本节书摘来异步社区《Exchange Server 2010 SP1/SP2管理实践》一书中的第2章,第2.3节,作者: 王淑江 责编: 王峰松,更多章节内容可以访问云栖社区“异步社区”公众号查看。
2.3 部署内部网络环境
Exchange Server 2010 SP1/SP2管理实践
内部网络模拟一个真实的企业网络,将部署一台域控制器、一台证书服务器以及多台Exchange服务器,构成一个真实的网络应用平台,为读者展现Exchange需要的所有基础组件。内部网络域名为“book.local”,创建用户后缀为“book.local”。内部网络申请的公网域名为“book.com”,邮件服务器名称为“mail.book.com”。由域名解析网络完成域名解析,确保邮件投递的准确性。
2.3.1 内部网络服务器虚拟机说明
内部网络服务器使用7台虚拟机,虚拟机规划如表2-2所示。其中域控制器、证书服务器运行Windows Server 2003 R2操作系统且只配置1块网卡,其他虚拟机运行Windows Server 2008 R2操作系统并配置2块网卡。客户端访问角色服务器(CAS01、CAS02)部署网络负载均衡群集(NLB),邮箱数据库角色服务器部署3节点数据库可用性组(DAG)群集(Cluster)。本书中部署的群集不依赖于任何存储设备。
2.3.2 部署内部网络域控制器虚拟机
内部网络域控制器运行Windows Server 2003 R2操作系统,分配的IP地址为192.168.0.1/24,网关地址为192.168.0.200,计算机名称为DC,首选DNS服务器为192.168.0.1。如图2-37所示。
1.部署Active Directory
Active Directory是Exchange Server的基础,真实网络中域控制器至少应该部署2台以上,以确保域控制器的高可用性。
第1步,以管理员身份登录。在命令行模式中键入“Dcpromo.exe”命令,命令执行后,启动“Active Directory安装向导”,打开如图2-38所示的“欢迎使用Active Directory域服务安装向导”对话框。
第2步,单击“下一步”按钮,显示如图2-39所示的“操作系统兼容性”对话框,显示操作系统兼容性信息。
第3步,单击“下一步”按钮,显示如图2-40所示的“域控制器类型”对话框。安装向导提供两种Active Directory安装模式,一种为全新的Active Directory(新域的域控制器),一种是在现有的域中添加域控制器(现有域的额外域控制器)。本例中,安装全新的Active Directory,选择“新域的域控制器”选项。
第4步,单击“下一步”按钮,显示如图2-41所示的“创建一个新域”对话框。本例中创建一个全新的域,选择“在新林中的域”选项。结合第3步和第4步,可以理解为在新林中创建新域。
第5步,单击“下一步”按钮,显示如图2-42所示的“新的域名”对话框。设置内部网络域名book.local,注意非公网域名book.com。如果在部署Active Directory之前,企业已经申请公网域名,也可以将公网域名作为内部网络域名使用。建议,内部网络和外部网络使用不同的域名。
第6步,单击“下一步”按钮,显示如图2-43所示的“NetBIOS域名”对话框。“NetBIOS域名”将第5步中设置域名中的第一个“.”之前的字符作为默认的“NetBIOS域名”,也可以自定义。当用户登录网络时,登录域使用的是“NetBIOS域名”。
第7步,单击“下一步”按钮,显示如图2-44所示的“数据库和日志文件文件夹”对话框。设置Active Directory数据库和日志文件存储位置。建议将Active Directory数据库和日志分别部署在不同的磁盘设备中。
第8步,单击“下一步”按钮,显示如图2-45所示的“共享的系统卷”对话框。设置SYSVOL文件夹位置。SYSVOL文件夹的主要作用是存储组策略、FRS文件服务临时文件存储、公共文件服务器数据交换存储等,因此建议将SYSVOL文件夹部署到专业存储设备中。
第9步,单击“下一步”按钮,显示如图2-46所示的“DNS注册诊断”对话框。本例中将部署Active Directory集成区域DNS服务,即将DNS服务安装在域控制器中,所有DNS信息保存在Active Directory数据库中,因此选择第二个选项。
第10步,单击“下一步”按钮,显示如图2-47所示的“权限”对话框。本例中服务器操作系统最低版本使用Windows Server 2003 R2,因此选择第二个“只与…”选项。
