Базовая настройка Exchange Server 2019. Часть 2

Продолжаем разговор о базовой настройке Exchange Server. С первой частью можно ознакомиться по следующей ссылке.  Во второй части будут рассмотрены следующие вопросы:

  • Выпуск SSL сертификатов для Exchange сервера;
  • Настройка политики адресов электронной почты.

Выпуск SSL сертификатов для Exchange сервера

Цифровые сертификаты очень важны в любой Exchange организации. Именно с их помощью обеспечивается защищенный обмен между клиентами и компонентами почтовой инфраструктуры. По умолчанию, Exchange Server настроен на использование протокола TLS с помощью самоподписанных сертификатов. Однако, для подключения Outlook клиентов такая конфигурация не совсем корректна. В качестве решения, рекомендуется использовать корпоративную PKI инфраструктуру, на базе ADCS. Службы сертификатов будут работать внутри корпоративного периметра обеспечивая поддержку не только Exchange, но и других криптографических задач предприятия.

Для выпуска сертификата, переходим во вкладку (servers) и открываем раздел (certificates).  Заказываем выпуск нового сертификата:

Выпуск сертификата для Exchange
Выпуск сертификата для Exchange

Выбираем первый пункт (Create a request for a certificate from a certification authority) так как использование самоподписанных сертификатов не предполагается:

Выбор типа сертификата в Exchange
Выбор типа сертификата в Exchange

Указываем отображаемое имя будущего сертификата:

Задание имени будущего сертификата Exchange
Задание имени будущего сертификата Exchange

Далее, возможно настроить получение сертификата типа wildcard. Хоть и последние версии Exchange корректно работают с данным типом, я предпочитаю его не использовать. Оставляем без изменений и переходим на следующую страницу.

Возможность создания wildcard сертификата Exchange
Возможность создания wildcard сертификата Exchange

Указываем сервер на котором будет создан сертификат, т. к. закрытый ключ ключевой пары не покидает Exchange сервер:

Указание сервера Exchange где будет выпущен SSL сертификат
Указание сервера Exchange где будет выпущен SSL сертификат

Следующий шаг пропускаем не меняя настройки. Далее, подправляем домены на следующие:

  • mail.corp.ait.in.ua
  • mail.ait.in.ua
  • autodiscover.ait.in.ua
  • autodiscover.corp.ait.in.ua
  • kv-ex01
  • kv-ex01.corp.ait.in.ua
Добавление доменов в SSL сертификат
Добавление доменов в SSL сертификат

где, ait.in.ua почтовый домен и corp.ait.in.ua – домен Active Directory. kv-ex01 и kv-ex01.corp.ait.in.ua – имена сервера. Запись autodiscover необходима для функционирования сервиса автоматического обнаружения почтовой конфигурации клиентами Outlook и ActiveSync. Она должна обязательно присутствовать в теле сертификата.

Задание дополнительных параметров для выпуска сертификата Exchange
Задание дополнительных параметров для выпуска сертификата Exchange

На следующем шаге необходимо определить расположение для сохранения CSR запроса. В последствии, он будет передан во внешним ЦС. Так как учетная запись Exchange сервера является членом группы Trasted Sybsystems, возможно использовать общими административными каталогами. Для этого указываем следующий UNC путь – \\kvex01.corp.ait.in.ua\C$\req.req Файл req.req содержащий CSR запрос будет создан в корне системного диска.

Задание расположения CSR запроса
Задание расположения CSR запроса

Для задачи подписания, можно воспользоваться Certificate Enrollment Web Service. Этот компонент упрощает процесс предоставляя веб приложения для этих целей. По умолчанию, CEWS доступен в каталоге /certsrv сервера.

Перейдя на него, необходимо заказать запрос сертификата (Request a certificate).

Запрос выпуска сертификата в Certificate Enrollment Web Service
Запрос выпуска сертификата в Certificate Enrollment Web Service

Выбираем расширенный тип запроса (advanced certificate request):

Расширенный запрос сертификата
Расширенный запрос сертификата

Вставляем содержимое CSR запроса. Из списка доступных шаблонов сертификатов выбираем Web Server:

Подписание сертификата для Exchange
Подписание сертификата для Exchange

Скачиваем файл цифрового сертификата:

Загрузка сертификата с Certificate Enrollment Web Service
Загрузка сертификата с Certificate Enrollment Web Service

Загружаем сертификат в корень системного диска Exchange сервера:

Загрузка цифрового сертификата на Exchange
Загрузка цифрового сертификата на Exchange

В той же вкладке certificates необходимо завершить процедуру выпуска “подложив” подписанный сертификат. Для этого выбираем действие Complete:

Завершение выпуска сертификата Exchange
Завершение выпуска сертификата Exchange

В открывшейся окне указываем UNC путь к файлу, который ранее был загружен в корень системного диска.

