Hohe Verfügbarkeit und Ausfallsicherheit von Standorten für Microsoft Exchange 2016 (OWA, CAS Array und DAG)

GESCHRIEBEN VON Zevenet | 2. Mai 2018

Wie funktioniert Exchange 2016?

Microsoft Exchange 2016 ist Teil der Serveranwendungen von Microsoft, die unter anderem Mailing-Dienste, Mailbox, Adressbuch, Clientzugriffe und Connector für die automatische Erkennung bereitstellen.

Für einen eigenständigen Server verwendet Microsoft Exchange 2016 die folgenden Netzwerkanschlüsse:

TCP / 25 und TCP / 465 für SMTP und SMTPS Mailing-Dienste.
TCP / 143 und TCP / 993 für IMAP und IMAPS Clientzugriffsdienste.
TCP / 110 und TCP / 995 für POP3 und POP3 Clientzugriffsdienste.
TCP / 80 und TCP / 443 für Outlook Web Access (OWA) Clientzugriffsdienste, Autodiscovery Dienstleistungen und MAPI Dienstleistungen.

Innerhalb einer Organisation sind alle diese Dienste auf einem eigenständigen Server keine gültige Architektur, da sie im Falle einer Wartung oder bei Ausfall des Dienstes keinen Hochverfügbarkeitsdienst bereitstellen. Aus diesem Grund schlagen wir eine skalierbare Architektur vor, die eine hohe Verfügbarkeit bietet und einen einzelnen Fehlerpunkt vermeidet.

Skalierbare Umgebung für Microsoft Exchange 2016

Im Folgenden wird die vorgeschlagene Umgebung zum Erstellen von Microsoft Exchange 2016-Diensten mit hoher Verfügbarkeit und einer flexiblen und skalierbaren Architektur gezeigt.

Mit dieser Architektur können Sie isolierte Exchange 2016-Dienste einrichten, um zu verhindern, dass sich ein Dienst während einer Wartung oder eines Fehlers auf einen anderen auswirkt, indem Sie Mailingdienste von einer Seite und Clientzugriffsdienste von einem anderen Dienst gruppieren. Darüber hinaus bietet es die Flexibilität, dedizierte Backends für jeden Dienst nahtlos zu konfigurieren.

Anforderungen:

Erstens müssen diese Konfigurationen in den Backend-Servern angesprochen werden, um sie als skalierbaren Dienst zu konvertieren:

1. Erstellen Sie einen Dienstnamen. Es ist erforderlich, die virtuellen Verzeichnisse oder den Namespace von Exchange 2016 auf einen Dienstnamen zu konfigurieren, um die Verwendung des Hostnamens zu vermeiden, der die Standardkonfiguration ist (z. B. exchange.mydomain.com ). Der neue Namespace wird im CRT für die Zertifizierungsstelle verwendet, um ein neues sicheres Zertifikat für den Dienst zu generieren. Außerdem sollte der ausgewählte Namespace in das Unternehmens-DNS aufgenommen werden, um die virtuelle Adresse der Farmen aufzulösen, die im Lastenausgleich erstellt werden.

2. MAPI-Dienst. Exchange2016 verwendet für diesen Dienst keine Dinyamic-Ports mehr. Es wird in HTTP unterstützt und ist standardmäßig aktiviert. Vergessen Sie jedoch nicht, diesen Dienst ordnungsgemäß zu konfigurieren. Spezifische Schritte zum Aktivieren, Konfigurieren und Testen von MAPI über HTTP finden Sie unter https://technet.microsoft.com/en-us/library/mt634322(v=exchg.160).aspx.

3. Richten Sie den DAG-Dienst für die Datenbankreplikation ein. Aktivieren der Datenbankverfügbarkeitsgruppe (DAG) in der CAS-Array ermöglicht das Erstellen einer Clusterdienst-Replikation von Postfächern zwischen den Servern.

4. Erstellen Sie die Lastausgleichsdienste. Im Folgenden wird erläutert, wie Sie die erforderlichen virtuellen Dienste konfigurieren. Beachten Sie, dass abhängig von Ihren Anforderungen nicht alle erstellt werden müssen.

Erstellen Sie die virtuellen Exchange-Dienste

Sobald eine Einheit von Zevenet bereitgestellt ist und die ersten Boot-Parameter eingerichtet sind, folgen Sie den unten beschriebenen Anweisungen.

Erstellen Sie zunächst eine dedizierte virtuelle Schnittstelle für Exchange-Dienste, indem Sie in den Menüabschnitt eingeben Netzwerk | Virtuelle Schnittstellen wie es unten gezeigt wird.

