Dneska začneme nastavovat CAS roli. Je to docela náročné, protože možností je hodně a každé rozhodnutí pak bude ovlivňovat, jak celý systém bude fungovat. Proto bude dnešní díl asi jiný, než
byly ty předchozí. Pokusím se popsat víc teorii, možnosti a budeme mít méně praktického nastavování. Vzhledem k tomu, že tento seriál nemá být nějakým výukovým materiálem, tak tam bude velké
množství zjednodušení. Spíš se budu snažit vysvětlit principy a možnosti.
CAS role zaznamenala ze všech rolí asi největší změny oproti minulé verzi Exchange serveru. U mailbox role byly změny taky velké, ale tam se situace dost zjednodušila. CAS role je výrazně
závislá na IIS. To není až taková novinka. Už ve verzi 2007 to tak bylo. IIS zajišťuje připojení k mailboxu pomocí webového prohlížeče (OWA), přístup z mobilu nebo PDA (Active Sync) a
přístup Outlooku z internetu (RPC over HTTPS alias Outlook anywhere). CAS taky zajišťuje nastavení Outlook klienta pomocí autodiscoveru. U Exchange serveru 2007 se ovšem Outlooky
v lokální síti připojovaly přímo k mailbox serveru. U Exchange serveru 2010 už to platí pouze pro Public Folders. Jinak se Outlook připojuje k CAS, který zajišťuje jak přístup
do mailboxu, tak služby související s AD - autentizaci (jsem ten, za koho se vydávám?) a autorizaci (můžu udělat to, co chci?).
Navíc se u 2010 objevuje pojem CAS array. Cílem je, aby CAS servery v rámci AD site nevystupovaly jednotlivě, ale aby bylo vytvořeno pole CAS serverů tak, aby v případě výpadku
jednoho serveru, byly ostatní schopny obsloužit uživatele. Takže se klienti nebudou připojovat k FQDN určitého CAS serveru, ale k FQDN, které se vytvoří pro CAS array. Na to je
potřeba myslet i v případě vytváření SSL certifikátu (já jsem na to zapomněl) a je potřeba ručně vytvořit záznam do DNS. Když teď na tím přemýšlím, tak CAS pole je vlastně jen pro MAPI
připojení. Takže se to SSL certifikátu stejně netýká.
Jak to vlastně funguje? Každá mailbox databáze má uloženu informaci o CAS poli, které se nachazí v její AD site. Informace je v attributu RpcClientAccessServer. Pokud mailbox
databáze byla vytvořena dřív než CAS array, tak je v atributu uloženo jméno prvního CAS serveru. Můžene se podívat, co tam teď máme :
[PS] Get-MailboxDatabase mdb01 | fl rpcclientaccessserver
RpcClientAccessServer : EX01.tnx.cz
Jak je vidět, tak je v atributu RpcClientAccessServer uloženo jméno prvního a jediného CAS serveru. A nebo jsem vytvořil pole, které se jmenuje stejně? Podíváme se.
[PS] Get-ClientAccessArray
Nic, ani ťuk. Dobře, přiznávám se. Jelikož mi server už nějakou dobu běží a tyhle články dělám dodatečně, tak už jsem CAS array měl, ale protože jsem jaksi nemohl najít poznámky, tak
jsem ho smazal a teď ho udělám znovu. To je podfuk, co? Takže vytvoříme CAS array. Ale než to uděláme, tak potřebujeme vědět, jak se jmenuje vaše AD site. Tuším, že po instalaci se vytvoří
první site, která má jméno "Default-First-Site-Name". Na tom názvu není nic špatného, jen je nepraktický na psaní a pokud byste měli vícero site, tak v tom aby se prase vyznalo.
Takže já si svoji AD site přejmenuju. Kdo chce, může se mnou. Z Administrative Tools spustíme Active Directory Sites and Services.
Najdeme Default-First-Site-Name, klikneme pravým tlačítkem a vybereme Rename.
Napíšeme nové jméno. V mém případě Home a je to. Teda úplně to není. Moudré hlavy se neshodují, jestli je potřeba restart nebo ne. V našem případě, kdy restart ničemu neublíží, doporučuji
tento postup: Vypnout Exchange server. Restartovat DC. Podívat se do logu, jestli tam není nějaké překvapení. Nastartovat Exchange server. Podívat se do logu, jestli tam není, nějaké překvapení.
