AD域及Exchange部署方案参考模板

1、XX公司ecology项目Exchange部署整合方案SUBMITTED BY WEAVER SOFTWARE联系人 郭利朋 河北区域项目总监Weaver Software石家庄市广安大街铂金公寓909室 邮政编码：010000电话：+86真：+86 21 50942278电邮： guolip1234仅限阅读 请勿传播当您阅读本方案时，即表示您同意不传播本方案的所有内容1 / 30 说明首先非常感谢XX公司选择泛微协同商务系统（e-cology）作为企业信息化平台，这是在项目启动后我们提供的EXCHANGE部署策略。泛微衷心希望能有机会为XX公司提供服务，希望泛微的协

2、同商务系统能为XX公司带来价值和提升！声明：此文件仅供贵司内部参考，请勿外传。此文件的版权仅限于上海泛微软件有限公司，未经书面许可，任何单位和个人均不以任何方式透露给第三方公司或个人。泛微软件协同商务的倡导者！Weaver Software- A Pioneer of Collaborative Commerce System!1、 前言为保证XX公司协同系统服务安全性，由上海泛微软件公司（以下简称：泛微公司）提供系统安全性相关方案，XX公司（以下简称XX公司）公司承担具体EXCHANGE部署实施工作，相关软硬件平台供应商提供技术支持工作。XX公司将提供EXCHANGE部署具体实施计划。并取得

3、XX公司系统项目负责人员的配合，以保证系统的安全稳定为前提。2、 服务器组成及功用XX公司的服务器组共有三台服务器组成：应用系统服务器配置数量备注EXCHANGE部署服务器 1Windows平台OA前端服务器内存不小于16G1LINUX/WINDOWS/UNIX数据库服务器1MS SQL SERVER/ORACLE3、 方案设计思路背景：e-cology可以通过简单的配置就实现和一些主流的目录服务器同步用户信息的功能，在同步用户信息的同时，将用户认证功能也交于目录服务器实现。目前常用的目录服务器为：微软的AD和SUN的SUN ONE。出于对WEB服务器的安全性的考虑, 同时考虑到AD域服务的广

4、泛社会应用性，本次系统安全部署采用AD域安全验证模式。Exchange Server 是个消息与协作系统。 简单而言，Exchange server可以被用来构架应用于企业、学校的邮件系统甚至于象sohu或sina那样的免费邮件系统。Exchange可以和AD域进行集成部署。AD域部署方案（推荐）总公司搭建主域服务器（建设各分公司总的组织OU），在ecology部署时前台web采用分部部署方式即多点web服务部署方式，各web服务器采用各分公司部署的AD域配置，各分公司登录各自的AD服务器进行域验证，实现登录分流及域管理分流，OA系统和总公司搭建的主域进行信息同步，人员变更及异动由AD主域进行

5、控制，分公司通过各自建设的域服务器仅进行域信息安全验证。优点：因为做了分布部署，所以有效实现登录及域验证分流，降低了系统压力。缺点：需要磁盘阵列支持，硬件投入较高，因为域服务器分布于各子公司，不便于人员的统一管理Exchange部署方案（推荐）在此方案中，两台exchange服务器分别兼做域控制器和备份域控制器，用户帐户信息存储在两台服务器上，邮箱数据存储在共享磁盘阵列上，两台exchange服务器做MSCS集群。当企业用户小于500且投资较少时，可以建议采用此方案。方案一配置表:使用该方案具有以下优点。1.安全可靠:在该方案里，域控制器和exchange服务器都分别进行了备份，使得当任意一台

6、发生故障时，另外一台马上接管服务，实现服务不间断。2.性价比高: 采用较少数量的服务器，实现了邮件服务器的功能，并且也实现了数据的备份及恢复，具有较高的性价比。3.适用于较小的企业: 由于服务器承担了用户帐号管理和邮件管理的双重功能，压力较大，适用于用户数较少的企业。Exchange部署方案二域控制器和应用服务器独立开来，两个exchange服务器做MSCS双机，提供MAIL服务，域控制器做用户帐号的管理以及DNS解析。如果客户的预算充足，可以建议用户做备份域控制器，这样，可以实现域控制器和exchange应用服务器的双重备份，如果不是很充足，可以定期做域控制器的备份，这样，当域控制器出现故障

