Продолжаем разговор о базовой настройке Exchange Server. С первой частью можно ознакомиться по следующей ссылке. Во второй части будут рассмотрены следующие вопросы:
- Выпуск SSL сертификатов для Exchange сервера;
- Настройка политики адресов электронной почты.
Выпуск SSL сертификатов для Exchange сервера
Цифровые сертификаты очень важны в любой Exchange организации. Именно с их помощью обеспечивается защищенный обмен между клиентами и компонентами почтовой инфраструктуры. По умолчанию, Exchange Server настроен на использование протокола TLS с помощью самоподписанных сертификатов. Однако, для подключения Outlook клиентов такая конфигурация не совсем корректна. В качестве решения, рекомендуется использовать корпоративную PKI инфраструктуру, на базе ADCS. Службы сертификатов будут работать внутри корпоративного периметра обеспечивая поддержку не только Exchange, но и других криптографических задач предприятия.
Для выпуска сертификата, переходим во вкладку (servers) и открываем раздел (certificates). Заказываем выпуск нового сертификата:

Выбираем первый пункт (Create a request for a certificate from a certification authority) так как использование самоподписанных сертификатов не предполагается:

Указываем отображаемое имя будущего сертификата:

Далее, возможно настроить получение сертификата типа wildcard. Хоть и последние версии Exchange корректно работают с данным типом, я предпочитаю его не использовать. Оставляем без изменений и переходим на следующую страницу.

Указываем сервер на котором будет создан сертификат, т. к. закрытый ключ ключевой пары не покидает Exchange сервер:

Следующий шаг пропускаем не меняя настройки. Далее, подправляем домены на следующие:
- mail.corp.ait.in.ua
- mail.ait.in.ua
- autodiscover.ait.in.ua
- autodiscover.corp.ait.in.ua
- kv-ex01
- kv-ex01.corp.ait.in.ua

где, ait.in.ua почтовый домен и corp.ait.in.ua – домен Active Directory. kv-ex01 и kv-ex01.corp.ait.in.ua – имена сервера. Запись autodiscover необходима для функционирования сервиса автоматического обнаружения почтовой конфигурации клиентами Outlook и ActiveSync. Она должна обязательно присутствовать в теле сертификата.

На следующем шаге необходимо определить расположение для сохранения CSR запроса. В последствии, он будет передан во внешним ЦС. Так как учетная запись Exchange сервера является членом группы Trasted Sybsystems, возможно использовать общими административными каталогами. Для этого указываем следующий UNC путь – \\kv–ex01.corp.ait.in.ua\C$\req.req Файл req.req содержащий CSR запрос будет создан в корне системного диска.

Для задачи подписания, можно воспользоваться Certificate Enrollment Web Service. Этот компонент упрощает процесс предоставляя веб приложения для этих целей. По умолчанию, CEWS доступен в каталоге /certsrv сервера.
Перейдя на него, необходимо заказать запрос сертификата (Request a certificate).

Выбираем расширенный тип запроса (advanced certificate request):

Вставляем содержимое CSR запроса. Из списка доступных шаблонов сертификатов выбираем Web Server:

Скачиваем файл цифрового сертификата:

Загружаем сертификат в корень системного диска Exchange сервера:

В той же вкладке certificates необходимо завершить процедуру выпуска “подложив” подписанный сертификат. Для этого выбираем действие Complete:

В открывшейся окне указываем UNC путь к файлу, который ранее был загружен в корень системного диска.

После завершения операции, сертификат готов к использованию в компонентах сервера. Для его назначения сервисам нажимаем на иконку “карандаш”:

и выбираем сервисы IIS, SMTP:

После применения, необходимо перезапустить браузер. При условии корректно настроенных служб сертификатов Active directory предупреждение о недоверенном сертификате в строке браузера должно исчезнуть. Клиенты Outlook также не выдадут предупреждение при попытке подключения к серверу.
Настройка политики адресов электронной почты
Политики адресов электронной почты определяют правила создания электронных адресов для получателей в организации Exchange. Функционал крайне полезен, так как с его помощью транслируется единый формат почтовых алиасов как для существующих, так и для новых пользователей организации.
Чтобы приступить к созданию первой политики, необходимо перейти в раздел (mail flow), далее во вкладку (mail address policies):

Создаем новую политики нажав “Add” (+). Откроется окно, где необходимо задать название политики и формат адресов электронной почты:

В качестве шаблонов, возможно использовать один из стандартных, либо подготовить его самостоятельно.

Самостоятельно подготовить шаблон можно используя переменные. Ниже таблица с их возможными значениями:
Переменная | Значение |
%d | Краткое имя |
%g | Имя |
%i | Буква отчества |
%m | Псевдоним Exchange |
% rXY | Заменить все вхождения x на y |
% rXX | Удалить все вхождения x |
%s | Фамилия |
%ng | Первые n букв имени. Например, %2g первые две буквы с именем не используются. |
%ns | Первые n букв фамилии. Например, %2s использует первые две буквы фамилии. |
Следующий шаг будет в определении области применения политики. Она состоит из типов объектов Exchange и их расположения.


После создания, необходимо применение политики:

Проверка конфигурации
Доступ к Outlook Web Access:

Почтовый обмен с внешней почтовой системой:

На этом базовая настройка Exchange Server 2019 завершена. В будущих статьях, я планирую освежить вопрос публикации Exchange инфраструктуры. Давным-давно была написана целая серия статей, но по прошествии времени изложенный материал безумно устарел. Если у вас возникли какие-либо вопросы, пожалуйста, пишите в комментарии.
Публикация Exchange Server с помощью ADFS / Web Application Proxy
Александр, добрый день!
Большое спасибо Вам за курс статей по внедрению Exchange Server: все очень понятно и доступно описано!
Несмотря на то, что Exchange 2019 уже как почти год вышел – Ваши статьи единственные в своем роде!)
Спасибо!
Можно поправить “является членом группы Trasted Sybsystems” – группа Exchange Trusted Subsystem
Добрый день! У вас ошибка в таблице формата адресов. Видимо Вы ее скопировали с русской страницы сайта Microsoft. Там точно такая же ошибка. Это не правильный перевод. Если вы отключите перевод и посмотрите это на английском, то со мной согласитесь.
Добрый день!
Как настроить edge для mailbox?
Здравствуйте! подскажите, а как решаете вопрос с dkim подписью на server core??