科技有限公司项目实施方案.doc

科技有限公司项目实施方案科技有限公司项目实施方案目 录一、项目实施拓扑图二、设备命名规范三、设备管理口令四、IP地址分配方案交换机管理地址分配路由器地址分配五、测试要求六、各种设备配置步骤交换机的配置路由器的配置七、服务器的配置 各种服务器的配置客户机的配置八、测试一、 项目实施拓扑图.接入区域1#7#核心区域服务器区域接入区域DMZ区域WEBMAILISAserverInternet网管工作站二、 设备命名规范为了便于管理以及方面日后的维护，本实施方案对某集团网络所使用的网络设备进行统一命名。在实际的实施过程中，网络设备按照命名规则完成命名后，将以标签的方式粘贴在设备的显要位置。实行统一命名的设备类型包括：l 接入层交换机l 汇聚层交换机l 核心层交换机命名规则见下表表1 设备类型命名规则说明示例接入层交换机B?_F?_S?_T?B？：表示楼号F？：表示楼层号S？：表示该楼层中的交换机号，为了以后的扩展性考虑，交换机号用两位数字表示T?：表示交换机型号B1_F2_S03表示1号楼2楼的第3台交换机汇聚层交换机B?_D_S?_T?M_D_S?_T?I_D_S?_T?D：表示汇聚层M：表示服务器区块I：表示因特网接入区块其余同上B1_D_S02表示1号楼第2台主交换机M_D_S01表示服务器区块第1台主交换机I_D_S01表示因特网接入区块第1台主交换机核心层交换机C_S?C：表示核心层其余同上C_S01表示核心层第1台交换机三、 设备管理口令配置设备口令，是防止非授权人员更改网络系统的配置的重要手段。要为所有的设备设置口令，对于网络设备需要为每一台设备设置CONSOLE口令、AUX口令、VTY口令、特权口令等。对于口令的设置，需要制定管理制度并严格执行，口令管理制度包括口令的设置、保管、更改以及口令的强度等内容。l 口令强度口令强度决定了口令被破译的难度，是口令安全性的基本保障。从某集团本身对网络安全性的要求来考虑，口令强度为一般性的强口令即可。口令要求采用1012位口令，该口令必须是数字和字母的组合，其中字母的个数不能少于4个。字母可以为大写和小写字母。例如：XinWF7002l 口令设置从安全的角度出发，最佳方案是为每一台设备设置不同的口令。但是从实际的工作需要出发，也可以对每一分公司的同一类型的设备设置相同的口令，便于管理和日常的维护。由于口令需要定时或不定时地进行经常性修改，所以下表描述地只是初始化口令设置。表 2序号分公司名称类型CONSOLE口令AUX口令VTY口令特权口令1总部接入层交换机9B987839402BDC68DD6497DD4BB9992FA53AAA2总部汇聚层交换机B5D159DF503F71CAFE6340D944748C557B404CA3总部服务器区块交换机7EBC81334E187A1CABCF1F6E4057AAFEB6589DC4总部因特网接入区块ECD70624A754C432ECA9A2874B65AD4FF3C41ED5总部DMZ区块交换机F18DK10D91K8WK1KS981KD919SS11SDDDF536总部核心层交换机DDACD8C7AB873DA99AA55C8C414EB5B88398DB47分公司一接入层交换机322864BB1D8B80DB3E1096FC485D8FD297E6C1348分公司一汇聚层交换机5EF048C75A824A5C31EF4BD54BF0B941E48A57159分公司二接入层交换机957E0AF1D9D6AE0F6A7EB5124DFBA7D9993C3EF10分公司二汇聚层交换机052FC7C2A766DDDE0A9DF7A44021A0773BBB8A111分公司三接入层交换机2B247E42AF6192E99E96CFBF4951BFB48884085212分公司三汇聚层交换机6998587F966FC6C292917BC54B2FAC37AA0CB4213分公司四接入层交换机3AD5AEB8968C33284C8CEA124475B2D2B916766814分公司四汇聚层交换机913E01CEA599403CA8E87D3E44A1B5CF6AB646815分公司五接入层交换机74774B542C6A33AFE03B07844AFB86FD1BC68B116分公司五汇聚层交换机B8CEC1E55C8E1565BFEB3BD84190A98280B436D17分公司六接入层交换机9389108FA0D1CCC1177F78FB49D2B99A64C975318分公司六汇聚层交换机EF957F3E7D6EFF388595528E4362A21A98A292019分公司七接入层交换机1A2C60E27BDD937B7D66499445A1B16AC4E766C19分公司七汇聚层交换机0E587D8A15E3A8796AEF185B4DD1A20E6086EAE表 口令设置表l 口令保管对于口令的保管必须遵从严格的管理规范。