第11步,单击“下一步”按钮,显示如图2-48所示的“目录服务还原模式的管理员密码”对话框。还原模式密码与管理员(默认管理员用户:administrator)密码不同,但是要符合密码策略规则。
第12步,单击“下一步”按钮,显示如图2-49所示的“摘要”对话框。显示Active Directory部署信息。
第13步,单击“下一步”按钮,开始部署Active Directory,部署过程中需要Windows Server 2003 R2安装光盘,根据提示操作即可,安装完成后显示如图2-50所示的对话框。单击“完成”按钮,重新启动计算机后完成Active Directory部署。
2.提升域功能级别
Windows Server 2003网络中域功能级别默认为“Windows 2000混合模式”,而部署Exchange Server 2010域模式最低需求为“Windows Server 2003”模式。
第1步,以企业管理员身份登录域控制器。打开“Active Directory域和信任关系”控制台,右击域名称(book.local),在弹出的快捷菜单中选择“提升域功能级别”选项,如图2-51所示。
第2步,命令执行后,打开“提升域功能级别”对话框,显示当前默认域功能级别为“Windows 2000混合模式”,在“选择一个可用的域功能级别”列表中选择“Windows Server 2003”选项,如图2-52所示。
第3步,单击“提升”按钮,将“Windows 2000混合模式”提升为“Windows Server 2003”模式,提升后的结果如图2-53所示。
3.提升林功能级别
Windows Server 2003网络林功能级别默认为“Windows 2000”,而部署Exchange Server 2010林模式最低需求为“Windows Server 2003”模式。
第1步,以企业管理员身份登录域控制器。打开“Active Directory域和信任关系”控制台,右键单击“Active Directory域和信任关系”,在弹出的快捷菜单中选择“提升林功能级别”选项,如图2-54所示。
第2步,命令执行后,打开“提升林功能级别”对话框,显示当前默认林功能级别为“Windows 2000”,在“选择一个可用的林功能级别”列表中选择“Windows Server 2003”选项,如图2-55所示。
第3步,单击“提升”按钮,将“Windows 2000”模式提升为“Windows Server 2003”模式,提升后的结果如图2-56所示。
4.验证全局编录服务器
Active Directory部署过程中,默认将第一台域控制器作为全局编录服务器(GC),在同一个站点中Exchange Server 2010正确运行的前提是至少有一台GC服务器。如果在多站点环境中部署,每个站点中都必须部署一台GC服务器。
验证方法一:在命令行提示符下,键入如下命令:dsquery server –isgc,命令成功执行后显示域内所有全局编录服务器,如图2-57所示。
验证方法二:打开“Active Directory站点和服务”窗口,选择“Active Directory站点和服务[dc.book.local]”→“Sites”→“Default-First-Site-Name”→“Servers”→“DC”→“NTDS Settings”选项,右击“NTDS Settings”,在弹出的快捷菜单中选择“属性”命令,如图2-58所示。该对话框的“全局编录”选项如果没有选择,表示当前的域控制器不是一台全局编录服务器。如果要将当前服务器设置为全局编录服务器,选择“全局编录”选项。
5.配置DNS转发器
DNS转发器负责将非内部网络的DNS解析请求,转发到目标域名解析服务器。本例中内部网络对外部网络的DNS解析请求(ytdaily.com或者book.com)将转发到公网DNS服务器(域名解析服务器、192.168.0.200、10.0.0.200),由公网域名解析服务器完成域名解析,并定位目标服务器。内部网络和外部网络都需要配置DNS转发器,否则任何网络内的计算机都不能解析对方网络的服务器,邮件也将无法投递。
第1步,以企业管理员身份登录。打开DNS控制台,右击内部网络域控制器名称,在弹出的快捷菜单中选择“属性”命令,如图2-59所示。
第2步,命令执行后,打开“属性”对话框,切换到“转发器”选项卡,如图2-60所示。在“所选域的转发器的IP地址列表”中键入域名解析服务器的IP地址(本例中指向内部网络的默认网关),单击“添加”按钮,添加目标DNS服务器。单击“确定”按钮,完成转发器配置。
