务实技术讲座系列

务实技术讲座系列务实技术讲座系列

如何部署如何部署 Exchange 2000Exchange 2000
和和 ISA 2000ISA 2000 构建应用构建应用

内容安排内容安排
 ADAD 和和 exchange 2000exchange 2000
 网络设计网络设计
 连接连接 InternetInternet
 安全安全

Active DirectoryActive Directory 在企业中在企业中
域和域和 OUsOUs 组成层组成层
次化管理结构次化管理结构
多个域可以组成多个域可以组成
 树树 -Trees-Trees
 森林森林 -Forests-Forests
Forest
Objects
DomainDomainDomainDomain
DomainDomain
Tree
DomainDomain
DomainDomain
Tree
DomainDomain
OUOU OUOU
OUOU

Active Directory SchemaActive Directory Schema
ObjectObject
Class ExamplesClass Examples
ObjectObject
Class ExamplesClass Examples
PrintersPrinters
ComputersComputers
UsersUsers
Attributes of UsersAttributes of Users
Might Contain:Might Contain:
Attributes of UsersAttributes of Users
Might Contain:Might Contain:
accountExpires
department
distinguishedName
middleName
accountExpires
department
distinguishedName
middleName
List of AttributesList of AttributesList of AttributesList of Attributes
accountExpires
department
distinguishedName
directReports
dNSHostName
operatingSystem
repsFrom
repsTo
middleName
…
accountExpires
department
distinguishedName
directReports
dNSHostName
operatingSystem
repsFrom
repsTo
middleName
…
AttributeAttribute
ExamplesExamples
AttributeAttribute
ExamplesExamples
Active Directory Schema Is:
 动态可用的
 动态可更新的
 由 DACLs 保护

域域 -Domains-Domains
一个域是个安全边界一个域是个安全边界
 一个域的管理员只能管理本域内的资源一个域的管理员只能管理本域内的资源 ,, 除非除非
明确被其他域授权明确被其他域授权
一个域是一个复制的单元一个域是一个复制的单元
 一个域的域控制器参与复制并包含这个域的完一个域的域控制器参与复制并包含这个域的完
整的目录信息整的目录信息
Windows 2000
Domain
Windows 2000
Domain
User1
User2
User1
User2
复制复制复制复制

Global CatalogGlobal Catalog
Global Catalog Server
Global CatalogGlobal CatalogGlobal CatalogGlobal Catalog
Subset of the
Attributes of All
Objects
Subset of the
Attributes of All
Objects
DomainDomain
Domain
DomainDomain
Domain
查询查询查询查询
Group membershipGroup membership
when user logs onwhen user logs on
Group membershipGroup membership
when user logs onwhen user logs on

站点结构站点结构
Sites:
 优化复制通信量
 让用户能够通过一个稳定的，高速的连接登录
到一个域控制器
Site
IP subnetIP subnetIP subnetIP subnet
IP subnetIP subnetIP subnetIP subnet
Los Angeles
Seattle
Chicago
New York

站点拓扑结构举例站点拓扑结构举例
Domain A Domain B
Site 1 Site 2Site Link
Domain A Domain B
Site 2
Site 1
Site Link
1 2
3 4

Active DirectoryActive Directory 森林森林
Exchange
2000
组织
contoso.msft
nwtraders.msft
samerica.nwtraders.msft
Exchange
2000
组织
Exchange
2000
组织
nwtraders.msft
samerica.nwtraders.msftnamerica.nwtraders.msft
Northwind
Traders
多个森林
一个森林

存放存放 Exchange 2000 DataExchange 2000 Data 数据数据
Users ComputersGroups
Domain
Partition
Configuration
Partition Exchange
Configuration Sites
Replication
Topology
Schema Partition
CN=Schema, CN=Configuration, DC=nwtraders, DC=msft

