正しく行う必要のあるExchangeServerの設定

MicrosoftはAzureとOffice365に数百万ドルを投資しており、競合他社は独自の真正なパブリッククラウド製品を採用しています。しかし、パブリッククラウドソリューションは万人向けではありません。多くのストライプの組織には、システム上の制限されたデータが完全に制御できないことを望まない正当な理由があります。

これらのエンティティの多くにとって、オンプレミスのExchangeServerはメッセージングに必須です。マイクロソフトは、クラウドベースのスタックに加えられた改善が最終的には徐々に低下することを保証して、ソフトウェアの更新を続けています。これらの機能は、エンタープライズグレードのメッセージングシステムを実行するというすでに困難なタスクに複雑さの層を追加することがますます増えています。ハードウェアの容量計画、DAG(データベース可用性グループ)とサイトの復元力の設定、メールルーティングの構成、およびユーザーが実際にシステムに接続できることを確認するときに、迷子になりがちです。

そのことを念頭に置いて、新しいメッセージング環境への扉を開く前に絶対に理解しなければならない詳細をいくつか示します。

容量

Exchange Serverをダウンロードする前に、システムがサポートする必要のあるユーザーの数、締結している可能性のあるサービスレベル契約、および組織に必要な障害復旧ウィンドウの期間を把握しておく必要があります。これらはこの記事の範囲をはるかに超える非常に深いトピックですが、Microsoftはこれを計画するのに役立ついくつかのツールを提供しています。

最初は、TechNetのExchange2013のサイズ設定と構成に関する推奨事項の記事です。 Active Directory CPUコアとメールボックスサーバーのCPUコアの比率、ネットワーク構成、必要なWindows Server修正プログラム、ページファイル構成などの基本事項について説明します。 Exchange Server 2010に精通している場合は、レプリケーション用に別のネットワークを推奨しなくなったなど、Exchange2013を構成するためにこの記事で強調表示されているいくつかの変更に気付くでしょう。

主要な推奨事項に慣れたら、キャパシティプランニングに飛び込みます。Exchangeチームのブログは、このための優れた情報源であり、グループは、環境のサイズを正しく設定する方法に関する包括的な調査を公開しています。数式に落胆しないでください。サイズ計算ツールをダウンロードして、プロセスを簡単に進めることができます。

TL; DRのヒント:

  • データベースボリュームのRAIDセットアップを台無しにしないでください。これは古い学校であり、Exchangeのパフォーマンスが向上したため、不要になりました。JBODは、特に高可用性のためにDAGを使用する場合は問題ありません。
  • 8つのメールボックスCPUコアごとに1つのActiveDirectoryCPUコアを使用します。
  • 物理メールボックスサーバーでハイパースレッディングを使用しないでください。
  • ADクエリ期間、データベースディスクのIOPSなどの重要なメトリックのパフォーマンスモニターを設定し、ADデータベース全体がRAMに収まるかどうかを確認します。

メールルーティング

すべてがインストールされています。データベースが複製されています。あなたの負荷はバランスが取れています。パフォーマンスが監視されています。次に、実際にシステムにメールを出し入れすることに移ります。

承認されたドメインとメールアドレスポリシー

すべてのドメインが[メールフロー]> [承認済みドメイン]で適切なドメインタイプでリストされていること、およびデフォルトのドメインが正しいことを確認してください。メールアドレスポリシーを使用する予定がある場合は、今がポリシーを確認して、適切なドメインとユーザー名の形式が選択されていることを確認する良い機会です。これは、[メールフロー]> [メールアドレスポリシー]で実行できます。

DNS

Office 365と同様に、メールをシステムにルーティングしたり、クライアントが設定を自動検出したりする前に、DNSエントリを正しく設定する必要があります。特定の構成に応じて、フロントエンドまたはエッジトランスポートサーバーのいずれかにポート25を受信できるようにファイアウォールルールを構成する必要があるため、これはオンプレミスソリューションでは少し難しくなります。

