偶然的机会,我被要求做一些关于从Exchange 2003到2010的迁移的研究。我一直在使用Exchange 2007多年,但没有任何正式的authentication或类似的东西。
为了掌握2010年的迁移过程和新概念,我一直在阅读大量教育资料和白皮书。我的目标是深入了解发生的事情,对拓扑结构提出全面的build议,并能够提供有效的援助,以便我们聘请外部公司来处理移民事宜。
整体拓扑结构
我对我对高可用性设置的angular色和原则的整体理解充满信心 – 虽然我没有几个奖励问题,但希望您能帮助我:)
现在,对于上面的设置,我一直在想几件事情:
证书:
我承认,我的证书知识是相当基础的 – 我正在努力:)。 当从我们的提供商订购SAN证书时,这个证书还必须包括内部地址还是外部FQDN? 我的意思是,我需要包括mail.contoso.com,autodiscover.contoso.com和legacy.contoso.com,但除此之外,是否需要包含任何内部名称? 那么多个TLD扩展又如何呢?这些都需要在SAN证书中考虑吗?
我想上面的问题是最让我困惑的。 我渴望得到一些关于我的这个小项目的反馈意见,我很欣赏任何好的build议:)
如果在DAG中有一个偶数的邮箱服务器, 则需要文件共享见证 ,所以在你的情况下,你会的。 Microsoftbuild议您使用集线器传输服务器作为见证服务器。 如果您的见证服务器不是Exchange 2010服务器,则需要将Active Directory计算机帐户添加到Exchange受信任的子系统安全组。
另外请记住,您的DAG服务器上的磁盘布局必须相同 。 如果在一台服务器上有C:上的操作系统,E:上的数据库和F:上的事务日志,则在另一台服务器上必须相同。
你应该分裂你的数据库,你真的觉得合适,我不知道任何官方的指导方针。 我会列出一些常见的足够的理由。
Set-MailboxDatabase <The DB Name> -IsExcludedFromProvisioning $true从此进程中排除某些数据库。 关于您的证书,您应该运行Exchange 2010为您提供的证书向导。 填写完适当的信息后,最终会生成一个证书请求,您可以将其发送给CA以生成证书。 它处理所有你需要的各种子域(ActiveSync,AutoDiscover,OWA等),并且非常简单地完成。
回答您的证书问题,我们的设置如下
我们的服务器都在我们的内部networking/域上,其FQDN为例如[xxx] .internal.lan。 但是,我们在内部DNS服务器上设置了拆分DNS,例如exchange.company.com是exchange.internal.lan的别名
这样我们可以通过我们的防火墙在外部发布服务器,并告诉人们使用exchange.company.com,无论他们是在networking内部还是外部。
我们发布自动发现,OWA,ActiveSync等
因此,我们只需要在Exchange服务器上使用* .company.com的单个通配符证书,例如autodiscover.company.com,exchange.company.com等。