Diese IP-Adresse ist die virtuelle IP für unsere Exchange-Dienste und es ist erforderlich, dass unser Unternehmens-DNS während der Abfrage aufgelöst wird exchange.mydomain.com .

Anschließend ist der Load Balancer bereit, die virtuellen Services zu erstellen. Zugriff auf den Menüabschnitt LSLB | Bauernhöfe Sie können alle vorgeschlagenen Lastausgleichsfarmen erstellen, um die verschiedenen Dienste von Exchange 2016 zu isolieren, die in den folgenden Abschnitten ausführlich beschrieben werden.

Erstellen Sie einen virtuellen SMTP / S-Dienst

Dies ist eine LSLB-Farm mit L4-Profil, die als virtueller Mailing-Dienst verwendet wird, der das TCP port 25 und 465 falls die Sicherheit in den Backends aktiviert ist.

In den Dienstleistungen Abschnitt, für den wir eine erweiterte Funktionsprüfung konfigurieren können SMTP.

check_smtp -H HOST -w 30 -c 30 -p 25 -t 32

Wenn im virtuellen Dienst mehr als ein Port verwendet wird, empfiehlt es sich, die verschiedenen Ports in nur einer Integritätsprüfung zu testen.

Konfigurieren Sie abschließend die Backends, die als echte Server für diese Dienste verwendet werden sollen.

Erstellen Sie einen virtuellen IMAP / S-Dienst

Hierbei handelt es sich um eine LSLB-Farm mit L4-Profil, über die Clientverbindungen zu ihrem Postfach über hergestellt werden IMAP die verwendet die TCP port 143 und 993 falls die Sicherheit in den Backends aktiviert ist. Beachten Sie, dass dies ein optionaler Dienst ist. Bitte überprüfen Sie, ob die Exchange 2016 die IMAP-Ports aktiviert.

In den Dienstleistungen In diesem Abschnitt können wir eine einfache Integritätsprüfung für IMAP konfigurieren, wie unten gezeigt.

check_tcp -H HOST -p 143 -w 30 -c 30 -t 32

Wenn im virtuellen Dienst mehr als ein Port verwendet wird, empfiehlt es sich, die verschiedenen Ports in nur einer Integritätsprüfung zu testen.

Konfigurieren Sie abschließend die Backends, die als echte Server für diese Dienste verwendet werden sollen.

Erstellen Sie einen virtuellen POP3 / S-Service

Hierbei handelt es sich um eine LSLB-Farm mit L4-Profil, über die Clientverbindungen zu ihrem Postfach über hergestellt werden POP3 die verwendet die TCP port 110 und 995 falls die Sicherheit in den Backends aktiviert ist. Beachten Sie, dass dies ein optionaler Dienst ist. Bitte überprüfen Sie, ob die Exchange 2016 die POP3-Ports aktiviert.

In den Dienstleistungen In diesem Abschnitt können wir eine einfache Integritätsprüfung für POP3 konfigurieren, wie unten gezeigt.

check_tcp -H HOST -p 110 -w 30 -c 30 -t 32

Wenn im virtuellen Dienst mehr als ein Port verwendet wird, empfiehlt es sich, die verschiedenen Ports in nur einer Integritätsprüfung zu testen.

Konfigurieren Sie abschließend die Backends, die als echte Server für diese Dienste verwendet werden sollen.

Erstellen Sie einen RPC CAS Mailboxes Virtual Service

Dies ist eine LSLB-Farm mit L4-Profil, die für den Postfachdienst verwendet wird, der den TCP Port, der in einem vorherigen Schritt behoben wurde, in unserem Beispiel wird es sein 60000.

In den Dienstleistungen In diesem Abschnitt können wir eine einfache Integritätsprüfung für diesen Dienst konfigurieren, wie unten gezeigt.

check_tcp -H HOST -p PORT -w 30 -c 30 -t 32

Konfigurieren Sie abschließend die Backends, die als echte Server für diese Dienste verwendet werden sollen.

Erstellen Sie einen virtuellen Outlook-Adressbuchdienst

Dies ist eine LSLB-Farm mit L4-Profil, die für Adressbuchdienste verwendet wird, die das verwenden TCP Port, der in einem vorherigen Schritt behoben wurde, in unserem Beispiel wird es sein 60001.

In den Dienstleistungen In diesem Abschnitt können wir eine einfache Integritätsprüfung für diesen Dienst konfigurieren, wie unten gezeigt.

check_tcp -H HOST -p PORT -w 30 -c 30 -t 32

Konfigurieren Sie abschließend die Backends, die als echte Server für diese Dienste verwendet werden sollen.