最初に、MTA(メッセージ転送エージェント)のIPアドレスのAレコードを作成する必要があります。たとえば、ラボではmail.exampleagency.comを使用しています。Aレコードを配置したら、それを指すMXレコードを作成します。DNSホスティングプロバイダーは、これらのレコードの作成をカバーするための適切なドキュメントを持っている必要があります。

自動検出の場合、クライアントアクセスサーバーのIPアドレスにAレコードを作成するか、MTAと同じ場合は、それを指すCNAMEレコードを作成する必要があります。ここでも、私たちの研究室のために、私たちはのCNAMEレコードを使用、彼らは両方とも同じIPアドレスを使用しているので、mail.exampleagency.comにutodiscover.exampleagency.comのポインティングを。Outlook Autodiscoverがレコードを検索する方法であるため、このレコードはautodiscover.yourdomain.tldである必要があります。

コネクタ

前回の記事で説明したOffice365とは異なり、オンプレミスのExchangeでは送信コネクタが自動的に作成されません。これを行うには、EAC(Exchange管理センター)を開き、[メールフロー]> [コネクタの送信]に移動します。基本的なコネクタは、DNS解決を介してインターネットに送信するだけです。

Mimecastなどのサードパーティのメッセージングゲートウェイを使用している場合は、それをカスタムコネクタとして構成します。これは、他のMTAへの強制TLS接続を設定する場所でもあります。たとえば、バンクオブアメリカでは、ベンダーに強制的なTLS接続が必要です。このためには、パートナーコネクタを使用する必要があります。

これは、受信コネクタを確認する良い機会でもあります。ここでは、最大着信メッセージサイズ(デフォルトは35MB-MIMEエンコーディングのオーバーヘッドの約33%を考慮することを忘れないでください)、接続ログを有効にするかどうか、強制TLSなどのセキュリティ設定、およびIP制限を設定できます。

クライアントアクセス

基本的なメールルーティングが構成されており、メールを送受信できます。次に、クライアントが実際にシステムを使用できるように、クライアントをシステムに接続する必要があります。

証明書

Office 365では、MicrosoftはOutlook自動検出、Outlook Web App、およびTLSを介したSMTP接続に独自の名前空間を使用します。そのため、Microsoftは独自の証明書を使用しています。オンプレミスExchangeの場合、システムへの信頼できる安全な接続を許可するには、信頼できるCAから新しい証明書を購入する必要があります。

幸い、マイクロソフトはプロセスを簡単に完了できるようにしました。開始するには、EACを開き、[サーバー]> [証明書]に移動します。新しい証明書を追加し、リクエストの生成を選択します。ウィザードが開き、プロセスを順を追って説明します。アクセスタイプごとにドメインを選択する機会が与えられます。この例では、主にwebmail.exampleagency.comをすべてに使用しました。

ウィザードが終了したら、証明書要求ファイルを取得して、優先する認証局(GoDaddyを使用)にアップロードします。その後、CERファイルの形式で証明書を受け取ります。[完了]をクリックしてCERファイルをインポートするだけで、証明書がインポートされ、環境で使用できるようになります。

仮想ディレクトリ

証明書がインストールされたので、次に、どのドメインをどのサービスに使用するかをExchangeに指示します。[サーバー]> [仮想ディレクトリ]に移動します。ここから、それぞれの外部アクセスを構成する必要があります。この例では、webmail.exampleagency.comを使用するようにOWA仮想ディレクトリを構成しました。

クライアントアクセスアレイや負荷分散など、議論すべきより複雑なトピックがありますが、これらはこの記事よりも詳細な調査に残しておくのが最善です。詳細については、TechNetでMicrosoftのExchangeServerのドキュメントを参照してください。

セキュリティとコンプライアンス

データがパブリッククラウドにない場合でも、セキュリティを慎重に検討する必要があります。手始めに、WindowsServerとExchangeServerの両方に定期的な更新を適用していることを確認してください。管理者アカウントについても同じアドバイスが適用されます。常に通常のアカウントとは別の管理者アカウントを使用してください。

