Tematický týden: Exchange Server 2010, díl 4.

..díl čtvrtý, instalace a přechod

No a jsme na konci našeho seriálu o novinkách v Exchange Server 2010. Slovy klasika Cimrmana by se chtělo napsat: „Tak končí naše komédie. Zlo prohrává a dobro žije...“ :). Ale po pravdě je vám asi jasné, že i když jsem se opravdu snažil a články nepatřily k nejkratším, tak jsme si v nich nemohli popsat vše, co Exchange Server 2010 nového přinese. Nicméně alespoň ty novinky, které se do předchozích dílů nevešly, ale podle mě i tak patří k těm podstatným, si pojďme v krátkosti představit nyní.

• Organization Relationship / Federation Trust – Exchange Server 2010 umí navázat vztah s jinými Exchange organizacemi a následně s nimi sdílet některé interní informace – např. o volném čase z vašich kalendářů, atd. Toto do nynějška nešlo a existovalo jen uživatelské řešení na staně Outlook a Live služby Microsoftu, tedy zcela mimo kontrolu správců Exchange

• Sharing Policies – Téměř při každé implementaci Exchange jsem byl dotazován, zdali by se nedalo vynutit nastavení práv na kalendářích některých schránek, aby bylo vidět co přesně v kalendáři uživatel má. Např. pro infrastrukturní mailboxy (zasedací místnosti, atd.) je to velmi šikovné. Ve výchozím nastavení Exchange jsou totiž sdíleny jen informace o tom, zdali v kalendáři máte nějakou aktivitu, případně zdali jste v kanceláři, nebo jinde (Free/Busy).

• Zpracovávání pozvánek - základní nastavení toho, jak bude schránka uživatele zpracovávat pozvánky do kalendáře je nyní možné nastavit přímo ve vlastnostech daného uživatele

• Outlook Web Access Mailbox Policies – V rámci nastavení Exchange, lze omezit uživateli přístup do některých částí OWA (např. do kalendáře, atd.), případně obecně řídit další možnosti, jakými jsou např.:
• chování OWA když je uživatel na veřejném, nebo domácím počítači
• chování OWA při práci s přílohami - OWA umí renderovat Office a další formáty, např. PDF, přímo do HTML, odpadá tak nutnost mít na straně klienta program, který tento formát umí zobrazit - plus je to jedna z bezpečnostních voleb (soubory nemusí být nikam stahovány)
• chování OWA při přístupu na další interní servery (povolení/zakázání, výjimky, atd.)

Toto všechno bylo možné dříve řešit jen jako nastavení celého CAS serveru, nyní je možné toto pomocí politiky přizpůsobovat na jednotlivé uživatele.

• Práce s certifikáty – zcela nově Exchange Server 2010 umožňuje práci s certifikáty. Vše je nyní v grafickém rozhraní a napsáno tak, aby vám to maximálně zjednodušilo vaši práci. Import, vytváření a další práce s certifikáty je od nynějška opravdu pohodička. Obzvlášť to oceníte při generování složitějších certifikátů na více jmen

• Správa diagnostického logování – to, co potřebujete vždy, když nastane nějaký problém, jsou podrobné informace z logů. Někdy to ale nestačí a proto je dobré vědět, že můžete pro jednotlivé oblasti Exchange nastavovat diagnostické logování – nyní již pomocí grafického rozhranní a velmi detailně

• Přesun schránek – Exchange Server už dlouho podporuje možnost uchopit schránku uživatele a přesunout ji z databáze/store kde se nachází nyní, do databáze jiné. Důvodů může být mnoho, uvádím jen ty nejdůležitější:
• Některé databáze mohou mít víc replik a schránka v nich tak může být bezpečnější
• Potřebujete přesunout schránku na jiný server a do jiné lokality, čímž optimalizujete klientovi rychlost připojení k Exchange
• Potřebujete na některém serveru uvolnit místo, protože vám dochází diskový prostor, atd.

