- Comment fonctionne Exchange 2016?
- Environnement évolutif Microsoft Exchange 2016
- Créer les services virtuels Exchange
- Créer un service virtuel SMTP / S
- Créer un service virtuel IMAP / S
- Créer un service virtuel POP3 / S
- Créer un service virtuel de boîtes aux lettres CAS RPC
- Créer un service virtuel du carnet d'adresses Outlook
- Créer un service virtuel de groupe de CAS
- Créer des services virtuels OWA avec déchargement SSL
- Exchange 2016 en configuration haute disponibilité et reprise après sinistre automatisée
- Exchange 2016 sécurité renforcée
Comment fonctionne Exchange 2016? #
Microsoft Exchange 2016 fait partie des applications serveur de Microsoft qui fournissent des services de courrier, une boîte aux lettres, un carnet d'adresses, des accès clients, des connecteurs de découverte automatique, entre autres.
Pour un serveur autonome, Microsoft Exchange 2016 utilise les ports réseau suivants:
TCP / 25 et TCP / 465 pour SMTP et SMTPS services de messagerie, respectivement.
TCP / 143 et TCP / 993 pour IMAP et IMAPS services d'accès client, respectivement.
TCP / 110 et TCP / 995 pour POP3 et POP3S services d'accès client, respectivement.
TCP / 80 et TCP / 443 pour Outlook Web Access Services d’accès client (OWA), autodiscovery services et MAPI prestations de service.
Au sein d'une organisation, tous ces services dans un serveur autonome ne constituent pas une architecture valide car il ne fournit pas de service de haute disponibilité en cas de maintenance ou si le service est en panne. Pour cette raison, nous proposons une architecture évolutive qui offre une haute disponibilité et évite un point de défaillance unique.
Environnement évolutif Microsoft Exchange 2016 #
Vous trouverez ci-dessous l'environnement proposé pour créer des services Microsoft Exchange 2016 en haute disponibilité avec une architecture flexible et évolutive.
Avec cette architecture, vous pouvez obtenir des services Exchange 2016 isolés pour éviter qu'un service ne soit affecté à un autre pendant la maintenance ou en cas d'échec, en regroupant les services de mail d'un côté et les services d'accès client d'un autre. En outre, il offre la possibilité de configurer de manière transparente des serveurs dédiés pour chaque service.
Exigences #
Premièrement, ces configurations doivent être traitées dans les serveurs principaux afin de les convertir en tant que service évolutif:
1. Créer un nom de service. Il est nécessaire de configurer les répertoires virtuels ou l’espace de noms d’Exchange 2016 sur un nom de service en évitant l’utilisation du nom d’hôte qui est la configuration par défaut (ex. exchange.mydomain.com ). Le nouvel espace de noms sera utilisé dans le CRT de l'autorité de certification afin de générer un nouveau certificat sécurisé pour le service. En outre, l'espace de noms sélectionné doit être inclus dans le DNS de l'entreprise afin de permettre la résolution de l'adresse virtuelle des batteries qui seront créées dans l'équilibreur de charge.
2. Service MAPI. Exchange2016 n'utilise plus de ports dinyamic pour ce service, il est pris en charge dans HTTP et activé par défaut, mais n'oubliez pas de configurer ce service correctement, pour des étapes spécifiques sur la façon d'activer, de configurer et de tester MAPI sur HTTP, voir https://technet.microsoft.com/en-us/library/mt634322(v=exchg.160).aspx.
3. Configurer le service DAG pour la réplication de base de données. Activer le Groupe de disponibilité de base de données (DAG) dans le Tableau CAS permettra de créer un service de clustering de réplication de boîtes aux lettres entre les serveurs.
4. Créer les services d'équilibrage de charge. Il sera expliqué ci-dessous comment configurer les services virtuels requis. Notez que selon vos besoins, il ne sera pas nécessaire de les créer tous.
Créer les services virtuels Exchange #
Une fois une unité de RELIANOID est déployé et les premiers paramètres de démarrage sont configurés, veuillez suivre les instructions décrites ci-dessous.