No a teď už konečně vytvoříme CAS array. Já si ho nazvu třeba outlook.
[PS] New-ClientAccessArray -Name "CASarray01" -Fqdn "outlook.tnx.cz" -Site "home"
Name Site Fqdn Members
---- ---- ---- -------
CASarray01 home outlook.tnx.cz {ex01}
Povedlo se? O něco výš jsem říkal, že pokud je mailbox databáze vytvořená dřív, než existuje CAS array, tak ma v atributu RpcClientAccessServer uložené jméno prvního CAS serveru. Takže
se podíváme, jestli se ta hodnota po vytvoření CAS array změnila a když ne, tak to opravíme.
[PS] Get-MailboxDatabase mdb01 | fl rpcclientaccessserver
RpcClientAccessServer : EX01.tnx.cz
[PS] Set-MailboxDatabase -Identity mdb01 -RpcClientAccessServer "outlook.tnx.cz"
[PS] Get-MailboxDatabase mdb01 | fl rpcclientaccessserver
RpcClientAccessServer : outlook.tnx.cz
Pokud bychom teď nastavovali profil Outlooku, tak se nepřipojíme. Chybí nám totiž záznam v DNS. Než ho vytvoříme, tak zase trochu teorie. Nikoliv o DNS, ale o CAS array. I když o DNS trochu
taky. Pokud bychom vytvářeli Echange prostředí pro větší firmu, tak bychom pravděpodobně chtěli co nejvyšší výkon a zároveň bezpečnost - bezpečnost v tom smyslu, že výpadek jednoho CAS serveru,
nám neudělá výpadek služby jako takové. Proto bychom použili HW load balancer. Tedy zařízení, které by dostalo svoji IP adresu. V DNS bychom vytvořili záznam pro outlook.tnx.cz na tuto IP
adresu a nastavili load balancer tak, aby rozložil zátěž na všechny CAS servery v rámci AD site. V případě, že bychom neměli na žádném CAS serveru zároveň MBX roli a nebylo jich víc než 8,
tak bychom mohli použít i NLB, který obsahuje Windows server, bez HW load balanceru. Ale jsou tam další omezení. Poslední, nejméně spolehlivá možnost, ale nejlevnější, je vytvořit více DNS
záznamů v DNS pro outlook.tnx.cz, dát mu všechny IP adresy serverů, kde běží CAS role, nastavit velmi malý TTL (platnost DNS záznamu). V případě, že jeden CAS server padne, tak musí administrátor
smazat z DNS serveru záznam s IP adresou serveru, který neběží. Je třeba ale vědět, že u některých lidí dojde k výpadku služeb a maximální doba výpadku bude čas, který adminovi zabere smazání DNS
záznamu + čas nastavený jako TTL. Tuhle možnost si v některém z pozdějších dílů vyzkoušíme.
Dost bylo teorie, jdeme vytvořit záznam do DNS. Vzhledem k tomu, že mám jeden server, nepoužívám ani HW load balancer, ani WNLB, takže budu odkazovat zase na server ex01.tnx.cz, tak nebudu
vytvářet A záznam, ale CNAME. Prostě dám informaci, že outlook má stejnou adresu jako ex01. V Administrative Tools najdeme DNS. Spustíme. Otevřeme Forward Lookup Zones a najdeme si naši doménu.
Klikneme pravým tlačítkem na jméno domény. Objeví se menu, ze kterého vybereme New Alias (CNAME)
Vyplníme tabulku. Myslím, že je to celkem jasné. Samozřejmě, jméno serveru, na který se odkazujeme musí mít v DNS A záznam. Ta tečka na konci znamená, že se jedná o FQDN, takže nemá přidávat
na konec doménu.
OK. Můžeme zavřít. To je prozatím všechno. Pokud máte někde funčkní Outlook, nastavíte mu jako server outlook.vase.domena a vyberete existujícího uživatele s mailboxem, tak už se dostanete k poště.
A můžete posílat poštu mezi uživateli vašeho Exchange serveru.
Pro dnešek vše. Příště budeme pokračovat s CAS rolí. Čeká nás Outlook anywhere, OWA, Active sync, autodiscover a aby to všechno fungovalo, tak SSL certifikáty.
|