如何部署Exchange2000和ISA2000构建应用.ppt

,务实技术讲座系列,如何部署Exchange2000和ISA2000构建应用,内容安排,AD和exchange2000网络设计连接Internet安全,ActiveDirectory在企业中,域和OUs组成层次化管理结构多个域可以组成树-Trees森林-Forests,ActiveDirectorySchema,ObjectClassExamples,Printers,Computers,Users,AttributesofUsersMightContain:,accountExpiresdepartmentdistinguishedNamemiddleName,ListofAttributes,accountExpiresdepartmentdistinguishedNamedirectReportsdNSHostNameoperatingSystemrepsFromrepsTomiddleName,AttributeExamples,ActiveDirectorySchemaIs:动态可用的动态可更新的由DACLs保护,域-Domains,一个域是个安全边界一个域的管理员只能管理本域内的资源,除非明确被其他域授权一个域是一个复制的单元一个域的域控制器参与复制并包含这个域的完整的目录信息,GlobalCatalog,查询,Groupmembershipwhenuserlogson,站点结构,Sites:优化复制通信量让用户能够通过一个稳定的，高速的连接登录到一个域控制器,站点拓扑结构举例,ActiveDirectory森林,存放Exchange2000Data数据,Users,Computers,Groups,ActiveDirectory数据库大小,InstallWindows2000,InstallExchange20000,Add10,000Mail-EnabledUsers,Add50,000NonMail-EnabledUsers,Mail-Enable50,000Users,UserPrincipleNames,GlobalCatalog访问,Exchange2000访问ActiveDirectory,Windows2000Site1,A,B,Exchange2000,GlobalCatalog,Windows2000Site2,C,D,GlobalCatalog,DomainController访问,DNS,发现和定义DirectoryServiceServers,Exchange2000和AD站点设计,Windows2000站点不影响Exchange2000Exchange信息路由基于路由组路由组设计决定与ActiveDirectory站点非常相似每个站点只能由一个活动的数据会议的会议管理器,服务定位,用户端需要下列服务DNSDomainControllerGlobalCatalog,DNS和ActiveDirectory,用户端使用DNS定位ActiveDirectoryservicesActiveDirectoryDNSRFC要求必须支持SRV记录,RFC2052应该支持DHCP动态更新,RFC2136应该支持IncrementalZoneTransfer,RFC1995Exchangeservers使用DNS定位其他ExchangeserversExchange用户使用DNS定位Exchangeservers考虑DNS与AD集成,DomainController放置,Windows2000用户访问基于ActiveDirectory站点每个站点放置多个域控制器提供冗余,GlobalCatalogServer放置,Exchange用户端使用GC定位ExchangeDirectoryServicesExchange5.0用户端,Outlook97/98由Exchangeserver代理Outlook2000直接访问Exchangedirectoryservices,网络设计,网络状况,远程用户,本地网,分公司,范围,典型网络分布,广州,2M,1M,1500人,500人,500人,50人,部署AD-多域,广州,域,ABC.NET,CD.ABC.NET,服务器放置,广州,2M,1M,BJDCGC01,BJDC02,SHDCGC01,GZDCGC01,CDDCGC01,512K,服务器配置,域控制器P3500,1G内存磁盘1个18G系统邮件服务器磁盘1个18G系统，3个80G邮件数据库如果可能可采用AA集群北京,网络连接,ADSitelink站点连接BJ-SHBJ-GZSH-GZBJ-CDExchange2000路由组与ADSiteLink匹配管理组与路由组匹配Internet出口-北京，成都,系统安装,1、北京安装AD2、上海广州,建立站点连接3、e2k4、北京成都建立VPN5、成都安装AD，建立站点连接6、成都安装e2k,站点连接,广州,BJ_SH,Cost10,BJ_GZCost:10,SH_GZ,Cost15,BJ_CD,Cost15,安装Exchange2000,Firstserverintheforest,Forest,Setup/forestprep,Windows2000,Config,Schema,Modify,Modify,Install,准备森林设置/forestprep,安装Exchange2000,Setup/forestprep,Windows2000DomainController,Install,Group,User,Create,Config,Schema,Forest,Group,