Trong nhiều tổ chức, Microsoft Exchange Server cung cấp chức năng kinh doanh quan trọng cho cả người dùng nội bộ và bên ngoài. Ngoài ra, trong nhiều tổ chức, ít nhất một số Exchange server của họ tương tác qua Internet.
Vì những lý do này, điều quan trọng là bạn phải thực hiện các hành động thích hợp để bảo đảm việc triển khai Exchange Server. Có một số thành phần để bảo mật việc triển khai Exchange Server của bạn, chủ yếu là cấu hình các quyền quản trị phù hợp và bảo mật cấu hình Exchange Server.
Module này hướng dẫn cách định cấu hình quyền và bảo mật Microsoft Exchange Server. Sau khi triển khai Exchange Server, bạn phải đảm bảo rằng nó chạy liên tục và hiệu quả bằng cách duy trì môi trường ổn định.
Lài lab sử dụng 3 máy DC1, EX1 và EX2
Exercise 1: Cấu hình Exchange Server permissions
Task 1: Cấu hình Exchange server permissions cho ITAdmins group
- Tại EX1, vào Server Manager, chọn Tools, và chọn Active Directory Users and Computers.
- Chọn Adatum.com, chọn Microsoft Exchange Security Groups, và phải chuột vào Server Management chọn Properties
3. Cửa sổ Server Management Properties, chọn tab Members, và click Add
4. Trong phần Enter the object names to select nhập vào AWIT, ấn OK 2 lần.
5. Đóng Active Directory Users and Computers
Task 2: Cấu hình permissions cho SupportDesk và HRAdmins groups
- Tại EX1, vào Exchange Management Shell.
- Tại Exchange Management Shell thực hiện lệnh sau:
New-RoleGroup -Name HRAdmins -Roles “Mail Recipients”
3. Thực hiện tiếp lệnh sau:
New-RoleGroup -Name SupportDesk -roles “Mail Recipients”, “Mail Recipient Creation”, “Distribution Groups”
4. Vào Internet Explorer truy cập vào https://mail.adatum.com/ecp, đang nhập bằng Adatum\Administrator
5. Time zone chọn (UTC-08:00) Pacific Time (US & Canada) ấn Save.
6. Tại Exchange Admin Center, chọn permissions, chọn tab admin roles, double-click vào group SupportDesk
7. Cửa sổ Role Group, Trong phần Members, ấn Add
8. Cửa sồ Select Members, chọn Perry Brill, ấn add, và ấn OK
9. Cửa sổ Role Group, ấn Save
10 Tiếp tục, double-click HRAdmins
11. Cửa sổ Role Group, trong phần Members, ấn Add (+)
12. Cửa sổ Select Member, chọn Amy Santiago, ấn add, ấn OK
13. Cửa sổ Role Group ấn Save.
14. Đóng Internet Explorer.
Task 3: Kiểm tra permissions của các role groups vừa tạo
- Tại EX1, vào Internet Explorer truy cập https://mail.adatum.com/ecp, với user Adatum\Elvis
- Tại EAC chọn servers, chọn tab databases, ấn New (+)
3. Cửa sổ new database, Trong phần Mailbox database nhập vào Research, Ấn Browse.
4. Chọn EX1, ấn OK.
5. Ấn Save. Nếu yêu cầu restart lại information store, ấn OK
6. Vì Elvis là thành viên của AWIT group, có thể thay đổi server properties nhưng không thể thay các giá trị khác.
7. Đóng Internet Explorer
8. Vào Internet Explorer, truy cập vào https://mail.adatum.com/ecp, với user Adatum\Perry (SupportDesk). Quan sát bên trái không có servers. Vì Perry không có quyền quản lý servers.
9. Tại EAC, chọn recipients, tại tab Mailbox chọn new, và chọn User mailbox
10. Cửa sổ new user mailbox, trong phần Existing User ấn Browse, double-click Allan Yoo (nếu chưa có vào DSA.MSC tạo trước). ấn Save. Chứng tỏ Perry có thể tạo mailboxes mới.
11. Chọn tab groups. Chọn new (+), và chọn Distribution group.
12. Cửa sổ New distribution group, trong phần Display name và Alias nhập vào Research. Trong phần Owners, click Add (+), và chọn Alan Yoo, ấn add, click OK, và click Save.
13. Double-click Research vừa tạo.
14. Kiểm tra xem bạn có thể thay đổi group properties không? bằng cách gõ nội dung vào phần Notes ấn save. (Điều này chứng tỏ Perry có thể tạo và thay đổi distribution groups)
15. Đóng Internet Explorer.
