本節書摘來自異步社群《exchange server 2010 sp1/sp2管理實踐》一書中的第2章,第2.3節,作者: 王淑江 更多章節内容可以通路雲栖社群“異步社群”公衆号檢視。
内部網絡模拟一個真實的企業網絡,将部署一台域控制器、一台證書伺服器以及多台exchange伺服器,構成一個真實的網絡應用平台,為讀者展現exchange需要的所有基礎元件。内部網絡域名為“book.local”,建立使用者字尾為“book.local”。内部網絡申請的公網域名為“book.com”,郵件伺服器名稱為“mail.book.com”。由域名解析網絡完成域名解析,確定郵件投遞的準确性。
2.3.1 内部網絡伺服器虛拟機說明
内部網絡伺服器使用7台虛拟機,虛拟機規劃如表2-2所示。其中域控制器、證書伺服器運作windows server 2003 r2作業系統且隻配置1塊網卡,其他虛拟機運作windows server 2008 r2作業系統并配置2塊網卡。用戶端通路角色伺服器(cas01、cas02)部署網絡負載均衡群集(nlb),郵箱資料庫角色伺服器部署3節點資料庫可用性組(dag)群集(cluster)。本書中部署的群集不依賴于任何儲存設備。
2.3.2 部署内部網絡域控制器虛拟機
内部網絡域控制器運作windows server 2003 r2作業系統,配置設定的ip位址為192.168.0.1/24,網關位址為192.168.0.200,計算機名稱為dc,首選dns伺服器為192.168.0.1。如圖2-37所示。
https://yqfile.alicdn.com/680056a85ddb4c772c456c58b0e0f69111743c13.png" >
1.部署active directory
active directory是exchange server的基礎,真實網絡中域控制器至少應該部署2台以上,以確定域控制器的高可用性。
第1步,以管理者身份登入。在指令行模式中鍵入“dcpromo.exe”指令,指令執行後,啟動“active directory安裝向導”,打開如圖2-38所示的“歡迎使用active directory域服務安裝向導”對話框。
第2步,單擊“下一步”按鈕,顯示如圖2-39所示的“作業系統相容性”對話框,顯示作業系統相容性資訊。
第3步,單擊“下一步”按鈕,顯示如圖2-40所示的“域控制器類型”對話框。安裝向導提供兩種active directory安裝模式,一種為全新的active directory(新域的域控制器),一種是在現有的域中添加域控制器(現有域的額外域控制器)。本例中,安裝全新的active directory,選擇“新域的域控制器”選項。
第4步,單擊“下一步”按鈕,顯示如圖2-41所示的“建立一個新域”對話框。本例中建立一個全新的域,選擇“在新林中的域”選項。結合第3步和第4步,可以了解為在新林中建立新域。
https://yqfile.alicdn.com/d747493768c4e67d0347561435350d483fdfd416.png" >
第5步,單擊“下一步”按鈕,顯示如圖2-42所示的“新的域名”對話框。設定内部網絡域名book.local,注意非公網域名book.com。如果在部署active directory之前,企業已經申請公網域名,也可以将公網域名作為内部網絡域名使用。建議,内部網絡和外部網絡使用不同的域名。
https://yqfile.alicdn.com/dc8ec4dbf15f9022e75cccc6a86e32b4d566ffb2.png" >
第6步,單擊“下一步”按鈕,顯示如圖2-43所示的“netbios域名”對話框。“netbios域名”将第5步中設定域名中的第一個“.”之前的字元作為預設的“netbios域名”,也可以自定義。當使用者登入網絡時,登入域使用的是“netbios域名”。
https://yqfile.alicdn.com/434c2e0d23927d1007d7deaa89980ada357802fe.png" >
第7步,單擊“下一步”按鈕,顯示如圖2-44所示的“資料庫和日志檔案檔案夾”對話框。設定active directory資料庫和日志檔案存儲位置。建議将active directory資料庫和日志分别部署在不同的磁盤裝置中。
第8步,單擊“下一步”按鈕,顯示如圖2-45所示的“共享的系統卷”對話框。設定sysvol檔案夾位置。sysvol檔案夾的主要作用是存儲組政策、frs檔案服務臨時檔案存儲、公共檔案伺服器資料交換存儲等,是以建議将sysvol檔案夾部署到專業儲存設備中。
第9步,單擊“下一步”按鈕,顯示如圖2-46所示的“dns注冊診斷”對話框。本例中将部署active directory內建區域dns服務,即将dns服務安裝在域控制器中,所有dns資訊儲存在active directory資料庫中,是以選擇第二個選項。
https://yqfile.alicdn.com/6c4a58889532b7f9631a8742e025298b77f909b1.png" >
第10步,單擊“下一步”按鈕,顯示如圖2-47所示的“權限”對話框。本例中伺服器作業系統最低版本使用windows server 2003 r2,是以選擇第二個“隻與…”選項。
