《如何部署Exchange2000和ISA2000构建应用cblf.pptx》由会员分享,可在线阅读,更多相关《如何部署Exchange2000和ISA2000构建应用cblf.pptx(64页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、务实技术讲座系列务实技术讲座系列如何部署如何部署Exchange 2000 和和ISA 2000构建应用构建应用内容安排内容安排l lAD 和和 exchange 2000l l网络设计网络设计l l连接连接Internetl l安全安全Active Directory 在企业中在企业中l l域和域和 OUs 组成层次组成层次化管理结构化管理结构l l多个域可以组成多个域可以组成树树树树-Trees-Trees森林森林森林森林-Forests-ForestsForestObjectsDomainDomainDomainTreeDomainDomainTreeDomainOUOUOUActive
2、 Directory SchemaObjectObjectClass ExamplesClass ExamplesPrintersComputersUsersAttributes of Users Attributes of Users Might Contain:Might Contain:accountExpiresdepartmentdistinguishedNamemiddleNameList of AttributesList of AttributesaccountExpiresdepartmentdistinguishedNamedirectReportsdNSHostNameo
3、peratingSystemrepsFromrepsTomiddleName Attribute Attribute ExamplesExamplesActive Directory Schema Is:n动态可用的n动态可更新的n由 DACLs 保护域域-Domainsl l一个域是个安全边界一个域是个安全边界一个域的管理员只能管理本域内的资源一个域的管理员只能管理本域内的资源一个域的管理员只能管理本域内的资源一个域的管理员只能管理本域内的资源,除非明确被除非明确被除非明确被除非明确被其他域授权其他域授权其他域授权其他域授权l l一个域是一个复制的单元一个域是一个复制的单元一个域的域控制器参
4、与复制并包含这个域的完整的一个域的域控制器参与复制并包含这个域的完整的一个域的域控制器参与复制并包含这个域的完整的一个域的域控制器参与复制并包含这个域的完整的目录信息目录信息目录信息目录信息Windows 2000DomainUser1User2User1User2复制复制复制复制Global CatalogGlobal Catalog ServerGlobal CatalogGlobal CatalogSubset of the Attributes of All ObjectsDomainDomainDomainDomainDomainDomain查询查询查询查询Group members
5、hipGroup membershipwhen user logs onwhen user logs on站点结构站点结构 Sites:l优化复制通信量l让用户能够通过一个稳定的,高速的连接登录到一个域控制器 SiteIP subnetIP subnetIP subnetIP subnetLos AngelesSeattleChicagoNew York站点拓扑结构举例站点拓扑结构举例Domain ADomain BSite 1Site 2Site LinkDomain ADomain BSite 2Site 1Site Link1234Active Directory 森林森林Exchang
6、e2000组织组织contoso.msftcontoso.msftnwtraders.msftsamerica.nwtraders.msftExchange2000组织组织Exchange2000组织组织nwtraders.msftsamerica.nwtraders.msftnamerica.nwtraders.msftNorthwindTraders多个森林多个森林一个森林一个森林存放存放 Exchange 2000 Data数据数据UsersComputersGroupsDomainPartitionConfigurationPartitionExchangeConfigurationS
7、itesReplicationTopologySchema PartitionCN=Schema,CN=Configuration,DC=nwtraders,DC=msft Active Directory 数据库大小数据库大小ActiveActiveDirectoryDirectory425 MB425 MBActiveActiveDirectoryDirectory345 MB345 MBActiveActiveDirectoryDirectory110 MB110 MBActiveActiveDirectoryDirectory27 MB27 MBActiveActiveDirector
8、yDirectory13 MB13 MBInstall Windows 2000Install Windows 2000Install Exchange 20000Install Exchange 20000Add 10,000 Mail-Enabled UsersAdd 10,000 Mail-Enabled UsersAdd 50,000 Non Mail-Enabled UsersAdd 50,000 Non Mail-Enabled UsersMail-Enable 50,000 UsersMail-Enable 50,000 UsersUser Principle NamesTree
9、nwtraders.msftnamerica.nwtraders.msftsamerica.nwtraders.msftUPN=Joebnwtraders.msftSMTP=Joebnwtraders.msft UPN=Jameswnwtraders.msftSMTP=Jameswnwtraders.msft UPN=Miyokoynwtraders.msftSMTP=Miyokoynwtraders.msft Exchange2000GlobalCatalogDomainControllerGlobalCatalogWindows2000 Site 2DomainControllerWind
10、ows2000 Site 1Global Catalog 访问访问Exchange 2000 访问访问 Active DirectoryWindows2000 Site 1A AB BExchange2000GlobalCatalogWindows2000 Site 2C CD DGlobalCatalogDS AccessDomain Controller 访问访问DNS发现和定义发现和定义Directory Service ServersCache List1.Domain Controller 12.Domain Controller 23.Domain Controller 3.10.
