Pengaturan Exchange Server harus benar

Microsoft telah menginvestasikan jutaan dolar ke Azure dan Office 365, dan pesaing mereka mengikuti penawaran cloud publik mereka sendiri yang bonafid. Tetapi solusi cloud publik bukan untuk semua orang. Organisasi dari banyak garis memiliki alasan yang sah untuk tidak menginginkan data terbatas mereka pada sistem di luar kendali total mereka.

Untuk banyak entitas ini, Exchange Server lokal adalah keharusan olahpesan. Microsoft terus memperbarui perangkat lunak dengan jaminan bahwa setiap perbaikan yang dilakukan pada tumpukan berbasis cloud pada akhirnya akan menetes. Semakin lama, fitur-fitur ini menambah lapisan kerumitan pada tugas yang sudah menakutkan dalam menjalankan sistem perpesanan tingkat perusahaan. Anda mudah tersesat saat melakukan perencanaan kapasitas perangkat keras, menyiapkan DAG (grup ketersediaan basis data) dan ketahanan situs, mengonfigurasi perutean email, dan memastikan pengguna Anda benar-benar dapat tersambung ke sistem.

Dengan mengingat hal itu, berikut adalah beberapa detail yang benar-benar harus Anda lakukan sebelum membuka pintu ke lingkungan perpesanan baru Anda.

Kapasitas

Bahkan sebelum Anda mengunduh Exchange Server, Anda harus memiliki gagasan yang baik tentang berapa banyak pengguna yang perlu didukung oleh sistem Anda, perjanjian tingkat layanan apa pun yang mungkin Anda miliki, dan berapa lama jendela pemulihan bencana yang diperlukan organisasi Anda. Ini adalah topik yang sangat mendalam yang berada jauh di luar cakupan artikel ini, tetapi Microsoft menyediakan beberapa alat untuk membantu Anda merencanakannya.

Yang pertama adalah artikel Rekomendasi Ukuran dan Konfigurasi Exchange 2013 di TechNet. Ini akan membawa Anda melalui dasar-dasar seperti inti CPU Direktori Aktif ke server kotak surat rasio inti CPU, konfigurasi jaringan, perbaikan terbaru Windows Server yang diperlukan, dan konfigurasi berkas halaman. Jika Anda terbiasa dengan Exchange Server 2010, Anda akan melihat beberapa perubahan yang disorot dalam artikel ini untuk mengonfigurasi Exchange 2013, seperti tidak lagi merekomendasikan jaringan terpisah untuk replikasi.

Setelah Anda memahami rekomendasi inti, inilah saatnya untuk menyelami perencanaan kapasitas. Blog Tim Exchange adalah sumber informasi yang bagus untuk ini, dan grup telah menerbitkan pandangan komprehensif tentang cara mengukur lingkungan Anda dengan benar. Jangan berkecil hati dengan rumus matematika - kalkulator ukuran tersedia untuk diunduh untuk membantu memudahkan Anda melalui proses.

Beberapa tip TL; DR:

  • Jangan mengotak-atik pengaturan RAID untuk volume database Anda. Itu sekolah lama dan tidak lagi diperlukan karena peningkatan kinerja di Exchange. JBOD baik-baik saja, terutama saat menggunakan DAG untuk ketersediaan tinggi.
  • Gunakan satu inti CPU Direktori Aktif untuk setiap delapan inti CPU kotak surat.
  • Jangan gunakan hyperthreading di server kotak surat fisik.
  • Siapkan monitor kinerja untuk metrik penting seperti durasi kueri AD, IOPS pada disk basis data Anda, dan verifikasi seluruh basis data AD dapat muat dalam RAM.

Perutean email

Anda telah menginstal semuanya. Database Anda mereplikasi. Beban Anda seimbang. Performa sedang dipantau. Sekarang saatnya beralih untuk benar-benar memasukkan dan mengeluarkan email dari sistem Anda.

Domain yang diterima dan kebijakan alamat email

Pastikan semua domain Anda terdaftar dengan jenis domain yang tepat di bawah Mail Flow> Domain yang Diterima, dan domain default Anda sudah benar. Jika Anda bermaksud menggunakan kebijakan alamat email, sekarang saat yang tepat untuk meninjaunya untuk memastikan Anda telah memilih domain dan format nama pengguna yang benar. Anda dapat melakukannya di Alur Surat> Kebijakan Alamat Email.

DNS

Seperti Office 365, Anda perlu mengatur entri DNS Anda dengan benar sebelum email dapat merutekan ke sistem Anda atau klien dapat menemukan pengaturan mereka secara otomatis. Ini sedikit lebih sulit untuk solusi lokal karena Anda perlu mengonfigurasi aturan firewall untuk mengizinkan port 25 masuk ke server transportasi front-end atau edge tergantung pada konfigurasi spesifik Anda.