Erstellen Sie einen virtuellen CAS-Array-Dienst

Dies ist eine LSLB-Farm mit L4-Profil, die für CAS-Array-Dienste verwendet wird, die das verwenden TCP port 135 standardmäßig.

In den Dienstleistungen In diesem Abschnitt können wir eine einfache Integritätsprüfung für diesen Dienst konfigurieren, wie unten gezeigt.

check_tcp -H HOST -p PORT -w 30 -c 30 -t 32

Konfigurieren Sie abschließend die Backends, die als echte Server für diese Dienste verwendet werden sollen.

Erstellen Sie virtuelle OWA-Dienste mit SSL-Offloading

Dies ist der Dienst, der den Mail-Webzugriff für die Clients ermöglicht, und er kann über die Ports 80 und 443 angeboten werden TCP. In diesem Fall schlagen wir vor, SSL-Offload im Load Balancer zu verwenden, damit die Exchange-Server nicht mit der Web-SSL-Last umgehen müssen und nur Verbindungen in HTTP akzeptieren.

Dazu erstellen wir zunächst eine LSLB-Farm mit HTTP-Profil im Port 80 und im Dienstleistungen Abschnitt Konfigurieren Sie die Umleitung zu HTTPS wie unten gezeigt.

Beachten Sie, dass wir die Servicedomäne verwendet haben, in unserem Beispiel exchange.mydomain.com . Backends müssen nicht eingefügt werden, da der gesamte Verkehr an eine andere sichere Farm umgeleitet wird.

Starten Sie schließlich die neue Farm neu, um die Änderungen zu übernehmen.

Erstellen Sie dann eine neue LSLB-Farm mit HTTP-Profil und HTTPS-Listener in Port 443 mit demselben Zertifikat, das in den in das PEM-Format konvertierten Exchange CAS Array-Diensten verwendet wird. Und fügen Sie es dann wie unten gezeigt in den Dienst ein.

Konfigurieren Sie abschließend die erweiterte Statusprüfung und fügen Sie die Backends-Server hinzu, die eine Verbindung zum Port 80 herstellen.

check_http -H HOST -S -w 10 -c 10 -t 11 -u /owa/healthcheck.htm --expect='200'

Starten Sie den Dienst neu, um die Änderungen zu übernehmen.

Tauschen Sie 2016 in einer Konfiguration mit hoher Verfügbarkeit und automatisierter Notfallwiederherstellung aus

Sobald alle Dienste über eine Lastverteilung verfügen und eine hohe Verfügbarkeit aufweisen, ist es erforderlich, dass bei Ausfall des Load-Balancers oder aufgrund von Wartungsaufgaben die Ausfallursache vermieden wird.

Da die Zevenet-Clustering-Lösung alle Verbindungen und Sitzungen in Echtzeit repliziert und ein Cluster erstellt, können die Clients transparent und ohne Unterbrechung von einem Knoten zu einem anderen wechseln. Der Clusterdienst bietet eine hohe Verfügbarkeit auf Anwendungsbereitstellungsschicht, aber auch automatische Disaster-Recovery-Funktionen, die einfach über den Abschnitt konfiguriert werden können System | Cluster.

Exchange 2016 verbesserte Sicherheit

Zevenet Intrusion Prevention and Detection System fügt den Exchange-Diensten eine zusätzliche Sicherheitsschicht hinzu, sodass wir sicherstellen können, dass die Verbindungsanforderungen unserer Standorte vertrauenswürdig sind. Wir empfehlen, dieses Modul zu aktivieren, wenn einer unserer virtuellen Dienste im Internet öffentlich ist.

Genießen Sie Ihre hochverfügbaren Exchange-Dienste!

Einige in diesem Artikel verwendete Referenzen:
https://docs.microsoft.com/en-us/exchange/plan-and-deploy/deployment-ref/network-ports?view=exchserver-2019
https://sysadminblogger.wordpress.com/tag/zen-load-balancer-exchange-2016/
https://sysadminblogger.wordpress.com/tag/zevenet-load-balancer-exchange-2016/
http://josemct.com/blog/2016/06/22/client-access-server-cas-array-zen-load-balancing/
https://blogs.technet.microsoft.com/exchange/2015/10/08/load-balancing-in-exchange-2016/

Teilen:

Dokumentation unter den Bedingungen der GNU Free Documentation License.

War dieser Artikel hilfreich?

Verwandte Artikel