Active DirectoryActive Directory 数据库大小数据库大小
Active
Directory
425 MB
Active
Directory
345 MB
Active
Directory
110 MB
Active
Directory
27 MB
Active
Directory
13 MB
Install Windows 2000Install Windows 2000Install Windows 2000Install Windows 2000
Install Exchange 20000Install Exchange 20000Install Exchange 20000Install Exchange 20000
Add 10,000 Mail-Enabled UsersAdd 10,000 Mail-Enabled UsersAdd 10,000 Mail-Enabled UsersAdd 10,000 Mail-Enabled Users
Add 50,000 Non Mail-Enabled UsersAdd 50,000 Non Mail-Enabled UsersAdd 50,000 Non Mail-Enabled UsersAdd 50,000 Non Mail-Enabled Users
Mail-Enable 50,000 UsersMail-Enable 50,000 UsersMail-Enable 50,000 UsersMail-Enable 50,000 Users

User Principle NamesUser Principle Names
Tree
nwtraders.msft
namerica.nwtraders.msft samerica.nwtraders.msft
UPN=Joeb@nwtraders.msft
SMTP=Joeb@nwtraders.msft
UPN=Jamesw@nwtraders.msft
SMTP=Jamesw@nwtraders.msft
UPN=Miyokoy@nwtraders.msft
SMTP=Miyokoy@nwtraders.msft

Exchange
2000
Global
Catalog
Domain
Controller
Global
Catalog
Windows
2000 Site 2
Domain
Controller
Windows
2000 Site 1
Global Catalog 访问
Exchange 2000Exchange 2000 访问访问 Active DirectoryActive Directory
Windows
2000 Site 1
AAAA BBBB
Exchange
2000
Global
Catalog
Windows
2000 Site 2
CCCC DDDD
Global
Catalog
DS Access
Domain Controller 访问
DNSDNS

发现和定义发现和定义 Directory Service ServersDirectory Service Servers
Cache List
1. Domain Controller 1
.
.
.
10.
DNSDNSDNSDNS
DS AccessDS AccessDS AccessDS Access
Exchange 2000
LDAP DNS
Cache List
.
.
.
10.
DS AccessDS AccessDS AccessDS Access
Exchange 2000
LDAP
Domain
Controller

Exchange 2000Exchange 2000 和和 ADAD 站点设站点设
计计
 Windows 2000Windows 2000 站点不影响站点不影响 ExchangeExchange
20002000
 ExchangeExchange 信息路由基于路由组信息路由基于路由组
 路由组设计决定与路由组设计决定与 Active DirectoryActive Directory 站站
点非常相似点非常相似
 每个站点只能由一个活动的数据会议的每个站点只能由一个活动的数据会议的
会议管理器会议管理器

服务定位服务定位
 用户端需要下列服务用户端需要下列服务
 DNSDNS
 Domain ControllerDomain Controller
 Global CatalogGlobal Catalog

DNSDNS 和和 Active DirectoryActive Directory
 用户端使用用户端使用 DNSDNS 定位定位 Active DirectoryActive Directory
servicesservices
 Active Directory DNS RFCActive Directory DNS RFC 要求要求
 必须支持必须支持 SRVSRV 记录记录 , RFC 2052, RFC 2052
 应该支持应该支持 DHCPDHCP 动态更新动态更新 , RFC 2136, RFC 2136
 应该支持应该支持 Incremental Zone Transfer, RFC 1995Incremental Zone Transfer, RFC 1995
 Exchange serversExchange servers 使用使用 DNSDNS 定位其他定位其他
Exchange serversExchange servers
 ExchangeExchange 用户使用用户使用 DNSDNS 定位定位
Exchange serversExchange servers
 考虑考虑 DNSDNS 与与 ADAD 集成集成

Domain ControllerDomain Controller 放置放置
 Windows 2000Windows 2000 用户访问基于用户访问基于
Active DirectoryActive Directory 站点站点
 每个站点放置多个域控制器提供冗余每个站点放置多个域控制器提供冗余

