我们在上一篇中完成了Exchange Server 2016 CU8的安装《Exchange 2016部署实施案例篇-03.Exchange部署篇（下）》，接下来我们将进入配置相关内容，一开始的计划是将配置分为上、下2个盘符写配置，但在实际配置过程中发现截图是在有点多，所以只好将配置再次分为上、中、下3个篇幅写配置，还请谅解。

DNS配置（DNS轮训）

部署过Exchange Server的朋友可能知道，部署完成Exchange后，只能使用IP或者LocalHost方式访问，除非您在您的DNS里添加A记录，但看过活动目录部署篇《Exchange 2016部署实施案例篇-02.活动目录部署篇》的朋友可能知道，我们部署的域的域名是ITSoul.inter，那么我们如何使用Mail.Itsoul.cn访问那？

那么我们首先就要在域的DNS里创建一个ITSoul.cn的DNS域，（如果您有业务系统也在使用ITSoul.cn域访问，并且走的都是公网的话，要把所有记录在内网DNS里创建一份）步骤如下

• 打开域的DNS，在正向查找区域右键选择"新建区域"如图所示：
  
• 点击完成后会弹出如下界面，并点击“下一步”

• 点击"下一步"后，会弹出如下界面，参照截图，选择"主要区域"并点击"下一步"

• 根据需求选择这个DNS作用域是同步到这个域还是林
  
• 输入您要创建的DNS作用域的名称，我们要使用Mail.Itsoul.cn访问邮件，所以作用域就是ITSoul.cn,所以我们这里输入ITSoul.cn即可
  
• 同样，根据需求和实际环境选择即可
  
• 检查摘要信息，确认无误后点击“完成”即可
  

到此我们的DNS作用域就创建完成了，接触过Exchange Server 2016的朋友可能会知道，Exchange Server 2016目前仅仅剩下了2个角色（MailBox和edge）,那么我们前端的高可用咋办那，Ex2016的前端高可用正常方式有2个方式，（1、使用DNS轮训 2、如果有资源的话建议使用硬件负载均衡设备），有的朋友可能会问我，为什么不用NLB那,首先NLB要求在网络设备上做绑定，其次就是NLB和DAG这2个角色不能在同一台服务器上安装，虽然实际环境中测试发现可以在一台服务器使用，但还是不是太建议，如果实在想使用NLB的话，那就建议您单独在安装2台Ex2016，使用这2台EX2016当前端使用，在这2台服务器上创建NLB。

• 这里我就使用DNS轮训做前端的高可用了，首先我们要确认DNS上启用了DNS轮训功能，如图所示，在服务器上右键-属性：

• 如图所示，我这里已经启用了DNS轮训
  
• 接下来我们创建A记录即可，如图所示，在ITSoul.cn上右键选择创建-A记录

• 在名称里输入Mail，IP输入第一台服务器的IP地址
  
• 接下来跟上面一样，再次创建一个A记录，IP输入第二台服务器的IP地址
  

至此我们的DNS轮训就告一段落了。

证书配置

DNS轮训配置完成后，我们是可以使用Mail.ITsoul.cn访问邮件了，但网页会报证书错误，我们要解决这个问题只能使用公网证书或者使用内网证书在EX上绑定，为了掩饰证书安装，我这里就用内网证书了。

证书服务器安装

• 打开服务器管理器，点击添加角色和功能

• 保持默认即可，没什么能选的
  
• 参照截图选择，并点击“下一步”
  
• 参照截图选择，并点击“下一步”
  
• 参照截图，选择AD证书，并点击“下一步”
  
• 功能界面保持默认即可，直接点击“下一步”
  
• 该步骤直接点击“下一步”即可
  
• 接下来的步骤我们一定要选择“证书颁发机构Web注册”并点击“下一步”
  
• IIS界面同样保持默认即可，直接点击“下一步”
  
• 检查摘要信息，确认无误后点击“安装”
  
• 安装完成后我们还需要配置一下
  
• 参照截图，直接点击“下一步”即可
  
• 选择要配置的角色，并点击“下一步”
  
