我们在上一篇中完成了Exchange Server 2016 CU8的安装《Exchange 2016部署实施案例篇-03.Exchange部署篇(下)》,接下来我们将进入配置相关内容,一开始的计划是将配置分为上、下2个盘符写配置,但在实际配置过程中发现截图是在有点多,所以只好将配置再次分为上、中、下3个篇幅写配置,还请谅解。
DNS配置(DNS轮训)
部署过Exchange Server的朋友可能知道,部署完成Exchange后,只能使用IP或者LocalHost方式访问,除非您在您的DNS里添加A记录,但看过活动目录部署篇《Exchange 2016部署实施案例篇-02.活动目录部署篇》的朋友可能知道,我们部署的域的域名是ITSoul.inter,那么我们如何使用Mail.Itsoul.cn访问那?
那么我们首先就要在域的DNS里创建一个ITSoul.cn的DNS域,(如果您有业务系统也在使用ITSoul.cn域访问,并且走的都是公网的话,要把所有记录在内网DNS里创建一份)步骤如下
- 打开域的DNS,在正向查找区域右键选择"新建区域"如图所示:
- 点击完成后会弹出如下界面,并点击“下一步”
- 点击"下一步"后,会弹出如下界面,参照截图,选择"主要区域"并点击"下一步"
- 根据需求选择这个DNS作用域是同步到这个域还是林
- 输入您要创建的DNS作用域的名称,我们要使用Mail.Itsoul.cn访问邮件,所以作用域就是ITSoul.cn,所以我们这里输入ITSoul.cn即可
- 同样,根据需求和实际环境选择即可
- 检查摘要信息,确认无误后点击“完成”即可
到此我们的DNS作用域就创建完成了,接触过Exchange Server 2016的朋友可能会知道,Exchange Server 2016目前仅仅剩下了2个角色(MailBox和edge),那么我们前端的高可用咋办那,Ex2016的前端高可用正常方式有2个方式,(1、使用DNS轮训 2、如果有资源的话建议使用硬件负载均衡设备),有的朋友可能会问我,为什么不用NLB那,首先NLB要求在网络设备上做绑定,其次就是NLB和DAG这2个角色不能在同一台服务器上安装,虽然实际环境中测试发现可以在一台服务器使用,但还是不是太建议,如果实在想使用NLB的话,那就建议您单独在安装2台Ex2016,使用这2台EX2016当前端使用,在这2台服务器上创建NLB。
- 这里我就使用DNS轮训做前端的高可用了,首先我们要确认DNS上启用了DNS轮训功能,如图所示,在服务器上右键-属性:
- 如图所示,我这里已经启用了DNS轮训
- 接下来我们创建A记录即可,如图所示,在ITSoul.cn上右键选择创建-A记录
- 在名称里输入Mail,IP输入第一台服务器的IP地址
- 接下来跟上面一样,再次创建一个A记录,IP输入第二台服务器的IP地址
至此我们的DNS轮训就告一段落了。
证书配置
DNS轮训配置完成后,我们是可以使用Mail.ITsoul.cn访问邮件了,但网页会报证书错误,我们要解决这个问题只能使用公网证书或者使用内网证书在EX上绑定,为了掩饰证书安装,我这里就用内网证书了。
证书服务器安装
- 打开服务器管理器,点击添加角色和功能
- 保持默认即可,没什么能选的
- 参照截图选择,并点击“下一步”
- 参照截图选择,并点击“下一步”
- 参照截图,选择AD证书,并点击“下一步”
- 功能界面保持默认即可,直接点击“下一步”
- 该步骤直接点击“下一步”即可
- 接下来的步骤我们一定要选择“证书颁发机构Web注册”并点击“下一步”
- IIS界面同样保持默认即可,直接点击“下一步”
- 检查摘要信息,确认无误后点击“安装”
- 安装完成后我们还需要配置一下
- 参照截图,直接点击“下一步”即可
- 选择要配置的角色,并点击“下一步”
- 参照截图,该步骤我们一定要选择“企业CA”详细介绍截图里有说明,我就不过多介绍了
- 由于我们这台CA是第一台CA,所以我们选择跟CA即可
- 参照截图选择,并点击“下一步”
- 加密选项根据实际需求选择,我这里就保持默认了
- 输入CA名称等信息后点击“下一步”
- 默认的CA是5年,实际环境建议设置大点,避免过期,过期了就不好玩了
- 选择数据库、日志等存储位置,并点击“下一步”
- 检查摘要信息,确认无误后点击“配置”即可
- 至此我们CA就配置完成了
证书申请
接下来我们就是为Exchange Server申请证书了,详细步骤如下:
- 参照截图,打开Exchange的ECP,并点击“服务器”-“证书”-“+”
- 参照截图选择,并点击“下一步”
- 证书友好名称根据自己的习惯填写就可以了
- 如果想使用通配符证书,这里就可以配置,我这里就不使用通配符证书了
- 选择证书存储服务器
- 根据实际需求配置即可,或者保持默认,在下一步内进行配置
- 上面如果没有配置,这里直接添加即可,由于后期我们还需要使用OOS服务器,所以我把OOS的域名就一并申请下来了。
- 该界面根据实际输入即可
- 选择证书申请文件存储位置,这里的位置必须是共享路径
- 申请配置文件创建完成后,该步骤显示的是搁置的请求
- 打开CA证书申请界面
- 参照截图,选择“高级证书申请”
- 参照截图选择
- 使用TXT打开刚才创建的申请文件
- 如图所示,将刚才拷贝的申请文件粘贴到申请网站内,模板一定要选择“Web”
- 下载证书
- 参照截图,点击完成
- 选择证书存储位置
- 导入完成
- 接下来我们点击编辑,进行服务的分配
- 参照截图,选择要分配的服务
- 点击“是”即可
- 服务分配完成
至此我们完成了第一台服务器的证书导入与服务的分配工作,接下来我们进行第二台服务器的证书导入与分配工作。
- 参照截图,点击导出证书
- 选择证书存储位置并输入密码
- 参照截图,导航到第二台服务器,并点击“导入证书”
- 参照截图,选择正常存储位置,并输入密码
- 选择要导入证书的服务器,并点击“完成”
- 证书导入完成,接下来我们进行服务分配
- 分配服务
- 服务分配完成
- 这个时候我们在登录就不会报证书错误了
支持我们就完成了证书服务器的安装与申请、服务分配工作
身份验证方式修改
证书导入完成后,打开OWA您会发现,需要输入域\用户名的方式进行登录,是在太麻烦了,接下来我们进行修改下,仅使用用户名登录
- 首先我们打开ECP,导航到服务器-虚拟目录-OWA-修改
- 参照截图选择,并点击“保存”
- 参照截图,我们需要重启IIS后才能生效
- 图形界面我们都会了,那么我们如何使用命令设置那,命令如下:
Set-owavirtualdirectory -identity "EXSrv02\owa (default web site)" -LogonFormat UserName -DefaultDomain "ITSoul.inter"
- 重启IIS
- 再次打开OWA,已经修改完成
希望各位老铁能给点赞或关注,非常感谢各位:
关注个人:
- 登录您的51CTO账号或使用微信登录,登录成功后点击下面链接
链接:http://home.51cto.com/space?uid=8658374 - 点击关注即可
关注博客(悄悄的告诉您,如果您的账号绑定了微信,每次更新博文您都会在微信上收到通知奥):
- 打开如下链接:http://blog.51cto.com/itsoul
- 参照截图点击关注
- 登录您的51CTO账号或选择使用微信登录
原文地址:http://blog.51cto.com/itsoul/2087967