口令的保管方式同上口令设置表。口令原则上只能由系统管理员保管，保管的介质为纸质和电子两种。为了防止系统管理员丢失口令，每次发生口令更新以后，对于纸质口令资料，系统管理员进行封存。对于电子的口令资料，系统管理员需要保存在特定服务器的专用目录中。该目录只有系统管理员能够访问。l 口令更改为了减少口令发生泄漏或者被破译的可能性，对于口令需要不定期进行修改。但是核心交换机口令必须至少90天修改一次，汇聚层、服务器区块和因特网接入区块交换机口令必须至少180天修改一次，接入层交换机口令必须至少360天修改一次。一旦怀疑口令已经发生了泄漏，必须在12小时能对所有设备口令进行修改。口令的更改由系统管理员进行，更改记录填写网络设备口令更改单，网络设备口令更改单的格式如下表所示：表 3网络设备口令更改单更改事由更改设备编号更改日期备注 操作人： 网络设备更改单完成后，系统管理员必须同时更新口令设置表，然后将更新后的口令设置表以及网络设备更改单同时保存。四、 IP地址分配方案根据集团公司的规模，集团内部网采用A类私有地址/8。为了管理方便除了服务器、路由器等设备需要固定IP外，所有客户端用户均从DHCP服务器上自动获取IP地址。具体参照下表 表 4 机构IP地址/地址范围说明总部10.16.*.252/241号楼接入层交换机管理IP地址（*表示从97至102对应2至7层）10.16.35.?/32各区域ID(*表示1至9连接办公区域、服务器区域、核心区域和DMZ区域)10.16.*.1 10.16.*.251/24各层客户端DHCP地址范围（*表示从97至102对应2至7层）10.16.*.252、253/241号楼汇聚层交换机对应每一Vlan的IP地址（*表示从97至102对应Vlan12至17）10.16.*.254/241号楼汇聚层交换机对应每一Vlan的虚拟IP地址即网关IP地址（*表示从97至102对应Vlan12至17）、2/30核心层交换机之间互联IP地址、6/30服务器区块汇聚层交换机互联IP地址7、18/30服务器区块汇聚层交换机与核心层交换机互联IP地址1、22/30服务器区块汇聚层交换机与核心层交换机互联IP地址、8/28DMZ区汇聚层交换机与集线器互联两端口的IP地址、10/28路由器及防火墙与集线器互联的IP地址7、38/301号楼汇聚层交换机与核心层交换机互联IP地址1、42/302号楼汇聚层交换机与核心层交换机互联IP地址5、46/303号楼汇聚层交换机与核心层交换机互联IP地址9、50/304号楼汇聚层交换机与核心层交换机互联IP地址3、54/305号楼汇聚层交换机与核心层交换机互联IP地址7、58/306号楼汇聚层交换机与核心层交换机互联IP地址1、62/307号楼汇聚层交换机与核心层交换机互联IP地址5、66/30网管工作站及相应的网关地址、2/27域控/DNS服务器主备IP地址、4/27NAS服务器主备IP地址、6/27Web/Mail服务器主备IP地址子公司110.32.*.252/242号楼接入层交换机管理IP地址（*表示从97至102对应2至7层）、2/32三层交换机的Loopback地址10.32.*.1 10.32.*.251/24各层客户端DHCP地址范围（*表示从97至102对应2至7层）10.32.*.252、253/242号楼汇聚层交换机对应每一Vlan的IP地址（*表示从97至102对应Vlan12至17）10.32.*.254/242号楼汇聚层交换机对应每一Vlan的虚拟IP地址即网关IP地址（*表示从97至102对应Vlan12至17）/27子域服务器IP地址/27Mail服务器IP地址子公司210.48.*.252/242号楼接入层交换机管理IP地址（*表示从97至102对应2至7层）、2/32三层交换机的Loopback地址10.48.*.1 10.48.*.251/24各层客户端DHCP地址范围（*表示从97至102对应2至7层）10.48.*.252、253/242号楼汇聚层交换机对应每一Vlan的IP地址（*表示从97至102对应Vlan12至17）10.48.