Nejčastěji se ale s přesunem schránek setkáte při instalacích a migracích, kdy chcete ze starého serveru přesunout všechny schránky do jiných databází na nových serverech. Přesun je totiž podporován jak mezi Exchange 2010 servery, ale také z Exchange 2003 SP2 a Exchange 2007 SP2 servery.

Move-Mailbox tak, jak byl představen v Exchange Server 2007 měl několik nevýhod, ale asi nejpodstatnější byla ta, že se jednalo o tzv. online přesun. Exchange Management Shell (EMS) musel otevřít spojení do zdrojové i cílové databáze a zahájit přesun s tím, že vy jako administrátor jste museli čekat, než se přesun dokončí byste mohli pokračovat v práci. A to ani nemluvím o problémech, kdy jste příkaz spouštěli odněkud, odkud se nedalo spojení pomocí patřičných protokolů a portů navázat... prostě to bylo problematické, včetně toho, že uživatel byl po celou dobu přesunu od schránky odpojen, atd.

Nyní zde máme zcela nový koncept New-MoveRequest. Jedná se o asynchronní replikaci dat, kdy správce zadá požadavek, který následně ale místo lokálního EMS shellu vykonává zcela nová služba, která běží na CAS serverech. Služba se jmenuje Mailbox Replication Service (MRS). MRS se sama postará o komunikaci s patřičnými Mailbox servery a umí se vypořádat i se situací, kdy v průběhu přesunu dojde k havárii zdrojového či cílového serveru. Jedná o opravdový online přesun, tedy po celou dobu přesunu může uživatel stále aktivně pracovat se svojí schránkou – po přesunu je pouze klient vyzván k restartování Outlooku. Podotýkám, že pokud má uživatel schránku o mnoha GB, může se jednat o hodiny a v předchozích verzích Exchange se tak jednalo doslova o oříšek, kdy takový přesun provést. Možná vás potěší i to, že se historie těchto příkazů archivuje a vy si ji můžete v konzole kdykoli zpětně prohlédnout. Přesouvat schránky jde i mezi Exchange organizacemi a dokonce i do hostovaných Exchange řešení Outlook Live.

• Role Based Access Control (RBAC) – Exchange Server 2007 představil několik nových skupin, kterými bylo možné delegovat oprávnění nad Exchange organizací. Nicméně i tak se stále jednalo o příliš hrubý nástroj, který mnoha firmám nevyhovoval. Proto přichází velká změna. RBAC obsahuje nejen mnoho předpřipravených rolí, ale umožňuje vám vytvářet i nové, ve kterých si vydefinováváte velmi detailně to, co tato role tomu, kdo ji získá umožní. Tyto role je možné libovolně kombinovat s nastavením toho, kde – na které části Exchange organizace - bude možné tyto aktivity vykonávat. Není tedy problém definovat nejen co, ale také kde to bude moci správce vykonávat!

Instalace Exchange Server 2010

Pokud vás mé předchozí řádky navnadili a jste rozhodnuti Exchange Server 2010 ve vaší firmě nasadit, bude asi dobré znát, alespoň v hrubých rysech, jak celý proces vypadá.

Instalace je v podstatě stejná jako u Exchange Server 2007 a podle mě nemá cenu se jí moc zabývat. Na serveru musí být nainstalovány komponenty Windows, které jsou pro tu, či onu roli podstatné (např. IIS, nebo správcovské nástroje Active Directory) a kromě nich ještě pár dalších programů od společnosti Microsoft:

• PowerShell Version 2 (http://go.microsoft.com/fwlink/?LinkID=104222)
• .NET Framework 3.5 (http://go.microsoft.com/fwlink/?LinkID=96339)
• Windows Remote Management 2.0 (http://go.microsoft.com/fwlink/?LinkID=107396)
• 2007 Office System Converter: Microsoft Filter Pack (http://www.microsoft.com/downloads/details.aspx?FamilyId=60C92A37-719C-4077-B5C6-CAC34F4227CC&displaylang=en)

Pokud na některou komponentu zapomenete, nebo nenainstalujete potřebný program na kterém je Exchange závislý, nemusíte se ničeho obávat – instalátor nejprve vždy provádí detailní kontrolu celého prostředí a serveru a pokud nalezené problémy neodstraníte, neumožní vám Exchange Server 2010 nainstalovat.

