dịch vụ (gọi là Active), các server còn lại sẽ không đảm nhận dịch vụ mà chỉ đồng bộ Mailbox Database (gọi là Passive). Trong trường hợp active server gặp sự cố, passive server đã đảm nhận dịch vụ (trở thành active). Điều này cho phép người dùng vẫn có thể truy cập Mailbox của mình khi có server gặp sự cố.
Trong bài viết này tôi sẽ hướng dẫn cấu hình DAG trên Exchange Server 2013, các máy chạy Exchange 2012 được cài đặt trên Windows Server 2012 R2, các máy còn lại chạy Windows Server 2008 R2
AD: Domain Controller (domain itlab.test) MBX1:cài đặt Exchange Server 2013 (Mailbox Role và Client Access Role) MBX2:tương tự MBX1 FILESERVER:đảm nhận vai trò Witness Server, đây là server lưu trữ thông tin cấu hình quorum cho Faliove Cluster. PC01:chạy Windows 7 đã cài đặt Outlook 2013
Chuẩn bị triển khai một Exchange Server 2013 Database Availability Group
Các máy chủ trong một DAG có thể cài đặt cả CAS và MBX nhưng trong một vài trường hợp CAS và MBX không nên cài đặt trên cùng một máy. Ví dụ:
Nếu sử dụng Network Load Balancing cho việc cấu hình HA CAS (NLB không hỗ trợ việc cấu hình cùng với Failover Clustering).
Hoặc có lý do nào đó mà sau này bạn sẽ gỡ bỏ CAS role (việc gỡ bỏ một single server role thì không thể trong Exchange 2013)
Exchange Server 2013 có thể chạy trên cả Windows Server 2008 R2 và Server 2012. Tuy nhiên, điều đó phụ thuộc vào Failover Clustering nên bạn cần đáp ứng những yêu cầu sau:
Windows Server 2008 R2 phải là phiên bản Enterprise để có thể hỗ trợ Failover Clustering
Windows Server 2012 có thể bao gồm bản Standard hoặc Datacenter
Vì Witness server không phải là máy chủ Exchange nhưng một vài quyền được yêu cầu do đó việc đầu tiên chúng ta cần làm là gán Exchange Trusted Subsystem trong Active Directory vào nhóm local Administrators trên máy Witness
Cấu hình network cho Exchange 2013 Database Availability Groups
Với hai máy chủ Exchange Server, chúng ta sẽ có thêm hai card mạng được sử dụng cho DAG trao đổi dữ lieu
Ngoài ra, bạn cũng cần phải bảo đảm việc đăng ký DNS phải được tắt trên network interface mà các máy chủ sẽ replicate data
Với Database, chúng ta sẽ giữ lại Mailbox Database 1 trên MBX1 và xóa Mailbox Database 2 trên MBX2. Nếu đang chạy Windows Server 2012, tôi sẽ phải tạo trước mốt Computer Account (DAG) và disable account đó
Gán cho Exchange Trusted Subsystem và computer account đó quyền hạn Full Control (bạn cần chọn chế độ Advanced Features để thấy được Security tab).
Chúng ta sẽ bắt đầu việc tạo Database Availability Groups bằng cách vào Exchange Admin Center -> Server -> database availability groups. Chọn Create và điền các thông tin:
DAG name: tên computer account bạn tạo trước đó
Witness server
Witness directory: nếu bạn không chỉ định, Exchange sẽ chọn cho bạn
IP Address: DAG yêu cầu một địa chỉ IP trên mỗi đường mạng mà nó thuộc về MAPI network. Nếu bạn không chỉ định IP Address, DAG sẽ sử dụng DHCP
Sau khi tạo ra DAG, chúng ta sẽ cần thêm vào các member server cho DAG vừa tạo.
Sau khi hoàn tất, việc chúng ta cần làm bây giờ là sẽ cấu hình để database replicate sang máy chủ còn lại.
