Como o Exchange 2016 funciona?

Microsoft Exchange 2016 faz parte dos aplicativos de servidor da Microsoft que fornece serviços de correspondência, caixa de correio, catálogo de endereços, acessos a clientes, conectores de descoberta automática, entre outros.

Para um servidor autônomo, o Microsoft Exchange 2016 usa as seguintes portas de rede:

TCP / 25 e TCP / 465 para SMTP e SMTPS mailing services, respectivamente.
TCP / 143 e TCP / 993 para IMAP e IMAPS serviços de acesso para clientes, respectivamente.
TCP / 110 e TCP / 995 para POP3 e POP3S serviços de acesso para clientes, respectivamente.
TCP / 80 e TCP / 443 para O Outlook Web Access (OWA) serviços de acesso para clientes, autodiscovery serviços e MAPI serviços.

Dentro de uma organização, todos esses serviços em um servidor autônomo não são uma arquitetura válida, pois não fornece serviço de alta disponibilidade no caso de manutenção ou se o serviço estiver inativo. Por isso, propomos uma arquitetura escalável que oferece alta disponibilidade e evita um único ponto de falha.

Ambiente escalável 2016 do Microsoft Exchange

Abaixo é mostrado o ambiente proposto para construir serviços 2016 do Microsoft Exchange em alta disponibilidade com uma arquitetura flexível e escalonável.

Com essa arquitetura, você pode obter serviços isolados do Exchange 2016 para evitar que um serviço afete outros durante a manutenção ou falha, agrupando os serviços de correspondência de um lado e os serviços de acesso do cliente de outro. Além disso, oferece a flexibilidade de configurar infra-estruturas dedicadas para todos os serviços sem problemas.

Requisitos

Em primeiro lugar, essas configurações precisam ser tratadas nos servidores de backend para convertê-lo como um serviço escalonável:

1. Crie um nome de serviço. É necessário configurar os diretórios virtuais ou o namespace do Exchange 2016 para um nome de serviço, evitando o uso do nome do host que é a configuração padrão (por exemplo, exchange.mydomain.com ). O novo namespace será usado no CRT para a CA, a fim de gerar um novo certificado seguro para o serviço. Além disso, o namespace selecionado deve ser incluído no DNS corporativo para resolver o endereço virtual dos farms que serão criados no balanceador de carga.

2. Serviço MAPI. O Exchange2016 não usa mais portas dinâmicas para este serviço, ele é compatível com HTTP e habilitado por padrão, mas não se esqueça de configurar este serviço corretamente, para etapas específicas sobre como habilitar, configurar e testar MAPI sobre HTTP, consulte https://technet.microsoft.com/en-us/library/mt634322(v=exchg.160).aspx.

3. Configurar o Serviço DAG para replicação de banco de dados. Ativando o Grupo de disponibilidade de banco de dados (DAG) no Matriz CAS permitirá criar uma replicação de serviço de cluster de caixas de correio entre os servidores.

4. Crie os serviços de balanceamento de carga. Será explicado a seguir como configurar os serviços virtuais necessários. Observe que, dependendo de seus requisitos, não será necessário criar todos eles.

Crie os serviços virtuais do Exchange

Uma vez que uma unidade de Zevenet é implantada e os primeiros parâmetros de inicialização são configurados, siga as instruções descritas abaixo.

Em primeiro lugar, crie uma interface virtual dedicada para serviços do Exchange, inserindo na seção de menu Rede | Interfaces Virtuais como é mostrado abaixo.

Este endereço IP será o IP virtual para nossos serviços do Exchange e será necessário que nosso DNS corporativo resolva durante a consulta exchange.mydomain.com .

Em seguida, o balanceador de carga está pronto para criar os serviços virtuais. Acessando a seção do menu LSLB | Fazendas você pode criar todos os farms de balanceamento de carga propostos para isolar os diferentes serviços do Exchange 2016, que serão descritos nas seções a seguir em detalhes.

Criar serviço virtual SMTP / S

Esse é um farm LSLB com perfil L4 que será usado como serviço de correspondência virtual que usa o TCP porta 25 e 465 no caso em que a segurança está habilitado nos backends.

Na série Serviços seção podemos configurar uma verificação de saúde avançada para SMTP.

check_smtp -H HOST -w 30 -c 30 -p 25 -t 32

Se mais de uma porta for usada no serviço virtual, será uma boa prática testar as diferentes portas em apenas uma verificação de integridade.

Por fim, configure os back-ends para serem usados ​​como servidores reais para esses serviços.

Criar serviço virtual IMAP / S

Este é um farm LSLB com perfil L4 que será usado para fornecer conectividade do cliente para sua caixa de correio via IMAP que usa o TCP porta 143 e 993 no caso em que a segurança está habilitado nos backends. Note que este é um serviço opcional, por favor confirme se o 2016 do Exchange habilita as portas IMAP.

Na série Serviços seção, podemos configurar uma verificação de saúde simples para IMAP como mostrado abaixo.

check_tcp -H HOST -p 143 -w 30 -c 30 -t 32

Se mais de uma porta for usada no serviço virtual, será uma boa prática testar as diferentes portas em apenas uma verificação de integridade.

Por fim, configure os back-ends para serem usados ​​como servidores reais para esses serviços.