7、时，可以在用户允许的时间内做用户帐号的恢复。方案二配置表:使用方案二具有如下优点。 域控制器和应用服务器的应用分离，减轻了服务器的负担，可以承担更多的用户。安全可靠: 邮件服务采用MSCS双机高可用方案，操作简单，域控制器采用备份控制器，保证业务不间断。Exchange部署方案三方案三适合较大的企业，并且有较充足的预算资金。采用多台exchange服务器集群做后台邮件服务，前端有一台服务器负责接收由 POP3、IMAP4 和 RPC/HTTP 客户端传来的请求。方案三配置表使用方案三具有以下优点。性能灵活扩展: 能够让用户在访问其邮箱时使用单一的和一致的命名空间。利用单一命名空间，即使添加或删

8、除服务器，或者将邮箱从一个服务器移到另一个服务器，用户仍然可以使用同一个 URL 或 POP 和 IMAP 客户端配置。此外，创建单一命名空间可确保 Outlook Web Access、POP 或 IMAP 访问在组织扩大后仍然保持着可伸缩性。保证安全，不受病毒侵犯: 用户可以将前端服务器作为单一访问点放在 Internet 防火墙上或 Internet 防火墙之后，并且将 Internet 防火墙配置为只允许从 Internet 到前端的通信。因为前端服务器上没有存储任何用户信息，所以，该服务器为组织提供了额外的安全层。此外，可以将前端服务器配置为在代理请求之前对请求进行身份验证，这将帮助

9、后端服务器抵御“拒绝服务”攻击。4、 EXCHANGE部署实施方法可以通过两种方法来实现，第一种可以通过Exchange 管理控制台来实现，第二种可以通过Exchange 命令行管理程序来实现。在执行相关的操作前请确保操作的用户拥有Exchange管理员角色。一、使用 Exchange 管理控制台向用户授予其他用户邮箱的代理发送权限：1、 在Exchange 2007服务器上打开管理控制台并选择“收件人配置”。2、 在结果窗格中，选择要向其授予代理发送权限的邮箱。3、 在操作窗格中的邮箱名下，单击“管理代理发送权限”。此时将打开管理代理发送权限向导。4、 在“管理代理发送权限”页上，单击添加。

10、5、 在“选择用户或组”中，选择要向其授予“代理发送”权限的用户，然后单击确定。6、 单击管理。7、 在完成页上，摘要显示是否已成功授予代理发送权限。摘要还显示用于授予代理发送权限的 Exchange 命令行管理程序命令。8、 单击完成。请注意，只有升级到Exchange 2007 SP1后，才可以执行上述的操作，在Exchange 2007 RTM版本中，需要通过活动目录用户和计算机来实现。具体的方法如下：1. 在运行 Exchange 的计算机上，打开Active Directory 用户和计算机。2. 在Active Directory 用户和计算机中，在查看菜单上选中高级功能。3. 展

11、开域节点，然后单击用户。4. 右键单击要向其授予“代理发送”权限的用户，然后单击属性。5. 点击安全，单击高级。6. 在“用户的高级安全设置”中，单击添加。7. 在“输入对象名称来选择”框中，键入要向其授予“代理发送”权限的邮箱用户或组的名称，然后单击“检查名称”以验证此用户或组，如图3所示，单击“确定”。8. 在“用户的权限条目”中，在“应用于”列表中，选择“仅此对象”。9. 在“权限”列表中，找到“代理发送”，然后选中“允许”复选框。10. 单击“确定”关闭对话框。二、使用 Exchange 命令行管理程序向用户授予其他用户邮箱的代理发送权限1.Add-ADPermission “Mail

12、box” -User “DomainUser” -Extendedrights “Send As”请将Mailbox替换为需要被代理发送邮件的账号，比如总经理的邮箱，将DomainUser替换使用代理权限的用户，比如秘书的账号。请注意：只有在发生复制之后，才能授予代理发送权限。复制时间取决于 Microsoft Exchange 和网络配置。若要立即授予权限，请停止然后再重新启动 Microsoft Exchange Information Store 服务，然后检查结果如何。2.然后打开活动目录用户和计算机，然后右键选中rock，选择属性，点击安全，确认rock001已经被授予send as

13、 权限了。3.要取消该设置，只需要运行下面的命令：Remove-ADPermission -Identity rock -User rock001 -AccessRights extendedright -ExtendedRights “send as”在系统提示的时候选择y即刻完成。（一） 配置OWA功能OWA实现安装Exchange之后，检查Exchange服务器的默认网站有没有创建出一个名为Exchange的虚拟目录，如下图所示。虚拟目录已被成功创建，我们接下来可以用OWA测试一下邮箱的访问情况。访问邮箱的语法是 urlHttp:/Exchangeserver/exchange/url邮