*.254/242号楼汇聚层交换机对应每一Vlan的虚拟IP地址即网关IP地址（*表示从97至102对应Vlan12至17）/27子域服务器IP地址/27Mail服务器IP地址子公司310.64.*.252/242号楼接入层交换机管理IP地址（*表示从97至102对应2至7层）、2/32三层交换机的Loopback地址10.64.*.1 10.64.*.251/24各层客户端DHCP地址范围（*表示从97至102对应2至7层）10.64.*.252、253/242号楼汇聚层交换机对应每一Vlan的IP地址（*表示从97至102对应Vlan12至17）10.64.*.254/242号楼汇聚层交换机对应每一Vlan的虚拟IP地址即网关IP地址（*表示从97至102对应Vlan12至17）/27子域服务器IP地址/27Mail服务器IP地址子公司410.80.*.252/242号楼接入层交换机管理IP地址（*表示从97至102对应2至7层）、2/32三层交换机的Loopback地址10.80.*.1 10.80.*.251/24各层客户端DHCP地址范围（*表示从97至102对应2至7层）10.80.*.252、253/242号楼汇聚层交换机对应每一Vlan的IP地址（*表示从97至102对应Vlan12至17）10.80.*.254/242号楼汇聚层交换机对应每一Vlan的虚拟IP地址即网关IP地址（*表示从97至102对应Vlan12至17）/27子域服务器IP地址/27Mail服务器IP地址子公司510.96.*.252/242号楼接入层交换机管理IP地址（*表示从97至102对应2至7层）、2/32三层交换机的Loopback地址10.96.*.1 10.96.*.251/24各层客户端DHCP地址范围（*表示从97至102对应2至7层）10.96.*.252、253/242号楼汇聚层交换机对应每一Vlan的IP地址（*表示从97至102对应Vlan12至17）10.96.*.254/242号楼汇聚层交换机对应每一Vlan的虚拟IP地址即网关IP地址（*表示从97至102对应Vlan12至17）/27子域服务器IP地址/27Mail服务器IP地址子公司610.112.*.252/242号楼接入层交换机管理IP地址（*表示从97至102对应2至7层）、2/32三层交换机的Loopback地址10.112.*.1 10.112.*.251/24各层客户端DHCP地址范围（*表示从97至102对应2至7层）10.112.*.252、253/242号楼汇聚层交换机对应每一Vlan的IP地址（*表示从97至102对应Vlan12至17）10.112.*.254/242号楼汇聚层交换机对应每一Vlan的虚拟IP地址即网关IP地址（*表示从97至102对应Vlan12至17）/27子域服务器IP地址/27Mail服务器IP地址如果集团公司及各分公司有新增加的设备可以按照表格中的相关规则分配IP地址即可。五、 测试要求为了保证网络设备正常使用，在网络设备配置完成后，需要进行网络设备连接测试。测试要求：l 路由表正确l 各交换机之间两两互相执行Ping操作可以成功各交换机之间两两互连，当其中的某一条连接链路失效的时候，交换机之间仍然可以互相Ping通。六、 各种设备配置步骤（见PPT）交换机的配置交换机的配置步骤如下：l 所有的交换机之间连接的端口需要配置成为TRUNK。配置命令：Switchport Trunkl 配置VIP域。启用V2版本。表 5机构名称域名称密码版本号修剪模式集团公司VTP Domain TP-ZBVTP Password zb1aVTP Version 2VTP Prunning子公司1VTP Domain TP-C1VTP Password c1a1VTP Version 2VTP Prunning子公司2VTP Domain TP-C2VTP Password c2a2VTP Version 2VTP Prunning子公司3VTP Domain TP-C3VTP Password c3a3VTP Version 2VTP Prunning子公司4VTP Domain TP-C4VTP Password c4a4VTP Version 2VTP Prunning子公司5VTP Domain TP-C5VTP Password c5a5VTP Version 2VTP Prunning子公司6VTP Domain TP-C6VTP Password c6a6VTP Version 2VTP Prunning服务器部分VTP Domain TP-SERVTP Password ser1aVTP Version 2VTP PrunningInternetVTP Domain TP-INTVTP Password INT1aVTP Version 2VTP PrunningVTP模式为：各机构汇聚层交换机配置VTP Mode Server，接入层交换机配置为VTP Mode Client。