Professional Documents
Culture Documents
O Comando abaixo pode ser utilizado para criao de uma caixa de correio para uma
sala:
Nesse exemplo um usurio precisar ter permisso para acessar essa caixa de correio
compartilhada, falaremos mais sobre permisso, porm podemos utilizar dois cenrios
bsicos:
Habilitar usurio lucas com permisso de controle total nessa caixa de correio:
Voc pode criar um Grupo de distribuio que utilizar algum filtro para adicionar
usurios automaticamente no grupo, chamado de Grupo de Distribuio Dinmica, o
processo de atualizao ser atualizado de hora a hora.
Utilize o comando abaixo para criar um novo grupo de Distribuio dinmica que
adicionar usurios com o critrio de uma especifica OU.
Uma caixa de correio desconectada ela mantida por padro durante 30 dias por
padro.
Os comandos abaixo podem ser utilizadas para gerenciamento de uma caixa de correio
desconectada:
Desabilitar uma Caixa de Correio:
Disable-Mailbox User01
Verificar quais Mailbox esto desconectadas no seu ambiente:
Get-MailboxDatabase | Get-MailboxStatistics | Where { $_.DisplayName -eq } | fl
DisplayName,Database,DisconnectReason
Conectar a uma Mailbox desconectada:
Connect-Mailbox -Identity User01 -DatabaseDB01 -User user01
Gerenciando permisses para destinatrios no Exchange Server 2013
Voc pode conceder permisso a usurios ou grupos (chamados de representastes) que
permitiro que eles possam enviar ou abrir um determinada caixa de correio no
Sender ID Agent:
O Agente Sender ID usado para combater a representao de um remetente ou
domnio, para uma prtica chamada de falsificao. Um e-mail falsificado pode possuir
um endereo de envio modificado para ser encaminhado para o remetente que no o
remetente real. O Servidor de Exchange analisa o e-mail consultando o servidor DNS e
verificar o registro SPF do remetente para verificar se o endereo IP que enviou a
mensagem est autorizado a enviar mensagens para o domnio especificado no
remetente, caso o servidor no esteja na lista de servidores que podem enviar mensagens
o servidor poder tomar 3 aes carimbar a mensagem, rejeitar a mensagem ou excluir
a mensagem.
Comando utilizado para configurar o Sender ID Agent para rejeitar a mensagem:
Excluir mensagem
Rejeitar mensagem
Colocar mensagem em quarentena
Comando para configurar o content filter para excluir mensagens classificadas com
SCL9, rejeitar mensagens com classificao 8 e colocar em quarentena mensagens com
classificao 7.
Lista de Bloqueios de IP
Provedores de Lista de Bloqueios de IP
Lista de Permisses de IP
Provedores de Lista de Permisses de IP
Comandos:
Adicionar um range de endereos IP para serem liberados:
Add-IPAllowListEntry -IPRange 192.168.0.0-192.168.0.255
Remover um range de endereos IP para serem bloqueados:
Add-IPBlockListEntry -IPRange 192.168.0.0-192.168.0.255
Recipient Filter Agent
O Recipient Filter Agent fornecido pelo agente de Filtro de Destinatrios. Quando a
filtragem de destinatrios habilitada em um servidor do Exchange, ela filtra
mensagens de entrada que vm da Internet, mas no so autenticadas.
O comando abaixo pode ser utilizado para adicionar um destinatrio a lista de bloqueio
Recipient Filter Agent:
Set-RecipientFilterConfig -BlockedRecipients lucas@contoso.com
Attachment Filtering Agent
O Attachment Filtering Aget configurado para liberar\bloquear qual formato de
aquivo poder ser enviado com o anexo para os destinatrios da nossa organizao
atravs do servidor de Edge Transport.
Comandos:
Bloquear recebimento de arquivos .exe.
Add-AttachmentFilterEntry Filename:*.exe
Liberar recebimento de arquivos .exe
Remove-AttachmentFilterEntry Filename:*.exe
Saiba mais sobre o gerenciamento de antispam no Microsoft Exchange Server 2013.
Faa Download do ebook sobre antispam no Microsoft Exchange Server 2013 em
Protugus escrito pelo MVP Wellington Agpto.
Todos os Contatos;
Todas as Listas de Distribuio;
Todas as Salas;
Todos os usurios;
Lista de Endereos Global Padro;
Pastas Pblicas;
Cenrio
Utilizaremos um cenrio com duas Organizaes mscloud365.com e reiscamargo.com
com as seguintes configuraes:
Passo a Passo:
01 Crie as Listas de Endereos para os usurios da MSCLOUD365.com:
Testando Configuraes:
Listas de Endereos exibidas para o usurio da empresa Mscloud365:
Cabe a voc decidir qual o melhor cenrio para balanceamento de carga de servidores
de Client Access em sua organizao.
