Exchange в вопросах и ответах: Настройка гибридных сред

При настройке Exchange в гибридных средах, в которых используется функциональность Office 365, как минимум, возникает путаница, но затраченные усилия окупятся.

Хенрик Уолтер

Сосуществование в гибридной среде

Вопрос В настоящее время мы настраиваем гибридную среду на основе Exchange 2010. Мы готовимся к переносу почтовых ящиков из организации (organization) Exchange 2007 в Exchange Online, входящий в Office 365. Мы используем при развертывании гибридной среды серверы с Exchange 2010, но мы еще не обновили своего клиента (tenant) в Office 365.

Мы — крупное предприятие, сотрудники которого используют более 30 SMTP-доменов. У наших пользователей много различных доменов адресов электронной почты. Одни используют alias@contoso.com, другие — alias@fabrikam.com и т. д. Мы хотим обеспечить сосуществование, чтобы все пользователи могли работать и с Exchange Online, и с организацией Exchange 2007 на предприятии.

Потребуется ли для этого добавлять DNS-записи autodiscover для всех SMTP-доменов, а также добавлять FQDN (Fully Qualified Domain Name, полностью определенное доменное имя) autodiscover в SAN-сертификат (Subject Alternative Name), который мы планируем использовать на гибридных серверах Exchange 2010?

Ответ На старых гибридных серверах, т.е. гибридных серверах с Exchange 2010, необходимо создавать в DNS по записи Autodiscover для каждого SMTP-домена. Кроме того, в SAN-сертификате в списке SAN потребуется указывать все используемые DNS-записи autodiscover. Например, если вы используете в своей организации Exchange три SMTP-домена (contoso.com, fabrikam.com и wingtiptoys.com) и собираетесь настроить для всех трех доменов сосуществование с Exchange Online в Office 365, потребуется создать в DNS следующие записи Autodiscover:

• Autodiscover.contoso.com
• Autodiscover.fabrikam.com
• Autodiscover.wingtiptoys.com

Вам также потребуется включить эти записи в SAN-сертификат. Можно использовать для перенаправления Autodiscover записи CNAME, но это не повлияет на то, что вы должны добавить все записи Autodiscover в SAN-сертификат. Кроме того, гибридные среды Exchange не поддерживают перенаправление Autodiscover, основанное на SRV-записях.

С помощью доменной функции (domain feature) Autodiscover вы можете сделать один из ваших SMTP-доменов доменом автообнаружения (доменом Autodiscover). Тогда вы избавитесь от следующих требований:

• необходимости создавать в DNS записи Autodiscover для всех SMTP-доменов, за исключением домена, который вы объявили доменом Autodiscover;
• необходимости указывать FQDN Autodiscover для всех SMTP-доменов, используемых в SAN-сертификате.

Это, в самом деле, замечательная новая возможность Exchange Server 2013. Группа разработки Exchange всегда включает новые функции в последнюю версию, но в данном конкретном случае она перенесла эту функцию и в предыдущую версию Exchange. Доменную функцию Autodiscover включили в версию Exchange 2010 SP3 RU1 (которую можно скачать отсюда). Да, это так: установив RU1, вы сможете воспользоваться доменной функцией Autodiscover в гибридной конфигурации на основе Exchange 2010. Чтобы задать домен Autodiscover, выполните следующую команду:

Set-HybridConfiguration –Domains "contoso.com, fabrikam.com", "autod:wingtiptoys.com"

Вы можете убедиться, что домен Autodiscover задан, выполнив командлет Get-HybridConfiguration (рис. 1).

Рис. 1. Запустите командлет Get-HybridConfiguration, чтобы убедиться, что вы задали домен Autodiscover

Пропавшие сообщения

Вопрос Мы только что настроили гибридную среду на основе Exchange 2010, чтобы получить работоспособную среду, в которой сосуществуют Exchange 2003 и Exchange Online в Office 365. Поскольку нам требуется, чтобы входящая и исходящая почта для Exchange Online проходила через гибридные серверы Exchange 2010 на стороне предприятия, мы выбрали в мастере Hybrid Configuration следующий параметр, задающий централизованную доставку: «Route all Internet-bound messages through your on-premises Exchange servers. This is typically done for compliance reasons» (направлять все сообщения из Интернета через серверы Exchange на предприятии. Обычно это делается по соображениям совместимости).