第11步,單擊“下一步”按鈕,顯示如圖2-48所示的“目錄服務還原模式的管理者密碼”對話框。還原模式密碼與管理者(預設管理者使用者:administrator)密碼不同,但是要符合密碼政策規則。
https://yqfile.alicdn.com/8e8621fd1550afeda7ea14d60d05f708653644b2.png" >
第12步,單擊“下一步”按鈕,顯示如圖2-49所示的“摘要”對話框。顯示active directory部署資訊。
第13步,單擊“下一步”按鈕,開始部署active directory,部署過程中需要windows server 2003 r2安裝CD光牒,根據提示操作即可,安裝完成後顯示如圖2-50所示的對話框。單擊“完成”按鈕,重新啟動計算機後完成active directory部署。
2.提升域功能級别
windows server 2003網絡中域功能級别預設為“windows 2000混合模式”,而部署exchange server 2010域模式最低需求為“windows server 2003”模式。
第1步,以企業管理者身份登入域控制器。打開“active directory域和信任關系”控制台,右擊域名稱(book.local),在彈出的快捷菜單中選擇“提升域功能級别”選項,如圖2-51所示。
第2步,指令執行後,打開“提升域功能級别”對話框,顯示目前預設域功能級别為“windows 2000混合模式”,在“選擇一個可用的域功能級别”清單中選擇“windows server 2003”選項,如圖2-52所示。
第3步,單擊“提升”按鈕,将“windows 2000混合模式”提升為“windows server 2003”模式,提升後的結果如圖2-53所示。
https://yqfile.alicdn.com/67dba7546342246c8c427d39f50b204c946480aa.png" >
3.提升林功能級别
windows server 2003網絡林功能級别預設為“windows 2000”,而部署exchange server 2010林模式最低需求為“windows server 2003”模式。
第1步,以企業管理者身份登入域控制器。打開“active directory域和信任關系”控制台,右鍵單擊“active directory域和信任關系”,在彈出的快捷菜單中選擇“提升林功能級别”選項,如圖2-54所示。
https://yqfile.alicdn.com/32f52c462b3077446b4a074f1da81a5c6530f9ef.png" >
第2步,指令執行後,打開“提升林功能級别”對話框,顯示目前預設林功能級别為“windows 2000”,在“選擇一個可用的林功能級别”清單中選擇“windows server 2003”選項,如圖2-55所示。
https://yqfile.alicdn.com/912d664f9081196598fddb7426d8ba743b543fc3.png" >
第3步,單擊“提升”按鈕,将“windows 2000”模式提升為“windows server 2003”模式,提升後的結果如圖2-56所示。
4.驗證全局編錄伺服器
active directory部署過程中,預設将第一台域控制器作為全局編錄伺服器(gc),在同一個站點中exchange server 2010正确運作的前提是至少有一台gc伺服器。如果在多站點環境中部署,每個站點中都必須部署一台gc伺服器。
驗證方法一:在指令行提示符下,鍵入如下指令:dsquery server –isgc,指令成功執行後顯示域内所有全局編錄伺服器,如圖2-57所示。
驗證方法二:打開“active directory站點和服務”視窗,選擇“active directory站點和服務[dc.book.local]”→“sites”→“default-first-site-name”→“servers”→“dc”→“ntds settings”選項,右擊“ntds settings”,在彈出的快捷菜單中選擇“屬性”指令,如圖2-58所示。該對話框的“全局編錄”選項如果沒有選擇,表示目前的域控制器不是一台全局編錄伺服器。如果要将目前伺服器設定為全局編錄伺服器,選擇“全局編錄”選項。
5.配置dns轉發器
dns轉發器負責将非内部網絡的dns解析請求,轉發到目标域名解析伺服器。本例中内部網絡對外部網絡的dns解析請求(ytdaily.com或者book.com)将轉發到公網dns伺服器(域名解析伺服器、192.168.0.200、10.0.0.200),由公網域名解析伺服器完成域名解析,并定位目标伺服器。内部網絡和外部網絡都需要配置dns轉發器,否則任何網絡内的計算機都不能解析對方網絡的伺服器,郵件也将無法投遞。
第1步,以企業管理者身份登入。打開dns控制台,右擊内部網絡域控制器名稱,在彈出的快捷菜單中選擇“屬性”指令,如圖2-59所示。
第2步,指令執行後,打開“屬性”對話框,切換到“轉發器”頁籤,如圖2-60所示。在“所選域的轉發器的ip位址清單”中鍵入域名解析伺服器的ip位址(本例中指向内部網絡的預設網關),單擊“添加”按鈕,添加目标dns伺服器。單擊“确定”按鈕,完成轉發器配置。
