Häufig erreichen mich Fragen wie diese hier (aus ein paar gesammelten Mails):
Ich habe keine feste IP Adresse, möchte aber einen eignen Exchange Server betreiben, geht das?
Ich möchte zuhause eine Exchange Testumgebung aufbauen, wie machst du das?
Ich habe einen ganz kleinen Kunden der Exchange einsetzen möchte, was brauche ich dazu?
Da diese Fragen relativ häufig in meinem Postfach landen, möchte ich an dieser Stelle mal wieder einen kleinen Einblick hinter meine eigene kleine Exchange Organisation gewähren. Hier gab es diesen Blick hinter die Kulissen schon einmal, allerdings war des „damals“ noch Exchange Server 2010. Hier also die aktuelle Umgebung, die sich auch für die eigene Testumgebung, Mini Exchange Organisation oder einfach nur zum Spielen eignet.
Update: Während ich diesen Artikel verfasst habe, ist mir in den Sinn gekommen, das ich hier auch den kompletten Aufbau zum Nachbau dokumentieren könnte. Es werden also ein paar Beiträge mit einer meiner Testdomains folgen. Wo Schritt für Schritt die nachstehende Umgebung aufgebaut wird.
Die Umgebung / Testumgebung
Meine Domain wird nach wie vor von Strato gehostet, bisher kann ich absolut nichts schlechtes berichten, ich hatte bisher nur wenig Notwendigkeit den Support zu kontaktieren, aber der war durchweg schnell und kompetent. Von daher: Daumen hoch!
Großer Vorteil von Strato: Es lassen sich Subdomains anlegen, die sich dynamisch aktualisieren lassen, dazu später mehr.
Internetzugang erfolgt über eine VDSL-Leitung (100/50Mbit), die Einwahl übernimmt dabei eine Fritzbox.Die Fritzbox wiederrum leitet Port 80 (HTTP) und Port 443 (HTTPS) an die virtuelle Firewall weiter.
Die virtuelle Firewall (Sophos UTM) ist auf einem ESXi Server beheimatet. Der schluckt dank dem aktuellen Core-i7 und SSDs angenehm wenig Strom (~30 Watt unter Normallast). Mit 32 GB DDR4 RAM ist er auch ausreichend schnell. Für meine Exchange Organisation laufen auf dem ESXi 3 VMs: Domain Controller, Exchange Server und POP3 Connector VM.
Netzwerk
Da mein ESX Server nur 2 Netzwerkkarten hat, habe ich diverse VLANs konfiguriert, VLAN 9 dient als Transfer Netz zwischen Fritzbox und Sophos UTM. DC und Exchange Server befinden sich im VLAN 10, welches sich hinter der Sophos UTM befindet. VLAN 11 ist die DMZ. In der DMZ befindet sich ein Windows Server, der die Mails via POP3 von Strato aus der Catchall Mailbox abholt und via SMTP an die UTM schickt (enin, nicht direkt an den Exchange). VLAN 20 ist für die Clients vorgesehen. Default Gateway ist für alle LANs die Sophos UTM. Es gibt noch weitere VLANs, aber die sind aus Exchange Sicht nicht relevant.
Mailfluss (Eingehend)
Die POP3 Connector VM holt sich die Mails aus dem Strato Catchall Postfach via POP3 ab und leitet die via SMTP an die Sophos UTM weiter. Die UTM wiederrum leitet die Mail via SMTP an den Exchange Server weiter. Man könnte natürlich auch die Mail direkt vom POP3 Connector aus an den Exchange Server weiterleiten, ich habe mich allerdings dagegen entschieden. Die UTM hat einen recht guten SPAM Filter in der E-Mail Protection, der SPAM Filter arbeitet allerdings am liebsten mit dem SMTP Protokoll, zwar kann die UTM auch als POP Proxy fungieren und somit Viren ausfiltern, allerdings muss man dann ein paar Einschnitte in Kauf nehmen. Da ich recht viel teste und rumspiele, kann ich in dieser Konfiguration mittels SMTP-Profilen einzelne Domains auf andere Exchange Server umleiten, etwa wenn ich eine neue Testumgebung installiere.Zudem funktioniert so auch die SPAM Quarantäne.
Mailfluss (Ausgehend)
Ausgehend sendet Exchange die Mails zunächst an die UTM, die hat wiederum den Strato SMTP Server als Smarthost konfiguriert, zwar könnte Exchange auch direkt an den Strato SMTP Server senden, allerdings bleibt in dieser Konfiguration dank der SMTP Profile der UTM wieder viel Freiheit für Testszenarien usw.
Active Directory / DNS / Exchange
Das Active Directory hört auf den Namen frankysweb.de, ich wollte es an dieser Stelle möglichst einfach halten, so brauche ich nicht mit alternativen Suffixen arbeiten. Da es sich bei mir ja nur um eine winzige Umgebung handelt, habe ich so auf einfachste Weise die E-Mail Adresse zum Benutzernamen gemacht. So ergibt sich auch das DNS-Split Brain:
Bei Strato sind zwei Subdomains angelegt, die von der UTM mit der dynamischen IP meines Internetanschlusses aktualisiert wird. Auf meinem internen DNS Sever verweisen die Einträge Outlook und Autodiscover auf die IP Adresse des Exchange Servers.
Die Exchange Verzeichnisse (intern sowie extern mit Ausnahme von Autodisover) sind alle mit dem Namen outlook.frankysweb.de konfiguriert, somit lassen sich offizielle Zertifikate verwenden und es taucht nirgendwo eine Zertifikatswarnung auf.
Veröffentlichung Exchange Dienste
Die Exchange Dienste (Outlook Anywhere, OWA bzw Outlook on the Web, Autodiscover, EWS usw.) werden ebenfalls über die Sophos UTM veröffentlicht. Hierzu nutze ich die Webserver Protection der UTM.
Die Fritzbox leitet Port 80 (HTTP) und Port 443 (HTTPs) an die Sophos UTM weiter. Die Webserver Protection der UTM führt dann eine HTTP zu HTTPs Umleitung durch, falls Verbindungen unverschlüsselt ankommen.
Zusammenfassung
Als Testumgebung, Spielereien oder die eigene kleine Umgebung eignet sicher dieser Aufbau. Ob man eine Single-Server Lösung als Unternehmen betreiben will, muss jeder selbst entscheiden. Ich habe keine großen Verfügbarkeitsanforderungen. Wenn mein ESX Server abbrennt, finde ich das ärgerlich, aber ich kann mein Backup schnell wieder auf meiner Workstation als Hyper-V VM zurückspielen, bis ich einen neuen ESX Server habe :-)
Ein HowTo zum Nachbau folgt noch.