Перед началом работы

Вас приветствует Exchange 2016! Перед развертыванием Exchange 2016 в организации тщательно все спланируйте. Рекомендуем внимательно изучить всю эту статью, прежде чем продолжать работу с помощником по развертыванию. В ней описано, как развертывание Exchange 2016 может повлиять на существующую сеть и организацию Exchange.

На что следует обратить внимание перед развертыванием Exchange 2016

Перед развертыванием Exchange 2016 необходимо уделить особое внимание некоторым важным вопросам, чтобы впоследствии не возникло никаких непредвиденных ситуаций.

Роли сервера

Exchange 2016 предусматривает использование двух ролей сервера: роль сервера почтовых ящиков и роль пограничного транспортного сервера. Последнюю необходимо установить на отдельном компьютере. Ее невозможно установить на компьютере с ролью сервера почтовых ящиков.

Вот краткое описание каждой роли сервера в Exchange 2016:

• Сервер почтовых ящиков. Сервер почтовых ящиков включает протоколы клиентского доступа, службу транспорта, базы данных почтовых ящиков и единую систему обмена сообщениями. Сервер почтовых ящиков обрабатывает все действия, касающиеся активных почтовых ящиков на сервере.

• Пограничный транспортный сервер. Роль пограничного транспортного сервера развертывается в сети периметра организации за пределами внутреннего леса Active Directory. Предназначенный для снижения вероятности атак, пограничный транспортный сервер обрабатывает всю почту, отправляемую в Интернет, и обеспечивает работу служб ретрансляции SMTP и промежуточных узлов, функций защиты от нежелательной почты, защиту сообщений и транспорта в организации Exchange.

Дополнительные сведения: Архитектура Exchange 2016 и Пограничные транспортные серверы.

Обновление схемы Active Directory

При первой установке Exchange 2016 будет обновлена схема Active Directory. Это необходимо, чтобы можно было добавить объекты и атрибуты в Active Directory для поддержки Exchange 2016. В зависимости от размера организации и способа распределения в ней ответственности за инфраструктуру обновление схемы может быть задачей другой рабочей группы или другого отдела. Кроме того, репликация внесенных в схему изменений может занять несколько часов или дней и зависит от вашего расписания для репликации Active Directory.

Прежде чем устанавливать первый сервер Exchange 2016, поговорите с командой управления Active Directory (если в вашей организации есть такая команда), чтобы она могла проверить, одобрить и внедрить обновление схемы. Мы также рекомендуем протестировать обновление схемы в лабораторной среде и сделать резервную копию своей рабочей схемы Active Directory, прежде чем применять обновление.

Дополнительные сведения: Изменения схемы Active Directory в Exchange 2016, Подготовка Active Directory и доменов и Определение возможных конфликтов касательно расширений схемы Active Directory.

Сертификаты

SSL-сертификаты помогают обезопасить обмен данными между клиентами и серверами Exchange Exchange, а также другими почтовыми серверами благодаря шифрованию данных и (необязательно) идентификации каждой стороны соединения. Сертификаты могут быть выпущены сторонними центрами сертификации (ЦС), внутренними ЦС или быть самозаверяющими. Вот краткое описание каждого типа сертификатов:

• Сторонние сертификаты. Сторонние сертификаты выпускаются общедоступными ЦС, такими как DigiCert, GoDaddy, Verisign, Thawte, Comodo или GlobalSign. Такие сертификаты считаются доверенными для большинства операционных систем и браузеров. Это важно, если вы хотите с помощью сертификатов обезопасить обмен данными между своей организацией Exchange 2016 и внешними организациями. Внешняя организация должна доверять сертификату, который вы ей предоставляете. Несмотря на то что тех же результатов вы можете добиться, используя сертификаты, выпущенные внутренними ЦС, или самозаверяющие сертификаты, со стороны внешней организации должны быть вручную добавлены сертификаты в список доверия на каждом компьютере, который будет связываться с вашей организацией Exchange 2016.