Tại mục Database, bấm vào dấu 3 chấm và chọn Add database copy
Chọn Mailbox server mà bạn mún replicate, ở đây tôi chọn MBX2
Activation preference number sẽ được tự động tăng tới số kế tiếp có thể. MBX1 đã đang chứa database với tham số là 1, trong ví dụ này activation preference cho bản copy database mới là 2. Activation preference sẽ thường phản ánh thứ tự mà bạn muốn mailbox server chứa bản sao của database đang hoạt động, với 1 là ưu tiên đầu tiên vì nó được sử dụng như là một yếu tố trong ngữ cảnh dự phòng tự động.
Click Save để hoàn tất
Kiểm tra lại thấy DAG đang có 2 member servers là MBX1 và MBX2
Kiểm tra tình trạng Mailbox Database1 bằng câu lệnh
Get-MailboxDatabaseCopyStatus “Mailbox Database 1” | ft -auto
Dùng lệnh bên dưới kiểm tra kết nối từ máy client tới mailbox. Chúng ta thấy Outlook đang kết nối tới máy chủ MBX2 (192.168.1.22), giả lập mailbox server có vấn đề, chạy lại lệnh sẽ thấy Outlook chuyển sang kết nối tới mailbox server MBX1 (192.168.1.21)
netstat -ano | findstr ":80"
Kiểm tra trạng thái của Mailbox Database 1 thấy trên MBX1 đang ở chế độ active còn trên MBX2 đang ở chế độ passive http://www.slideshare.net/laonap166/hng-dn-cu-hnh-database-availability-group
Tôi đã có bài viết về việc cài đặt Exchange 2013 trên Windows Server 2012 để mọi người có khái niệm về Exchange 2013. Từ bài viết này tôi sẽ hướng dẫn mọi người về Exchange 2013 trên nền tảng phổ biến hiện nay là Windows Server 2008. Mọi người có thể tham khảo lại nội dung chi tiết tại đây (http://forum.itlab.com.vn/index.php...e-2013-preview-tren-windows-server-2012.3294/)
Tôi xin đưa lại mô hình bài lab:
Domain Controller (Windows Server 2008 R2): 192.168.1.20/24. Mailbox Server Role: 192.168.1.21/24. Client Access Server Role: 192.168.1.22/24.
Cấu hình:
Đầu tiên, chúng ta sẽ cấu hình Prepare Schema và PrepareAD sau khi đã cho hai máy chủ Mailbox và Client Access gia nhập domain
Để cấu hình Schema, chúng ta chạy câu lệnh sau:
Kế tiếp, để cấu hình AD, chạy câu lệnh sau:
Trên các member server, chúng ta sẽ chạy câu lệnh dưới đây để load Server Manager module
Kế tiếp, chúng ta sẽ cài đặt các thành phần cần thiết
Quá trình cài đặt đã hoàn tất
Sau khi cài đặt các component, chúng ta sẽ cài đặt các yêu cầu cần thiết để có thể cài đăt được MS Exchange 2013
Các bước trên, chúc ta sẽ cài đặt trên cả máy chủ MBX và CAS .
Sau khi cài đặt Unified Communication, chúng ta cần gỡ bỏ Visual C++ beta trong Add/Remove Programm
Giao diện cài đặt - Mailbox Server Role
Chạy file cài đặt setup.exe để kiểm tra các bản cập nhật
Sau khi kiểm tra các bản vá, việc cài đặt sẽ được tiến hành. Nếu bạn đã từng cài đặt Exchange 2010 thì với phiên bản này cũng tương tự.
Chấp nhận các điều khoản và chọn Next
Quá trình kiểm tra các yêu cầu sẽ được thực hiện. Nếu có bất kỳ lỗi nào được tìm thấy chúng ta sẽ nhận được thông báo.
