none
Планирование и внедрение Exchange server 2013 RRS feed

  • Вопрос

  • Добрый вечер.

    Поставлена задача по внедрению Exchange server 2013  в большой организации. 

    Имеем один лес корневой домен в главном офисе компании office.ru и два под домена do1.office.ru и do2.office.ru.

    В домене office.ru имеем четыре контроллера домена windows server 2008R2 (dc1.office.ru, dc2.office.ru, dc3.office.ru, dc4.office.ru) и четыре сайта, они все находятся в разных районах города и связанны между собой VPN каналом (всего четыре офиса) резервного интернет канала нет, количество пользователей 420. Есть еще небольшие  три офиса где на рабочих станция установлены VPN клиенты.

    Организация приобрела еще две компании и тоже в разных районах города. В этих компаниях произведен миграция в наш лес office.ru и созданы под домен do1.office.ru по одному контроллеру домена в одном сайте (dc1-1.do1.office.ru и dc2-2.do1.office.ru) и также связанны со всеми офисами компаниями VPN каналом, количество пользователей в этом поддоменае 150, также готовиться покупка еще одной организации и там так же будет поднят поддомен do2.office.ru с одним контроллером домена в одном сайте (dc3-3.do2.office.ru) количество пользователей 50.

    Имеем три новых сервера. Необходимо обеспечить бесперебойный доступ к почте как по оутлуку и owa так и с мобольних телефонов. Иногда бывает отключение света (около раз в месяц часа на три) или пропадает интернет так же часа на три-четыре.

    1) Необходимо что бы почта которая в это время  будет отправляться внешними организациями необходимо гарантированное получении почты после появления связи, при этом связь есть всегда в одном из четырех офисов головника и в одной из дочерней компании.

    2) Будет три почтовых домена mail.office.ru для главной компании, mail.do1.office.ru для двух дочерних компании и mail.do2.office.ru для третьей дочки.

    Планирую поставить два Exchange server 2013 в головной компании для обслуживания домена mail.office.ru. Один ставить в самом большом офисе со всеми ролями а второй в офисе где нет проблем со светом связью (он небольшой но тоже главный) и планирую поднять на двух этих серверах роль DAG, чтобы если один сервер теряет связь или вырубается другой будет принимать почту и к нему можно подключиться либо через телефон (планшет) или используя 4Gмодемы и рабочих компов. Как только поднимается связь на почтовом сервере почтовый ящики синхронизируются и сново работают с основным сервером Exchange.

    В дочерних компаниях будет стоят один сервер тут все просто. 

    Дайте совет правильно ли я спланировал такую организацию Exchange для внедрения?

    Вопрос по сертификату. если будет выпущен самоподписной сертификат для домена mail.office.ru для обслуживания клиентов оутлук, owa  и мобильных пользователей можно ли будет его внедрить и в другие поддомены mail.do1.office.ru и mail.do2.office.ru? Или в поддоменах лучше выпустить свои самоподписные сертификаты?

    И возможно ,будет и такая организация, только два сервера с ролями DAG устанавливаются так в головнике в разных офиса, но они будут обслуживать все три домена mail.office.ru, mail.do1.office.ru и mail.do2.office.ru.

    Возможна ли такая наcтройка одного Exchange server 2013 обслуживающий все три домена?

    И подойдет ли в таком случае один самоподписной сертификат mail.office.ru для трех доменов?

    Нужно ли как то учитывать при настройке Exchange server 2013 количество сайтов и влияет ли это как то на его работу?

    Опыт работы был только с  одним Exchange server 2007 в одном домене с одним сайтом со всеми ролями.

    Планирую для почтовых ящиков  RAID5, для логов RAID1 и под систему RAID1? Что посоветуете?

    Спасибо.



    • Изменено LumberSaint 16 июля 2014 г. 18:50
    16 июля 2014 г. 18:16

Ответы

  • 1) Если у вас упадет один из почтовых серверов, почтовая база, соединенная в DAG, будет по-прежнему доступна для клиентов.

    То что обе копии почтовой базы на одном хранилище - не гуд, конечно. Это потенциальная точка отказа. Купите вторую )

    2) Если у вас на CAS стоит сертификат, выпущенный вашим собственным CA, то сторонние клиенты (домашние компы пользователей, всякие айпады и прочие андроиды) при обращении к почтовым сервисам будут ругаться, что сертификат не доверен. Не очень критично, но не некрасиво.

    3)  По RAIDам - http://technet.microsoft.com/en-us/library/ee832792(v=exchg.150).aspx#Best."Best practices for supported storage configurations"

    4) Новый домен может быть добавлен к лесу как до, так и после изменения схемы.


