务实技术讲座系列
DESCRIPTION
务实技术讲座系列. 如何部署 Exchange 2000 和 ISA 2000 构建应用. 内容安排. AD 和 exchange 2000 网络设计 连接 Internet 安全. Domain. Domain. Domain. OU. OU. OU. Domain. Domain. Domain. Tree. Tree. Forest. Objects. Active Directory 在企业中. 域和 OUs 组成层次化管理结构 多个域可以组成 树 -Trees 森林 -Forests. - PowerPoint PPT PresentationTRANSCRIPT
务实技术讲座系列务实技术讲座系列
如何部署如何部署 Exchange 2000 Exchange 2000 和和 ISA 2000ISA 2000 构建应用构建应用
内容安排内容安排AD AD 和 和 exchange 2000exchange 2000 网络设计网络设计 连接连接 InternetInternet 安全安全
Active Directory Active Directory 在企业中在企业中
域和域和 OUs OUs 组成层次组成层次化管理结构化管理结构
多个域可以组成多个域可以组成 树树 -Trees-Trees 森林森林 -Forests-Forests
Forest
Objects
DomainDomainDomainDomain
DomainDomain
Tree
DomainDomain
DomainDomain
Tree
DomainDomainOUOU OUOU
OUOU
Active Directory SchemaActive Directory SchemaObjectObject
Class ExamplesClass ExamplesObjectObject
Class ExamplesClass Examples
PrintersPrinters
ComputersComputers
UsersUsers
Attributes of Users Attributes of Users Might Contain:Might Contain:
Attributes of Users Attributes of Users Might Contain:Might Contain:
accountExpiresdepartmentdistinguishedNamemiddleName
accountExpiresdepartmentdistinguishedNamemiddleName
List of AttributesList of AttributesList of AttributesList of Attributes
accountExpiresdepartmentdistinguishedNamedirectReportsdNSHostNameoperatingSystemrepsFromrepsTomiddleName…
accountExpiresdepartmentdistinguishedNamedirectReportsdNSHostNameoperatingSystemrepsFromrepsTomiddleName…
Attribute Attribute ExamplesExamplesAttribute Attribute ExamplesExamples
Active Directory Schema Is: 动态可用的 动态可更新的 由 DACLs 保护
域域 -Domains-Domains一个域是个安全边界一个域是个安全边界
一个域的管理员只能管理本域内的资源一个域的管理员只能管理本域内的资源 , , 除非明确除非明确被其他域授权被其他域授权
一个域是一个复制的单元一个域是一个复制的单元 一个域的域控制器参与复制并包含这个域的完整的一个域的域控制器参与复制并包含这个域的完整的
目录信息目录信息
Windows 2000Domain
Windows 2000Domain
User1
User2User1
User2复制复制复制复制
Global CatalogGlobal Catalog
Global Catalog Server
Global CatalogGlobal CatalogGlobal CatalogGlobal Catalog
Subset of the Attributes of All
Objects
Subset of the Attributes of All
Objects
DomainDomain
Domain
DomainDomain
Domain
查询查询查询查询
Group membershipGroup membershipwhen user logs onwhen user logs on
Group membershipGroup membershipwhen user logs onwhen user logs on
站点结构 站点结构
Sites:
优化复制通信量 让用户能够通过一个稳定的,高速的连接登录
到一个域控制器
SiteIP subnetIP subnetIP subnetIP subnet
IP subnetIP subnetIP subnetIP subnet
Los Angeles
Seattle
ChicagoNew York
站点拓扑结构举例站点拓扑结构举例
Domain A Domain B
Site 1 Site 2Site Link
Domain A Domain B
Site 2
Site 1Site Link
1 2
3 4
Active Directory Active Directory 森林森林
Exchange2000组织
contoso.msftcontoso.msft
nwtraders.msft
samerica.nwtraders.msft
Exchange2000组织
Exchange2000组织
nwtraders.msft
samerica.nwtraders.msftnamerica.nwtraders.msft
NorthwindTraders
