Exchange Server 2019 CU15 双节点 DAG 部署实施手册
1.项目背景与目标
- 部署 Exchange Server 2019 CU15 双节点 DAG
- 使用已有邮件网关处理外发/反垃圾,不部署边缘服务器
- 保证内部邮件高可用与可扩展性
- 项目部署架构
2.环境与架构概述
| 角色 | 数量 | 操作系统 | 功能 |
|---|---|---|---|
| 域控 | 2 | WindowsServer2019 | AD、DNS |
| Exchange 邮箱服务器 | 2 | WindowsServer2019 | Mailbox角色,部署 DAG |
| 见证服务器 | 1 | WindowsServer2019 | DAG 见证服务器 |
| 邮件网关 | 1 | / | 反垃圾/反病毒/外发路由 |
3.安装准备
3.1.两台 Exchange 服务器:
- 安装最新 Windows 更新补丁
- 固定 IP
- 加入域
3.2.建议每台 Exchange 配置两块网卡:
- MAPI 网络(生产网)
- Replication 网络(仅 DAG 内部复制用,可选)
3.3.在两台 Exchange 上安装如下软件:
- NDP48-x86-x64-AllOS-ENU
- UCMA 4.0:Microsoft 官网下载
- Visual C++ Redistributable Packages for Visual Studio 2013 x64
3.4.在两台 Exchange 上安装远程管理工具
用域管理员执行 powershell,安装服务器远程管理工具,powershell复制编辑如下命令:Install-WindowsFeature Server-Media-Foundation, RSAT-ADDS
3.6.在两台 Exchange 上安装 IIS 管理控制台,下一页
3.7.只在 FSMO 域控上-扩展 AD 架构
挂载或解压 exchange 软件到架构主 FSMO 域控上,打开 PowerShell(以管理员身份)cd至Exchange安装目录,执行如命令:.\Setup.exe/PrepareSchema/IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF
说明:
1./PrepareSchema:扩展 Active Directory 架构,添加 Exchange 所需属性和类。
2./IAcceptExchangeServerLicenseTerms_DiagnosticDataON:同意许可协议并启用诊断数据上传(可改为 DiagnosticDataOFF)
- 如有报错,如“未在一个或多个 DNS 服务器上注册基于 guid 的 DNS 名称错误”
| 解决方法 DC02 上打开 PowerShell: ipconfig /registerdns DC02:ipconfig /registerdns DC01刷新 DNS 缓存:ipconfig /flushdns DC01:检查 _msdcs 区里有无 DC02 的 GUID 手动触发复制:repadmin /syncall /AePd 重跑:repadmin /showrepl |
|---|
3.8.只在 FSMO 域控上-准备 AD
/OrganizationName:Exchange 组织名称,首次部署必填。powershell复制编辑如下命令: D:\Setup.exe /PrepareAD /OrganizationName:”rschs” /IAcceptExchangeServerLicenseTerms_DiagnosticDataON
3.9.只在 FSMO 域控上-准备所有域
此步骤为所有域添加 Exchange 权限,若只有一个域,也建议执行。powershell复制编辑如下命令:D:\Setup.exe/PrepareAllDomains/IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF
4.开始安装 Exchange 2019 CU15
4.1.Exchange 2019 CU15 AP1
- 在AP1上图形化安装,进入到安装目录,执行“Setup”
- 点击,“下一步”
- 接受“许可协议”、“下一步”
- 根据需求选择,下一步
- 根据需求选择,下一步
- 根据需求选择,下一步
- 根据需求选择,下一步
- 准备情况检查,请稍等…
- 如提示:此计算机上未安装 “IIS URL 重写模块“,下载安装上即可
- 安装 IIS URL 重写模块
- 出现警告“无法从此计算机访问缓解服务终结点”,
什么是缓解服务终结点(Mitigation Service Endpoint)?
