务实技术讲座系列.ppt

,务实技术讲座系列,如何部署Exchange 2000 和ISA 2000构建应用,内容安排,AD 和 exchange 2000 网络设计 连接Internet 安全,Active Directory 在企业中,域和 OUs 组成层次化管理结构 多个域可以组成 树-Trees 森林-Forests,Active Directory Schema,Object Class Examples,Printers,Computers,Users,Attributes of Users Might Contain:,accountExpires department distinguishedName middleName,List of Attributes,accountExpires department distinguishedName directReports dNSHostName operatingSystem repsFrom repsTo middleName ,Attribute Examples,Active Directory Schema Is: 动态可用的 动态可更新的 由 DACLs 保护,域-Domains,一个域是个安全边界 一个域的管理员只能管理本域内的资源, 除非明确被其他域授权 一个域是一个复制的单元 一个域的域控制器参与复制并包含这个域的完整的目录信息,Global Catalog,查询,Group membership when user logs on,站点结构,Sites: 优化复制通信量 让用户能够通过一个稳定的，高速的连接登录到一个域控制器,站点拓扑结构举例,Active Directory 森林,存放 Exchange 2000 Data数据,Users,Computers,Groups,Active Directory 数据库大小,Install Windows 2000,Install Exchange 20000,Add 10,000 Mail-Enabled Users,Add 50,000 Non Mail-Enabled Users,Mail-Enable 50,000 Users,User Principle Names,Global Catalog 访问,Exchange 2000 访问 Active Directory,Windows 2000 Site 1,A,B,Exchange 2000,Global Catalog,Windows 2000 Site 2,C,D,Global Catalog,DS Access,Domain Controller 访问,DNS,发现和定义Directory Service Servers,Exchange 2000 和 AD 站点设计,Windows 2000 站点不影响 Exchange 2000 Exchange 信息路由基于路由组 路由组设计决定与 Active Directory 站点非常相似 每个站点只能由一个活动的数据会议的会议管理器,服务定位,用户端需要下列服务 DNS Domain Controller Global Catalog,DNS 和 Active Directory,用户端使用 DNS 定位Active Directory services Active Directory DNS RFC 要求 必须支持 SRV 记录, RFC 2052 应该支持 DHCP 动态更新, RFC 2136 应该支持 Incremental Zone Transfer, RFC 1995 Exchange servers 使用 DNS 定位其他Exchange servers Exchange 用户使用 DNS 定位 Exchange servers 考虑 DNS 与 AD 集成,Domain Controller 放置,Windows 2000 用户访问基于 Active Directory 站点 每个站点放置多个域控制器提供冗余,Global Catalog Server 放置,Exchange 用户端使用 GC 定位 Exchange Directory Services Exchange 5.0 用户端, Outlook 97/98 由Exchange server 代理 Outlook 2000 直接访问 Exchange directory services,网络设计,网络状况,远程用户,本地网,分公司,范围,典型网络分布,广州,2M,1M,1500人,500人,500人,50人,部署AD-多域,广州,域,ABC.NET,CD.ABC.NET,服务器放置,广州,2M,1M,BJDCGC01,BJDC02,SHDCGC01,GZDCGC01,CDDCGC01,512K,服务器配置,域控制器 P3 500, 1G 内存 磁盘 1 个 18G 系统 邮件服务器 磁盘 1 个 18G 系统，3 个80G 邮件数据库 如果可能可采用AA集群北京,网络连接,AD Site link 站点连接 BJ - SH BJ - GZ SH - GZ BJ - CD Exchange 2000 路由组 与AD Site Link 匹配 管理组 与路由组匹配 Internet 出口-北京，成都,系统安装,1、 北京安装AD 2、 上海广州 ,建立站点连接 3、 e2k 4、 北京成都建立VPN 5、 成都安装AD ，建立站点连接 6、成都安装 e2k,站点连接,广州,BJ_SH , Cost 10,BJ_GZ Cost:10,SH_GZ, Cost 15,BJ_CD,Cost 15,安装 Exchange 2000,First server in the forest,Forest,Setup /forestprep,Windows 2000,Config,Schema,Modify,Modify,Install,准备森林设置 /forestprep,安装 Exchange 2000,Setup /forestprep,Windows 2000 Domain Controller,Install,Group,User,Create,Config,Schema,Forest,Group,User,Config,Schema,Exchange 2000,准备域设置 /domainprep,通过VPN建立请求拨号连接,Calling Router,VPN Router,Internet,Intranet,HQ,ISP,ISP,VPN