In the previous articlesA very small Exchange organization was set up and the question arose as to whether an environment for a higher number of users and better availability could be subsequently created. A higher number of users can of course also be mapped with a Singe Server solution if the resources are sufficient. In the event of a defect, the failure would of course affect all users or at least a large proportion of them.
To briefly repeat the question once again:
I would like to rebuild the environment like this, at the moment we are only a small company with a relatively limited budget for IT, we have so far managed with a NAS as a "server", but we are slowly reaching its limits and want to buy a corresponding server. However, as we are also growing rapidly and may buy another company, I wonder whether it is possible to expand this example configuration even further in terms of availability and a higher number of users?
The answer to this question is: Yes, it is possible. The following articles show how.
The following articles refer to the previous articles on setting up a small Exchange 2016 organization. Therefore, please read these articles first:
- Part 1: Installation Active Directory and configuration DNS
- Part 2: Installation Exchange Server 2016 CU 2
- Part 3: Exchange Server configuration incl. certificate
- Part 4: Configuration Sophos UTM 9.4 and Exchange Server for receiving / sending e-mail
- Part 5: Configuration Exchange Webservices, Sophos UTM, Fritzbox
Foreword
Availability is always an issue. Every company defines the availability requirements differently, which is only logical and also correct, because in every company there are services that are important, because they may be critical to production, and services that are less important. The category in which the company classifies its Exchange Server therefore depends on the company.
However, there is a lot to consider in a highly available Exchange environment, as many different components are involved: Network infrastructure (Internet connection, routers, switches, firewalls, antiSPAM gateways), server hardware, Active Directory, DNS and finally the Exchange servers themselves.
Ich kann an dieser Stelle leider nicht die „All-In-One“-Komplettlösung liefern, denn dazu fehlt mir die nötige Hardware. Daher werden die folgenden Artikel weniger die Netzwerkinfrastruktur behandeln, aber es wird sicherlich der ein oder andere Hinweis fallen.
The surroundings
The small Exchange environment basically looks like this:
There is one physical server (Server1), this server is home to 3 virtual machines: Sophos UTM as firewall / antiSPAM gateway, domain controller and Exchange server. Internet access is via a Fritzbox.
Server1 is a normal server with local storage, whether Hyper-V, VMware ESXi or whatever is used as a hypervisor is irrelevant, because if Server1 fails, it goes dark.
For this reason, the small Exchange organization is expanded somewhat to be able to absorb a server failure:
Dazu werden zwei weitere Server benötigt. Server2 wird ebenfalls 3 VMs beheimaten, genau wie Server1 auch eine UTM, ein Domain Controller und einen Exchange Server. Server2 sollte also mindestens die gleiche Hardware Ausstattung haben wie Server1. Server3 muss nicht zwingend ein HyperVisor sein, daher ist er auch „kleiner“ gezeichnet. Für Server3 reicht ein Windows Server mit FileServer Rolle um später das Witness für Exchange bereitzustellen. In den folgenden Artikel gehe ich darauf noch detaillierter ein.
Preparations
In preparation, I created two virtual Windows 2012 R2 servers on Server2 and added them to the existing Active Directory.
The names of the VMs are as follows:
- dc2.frankysweb.org
- exchange2.frankysweb.org
The VM for the UTM will be added later. Only the Windows updates were installed on the Windows servers and added to the domain.
The virtual resources are the same as the VMs on Server1.
Configuration of second domain controller on Server2
Herzstück der kleinen Exchange Organisation ist das Active Directory. Es empfiehlt sich immer mindestens zwei Domain Controller pro Domain zu installieren, denn im Falle eines Ausfalls eines Domain Controllers steht sonst schnell die komplette Umgebung. Glücklicherweise ist es recht einfach das Active Directory redundant auszulegen. Es genügt im Prinzip einen weiteren Domain Controller hinzuzufügen. Im Falle der kleinen Exchange Organisation wurde also ein weiterer Server mit dem Namen „DC2“ installiert. DC2 verfügt über folgende Netzwerkkonfiguration:
Der Server mit dem Namen „DC2“ ist bisher nur Mitglied im Active Directory. Außer des Betriebssystems und der Windows Updates ist bisher nichts installiert.
To turn the server into a domain controller, the roles must first be installed:
After installation, the server can be upgraded to a DC. DC2 is installed as an additional domain controller in the existing Active Directory:
Der neue Domain Controller wird ebenfalls DNS und Globaler Katalog, die restlichen Dialoge können mit „Weiter“ bestätigt werden:
The warnings in the prerequisite check are normal, as mentioned in the previous posts.
After the restart, there are still a few small configurations to be made. The network configuration is changed as follows:
This means that DNS records can also be resolved by this server if a DNS server fails. DC2 should now have already received the DNS zones through Active Directory replication:
Auch im Active Directory sollte es nun einen entsprechendes Computer Konto in der OU „Domain Controllers“ geben:
Alle weiteren Server und auch Clients (ggf. per DHCP) müssen nun den zusätzlichen DNS-Server konfiguriert bekommen. Hier als Beispiel der vorhandene Exchange Server mit dem Namen „Exchange“:
Important: Alle Clients und Server müssen neben dem bevorzugten DNS Server auch den alternativen DNS Server konfiguriert bekommen, welcher DNS Server als erstes genannt wird, spielt im Prinzip keine Rolle. Fällt der bevorzugte DNS Server aus, wird auf ein TimeOut gewartet und dann der alternative DNS Server verwendet. Im Falle des Ausfalls den bevorzugten DNS Servers kann es also zu Wartezeiten kommen, wichtig ist aber: Es funktioniert weiterhin. Ebenfalls könnte man die Clients/Server 50/50 konfigurieren: 50% der Clients/Server benutzen „DC“ als bevorzugten DNS, die anderen 50% benutzen „DC2“.
Exchange also finds the second DC and logs this with EventID 2080:
Configuration Sophos UTM
Damit auch die Sophos UTM in der Lage ist beide Domain Controller zu verwenden, muss zunächst eine „Availability Group“ angelegt werden. Zu dieser Gruppe werden dann beide Domain Controller hinzugefügt:
The new group is now used for the Authentication Services:
This means that the UTM is also able to tolerate the failure of a DC.
Summary
Making the Active Directory redundant is the easiest part. In principle, it is sufficient to configure an additional DC. It is important at this point that all clients and servers also have the second DC configured as a DNS server. In this way, the Active Directory can already intercept the failure of Server1.