Tout d'abord, créez une interface virtuelle dédiée pour les services Exchange en entrant dans la section du menu Réseau | Interfaces Virtuelles comme indiqué ci-dessous.
Cette adresse IP sera l'adresse IP virtuelle de nos services Exchange et il sera nécessaire que notre DNS d'entreprise résolve lors de l'interrogation exchange.mydomain.com .
Ensuite, l'équilibreur de charge est prêt à créer les services virtuels. Accéder à la section du menu LSLB | Fermes vous pouvez créer toutes les batteries de serveurs d'équilibrage de charge proposées afin d'isoler les différents services d'Exchange 2016, lesquels seront décrits en détail dans les sections suivantes.
Créer un service virtuel SMTP / S #
Il s’agit d’une batterie de serveurs LSLB avec un profil L4 qui sera utilisé comme service de mailing virtuel TCP port 25 et 465 dans le cas où la sécurité est activée dans les backends.
Dans l' Services section nous pouvons configurer un bilan de santé avancé pour SMTP.
check_smtp -H HÔTE -w 30 -c 30 -p 25 -t 32
Si plusieurs ports sont utilisés dans le service virtuel, il est recommandé de tester les différents ports en une seule vérification de l'état.
Enfin, configurez les moteurs de traitement pour qu’ils soient utilisés comme serveurs réels pour ces services.
Créer un service virtuel IMAP / S #
Il s’agit d’une batterie de serveurs LSLB avec profil L4 qui sera utilisée pour fournir la connectivité client à leur boîte aux lettres via IMAP qui utilise le TCP port 143 et 993 dans le cas où la sécurité est activée dans les backends. Notez qu'il s'agit d'un service facultatif. Veuillez confirmer si Exchange 2016 active les ports IMAP.
Dans l' Services section, nous pouvons configurer un contrôle de santé simple pour IMAP comme indiqué ci-dessous.
check_tcp -H HÔTE -p 143 -w 30 -c 30 -t 32
Si plusieurs ports sont utilisés dans le service virtuel, il est recommandé de tester les différents ports en une seule vérification de l'état.
Enfin, configurez les moteurs de traitement pour qu’ils soient utilisés comme serveurs réels pour ces services.
Créer un service virtuel POP3 / S #
Il s’agit d’une batterie de serveurs LSLB avec profil L4 qui sera utilisée pour fournir la connectivité client à leur boîte aux lettres via POP3 qui utilise le TCP port 110 et 995 dans le cas où la sécurité est activée dans les backends. Notez qu’il s’agit d’un service facultatif. Veuillez confirmer si Exchange 2016 active les ports POP3.
Dans l' Services section, nous pouvons configurer une simple vérification de l'état de POP3 comme indiqué ci-dessous.
check_tcp -H HÔTE -p 110 -w 30 -c 30 -t 32
Si plusieurs ports sont utilisés dans le service virtuel, il est recommandé de tester les différents ports en une seule vérification de l'état.
Enfin, configurez les moteurs de traitement pour qu’ils soient utilisés comme serveurs réels pour ces services.
Créer un service virtuel de boîtes aux lettres CAS RPC #
Il s’agit d’une batterie de serveurs LSLB avec profil L4 qui sera utilisé pour le service de boîte aux lettres qui utilise TCP port qui a été corrigé lors d'une étape précédente, dans notre exemple, ce sera 60000.
Dans l' Services section, nous pouvons configurer une simple vérification de l'état de ce service comme indiqué ci-dessous.
check_tcp -H HÔTE -p PORT -w 30 -c 30 -t 32
Enfin, configurez les moteurs de traitement pour qu’ils soient utilisés comme serveurs réels pour ces services.
Créer un service virtuel du carnet d'adresses Outlook #
Il s’agit d’une batterie de serveurs LSLB avec profil L4 qui sera utilisé pour les services de carnet d’adresses utilisant le TCP port qui a été corrigé lors d'une étape précédente, dans notre exemple, ce sera 60001.