l 增加VLAN，配置VLAN名称，将所属端口加入到相应的VLAN中在汇聚层交换机上创建Vlan，具体参见下表：表 6Vlan号Vlan名称命令说明1B？NMVlan 1 name B？NM设置IP用于管理交换机2B？INVlan 2 name B？IN连接互联网接口 11B？ZCVlan 11 name B？ZC总裁办VLAN 12B？RLVlan 12 name B？RL人力部VLAN 13B？CWVlan 13 name B？CW财务部VLAN 14B？SCVlan 14 name B？SC生产部VLAN 15B？XXVlan 15 name B？XX信息中心VLAN 16B？YEVlan 16 name B？YE研发部VLAN 17B？QTVlan 17 name B？QT其他部门VLAN 说明：1、 表中？分别表示1号楼、2号楼、3号楼、4号楼、5号楼、6号楼、7号楼。2、 配置B?_D_S01交换机成为VLAN1和VLAN2的生成树根网桥，VLAN11-17的生成树备份根网桥。B?_D_S01(config)#spanning-tree vlan 1 root primaryB?_D_S01(config)#spanning-tree vlan 2 root primaryB?_D_S01(config)#spanning-tree vlan 11 root secondaryB?_D_S01(config)#spanning-tree vlan 12 root secondaryB?_D_S01(config)#spanning-tree vlan 13 root secondaryB?_D_S01(config)#spanning-tree vlan 14 root secondaryB?_D_S01(config)#spanning-tree vlan 15 root secondaryB?_D_S01(config)#spanning-tree vlan 16 root secondaryB?_D_S01(config)#spanning-tree vlan 17 root secondary3、 配置B?_D_S02交换机成为VLAN1和VLAN10的生成树备份根网桥，VLAN11-16的生成树根网桥。B?_D_S02(config)#spanning-tree vlan 1 root secondaryB?_D_S02(config)#spanning-tree vlan 2 root secondaryB?_D_S02(config)#spanning-tree vlan 11 root primaryB?_D_S02(config)#spanning-tree vlan 12 root primaryB?_D_S02(config)#spanning-tree vlan 13 root primaryB?_D_S02(config)#spanning-tree vlan 14 root primaryB?_D_S02(config)#spanning-tree vlan 15 root primaryB?_D_S02(config)#spanning-tree vlan 16 root primaryB?_D_S02(config)#spanning-tree vlan 17 root primary4、 B?_D_S01和B?_D_S02交换机之间的两条链路要能够同时传送数据，提高网络带宽，同时需要减少中继端口上不必要的流量，提高网络的性能。在B?_D_S01和B?_D_S02交换机上启用VTP Prunning5、 配置B?_F2_S01交换机，使得它到B?_D_S?的上行链路中的一条失效发生时，能够有效减少对终端网络用户的影响。在B?_F2_S01交换机上配置上行速链路，当检测到转发链路发生失效时，可使交换机上一个阻断的端口几乎立刻开始进行转发。 配置方法：B?_F2_S01（config）# Spanning-tree uplinkfast6、 每台交换机的F0/11都是用来连接服务器的端口，需要配置速端口。 B?_F2_S01（config）# int F0/11B?