Wie ja hier bereits angekündigt, gibt es hier auch die detaillierte Konfiguration zu meiner Exchange 2016 Organisation. Ziel ist es diese Umgebung aufzubauen:
Hierfür benutze ich eine meiner Testdomains (frankysweb.org), die von Strato gehostet wird. Ich fange auf der grünen Wiese an, lediglich folgende Dinge sind bereits vorbereitet:
- 2 x Windows Server 2012 R2 als VM mit allen Windows Updates
- 1 x Fritzbox mit konfigurierten Internetzugang und dynamischer IP vom Provider
- 1 x Sophos UTM als VM (WAN Port der UTM an LAN Port der Fritzbox, LAN Port der UTM im gleichen Netz wie die beiden Windows Server
- gehostete Domain bei Strato (frankysweb.com)
Die beiden Windows Server sind bereits mit statischen IPs konfiguriert und wurden mit Windows Updates versorgt, hier die Namen und die IPs:
- DC 172.16.100.12/24
- Exchange: 172.16.100.13/24
Die UTM Sophos UTM (Basiskonfiguration) hört auf die folgenden IPs:
- WAN: 192.168.10.105/24
- LAN: 172.16.100.254/24
Die Fritzbox ist mit folgenden IPs konfiguriert:
- WAN: dynamisch vom Provider
- LAN: 192.168.10.1
Im ersten Teil dieser Artikelserie geht es um die Einrichtung des Active Directorys und der Konfiguration.
Installation Active Directory
Der Server mit dem sprechenden Namen DC wird Domain Controller für das Active Directory frankysweb.org. Das AD heißt also genauso wie die Domain bei Strato. Es funktioniert natürlich auch jeder andere Name, aber diese Konfiguration ist in kleinen Umgebungen schön einfach.
Hier noch einmal die IP Einstellungen des Servers DC:
Statische IP wie eingangs schon erwähnt, DNS zeigt auf die UTM.
Um ein neues Active Directory zu erstellen, muss zuerst die Serverrolle installiert werden, also Servermanager starten und Rolle mit den vorgeschlagenen Komponenten installieren
Nachdem die Rolle installiert wurde, kann der Server zum Domain Controller hochgestuft werden
Im ersten Dialog wird eine neue Gesamtstruktur mit dem Namen frankysweb.org erzeugt.
Im darauffolgenden Dialog, muss nur das Passwort für den Wiederherstellungsmodus vergeben werden, die anderen Einstellungen werden so belassen
Die Warnung im nächsten Dialog ist normal und bedeutet das beim authorativen DNS Server (in diesem Fall Strato) keine Delegierung für den Server DC eingerichtet werden kann, das wollen wir auch nicht tun, den wir verwenden DNS Split Brain, dazu später mehr.
Der Netbios Name mit nächsten Dialog, kann ebenfalls belassen werden. In meinem Fall ist es „FRANKYSWEB“
Die Pfade können ebenfalls übernommen werden, ich würde die Pfade auch nicht anpassen, denn mir fallen auf Anhieb ein paar Programme ein, die anderen Pfaden ein Problem haben,
Jetzt wird noch eine Zusammenfassung der Einstellungen angezeigt
Nachdem die Voraussetzungsüberprüfung abgeschlossen ist, kann installiert werden. Die Warnungen sind auch in diesem Fall wieder normal, wie oben schon erwähnt.
Der Server wird automatisch nach der Installation neugestartet, nachdem der Neustart erfolgt ist, kann die Konfiguration erfolgen.
Konfiguration DNS
Die Konfiguration des DNS Servers ist nicht weiter schwierig und schnell gemacht. Es gibt lediglich ein paar Dinge zu beachten. Für die Domain frankysweb.org gibt es nun 2 DNS Server, einen öffentlichen DNS Server bei Strato und einen internen DNS Server den wir eben mit der AD-Rolle installiert haben. Wenn ein interner Client, beispielweise ein PC, nun versucht www.frankysweb.org aufzurufen, wird der DC mit Non-Existent antworten.
Der interne DNS (DC) kennt eben keinen Host mit dem Namen www, also muss er entsprechend angelegt werden. Damit intern auf www.frankysweb.org zugegriffen werden kann, muss also ein HOST-A Eintrag mit dem Namen www. erstellt werden. Als IP Adresse wird die öffentliche IP des Webservers bei Strato eingegeben:
Jetzt sieht die DNS Konsole in etwa so aus:
Und auch die Namensauflösung von externen Hosts funktioniert:
Als es also noch weitere öffentliche Hosts geben soll, die intern erreichbar sein sollen (blog.frankysweb.org oder shop.frankysweb.org) müssen diese Hosts auch am internen DNS Server eingetragen werden. Am öffentlichen Strato DNS, müssen wir natürlich nicht unseren DC bekannt machen, geht ja keinen was an, wer Domain Controller ist :-)
Als nächstes muss die Reverse Lookup Zone angelegt werden, damit auch später die Rückwärtsauflösung funktioniert:
Zonentyp: Primäre Zone
Zonenreplikationsbereich kann so belassen werden
IPv4 ist auch schön
Netzwerk-ID ist das entsprechende Subnetz, also in meinen Fall 172.16.100
Und wir erlauben nur sichere Updates
Schon fertig. Jetzt können die PTR Records erstellt werden, also in der Forward Lookup Zone einen Doppelklick auf den DC ausführen und das Häkchen bei „Entsprechenden Zeigereintrag (PTR) aktualisieren“ setzen
Bei dem Host www ist das nicht erforderlich, denn wir haben und brauchen auch keine Reverse Lookup Zone dafür.
Jetzt kann auch direkt noch ein Host Eintrag für die UTM angelegt werden:
Fertig. Weiter geht es mit dem Actove Directory
Konfiguration Active Directory
In der Konsole „Active Directory Standorte und Dienste“ legen wir jetzt ein neues Subnetz an
Als Präfix wird das Subnetz angegeben und dem Standort (Default-First-Site-Name) zugeordnet:
Das war schon alles. Jetzt kann man sich eine schöne OU-Struktur überlegen, hier muss jeder selbst überlegen, wie er Benutzer, Gruppen und Computer am besten verwalten kann. Ich habe für meine Testumgebung 4 Organisationseinheiten angelegt:
Benutzer, Gruppen, Server und PCs. In der OU Benutzer habe ich ein paar Benutzer angelegt, hier ein Beispiel:
Sieht schon verdächtig wie eine schöne E-Mail Adresse aus, oder? :-) Auch eine Gruppe habe ich schon einmal erzeugt und meinen Benutzer hinzugefügt:
Das war schon alles.
Zusammenfassung
An dieser Stelle haben wir ein Active Directory, welches sich für die Installation einer Exchange Server Organisation eignet. Ein Testbenutzer und eine Gruppe ist ebenfalls schon angelegt. Wichtig ist das Thema DNS-Split Brain, externe Server müssen auch am internen DNS angelegt werden, damit sie aus dem internen Netz erreichbar, bzw. auflösbar sind (siehe Beispiel www). In kleinen Umgebungen, finde ich es völlig in Ordnung so zu verfahren, da sich meistens nur wenige Änderungen ergeben und es nur eine Handvoll entsprechender Einträge gibt. Für größere Umgebungen, gibt es andere Konzepte (schon wieder ein Thema für entsprechende Beiträge) :-) Falls etwas unklar ist, bitte in die Kommentare.