11、DNSDNSDS AccessDS AccessExchange 2000LDAP DNSCache List1.Domain Controller 12.Domain Controller 23.Domain Controller 3.10.DS AccessDS AccessExchange 2000LDAPDomainControllerExchange 2000 和和 AD 站点设计站点设计l lWindows 2000 站点不影响站点不影响 Exchange 2000l lExchange 信息路由基于路由组信息路由基于路由组l l路由组设计决定与路由组设计决定与 Active Di
12、rectory 站点站点非常相似非常相似l l每个站点只能由一个活动的数据会议的会每个站点只能由一个活动的数据会议的会议管理器议管理器服务定位服务定位l l用户端需要下列服务用户端需要下列服务DNSDNSDomain ControllerDomain ControllerGlobal CatalogGlobal CatalogDNS 和和 Active Directoryl l用户端使用用户端使用 DNS 定位定位Active Directory servicesl lActive Directory DNS RFC 要求要求必须支持必须支持必须支持必须支持 SRV SRV 记录记录记录记录,
13、RFC 2052,RFC 2052应该支持应该支持应该支持应该支持 DHCP DHCP 动态更新动态更新动态更新动态更新,RFC 2136,RFC 2136应该支持应该支持应该支持应该支持 Incremental Zone Transfer,RFC 1995 Incremental Zone Transfer,RFC 1995l lExchange servers 使用使用 DNS 定位其他定位其他Exchange serversl lExchange 用户使用用户使用 DNS 定位定位 Exchange serversl l考虑考虑 DNS 与与 AD 集成集成Domain Controll
14、er 放置放置l lWindows 2000 用户访问基于用户访问基于 Active Directory 站点站点l l每个站点放置多个域控制器提供冗余每个站点放置多个域控制器提供冗余Global Catalog Server 放置放置l lExchange 用户端使用用户端使用 GC 定位定位 Exchange Directory Servicesl lExchange 5.0 用户端用户端,Outlook 97/98 由由Exchange server 代理代理l lOutlook 2000 直接访问直接访问 Exchange directory services网络设计网络设计网络状况网
15、络状况远程用户远程用户本地网本地网分公司分公司Internet Internet Internet 范围典型网络分布典型网络分布成都成都 广州广州 InternetInternet北京北京 上海上海 Internet Internet Internet 2M2M1M1M15001500人人人人500500人人人人500500人人人人5050人人人人部署部署AD-多域多域成都成都 广州广州 InternetInternet北京北京 上海上海 Internet Internet Internet OUOU北京北京上海上海上海上海域域广州广州广州广州OUOU成都成都ABC.NETABC.NETCD.