Tunnel,成都,北京,请求拨号路由,请求拨号路由,请求拨号路由,请求拨号路由,请求拨号路由,请求拨号路由,请求拨号路由,计划路由组,服务器必须属于同一个 Active Directory directory service forest 服务器彼此之间必须永久连接 路由组内的所有服务器必须能够连接到 routing group master,在一个路由组的Exchange 2000必须满足下列条件,Cost = 10,Cost = 30,A,C,B,Cost = 10,路由组,广州,BJ_SH , Cost 100,BJ_GZ Cost:100,SH_GZ, Cost 150,BJ_CD,Cost 150,创建和配置存储组,Storage Group A,Storage Group B,文件放置,系统分区和启动分区,Mirror Set,C:,Storage Group 1 Transaction Logs,Mirror Set,E:,Storage Group 2 Transaction Logs,Mirror Set,F:,Page File,D:,All Database Files For Both Storage Groups,Stripe Set with Parity,G:,备份恢复,/Exchange/techinfo/deployment/2000/E2Krecovery.asp,Connect Exchange 2000 to Internet,Server,Internet,Locating MX Records in DNS,DNS 和 SMTP,Internet,Sending SMTP Server,ISA,部署防火墙- 小型网络或分公司的配置,企业內部网络,访问策略规则 - IP封包, 应用程式, 使用者, 群组等的存取规则 带宽规则 - 不同Internet request所分配不同带宽的规则 发布规则 - 将Internet服务(如web,ftp,mail)透过防火墙 的保护公布給外界大众 入侵检测 - 防火墙入侵监测与警示 监视和日志 进出流量分析与报表 Web 缓存-所有放火墙的安全策存内容略会被自动应用到缓存内容之上,蜂巢式安全防护体系,内部防火墙,中央监控服务器,Internet,中央管理服务器,对外防火墙,内部防火墙,配置内部邮件路由到internet,制定北京的一台服务器作为SMTP桥头堡连接到防火墙的内部IP 地址 上海、广州和北京的另一台服务器设定Smart Host，指到 SMTP 桥头堡服务器 成都exchange 可以直接指到本地防火墙,Secure SMTP Server,Secure relay settings Best Practice: Default settings!,ISA Server 配置 HTTPS (SSL),映射的协议: “HTTPS server” ISA Server listens on 443/tcp 接受入站通信 重新产生新的包转发给 OWA server 保留原地址和端口,ISA Server 配置 HTTPS (SSL) Security,如果要求监测? 使用 Web 发布 ISA Server 需要更高的能力-考虑使用硬件加密卡 SSL 终止点 SSL stops at ISA Server Certificate per ISA Server IP address SSL 桥 SSL from Client to ISA Server; new SSL from ISA Server to OWA server 需要证书从 ISA 到 OWA servers,ISA Server 配置 SMTP,映射的协议: “SMTP Server” 典型 ISA Server 反向代理方式 SMTP filter 提供保护 附件部署 拒绝的发送者和域 SMTP 命令确认和限制 关键词过滤,保证 Exchange Server安全,Exchange Server,Front end/Back End,Firewall Open Ports: 443, 993, 995,Exchange 2000 Front-End Server,Exchange 2000 Server,Active Directory Global Catalog Server,Exchange 2000 Server,Exchange 2000 Server,Internet,HTTP, IMAP or POP3 Client,使用 DMZ,Firewall Open Ports: 443, 993, 995,Exchange 2000 Front-End Servers,Exchange 2000 Server,Active Directory Global Catalog Server,Exchange 2000 Server,Exchange 2000 Server,Internet,Firewall Open Ports: 80 143, 110, LDAP, etc,DMZ,HTTP, IMAP or POP3 Client,保证服务器之间安全-验证,服务器和服务器自动使用X-EXPS验证 Kerberos/NTLM 缺省 SMTP 协议扩充与Exchange 2000 一起安装 允许服务器通过其他服务器中继 (需要验证) SMTP AUTH (RFC 2554) 主要是连接外部系统 配置 SMTP connector,保证服务器之间安全- 加密,IPSec 定义不同的 IPSec filters 最简单的配置 使用组策略可以使所有的 Exchange servers 要求通过25 端口的入站信息加密 /windows2000/techinfo/planning/security/ipsecsteps.asp TLS (TLS RFC 2487) 要求在每台服务器上安装 X.509v3 服务器密键,配置ISA 防毒,防止 Nimda Worm /technet/treeview/default.asp?url=/technet/prodtechnol/isa/deploy/isanimda.asp 防止 Code Red Worm.“,Information Store 方案,存储事件 在存储内当一个条目打开，保存，移动或删除时会触发 事件类型 同步 当事件发生时 异步 在事件发生之后 病毒扫描 API 扫描邮件和附件 安优先级扫描队列 主动邮件扫描 增强背景扫描 线程池 每个MDB 扫描 EDK 网关内容扫描 本机 MAPI/MIME 内容扫描 扫描器按需重新启动