    Microsoft Certified Doing Nothing Expert


    • Изменено Dmitry Zobnin 18 июля 2014 г. 12:33
    • Помечено в качестве ответа LumberSaint 18 июля 2014 г. 13:59
    • Снята пометка об ответе LumberSaint 24 июля 2014 г. 19:58
    • Помечено в качестве ответа LumberSaint 27 июля 2014 г. 16:49
    18 июля 2014 г. 12:30
  • Добрый день,

    Позвольте чуть-чуть добавить.

    Ad-Site важен для Exchange и при внедрении нужно учитывать особенности.

    Например: Планирование использования сайтов Active Directory для маршрутизации почты

    Deploying High Availability and Site Resilience

    Namespace Planning in Exchange 2013



    Да, при правильной настройке можно обслуживать несколько доменов, и даже другие леса.



    Если Вы решите не покупать сертификат, то нужно будет все продумать и грамотно настроить локалный PKI. (Свой PKI это как минимум две виртуалки, ну и правильное внедрение, иначе Вы обеспечите себя постоянными проблемами)

    Нужно будет учесть все имена "" которые будут в будущем использоваться (касается и покупного сертификата)

    go1.domain.ru

    go2.domain.ru

    mail.go1.domain.ru

    mail.go2.domain.ru

    autodiscover.go1.domain.ru

    autodiscover.go2.domain.ru

    С самоподписанным сертификатом точно не смогут работать пользователи вне домена, пока каждому из них вы не импортируете Ваши сертификаты, и тут тоже есть нюансы.

    Что касается СХД, Вы о нем ничего не сказали. Вы говорили что члены DAG будут использовать внешнее хранилище. Вам понадобится два одинаковых луна, желательно на разных контролерах.

    Советую:

    1. Развернуть тестовую среду (Домен, леса, PKI, Exchange)

    2. Отработать все важные моменты, проверить работоспособность всех сервисов которые Вы в будущем хотите предоставить пользователям.

    3. Используйте дополнительное ПО и сервисы для получения лучших результатов:

    Exchange 2013 Server Role Requirements Calculator v6.3

    Exchange Load Generator 2013

    Microsoft Exchange Server Jetstress 2013 Tool

    Remote Connectivity Analyser

    MxTolbox 

    Успехов!





    • Изменено Zaza Abramov 19 июля 2014 г. 6:08
    • Предложено в качестве ответа Zaza Abramov 23 июля 2014 г. 11:47
    • Отменено предложение в качестве ответа LumberSaint 24 июля 2014 г. 19:57
    • Помечено в качестве ответа LumberSaint 27 июля 2014 г. 16:48
    19 июля 2014 г. 5:57
    • Помечено в качестве ответа LumberSaint 27 июля 2014 г. 16:48
    27 июля 2014 г. 15:36

Все ответы

  • Здравствуйте.

    При такой организации сети, как у вас, наилучшее место для размещения серверного ядра Exchange - площадка с наиболее устойчивыми электроснабжением и каналом Интернет. Естественно, в ваших условиях, серверы ядра лучше разместить в одном месте, а для организации почтовых адресов вида subdomen.domain.ru использовать политику адресов электронной почты.

    Сертификат можно использовать и не публичный, то есть выпущенный внутренним центром сертификации, но для полноценного внешнего доступа я бы все же порекомендовал приобрести нормальный SAN или wildcard сертификат. 

    По вопросам планирования "железа" - посмотрите рекомендации MS


    Do not multiply entities beyond what is necessary

    17 июля 2014 г. 3:48
  • В итоге решили ставить два сервера с ролями DAG в одном месте где стабильный канал связи и электропитание. И будет обслуживать основной домен и поддомен. Так же решили использовать одно внешнее хранилище почтовых баз и логов т.к сами сервера не обеспечены нужным объемов дискового пространства, поэтому вопрос Если использовать внешнее хранилище есть ли такая необходимость использование двух серверов с ролями DAG т.к. все таки место хранения баз и логов остается одно? или возможно и нормальное функционирование двух серверов с ролями DAG и одим внешним хранилищем?

    Что означает для полноценного внешнего доступа лучше использовать SAN или wildcard сертификат вместо самоподписного выпущенного внутренним центром сертификации? Какие ограничения (трудности в рабоче или еще что то) накладываются на внешний доступ?   

    И вопрос все таки по RAID массивам. на какой все таки предпочтительнее RAID ставить почтовую базу а на какой лог. Планирую для базы RAID50 а для логов RAID1E  т.к. возможность есть создать только RAID 1 1E 5 50  всего две корзины на внешнем хранилище.?

