iT邦幫忙

0

安裝EXCHANGE 2010

總公司(新加坡)已架設一台EXCHANGE2010(三合一),目前在台灣想架設第二台EXCHANGE2010,Mail Flow是從新加坡進入,請問各位大大我在裝第二台SERVER(三合一)時需要注意什麼,台灣端的CAS憑證是否直接匯入新加坡已申請好的那張,CAS上的URL是否只需填寫內部即可(外部空白),HUB是否需要做什麼特殊的設定,如要啟動DAG是否一定需要依個獨立的網路(偵測HA)使用?又或者只需導入MBX的角色即可希望知道的大大可以一同討論,謝謝

1 個回答

10
raytracy
iT邦大神 1 級 ‧ 2010-08-25 21:34:45
最佳解答

小弟的看法, 有錯請糾正:

看更多先前的回應...收起先前的回應...

大大你的無字天書太深奧了!可以再說一次嗎?

raytracy iT邦大神 1 級 ‧ 2010-08-25 21:52:37 檢舉
  1. 憑證是認機器的, 你自己的 CAS 要自己向上層的 AD CS 申請新憑證. 不過, Exchange 安裝時, 預設就會安裝一個自簽憑證, 您應該用這個憑證就夠了吧? 有需要跟新加坡的 Server 另外請憑證嗎?

  2. 如果你的 CAS 不需要對外網服務, 只供內網用的話, 可以不需要輸入外部 URL.

  3. 2010 DAG 已經不需要 Cluster heartbeat 專用的高速網路了, 只要兩台 MBX 之間的網路延遲 (Latency) 低於 250ms 就可以建立 DAG. 但是, 您仍然需要使用 Server 2008 Enterprise Edition 才能建立 DAG. 如果您原本將 Exchange 2010 安裝在 Standard Edition 的 2008, 那只能....打掉重裝....

raytracy iT邦大神 1 級 ‧ 2010-08-25 21:54:25 檢舉

leesampras提到:
大大你的無字天書太深奧了!可以再說一次嗎?

挖哩勒....您也太迅速了吧, 我只是喝個水喘口氣, 就被您插.....進來了.....

鐵殼心 iT邦高手 1 級 ‧ 2010-08-25 22:15:18 檢舉

raytracy提到:
小弟的看法**,** 有錯請糾正:

這一個逗號,裡面的東西還真多...Orz

大大應該這麼說,第一:因為新加坡與台灣是同一個Domain,而且她們對外的OWA已經申請了外部的憑證,所以我才會想說是否需要匯入這個外部憑證,第二:如果在沒有切割站台的情況下大大認為應該只要導入MBX就好嗎(台灣只有50U)?第三:可是DAG 不是也需要 Cluster heartbeat嗎,就我的認知如果有兩台SERVER就要有五個IP(在無路由的情況下兩個MAPI NETWORK,兩個REPLICATION NETWORK,一個叢集。有路由的情況下要有六個嗎),所以我的問題是是否應該請網路組同仁切不同的VLAN讓我可以設定複製網路。謝謝大大的回應希望我們可以繼續討論下去。

raytracy iT邦大神 1 級 ‧ 2010-08-26 00:13:09 檢舉

先回答 heartbeat 的問題, 底下是一個典型的 Exchange DAG 架構, 由微軟提供:

上圖有您所提到的 MAPI 和 Replication Network, 但是並不需要專屬的 Heartbeat Network. 甚至, MAPI 和 Replication 也可合併在同一個網段內 (如果網路速度夠快的話), 也就是圖中的 10.0.x.x 網路可以完全取消掉.

沒有 Heartbeat, 那 DAG 要怎麼判斷誰還活著? 有兩種手段可以使用:

  1. Exchange 2010 的 PAM 和 SAM 元件會負責處理這些死活調度的問題.
  2. 如果 DAG Group 裡面的 Server 數量是奇數的話, 他們會自行仲裁死活的問題
  3. 如果 DAG Group 裡面的 Server 數量是偶數的話, 您需要另外架設一台見證伺服器 (Witness Server), 由見證伺服器來仲裁誰死誰活.

如果您的環境需要架設見證伺服器進行仲裁的話, 要記得以下的限制條件:

  1. 他不能是 DAG 的成員之一 (也就是不能跟 MBX 角色安裝在同一台伺服器中)
  2. 他必須跟 DAG 隸屬於同一個 AD 樹系
  3. 他只能使用 Windows Server 2003/2008/2008 R2 作業系統
  4. 如果他上面沒有安裝 Exchange Server 的話, 必須將樹系根網域的 Exchange trusted Subsystem 群組, 加入他的本機 Administrators 群組內.
  5. 一台見證伺服器, 可以為多組不同的 DAG Group 提供仲裁.

所以:
如果您要節省網段的話, 讓 MAPI 和 Replication 共享同一個 Subnet.
若您要效能的話, 把 MAPI 和 Replication 分隔成兩個不同的 Subnet.

除此之外, 不需要建立其他的獨立網段.

raytracy iT邦大神 1 級 ‧ 2010-08-26 00:17:33 檢舉

您所提的「叢集 IP」, 應該是指 DAG Group 的虛擬 IP.
是的, 您確實需要在 MAPI Network 的網段中, 分配一個 IP 註冊成 DAG Group.

但這個 IP 仍與 Heartbeat 無關.

在 Exchange 2010 中, 只有利用 NLB 來建立 CAS/HT 容錯架構時, 才會需要用到 Heartbeat.

raytracy iT邦大神 1 級 ‧ 2010-08-26 00:35:05 檢舉

再來看憑證.....

如您所說, 新加坡已經幫他的 CAS 註冊了一個 OWA 的入口, 假設是: mail.domain.com 這樣...