多个森林
一个森林
存放 存放 Exchange 2000 DataExchange 2000 Data 数据数据
Users ComputersGroups
DomainPartition
ConfigurationPartition Exchange
Configuration SitesReplicationTopology
Schema Partition
CN=Schema, CN=Configuration, DC=nwtraders, DC=msft
Active Directory Active Directory 数据库大小数据库大小Active
DirectoryActive
Directory
425 MB425 MB
ActiveDirectory
ActiveDirectory
345 MB345 MB
ActiveDirectory
ActiveDirectory
110 MB110 MB
ActiveDirectory
ActiveDirectory
27 MB27 MB
ActiveDirectory
ActiveDirectory
13 MB13 MBInstall Windows 2000Install Windows 2000Install Windows 2000Install Windows 2000
Install Exchange 20000Install Exchange 20000Install Exchange 20000Install Exchange 20000
Add 10,000 Mail-Enabled UsersAdd 10,000 Mail-Enabled UsersAdd 10,000 Mail-Enabled UsersAdd 10,000 Mail-Enabled Users
Add 50,000 Non Mail-Enabled UsersAdd 50,000 Non Mail-Enabled UsersAdd 50,000 Non Mail-Enabled UsersAdd 50,000 Non Mail-Enabled Users
Mail-Enable 50,000 UsersMail-Enable 50,000 UsersMail-Enable 50,000 UsersMail-Enable 50,000 Users
User Principle NamesUser Principle Names
Tree
nwtraders.msft
namerica.nwtraders.msft samerica.nwtraders.msft
[email protected][email protected]
Exchange2000
GlobalCatalog
DomainController
GlobalCatalog
Windows2000 Site 2
DomainController
Windows2000 Site 1
Global Catalog 访问
Exchange 2000 Exchange 2000 访问 访问 Active DirectoryActive Directory
Windows2000 Site 1
AAAA BBBB
Exchange2000
GlobalCatalog
Windows2000 Site 2
CCCC DDDD
GlobalCatalog
DS Access
Domain Controller 访问
DNSDNS
发现和定义发现和定义 Directory Service ServersDirectory Service ServersCache List1. Domain Controller 12. Domain Controller 23. Domain Controller 3...10.
DNSDNSDNSDNSDS AccessDS AccessDS AccessDS Access
Exchange 2000
LDAP DNS
Cache List1. Domain Controller 12. Domain Controller 23. Domain Controller 3...10.
DS AccessDS AccessDS AccessDS Access
Exchange 2000
LDAP
DomainController
Exchange 2000 Exchange 2000 和 和 AD AD 站点设站点设计计 Windows 2000 Windows 2000 站点不影响站点不影响 Exchange Exchange
20002000 Exchange Exchange 信息路由基于路由组信息路由基于路由组 路由组设计决定与路由组设计决定与 Active Directory Active Directory 站站
点非常相似点非常相似 每个站点只能由一个活动的数据会议的会每个站点只能由一个活动的数据会议的会
议管理器议管理器
服务定位服务定位 用户端需要下列服务用户端需要下列服务
DNSDNS Domain ControllerDomain Controller Global CatalogGlobal Catalog
DNS DNS 和 和 Active DirectoryActive Directory 用户端使用 用户端使用 DNS DNS 定位定位 Active Directory Active Directory
servicesservices Active Directory DNS RFC Active Directory DNS RFC 要求要求
必须支持必须支持 SRV SRV 记录记录 , RFC 2052, RFC 2052 应该支持应该支持 DHCP DHCP 动态更新动态更新 , RFC 2136, RFC 2136 应该支持应该支持 Incremental Zone Transfer, RFC 1995Incremental Zone Transfer, RFC 1995
Exchange servers Exchange servers 使用 使用 DNS DNS 定位其他定位其他Exchange serversExchange servers
