oktober 2009 - Posts
In Exchange Server 2010 Enterprise Edition heb je de mogelijkheid om een aantal server te combineren (“clusteren”) in een Database Availability Group. Leuk, maar kost een bult geld vanwege de Enterprise Edition.
Exchange Server 2010 Standard Edition ondersteunt nu ook DAG’s, zij het met een limiet van 5 database. Erg interessant voor kleinere omgevingen waar 100 databases (in de Enterprise Edition) overkill is.
Ik citeer: “On the server side, Exchange Server Standard will now support high availability, so all customers can take full advantage of the new database availability group capabilities”
Meer info op: http://blogs.technet.com/uc/
Van Arie den Boer (van HP) kreeg ik een aantal documenten over performance testen en Exchange Server 2010. Noem het een sizing guide…. Leuk leesvoer:
With the release of Microsoft® Exchange Server 2010, there are many new design features and configuration options to consider. To better understand how to deploy theses new features with HP servers and storage, HP has developed a series of recommended configurations. The recommended configurations provide sizing guidance and deployment options to support the new Exchange 2010 solutions. The configurations are meant to assist you in designing solutions that address your email business requirements.
The recommended configurations provide several design options following HP’s tiered solutions matrix for Microsoft Exchange 2010. The tiered solution matrix provides recommended configurations that have been designed to support various service levels requirements. The service level requirements range from supporting basic mailbox services to deploying highly available solutions.
ProLiant BL460c G6 supporting 4000 2GB mailboxes (includes MDS600, EVA4400)
ProLiant DL370 G6 supporting 1000 2GB mailboxes (internal storage)
ProLiant DL180 G6 supporting 100 2GB mailboxes (internal storage)
Volgens het Microsoft knowledgebase artikel 929395 zijn er drie door Microsoft gesupporte Certificate Authorities die SAN (=Subject Alternative Names) certificaten leveren voor Exchange Server 2007/2010 en OCS 2007. Deze certificaten worden ook wel Unified Communications certificaten genoemd. Deze CA’s zijn:
Er zijn wel meer leveranciers die UC certificaten leveren, maar deze staan op het lijstje van Microsoft.
Als je een certificaat wilt aanvragen ga je als volgt te werk:
- Zorg eerst dat je goed weet welke domein namen je gaat gebruiken, dit wordt de ‘namespace’ genoemd. In dit voorbeeld worden de domeinnaam ‘Exchange14.nl’ gebruikt waarbij de volgende servernamen worden gebruikt:
- www.exchange14.nl voor OWA, Outlook Anywhere en ExchangeSync;
- autodiscover.exchange14.nl voor autodiscover doeleinden;
- legacy.exchange14.nl voor Exchange 2003/2007/2010 migratie scenario’s; - Login op de Exchange 2007 Client Access Server en maak vervolgens een certificate request aan. In Exchange Server 2007 moet dit in de Exchange Management Shell gebeuren, gebruik daarvoor het volgende commando:
New-ExchangeCertificate –FriendlyName ‘Exchange Certificaat’ –GenerateRequest –Path C:\CertReq.txt –SubjectName “C=NL,O=Bedrijf,L=Woonplaats,OU=Afdeling,CN=www.exchange14.nl” –DomainName www.exchange14.nl, autodiscover.exchange14.nl, legacy.exchange14.nl –PrivateKeyExportable:$TRUE
Let op: de waarde die je invult worden ook gecontroleerd tegen de zogenaamde WHOIS records. Als dit niet matched gaat iemand van de CA jou bellen om een verklaring. Indien nodig zal je een ‘Domain Authorization Letter’ moeten tekenen waarin je verklaart dat je echt de eigenaar van het betreffende domein bent.
- Nu staat in de root van C:\ een klein text bestand genaamd CertReq.txt die je naar je Certificate Authority moet sturen. Je kan ook je eigen (Windows) Certificate Authority gebruiken als je Certificate Services hebt draaien in je eigen omgeving. Deze certificaten worden vertrouwd door alle domain members zoals workstations of laptops, maar non domain members (denk aan Windows Mobile) vertrouwen dit niet. Het certificaat moet dus eerst in de ‘Certificate Store’ van de computer of Windows Mobile device geplaatst worden. In dit voorbeeld ga ik verder met DigiCert als Certificate Authority.
- Login op de site van Digicert, ga naar ‘Buy Certificates’ en selecteer SAN/UC. Selecteer vervolgens “Digicert Unified Communications” en regel de betaling. In het Order Formulier plak je vervolgens de inhoud van het bestand c:\certreq.txt:
Vervolg de wizard, controleer de domeinnamen en de bedrijfsgegevens.
- Als alles goed is gegaan wordt er nu vanuit de CA een approval mail gestuurd naar de DNS Admin zoals in de WHOIS records is opgenomen. Na goedkeuring door de DNS Admin wordt het certificaat gegenereert en wordt het opgestuurd. Dit bestandje moet je opslaan en verwerken op dezelfde computer als waar je het request hebt gemaakt. Dit is immers de computer waar de ‘private key’ van het nieuwe certificaat op staat. Sla het bestand op bijvoorbeeld als C:\NewCert.cer
- Open vervolgens de Exchange Management Shell en voer het volgende commando in:
Import-ExchangeCertificate –Path C:\CertNew.cer
Er wordt nu een “thumbprint” van het certificaat getoond. Kopieer deze thumbprint naar het clipboard, dit is nodig in de volgende stap.
- Vervolgens moet de services welke op de server draaien nog enabled worden om dit certificaat te gebruiken. Ga terug naar het Exchange Management Shell window en voer het volgende commando in:
Enable-ExchangeCertificate –Thumbprint xxxx
–Services POP,IMAP,IIS,SMTP,UM
Uiteraard kan je de laatste services aanpassen aan hetgeen je zelf in gebruik hebt.
- Het certificaat is nu klaar en geactiveerd op je Exchange 2007 Client Access Server.
Tip: maak direct een export van het certificaat en bewaar dit op een veilige plaats. Mocht er wat gebeuren dan kan je vrij snel deze backup weer importeren. Exporteer met het volgende commando vanuit een Exchange Management Shell window:
Export-Certificate –Thumprint xxxx -BinaryEncoded:$true -Path c:\certificates\export.pfx
-Password:(Get-Credential).password
Het certificaat werkt nu prima voor Outlook Web Access en Outlook Anywhere, alleen Windows Mobile devices willen nog wel eens niet werken omdat deze devices gevoeliger zijn voor de gehele ‘certificate chain’. Bij voorgaande stappen moeten het Intermediate en het Root Certificate van Digicert op de Client Access Server geinstalleerd worden.
Voor de UC certificaten van Digicert vind je het intermediate en root certificate hier:
Via http://www.digicert.com/help kun je je certificate chain volledig laten controleren (extern), als het niet goed is zie je dit:
Is het wel goed dan is het een kwestie van IISRESET (of nog beter een keertje rebooten) en alles is up and running.
BlackBerry devices gaan niet zomaar werken met Exchange Server 2010. RIM is aan het werk samen met Microsoft om op korte termijn dit op te lossen, de verwachting is dat Blackberry in combinatie met Exchange 2010 gaat werken 30 dagen na 'general availability' van Exchange Server 2010. Dat zou dan 30 dagen na TechEd in Berlijn moeten zijn, dus medio december.
Meer info: http://na.blackberry.com/eng/support/software/server_compatibility.jsp#tab_tab_news