Criar serviço virtual POP3 / S

Este é um farm LSLB com perfil L4 que será usado para fornecer conectividade do cliente para sua caixa de correio via POP3 que usa o TCP porta 110 e 995 no caso em que a segurança está habilitado nos backends. Observe que este é um serviço opcional, confirme se o 2016 do Exchange ativa as portas POP3.

Na série Serviços seção, podemos configurar uma verificação de saúde simples para POP3 como mostrado abaixo.

check_tcp -H HOST -p 110 -w 30 -c 30 -t 32

Se mais de uma porta for usada no serviço virtual, será uma boa prática testar as diferentes portas em apenas uma verificação de integridade.

Por fim, configure os back-ends para serem usados ​​como servidores reais para esses serviços.

Criar serviço virtual de caixas de correio RPC CAS

Este é um farm LSLB com perfil L4 que será usado para o serviço de caixa de correio que usa o TCP porta que foi corrigida em uma etapa anterior, em nosso exemplo será 60000.

Na série Serviços seção, podemos configurar uma verificação de saúde simples para este serviço como mostrado abaixo.

check_tcp -H HOST -p PORT -w 30 -c 30 -t 32

Por fim, configure os back-ends para serem usados ​​como servidores reais para esses serviços.

Criar serviço virtual do Catálogo de Endereços do Outlook

Esse é um farm LSLB com perfil L4 que será usado para serviços de catálogo de endereços que usam o TCP porta que foi corrigida em uma etapa anterior, em nosso exemplo será 60001.

Na série Serviços seção, podemos configurar uma verificação de saúde simples para este serviço como mostrado abaixo.

check_tcp -H HOST -p PORT -w 30 -c 30 -t 32

Por fim, configure os back-ends para serem usados ​​como servidores reais para esses serviços.

Criar serviço virtual de matriz de CAS

Este é um farm LSLB com o perfil L4 que será usado para os serviços do CAS Array que usa o TCP porta 135 por padrão.

Na série Serviços seção, podemos configurar uma verificação de saúde simples para este serviço como mostrado abaixo.

check_tcp -H HOST -p PORT -w 30 -c 30 -t 32

Por fim, configure os back-ends para serem usados ​​como servidores reais para esses serviços.

Criar serviços virtuais do OWA com descarregamento de SSL

Este é o serviço para fornecer acesso à web de correio para os clientes e pode ser oferecido através das portas 80 e 443 TCP. Nesse caso, propomos usar o descarregamento de SSL no balanceador de carga, para que os servidores Exchange não tenham que lidar com a carga de SSL da web e só aceite conexões em HTTP.

Para construí-lo, primeiro criamos um farm LSLB com perfil HTTP na porta 80 e no Serviços seção configure o redirecionamento para HTTPS como mostrado abaixo.

Note que usamos o domínio de serviço, no nosso exemplo será exchange.mydomain.com . Não é necessário inserir back-ends, pois todo o tráfego será redirecionado para outro farm seguro.

Finalmente, reinicie o novo farm para aplicar as alterações.

Em seguida, crie um novo farm LSLB com perfil HTTP e ouvinte HTTPS na porta 443 com o mesmo certificado usado nos serviços Exchange CAS Array convertidos para o formato PEM. Em seguida, adicione-o ao serviço como mostrado abaixo.

Por fim, configure a verificação de integridade avançada e adicione os servidores de back-end que se conectam à porta 80.

check_http -H HOST -S -w 10 -c 10 -t 11 -u /owa/healthcheck.htm --expect='200'

Reinicie o serviço para aplicar as alterações.

Exchange 2016 em alta disponibilidade e configuração automatizada de recuperação de desastres

É necessário que, uma vez que tenhamos todos os serviços balanceados e em alta disponibilidade, evitemos o ponto único de falha no caso de o balanceador de carga ficar inativo ou devido a tarefas de manutenção.

Como a solução de clustering da Zevenet replica todas as conexões e sessões em tempo real, construindo um cluster, os clientes podem alternar de forma transparente de um nó para outro sem interrupção. O serviço de cluster fornece alta disponibilidade na camada de entrega de aplicativos, mas também uma capacidade de recuperação de desastres automática que pode ser configurada facilmente através da seção Sistema | Grupo.

Segurança avançada 2016 do Exchange

O Sistema de Detecção e Prevenção de Intrusões Zevenet adiciona uma camada de segurança adicional aos serviços do Exchange, para que possamos garantir que as solicitações de conexão de nossos sites sejam confiáveis. Recomendamos habilitar este módulo se algum de nossos serviços virtuais for público na Internet.

Aproveite os seus serviços do Exchange altamente disponíveis!

Algumas referências usadas neste artigo:
https://docs.microsoft.com/en-us/exchange/plan-and-deploy/deployment-ref/network-ports?view=exchserver-2019
https://sysadminblogger.wordpress.com/tag/zen-load-balancer-exchange-2016/
https://sysadminblogger.wordpress.com/tag/zevenet-load-balancer-exchange-2016/
http://josemct.com/blog/2016/06/22/client-access-server-cas-array-zen-load-balancing/
https://blogs.technet.microsoft.com/exchange/2015/10/08/load-balancing-in-exchange-2016/