- Exchange 自 2021 年 11 月(含 CU15)起新增了“缓解服务”(Exchange Emergency Mitigation Service,EMS)。
- 它会定期从 Microsoft 云端下载安全配置更新(配置缓解规则,自动降低零日漏洞的风险)。
- 默认访问微软公共地址(比如:https://officeclient.microsoft.com/getexchangemitigations)。
出现这个警告的原因:
- Exchange 服务器无法访问外网或微软终结点。
- 公司网络限制了出站流量。
- 没有配置代理服务器。
这个警告不会导致安装失败,也不影响基本功能:
- 如果你本来就不打算让 Exchange 服务器访问互联网(比如放在内网、通过 WSUS 打补丁),可以忽略。
- 只是提醒你:EMS 无法自动下载缓解规则,今后需要手动更新或关注安全公告。
- 正在安装,时间较长请稍等
- 至此,Exchange 2019 CU15 AP1 安装完成
- 安装结束后,检查服务状态:
powershell复制编辑如下命令: Get-Service *Exchange* | Select Name, Status
4.2.各服务功能解释
| Name | Status | 功能解释 |
|---|---|---|
| MSExchangeADTopology | Running | Exchang与Active Directory 通信的核心服务(拓扑服务) |
| MSExchangeAntispamUpdate | Running | 反垃圾邮件更新服务(更新传输规则、IP 筛选列表等) |
| MSExchangeCompliance | Running | 合规性服务:负责合规审计、保留策略等 |
| MSExchangeDagMgmt | Running | DAG 管理服务:数据库可用性组管理与监控 |
| MSExchangeDelivery | Running | 邮件传输:将邮件从传输管道投递到邮箱数据库 |
| MSExchangeDiagnostics | Running | Exchange 日志记录与诊断服务 |
| MSExchangeEdgeSync | Running | 内部与边缘传输服务器之间的配置同步(如果无边缘服务器也会默认启动) |
| MSExchangeFastSearch | Running | Exchange FAST 搜索:邮箱内容索引 |
| MSExchangeFlighting | Running | Exchange 功能开关控制(Feature Flags) |
| MSExchangeFrontendTransport | Running | 前端传输服务:负责接收/路由客户端 SMTP 流量 |
| MSExchangeHM | Running | 健康管理服务(Health Manager) |
| MSExchangeHMRecovery | Running | 健康管理恢复服务 |
| MSExchangeIMAP4 | Running | IMAP4 客户端协议(前端服务) |
| MSExchangeIMAP4BE | Running | IMAP4 客户端协议(后端服务,连接实际邮箱数据库) |
| MSExchangeIS | Running | 信息存储服务:核心服务,管理邮箱数据库 |
| MSExchangeMailboxAssistants | Running | 后台任务服务(如保留策略、自动清理、日历助理等) |
| MSExchangeMailboxReplication | Running | 邮箱复制服务:用于移动邮箱、远程移动等 |
| MSExchangeMitigation | Running | 缓解服务:自动部署安全缓解措施 |
| MSExchangePOP3 | Running | POP3 客户端协议(前端服务) |
| MSExchangePOP3BE | Running | POP3 客户端协议(后端服务) |
| MSExchangeRepl | Running | 数据库复制服务:负责 DAG 内数据库副本同步 |
| MSExchangeRPC | Running | RPC 客户端访问服务(客户端 MAPI) |
| MSExchangeServiceHost | Running | Exchange 宿主服务:承载小型 Exchange 组件 |
| MSExchangeSubmission | Running | 提交服务邮件投递:将存储中的邮件提交到传输服务 |
| MSExchangeThrottling | Running | 节流服务:控制客户端连接数、防止过载 |
| MSExchangeTransport | Running | 邮件传输服务:核心 SMTP 管道 |
| MSExchangeTransportLogSearch | Running | 传输日志搜索服务:支持跟踪和报告 |
| SearchExchangeTracing | Running | Exchange 搜索组件日志跟踪 |
| vmickvpexchange | Stopped | Hyper-V 集成服务:虚拟机键值对交换(非 Exchange 核心) |
| wsbexchange | Stopped | Windows Server Backup Exchange 插件(用于备份/还原) |
5.安装 Exchange AP2
5.1.安装 Exchange AP2 和安装 AP1 步骤一样
- 安装 AP2 时,在准备情况检查步骤,会出现警告“安装程序无法检测到带有地址空间 ‘’,先忽略,直接安装,因为这是一个 *非常常见且正常的警告,解释如下:
Exchange 安装程序检测到:
当前组织里 没有 一个发往 *(所有外部域)的 Send Connector(发送连接器),你的组织内部邮件没问题,但是从内部发往外网(Internet)的邮件,需要有一个 Send Connector(通常作用域是 *,也就是所有域)
为什么会出现?