Global Catalog ServerGlobal Catalog Server 放置放置
 ExchangeExchange 用户端使用用户端使用 GCGC 定位定位
Exchange Directory ServicesExchange Directory Services
 Exchange 5.0Exchange 5.0 用户端用户端 , Outlook 97/98, Outlook 97/98
由由 Exchange serverExchange server 代理代理
 Outlook 2000Outlook 2000 直接访问直接访问 ExchangeExchange
directory servicesdirectory services

网络状况网络状况
远程用户
本地网
分公司
InternetInternet 范围范围

典型网络分布典型网络分布
成都成都
广州广州
InternetInternet
北京北京
上海上海
InternetInternet
2M2M
1M1M
15001500 人人
500500 人人
500500 人人
5050 人人

部署部署 AD-AD- 多域多域
成都成都
广州广州
InternetInternet
北京北京
上海上海
InternetInternet
OUOU
北京北京
上海上海
域
广州广州
OUOU
成都
ABC.NETABC.NET
CD.ABC.NETCD.ABC.NET

服务器放置服务器放置
成都成都
广州广州
InternetInternet
北京北京
上海上海
InternetInternet
2M2M
1M1M
BJDCGC01BJDCGC01
BJDC02BJDC02 SHDCGC01SHDCGC01
GZDCGC01GZDCGC01
CDDCGC01CDDCGC01 512K512K

服务器配置服务器配置
 域控制器域控制器
 P3 500, 1GP3 500, 1G 内存内存
 磁盘磁盘 11 个个 18G –18G – 系统系统
 邮件服务器邮件服务器
 磁盘磁盘 11 个个 18G –18G – 系统，系统， 33 个个 80G –80G – 邮件数邮件数
据库据库
 如果可能可采用如果可能可采用 AAAA 集群—北京集群—北京

网络连接网络连接
 AD Site link –AD Site link – 站点连接站点连接
 BJ ----- SHBJ ----- SH
 BJ ----- GZBJ ----- GZ
 SH ----- GZSH ----- GZ
 BJ ----- CDBJ ----- CD
 Exchange 2000Exchange 2000 路由组路由组
 与与 AD Site LinkAD Site Link 匹配匹配
 管理组管理组
 与路由组匹配与路由组匹配
 InternetInternet 出口出口 ------ 北京，成都北京，成都

系统安装系统安装
 11 、北京安装、北京安装 ADAD
 22 、上海广州、上海广州 ,, 建立站点连接建立站点连接
 33 、、 e2ke2k
 44 、北京成都建立、北京成都建立 VPNVPN
 55 、成都安装、成都安装 ADAD ，建立站点连接，建立站点连接
 66 、成都安装、成都安装 e2ke2k

站点连接站点连接
成都成都
广州广州
InternetInternet
北京北京
上海上海
InternetInternet
BJ_SH , Cost 10BJ_SH , Cost 10
BJ_GZBJ_GZ
Cost:10Cost:10 SH_GZ, Cost 15SH_GZ, Cost 15
BJ_CD,Cost 15BJ_CD,Cost 15

安装安装 Exchange 2000Exchange 2000
First server
in the forest
Forest
Setup /forestprepSetup /forestprep
Windows 2000
ConfigConfigConfigConfig
SchemaSchemaSchemaSchema
ModifyModifyModifyModify
ModifyModifyModifyModify
InstallInstallInstallInstall
准备森林设置准备森林设置 /forestprep/forestprep

安装安装 Exchange 2000Exchange 2000
Setup /forestprepSetup /forestprep
Windows 2000
Domain Controller
InstallInstallInstallInstall
GroupGroup
UserUser
CreateCreateCreateCreate
Forest
GroupGroup
UserUser
Exchange 2000Exchange 2000
准备域设置准备域设置 /domainprep/domainprep