Jedinou novinkou v instalátoru je, že pokud instalujete roli CAS serveru, jste dotázáni na veřejné jméno, které bude CAS server po instalaci používat – na základě této informace instalátor sám nastaví služby CAS tak, aby fungovaly na daném jménu a vygeneruje také Self Signed certifikáty, které automaticky přiřadí patřičným službám (IIS, SMTP, atd.).

Potom už jen sledujete průběh instalace. Stejným instalátorem jde kdykoli na server Exchange roli přidat nebo odebrat, na základě toho, jak se vám vyvíjí vaše síť a vaše potřeby.

Pokud uvažujete o instalaci Exchange Server 2010 do virtuálního prostředí, tak proč ne, ale:

• Exchange Server 2010 (Mailbox, CAS, Transport a Edge role) je sice testován pro běh ve virtuálním prostředí (Windows Server Virtualization Validation Program), ale zatím nepodporován – uvidíme, zdali se to ve finální verzi změní
• Unified Messaging server se virtualizovat nedoporučuje a není to podporováno

Přechod na Exchange Server 2010

Pokud budete instalovat Exchange Server 2010 do Active Directory, kde je již Exchange organizace a nějaké starší Exchange servery, bude potřeba dodržet určité kroky, aby vše fungovalo tak, jak má.

V první řadě nezapomeňte na to, že Exchange Server 2010 spolupracuje jen s Exchange Server 2003 SP2 a Exchange Server 2007 SP2. Pokud tedy nemáte na serverech požadovaný Service Pack, nebo snad provozujete starší systémy, je potřeba tyto povýšit ještě před tím, než se pustíte do implementace Exchange Server 2010. Díky implementaci SP2 na Exchange Server 2007 už nebudeme muset řešit rozšíření schéma Active Directory, protože potřebné rozšíření proběhlo právě při instalaci SP2 a je z Exchange Server 2010 zcela kompatibilní.

Přechod na Exchange Server 2010 pomocí tzv. In-Place upgrade není podporován. Vždy se tedy musí jednat o novou instalaci serveru a následné migraci dat.

Pokud máte mixované prostředí, kdy část firmy je provozována na Exchange Server 2007 a část na Exchange Server 2010, musíte ke správě těchto schránek používat tu „správnou“ konzolu. Tedy konzolu Exchange Management Console (EMC) 2007 pro schránky na Exchange Server 2007 a EMC 2010 pro správu prostředí Exchange Server 2010. Příjemné ale je, že pokud si tyto nástroje instalujete např. na svoji správcovskou stanici, můžete je nainstalovat „vedle sebe“ a používat tak na jednom operačním systému obě dvě.

A jak tedy postupovat při přechodu na Exchange Server 2010?

1. Client Access Server (CAS)
• Prvním instalovaným Exchange Server 2010 musí být CAS server! Je to proto, že dokáže bez problémů obsluhovat klienty, ať už mají schránky kdekoli - na Exchange Server 2003, 2007, nebo 2010.
• Doporučuje se začít CAS serverem, který je publikován do internetu a hned po instalaci provést tyto kroky:
• Nakonfigurovat CAS pro práci v internetu – např. externí jméno u OWA a dalších služeb (Autodiscover, atd.)
• Zprovoznit služby, jako např. Outlook Anywhere
• Vygenerovat/získat/naimplementovat SSL certifikát pro zabezpečení CAS komunikace
• Nakonfigurovat/přesměrovat provoz na nový CAS server
• Pokud máte ve firmě další CAS servery, pokračovat instalací těchto CAS serverů
• Klienti s Outlook 2007 a novější budou automaticky přesměrováni pomocí služby Autodiscover na nový CAS server. Outlook 2003 se pomocí RPC Proxy na CAS serveru dostane ke své schránce také. Zjednodušeně řečeno, Exchange CAS 2010 jako proxy přesměrovává všechny požadavky klientů na patřičné servery.
• Mobilní klienti nic nepoznají, pokud je komunikace nově přesměrována skrze Exchange CAS 2010, ale mají stále schránku na starém Exchange. Jakmile schránku přesunete na Exchange Server 2010 úplně, musí v menu telefonu vyvolat ručně volbu „Synchronizovat“ a potvrdit plnou synchronizaci obsahu telefonu