Chọn Server role và click Next
Chọn đường dẫn cài đặt
Điền thông tin cho doanh nghiệp
Malware Scanning, đây là một phần mới trong phiên bản 2013.
Một vài kiểm tra cuối cùng sẽ được thực hiện.
Việc hoàn thành các bước kế tiếp nhanh hay chậm phụ thuộc vào nguồn tài nguyên trên máy chủ.
Trước khi cài đặt CAS, bạn cần thay đổi thiết Windows Firewall để cho phép Exchange truy cập đến registry của Client Access server. Khi chia các servers role như thế này (CAS và Mailbox trên từng server riêng) bạn sẽ cần bảo đảm rằng Windows Firewall trên CAS cho phép TCP port 139 inbound. Trên CAS thực hiện các bước sau:
1. Open Control Panel\Windows Firewall 2. Click Advanced Settings 3. Click Inbound Rules 4. Click New Rule… 5. Select Port and then Next 6. Select TCP and in Specify local ports, type 139. Click Next 7. Select Allow this connection and click Next 8. Click Next again to accept the default selections
Cài đặt CAS tương tự như MBX
Đăng nhập vào CAS và chạy câu lệnh sau để kiểm tra Interal URL admin:
Truy cập vào đường dẫn trên chúng ta sẽ vào được trang quản trị của Exchange 2013. Chúng ta thấy rằng, sau khi cài đặt và truy cập bằng đường dẫn trên. Trình duyệt sẽ báo lỗi Certificate. Các bước kế tiếp, chúng ta sẽ giải quyết vấn đề certificate.
Có hai cách để giải quyết. Chúng ta có thể đăng ký tài khoản tại các website cung cấp chứng chỉ số như Verisign hay Comodo. Sau đó chúng ta sẽ request các certificate. Các trang web này sẽ cho chúng ta thời hạn dùng thử từ 30 tới 90 ngày tùy website. Cách hai, tự xây dựng một CA hay còn gọi Certification Authority. Cách này sẽ giúp chúng ta tiết kiệm thời gian trong việc xin các CA.
Trong bài viết này, tôi sẽ tự xây dựng một CA, trong loạt bài khác, tôi sẽ viết về việc xin certificate từ các website trên.
Đầu tiên, chúng ta xem sơ qua cách thức hoạt động của Exchange 2013
Qua hình trên, chúng ta thấy để kết nối tới Exchange, chúng ta sẽ sử dụng phần lớn qua IIS / HTTP Proxy. Như vậy, để cấu hình, chúng ta cần xin Certificate cho kết nối tới máy chủ CAS.
Tại Exchange Admin Center, chọn mục Server, chọn Certificate, chọn CAS.itlab.test tại Selec Server. Bấm vào dấu cộng để bắt đầu Request một certificate
Tại cửa sổ New Exchange Certificate, chọn "Create a request for a certification from a certification Authority"
Điền Friendly name
Bỏ qua mục Request a wildcard
Chọn nơi sẽ lưu request
Chọn Outlook Web App, chọn Edit, gõ đường dẫn dành cho người dùng truy cập. Ở đây tôi dùng URL là https://mail.itlab.test
Qua bước kế tiếp, chúng ta chọn url vừa edit bên trên.
Điền các thông tin cho certificate
cuối cùng là save lại Request. Lưu ý, chúng ta phải lưu request certificate này theo định dạng yêu cầu là .REQ
Kiểm tra lại request vừa tạo
Vào Add Role và cài đặt Active Directory Certificate Services.
Check chọn ba mục như trong hình
Chọn Enterprise
và Root CA. Sau đó cứ để nguyên các giá trị mặc định
Xem lại thông tin lần cuối
Tại máy Client Access, truy cập vào máy chủ vừa cài đặt CA (http://192.168.1.20/certsrv). Chọn Request a Certificate -> Advanced Certificate request -> Submit a Certificate request by....
Mở file Cert đã tạo ở trên, copy nội dung và past vào khung trên