User,Config,Schema,Exchange2000,准备域设置/domainprep,通过VPN建立请求拨号连接,CallingRouter,VPNRouter,Internet,Intranet,HQ,ISP,ISP,VPNTunnel,成都,北京,请求拨号路由,请求拨号路由,请求拨号路由,请求拨号路由,请求拨号路由,请求拨号路由,请求拨号路由,计划路由组,服务器必须属于同一个ActiveDirectorydirectoryserviceforest服务器彼此之间必须永久连接路由组内的所有服务器必须能够连接到routinggroupmaster,在一个路由组的Exchange2000必须满足下列条件,Cost=10,Cost=30,A,C,B,Cost=10,路由组,广州,BJ_SH,Cost100,BJ_GZCost:100,SH_GZ,Cost150,BJ_CD,Cost150,创建和配置存储组,StorageGroupA,StorageGroupB,文件放置,系统分区和启动分区,MirrorSet,C:,StorageGroup1TransactionLogs,MirrorSet,E:,StorageGroup2TransactionLogs,MirrorSet,F:,PageFile,D:,AllDatabaseFilesForBothStorageGroups,StripeSetwithParity,G:,备份恢复,ConnectExchange2000toInternet,Server,Internet,LocatingMXRecordsinDNS,DNS和SMTP,Internet,SendingSMTPServer,ISA,部署防火墙-小型网络或分公司的配置,企业內部网络,访问策略规则-IP封包,应用程式,使用者,群组等的存取规则带宽规则-不同Internetrequest所分配不同带宽的规则发布规则-将Internet服务(如web,ftp,mail)透过防火墙的保护公布給外界大众入侵检测-防火墙入侵监测与警示监视和日志进出流量分析与报表Web缓存-所有放火墙的安全策存内容略会被自动应用到缓存内容之上,蜂巢式安全防护体系,内部防火墙,中央监控服务器,Internet,中央管理服务器,对外防火墙,内部防火墙,配置内部邮件路由到internet,制定北京的一台服务器作为SMTP桥头堡连接到防火墙的内部IP地址上海、广州和北京的另一台服务器设定SmartHost，指到SMTP桥头堡服务器成都exchange可以直接指到本地防火墙,SecureSMTPServer,SecurerelaysettingsBestPractice:Defaultsettings!,ISAServer配置HTTPS(SSL),映射的协议:“HTTPSserver”ISAServerlistenson443/tcp接受入站通信重新产生新的包转发给OWAserver保留原地址和端口,ISAServer配置HTTPS(SSL)Security,如果要求监测?使用Web发布ISAServer需要更高的能力-考虑使用硬件加密卡SSL终止点SSLstopsatISAServerCertificateperISAServerIPaddressSSL桥SSLfromClienttoISAServer;newSSLfromISAServertoOWAserver需要证书从ISA到OWAservers,ISAServer配置SMTP,映射的协议:“SMTPServer”典型ISAServer反向代理方式SMTPfilter提供保护附件部署拒绝的发送者和域SMTP命令确认和限制关键词过滤,保证ExchangeServer安全,ExchangeServer,Frontend/BackEnd,FirewallOpenPorts:443,993,995,Exchange2000Front-EndServer,Exchange2000Server,ActiveDirectoryGlobalCatalogServer,Exchange2000Server,Exchange2000Server,Internet,HTTP,IMAPorPOP3Client,使用DMZ,FirewallOpenPorts:443,993,995,Exchange2000Front-EndServers,Exchange2000Server,ActiveDirectoryGlobalCatalogServer,Exchange2000Server,Exchange2000Server,Internet,FirewallOpenPorts:80143,110,LDAP,etc,DMZ,HTTP,IMAPorPOP3Client,保证服务器之间安全-验证,服务器和服务器自动使用X-EXPS验证Kerberos/NTLM缺省SMTP协议扩充与Exchange2000一起安装允许服务器通过其他服务器中继(需要验证)SMTPAUTH(RFC2554)主要是连接外部系统配置SMTPconnector,保证服务器之间安全-加密,IPSec定义不同的IPSecfilters最简单的配置使用组策略可以使所有的Exchangeservers要求通过25端口的入站信息加密,配置ISA防毒,防止NimdaWorm,InformationStore方案,存储事件在存储内当一个条目打开，保存，移动或删除时会触发事件类型同步当事件发生时异步在事件发生之后病毒扫描API扫描邮件和附件安优先级扫描队列主动邮件扫描增强背景扫描线程池每个MDB扫描EDK网关内容扫描本机MAPI/MIM