16、ABC.NETCD.ABC.NET服务器放置服务器放置成都成都 广州广州 InternetInternet北京北京 上海上海 Internet Internet Internet 2M2M1M1MBJDCGC01BJDCGC01BJDC02BJDC02SHDCGC01SHDCGC01GZDCGC01GZDCGC01CDDCGC01CDDCGC01512K512K服务器配置服务器配置l l域控制器域控制器P3 500,1G P3 500,1G 内存内存内存内存磁盘磁盘磁盘磁盘 1 1 个个个个 18G 18G 系统系统系统系统l l邮件服务器邮件服务器磁盘磁盘磁盘磁盘 1 1 个个个个 18G
17、18G 系统,系统,系统,系统,3 3 个个个个80G 80G 邮件数据库邮件数据库邮件数据库邮件数据库如果可能可采用如果可能可采用如果可能可采用如果可能可采用AAAA集群集群集群集群北京北京北京北京网络连接网络连接l lAD Site link 站点连接站点连接BJ-SHBJ-SHBJ-GZ BJ-GZ SH-GZSH-GZBJ-CDBJ-CDl lExchange 2000 路由组路由组 与与与与AD Site Link AD Site Link 匹配匹配匹配匹配l l管理组管理组与路由组匹配与路由组匹配与路由组匹配与路由组匹配l lInternet 出口出口-北京,成都北京,成都系统安装
18、系统安装l l1、北京安装北京安装ADl l2、上海广州上海广州,建立站点连接建立站点连接l l3、e2k l l4、北京成都建立北京成都建立VPN l l5、成都安装成都安装AD,建立站点连接,建立站点连接l l6、成都安装、成都安装 e2k站点连接站点连接成都成都 广州广州 InternetInternet北京北京 上海上海 Internet Internet Internet BJ_SH,Cost 10BJ_SH,Cost 10BJ_GZBJ_GZCost:10 Cost:10 SH_GZ,Cost 15SH_GZ,Cost 15BJ_CD,Cost 15BJ_CD,Cost 15安装安
19、装 Exchange 2000First server in the forestForestSetup/forestprepWindows 2000ConfigConfigSchemaSchemaModifyModifyModifyModifyInstallInstall准备森林设置准备森林设置准备森林设置准备森林设置 /forestprep/forestprep安装安装 Exchange 2000Setup/forestprepWindows 2000Domain ControllerInstallInstallGroupUserCreateCreateConfigConfigSchema
20、SchemaForestGroupUserConfigConfigSchemaSchemaExchange 2000准备域设置准备域设置准备域设置准备域设置/domainprep/domainprep通过通过VPN建立请求拨号连接建立请求拨号连接Calling RouterVPN RouterInternetIntranetHQISPISPVPN Tunnel成都北京请求拨号路由请求拨号路由请求拨号路由请求拨号路由请求拨号路由请求拨号路由请求拨号路由请求拨号路由请求拨号路由请求拨号路由请求拨号路由请求拨号路由请求拨号路由请求拨号路由计划路由组计划路由组服务器必须属于同一个服务器必须属于同一个
21、Active Directory directory service forest服务器彼此之间必须永久连接服务器彼此之间必须永久连接路由组内的所有服务器必须能够连接到路由组内的所有服务器必须能够连接到 routing group master在一个路由组的在一个路由组的在一个路由组的在一个路由组的Exchange 2000Exchange 2000必须满足下列条件必须满足下列条件必须满足下列条件必须满足下列条件Cost=10Cost=30A AC CB BCost=10UserCUserCUserCUserC路由组路由组成都成都 广州广州 InternetInternet北京北京 上海上海
22、Internet Internet Internet BJ_SH,Cost 100BJ_SH,Cost 100BJ_GZBJ_GZCost:100 Cost:100 SH_GZ,Cost 150SH_GZ,Cost 150BJ_CD,Cost 150BJ_CD,Cost 150创建和配置存储组创建和配置存储组ESETransaction LogTransaction LogStoreStoreReservedReservedStoreStoreStoreStoreStoreStoreStoreStoreStorage Group AStorage Group BTransaction LogT
23、ransaction LogStoreStoreReservedReservedStoreStoreStoreStoreStoreStoreStoreStoreESE文件放置文件放置系统分区和启动分区Mirror SetC:Storage Group 1Transaction LogsMirror SetE:Storage Group 2Transaction LogsMirror SetF:Page FileD:All Database Files For Both Storage GroupsStripe Set with ParityG:备份恢复备份恢复Connect Exchange