RSA SecurIDなどのサードパーティ製品を介して何らかの形式の多要素認証を有効にする予定がない限り、内部ネットワークまたはVPNに制限された管理タスクへのアクセスを維持する必要があります。

賢明なパスワードポリシーが設定されていることを確認してください。これに関するガイダンスは変わり続けていますが、より複雑なパスワードではなく、より長いパスワードを使用するという新しいアイデアに部分的に取り組んでいます。私たちのラボでは、90日ごとに有効期限が切れる14文字のパスワード(複雑さの要件を除く)がユーザーに必要です。

また、社会保障番号やクレジットカード番号などの電子メールによる機密情報の送信を制限する必要があるかどうかも検討する必要があります。これらの制限は、[コンプライアンス管理]> [データ損失防止]で構成できます。Microsoftは、すばやく起動して実行するのに役立つ多数のテンプレートを提供しています。この例では、US FTCテンプレートを使用して、クレジットカード番号の送信を制限しています。

他のソフトウェアについての考え

ここまで進んだ場合は、オンプレミスのExchangeシステムが機能していることを願っています。今、あなたはそれを保護し、バックアップし、そして一般的にそれがオンラインのままであることを確認する必要があります。

ウイルス対策ソリューションの場合、システム全体のリアルタイムのウイルス対策パッケージと、転送中のメッセージをスキャンするパッケージの両方が必要になります。Microsoftは、ActiveDirectoryドメインコントローラーとExchangeServerシステムの両方に必要な除外のリストを提供しています。マイクロソフトの推奨事項に必ず従ってください。ウイルス対策ベンダーに依存せずに、これらを自動的に実装してください。あまりにも多くのウイルス対策パッケージが、メールボックスデータベースのログファイルをすぐに踏みにじって、信頼できないのを見てきました。

また、サポートするバックアップと復元の方法の種類も考慮する必要があります。ディスクまたはテープにバックアップしていますか?きめ細かい復元が必要ですか(通常の価値よりもはるかに多くのリソースを消費します)?バックアップはどこまでさかのぼる必要がありますか?あなた自身、あなたのチーム、そして上級管理職に尋ねる必要のある質問はたくさんあります。

その他の製品に関する考慮事項には、データ損失防止、スパム対策ソフトウェア、および電子メールのアーカイブが含まれます。場合によっては、これをすべて1つのパッケージに含めることができます。ただし、Exchange Server 2013での動作が認定されており、適切なベンダーサポートがあることを確認してください。Exchange Server 2007用に構築されており、電子メールのみをサポートしていることを確認するためだけに製品を購入する必要はありません。

最終的な考え

最後に、必ず宿題をしてください。組織がデータ保持、データ損失防止、またはデータアクセスに関する特定の法律に従う必要がないことを確認してください。定期的にバックアップと復元をテストしてください。 EICARテストファイルを使用して、ウイルス対策ソフトウェアが正しく実行されていることを確認します。パフォーマンスモニターを定期的にチェックして、DAGのバランスを取り直したり、ドメインコントローラーを追加したりする必要がないことを確認します。ああ、そしてもう1つ、PowerShellを愛することを学びましょう。

オンプレミスのExchangeServerの実行は、Office 365にサインアップするよりもはるかに複雑ですが、ITプロフェッショナルとして、はるかに多くの制御とやりがいのある経験を得ることができます。この記事では、少なくともオプションの概要と、オンプレミスのExchangeServerを構成するときに絶対に正しく行う必要があることについて説明しました。組織はそれぞれ異なり、このガイダンスはシナリオにとって適切ではない場合があります。ただし、迅速なセットアップを検討している中小企業のIT管理者の大多数にとっては十分なはずです。

関連記事

  • PowerShellの力:Exchange管理者向けの紹介
  • ダウンロード:クイックガイド:Office365への移行方法
  • ダウンロード: Microsoft Office365とGoogleApps:究極のガイド
  • 5つのOffice365管理者設定を正しく行う必要があります
  • Office365のニーズに合う10のサードパーティツール
  • 避けるべき10の主要なOffice365移行の落とし穴
  • ExchangeサーバーをOffice365に移行する方法