  Некоторые общедоступные ЦС также предлагают услуги по проверке подлинности организации, для которой они выпускают сертификат. Это удобно, когда внешней организации необходимо подтверждение того, что она подключается к нужной организации. Общедоступные ЦС взимают оплату за каждый выдаваемый сертификат. Стоимость зависит от типа приобретаемого сертификата, количества указанных в нем доменов и структуры цен общедоступного ЦС.

• Частные сертификаты. Частные сертификаты выдаются внутренним (или частным) ЦС. Частный ЦС размещается в вашей организации и выпускает сертификаты для внутреннего использования. Преимущество частных ЦС: за выпуск сертификатов не взимается плата, для внутренних серверов и клиентов можно настроить автоматическое добавление в список доверия, а процессом выдачи управляете вы. Недостаток: по умолчанию внешние организации не доверяют вашему внутреннему ЦС. Чтобы можно было обезопасить связь между вашей организацией Exchange 2016 и внешними организациями с помощью частного сертификата, со стороны внешней организации эти сертификаты должны быть вручную добавлены в список доверия на каждом компьютере, который будет связываться с вашей организацией Exchange 2016.

• Самозаверяющие сертификаты. Самозаверяющие сертификаты выпускаются отдельным компьютером, а не ЦС. Самозаверяющие сертификаты не считаются доверенными на других компьютерах, в других операционных системах и браузерах. Они не позволяют другим клиентам или серверам проверять подлинность организации. Чтобы подключиться к компьютеру, который использует самозаверяющий сертификат, подключающийся клиент или сервер должен вручную добавить сертификат в список доверия и добавлять его снова каждый раз, когда истекает срок действия сертификата. Если есть клиенты или внешние организации, которым нужно подключаться к вашим серверам Exchange 2016, использовать самозаверяющие сертификаты нецелесообразно.

При развертывании Exchange 2016 мы настоятельно рекомендуем получить сертификат, выданный сторонним или внутренним ЦС. Этот сертификат позволит обезопасить передачу данных между вашей организацией Exchange 2016 и клиентами или другими серверами. Вам не нужно получать и настраивать сертификаты для связи между внутренними серверами Exchange 2016. Exchange автоматически управляет сертификатами, которые используются для передачи данных между внутренними серверами Exchange 2016.

Дополнительные сведения: Цифровые сертификаты и протокол SSL.

Office Online Server

Office Online Server позволяет пользователям просматривать поддерживаемые типы вложенных файлов в Outlook в Интернете (Outlook), не скачивая их и не устанавливая программу. Если сервер Office Online Server не установлен, пользователям Outlook необходимо скачать вложения на локальный компьютер, а затем открыть их в локальном приложении.

В Exchange 2016 есть два варианта настройки конечной точки Office Online Server: на уровне организации и на уровне сервера почтовых ящиков. Вариант настройки конечной точки зависит от размера организации и расположения серверов и пользователей.

• Организация. Вот несколько случаев, когда конечную точку Office Online Server можно настроить на уровне организации:

  • Развертывание на одном сервере или в одном расположении. Конечную точку можно настроить на уровне организации, если все серверы почтовых ящиков Exchange 2016 находятся в одном расположении и вы не планируете использовать географически распределенные серверы Office Online Server.

  • Резервная точка для масштабных развертываний. Конечную точку можно настроить на уровне организации в качестве резервной, когда конечная точка на сервере почтовых ящиков недоступна. Если сервер Office Online Server недоступен, клиент попытается подключиться к конечной точке, настроенной на уровне организации.

  Важно!

  Если в вашей организации есть серверы Exchange 2013, не настраивайте конечную точку на уровне организации. Если сделать это, серверы Exchange 2013 будут пытаться подключиться к серверу Office Online Server. Эта возможность не поддерживается.