24、2000 to Internet ServerServerInternetInternetDNS.msftnwtradersMX 10SMTP1.nwtraders.msftMX 20SMTP2.nwtraders.msftMX 30SMTP3.nwtraders.msftDNS.msftnwtradersMX 10SMTP1.nwtraders.msftMX 20SMTP2.nwtraders.msftMX 30SMTP3.nwtraders.msftDNS.msftnwtradersMX 10SMTP1.nwtraders.msftMX 20SMTP2.nwtraders.msftMX 3
25、0SMTP3.nwtraders.msftLocating MX Records in DNSDNS 和和 SMTPInternetSending SMTP ServerDNSA SMTP1.nwtraders.msft 192.168.2.200nwtradersMX 10SMTP1.nwtraders.msftMX 20SMTP2.nwtraders.msftMX 30SMTP3.nwtraders.msft.msftISAISAInternetInternetInternet部署防火墙部署防火墙-小型网络或分公司的配置小型网络或分公司的配置企业內部网络企业內部网络企业內部网络企业內部网络
26、l l访问策略规则访问策略规则访问策略规则访问策略规则 -IPIP封包封包封包封包,应应应应用程式用程式用程式用程式,使用者使用者使用者使用者,群组等的存取规则群组等的存取规则群组等的存取规则群组等的存取规则l l带宽规则带宽规则带宽规则带宽规则 -不同不同不同不同Internet requestInternet request所分配不同带宽的规则所分配不同带宽的规则所分配不同带宽的规则所分配不同带宽的规则l l 发布规则发布规则发布规则发布规则 -将将将将InternetInternet服务服务服务服务(如如如如web,ftp,mail)web,ftp,mail)透过防火墙透过防火墙透过防火
27、墙透过防火墙 的保护公布給外界大众的保护公布給外界大众的保护公布給外界大众的保护公布給外界大众l l入侵检测入侵检测入侵检测入侵检测 -防火墙入侵监测与警示防火墙入侵监测与警示防火墙入侵监测与警示防火墙入侵监测与警示l l监视和日志监视和日志监视和日志监视和日志 进出流量分析与报表进出流量分析与报表进出流量分析与报表进出流量分析与报表l lWeb Web 缓存缓存缓存缓存-所有放火墙的安全策存内容略会被自动应用到缓存内容之上所有放火墙的安全策存内容略会被自动应用到缓存内容之上所有放火墙的安全策存内容略会被自动应用到缓存内容之上所有放火墙的安全策存内容略会被自动应用到缓存内容之上蜂巢式安全防护体
28、系蜂巢式安全防护体系内部防火墙内部防火墙内部防火墙内部防火墙中央监控服务器中央监控服务器中央监控服务器中央监控服务器InternetInternet中央管理服务器中央管理服务器中央管理服务器中央管理服务器对外防火墙对外防火墙对外防火墙对外防火墙内部防火墙内部防火墙内部防火墙内部防火墙配置内部邮件路由到配置内部邮件路由到internetl l制定北京的一台服务器作为制定北京的一台服务器作为SMTP桥头堡连桥头堡连接到防火墙的内部接到防火墙的内部IP 地址地址l l上海、广州和北京的另一台服务器设定上海、广州和北京的另一台服务器设定Smart Host,指到,指到 SMTP 桥头堡服务器桥头堡服务
29、器l l成都成都exchange 可以直接指到本地防火墙可以直接指到本地防火墙Secure SMTP Serverl lSecure relay Secure relay settingssettingsl lBest Practice:Best Practice:Default settings!Default settings!ISA Server 配置配置HTTPS(SSL)l l映射的协议映射的协议映射的协议映射的协议:“HTTPS server”:“HTTPS server”l lISA Server listens on 443/tcpISA Server listens on 4
30、43/tcpl l接受入站通信接受入站通信接受入站通信接受入站通信l l重新产生新的包转发给重新产生新的包转发给重新产生新的包转发给重新产生新的包转发给 OWA server OWA server保留原地址和端口保留原地址和端口保留原地址和端口保留原地址和端口ISA Server 配置配置HTTPS(SSL)Securityl l如果要求监测如果要求监测如果要求监测如果要求监测?使用使用使用使用 Web Web 发布发布发布发布ISA Server ISA Server 需要更高的能力需要更高的能力需要更高的能力需要更高的能力-考虑使用硬件加密卡考虑使用硬件加密卡考虑使用硬件加密卡考虑使用硬件
31、加密卡l lSSL SSL 终止点终止点终止点终止点SSL stops at ISA ServerSSL stops at ISA ServerCertificate per ISA Server IP addressCertificate per ISA Server IP addressl lSSL SSL 桥桥桥桥SSL from Client to ISA Server;new SSL from ISA SSL from Client to ISA Server;new SSL from ISA Server to OWA serverServer to OWA server需要证书从