6.创建Active Directory用户
本例使用“Active Directory用户和计算机”管理单元创建一个示例用户,该用户作为Exchange Server 2010管理员用户。
第1步,以企业管理员身份登录。打开“Active Directory用户和计算机”控制台,单击工具栏“图片 61”按钮,启动用户创建向导,显示如图2-61所示的“新建对象-用户”对话框。用户设置参数如图2-61所示。Exchange Server管理员用户名称为“exadmin”。
第2步,单击“下一步”按钮,显示如图2-62所示的对话框。设置用户密码以及密码更新方式。
图2-61 创建用户之一
图2-62 创建用户之二
第3步,单击“下一步”按钮,显示如图2-63所示的对话框。显示用户摘要信息,单击“完成”按钮,创建新用户。
2.3.3 部署证书服务器虚拟机
证书服务器是Windows网络基础架构中的重要组成部分。因为证书服务的特性(不能更改计算机名称、网络参数等),因此在部署证书服务器时建议独立部署,不建议与域控制器部署在同一台服务器中。否则在迁移或者升级证书服务时,首先要迁移域控制器以及相关的服务(Active Directory集成区域DNS服务、DHCP服务、WINS服务等),还要通过策略更改已经部署的系列服务,然后迁移或者升级证书服务,迁移周期长,甚至影响网络的正常运行。所以好的网络基础架构对证书服务器尤其重要。
内部网络证书服务器运行Windows Server 2003 R2 操作系统,分配的 IP 地址为192.168.0.2/24,网关地址为192.168.0.200,计算机名称为CA,首选DNS服务器为192.168.0.1。如图2-64所示。注意,证书服务器需要使用IIS组件。
1.CA服务器加域
第1步,以企业管理员身份登录证书服务器。右击“我的电脑”,在弹出的快捷菜单中选择“属性”命令,打开“系统属性”对话框,切换到“计算机名”选项卡,如图2-65所示。
第2步,单击“更改”按钮,显示如图2-66所示的“计算机名称修改”对话框。选择“域”选项,文本框中键入“NetBIOS”域名。
图2-65加域之一
图2-66 加域之二
第3步,单击“确定”按钮,显示如图2-67所示的对话框。键入具备将客户端计算机添加到域权限的用户名称和密码。
第4步,加域成功后,显示如图2-68所示的对话框。单击“确定”按钮后,提示需要重新启动计算机。
图2-67 加域之三
图2-68 加域之四
2.安装证书服务
第1步,以企业管理员身份登录证书服务器。选择“控制面板”→“添加或删除程序”选项,命令执行后,显示如图2-69所示的“添加或删除程序”对话框。
第2步,选择“添加/删除Windows组件”选项,选择“应用程序服务器”→“详细信息”→“Internet信息服务”→“详细信息”→“万维网服务”→“Active Server Pages”选项,单击多次“确定”按钮,完成“应用程序服务器”的设置。如图2-70所示。
第3步,返回到“Windows组件向导”对话框后,选择“证书服务”选项,显示如图2-71所示的“Windows证书服务”对话框,提醒管理员计算机名不能更改。
第4步,单击“是”按钮,关闭“Windows证书服务”对话框,单击“下一步”按钮,显示如图2-72所示的“CA类型”对话框。选择“企业根CA”选项。
第5步,单击“下一步”按钮,显示如图2-73所示的“CA识别信息”对话框,定义CA公用名称以及证书有效期限,默认为5年。
第6步,单击“下一步”按钮,显示如图2-74所示的“证书数据库设置”对话框。使用默认值即可。
第7步,单击“下一步”按钮,开始安装证书服务。配置过程中需要插入Windows Server 2003 安装光盘,根据提示操作即可。配置过程将显示如图2-75所示的“Microsoft证书服务”对话框,提醒管理员需要启用“Active Server Pages”功能。
单击“是”按钮,继续配置Windows组件。配置完成后显示如图2-76所示的“完成‘Windows组件向导’”对话框。单击“完成”按钮,完成证书服务的配置。
2.3.4 部署Exchange Server 2010服务器虚拟机
内部网络中,Exchange Server 2010 服务器虚拟机数量为5台,2台服务器安装CAS/HUB角色,3 台服务器安装MBX角色。5 台服务器加入到域中,使用邮件系统管理员用户“exadmin”统一登录。部署过程将在后续章节详细介绍。