Dica: Como j realizei esse exame acabei me lembrando de um cenrio onde o trfego
de acesso da internet usava NAT e era balanceado atravs de um Hardware Load
Balance de camada 4, onde todo o trfego era redirecionado apenas para um servidor, e
voc deveria configurar o Hardware load balance para balancear a carga entre todos os
servidores. Esse cenrio pode ser bem tipico em organizaes, o que acontece
que devemos configurar o HLB para enviar o IP de acesso original (Endereo IP dos
clientes de fora da organizao) e no o endereo IP do dispositivo que est realizando a
traduo de endereo NAT.
Alta Disponibilidade da funo de Mailbox
O Microsoft Exchange Server 2013 oferece um recurso nativo para alta disponibilidade
e resilincia de sites para a funo de Mailbox, chamado DAG (Grupo de
Disponibilidade de Banco de Dados). Um DAG um grupo de at 16 servidores de
caixa de correio, que replicam um mesmo banco de dados, permitindo disponibilidade e
recuperao automtica a nvel de banco de dados em caso de falha que afetem
um servidor ou um banco de dados.
Para criar um DAG utilizamos o comando New-DatabaseAvailabilityGroup. Um DAG
criado inicialmente como um objeto vazio no ActiveDirectory. Esse objeto usado para
armazenar informaes sobre o DAG. Quando o primeiro servidor Mailbox
adicionado um cluster de failover criado automaticamente para o DAG.
Alm de um cluster de failover ser criado, a infraestrutura que monitora os servidores
em busca de falhas de rede ou servidor iniciado. Em seguida, o mecanismo de
pulsao do cluster de failover e o banco de dados do cluster so usados para
acompanhar e gerenciar informaes sobre o DAG que podem ser alteradas
rapidamente, como o status de montagem do banco de dados, o status da replicao e o
local da ltima montagem.
Quando criamos um DAG podemos atribuir um endereo IP esttico ou usar o protocolo
DHCP para o DAG, com o Exchange Server 2013 SP1 e o windows Server 2012 R2
podemos criar DAGs sem o ponto de acesso administrativo do cluster, ou seja sem um
objeto no AD e um endereo IP.
Para entendermos algumas funcionalidades e como o DAG funciona precisamos olhar
para outros fatores.
Exemplo 01:
Utilizamos o processo abaixo para a criao de um DAG chamado DAG1 com trs
servidores, espalhados em dois sites, nesse caso o DAG ser criado com dois endereos
IPs, uma para associado a cada site.
New-DatabaseAvailabilityGroup -Name DAG1 -WitnessServer EX4 DatabaseAvailabilityGroupIPAddresses 10.0.0.5,192.168.0.5
Add-DatabaseAvailabilityGroupServer -Identity DAG1 -MailboxServer EX1
Add-DatabaseAvailabilityGroupServer -Identity DAG1 -MailboxServer EX2
Neste exemplo, uma cpia passiva de cada banco de dados ativo no datacenter
Redmond configurada em EX6 no datacenter Dublin.
Active Manager
O Active Manager um componente do Microsoft Exchange Server 2013 responsvel
por gerenciar a plataforma de alta disponibilidade que inclui um DAG e as cpias de
banco dados. Executado dentro do servio de Replicao do Microsoft Exchange
(MSExchangeRepl.exe) em todos os servidores Mailbox. Em servidores membros de
DAG existem duas funes do Active Manager:
PAM Active Manager Principal: decide quais cpias sero ativas e passivas, e obter
notificaes de alterao de topologia e reagir a falhas de servidor. O membro do DAG
que possui o recurso de quorum do cluster hospedar a funo de PAM.
SAM Active Manager em Espera: fornece informaes sobre qual servidor hospeda
a cpia ativa de um banco de dados de caixa de correio para outros componentes do
Exchange, tambm detecta falhas locais para seus bancos de dados. Quando uma falha
de um banco de dados detectada ele solicita ao PAM que inicie um failover.
Para entendermos oque o DAC primeiro precisamos vamos analisar um cenrio tipico
de split brain.
Exemplo 01:
Temos dois sites, Datacenter MSCLOUD01 nosso site principal e hospeda todos os
Bancos de Dados Ativos, Datacenter MSCLOUD02 nosso site secundrio e utilizado
somente para site de Disastre Recovery.
Temos um DAG chamado DAG01 que contm 4 Servidores. MBX01 e MBX02 esto
no site principal MSCLOUd01 e MBX03 e MBX04 esto no site secundrio
MSCLOUD02. O Servidor CAS01 utilizado como servidor de testemunha para esse
DAG.