Anda harus terlebih dahulu membuat data A untuk alamat IP MTA (Agen Transfer Pesan) Anda. Misalnya, kami menggunakan mail.exampleagency.com di lab kami. Setelah data A ada, buat data MX yang mengarah ke sana. Penyedia hosting DNS Anda harus memiliki dokumentasi yang memadai untuk mencakup pembuatan catatan ini.

Untuk penemuan otomatis, Anda perlu membuat data A ke alamat IP server akses klien Anda atau, jika sama dengan MTA Anda, data CNAME yang mengarah ke sana. Sekali lagi, untuk laboratorium kami, kami menggunakan data CNAME dari sebuah utodiscover.exampleagency.com menunjuk ke mail.exampleagency.com karena mereka berdua menggunakan alamat IP yang sama. Catatan ini harus autodiscover.yourdomain.tld karena cara Outlook Autodiscover akan mencarinya.

Konektor

Tidak seperti Office 365, yang telah kita bahas di artikel sebelumnya, Exchange lokal tidak secara otomatis membuat konektor kirim untuk Anda. Untuk melakukannya, buka EAC (Exchange Admin Center) dan arahkan ke Mail Flow> Send Connectors. Konektor dasar hanya akan dikirim ke Internet melalui resolusi DNS.

Jika Anda menggunakan gateway perpesanan pihak ketiga seperti Mimecast, Anda akan mengonfigurasinya sebagai konektor khusus. Di sinilah Anda juga akan menyiapkan koneksi TLS yang diberlakukan ke MTA lain. Misalnya, Bank of America mewajibkan koneksi TLS yang diberlakukan untuk vendornya. Untuk ini, Anda perlu menggunakan konektor Mitra.

Ini juga merupakan kesempatan bagus untuk meninjau konektor penerima Anda. Di sini Anda dapat menyetel ukuran pesan masuk maksimum (defaultnya adalah 35MB - ingatlah untuk memperhitungkan sekitar 33 persen overhead encoding MIME), apakah akan mengaktifkan logging koneksi, setelan keamanan seperti TLS yang diberlakukan, dan pembatasan IP.

Akses klien

Anda memiliki perutean email dasar yang dikonfigurasi dan Anda dapat mengirim serta menerima email. Sekarang Anda perlu menghubungkan klien ke sistem Anda sehingga mereka benar-benar dapat menggunakannya.

Sertifikat

Dengan Office 365, Microsoft menggunakan namespace sendiri untuk Outlook Autodiscover, Outlook Web App, dan konektivitas SMTP melalui TLS. Karena itu, Microsoft menggunakan sertifikatnya sendiri. Untuk Exchange lokal, Anda perlu membeli sertifikat baru dari CA tepercaya untuk memungkinkan konektivitas aman yang tepercaya ke sistem Anda.

Untungnya, Microsoft telah membuat prosesnya mudah diselesaikan. Untuk memulai, buka EAC dan arahkan ke Server> Sertifikat. Tambahkan sertifikat baru dan pilih untuk membuat permintaan. Seorang penyihir akan terbuka dan memandu Anda melalui proses tersebut. Anda akan diberi kesempatan untuk memilih domain Anda untuk setiap jenis akses. Dalam contoh ini, saya terutama menggunakan webmail.exampleagency.com untuk semuanya.

Setelah Anda menyelesaikan wizard, ambil file permintaan sertifikat Anda dan unggah ke otoritas sertifikat pilihan Anda (kami menggunakan GoDaddy). Anda kemudian akan menerima sertifikat dalam bentuk file CER. Cukup klik Selesai dan impor file CER agar sertifikat diimpor dan diaktifkan untuk digunakan di lingkungan Anda.

Direktori virtual

Sekarang setelah sertifikat Anda terpasang, saatnya memberi tahu Exchange domain apa yang digunakan untuk layanan apa. Arahkan ke Server> Direktori Virtual. Dari sini, Anda harus mengonfigurasi akses eksternal untuk masing-masing. Dalam contoh ini, kami telah mengonfigurasi direktori virtual OWA untuk menggunakan webmail.exampleagency.com.

Ada topik yang lebih kompleks untuk dibahas seperti larik akses klien dan load balancing, tetapi sebaiknya ditinggalkan untuk eksplorasi yang lebih mendalam daripada artikel ini. Untuk informasi lebih lanjut, lihat dokumentasi Microsoft Exchange Server di TechNet.

Keamanan dan kepatuhan

Meskipun data Anda tidak berada di cloud publik, Anda tetap perlu mempertimbangkan keamanan dengan cermat. Sebagai permulaan, pastikan Anda menerapkan pembaruan rutin ke Windows Server dan Exchange Server. Saran yang sama untuk akun administrator juga berlaku; selalu gunakan akun administrator terpisah dari akun biasa.

Anda benar-benar harus menjaga akses ke tugas-tugas administratif terbatas pada jaringan internal atau VPN kecuali Anda bermaksud untuk mengaktifkan beberapa bentuk otentikasi multifaktor melalui produk pihak ketiga seperti RSA SecurID.