這麼一來, 新加坡那邊, 是否應該就會在防火牆上面, 將 mail.domain.com 的 Port 443 服務, 直接 Forward 到新加坡自己的 CAS Server 上?

如果以上成立的話, 當使用者從外面登入 https://mail.domain.com 的時候, 他會進入哪一台 CAS?

如果防火牆設定不變的話, 外面的使用者, 有任何機會可以接觸到台灣的這台 CAS Server 嗎?

既然不可能接觸到台灣的 CAS, 又何須擔心憑證的問題?

raytracy iT邦大神 1 級 ‧ 2010-08-26 00:55:06 檢舉

最後您問到是否只要導入 MBX 就好?

Exchange 2010 最大的改變, 就是 Client 的存取必須完全透過 CAS, 他不再讓 Client 自行存取 MBX. 如果您在台灣這邊只架設 MBX, 沒有 CAS 的話, 台灣的用戶, 仍然必須直接存取新加坡的 CAS, 再由新加坡的 CAS 伸手回台灣的 MBX 來取信件回到新加坡, 然後再由新加坡的 CAS 回傳給台灣的使用者.....

這樣不是繞了一大圈嗎? 當然, 如果你們台灣到新加坡的 VPN 有 1Gbps 就沒差...

所以大神依照您的敘述
1.MAPI 和 Replication 可以用同一個網段的IP囉
2.CAS架起來以後只需要填寫內部的URL而無須做任何參數的調整
3.依照相同的邏輯HUB這個角色也必需安裝囉~那安裝完畢後有特別需要注意的事項嗎
大神您真是太神了~果然網路神人多阿!!

對了大神
憑証如果使用EX自我簽署的會有什麼樣的限制嗎?
過期後如何處理因為大多都會申請自我的CA憑證可是公司沒打算建置CA
而新加坡已申請外部憑證台北使用自我簽署會不會無法協同運作
謝謝大神的解答~除了感謝不知道該說什麼~謝謝

raytracy iT邦大神 1 級 ‧ 2010-08-27 02:42:31 檢舉
  1. MAPI 和 Replication 可以用同一個網段的IP, 但提醒: 請留意所需的最低頻寬.
  2. CAS 如果只對內服務, 可以只寫內部 URL
  3. 如果台灣這邊有獨立的對外收發信需求, 才需要架設 HT. 如果全部的郵件都是透過新加坡的對外管道收發, 那用新加坡的 HT 就可以了. 另一種狀況是您想做 Shadow Redundancy, 這樣也可以在台灣這邊架 HT 當成備援.
  4. Exchange 自簽憑證預設都是五年, 到期前用 EMC 介面展延 (renew) 就好. 自簽憑證是指 Exchange 安裝時, 預設自動產生的那個憑證, 簽發這個憑證不需要用到 CA, 所以 renew 也不需要用到 CA.
  5. 你的 CAS 不對外服務, 所以不需要申請外部憑證, 使用自簽憑證就夠了.

感謝大神
1.因為文件上都寫建議要有兩個網路所以遲遲不敢動手
2.如果我想讓台灣的信件直接由台灣進出作法是否在台灣的HT上建另一個傳送連接器
真是太感謝您了!!

raytracy iT邦大神 1 級 ‧ 2010-08-27 15:17:56 檢舉

leesampras提到:
2.如果我想讓台灣的信件直接由台灣進出作法是否在台灣的HT上建另一個傳送連接器

那台灣需要有自己的 sub-domain 才能從台灣進出. 舉例來說:

你們公司在外面註冊的 domain, MX record 一定只會指向新加坡, 所以外面的人寄信, 只會從新加坡這邊進來. 除非另外切一個 Sub-domain 給台灣自己管

(即 tw.domain.com, 這樣才可以將 tw.domain.com 自己的 MX 指向台灣, 叫外面直接寄進台灣的 HT, 但改成這樣做, 收信帳號將會變成: someone@tw.domain.com)

如果您只要台灣可以直接發信出去的話, HT 上面當然可以建立新的傳送連接器; 但是如果貴公司有 Edge Transporter 的話, 所有的信還是會先送到新加坡的 Edge, 然後才會出去.

下面這張圖應該可以說明實際的傳輸狀況:
(您可以把台灣看成是圖中的 Site B)

大大非常感謝喔
看來只有您願意回答我了
所以最佳回答就是您了
最後在請教個問題
如果我要使用NLB安裝多個CAS(是否一定要用硬體式的?或是作業系統建置即可)
那我的憑證要怎麼申請呢是否申請一張
安裝在多個CAS上
真是太謝謝您了除了感謝不知道還可以說什麼
謝謝

raytracy iT邦大神 1 級 ‧ 2010-08-31 15:28:32 檢舉

leesampras提到:
如果我要使用NLB安裝多個CAS(是否一定要用硬體式的?或是作業系統建置即可)
那我的憑證要怎麼申請呢是否申請一張

是的, 請用 NLB 的 node 1 去申請, 但不同的是: 你的 common name 必須是 NLB 的 Virtual name, 而非 node 1 的 Server name.

申請回來的憑證, 先安裝在 node 1 上面, 如果測試都成功, 請從 MMC 介面將他匯出(export), 然後把匯出的憑證, 拿去安裝在其他的 node 上即可.

可以參閱:
Obtain a Server Certificate for an NLB Cluster

raytracy iT邦大神 1 級 ‧ 2010-08-31 15:32:10 檢舉

我發現有很多網友看不到上面的圖, 因為那個需要有微軟的帳號才能看....

所以我另外放個地方:
第一張:

第二張:

我要發表回答

立即登入回答