    Еще вот такой вопрос, можно ли начать внедрять Exchange, а после добавлять под домен купленной компании do3.office.ru т.к он еще не развернут, а Exchange ведь расширяет схему AD, не будет ли потом проблем с подключением нового дерева к лесу? Или сперва лучше завести его в лес а потом начать подготовку леса к расширению схемы AD и устанавливать Exchange? или тут никакой разницы?

    Спасибо.


    • Изменено LumberSaint 18 июля 2014 г. 9:26
    18 июля 2014 г. 5:50
  • 1) Если у вас упадет один из почтовых серверов, почтовая база, соединенная в DAG, будет по-прежнему доступна для клиентов.

    То что обе копии почтовой базы на одном хранилище - не гуд, конечно. Это потенциальная точка отказа. Купите вторую )

    2) Если у вас на CAS стоит сертификат, выпущенный вашим собственным CA, то сторонние клиенты (домашние компы пользователей, всякие айпады и прочие андроиды) при обращении к почтовым сервисам будут ругаться, что сертификат не доверен. Не очень критично, но не некрасиво.

    3)  По RAIDам - http://technet.microsoft.com/en-us/library/ee832792(v=exchg.150).aspx#Best."Best practices for supported storage configurations"

    4) Новый домен может быть добавлен к лесу как до, так и после изменения схемы.


    Microsoft Certified Doing Nothing Expert


    • Изменено Dmitry Zobnin 18 июля 2014 г. 12:33
    • Помечено в качестве ответа LumberSaint 18 июля 2014 г. 13:59
    • Снята пометка об ответе LumberSaint 24 июля 2014 г. 19:58
    • Помечено в качестве ответа LumberSaint 27 июля 2014 г. 16:49
    18 июля 2014 г. 12:30
  • Спасибо за разъяснения. По RAIDам вообщем так и получается как я и планировал :)
    • Изменено LumberSaint 18 июля 2014 г. 14:03
    18 июля 2014 г. 14:00
  • Добрый день,

    Позвольте чуть-чуть добавить.

    Ad-Site важен для Exchange и при внедрении нужно учитывать особенности.

    Например: Планирование использования сайтов Active Directory для маршрутизации почты

    Deploying High Availability and Site Resilience

    Namespace Planning in Exchange 2013



    Да, при правильной настройке можно обслуживать несколько доменов, и даже другие леса.



    Если Вы решите не покупать сертификат, то нужно будет все продумать и грамотно настроить локалный PKI. (Свой PKI это как минимум две виртуалки, ну и правильное внедрение, иначе Вы обеспечите себя постоянными проблемами)

    Нужно будет учесть все имена "" которые будут в будущем использоваться (касается и покупного сертификата)

    go1.domain.ru

    go2.domain.ru

    mail.go1.domain.ru

    mail.go2.domain.ru

    autodiscover.go1.domain.ru

    autodiscover.go2.domain.ru

    С самоподписанным сертификатом точно не смогут работать пользователи вне домена, пока каждому из них вы не импортируете Ваши сертификаты, и тут тоже есть нюансы.

    Что касается СХД, Вы о нем ничего не сказали. Вы говорили что члены DAG будут использовать внешнее хранилище. Вам понадобится два одинаковых луна, желательно на разных контролерах.

    Советую:

    1. Развернуть тестовую среду (Домен, леса, PKI, Exchange)

    2. Отработать все важные моменты, проверить работоспособность всех сервисов которые Вы в будущем хотите предоставить пользователям.

    3. Используйте дополнительное ПО и сервисы для получения лучших результатов:

    Exchange 2013 Server Role Requirements Calculator v6.3

    Exchange Load Generator 2013

    Microsoft Exchange Server Jetstress 2013 Tool

    Remote Connectivity Analyser

    MxTolbox 

    Успехов!