Pastikan Anda memiliki kebijakan kata sandi yang masuk akal. Panduan tentang hal ini terus berubah, tetapi kami mendukung gagasan yang lebih baru untuk menggunakan kata sandi yang lebih panjang daripada kata sandi yang lebih kompleks. Di lab kami, kami mengharuskan pengguna untuk memiliki sandi 14 karakter - dikurangi persyaratan kerumitan apa pun - yang kedaluwarsa setiap 90 hari.

Anda juga harus mempertimbangkan apakah Anda perlu membatasi pengiriman informasi sensitif melalui email seperti nomor Jaminan Sosial dan nomor kartu kredit. Anda dapat mengonfigurasi batasan ini di bawah Manajemen Kepatuhan> Pencegahan Kehilangan Data. Microsoft menyediakan sejumlah templat yang dapat digunakan untuk membantu Anda menyiapkan dan menjalankan dengan cepat. Dalam contoh ini, saya menggunakan templat FTC AS untuk membatasi pengiriman nomor kartu kredit.

Pemikiran tentang perangkat lunak lain

Jika Anda telah mengikuti sejauh ini, semoga Anda memiliki sistem Exchange lokal yang berfungsi. Sekarang Anda perlu melindunginya, mencadangkannya, dan secara umum memastikannya tetap online.

Untuk solusi antivirus, Anda akan menginginkan paket antivirus real-time di seluruh sistem serta paket yang memindai pesan saat transit. Microsoft menyediakan daftar pengecualian yang diperlukan untuk pengontrol domain Active Directory dan sistem Exchange Server. Pastikan untuk mengikuti rekomendasi Microsoft dan tidak bergantung pada vendor antivirus Anda untuk menerapkan ini secara otomatis untuk Anda. Saya telah melihat terlalu banyak paket antivirus yang menginjak-injak file log basis data kotak surat di luar kotak untuk mempercayai mereka melakukannya untuk Anda.

Anda juga perlu mempertimbangkan jenis metode pencadangan dan pemulihan yang ingin Anda dukung. Apakah Anda mencadangkan ke disk atau tape? Apakah Anda memerlukan pemulihan granular (yang jauh lebih intensif sumber daya daripada biasanya)? Seberapa jauh backup Anda harus dilakukan? Ada banyak pertanyaan yang perlu Anda tanyakan pada diri sendiri, tim Anda, dan manajemen atas.

Pertimbangan produk lainnya termasuk pencegahan kehilangan data, perangkat lunak antispam, dan pengarsipan email. Dalam beberapa kasus, ini semua dapat dimasukkan dalam satu paket. Tapi pastikan itu bersertifikat untuk bekerja dengan Exchange Server 2013 dan memiliki dukungan vendor yang memadai. Anda tidak ingin membeli produk hanya untuk mengetahui bahwa itu dibuat untuk Exchange Server 2007 dan memiliki dukungan hanya email.

Pikiran terakhir

Terakhir, pastikan untuk mengerjakan pekerjaan rumah Anda. Periksa untuk memastikan organisasi Anda tidak perlu mengikuti undang-undang khusus apa pun untuk retensi data, pencegahan kehilangan data, atau akses data. Lakukan tes backup dan restore secara teratur. Gunakan file tes EICAR untuk memastikan perangkat lunak antivirus Anda berjalan dengan benar. Periksa monitor kinerja Anda secara rutin untuk memastikan Anda tidak perlu menyeimbangkan kembali DAG atau menambahkan pengontrol domain. Oh, dan satu hal lagi: belajar mencintai PowerShell.

Menjalankan Exchange Server di tempat jauh lebih rumit daripada sekadar mendaftar ke Office 365, tetapi Anda memiliki lebih banyak kendali dan mendapatkan pengalaman yang jauh lebih memuaskan sebagai profesional TI. Artikel ini semoga memberi Anda setidaknya gambaran umum yang baik tentang opsi Anda dan apa yang benar-benar harus Anda dapatkan dengan benar saat mengonfigurasi Exchange Server di tempat. Setiap organisasi berbeda, dan panduan ini mungkin melenceng dari skenario Anda. Namun, ini harus cukup untuk sebagian besar administrator TI bisnis kecil yang ingin menyiapkan dengan cepat.

Artikel terkait

  • Kekuatan PowerShell: Pengantar untuk admin Exchange
  • Unduh: Panduan cepat: Cara berpindah ke Office 365
  • Unduh: Microsoft Office 365 vs. Google Apps: Panduan utama
  • 5 Pengaturan admin Office 365 Anda harus benar
  • 10 alat pihak ketiga yang sesuai dengan kebutuhan Office 365 Anda
  • 10 hal penting migrasi Office 365 yang harus dihindari
  • Cara melakukan migrasi server Exchange Anda ke Office 365