_F2_S01（config-if）# spanning-tree portfast7、 B?_D_S?可以增删VLAN配置，而B?_F2_S01交换机不能增删VLAN的配置。采取措施，使得当一台新的交换机接入网络的时候不能自动加入域；将交换机上不使用的端口关闭；以提高网络的安全性。配置接入层交换机和汇聚层交换机的VTP功能具体配置参见表8、 配置所有交换机的VLAN1接口。所有交换机的F0/01作为Vlan1接口七、服务器的配置一、域控制器（DC）的配置安装WINDOWS 2003用dcpromo命令创建域；开始安装在安装时选择：否，只在这台计算机上安装并配置DNS，成为第一台的首选DNS服务器；正在创建域写入硬盘中；完成局域网中的第一台域控制器的安装，点击完成；在总公司的服务器上建立首选DNS服务器，将各子域的域添加到总公司的首选DNS服务器中；正向区域的配置：在反向域区域添加相应的指针，确保能够通过IP查找域名；总经理和各部门的经理不需要继承他所属部门的组策略，在另一个OU里添加他们，赋予他们能监督自己部门里的员工工作情况，而总经理就可以监督整个域里的员工工作情况。OU分配图如下：创建经理OU；创建人事部OU；创建市场部OU；为了增加安全性和容易管理，在服务器里创建必需的域组策略和本地组策略，策略如下：密码策略启用密码必须满足复杂性要求.密码长度不小于7位.密码最长保留为30天.密码过期期限为50天帐户锁定策略.帐户锁定阀值为5次无效登录审核策略启用审核登录事件启用审核对象访问用户配置-Internet Explorer维护-连接代理设置：代理服务器设置：IP地址容后写 端口：9999在用户配置的软件设置里将所有需要安装的软件指派给域的用户，只要员工登录域时就会全部全部安装到他们本地的机器。更新组策略用gpupdate命令 根据该公司的情况创建每个所属的OU，而且在方案中采用AGDLP和AGUDLP策略。在每个域中创建全局组，用于组织本域的账户；在每个域中创建域本地组，用于完成权限的指派。在本域内的权限分配，可以使用AGDLP策略，在域间的权限分配，使用AGUDLP策略，依次将用户账户加入全局组，将全局组加入到通用组，再将通用组加入到域本地组，最后可以根据需要将权限授予指定的域本地组。二、DHCP服务器1.安装DHCP服务:打开控制面板中的添加删除程序,切换到添加删除Windows组件,然后点组件按钮,在新弹出的对话框中选择网络服务,点详细信息,勾上里面的 动态主机配置协议(DHCP),然后点确定,下一步,并按照提示插入dindows2000的安装光盘即可完成安装2.配置普通作用域在安装完之后,点开始/管理工具/DHCP ,即可打开DHCP服务器的控制台,在这里可以设置DHCP的所有功能,下面来配置一个普通作用域.1.右键点击服务器,选择新建普通作用域,这时会出现一个创建向导,点下一步,出现如图3所示的对话框,在这里要求对所创建的作用域做一个简单的描述,可根据自己的情况而定,点下一步,出现如图4所示的对话框2.在这里就要求上面所说的地址池了,分别根据实际情况输入开始和结束IP地址,并且在下面的框中输入IP地址的子网掩码长度,如果使用的是标准IP地址,即没划分过子网的IP地址,则系统会自动给出子网掩码,如图5.直接点下一步3.在这一步要设置排除的IP地址.一般情况下,当网络内存在固定的IP地址,而这些IP地址恰好在DHCP服务器作用域地址范围内时,为了防止IP地址冲突,需要在该作用域中对固定的IP地址做排除,即不分配这些IP地址给客户端.如果要排除一段IP地址,则输入一个IP地址段,如果排除一个IP地址,则起始和结束IP地址一样,完了之后点添加按钮即可,如果不排除则什么都不输.4.在这里设置DHCP的租约,即IP地址默认的租约为多久,如果网络内的客户机经常变动,则设置租约短点,否则设置长点,默认为8天.当租约满时客户机会自动和DHCP服务器建立一次连接,对租约进行一个周期延续5.在这里会询问是否立刻配置其他的信息选项,其中包含有分配给客户机的网关,DNS等内容.选是,点下一步.6.这里设置分配给客户机的路由器IP,即网关.输入网关IP地址点添加 7.在这个对话框中,设置分配给客户机的域名,DNS服务器地址信息,其中父域处设置域名,服务器名处设置DNS服务器的计算机名,IP地址设置DNS服务器的IP地址,这两个选其中一个就行,其中输入服务器名之后要点解析对计算机名进行解析8.在这里设置分配给客户机的wins服务器IP地址,操作方法类似于上一步9.