整合应用Planning_Exch.ppt

規劃 Exchange Server 與 Active Directory、ISA Server 2004 整合應用,巨匠電腦國際認證中心 資深講師 楊森盛 Andrew Yang S,Exchange Server 2003 的結構 Exchange Server 與 Active Directory 的協同運作 規劃 Exchange Server 與 Active Directory 的考量 SMTP 篩選 Exchange RPC filter 設計Exchange 與 ISA 2004,講座大綱:,您最好預先具備,參加本議程前，最好能預先具備以下主題的基本能力： Windows Server 2003 Active Directory Service Microsoft ISA Server,Exchange Server 2003 的結構,Exchange Server 5.X 核心元件,IS,DS,Exchange Server 5.5,Client Program Communication,LDAP,Clients,HTTP,IMAP4,POP3,MAPI,IIS Server,Core Components,Exchange Directory Replication,Organization,DS,Exchange Server 5.5,DS,Exchange Server 5.5,Directory Replication,Exchange 與 AD 整合,Exchange 5.x,Information Store Service Directory Service,Active Directory儲存Exchange 的資料,Users,Computers,Groups,Exchange Configuration,Replication Topology,Sites,Sizing the Active Directory Database,Install Windows 2000,Install Exchange 20000,Add 10,000 Mail-Enabled Users,Add 50,000 Non Mail-Enabled Users,Mail-Enable 50,000 Users,Exchange Server 與 Active Directory 的協同運作,Exchange Access to Active Directory,查詢使用者與設定資訊 使用 DSAccess 首先查詢相同Site的GC,Global Catalog Access,Windows Site 1,A,B,Exchange,Global Catalog,Windows Site 2,C,D,Global Catalog,DS Access,DSProxy,Exchange clients藉由directory service proxy (DSProxy)存取AD裡的資訊。,MAPI,Global Catalog,DNS Server,Exchange Server,Exchange client Outlook 97 Outlook 98,(MAPI DS),Exchange System Attendant starts,找出GC伺服器,回應結果,回應結果,瀏覽全域通訊清單,Client Referral Process,MAPI,Global Catalog,Exchange Server,Outlook 2000 Outlook 2003,瀏覽全域通訊清單,尋找Directory Service,referral,DSProxy,所有的目錄請求將直接地被送到GC,轉介機制將會減少Exchange Server的負荷 減少反應時間,設定轉介,Outlook設定 MAPI profile的轉介: HKEY_CURRENT_USER Software Microsoft Windows NT CurrentVersion Windows Messaging Subsystem Profiles profile name dca7402fe182 Value name: 001e6602 Value type: String Value data: DirectoryServer.domain (Example: london.nwtraders.msft),Exchange Server 與 Active Directory 的協同運作,規劃 Exchange Server 與 Active Directory 的考量,Active Directory Forest,,,,,Schema Partition,Configuration Partition,Domain Partition,Directory Partitions,Multiple Domains Can Form Trees Forests,Global Catalog Server,,,,,通用類別目錄(GC)伺服器的功能 維護樹系中所有網域之使用者物件的部份屬性集,Multiple Forests 與 Exchange Organization,,,,,Forest A,Forest B,Global Catalog,Exchange Organization,Exchange Organization,整合 Exchange 與 Active Directory,Exchange 2003 需要 Active Directory 來提供目錄服務 判定如何將 Exchange 整合到 Active Directory 結構中 單一樹系 多個執行 Exchange 的樹系 (典型的多重樹系),單一樹系,提供最豐富的郵件系統功能 