2014年9月22日 星期一

S小魚仔S Exchange Server 2010 SP2 DAG (Database Availability Group)

電子郵件系統最好永不停止運作,以免漏失電子郵件,透過「Exchange Server 2010 SP2 DAG」架構,達成「High Availability」(高可用度),拋棄以前「Exchange 2007」的「Cluster Services」。

首先讓我們看一下,簡單的「Database Availability Group」示意圖

系統
電腦名稱
網路位址
備註
Windows Server 2008 R2 Enterprise
AD.Lab.com
192.168.0.11/24
Domain Controller
Windows Server 2008 R2 Enterprise
Witness.Lab.com
192.168.0.12/24
見證伺服器(Witness Server)
Windows Server 2008 R2 Enterprise
Ex-01.Lab.com
192.168.0.14/25 (MAPI)
192.168.1.1/24 (Replication)
Exchange Server
( 典型 三合一 )
Windows Server 2008 R2 Enterprise
Ex-02.Lab.com
192.168.0.15/25
(MAPI)
192.168.1.2/24
(Replication)
Exchange Server
( 典型 三合一 )

基礎「安裝」過程,這邊就不多「描述」,直接「切入」重點
PS
建置「DAG」過程中,無須再使用 Windows 「叢集管理工具」,來管理「DAG」,建置「DAG」過程中,會使用Windows「叢集管理工具」,通常只是為了「檢查」及「驗證」DAG狀態。


1. 設定「網路卡」,「Ex-01」與「Ex-02

MAPI」(Public Network)、「Replication」( Replication Network)
PS
IP」,請依照「示意圖」建置

1.1 設定「網路卡」前後「順序


在「組合管理」=>「面板配置」=>啟用「功能表

在「進階」=>「進階設定

設定「網卡」介面,順序位置,設定「MAPI」網卡為「第一順位

1.3 設定「網路卡」「Replication」,不註冊登記「DNS


點選「Replication」介面網卡=>「內容

點選「TPC/IPV4」=>「內容

點選「進階

取消註冊「DNS」登錄

點選「Wins」=> 停用「NetBIOS over TCP/IP


2. 設定「Ex-01
重新命名「Mail BOX」和「路徑位置」(D:)
PS
EX-02」也需要有「D:」,但是不需要做「設定」,因為加入「DAG」之後,會自動「複寫」,到相同「位置

在「EX-01」=>「信箱」=>「資料庫管理」,選擇「EX-01」Mail Box =>「內容

修改「Mail Box」名稱,方便「辨識

將「Mail Box」檔案 (File),和「記錄檔」(Log),選擇路徑放置「D:



3. 設定「Witness」「見證伺服器」 及 「見證目錄權限,加入「Exchange Trusted Subsystem
PS
1.「見證伺服器」不得為「DAG」成員。
2. 「見證伺服器」必須以「Windows 2003、2003 R2、2008 、2008 R2」以上版本
3. 必須「隸屬於」同一個「AD 樹系」(AD Forest)
2.若「見證伺服器」非「Exchange 2010」伺服器,只加入「網域」,新增「DAG」之前,需要將「Exchange Trusted Subsystem」群組,設定為「本機」Administrators 群組「成員」,新增「DAG」時,Exchange 才有權限在「見證伺服器」建立「檔案」。

Witness」伺服器,在「本機」內「Administrators」加入「Exchange Trusted Subsystem」群組


3.新增「DAG
PS
資料庫可用群組名稱」,需要建立一組「唯一性名稱」,且這個「DAG」名稱需要被註冊於「NetBIOS」名稱中,以提供「其他」伺服器存取,同時會被註冊在「DNS」中,成為一筆「A紀錄」。

見證伺服器」不能使用「IP」方式,一律使用「FQDN」表示。

若您「不勾選」「見證伺服器」,導引精靈,會自動在「集線傳輸」伺服器的「系統磁碟」( 
C:\DAGFileShareWitnesses\DAG_NAME_FQDN)作為見證目錄,並分享出來提供「叢集使用」。

接下來,重點來了

點選「組織組態」=>「信箱」=>「資料庫可用性群組」=>「新增資料庫可用性群組


1. 建立「資料庫可用性群組」,簡單來說, 就是 輸入「叢集名稱
2.  「見證伺服器」輸入「Witness」主機「FQDN

建立完成

在「資料庫可用性群組」就能看到「建立」完成「資訊



4. 加入「DAG」成員

建立完成「可用性」群組,這時候,需要加入「Exchange」主機

點選「新增

加入「Exchange」主機,成為「DAG」成員

點選「管理

加入成功

成功加入「DAG」成員,「Exchange」會啟用「Cluster Service」服務,同時會新增「叢集管理工具」,在「Exchange」DAG 操作,不太需要使用「叢集管理工具」。

5. 設定「DAG」網路
PS
 「DAG」名稱「需要」被指定一個應用於「MAPI」網路的「IP」位址,簡單來說就是「叢集」的「虛擬 IP」。

當「環境」內部有「DHCP」可用時,會自動從「內部」的「DHCP」取得可用「叢集 IP」。

若此時「內部網路」無「DHCP」伺服器,則「DAG」無法向「DHCP」伺服器「IP」取得「位址」則「DAG」叢集也將無法使用,這時候就需要「手動」配置「叢集」IP