    • Изменено Zaza Abramov 19 июля 2014 г. 6:08
    • Предложено в качестве ответа Zaza Abramov 23 июля 2014 г. 11:47
    • Отменено предложение в качестве ответа LumberSaint 24 июля 2014 г. 19:57
    • Помечено в качестве ответа LumberSaint 27 июля 2014 г. 16:48
    19 июля 2014 г. 5:57
  • По поводу СХД вот теперь думаю стоит ли его использовать т.к. там всего одни контроллер (8-мь дисков по 2-а Tб разделены на два луна по четыре диска в RAID5, сам СХД называется Thecus N8900) и это будет самое узкое и проблемное место в Exchange. ящиков будет порядка 700 и ограничения на объем одного ящика 3-ти гига объем получается не маленький  и возможно ящиков 300 будет иметь ограничение в 10 гигов. Вот и нужен либо еще такой же СХД либо на обоих серверах менять жесткие диски на больший объем и количество максимально всего 8-мь дисков, два отданы под систему, остальное на базы.
    23 июля 2014 г. 11:30
  • Вот и я весь в раздумьях.. Требования примерно такие же. То что сейчас стоит - не справляется периодически. От СХД я совсем отказался, у меня был Synology 2212 По-сути почти тоже самое, только на 10 дисков.. Мне кажется без 10G оптического смысла в нем нет. У меня были подозрения на задержки в интерфейсах его сетевых, из за чего почта "застревала". Сейчас уже думаю, что нужен сервер с 12ю дисками и на нем как и рекомендует Майкрософт - базы в DAG и без рейдов - один диск - одна база. У меня еще дело в том, что покупают сервера исключительно ASUS.. Могут купить как говорится два, но не НР..  У них я не нашел в линейке сервера с одним процессором но с 12 дисками.. есть только двухпроцессорные системы.
    23 июля 2014 г. 15:40
  • ну вообще синолоджи они больше для домашнего использования или для маленькой компании как файловая помойка т.к. у него хоть и два сетевых интерфейса гигабитных но для почтовой базы этого мало (скорость у него передачи очень низкая, сам использую такой для бекапов), у меня на схд стоит сетевая карта от hp с 4-я сетевыми адаптерами (как и на серверах) которые объединены в тим и работают почти на скорости в четы мегабита (балансировка нагрузки) но все равно для DAG это самая критичная точка и самая важная т.к. там будет вся почтовая база, а схд один, поэтому буду докупать щас винты на 3 ТБ в каждый сервер буду ставить по шесть дисков и в RAID5 хватит как раз думаю для моих нужд. А насчет JBOD я не хочу  использовать т.к. как то уж не наднжно, хотя у самого майкросфта облака развернуты на на таких массивах, но его можно использовать если есть куда добавлять диски если нет до только RAID 
    • Изменено LumberSaint 23 июля 2014 г. 16:30
    23 июля 2014 г. 16:21
  • Да ну я спорить не буду.. Но эта "домашняя файлопомойка" все таки маштаба никак не домашнего... Не путайте, у них очень широкая линейка, да и  в цену такую же как и  Ваша... А еще, не смотрите на то что 4 гигабита.. Я не видел ни разу скорость больше гигабита даже LACP в 3 сетевых карты интел. Так что не мечтайте на 4 увидеть на много больше гигабита, даже в LACP.. Для скорости нужна оптика.

    Про JBOD не понял.. Наоборот, когда некуда вставлять диски лишние, то оно - самое лучшее.. В случае конечно если есть DAG. Да и 5 рейд мне кажется ни к чему.. Сделайте зеркала, скорости хватит, раз Вы так переживаете за сохранность дисков.. Просто не понятно, я бы на каждый рейд делал по одной БД, ни больше.. Если несколько на одном, то при записи в несколько баз - проигрываете в скорости.. 


    23 июля 2014 г. 18:34
  • И все таки дайте совет как сделать оптимальнее.

    Два сервера с ролями DAG и одно сетевое хранилище (с одним контроллером и достаточным дисковым объемом) или Два сервера с ролями DAG но без сетевого хранилища (тут вопрос в ограничении дискового пространства и придется ограничивать объем почтовых ящиков до самого минимума что не очень желательно но возможно) а серверное хранилище для бэкапов? 

    Нужно и надежность и скорость.  помогите определиться.

    На серверах под базы возможно выделить только 1,4Тб а ящиков около 700 ограничение максимального объема для ящика 1Гб, а планировалось 5Гб.???

    24 июля 2014 г. 16:36
  • А будет ли поддерживать Exchange server 2013 если базы находятся на сетевом хранилище NAS т.е путь к базе будет типа \\IP\base\ ? и подключение к nas только по локальной сети

    27 июля 2014 г. 14:48
    • Помечено в качестве ответа LumberSaint 27 июля 2014 г. 16:48
    27 июля 2014 г. 15:36
  • Спасибо.
    27 июля 2014 г. 16:49
  • Сколько серверов необходимо отказоустойчивости в мое случае. Если два сервера с ролями DAG на активном две базы по 400 ящиков на втором тоже две базы но в пассивном режиме. Почему то при расчете конфигурации такой схемы мне предлагают разные утилиты три сервера. Два сервера для firste-site DAG-01 и один для Second-sati DAG-01, не могу понять для чего нужен трети сервер second-site??? 

    27 июля 2014 г. 17:30
  • Нет.

    Параметры конфигурации хранилища Exchange 2013

    А если получиться сетевые диски хранилища NAS с монтировать как жесткий диск, возможно ли в таком случае перенос баз и логов на сетевое хранилище?

    Возможно ли подключить такое хранилище например по miniSAS кабелю напрямую, или по SFP ил используя протокол iscsi?


    • Изменено LumberSaint 28 июля 2014 г. 9:10
    28 июля 2014 г. 8:01