通过通过 VPNVPN 建立请求拨号连接建立请求拨号连接
Calling Router VPN Router
Internet
Intranet HQ
ISP ISP
VPN Tunnel
成都北京

请求拨号路由请求拨号路由

计划路由组计划路由组
服务器必须属于同一个 Active Directory directory service
forest
服务器彼此之间必须永久连接
路由组内的所有服务器必须能够连接到 routing group
master
在一个路由组的在一个路由组的 Exchange 2000Exchange 2000 必须满足下列条件必须满足下列条件在一个路由组的在一个路由组的 Exchange 2000Exchange 2000 必须满足下列条件必须满足下列条件
Cost = 10
Cost = 30
AAAA CCCC
BBBBCost = 10
User
C
User
C
User
C
User
C

路由组路由组
成都成都
广州广州
InternetInternet
北京北京
上海上海
InternetInternet
BJ_SH , Cost 100BJ_SH , Cost 100
BJ_GZBJ_GZ
Cost:100Cost:100 SH_GZ, Cost 150SH_GZ, Cost 150
BJ_CD,Cost 150BJ_CD,Cost 150

创建和配置存储组创建和配置存储组
ESEESE
TransactionLogTransactionLog
Store
Reserved
Store
Store
Store
Store
Storage Group A Storage Group B
TransactionLogTransactionLog
Store
Reserved
Store
Store
Store
Store
ESEESE

文件放置文件放置
系统分区和启动分区系统分区和启动分区
Mirror Set
C:
Storage Group 1
Transaction Logs
Storage Group 1
Transaction Logs
Mirror Set
E:
Storage Group 2
Transaction Logs
Storage Group 2
Transaction Logs
Mirror Set
F:
Page FilePage File
D:
All Database Files For
Both Storage Groups
All Database Files For
Both Storage Groups
Stripe Set with Parity
G:

备份恢复备份恢复
 http://www.microsoft.com/Ehttp://www.microsoft.com/E
xchange/techinfo/deploymexchange/techinfo/deployme
nt/2000/E2Krecovery.aspnt/2000/E2Krecovery.asp

Connect Exchange 2000 toConnect Exchange 2000 to
InternetInternet
ServerServer
InternetInternet

DNSDNS
.msft
nwtraders
MX 10 SMTP1.nwtraders.msft
DNSDNS
.msft
nwtraders
DNSDNS
.msft
nwtraders
Locating MX Records in DNS
DNSDNS 和和 SMTPSMTP
Internet
Sending SMTP Server
DNSDNS
A SMTP1.nwtraders.msft 192.168.2.200
nwtraders
.msft

ISAISA
InternetInternet
部署防火墙部署防火墙 -- 小型网络或分公司的配置小型网络或分公司的配置
企部网业內络企部网业內络
 访问策略规则访问策略规则 -- IPIP 封包封包 ,, 应应用程式用程式 ,, 使用者使用者 ,, 群组等的存取规则群组等的存取规则
 带宽规则带宽规则 -- 不同不同 Internet requestInternet request 所分配不同带宽的规则所分配不同带宽的规则
 发布规则发布规则 -- 将将 InternetInternet 服务服务 (( 如如 web,ftp,mail)web,ftp,mail) 透过防火墙透过防火墙
的保护公布給外界大众的保护公布給外界大众
 入侵检测入侵检测 -- 防火墙入侵监测与警示防火墙入侵监测与警示
 监视和日志监视和日志 –– 进出流量分析与报表进出流量分析与报表
 WebWeb 缓存缓存 -- 所有放火墙的安全策存内容略会被自动应用到缓存内容之上所有放火墙的安全策存内容略会被自动应用到缓存内容之上

蜂巢式安全防护体系蜂巢式安全防护体系
内部防火墙内部防火墙
中央监控服务器中央监控服务器
InternetInternet
中央管理服务器中央管理服务器
对外防火墙对外防火墙
内部防火墙内部防火墙