Указание UNC пути к CER файлу в Exchange
Указание UNC пути к CER файлу в Exchange

После завершения операции, сертификат готов к использованию в компонентах сервера. Для его назначения сервисам нажимаем на иконку “карандаш”:

Открытие свойств сертификата Exchange
Открытие свойств сертификата Exchange

и выбираем сервисы IIS, SMTP:

Назначение сертификата на сервисы Exchange
Назначение сертификата на сервисы Exchange

После применения, необходимо перезапустить браузер. При условии корректно настроенных служб сертификатов Active directory предупреждение о недоверенном сертификате в строке браузера должно исчезнуть. Клиенты Outlook также не выдадут предупреждение при попытке подключения к серверу.

Настройка политики адресов электронной почты

Политики адресов электронной почты определяют правила создания электронных адресов для получателей в организации Exchange. Функционал крайне полезен, так как с его помощью транслируется единый формат почтовых алиасов как для существующих, так и для новых пользователей организации.

Чтобы приступить к созданию первой политики, необходимо перейти в раздел (mail flow), далее во вкладку (mail address policies):

Настройка политики адресов электронной почты Exchange
Настройка политики адресов электронной почты Exchange

Создаем новую политики нажав “Add” (+). Откроется окно, где необходимо задать название политики и формат адресов электронной почты:

Конфигурирование новой политики адресов Exchange
Конфигурирование новой политики адресов Exchange

В качестве шаблонов, возможно использовать один из стандартных, либо подготовить его самостоятельно.

Определение формата адресов электронной почты Exchange
Определение формата адресов электронной почты Exchange

Самостоятельно подготовить шаблон можно используя переменные. Ниже таблица с их возможными значениями:

ПеременнаяЗначение
%dКраткое имя
%gИмя
%iБуква отчества
%mПсевдоним Exchange
% rXYЗаменить все вхождения x на y
% rXXУдалить все вхождения x
%sФамилия
%ngПервые n букв имени. Например, %2g первые две буквы с именем не используются.
%nsПервые n букв фамилии. Например, %2s использует первые две буквы фамилии.

Следующий шаг будет в определении области применения политики. Она состоит из типов объектов Exchange и их расположения.

Выбор типов объектов для применения политики адресов электронной почты Exchange
Выбор типов объектов для применения политики адресов электронной почты Exchange
Выбор области применения политики адресов электронной почты Exchange
Выбор области применения политики адресов электронной почты Exchange

После создания, необходимо применение политики:

Примерение политики адресов электронной почты Exchange
Примерение политики адресов электронной почты Exchange

Проверка конфигурации

Доступ к Outlook Web Access:

Outlook Web Access
Outlook Web Access

Почтовый обмен с внешней почтовой системой:

Почтовый обмен с внешними системами
Почтовый обмен с внешними системами

На этом базовая настройка Exchange Server 2019 завершена. В будущих статьях, я планирую освежить вопрос публикации Exchange инфраструктуры. Давным-давно была написана целая серия статей, но по прошествии времени изложенный материал безумно устарел. Если у вас возникли какие-либо вопросы, пожалуйста, пишите в комментарии.

Базовая настройка Exchange Server 2019. Часть 1

Публикация Exchange Server с помощью ADFS / Web Application Proxy

Установка Exchange Server 2019 на Windows Server Core

5 1 голос
Рейтинг статьи
Подписаться
Уведомить о
guest

6 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
Владимир Шутяк
Владимир Шутяк
09.08.2019 12:40

Александр, добрый день!
Большое спасибо Вам за курс статей по внедрению Exchange Server: все очень понятно и доступно описано!
Несмотря на то, что Exchange 2019 уже как почти год вышел – Ваши статьи единственные в своем роде!)

Vladislav Artukov
Vladislav Artukov
13.01.2020 10:56

Можно поправить “является членом группы Trasted Sybsystems” – группа Exchange Trusted Subsystem

Александр Шошин
Александр Шошин
31.08.2020 18:27

Добрый день! У вас ошибка в таблице формата адресов. Видимо Вы ее скопировали с русской страницы сайта Microsoft. Там точно такая же ошибка. Это не правильный перевод. Если вы отключите перевод и посмотрите это на английском, то со мной согласитесь.

ttt
ttt
02.11.2020 22:59

Добрый день!
Как настроить edge для mailbox?

Андрей
Андрей
03.11.2020 11:48

Здравствуйте! подскажите, а как решаете вопрос с dkim подписью на server core??