Exchange Exchange 用户使用用户使用 DNS DNS 定位 定位 Exchange Exchange serversservers
考虑 考虑 DNS DNS 与 与 AD AD 集成集成
Domain Controller Domain Controller 放置放置
Windows 2000 Windows 2000 用户访问基于用户访问基于 Active Active Directory Directory 站点站点
每个站点放置多个域控制器提供冗余每个站点放置多个域控制器提供冗余
Global Catalog Server Global Catalog Server 放置放置
Exchange Exchange 用户端使用用户端使用 GC GC 定位 定位 Exchange Directory ServicesExchange Directory Services
Exchange 5.0 Exchange 5.0 用户端用户端 , Outlook 97/98 , Outlook 97/98 由由Exchange server Exchange server 代理代理
Outlook 2000 Outlook 2000 直接访问 直接访问 Exchange Exchange directory servicesdirectory services
网络设计网络设计
网络状况网络状况
远程用户
本地网
分公司
Internet Internet Internet Internet 范围范围
典型网络分布典型网络分布
成都 成都
广州 广州
InternetInternet
北京 北京
上海 上海 Internet Internet Internet Internet
2M2M
1M1M
15001500 人人
500500 人人
500500 人人5050 人人
部署部署 AD-AD- 多域多域
成都 成都
广州 广州
InternetInternet
北京 北京
上海 上海 Internet Internet Internet Internet
OUOU
北京北京上海上海
域
广州广州OUOU
成都
ABC.NETABC.NET
CD.ABC.NETCD.ABC.NET
服务器放置服务器放置
成都 成都
广州 广州
InternetInternet
北京 北京
上海 上海 Internet Internet Internet Internet
2M2M
1M1M
BJDCGC01BJDCGC01
BJDC02BJDC02 SHDCGC01SHDCGC01
GZDCGC01GZDCGC01
CDDCGC01CDDCGC01 512K512K
服务器配置服务器配置 域控制器域控制器
P3 500, 1G P3 500, 1G 内存内存 磁盘 磁盘 1 1 个 个 18G –18G – 系统系统
邮件服务器邮件服务器 磁盘 磁盘 1 1 个 个 18G –18G – 系统,系统, 3 3 个个 80G –80G – 邮件数据邮件数据
库库 如果可能可采用如果可能可采用 AAAA 集群集群——北京北京
网络连接网络连接 AD Site link –AD Site link – 站点连接站点连接
BJ ----- SHBJ ----- SH BJ ----- GZ BJ ----- GZ SH ----- GZSH ----- GZ BJ ----- CDBJ ----- CD
Exchange 2000 Exchange 2000 路由组 路由组 与与 AD Site Link AD Site Link 匹配匹配
管理组管理组 与路由组匹配与路由组匹配
Internet Internet 出口出口 ------ 北京,成都北京,成都
系统安装系统安装 11 、 北京安装、 北京安装 ADAD 22 、 上海广州 、 上海广州 ,, 建立站点连接建立站点连接 33 、 、 e2k e2k 44 、 北京成都建立、 北京成都建立 VPN VPN 55 、 成都安装、 成都安装 AD AD ,建立站点连接,建立站点连接 66 、成都安装 、成都安装 e2ke2k
站点连接站点连接
成都 成都
广州 广州
InternetInternet
北京 北京
上海 上海 Internet Internet Internet Internet
BJ_SH , Cost 10BJ_SH , Cost 10
BJ_GZBJ_GZCost:10 Cost:10 SH_GZ, Cost 15SH_GZ, Cost 15
BJ_CD,Cost 15BJ_CD,Cost 15
安装 安装 Exchange 2000Exchange 2000First server in the forest
Forest
Setup /forestprepSetup /forestprep
Windows 2000
ConfigConfigConfigConfig
SchemaSchemaSchemaSchema
ModifyModifyModifyModify
ModifyModifyModifyModifyInstallInstallInstallInstall
准备森林设置准备森林设置 /forestprep/forestprep
安装 安装 Exchange 2000Exchange 2000
Setup /forestprepSetup /forestprep
Windows 2000Domain Controller
InstallInstallInstallInstall
GroupGroup
UserUserCreateCreateCreateCreate
ConfigConfigConfigConfig
SchemaSchemaSchemaSchema
Forest
GroupGroup
UserUser
ConfigConfigConfigConfig
SchemaSchemaSchemaSchema
Exchange 2000Exchange 2000
准备域设置准备域设置 /domainprep/domainprep
通过通过 VPNVPN 建立请求拨号连接建立请求拨号连接
Calling Router VPN Router