Мы настроили гибридную среду в соответствии с руководством. Мы видим, что мастер Hybrid Configuration создал в Forefront Online Protection for Exchange (FOPE) требуемые соединители (connector) для получения и отправки на стороне предприятия. Доменное имя, используемое при обмене информацией между FOPE и гибридными серверами на предприятии с принудительным TLS, содержится в сертификате от сторонней организации, хранящемся на гибридных серверах. Для него корректно задан параметр «receive for connector that accepts SMTP sessions from the FOPE IP ranges» (принимать для соединителя, разрешающего SMTP-сеансы от диапазонов IP-адресов FOPE).

Несмотря на все это, сообщения электронной почты из Exchange Online в Office 365, адресованные организациям Exchange на предприятии (а также внешним получателям) никогда не доставляются. При отслеживании сообщений в центре администрирования FOPE мы видим следующую ошибку:

«451 4.4.0 Primary target IP address responded with: '454 4.7.5 Certificate validation failure.' Attempted failover to alternate host, but that did not succeed» (451 4.4.0 Основной целевой IP-адрес ответил: '454 4.7.5 Ошибка проверки сертификата'. Предпринята попытка перехода на альтернативный хост, но она потерпела неудачу).

Мы, в самом деле, зашли в тупик. Может быть, у вас есть какие-то идеи относительно того, что нам делать дальше?

Ответ Я сталкивался с таким сообщением об ошибке в гибридном сценарии развертывания Exchange 2010. При настройке гибридной конфигурации в мастере Hybrid Configuration, он, в частности, создает на каждом гибридном транспортном сервере принимающий соединитель Inbound from Office 365 (рис. 2).

Рис. 2. Мастер Hybrid Configuration создает принимающий соединитель Inbound from Office 365

Этот соединитель настроен на поддержку SMTP-сеансов по приему сообщений (incoming SMTP sessions) только с определенного набора диапазонов IP-адресов, связанных с FOPE-сервисом, используемым Office 365 (рис. 3).

Рис. 3. Принимающий соединитель Inbound from Office 365 принимает сообщения только с определенного набора IP-адресов

Кроме того, этот принимающий соединитель будет настроен на FQDN, соответствующее FQDN сертификата, который использовался при гибридном развертывании (рис. 4).

Рис. 4. Параметры принимающего соединителя Inbound from Office 365 соответствуют FQDN гибридного сертификата

То же самое имя задано в сертификате, чтобы обеспечить соответствие FQDN отправляющего соединителя FOPE, так что можно использовать принудительный TLS. Все это сделано, как и у вас, в соответствии с руководством, тем не менее, я получал для исходящих сообщений из Exchange Online такое же сообщение об ошибке, как и у вас.

При просмотре журналов принимающего соединителя на гибридных серверах я обнаружил одну странность. SMTP-сеансы по приему входящих сообщений от FOPE использовали принимающий соединитель по умолчанию. Поскольку корректные диапазоны IP-адресов и другие параметры настраивались для принимающего соединителя для Office 365, это не имело смыла. Тогда я обратил внимание, что хотя SMTP-сеансы по приему входящих сообщений показываются как сеансы FOPE, исходный IP-адрес был частным IP-адресом. Оказалось, что это был виртуальный IP-адрес (virtual IP address, VIP) балансировщика нагрузки, который распределял SMTP-сеансы по приему входящих сообщений между гибридными серверами Exchange 2010.

Я добавил частный VIP в список диапазонов IP-адресов удаленных серверов принимающего соединителя Office 365. Тогда сообщения начали успешно доставляться. Если вы используете балансировщик нагрузки для SMTP, посмотрите, не столкнулись ли вы с той же самой проблемой.

Правильный ключ

Вопрос Мы только что установили два гибридных сервера Exchange Server 2013. Нас интересует, можем ли мы использовать для этих серверов ключ Exchange Server 2013 Hybrid Edition аналогично тому, как мы это делали для гибридных серверов Exchange 2010?

Ответ В настоящее время идет выработка политики использования ключей продуктов при лицензировании Exchange Server 2013 как гибридных серверов. Поэтому пока что просто используйте Exchange Server 2013 в пробном режиме. Когда срок его действия закончится, это не повлияет на вашу гибридную среду. Просто будут показываться дополнительные окна с напоминаниями.

Хенрик Уолтер (Henrik Walther) — носит звание Microsoft Certified Master, а также MVP по Exchange 2007 и обладает более чем 18-летним опытом работы в ИТ. Занимает должность старшего консультанта в группе Office 365 в Microsoft Services Denmark, а также работает в качестве технического писателя для Biblioso Corp. (находящейся в США компании, которая специализируется в области услуг по управлению документацией и локализации). Имеет более чем 14-летний опыт написания книг, статей, колонок, технических документов и новостей. С ним можно связаться по адресу henwal@microsoft.com.