Uma falta de energia afeta seu site principal, como vimos anteriormente, com a falha
nos servidores CAS01, MBX01 e MBX02 o cluster perde o qurum e todos os bancos
de dados so desmontados. Para estabilizar o acesso dos usurios, voc executa uma
interveno administrativa e habilita todos os bancos de dados nos servidores MBX03 e
MBX04.
A energia no datacenter MSCLOUD01 normalizada, porm a conectividade entre os
dois datacenters ainda continua indisponvel, como os servidores do datacenter principal
tinham qurum antes do desligamento dos bancos de dados os servidores so montados.
Nesse caso uma condio de split brain (diviso de crebro).
Para evitar esse problema no Exchange Server 2013, a Microsoft recomenda a utilizao
do modo DAC em todas as DAG com mais de dois membros.
Cada membro do DAG deve ter pelo menos um adaptador de rede que seja
capaz de se comunicar com todos os membros do DAG.
Recomenda-se utilizar um adaptador de rede exclusiva para replicao e uma
rede para MAPI.
Cada membro do DAG de ter os mesmo nmeros de interfaces de rede.
O endereo IP APIPA no recomendado.
Exemplo:
Neste exemplo, a rede MAPI em cada membro do DAG est em uma sub-rede separada.
Dessa forma, o DAG exige dois endereos IP: um para cada sub-rede na rede MAPI.
As configuraes e cada adaptador devem ser conforme especificao abaixo:
Rede de replicao:
Cliente para redes Microsoft:
Desabilitado
Agendador de pacotes QoS:
Opcional
Compartilhamento de Arquivos e Impressoras..:
Desabilitado
TCP verso 6:
Habilitado
TCP Verso 4:
Habilitado
Driver de E/S ..: Habilitado
Respondente da descoberta de topologia..: Habilitado
Rede de replicao:
Cliente para redes Microsoft:
Habilitado
Agendador de pacotes QoS:
Opcional
Compartilhamento de Arquivos e Impressoras..:
Habilitado
TCP verso 6:
Habilitado
TCP Verso 4:
Habilitado
Driver de E/S ..: Habilitado
Respondente da descoberta de topologia..: Habilitado
Cenrio:
Veja um cenrio completo envolvendo dois sites do Active Directory.
Alta Disponibilidade da funo de Edge
Com o SP1 do Exchange Server 2013 podemos utilizar a funo de Edge Server, funo
que responsvel pela comunicao SMTP entre a sua organizao e a internet e alguns
O Microsoft Exchange Server 2013 prov vrios recursos para conformidade e polticas
de sua organizao.
Sendo elas:
Gerenciamento de registros de mensagens (MRM Messaging records
management): Esse recurso ajuda a voc manter uma politica de reteno que atenda as
necessidades da sua empresa.
Arquivo Morto In-logo (In-Place Archiving): O Arquivo morto in-loco ajuda voc a
recuperar o controle dos dados de mensagem da organizao, eliminando a necessidade
de arquivos de armazenamento pessoal (.pst).
Reteno Local e Reteno de Litigio (In-Place Hold and Litigation Hold): A
reteno local permite pesquisar e preservar mensagens que correspondam aos
parmetros de consulta, ou armazenar todas as informaes de um usurio.
Descoberta eletrnica In-loco (In-Place eDiscovery): permite que voc pesquise
dados de caixa de correio em sua organizao do Exchange.
Dirio (Journaling): registro em dirio pode ajudar a organizao a atender requisitos
legais, regulatrios e organizacionais de conformidade, registrando a comunicao por
emails de entrada e de sada.
No Microsoft Exchange Server 2013, o Arquivo Morto In-Loco oferece aos usurios um
local de armazenamento alternativo onde eles podem armazenar dados de histrico de
mensagens. Esse recurso pode ser til para armazenamento de mensagens antigas, que
so pouco acessadas, em disco com velocidades menores.
Exemplo:
Passo 01: Criar um novo Mailbox Database para ser utilizado como arquivamento.
Passo 03: criar uma politica de reteno para mover mensagens automaticamente para o
archive aps 2 anos.
Usurios autorizados podem realizar uma pesquisa por Descoberta Eletrnica In-loco
selecionando as caixas de correio e especificando os critrios de pesquisa, como
palavras-chave, data de incio e de trmino, endereos de remetentes e destinatrios e
tipos de mensagens. Aps a pesquisa ser concluda, os usurios autorizados podem
escolher uma das aes a seguir:
Dirio (Journaling)
Registro no Dirio a habilidade para registrar todas as comunicaes em uma
organizao, incluindo comunicao por email. O registro em dirio pode ajudar a
organizao a atender requisitos legais, regulatrios e organizacionais de conformidade,
registrando a comunicao por emails de entrada e de sada.