1. Transport Server / Edge Server
• Jako další instalujte Transport Servery. Nastavte patřičné konektory a pokud máte Transport Server propojeny s Edge Servery, instalujte i Exchange Server Edge 2010 a překonfigurujte Transport Server k používání těchto Edge serverů
• Exchange Server 2007 bude primárně používat Transport Server 2007 a Exchange Server 2010 zase Transport Server 2010. Proto by odinstalace starých Transport serverů měla proběhnout až po odstranění starých Mailbox serverů
• Pozor! Každá AD Site, kde se vyskytuje Mailbox Server, musí také obsahovat vždy stejnou verzi Transport Serveru! Není možné mít v AD Site Mailbox Server 2007 a k němu Transport Server 2010 a obráceně!
2. 2. Unified Messaging (pokud máte nasazen)
3. Mailbox Server
• Po instalaci Mailbox Serveru vytváříme potřebné databáze a konfigurujeme jejich vlastnosti (Database Availability Group, atd.)
• Pomocí MoveRequest přesouváme postupně nebo najednou všechny schránky na Exchange Server 2010
• Jakmile databáze neobsahují žádná data (mailbox = schránky; public folder = složky), je možné databáze smazat
• Přesouváme generování Offline Address Book (OAB) na Mailbox Server 2010
4. Dále odinstalováváme starší Exchange servery v následujícím pořadí:
• Mailbox Server
• Unified Messaging
• Transport Server
• Client Access Server

Pokud jste došli až sem, tak máte úspěšně zmigrováno a gratuluji vám! :)

Závěr

Doufám, že si mi podařilo vám v kostce představit, co nového Exchange Server 2010 přinese a že vás moje články zaujaly. Pokud byste se přesto chtěli dozvědět více, přijďte na některé ze setkání Windows User Group (WUG) (viz. http://www.wug.cz), kde budu mít v mnoha městech několikahodinové představení této horké novinky. Případně neváhejte zaslat svůj dotaz ať už zde, nebo pomocí formuláře na mém privátním blogu na adrese http://pavlis.net/contact.aspx.

Zítra se ještě můžete těšit na galerii screenshotů nejen správcovského rozhraní nového Exchange, ale hlavně na obrázky zcela nového Outlook Web Access (OWA) a Exchange Control Panel (ECP) rozhranní.

Zajímavé odkazy k Exchange Server 2010

• Microsoft Exchange Server 2010 (http://www.microsoft.com/exchange/2010/en/us/default.aspx)
• Microsoft Exchange Server 2010 Beta Download (http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=1898ed2c-2f88-48ac-824e-d3d20fad77d7
• Microsoft Technet Exchange Server 2010 (http://technet.microsoft.com/cs-cz/exchange/2010/default(en-us).aspx)
• Microsoft Exchange Server 2010 FAQ (http://www.microsoft.com/exchange/2010/en/us/faq.aspx)
• Top Reasons to Try Microsoft Exchange Server 2010 Beta (http://www.microsoft.com/exchange/2010/en/us/why-upgrade.aspx)
• What’s New (http://www.microsoft.com/exchange/2010/en/us/whats-new.aspx)
• You Had Me At EHLO... (http://msexchangeteam.com/)
• Microsoft Exchange Server Resource Site Articles & Tutorials (http://www.msexchange.org/)

- Martin Pavlis – Microsoft Exchange MVP, IT Senior Consultant KPCS CZ, s.r.o.