这里要求选择是否立刻激活此作用域,即是否让刚才建立的作用域在向导结束时立刻生效,可根据情况选择,这里选择是,点下一步,完成.至此一个普通作用域建立完成,我们可以在主界面左侧看到刚才建立的作用域.10.点开刚才建立的作用域,其中地址池和地址租约已经说过,在这里说一下保留.所谓保留就是将某个指定的IP地址分配给指定的机器,也就是说当这台指定的机器申请IP地址时只能得到这个IP地址,不会申请到其他的IP地址.右键点击保留,选择新建保留,在这里输入名称,要做保留的IP地址和使用该IP地址的网卡mac地址.下面的支持类型选两者即可,其中BOOTP用于无盘系统,即支持网卡启动11.在作用域选项中可以做该教程第5步之后的配置,也可查看和更改现有的配置. 服务器设置:在最下面有一个服务器选项,这里的内容和作用域选项的内容相同,和作用域选项的区是在这里做的设置对所有作用域生效,但是优先级最低,而作用域选项只对当前作用域生效,优先级最高.右键点击服务器,选择属性,切换到高级选项卡,在这里可以设置服务器的日志以及数据库存放路径,冲突检测次数,点击绑定按钮设置服务器的工作网卡建立超级作用域右键点击服务器,选择新建超级作用域,出现向导,点下一步,输入名称,下一步,这里列出了该服务器上所有的普通作用域,选择要收集IP地址的作用域,按ctrl键选择多个,然后点下一步,确定即可完成超级作用域的创建在创建完超级作用域之后,超级作用域中所包含的普通作用域将显示于超级作用域中建立多播作用域多播作用域的建立过程可参考普通作用域的建立过程,这里不在讲解,需要主要的是在建立过程中所使用的IP地址为到55 ,不包括这两个地址.TTL为多播地址在网络经过的最多路由数目,超过该数目则认为地址实效,另外多播作用域的租约默认为30天.客户端使用DHCP客户端将网卡IP地址获得方式设置为自动获得,如果DHCP上配置了DNS,那么客户端的DNS也可以设置为自动获得,每次开机客户端会自动从DHCP服务器上获取IP地址,如果客户端要让当前分配的IP地址实效,可在cmd命令中输入 ipconfig /release ,如果要重新获得IP地址,可在cmd命令中输入 ipconfig /renew .配置DHCP中继代理当需要通过一台DHCP服务器，在两个子网间同时提供服务时,就需要用到DHCP中继代理了,下面讲解DHCP中继代理的做法.1.打开管理工具中的路由及远程访问,右键点击服务器名,选择配置并启用路由和远程访问,在出现的对话框中点下一步,出现如图15所示的对话框,在这里选网络路由器.下一步.(图15)2.这里出现的对话框不用选择,直接下一步.选择否,点完成结束向导即可.3.在主窗口中右击IP路由选择中的常规选项,在弹出的菜单中选择新路由选择协议,并选择其中的DHCP中继代理,点确定4.右击刚添加的DHCP中继代理程序,选择新接口,添加连接另一个子网的网卡,即非连接DHCP服务器的网卡,点两次确定.5.右击DHCP中继代理程序,选择属性,在里面输入DHCP服务器的IP地址,点添加,确定即可.三、邮件服务器安装Exchange 20031安装前的准备工作（1）确保Windows2003已升级成了域控制器，安装了ActiveDirectory（活动目录）。（2）确保已安装了NNTP（NetworkNewsTransferProtocol，网络新闻传输协议）和SMTP（SimpleMailTransferProtocol，简单邮件传输协议）两种服务。（3）登录帐户必须拥有修改根域的配置容器的权限；并且它必须是以下三个小组中的一员：EnterpriseAdmins、DomainAdmins、和SchemaAdmins，也即它必须至少属于其中的某一个小组。（4）目录MDBData必须为空！它所在的默认路径为C:EXCHSRVRMDBDATA，其中C盘为系统文件所在的分区。（5）此外还需要DNS和DHCP两种服务。2正式开始安装工作（1）进入安装光盘的setupi386目录，执行其中的Setup.exe即可开始安装工作（2）此时将进入ExchangeServer安装向导的欢迎页面。直接单击下一步按钮继续。（3）随之会出现ComponentsSelection（组件选择）的界面，此时可以有选择性的安装你所需要的内容；默认的，安装之后的文件会存在C:Exchsrvr目录中，可以不用改变。如果你不知道你需要或不需要哪些，则直接使用其推荐的Typical（典型）方式来进行安装即可。（4）接着是要求选择InstallationType（安装类型），由于是全新安装，当然需要选择上面的CreateanewExchangeorganization（建立一个新的Exchange组织）项。