配置内部邮件路由到配置内部邮件路由到 internetinternet
 制定北京的一台服务器作为制定北京的一台服务器作为 SMTPSMTP 桥头桥头
堡连接到防火墙的内部堡连接到防火墙的内部 IPIP 地址地址
 上海、广州和北京的另一台服务器设定上海、广州和北京的另一台服务器设定
Smart HostSmart Host ，指到，指到 SMTPSMTP 桥头堡服务器桥头堡服务器
 成都成都 exchangeexchange 可以直接指到本地防火可以直接指到本地防火
墙墙

Secure SMTP ServerSecure SMTP Server
 Secure relaySecure relay
settingssettings
 Best Practice:Best Practice:
Default settings!Default settings!

ISA ServerISA Server 配置配置
HTTPS (SSL)HTTPS (SSL)
 映射的协议映射的协议 : “HTTPS server”: “HTTPS server”
 ISA Server listens on 443/tcpISA Server listens on 443/tcp
 接受入站通信接受入站通信
 重新产生新的包转发给重新产生新的包转发给 OWA serverOWA server
 保留原地址和端口保留原地址和端口

HTTPS (SSL) — SecurityHTTPS (SSL) — Security
 如果要求监测如果要求监测 ??
 使用使用 WebWeb 发布发布
 ISA ServerISA Server 需要更高的能力需要更高的能力 -- 考虑使用硬件加密卡考虑使用硬件加密卡
 SSLSSL 终止点终止点
 SSL stops at ISA ServerSSL stops at ISA Server
 Certificate per ISA Server IP addressCertificate per ISA Server IP address
 SSLSSL 桥桥
 SSL from Client to ISA Server; new SSL from ISASSL from Client to ISA Server; new SSL from ISA
Server to OWA serverServer to OWA server
 需要证书从需要证书从 ISAISA 到到 OWA serversOWA servers

SMTPSMTP
 映射的协议映射的协议 : “SMTP Server”: “SMTP Server”
 典型典型 ISA ServerISA Server 反向代理方式反向代理方式
 SMTP filterSMTP filter 提供保护提供保护
 附件部署附件部署
 拒绝的发送者和域拒绝的发送者和域
 SMTPSMTP 命令确认和限制命令确认和限制
 关键词过滤关键词过滤

保证保证 Exchange ServerExchange Server 安安
全全
Exchange
Server
ProtocolProtocol SourceSource DestinatioDestinatio
nn
PortPort
AnyAny InternalInternal
NetworkNetwork
Mail ServerMail Server AnyAny
ProtocolProtocol SourceSource DestinationDestination PortPort
SMTPSMTP AnyAny Mail ServerMail Server TCP 25TCP 25
POP3POP3 AnyAny Mail ServerMail Server TCP 110TCP 110
IMAPIMAP AnyAny Mail ServerMail Server TCP 143TCP 143
InternetInternet

Front end/Back EndFront end/Back End
FirewallFirewall
Open Ports:Open Ports:
443, 993, 995443, 993, 995
Front-EndFront-End
ServerServer
ServerServer
Active DirectoryActive Directory
Global Catalog ServerGlobal Catalog Server
ServerServer
ServerServerInternet
HTTP, IMAPHTTP, IMAP
or POP3 Clientor POP3 Client

使用使用 DMZDMZ
FirewallFirewall
OpenOpen
Ports:Ports:
443, 993,443, 993,
995995
ExchangeExchange
20002000
Front-EndFront-End
ServersServers
ServerServer
Active DirectoryActive Directory
Global Catalog ServerGlobal Catalog Server
ServerServer
ServerServerInternet
FirewallFirewall
OpenOpen
Ports: 80Ports: 80
143, 110,143, 110,
LDAP, etcLDAP, etc
DMZDMZ
HTTP, IMAPHTTP, IMAP
or POP3 Clientor POP3 Client