• 参照截图，该步骤我们一定要选择“企业CA”详细介绍截图里有说明，我就不过多介绍了
  
• 由于我们这台CA是第一台CA，所以我们选择跟CA即可
  
• 参照截图选择，并点击“下一步”
  
• 加密选项根据实际需求选择，我这里就保持默认了
  
• 输入CA名称等信息后点击“下一步”
  
• 默认的CA是5年，实际环境建议设置大点，避免过期，过期了就不好玩了
  
• 选择数据库、日志等存储位置，并点击“下一步”
  
• 检查摘要信息，确认无误后点击“配置”即可
  
• 至此我们CA就配置完成了
  

证书申请

接下来我们就是为Exchange Server申请证书了，详细步骤如下：

• 参照截图，打开Exchange的ECP，并点击“服务器”-“证书”-“+”
  
• 参照截图选择，并点击“下一步”
  
• 证书友好名称根据自己的习惯填写就可以了
  
• 如果想使用通配符证书，这里就可以配置，我这里就不使用通配符证书了
  
• 选择证书存储服务器
  
• 根据实际需求配置即可，或者保持默认，在下一步内进行配置
  
• 上面如果没有配置，这里直接添加即可，由于后期我们还需要使用OOS服务器，所以我把OOS的域名就一并申请下来了。
  
• 该界面根据实际输入即可
  
• 选择证书申请文件存储位置，这里的位置必须是共享路径
  
• 申请配置文件创建完成后，该步骤显示的是搁置的请求
  
• 打开CA证书申请界面
  
• 参照截图，选择“高级证书申请”
  
• 参照截图选择
  
• 使用TXT打开刚才创建的申请文件
  
• 如图所示，将刚才拷贝的申请文件粘贴到申请网站内，模板一定要选择“Web”
  
• 下载证书
  
• 参照截图，点击完成
  
• 选择证书存储位置
  
• 导入完成
  
• 接下来我们点击编辑，进行服务的分配
  
• 参照截图，选择要分配的服务
  
• 点击“是”即可
  
• 服务分配完成
  

至此我们完成了第一台服务器的证书导入与服务的分配工作，接下来我们进行第二台服务器的证书导入与分配工作。

• 参照截图，点击导出证书
  
• 选择证书存储位置并输入密码
  
• 参照截图，导航到第二台服务器，并点击“导入证书”
  
• 参照截图，选择正常存储位置，并输入密码
  
• 选择要导入证书的服务器，并点击“完成”
  
• 证书导入完成，接下来我们进行服务分配
  
• 分配服务
  
• 服务分配完成

• 这个时候我们在登录就不会报证书错误了
  

支持我们就完成了证书服务器的安装与申请、服务分配工作

身份验证方式修改

证书导入完成后，打开OWA您会发现，需要输入域\用户名的方式进行登录，是在太麻烦了，接下来我们进行修改下，仅使用用户名登录

• 首先我们打开ECP，导航到服务器-虚拟目录-OWA-修改
  
• 参照截图选择，并点击“保存”
  
• 参照截图，我们需要重启IIS后才能生效
  

• 图形界面我们都会了，那么我们如何使用命令设置那，命令如下：

Set-owavirtualdirectory -identity "EXSrv02\owa (default web site)" -LogonFormat UserName -DefaultDomain "ITSoul.inter"

• 重启IIS
  
• 再次打开OWA，已经修改完成
  

希望各位老铁能给点赞或关注，非常感谢各位：

关注个人：

• 登录您的51CTO账号或使用微信登录，登录成功后点击下面链接
  链接：http://home.51cto.com/space?uid=8658374
• 点击关注即可
  

关注博客（悄悄的告诉您，如果您的账号绑定了微信，每次更新博文您都会在微信上收到通知奥）：

• 打开如下链接：http://blog.51cto.com/itsoul
• 参照截图点击关注
  
• 登录您的51CTO账号或选择使用微信登录
  

原文地址：http://blog.51cto.com/itsoul/2087967