Dans l' Services section, nous pouvons configurer une simple vérification de l'état de ce service comme indiqué ci-dessous.
check_tcp -H HÔTE -p PORT -w 30 -c 30 -t 32
Enfin, configurez les moteurs de traitement pour qu’ils soient utilisés comme serveurs réels pour ces services.
Créer un service virtuel de groupe de CAS #
Il s’agit d’une batterie de serveurs LSLB avec profil L4 qui sera utilisé pour les services de tableau de cas qui utilisent le TCP port 135 par défaut.
Dans l' Services section, nous pouvons configurer une simple vérification de l'état de ce service comme indiqué ci-dessous.
check_tcp -H HÔTE -p PORT -w 30 -c 30 -t 32
Enfin, configurez les moteurs de traitement pour qu’ils soient utilisés comme serveurs réels pour ces services.
Créer des services virtuels OWA avec déchargement SSL #
Il s’agit du service permettant aux clients d’accéder aux sites Web par courrier électronique. Il peut être proposé via les ports 80 et 443. TCP. Dans ce cas, nous proposons d'utiliser le déchargement SSL dans l'équilibreur de charge, afin que les serveurs Exchange n'aient pas à gérer la charge SSL Web et n'acceptent que les connexions HTTP.
Pour le construire, nous créons d’abord une ferme LSLB avec un profil HTTP dans le port 80 et dans le Services section configurez la redirection vers HTTPS comme indiqué ci-dessous.
Notez que nous avons utilisé le domaine de service, dans notre exemple sera exchange.mydomain.com . Il n'est pas nécessaire d'insérer des moteurs, car tout le trafic sera redirigé vers une autre batterie de serveurs sécurisée.
Enfin, redémarrez la nouvelle batterie pour appliquer les modifications.
Ensuite, créez une nouvelle batterie de serveurs LSLB avec un profil HTTP et un écouteur HTTPS dans le port 443 avec le même certificat utilisé dans les services Exchange CAS Array convertis au format PEM. Et puis ajoutez-le dans le service comme indiqué ci-dessous.
Enfin, configurez la vérification de santé avancée et ajoutez les serveurs principaux connectés au port 80.
check_http -H HOST -S -w 10 -c 10 -t 11 -u /owa/healthcheck.htm --expect='200'
Redémarrez le service pour appliquer les modifications.
Exchange 2016 en configuration haute disponibilité et reprise après sinistre automatisée #
Une fois tous les services équilibrés et en haute disponibilité, il est indispensable d’éviter le point de défaillance unique en cas de défaillance de l’équilibreur de charge ou en raison de tâches de maintenance.
Comme le dit l' RELIANOID La solution de clustering réplique toutes les connexions et sessions en temps réel, créant ainsi un cluster que les clients peuvent basculer de manière transparente d'un nœud à un autre sans interruption. Le service de cluster offre une haute disponibilité au niveau de la couche de mise à disposition des applications, mais également des capacités de reprise automatique après sinistre qui peuvent être facilement configurées via la section Système | Grappe.
Exchange 2016 sécurité renforcée #
RELIANOID Le système de prévention et de détection des intrusions ajoute une couche de sécurité supplémentaire aux services Exchange, afin que nous puissions garantir que les demandes de connexion de nos sites sont fiables. Nous vous recommandons d'activer ce module si l'un de nos services virtuels est public sur Internet.
Profitez de vos services Exchange hautement disponibles!
Quelques références utilisées dans cet article:
https://docs.microsoft.com/en-us/exchange/plan-and-deploy/deployment-ref/network-ports?view=exchserver-2019
https://sysadminblogger.wordpress.com/tag/zen-load-balancer-exchange-2016/
https://sysadminblogger.wordpress.com/tag/zevenet-load-balancer-exchange-2016/
http://josemct.com/blog/2016/06/22/client-access-server-cas-array-zen-load-balancing/
https://blogs.technet.microsoft.com/exchange/2015/10/08/load-balancing-in-exchange-2016/