O Exchange Server 2013 prov as seguintes opes de registro em dirio:
Registro padro no dirio: O registro padro no dirio configurado em um banco de
dados de caixa de correio. Ele permite que o agente de registro no dirio registre todas
Exemplo 01: Cria regra de dirio para registrar no dirio todas as mensagens enviadas e
recebidas pelo destinatrio msc01@mscloud365.com. O registro em dirio ser enviado
para diario@mscloud365.com.
As aes de regra de transporte permitem que voc aplique polticas de mensagens aos
emails que fluem pela sua organizao e que correspondem s condies, para verificar
as aes disponveis clique aqui.
Outros Cenrios:
Podemos utilizar regras de transporte para inspecionar anexos das mensagens e tomar
alguma ao de acordo com as propriedades do anexo.
Essa mensagem ser aplicada para mensagens que possui no corpo ou no assunto a
palavra confidencial, e ser encaminhada para aprovao do usurio Administrator.
Notem que podemos deixar a mensagem para teste por um perodo de tempo.
Preveno de Perda de Dados (Data Loss Prevention)
Voc pode configurar as regras de informaes confidenciais em suas polticas de
preveno de perda de dados (DLP) do Microsoft Exchange para detectar dados muito
especficos em mensagens de email. O microsoft Exchange Server 2013 prov trs
mtodos para criao de regras DLP:
1. Aplicar um modelo DLP j fornecido pela Microsoft.
2. Importar um arquivo de politica DLP.
3. Criar um politica DLP personalizada.
Passo 02: Configurar log de auditoria para todas as mensagens enviadas e deletadas por
um usurio delegado.
Passo 03: Configurar uma pesquisa para exibir todas as mensagens conforme log criado
anteriormente.
Lembro de um questo que foi cobrada em minha prova sobre esse tpico.
Para saber mais sobre politicas e conformidade no Exchange Server 2013, leia:
conformidade e poltica de sistema de mensagens.
Pipeline de Transporte
O fluxo de mensagens ocorre atravs da pipeline de transporte que uma coleo de
servios, conexes, componentes e filas que trabalham juntos para rotear mensagens no
Exchange Server 2013, o pipeline de transporte agora composto por trs servios:
FrontEnd Transport Service: Servio executado em todos os servidores de Client
Access, atuando diretamente com um proxy para trfego SMTP. Este servio no faz
nenhuma inspeo no contedo da mensagem, mais pode fazer uma filtragem bsica de
e-mail baseado em conexes, domnios, remetentes e destinatrios. Este servio se
comunica com o servio de Transporte e no armazena nenhuma fila de mensagens
localmente.
Transport Service: esse servio faz todas as funes que a antiga funo de HUB
Transport executava, porm no se conecta diretamente com um banco de dados para
entrega da mensagem. Ele lida com todo o fluxo de e-mails SMTP para a organizao,
Aps esses trs processos a mensagem colocada em na fila de entrega, que baseada
no destino do usurio que pode ser um Mailbox Database, um DAG, um Site do AD,
uma floresta do AD ou um domnio externo.
Dependendo da localizao do destinatrio a mensagem pode ser encaminhada para:
Abaixo a imagem a seguir foi retirada do technet e pode ser utilizada como referencia
para tudo que falamos at agora.
Roteamento de Mensagens
O principal objetivo do servio de transporte (presente em todos os servidores Mailbox)
fazer o roteamento de mensagens. As decises de roteamento so feitas durante a
Vamos analisar os logs de rastreio para o fluxo de um e-mail enviado a partir do usurio
interno user01 que est em um servidor MBX01 para um usurio interno user02 que
est em um servidor MBX2. Usando o shell de gerenciamento do Exchange podemos
utilizar o seguinte cmdlet para rastrear a mensagem:
Get-TransportService | Get-MessageTrackingLog ResultSize Unlimited Start
18/06/2015 Sender user01@mscloud365.com -Recipients user02@mscloud365.com
MessageSubject Testing Mail Flow | Sort TimeStamp | Select ClientHostname,
ServerHostname, ConnectorId, Source, EventId
O e-mail fara o seguinte caminho:
Referncia
O MVP em Exchange Nuno Mota do Reino unido fez um post explicado o passo a
passo para o MailFlow no Exchange Server 2013, esse post utiliza o mesmo como
referencia e pode ser encontrado no site: http://www.msexchange.org/articlestutorials/exchange-server-2013/planning-architecture/exchange-2013-mail-flowpart1.html
Documentao sobre o assunto no TechNet: https://technet.microsoft.com/enus/library/aa996349(v=exchg.150).aspx