Upgrading to Exchange 2007 – Checklists Part 2

Installation af 2 x CAS/HUB i et NLB setup:

CAS/HUB Serverne, er de første servere jeg introducerer i den eksisterende Exchange 2003 org.
Exchange 2003 og exchange 2007 vil sameksistere i en kort periode.
2003/2007 mailbox brugerne skal skrive https://webmail.company.com/exchange , så længe man sameksistere med exchange 2003.
Når alle brugere er flyttet over til exchange 2007 skal man skrive “https://webmail.company.com/owa”
Det er vigtigt at sikre sig, at der ikke ligger enabled SSL certifikater på 2003 mailbox serverne (backend).

Installer først 2 x Windows Server 2008 Std. x64 + fuld windows update + domain members.
Opret herefter CAS_HUB.cmd som indeholder følgende kommandoer:

REM CAS_HUB.cmd – Prerequisites for CAS/HUB Roles
ServerManagerCmd -i PowerShell
serverManagerCMD -i NLB
ServerManagerCmd -i Web-Server
ServerManagerCmd -i Web-ISAPI-Ext
ServerManagerCmd -i Web-Metabase
ServerManagerCmd -i Web-Lgcy-Mgmt-Console
ServerManagerCmd -i Web-Basic-Auth
ServerManagerCmd -i Web-Digest-Auth
ServerManagerCmd -i Web-Windows-Auth
ServerManagerCmd -i Web-Dyn-Compression
REM If the server will support Outlook Anywhere clients, install the RPC over HTTP proxy feature
ServerManagerCmd -i RPC-over-HTTP-proxy

Kør CAS_HUB.cmd.
Start herefter Exchange Server 2007 SP1 installationen og vælg “Custom Exchange Server Installation”
Vælg kun CAS og HUB rollen, som vist på nedenstående billede. Angiv Path væk fra OS partition (ex. D:Program FilesMicrosoftExchange Server).

Vælg herefter eksisterede “Routing Group Master” fra exchange 2003 org.

Afslut installationen og genstart serveren
Installer herefter seneste “Update Rollup”
Exchange update Rollup

Opret en DNS A record for NLB cluster IP adressen. I mit test-miljø hedder den webmail.win.local – 192.168.35.250.
Ip-adresserne for mine CAS/HUB server ser således ud:

WIN-HUB-001 – 2 Nic interfaces:
LAN = 192.168.35.6
NLB = 192.168.35.248

WIN-HUB-002 – 2 Nic interfaces:
LAN = 192.168.35.7
NLB = 192.168.35.249

Nu er det blevet tid til at lave den egentlige opsætning af CAS/HUB i et NLB cluster. Jeg refererer her til nedenstående artikler fra Henrik Walther.
high-availability-recovery/load-balancing-exchange-2007-client-access-servers-windows-network-technology-part1.html
Load Balancing Exchange 2007 Client Access Servers using Windows Network Load-Balancing Technology – Part 2: Configuring the Windows NLB Cluster
Load Balancing Exchange 2007 Client Access Servers using Windows Network Load-Balancing Technology – Part 3: Creating Certificates and Testing Client Services

Nedenstående billede viser min port konfiguration i NLB clusteret:

For mere info til port konfiguration, se nedenstående link (bemærk at jeg har enabled port 25, som nu er supporteret med SP1 til Exchange 2007).
Exchange Server 2007 Hub Transport (HT) and Client Access Service (CAS) on the Same NLB Cluster

Jeg prøvede herefter at teste NLB clusteret, ved at lave failover for henholdsvis WIN-HUB-001/002. Jeg var rimelig sikker på, at jeg havde sat det korrekt op.
Så det var totalt nedslående, at konstatere det ikke virkede. Well its google time og den ledte mig til nedenstående løsning, som gælder for fysiskse og virtuelle server i et 2008 NLB cluster.
http://telnetport25.wordpress.com/2008/04/17/off-topic-when-windows-nlb-wont-nlb-quick-tip/#comment-864

Løsningen var altså at sætte “Locally Administered Address” til “Not Present”, som vist på nedenstående billede:

Det sidste jeg nu mangler, er at oprette et SAN certifikat, som er trustet af klienter internt og eksternt.
Jeg bruger i dette tilfælde min interne windows 2008 CA server til at generere mit ønskede SAN cert.
Intern exchange web access = webmail.win.local
Ekstern exchange web access = webmail.jravn.dk

Oprettelse af SAN certifikatet sker på følgende måde:
Start “Exchange Management Shell” og kør nedenstående kommando på WIN-HUB-001.

New-ExchangeCertificate –GenerateRequest –SubjectName “C=dk, O=jravn, CN=webmail.jravn.dk” –DomainName webmail.jravn.dk, autodiscover.jravn.dk,
win-hub-001.jravn.dk, win-hub-002.jravn.dk, webmail.win.local, autodiscover.win.local, win-hub-001.win.local, win-hub-002.win.local
–FriendlyName “CAS SAN Certificate” –KeySize 1024 –Path c:MasterCertCAS_SAN_cert.req –PrivateKeyExportable:$true

Udsted og download ovenstående certifikat request fra den interne CA server (Base 64 encoded). Resultatet ses på nedenstående billede.

Næste skridt er så at importere og enable SAN certifikatet på WIN-HUB-001. Det gøres med disse kommandoer.

Import-ExchangeCertificate –Path c:mastercertcertnew.cer
Enable-ExchangeCertificate –Thumbprint C16677874E21BC592EE511D1C29C444375B21EE3 -Services “IIS, POP, IMAP”

Eksporter SAN certifikatet ud i pfx format og kopier det over til WIN-HUB-002.
Importer Certifikatet på WIN-HUB-002 med private key og enable det som følger:

Import-ExchangeCertificate –Path C:MasterCertCAS_SAN_Cert.pfx –Password:(Get-Credential).password
Enable-ExchangeCertificate –Thumbprint C16677874E21BC592EE511D1C29C444375B21EE3 -Services “IIS, POP, IMAP”

Afslut CAS/HUB installationen med failover af de enkelte noder i NLB clusteret og sikre at der ikke kommer nogle certifikat “security warnings” når man tilgår OWA.
Autodiscover + Outlook Anywhere, samt Exchange ActiveSync venter jeg med at teste indtil jeg har fået CCR mailbox serverne i luften.

Husk i forbindelse med adgang udefra, at oprette følgende public DNS A records:
webmail.jravn.dk
autodiscover.jravn.dk

Upgrading to Exchange 2007 – Checklists Part 1
http://jravn.dk/?p=74

Comments are closed.