新安装第二台 Exchange(或第一台)的时候,还没配置 Send Connector,安装程序只做检测,不自动创建 Send Connector
解决方法,安装完成后 配置:
打开 Exchange Admin Center (EAC) -> 到 Mail flow(邮件流)-> Send connectors(发送连接器)-> 新建一个 -> 名称:To Internet(随意) -> 类型:Internet -> 地址空间:*-> 使用现有邮件网关做 Smart Host(如果有),或者直接路由到 DNS -> 源服务器:勾选两台 Exchange 邮箱服务器
✅ 如果你有外部邮件网关: Send Connector 不要直接到 Internet,而是指向网关的 IP / FQDN(Smart Host 模式)
6.安装后配置
6.1.添加 ECP 管理员
- 在 AD 中,将规划的 ECP 管理员账户加入 “Organization Management“,该组默认只有 administrator 账户
6.2.登录到 Exchange 管理中心
- 激活 “Exchange AP1”
- 激活完成
- 激活完成,在 Exchange AP1 上重启“Microsoft Exchange Information Store”服务
- 激活 “Exchange AP2“,方法同激活 AP1 一样,这里不在赘述
激活完成,记得重启 Exchange AP2 的“Microsoft Exchange Information Store”服务
6.3.配置邮件流
打开 Exchange Admin Center (EAC) -> 到 Mail flow(邮件流)-> Send connectors(发送连接器)-> 新建一个 -> 名称:To Internet(随意) -> 类型:
Internet -> 使用现有邮件网关做 Smart Host(如果有)-> 地址空间:* ,或者直接路由到 DNS -> 源服务器:勾选两台 Exchange 邮箱服务器
- 配置邮件网关地址
- 填写邮件网关地址
- 按照需求配置,下一步
- 按照需求配置,下一步
- 地址空间:*
- 添加源服务器
- 源服务器:勾选两台 Exchange 邮箱服务器
- 添加完成
- 邮件流,发送连接器配置完成
- 对接邮件网关,外发邮件
- 外部邮件送到内部邮件服务器上
7.配置DAG
7.1.部署前准备
- Exchange 节点需已加入域 xxxx.com
- 已安装并配置好 Exchange 2019 CU15
- 安装好最新补丁(Windows Update)
- 准备 Witness 服务器(FS1):需要是域成员服务器,不能是 Exchange,也最好不要是 DC
- 将 Exchange Trusted Subsystem 加入到 Witness Server 本地 Administrators 组中
7.2.安装 Failover Clustering 功能
powershell管理员执行如下命令:在两台 Exchange 节点(YExg01P 和 YExg02P)都执行:Install-WindowsFeature Failover-Clustering -IncludeAllSubFeature -IncludeManagementTools
- 安装完成后,可验证:
powershell管理员执行如下命令:Get-WindowsFeature Failover-Clustering
- 安装 Failover Clustering 功能后,重启两台 Exchange AP
7.3.创建 DAG
- 增加一条 DAG A 记录
- DAG$权限如下
- 在 AD 中新建一台与 DAG 名称一致的计算机名
- 将 2 台 Exchange 计算机账户 加入到 DAG 安全属性中,并添加 完全控制 权限
- 禁用 DAG 计算机账户
- 在 Exchange 管理中心中创建 DAG
- 添加数据库可用性组
- 数据库可用性组创建完成
- 添加 DAG 成员:将两台 Exchange 加入 DAG
- 点击添加成员
- 保存添加的成员
- DAG 成员添加成功
7.4.准备 DAG 网络
如果使用两块网卡,建议手动配置 DAG 网络:
- MAPI 网络:正常生产网
- Replication 网络:仅用于 DAG 复制
- 禁用 Replication 网络的“Microsoft 网络客户端”和“Microsoft 网络的文件和共享打印机”
- 取消不要选在 DNS 中注册
7.5.创建 DAG 网络
- 勾选,手动配置数据库可用性组网络
- 选中,新建 DAG 网络
- 根据需求配置 DAG Replication 网络,保存
- 禁用 MapiDagNetwork 网络的 “复制”
- 启用 ReplicationDagNetwork 的 “复制”