保证服务器之间安全保证服务器之间安全 -- 验证验证
 服务器和服务器自动使用服务器和服务器自动使用 X-EXPSX-EXPS 验验
证证
 Kerberos/NTLMKerberos/NTLM
 缺省缺省 SMTPSMTP 协议扩充与协议扩充与 Exchange 2000Exchange 2000
一起安装一起安装
 允许服务器通过其他服务器中继允许服务器通过其他服务器中继 (( 需要需要
验证验证 ))
 SMTP AUTH (RFC 2554)SMTP AUTH (RFC 2554)
 主要是连接外部系统 –配置主要是连接外部系统 –配置 SMTPSMTP
connectorconnector

保证服务器之间安全保证服务器之间安全 -- 加密加密
 IPSecIPSec
 定义不同的定义不同的 IPSec filtersIPSec filters
 最简单的配置最简单的配置
 使用组策略可以使所有的使用组策略可以使所有的 ExchangeExchange
serversservers 要求通过要求通过 2525 端口的入站信息加端口的入站信息加
密密
 http://www.microsoft.com/windows2000/techinfo/plannihttp://www.microsoft.com/windows2000/techinfo/planni
ng/security/ipsecsteps.aspng/security/ipsecsteps.asp
 TLS (TLS – RFC 2487)TLS (TLS – RFC 2487)
 要求在每台服务器上安装要求在每台服务器上安装 X.509v3X.509v3 服务服务
器密键器密键 ,,

配置配置 ISAISA 防毒防毒
 防止防止 Nimda WormNimda Worm
http://www.microsoft.com/technet/treeviewhttp://www.microsoft.com/technet/treeview
/default.asp?/default.asp?
url=/technet/prodtechnol/isa/deploy/isanurl=/technet/prodtechnol/isa/deploy/isan
imda.aspimda.asp
 防止防止 Code Red Worm."Code Red Worm."

Information StoreInformation Store 方案方案
 存储事件存储事件
 在存储内当一个条目打开，保存，移动或删除时会触发在存储内当一个条目打开，保存，移动或删除时会触发
 事件类型事件类型
 同步 – 当事件发生时同步 – 当事件发生时
 异步 – 在事件发生之后异步 – 在事件发生之后
 病毒扫描病毒扫描 APIAPI
 扫描邮件和附件扫描邮件和附件
 安优先级扫描队列安优先级扫描队列
 主动邮件扫描主动邮件扫描
 增强背景扫描增强背景扫描
 线程池线程池
 每个每个 MDBMDB 扫描扫描
 EDKEDK 网关内容扫描网关内容扫描
 本机本机 MAPI/MIMEMAPI/MIME 内容扫描内容扫描
 扫描器按需重新启动扫描器按需重新启动

传输方案传输方案
 整理公开中继整理公开中继 Fix open relaysFix open relays
 SMTP Relay ParametersSMTP Relay Parameters
 邮件过滤邮件过滤 -Filter Mail-Filter Mail
 拒绝连接拒绝连接 -Disallow connections-Disallow connections
 阻止内部垃圾邮件阻止内部垃圾邮件 -Stop internal spam-Stop internal spam

桌面防毒桌面防毒
 Windows andWindows and 浏览器浏览器
 下载最新的补丁下载最新的补丁
 定制浏览器的安全区域选项定制浏览器的安全区域选项
 OutlookOutlook 安全安全
 Outlook 98 / 2000 SP1Outlook 98 / 2000 SP1
 Upgrade available now from http://www.officeupdate.comUpgrade available now from http://www.officeupdate.com
 Outlook 2002Outlook 2002
 Built into base productBuilt into base product
 安装最新防病毒工具安装最新防病毒工具

务实技术讲座系列

Recommended

Recommended

More Related Content

Viewers also liked

Viewers also liked (20)

Similar to 务实技术讲座系列

Similar to 务实技术讲座系列 (20)

More from webhostingguy

More from webhostingguy (20)

务实技术讲座系列

Editor's Notes