Internet
Intranet HQ
ISP ISP
VPN Tunnel
成都 北京
请求拨号路由请求拨号路由
请求拨号路由请求拨号路由
请求拨号路由请求拨号路由
请求拨号路由请求拨号路由
请求拨号路由请求拨号路由
请求拨号路由请求拨号路由
请求拨号路由请求拨号路由
计划路由组计划路由组
服务器必须属于同一个 Active Directory directory service forest
服务器彼此之间必须永久连接
路由组内的所有服务器必须能够连接到 routing group master
在一个路由组的在一个路由组的 Exchange 2000Exchange 2000 必须满足下列条件必须满足下列条件在一个路由组的在一个路由组的 Exchange 2000Exchange 2000 必须满足下列条件必须满足下列条件
Cost = 10
Cost = 30
AAAA CCCC
BBBBCost = 10
UserC
UserC
UserC
UserC
路由组路由组
成都 成都
广州 广州
InternetInternet
北京 北京
上海 上海 Internet Internet Internet Internet
BJ_SH , Cost 100BJ_SH , Cost 100
BJ_GZBJ_GZCost:100 Cost:100 SH_GZ, Cost 150SH_GZ, Cost 150
BJ_CD,Cost 150BJ_CD,Cost 150
创建和配置存储组创建和配置存储组
ESEESE
Tran
saction
Lo
gT
ransactio
n L
og
StoreStore
ReservedReserved
StoreStore
StoreStore
StoreStore
StoreStore
Storage Group A Storage Group B
Tran
saction
Lo
gT
ransactio
n L
og
StoreStore
ReservedReserved
StoreStore
StoreStore
StoreStore
StoreStore
ESEESE
文件放置文件放置系统分区和启动分区系统分区和启动分区
Mirror Set
C:\
Storage Group 1Transaction LogsStorage Group 1Transaction Logs
Mirror Set
E:\
Storage Group 2Transaction LogsStorage Group 2Transaction Logs
Mirror Set
F:\
Page FilePage FileD:\
All Database Files For Both Storage GroupsAll Database Files For Both Storage Groups
Stripe Set with Parity
G:\
备份恢复备份恢复
http://www.microsoft.com/http://www.microsoft.com/Exchange/techinfo/Exchange/techinfo/deployment/2000/deployment/2000/E2Krecovery.aspE2Krecovery.asp
Connect Exchange 2000 to Connect Exchange 2000 to Internet Internet
ServerServer
InternetInternet
DNSDNS.msft
nwtraders
MX 10 SMTP1.nwtraders.msft
MX 20 SMTP2.nwtraders.msft
MX 30 SMTP3.nwtraders.msft
DNSDNS.msft
nwtraders
MX 10 SMTP1.nwtraders.msft
MX 20 SMTP2.nwtraders.msft
MX 30 SMTP3.nwtraders.msft
DNSDNS.msft
nwtraders
MX 10 SMTP1.nwtraders.msft
MX 20 SMTP2.nwtraders.msft
MX 30 SMTP3.nwtraders.msft
Locating MX Records in DNS
DNS DNS 和 和 SMTPSMTP
Internet
Sending SMTP Server
DNSDNS
A SMTP1.nwtraders.msft 192.168.2.200
nwtraders
MX 10 SMTP1.nwtraders.msft
MX 20 SMTP2.nwtraders.msft
MX 30 SMTP3.nwtraders.msft
.msft
ISAISA
InternetInternetInternetInternet
部署防火墙部署防火墙 -- 小型网络或分公司的配置小型网络或分公司的配置
企业內部网络企业內部网络
访问策略规则访问策略规则 - - IPIP 封包封包 , , 应应用程式用程式 , , 使用者使用者 , , 群组等的存取规则群组等的存取规则 带宽规则带宽规则 - - 不同不同 Internet requestInternet request 所分配不同带宽的规则所分配不同带宽的规则 发布规则发布规则 - - 将将 InternetInternet 服务服务 (( 如如 web,ftp,mail)web,ftp,mail) 透过防火墙透过防火墙
的保护公布給外界大众的保护公布給外界大众 入侵检测 入侵检测 - - 防火墙入侵监测与警示防火墙入侵监测与警示 监视和日志监视和日志 – – 进出流量分析与报表进出流量分析与报表 Web Web 缓存缓存 -- 所有放火墙的安全策存内容略会被自动应用到缓存内容之上所有放火墙的安全策存内容略会被自动应用到缓存内容之上
Internet
Exchange 2000bridgeheadINBOUND
1
Exchange 2000Mailbox server
TCP port 25opened
TCP port 25opened
Additional portsmay need to be
opened53, 88,..