- 打开故障转移群集管理器
- 如集群出现“由于在更新安全 DNS 区域时访问被拒绝,群集网络名称资源无法注册一个或多个关联的 DNS 名称。”报错
解决办法:给 CNO 授权,打开 DNS 管理器 → 找到对应区域:xxxx.com
- 配置 MAPI 和 Replication 网络
MAPI网络配置
Replication网络配置
8.新建邮箱数据库(含 DAG)
✅ 前提准备
- 已完成 DAG 配置,并将所有 Exchange 服务器加入 DAG
- 已规划好数据库名称、数据库文件路径、日志文件路径
- 有足够的磁盘空间(建议:数据库和日志放不同磁盘)
8.1.EAC 图形界面操作
登录 EAC 左侧导航:服务器 > 数据库 > 点击 “+”(添加)
新建数据库,切记不要装入此数据库
重启服务“Microsoft Exchange Information Store”
现在装入数据库
添加副本数据库
填写副本数据库信息,保存
查看数据复制状态
Get-MailboxDatabaseCopyStatus DB1 | ft Name,Status,CopyQueueLength,ReplayQueueLength,ContentIndexState
9.配置客户端访问
9.1.配置 Exchange AP 负载均衡(我这里通过 NetScaler)
9.2.配置 DNS
在 DNS 上添加 A 记录(A 记录中的 IP 地址填 Exchange AP的 VIP 地址)
9.3.在 DNS 上添加 MX 记录
9.4.添加autodiscover的CNAME记录(用于Outlook autodiscover)
为什么需要添加 Autodiscover CNAME?
Autodiscover 是 Exchange 提供给 Outlook / 手机 等客户端自动配置的服务。通常需要解析 autodiscover.<你的域名> 到实际提供 Autodiscover 服务的主机或负载均衡地址。
9.5.添加SRV记录
9.6.在阿里DNS上配置 SFP 记录(SPF 是一种打击垃圾邮件和网络钓鱼诈骗的方法,它使用 DNS SPF 记录来定义哪些主机允许发关送邮件。SPF 是一种 TXT 文件格式的 DNS 记录)
10.配置外部访问
10.1.按照如下配置 两台Exchange的“Outlook Anywhere”
10.2.配置虚拟目录
10.3.配置外部访问域
10.4.配置以下服务外部URL和内部URL为统一接口(Exchange VIP域名)
11.配置接收和发送限制
11.1.配置“接收连接器”最大接收邮件大小
- 查看“接收连接器”最大接收邮件大小
Get-ReceiveConnector | ft Name,MaxMessageSize
- 修改“接收连接器”最大接收邮件大小为100MB
Get-ReceiveConnector | Set-ReceiveConnector -MaxMessageSize 100MB
- 确认“接收连接器”最大接收邮件大小是否为100MB
Get-ReceiveConnector | ft Name,MaxMessageSize
11.2.配置“发送连接器”最大发送邮件大小
- 查看“发送连接器”最大发送邮件大小
Get-SendConnector | ft Name,MaxMessageSize
- 修改“发送连接器”最大发送邮件大小为150MB
Set-SendConnector “To SPAM” -MaxMessageSize 150MB
- 确认“发送连接器”最大接收邮件大小是否为150MB
Get-SendConnector | ft Name,MaxMessageSize
11.3.修改组织级别的最大发送和接收邮件大小限制(适用于整个 Exchange 组织)
- 查看当前组织限制:
Get-TransportConfig | fl MaxReceiveSize,MaxSendSize
- 修改组织级别的最大发送和接收邮件大小为 100MB:
Set-TransportConfig -MaxReceiveSize 100MB -MaxSendSize 100MB
- 修改后再次确认:
Get-TransportConfig | fl MaxReceiveSize,MaxSendSize
12.测试与上线
| 测试内容 | 描述 |
|---|---|
| DAG 自动切换 | 主动关闭一台 Exchange,验证切换 |
| 内部邮件 | OWA/Outlook 内部互发 |
| 外部收发 | 测试经过邮件网关 |
| ActiveSync | 移动端收发 |
| 高可用性 | Witness 故障/Exchange 故障 |
13.后续运维建议
- 定期更新 CU 和 SU
- 建立 DAG 监控(队列长度/副本状态)
- 定期备份邮箱数据库
- 配置故障切换演练计划