• Сервер почтовых ящиков. Распределение клиентских запросов между несколькими серверами Office Online Server может быть удобно в следующих случаях: Если настроить конечную точку на уровне сервера, расположенные на этом сервере почтовые ящики будут отправлять запросы на настроенный сервер Office Online Server.

  • Требуется географически распределить серверы Office Online Server.

  • В организации используется Exchange 2013. Настройте конечные точки на уровне сервера почтовых ящиков Exchange 2016.

Если требуется, чтобы внешние пользователи (за пределами вашей сети) могли просматривать поддерживаемые вложенные файлы в Outlook, сервер Office Online Server должен быть доступен из Интернета. Необходимо открыть TCP-порт 443 в брандмауэре и переадресовать его на сервер Office Online Server. Если развернуто более одного сервера Office Online Server, у каждого из них должно быть собственное полное доменное имя (FQDN). Каждый сервер также должен быть доступен из Интернета через TCP-порт 443.

Разделенная служба DNS

Разделенная служба DNS позволяет настроить для одного имени узла различные IP-адреса в зависимости от того, откуда поступает DNS-запрос. Эта служба известна также как DNS расщепления горизонта. Она помогает сократить количество имен узлов, которыми необходимо управлять в Exchange, позволяя клиентам использовать одно и то же имя узла для подключения к Exchange как из Интернета, так и из интрасети. Разделенная служба DNS позволяет запросам, исходящим из интрасети, получать IP-адрес, отличный от адреса для запросов из Интернета. Например, внешние интернет-пользователи, которые открывают сайт www.contoso.com, будут перенаправлены на общедоступный веб-сайт компании, а сотрудники во внутренней интрасети будут перенаправлены на частный сайт интрасети.

Рекомендуем развертывать Exchange 2016 в конфигурации с разделенной службой DNS. Эта служба упрощает развертывание и сокращает количество альтернативных имен субъектов (SAN). Последние требуются для SSL-сертификатов, которые позволяют обезопасить соединения с сервером Exchange 2016. В этом контрольном списке описана настройка новой организации Exchange 2016 для использования разделенной службы DNS. После настройки вы сможете использовать один URL-адрес, например owa.contoso.com, для доступа к серверу Exchange 2016 как из интрасети, так и из Интернета.

Примечание.
Помощник по развертыванию настраивает развертывание Exchange 2016 так, чтобы внешние и внутренние пользователи использовали один и тот же URL-адрес для доступа к серверу Exchange. Если в вашей организации используется другая схема адресации, вы можете изменить внутренние и внешние URL-адреса в соответствии с этой схемой.

Поддерживаемые клиенты

Exchange 2016 и Exchange Online поддерживают следующие версии Outlook:

• Outlook 2016

• Outlook 2013

• Outlook 2010

• Outlook для Mac в Office 365

• Outlook для Mac 2011

Список выпусков Outlook, поддерживаемых Exchange, см. в статье Обновления Outlook.

Клиенты Outlook версии ранее Outlook 2010 не поддерживаются. Почтовые клиенты в операционных системах Mac, которым требуется DAV, например Entourage 2008 для Mac RTM и Entourage 2004, не поддерживаются.

Гибридные развертывания с Office 365

Гибридное развертывание позволяет перенести все функции администрирования и возможности существующей локальной организации Microsoft Exchange в облако. Такое развертывание обеспечивает единый пользовательский интерфейс Exchange для локальной организации Exchange 2016 и Exchange Online в Office 365. Кроме того, гибридное развертывание может служить промежуточным шагом на пути к полному переходу на Exchange Online. Чтобы настроить гибридное развертывание для установленного сервера Exchange 2016, в помощнике по развертыванию выберите параметр Гибридное развертывание и выполните шаги, указанные в контрольном списке.

Дополнительные сведения: Гибридные развертывания Exchange Server.

Специальные возможности

Сведения о сочетаниях клавиш, которые могут применяться для процедур в этом контрольном списке, см. в статье Сочетания клавиш в Центре администрирования Exchange.