5.1「手動」配置「DAG」叢集「IP


組織組態」=>點選「信箱」=>「資料庫可用性群組」=> 找到「DAG」名稱 =>「內容

1. 「IP位址」頁籤
2. 輸入「叢集 IP

設定完成,檢查「AD」內「DNS」主機紀錄,就會即時「更新」IP

5.3 設定「網卡」「存取」 與 「複寫」介面


點選「資料庫可用性群組」=>DAG「名稱」,下方,設定「DAG」網路。

點選「DAGNetwork01」輸入「名稱」,取消「啟用複寫
PS
請參考「示意圖

點選「DAGNetwork02」輸入「名稱」,啟用「複寫

設定完畢,顯示如下

6. 設定「Ex-01建立資料庫副本,加入「EX-02

接下來,重點又來了,設定「副本資料庫」,完成「DAG」最終階段

組織組態」=>「信箱」=>資料庫管理」=>選擇「EX-01」內「Mail Box=>選擇「新增信箱資料庫副本

加入「EX-02」Exchange 主機

點選「完成

建置完成,就可以看到「Mail Box」同時有,「EX-01」、「EX-02」 Exchange 主機。
EX-01」內「Mail Box」是「Master」(主要) 啟動中
EX-02」內「Mail Box」是「Slave」(次要) 不啟動

檢查「Ex-02」內「D:」位置 「是/否」有相同「Mail Box

同時會複寫「EX-01」內「D:\」Mail Box 資料,到「EX-02」相同位置

測試「Ex-01」主機,進行「關機」,觀察「資料庫」副本「變化

DAG」監控到「EX-01」關機,經由「EX-02」接收

輸入「DAG」叢集「IP」或「FQDN」

輸入「OWA」網址「進行測試
( https:// IP Or FQDN /owa )

Mircosoft Exchange 2010 挺好玩的,接觸大概「一個月」,懂了原理以後,剩下就要靠「自己」慢慢磨練了,希望各篇文章,可以幫助到「各位」想要「架設」Exchange 2010 DAG 的「朋友」,寫文章目的不為了什麼...就是好玩..而已 @_@,
Just Fun ~ By Landy.Wang

2014年9月2日 星期二

S小魚仔S Windows Server 2008 R2 設定 AD GPO 防火牆規則

這個問題一直困擾「魚仔」很久了,終於在「今天」實戰...遇到了,還好遇到「好心人」告訴我「AD Domain」 「GPO」防火牆規則。

~~~ 設定「網域」防火牆「規則」~~~

電腦設定」=>「原則」=>系統管理範本」=>網路」=>網路連線」=>「Windows 防火牆」=>「網域設定檔

找到「網域設定檔」,啟用「Windows 防火牆: 允許輸入的檔案和印表機共用例外

1. 啟用「規則
2. 輸入「*」表示允許全部「IP」,您也可以限制「IP」範圍,參考「圖文」範例說明
3.點選「套用

使用「Cmd」,輸入「Gpupdate /Force

檢查「防火牆」規則,這時候就會「建立」「檔案及印表機共用」規則,並且勾選「網域」選項。
PS
啟用「檔案及印表機共用」防火牆規則,會打開「TCP Ports 139 ( NetBIOS Session Service ) 445 ( Microsoft-DS )」、「UDP Ports 137 ( NetBIOS Name Service ) 138 ( NetBIOS Name Service ) 」。

~~~ 設定「家用/工作場所 、公用」防火牆「規則」~~~

電腦設定」=>「原則」=>「系統管理範本」=>「網路」=>「網路連線」=>「Windows 防火牆」=>「標準設定檔

 1. 啟用「規則
2. 輸入「*」表示允許全部「IP」,您也可以限制「IP」範圍,參考「圖文」範例說明
3.點選「套用

使用「Cmd」,輸入「Gpupdate /Force

檢查「防火牆」規則,這時候就會「建立」「檔案及印表機共用」規則,並且勾選「家用/工作場所、公用」選項。
PS
啟用「檔案及印表機共用」防火牆規則,會打開「TCP Ports 139 ( NetBIOS Session Service ) 445 ( Microsoft-DS )」、「UDP Ports 137 ( NetBIOS Name Service ) 138 ( NetBIOS Name Service ) 」。

~~~ 如何透過「AD Domain」 「GPO」佈署,單獨「防火牆規則」~~~

使用「網域設定檔」當作「範例」。
找到「Windows 防火牆:定義輸入的連接埠例外

1. 選擇「已啟用
2. 選擇「顯示

範例啟用「防火牆規則」 TCP 80 Port ,做為「設定
輸入
80:TCP:*:enabled:http 80 Port
PS
規則如下
<連接埠> : <傳輸協定> : <IP範圍> : <狀態> : <名稱>

設定完畢,記得「套用」規則

使用「Cmd」,輸入「Gpupdate /Force


檢查「Windows 防火牆」規則,發現新增「Http 80 Port」規則。

~~~ 如何強制鎖定「防火牆」~~~


電腦設定」=>「Windows 設定」=>「安全性設定」=>「具有進階安全性的 Windows 防火牆

在「網域設定檔」選擇「開啟 (建議選項)

檢查「Windows Client」網路共用中心 =>「Windows 防火牆

點選「開啟或關閉 Windows 防火牆

網域位置設定 選項 就會被「強制啟用

~~~ 透過簡易方式設定「防火牆」~~~



參考資料
The Will Will Web」-「開啟 CIFS / SMB / UNC 連線應開放哪些 Ports 與注意事項