（5）然后得在文字框中填写OrganizationName（组织名称），比如笔者在此处输入我所在公司的名称wantong，再下一步。（6）当系统询问你关于LicensingAgreement（协议许可）方面的问题时，点选其中的Iagreethat:Ihavereadandagreetobeboundbythelicenseagreementsforthisproduct（我已经阅读并且同意接受相关协议）项以继续安装工作。（7）在ComponentSummary（组件摘要）中，显示的是你方才已选择好的安装组件，确认无误后单击下一步接受。（8）以下的ComponentProgress（组件进度）中显示的是正在进行安装的组件及其安装进度，除去可能出现某个提示外（必须选确定），并不需要你作其他任何选择或输入。（9）CompletingtheMicrosoftExchange2000Wizard（结束Exchange2000安装向导），现在终于完成！（10）打开开始菜单，进入程序，里面多出了个MicrosoftExchange项。为了以后操作方便起见，请将常用的ActiveDirectoryUsersandComputers（活动目录的用户和计算机）和SystemManager（系统管理器）两条分别用右键发送到桌面快捷方式的方法发到桌面上去。（11）除了开始菜单中的选项外，ExchangeServer安装成功的最主要的标志还是，在开始程序管理工具服务中已有了相关服务，其中包括在安装Exchange2000Server前所装上的Windows2000自带的SimpleMailTransportProtocol（SMTP）服务；并均处于已启动状态！Exchange 2003的配置1为原有用户建立信箱（1）Exchange将使用Windows2000的用户库作为自己的用户库，不过并非所有用户都自动拥有相应信箱，还需为所需的用户建立一个信箱才行（仅限于原已建立好的用户）。（2）打开开始程序MicrosoftExchange中的ActiveDirectoryUsersandComputers（活动目录的用户和计算机）项，则进入和Windows2000整合了的Exchange的UsersandComputer（用户和计算机）主窗口。（3）在主窗口左边的树栏中展开（此为本机的ActiveDirectory域名），单击其下的Users（用户）项以选中它；然后在右边栏的用户列表中选中要建立电子信箱的用户，单击右键，选属性。此时可以看到其中跟Exchange有关的只有ExchangeFeatures（Exchange的特性）一项。（4）关闭此用户的属性窗口，再在其上单击右键，选ExchangeTasks（Exchange任务）项以开始邮件的建立工作。（5）首先出现的是WeblcometotheExchangeTaskWizard（欢迎来到Exchange任务向导），建议勾选中DonotshowthisWelcomepageagain（不再显示此欢迎屏幕）再单击下一步按钮继续。（6）接着在AvailabelTasks（可供选择的任务）中单击CreateMailbox（建立邮箱）项以选中它，然后再选下一步即可。（7）之后就是具体CreateMailbox（建立邮箱）了。在Alias（别名）输入邮箱的别名，此名可以保持和用户名一样（默认），也可另取，只要不是中文字符的名字均可；在Server（服务器）后的文字框中系统会自动填上服务器的名字；而MailboxStore（邮箱存储）项也不用作任何改动。（8）当邮箱最终建立成功之后将进入CompletingtheExchangeTaskWizard（结束Exchange任务向导），并在Tasksummary（任务摘要）下有邮箱的相关信息。最后单击完成即可完成此次的邮箱建立操作。（9）这时再在此用户名上单击右键，选属性，则会看到选项中与原来的相比，又已多出了ExchangeGeneral（Exchange常规）和E-mailAddresses（E-mail地址）两项。（10）假设用户名为01，而ActiveDirectory域名为，则此用户信箱建立好之后，它使拥有了一个名为01的E-Mail地址！而它的SMTP服务器和POP服务器地址均为，它们在升级到域后便已自动在DNS服务器中建立好了，可以直接使用，不再需要去建立DNS映射记录。2用OutlookExpress收发邮件（1）由于Exchange2000Server安装成功后，它所需的SMTP服务和POP服务便均已开启了，所以当为用户建立好了相应信箱之后，就可以直接用E-Mail客户端软件来收发邮件了！