32、需要证书从需要证书从需要证书从 ISA ISA 到到到到 OWA serversOWA serversISA Server 配置配置SMTPl l映射的协议映射的协议映射的协议映射的协议:“SMTP Server”:“SMTP Server”l l典型典型典型典型 ISA Server ISA Server 反向代理方式反向代理方式反向代理方式反向代理方式l lSMTP filter SMTP filter 提供保护提供保护提供保护提供保护附件部署附件部署附件部署附件部署拒绝的发送者和域拒绝的发送者和域拒绝的发送者和域拒绝的发送者和域SMTP SMTP 命令确认和限制命令确认和限制命令确认和限
33、制命令确认和限制关键词过滤关键词过滤关键词过滤关键词过滤保证保证 Exchange Server安全安全Exchange ServerProtocolProtocolSourceSourceDestinatioDestination nPortPortAnyAnyInternal Internal NetworkNetworkMail ServerMail ServerAnyAnyProtocolProtocolSourceSourceDestinationDestinationPortPortSMTPSMTPAnyAnyMail ServerMail ServerTCP 25TCP 25PO
34、P3POP3AnyAnyMail ServerMail ServerTCP 110TCP 110IMAPIMAPAnyAnyMail ServerMail ServerTCP 143TCP 143Internet Internet Front end/Back End FirewallFirewallOpen Ports:Open Ports:443,993,995443,993,995Exchange 2000Exchange 2000Front-EndFront-EndServerServerExchange 2000Exchange 2000ServerServerActive Dire
35、ctoryActive DirectoryGlobal Catalog ServerGlobal Catalog ServerExchange 2000Exchange 2000ServerServerExchange 2000Exchange 2000ServerServerInternet HTTP,IMAPHTTP,IMAPor POP3 Clientor POP3 Client使用使用 DMZFirewallFirewallOpen Open Ports:Ports:443,993,443,993,995995Exchange Exchange 20002000Front-EndFro
36、nt-EndServersServersExchange 2000Exchange 2000ServerServerActive DirectoryActive DirectoryGlobal Catalog ServerGlobal Catalog ServerExchange 2000Exchange 2000ServerServerExchange 2000Exchange 2000ServerServerInternet FirewallFirewallOpenOpenPorts:80Ports:80143,110,143,110,LDAP,etcLDAP,etcDMZDMZHTTP,
37、IMAPHTTP,IMAPor POP3 Clientor POP3 Client保证服务器之间安全保证服务器之间安全-验证验证l l服务器和服务器自动使用服务器和服务器自动使用X-EXPS验证验证Kerberos/NTLMKerberos/NTLM缺省缺省缺省缺省 SMTP SMTP 协议扩充与协议扩充与协议扩充与协议扩充与Exchange 2000 Exchange 2000 一一一一起安装起安装起安装起安装允许服务器通过其他服务器中继允许服务器通过其他服务器中继允许服务器通过其他服务器中继允许服务器通过其他服务器中继(需要验证需要验证需要验证需要验证)l l SMTP AUTH(RFC
38、2554)主要是连接外部系统主要是连接外部系统主要是连接外部系统主要是连接外部系统 配置配置配置配置 SMTP SMTP connectorconnector保证服务器之间安全保证服务器之间安全-加密加密配置配置ISA 防毒防毒Information Store 方案方案l l存储事件存储事件存储事件存储事件在存储内当一个条目打开,保存,移动或删除时会触发在存储内当一个条目打开,保存,移动或删除时会触发在存储内当一个条目打开,保存,移动或删除时会触发在存储内当一个条目打开,保存,移动或删除时会触发事件类型事件类型事件类型事件类型 同步同步同步同步 当事件发生时当事件发生时当事件发生时当事件发生
39、时 异步异步异步异步 在事件发生之后在事件发生之后在事件发生之后在事件发生之后l l病毒扫描病毒扫描病毒扫描病毒扫描 APIAPI扫描邮件和附件扫描邮件和附件扫描邮件和附件扫描邮件和附件安优先级扫描队列安优先级扫描队列安优先级扫描队列安优先级扫描队列 主动邮件扫描主动邮件扫描主动邮件扫描主动邮件扫描增强背景扫描增强背景扫描增强背景扫描增强背景扫描线程池线程池线程池线程池每个每个每个每个MDB MDB 扫描扫描扫描扫描EDK EDK 网关内容扫描网关内容扫描网关内容扫描网关内容扫描本机本机本机本机 MAPI/MIME MAPI/MIME 内容扫描内容扫描内容扫描内容扫描扫描器按需重新启动扫描器按需重新启动扫描器按需重新启动扫描器按需重新启动传输方案传输方案l l整理公开中继整理公开中继Fix open relaysSMTP Relay ParametersSMTP Relay Parametersl l邮件过滤邮件过滤-Filter Maill l拒绝连接拒绝连接-Disallow connectionsl l阻止内部垃圾邮件阻止内部垃圾邮件-Stop internal spam桌面防毒桌面防毒