https://yqfile.alicdn.com/fa0ddada7672faa13f9d206392cc3c70a959b66e.png" >
6.建立active directory使用者
本例使用“active directory使用者和計算機”管理單元建立一個示例使用者,該使用者作為exchange server 2010管理者使用者。
第1步,以企業管理者身份登入。打開“active directory使用者和計算機”控制台,單擊工具欄“圖檔 61”按鈕,啟動使用者建立向導,顯示如圖2-61所示的“建立對象-使用者”對話框。使用者設定參數如圖2-61所示。exchange server管理者使用者名稱為“exadmin”。
第2步,單擊“下一步”按鈕,顯示如圖2-62所示的對話框。設定使用者密碼以及密碼更新方式。
第3步,單擊“下一步”按鈕,顯示如圖2-63所示的對話框。顯示使用者摘要資訊,單擊“完成”按鈕,建立新使用者。
**
2.3.3 部署證書伺服器虛拟機**
證書伺服器是windows網絡基礎架構中的重要組成部分。因為證書服務的特性(不能更改計算機名稱、網絡參數等),是以在部署證書伺服器時建議獨立部署,不建議與域控制器部署在同一台伺服器中。否則在遷移或者更新證書服務時,首先要遷移域控制器以及相關的服務(active directory內建區域dns服務、dhcp服務、wins服務等),還要通過政策更改已經部署的系列服務,然後遷移或者更新證書服務,遷移周期長,甚至影響網絡的正常運作。是以好的網絡基礎架構對證書伺服器尤其重要。
内部網絡證書伺服器運作windows server 2003 r2 作業系統,配置設定的 ip 位址為192.168.0.2/24,網關位址為192.168.0.200,計算機名稱為ca,首選dns伺服器為192.168.0.1。如圖2-64所示。注意,證書伺服器需要使用iis元件。
https://yqfile.alicdn.com/eceae02217fbbe2cf76cdc718b923ee7558ece50.png" >
1.ca伺服器加域
第1步,以企業管理者身份登入證書伺服器。右擊“我的電腦”,在彈出的快捷菜單中選擇“屬性”指令,打開“系統屬性”對話框,切換到“計算機名”頁籤,如圖2-65所示。
第2步,單擊“更改”按鈕,顯示如圖2-66所示的“計算機名稱修改”對話框。選擇“域”選項,文本框中鍵入“netbios”域名。
https://yqfile.alicdn.com/cb41695baa7cc31637a245bbc7ce14d81b975f75.png" >
第3步,單擊“确定”按鈕,顯示如圖2-67所示的對話框。鍵入具備将用戶端計算機添加到域權限的使用者名稱和密碼。
第4步,加域成功後,顯示如圖2-68所示的對話框。單擊“确定”按鈕後,提示需要重新啟動計算機。
2.安裝證書服務
第1步,以企業管理者身份登入證書伺服器。選擇“控制台”→“添加或删除程式”選項,指令執行後,顯示如圖2-69所示的“添加或删除程式”對話框。
第2步,選擇“添加/删除windows元件”選項,選擇“應用程式伺服器”→“詳細資訊”→“internet資訊服務”→“詳細資訊”→“網際網路服務”→“active server pages”選項,單擊多次“确定”按鈕,完成“應用程式伺服器”的設定。如圖2-70所示。
第3步,傳回到“windows元件向導”對話框後,選擇“證書服務”選項,顯示如圖2-71所示的“windows證書服務”對話框,提醒管理者計算機名不能更改。
第4步,單擊“是”按鈕,關閉“windows證書服務”對話框,單擊“下一步”按鈕,顯示如圖2-72所示的“ca類型”對話框。選擇“企業根ca”選項。
第5步,單擊“下一步”按鈕,顯示如圖2-73所示的“ca識别資訊”對話框,定義ca公用名稱以及證書有效期限,預設為5年。
第6步,單擊“下一步”按鈕,顯示如圖2-74所示的“證書資料庫設定”對話框。使用預設值即可。
https://yqfile.alicdn.com/0fa4604b85b057a4c190dd2a1829ee67bc2e1ab5.png" >
第7步,單擊“下一步”按鈕,開始安裝證書服務。配置過程中需要插入windows server 2003 安裝CD光牒,根據提示操作即可。配置過程将顯示如圖2-75所示的“microsoft證書服務”對話框,提醒管理者需要啟用“active server pages”功能。
https://yqfile.alicdn.com/9d8c2ba3af880c0ff1cfbdbe809a83dd35b0dba5.png" >
單擊“是”按鈕,繼續配置windows元件。配置完成後顯示如圖2-76所示的“完成‘windows元件向導’”對話框。單擊“完成”按鈕,完成證書服務的配置。
2.3.4 部署exchange server 2010伺服器虛拟機
内部網絡中,exchange server 2010 伺服器虛拟機數量為5台,2台伺服器安裝cas/hub角色,3 台伺服器安裝mbx角色。5 台伺服器加入到域中,使用郵件系統管理者使用者“exadmin”統一登入。部署過程将在後續章節詳細介紹。