Internet Host
Exchange 2000bridgeheadINBOUND
2
Exchange 2000bridgehead
OUTBOUND1
Exchange 2000bridgehead
OUTBOUND2
蜂巢式安全防护体系蜂巢式安全防护体系
内部防火墙内部防火墙
中央监控服务器中央监控服务器InternetInternet
中央管理服务器中央管理服务器
对外防火墙对外防火墙
内部防火墙内部防火墙
配置内部邮件路由到配置内部邮件路由到 internetinternet
制定北京的一台服务器作为制定北京的一台服务器作为 SMTPSMTP 桥头堡桥头堡连接到防火墙的内部连接到防火墙的内部 IP IP 地址地址
上海、广州和北京的另一台服务器设定上海、广州和北京的另一台服务器设定Smart HostSmart Host ,指到 ,指到 SMTP SMTP 桥头堡服务器桥头堡服务器
成都成都 exchange exchange 可以直接指到本地防火墙可以直接指到本地防火墙
Secure SMTP ServerSecure SMTP Server
Secure relay Secure relay settingssettings
Best Practice: Best Practice: Default settings!Default settings!
ISA Server ISA Server 配置配置HTTPS (SSL)HTTPS (SSL)
映射的协议映射的协议 : “HTTPS server”: “HTTPS server” ISA Server listens on 443/tcpISA Server listens on 443/tcp 接受入站通信接受入站通信 重新产生新的包转发给重新产生新的包转发给 OWA serverOWA server
保留原地址和端口保留原地址和端口
ISA Server ISA Server 配置配置HTTPS (SSL) — SecurityHTTPS (SSL) — Security
如果要求监测如果要求监测 ?? 使用 使用 Web Web 发布发布 ISA Server ISA Server 需要更高的能力需要更高的能力 -- 考虑使用硬件加密卡考虑使用硬件加密卡
SSL SSL 终止点终止点 SSL stops at ISA ServerSSL stops at ISA Server Certificate per ISA Server IP addressCertificate per ISA Server IP address
SSL SSL 桥桥 SSL from Client to ISA Server; new SSL from ISA SSL from Client to ISA Server; new SSL from ISA
Server to OWA serverServer to OWA server 需要证书从需要证书从 ISA ISA 到 到 OWA serversOWA servers
ISA Server ISA Server 配置配置SMTPSMTP
映射的协议映射的协议 : “SMTP Server”: “SMTP Server” 典型 典型 ISA Server ISA Server 反向代理方式反向代理方式 SMTP filter SMTP filter 提供保护提供保护
附件部署附件部署 拒绝的发送者和域拒绝的发送者和域 SMTP SMTP 命令确认和限制命令确认和限制 关键词过滤关键词过滤
保证 保证 Exchange ServerExchange Server 安全安全
Exchange Server
ProtocolProtocol SourceSource DestinatioDestinationn
PortPort
AnyAny Internal Internal NetworkNetwork
Mail ServerMail Server AnyAny
ProtocolProtocol SourceSource DestinationDestination PortPort
SMTPSMTP AnyAny Mail ServerMail Server TCP 25TCP 25
POP3POP3 AnyAny Mail ServerMail Server TCP 110TCP 110
IMAPIMAP AnyAny Mail ServerMail Server TCP 143TCP 143
Internet Internet
Front end/Back End Front end/Back End
FirewallFirewallOpen Ports: Open Ports: 443, 993, 995443, 993, 995
Exchange 2000Exchange 2000Front-EndFront-EndServerServer
Exchange 2000Exchange 2000ServerServer
Active DirectoryActive DirectoryGlobal Catalog ServerGlobal Catalog Server
Exchange 2000Exchange 2000ServerServer
Exchange 2000Exchange 2000ServerServerInternet
HTTP, IMAPHTTP, IMAPor POP3 Clientor POP3 Client
使用 使用 DMZDMZ