16. Vào Internet Explorer, truy cập vào https://mail.adatum.com/ecp, bằnbg user Adatum\Amy
17. Tại EAC, chọn recipients, tại tab mailboxs double-click vào Allan Yoo.
18. Cửa sổ Edit User Mailbox, chọn organization, trong phần Department nhập vào Customer Service và ấn Save
19. Quan sát không thấy tab groups, vì Amy không có quyền quản lý group.
20. Đóng Internet Explorer
Exercise 2: Cấu hình audit logging
Task 1: Cấu hình audit logging cho [email protected] mailbox
- Tại EX1, vào Start, chọn Microsoft Exchange Server 2016/2019 và chọn Exchange Management Shell.
- Tại Exchange Management Shell thực hiện lệnh sau:
New-Mailbox –Name Info –SamAccountName Info –Shared
3. Thực hiện tiếp lệnh:
Set-Mailbox -Identity Info -AuditDelegate SendAs,SendOnBehalf -AuditEnabled $true
4. Thực hiện lệnh:
Get-Mailbox Info | Add-ADPermission –User “Allan Yoo” –ExtendedRights “Send As”
5. Thu nhỏ cửa sổ Exchange Management Shell
Task 2: Thực hiện SendAs trên mailbox [email protected]
- Trên LON-EX1, vào Internet Explorer, vào https://mail.adatum.com/owa, đăng nhập vào bằng Adatum\Allan.
2. Chọn new để tạo mail mới, click More, và chọn Show From
3. Tạo dòng From phải chuột vào Allan@adatum click Remove, và nhập vào [email protected], dòng To nhập vào Allan Yoo. Trong phần Subject nhập vào “Testing Send As logging”.
4. Trong phần body, nhập nội dung sau đó click Send. Kiểm tra mail đã gửi đi.
5. Đóng Internet Explorer.
Task 3: Kiểm tra hành động đăng nhập
- Tại EX1, vào Internet Explorer, vào https://mail.adatum.com/ecp, đăng nhập user Adatum\Administrator
- Tại Exchange Admin Center, chọn compliance management, chọn tab auditing
- Chọn Run a non-owner mailbox access report
4. Tại Search for access by chọn All non-owners, và click Search
5. Cửa sổ search results, chọn Info, report cho thấy Allan Yoo đã truy cập vào Info mailbox (Nếu không thấy kết quả, chờ vài phút thực hiện lại bước 3)
6. Ấn close,
7. và đóng Internet Explorer
Exercise 3: Maintaining Exchange Server 2016
Task 1: Enable maintenance mode
- Tại EX1, vào Exchange Management Shell
- Tại Exchange Management Shell thực hiện lệnh
Set-ServerComponentState EX1 –Component HubTransport –State Draining –Requester Maintenance
3. Restart lại transport services bằng cách thực thi 2 lệnh sau:
Restart-Service MSExchangeTransport
Restart-Service MSExchangeFrontEndTransport
Chú ý: Nếu bị lỗi khi thực thi lệnh, thực hiện lại lệnh cho đến khi hết lỗi.
4. Chuyển hướng tất cả thư đang chờ xử lý đến EX2 bằng cách thực hiện lệnh sau. Nếu yêu cầu xác nhận, ấn Y
Redirect-Message –Server EX1 –Target EX2.adatum.com
5. Thực hiện lệnh sau để kiểm tra rằng tất cả các hàng đợi đã rỗng trước khi thực hiện bước tiếp theo
Get-Queue
Chú ý: Nếu hàng đợi chưa rỗng chờ vài phút thực hiện lại bước 5.
6. Đặt EX1 vào chế độ maintenance mode bằng cách thực hiện lệnh sau:
Set-ServerComponentState EX1 -Component ServerWideOffline –State Inactive –Requester Maintenance
7. Kiểm tra lại maintenance mode đã được enabled chưa bằng cách thực hiện lệnh sau:
Get-ServerComponentState EX1 | ft Component,State -AutoSize
Task 2: Disable maintenance mode
- Tại EX1, vào Exchange Management Shell.
- Thoát EX1 khỏi maintenance mode thực hiện lệnh sau:
Set-ServerComponentState EX1 –Component ServerWideOffline –State Active –Requester Maintenance
3. Đưa HubTransport trở lại làm việc trên EX1 bằng lệnh:
Set-ServerComponentState EX1 –Component HubTransport –State Active –Requester Maintenance
4. Khởi động lại services bằng lệnh:
Restart-Service MSExchangeTransport
Restart-Service MSExchangeFrontEndTransport
5. Kiểm tra maintenance mode đã disable chưa bằng lệnh
Get-ServerComponentState EX1 | ft Component,State -AutoSize
Hoàn tất bài lab