最有效率的管理模式 單一全域通訊清單 (GAL) 會包含整個網域中的所有使用者,,,,Exchange Server,User 1,Exchange Server,User 2,GAL User1 User2,多個執行 Exchange 的樹系,一家公司將具有多個 Active Directory 樹系，各自含有其 Exchange 組織 可以在不同的 Exchange 組織之間，維護資料的獨立性及安全性界限 多個業務單位，各自具有不同的Schema需求 面臨合併收購或分割的情況,多個執行 Exchange 的樹系,Forest A,Exchange Server,User 01,User 02,User1 User2,聯絡人,Forest B,Exchange Server,GAL,User1,聯絡人 User2,GAL,User 02 聯絡人,User 01 聯絡人,同步處理工具 MIIS 2003,/taiwan/windowsserver2003/technologies/directory/miis/default.mspx,SMTP 篩選,ISA Server,True application-aware content-filtering firewall Exchange RPC SMTP H.323 FTP DNS POP3/IMAP4,SMTP 篩選,封鎖危險的程式碼 停止討厭的電子郵件訊息 兩個元件 ： SMTP 篩選器 檢查網際網路 SMTP 伺服器及用戶端傳送的 SMTP 命令 設定命令的最大長度 定義停用的命令 訊息過濾程式 MAIL FROM SMTP 命令中傳送的值 每一個附件的內容-配置標頭欄位 關鍵字篩選,SMTP 篩選,Exchange RPC filter,傳統防火牆,使用完整 Outlook MAPI 用戶端 遠端存取 Microsoft Exchange RPC 服務 內部網路邊緣防火牆上具有大量靜態開啟的連接埠 可能會有潛在設計用於攻擊 RPC 及 DCOM 服務的病毒,Internet,Exchange Server,DMZ,Internal Network,具有大量靜態開啟的連接埠,Outlook MAPI 用戶端,Exchange RPC filter,安裝 ISA Server 時，會提供兩個預設 RPC 通訊協定定義給連入要求 ： 任何 RPC 伺服器 Exchange RPC 伺服器 強制保護 Outlook MAPI 與公司 Exchange 伺服器的連線 可以強制必須透過安全的加密通道 如果連線沒有受到保護，ISA Server 將丟棄用戶端要求,Filter operation,Outlook MAPI 用戶端會在 ISA Server 的外部介面上建立到 TCP 連接埠 135 的連線 只回應Exchange RPC請求 如果偵測到無效的 RPC 通訊，則會丟棄連線 ISA Server 將連接埠號轉送給 Outlook MAPI 用戶端 Client makes new connection,ISA Server,Exchange,AD,Filter operation,有效 RPC 連線轉送至 Exchange 伺服器 Exchange 伺服器利用用戶端針對後續資料連線所使用的連接埠號來回應要求 ISA Server makes new connection ISA Server 攔截回應。RPC 篩選器過濾這些回應並變更來源連接埠號。,ISA Server,Exchange,AD,Filter operation,用戶端登入到Exchange Exchange代理登入到Active Directory Filter檢查是否要求加密 用戶端開啟Mailbox,ISA Server,Exchange,AD,Exchange RPC filter,設計Exchange 與 ISA 2004,Recall the typical design,ExFE,SMTP,ExBE,AD,New requirements, new designs,移動重要的伺服器提供較好的保護 加入ISA Server到你已存在的DMZ 藉由publishing增加安全 : Exchange RPC OWA over HTTPS RPC over HTTPS SMTP (content filter),Exchange 與 ISA 2004,結論,更多資訊,/fwlink/?linkid=25197 /fwlink/?LinkId=17837 /fwlink/?LinkId=18348 /fwlink/?LinkId=18349 /fwlink/?LinkId=21177 /taiwan/windowsserver2003/technologies/directory/miis/default.mspx,Attend a free chat or web cast /communities/chats/default.mspx /usa/webcasts/default.asp List of newsgroups / communities/newsgroups/en-us/default.aspx MS Community Sites /communities/default.mspx Locate Local User Groups /communities/usergroups/default.mspx Community sites /communities/related/default.mspx,整體服務 Insights & Answers for IT Professionals,TechNet 光碟、TechNet Plus光碟 Microsoft TechNet 實務技術講座 網站 /taiwan/technet TechNet F