FirewallFirewallOpen Open Ports:Ports:443, 993, 443, 993, 995995
Exchange Exchange 20002000Front-EndFront-EndServersServers
Exchange 2000Exchange 2000ServerServer
Active DirectoryActive DirectoryGlobal Catalog ServerGlobal Catalog Server
Exchange 2000Exchange 2000ServerServer
Exchange 2000Exchange 2000ServerServerInternet
FirewallFirewallOpenOpenPorts: 80Ports: 80143, 110,143, 110,LDAP, etcLDAP, etc
DMZDMZ
HTTP, IMAPHTTP, IMAPor POP3 Clientor POP3 Client
保证服务器之间安全保证服务器之间安全 --验证验证
服务器和服务器自动使用服务器和服务器自动使用 X-EXPSX-EXPS 验证验证 Kerberos/NTLMKerberos/NTLM 缺省缺省 SMTP SMTP 协议扩充与协议扩充与 Exchange 2000 Exchange 2000
一起安装一起安装 允许服务器通过其他服务器中继允许服务器通过其他服务器中继 (( 需要验需要验
证证 ))
SMTP AUTH (RFC 2554)SMTP AUTH (RFC 2554) 主要是连接外部系统主要是连接外部系统 – –配置配置 SMTP SMTP
connectorconnector
保证服务器之间安全保证服务器之间安全 - - 加密加密
IPSecIPSec 定义不同的 定义不同的 IPSec filtersIPSec filters 最简单的配置最简单的配置 使用组策略可以使所有的使用组策略可以使所有的 Exchange Exchange
servers servers 要求通过要求通过 25 25 端口的入站信息加密端口的入站信息加密 http://www.microsoft.com/windows2000/techinfo/plannihttp://www.microsoft.com/windows2000/techinfo/planni
ng/security/ipsecsteps.aspng/security/ipsecsteps.asp
TLS (TLS – RFC 2487)TLS (TLS – RFC 2487) 要求在每台服务器上安装要求在每台服务器上安装 X.509v3 X.509v3 服务器服务器密键密键 , ,
配置配置 ISA ISA 防毒防毒 防止 防止 Nimda Worm Nimda Worm
http://www.microsoft.com/technet/http://www.microsoft.com/technet/treeview/default.asp?url=/technet/treeview/default.asp?url=/technet/prodtechnol/isa/deploy/isanimda.aspprodtechnol/isa/deploy/isanimda.asp
防止 防止 Code Red Worm."Code Red Worm."
Information Store Information Store 方案方案 存储事件存储事件
在存储内当一个条目打开,保存,移动或删除时会触发在存储内当一个条目打开,保存,移动或删除时会触发 事件类型事件类型
同步 同步 – – 当事件发生时当事件发生时 异步 异步 – – 在事件发生之后在事件发生之后
病毒扫描 病毒扫描 APIAPI 扫描邮件和附件扫描邮件和附件 安优先级扫描队列安优先级扫描队列 主动邮件扫描主动邮件扫描 增强背景扫描增强背景扫描 线程池线程池 每个每个 MDB MDB 扫描扫描 EDK EDK 网关内容扫描网关内容扫描 本机本机 MAPI/MIME MAPI/MIME 内容扫描内容扫描 扫描器按需重新启动扫描器按需重新启动
传输方案传输方案 整理公开中继整理公开中继 Fix open relaysFix open relays
SMTP Relay ParametersSMTP Relay Parameters
邮件过滤邮件过滤 -Filter Mail-Filter Mail 拒绝连接拒绝连接 -Disallow connections-Disallow connections 阻止内部垃圾邮件阻止内部垃圾邮件 -Stop internal spam-Stop internal spam
桌面防毒桌面防毒 Windows and Windows and 浏览器浏览器
下载最新的补丁下载最新的补丁 定制浏览器的安全区域选项定制浏览器的安全区域选项
Outlook Outlook 安全安全 Outlook 98 / 2000 SP1Outlook 98 / 2000 SP1
Upgrade available now from Upgrade available now from http://http://www.officeupdate.comwww.officeupdate.com
Outlook 2002Outlook 2002 Built into base productBuilt into base product
安装最新防病毒工具安装最新防病毒工具