本文以Windows2000自带的OutlookExpress5.0为例来说明POP方式下邮件的收发。（2）先在OutlookExpress5.0中为所需用户做好相应的设置。比如用户的E-Mail地址为01，则其接收邮件（POP3）服务器地址和外发邮件（SMTP）服务器地址均为，用户名为01，再输入相应的密码等项目即可。（3）此时应该就至少可以正常接收邮件了！不过发送邮件有可能会出现问题，在其他设置都正常的情况下，此错误提示应该是由于服务器拒绝接受发件人的电子邮件地址，这封邮件无法发送等等话语。（4）对于上述的问题解决，需打开开始程序MicrosoftExchange中的SystemManager（系统管理器）以打开Exchange的系统管理器。然后在左边的树栏中依次选ServersSERVERSMTP（其中，SERVER为服务器名），再在右边的栏目列表中选中DefaultSMTPVirtualServer（默认的SMTP虚拟服务器），在其上单击右键，选属性项。（5）在SMTP虚拟服务器的属性窗口中选Access（存取）项，然后单击AccessControl（存取控制）中的Authentication（鉴别）按钮来进行存取属性设置。（6）最后勾选中AnonymousAccess（匿名存取）以设置成使用SMTP服务器时不需要输入用户名和密码来进行验证。（7）现在在OutlookExpress中进行的邮件接收和发送均可以正常进行了！4增加新的邮件用户（1）由于Exchange安装之后就已经与Windows2000整合了，因此在Win2K中已建立好的或是新建的用户，均也可以成为Exchange中的帐号。（2）欲新建一个邮件用户，只需在开始程序MicrosoftExchange选ActiveDirectoryUsersandComputers（活动目录的用户和计算机）项，然后在树栏中的Users项上单击右键，依次用新建用户；也可在开始程序管理工具ActiveDirectory用户和计算机中作同样的操作，均可以进入新建邮件用户（同时也是Wndows2000用户）的界面。（3）在用户资料配置窗口中，姓和用户登录名（也即用户名）是必填项目；而名和英文缩写都是可要可不要；剩下的姓名和用户登录名（Windows2000以前版本）对应空白部分系统将能够根据已填项目自动生成，可不用修改。（4）接下来需按要求输入密码和确认密?quot;项，并确保已勾选中密码永不过期；其他项目均建议不要选择，特别是帐户已停用一项如果选中，此用户就被禁止生效了！（5）在然后的提示中，如果需要此Win2K用户同时为Exchange帐号，则必须确保已勾选中CreateaExchangeMailbox（建立一个Exchange邮箱）一项；反之，如果只想它是普通的Win2K用户，不兼作邮件用户名，则此项就不能选中！其他项目中，Alias（别名）将自动被填上前面用户登录名中填入的内容，建议不要做改动；Server（服务器名）等项目也取其默认选项即可。（6）最后一步再根据提示，单击完成按钮即可成功结束此邮件用户的建立！四、ISA SERVER服务器1、多网络模型中的边缘防火墙ISA Server 2004是专为多网络而设计的，所以，对于这种环境，配置起来非常得心应手。在这种环境中，LAN()的客户和ISA Server上连接LAN的网络适配器，按照上面的方法进行配置，在此我重点给大家讲解一下DMZ网络的配置。DMZ中的客户以及ISA Server上连接DMZ网络的网络适配器，也按照上面的办法进行配置，但是，对于DMZ中的服务器，请配置为SNAT客户，这样可以得到最好的性能，配置为Web代理客户可能会让它不能正常工作，配置为防火墙客户会导致它性能的降低。在安装ISA Server时，内部网络只是选择，安装好后，在ISA管理控制台的配置的网络中，新建一个DMZ网络，选择网段。另外对于多网络，你还需要设置网络规则。另外你利用ISA Server自带的三周长网络模板就可以很方便的实现DMZ网络的配置。其他访问则根据你的需要来自行设置。2、单网络适配器的环境如下图，ISA Server 2004安装在一台只有一个网络适配器的Internet主机上，此时，ISA Server将自动配置为Cache only的防火墙，可以用做Web代理、缓存、Web发布、OWA发布等等，由于ISA Server 2004强大的IDS系统，它也可以为主机提供非常强大的保护。关于在这种环境下如何