SANGFOR_WOC_v9.1_2015年度渠道高级认证培训05_EXCHANGE优化案例VIP

SANGFORWOCEXCHANGE优化,Exchange优化案例,SANGFORWOC,PPT模板,Exchange加速优化,Exchange环境拓扑,Exchange的一个常见环境拓扑图,Exchange环境确认,1、客户内网客户端PC是什么版本系统，Exchange服务器是什么版本系统，对于不同的版本系统环境，该如何选择认证优化方式？,说明：WOC有两种认证模式，分别为自动协商模式和委派模式。下表为各模式支持的场景。,举个例子来说，比如客户端是win7操作系统，Exchange服务器是2010，默认win7客户端是使用NTLMV2协议进行协商，所以需要用委派模式，并且启用NTLMV2。（客户网络中客户存在XP和WIN7系统，如果WIN7系统多，建议都用委派模式）,Exchange环境确认,2、只要涉及到Exchange优化，服务端WOC设备就需要加入域（分支端WOC不用加入域），那么加入域的用户名是否必须要超级管理员的权限？,说明：客户能给具有Administrator权限组的用户最好，如果客户只能给一个普通domainuser的域用户，那么可以参考以下该连接，让设备加入域。普通用户加入域参考链接：,Exchange测试案例一,启用自动协商模式进行Exchange优化：,说明：客户网络环境：PC客户端是XP系统，Exchange服务器是2003系统，采用的是协商的NTLM认证，根据场景表得知WOC可以直接用自动协商模式进行优化，客户拓扑图如上：,Exchange测试案例一-设备加入域,1、WOC设备加入域，测试中，只需要服务端WOC设备加入域即可，如下图；,Exchange测试案例一-启用Exchange代理,2、加入域成功后，分支和总部WOC设备都启用Exchange代理，并且选择自动协商模式，如下图：,Exchange测试案例一-配置加速策略,3、总部创建加速用户、加速策略组和加速策略，分支WOC进行加速连接即可，此处配置忽略；,Exchange测试案例一-outlook客户端配置,4、Outlook默认是协商认证，需要修改为NTLM认证，以outlook2007为例说明，如图：（如果默认协商成NTLM认证也可以）,点击工具-账户设置：,Exchange测试案例一-outlook客户端配置,双击下图中蓝色的邮件，如图：,Exchange测试案例一-outlook客户端配置,弹出对话框中点击其它设置，如图：,Exchange测试案例一-outlook客户端配置,弹出窗口中点击安全性，选择密码验证（NTLM）如图：,确定后重启outlook即可。Outlook2003和outlook2007基本一致，照上面设置即可。,Exchange测试案例一-查看测试效果,5、客户端PC连续发两封同样的邮件，在加速状态-应用连接，选择Exchange协议，看加速效果：,Exchange测试案例二,启用委派模式进行Exchange优化：,说明：客户网络环境：PC客户端是win7系统，Exchange服务器是2010系统，认证方式是协商的kerberos，根据场景表得知需要用委派模式进行优化，客户拓扑图如上：,Exchange测试案例二-设备加入域,1、WOC设备加入域，测试中，只需要服务端WOC设备加入域即可，如下图；,Exchange测试案例二-配置委派用户,2、安装windows工具setspn,注：windows2008默认已安装此工具，无需重复安装，如果是windows2003系统，插入win2003安装光盘，打开光盘资源-SUPPORT-TOOLS，运行SUPTOOLS.MSI，运行后即可在cmd下运行setspn，测试是否安装好，如下所示：,Exchange测试案例二-配置委派用户,3、在域控制器上，根据向导默认建立用户，例如新建用户weipai，在新建用户时请选择密码永不过期。,Exchange测试案例二-配置委派用户,4、创建SPN（ServicePrincipalName）打开CMD命令行，运行命令：setspn-Ahttp/daserverweipai,注：其中weipai为步骤（3）中建立的用户名，http/daserver没有什么关系，格式正确即可。,Exchange测试案例二-配置委派用户,打开AD用户和计算机，右键用户weipai，选择属性-委派-信任此用户作为指定服务的委派，选择使用任何身份验证协议，（若选择仅使用Kerberos(K)会导致解密不成功）添加-用户或计算机-输入计算机名（不含域名，只输入netbios名，指需要加速的对应服务器的计算机名）-选择exchangeMDB，如下图所示,5、授予委派权限,Exchange测试案例二-配置委派用户,6、若用户属性中没有委派选项卡，则可能是该域等级没有提升造成，需要提升域等级。在AD用户和计算机窗口中右击该域，选择提升域等级。在窗口中选择WindowsServer2003即可。,Exchange测试案例二-在WOC上启用该委派账号,7、在服务端WOC设备上启用该委派账号，如下图：,Exchange测试案例二-启用Exchange代理,8、加入域和配置委派账号成功后，分支和总部WOC设备都启用Exchange代理，并且选择委派模式，如下图：,Exchange测试案例二-outlook客户端配置,9、Outlook默认是协商认证，假设当前客户win7电脑协商的是kerberos认证：（通过此步骤熟悉客户端outlook认证协商位置）,点击工具-账户设置：,Exchange测试案例一-outlook客户端配置,双击下图中蓝色的邮件，如图：,Exchange测试案例一-outlook客户端配置,弹出对话框中点击其它设置，如图：,Exchange测试案例一-outlook客户端配置,弹出窗口中点击安全性，密码验证方式为协商身份验证，如图：,确定后重启outlook即可。Outlook2003和outlook2007基本一致，照上面设置即可。,Exchange测试案例二-查看测试效果,10、客户端PC连续发两封同样的邮件，在加速状态-应用连接，选择Exchange协议，看加速效果：,Exchange测试注意事项和排错,1、Exchange服务器最新版本是Exchange2013，WOC哪个版本开始支持优化？,注意：WOC8.2及其以后版本新增支持Exchange2013，WOC8.1R1SP2只支持Exchange2007/Exchange2010。,2、测试Exchange优化，建议用哪个版本？,注意：建议用WOC9.1版本，WOC9.1对Exchange认证优化和域认证报错等都有了相应改进，如果不能升级到该版本，至少用WOC8.1R1SP2版本。,Exchange测试注意事项和排错,3、如果客户PC认证方式用的是协商认证，那我如何知道当前PC的认证方式到底是协商的NTLM、NTLMV2还是协商的kerberos认证？,注意：当前客户PC一般用的都是win7以上系统，默认自动协商会强制成NTLMV2认证方式，所以需要用委派模式并且启用NTLMV2认证，如果是XP电脑，可以通过在电脑上抓包判断对应的认证方式来选择WOC到底用哪种模式进行优化了，假设协商的是kerberos认证，抓包如下：,Exchange测试注意事项和排错,4、WOC设备加入域不成功。,注意：a、WOC的首