14、箱名，如果被访问的邮箱属于当前登录用户，直接输入urlHttp:/exchangeserver/exchange/url即可。 我们用Istanbul作为客户机，测试访问administrator的邮箱。首先在Istanbul以exchtestadministrator登录，打开浏览器，输入 urlHttp:/berlin/exchange/url即可，如下图所示。由于使用了集成身份验证，Exchange并没有要求用户输入口令。 进入邮箱后，我们可以进行简单的邮件收发测试，先给其他用户发一封邮件，点击“新建”，从下拉菜单中选择“邮件”，如下图所示，我们用OWA给wangni

15、ng发一封测试邮件 检查一下wangning的邮箱，我们可以看到wangning已经收到了测试邮件 给administrator发一封回信，看看OWA能否接收到检查管理员的邮箱，回信已经躺在邮箱里了，OWA邮件收发实验完成 有不少人曾经问过这么一个问题，为什么用 urlHttp:/berlin/exchange/url访问自己的邮箱可以使用集成验证，但使用 urlHttp:/  主要是因为使用完全合格域名描述Exchange服务器时，如果想使用集成验证，IE 浏览器需要把完全合格域名添加到Intranet站点列表中。打开IE，在“工具”菜单上，单击“In

16、ternet 选项”，然后单击“安全”，选择“本地 Intranet”，单击“站点”，点击“高级”，然后键入Exchange服务器的完全合格域名B，单击“添加”，然后单击“确定。重新用完全合格域名访问一下，是否一切正常了！OWA  Over  HTTPSOWA用HTTPS对传输数据进行加密，我们使用时会更有安全感。HTTPS的加密过程大致如下A  客户机验证Web服务器证书有效性B  客户机从Web服务器证书中提取公钥C  客户机与Web服务器约定在接下来的数据传递过程中采用对称加密方式，客户机将对称密钥用公钥加密后传给Web服务器D 

17、; 服务器收到加密的对称密钥，用自己的私钥解开对称密钥E  客户机将数据用对称密钥加密后传给Web服务器F  Web服务器用对称密钥解开加密数据 从以上过程来看，SSL采用了对称加密和非对称加密相结合的方式，为什么不直接把所有数据用公钥加密传给Web服务器呢？主要是因为对称加密的速度比非对称加密快上千倍，两者结合可以各自发挥所长。 实现HTTPS需要以下步骤：部署CA服务器Web服务器申请证书 在Istanbul客户机上用HTTPS访问一下邮箱试试，在IE中输入 urlHttps:/ 有了HTTPS的支持，我们可以更改OWA的登录界面

18、，将OWA的登录方式改为表单式登录，这样在一些公共场合（例如网吧）使用时更加安全。我们可以在Exchange服务器上打开  开始程序Microsoft Exchange系统管理器，右键点击HTTP协议下的Exchange虚拟服务器，选择属性，如下图所示： 在Exchange虚拟服务器属性中选择“设置”标签，勾选“启用基于表单的身份验证”，点击“确定”后，Exchange服务器提示启用此功能需要有SSL支持。 启用OWA表单验证后，试试效果，登录界面如下图所示： 如果服务器想强制客户机只能使用HTTPS访问，可以在Exchange服务器上打开管理工具Int

19、ernet信息服务（IIS）管理器默认网站Exchange虚拟目录属性，在“安全通信”控件中选择“编辑”，如下图所示选择“要求安全通道（SSL）”，这样客户机访问服务器就只能使用HTTPS了使用OWA修改用户口令在Exchange2000中，用户可以通过OWA修改自己的口令，在Exchange2003中，似乎没有了这一功能。其实Exchange2003仍然可以通过OWA修改口令，只是需要我们完成以下操作：A  Exchange的web站点需要申请证书，这是因为修改口令时数据需要有HTTPS的加密支持，申请证书的过程前文已经提及，在此不再重复。B  修改注册表，让口令修改功能

20、重见天日，在Exchange服务器上，运行Regedit，定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMSExchangeWEBOWA，如下图所示，将“DisablePassword”的键值从1 改为 0 修改完注册表，无需重启服务，我们用OWA进入用户邮箱后，点击左下角的“选项”，在右侧界面中我们就可以看到“更改密码”的提示了，如下图所示。不过不要着急，现在此项功能还不能使用，我们还欠缺最后一步。  C  在Exchange服务器的默认Web站点中手工创建一个虚拟目录，在Exchange服务器

21、上，打开管理工具Internet信息服务（IIS）管理器，右键单击“默认网站”，选择新建虚拟目录，如下图所示  虚拟目录的名称设置为 IISADMPWD 虚拟目录对应的物理路径为 c:windowssystem32inetsrviisadmpwd 权限设置取默认值即可，创建虚拟目录完毕后，试试修改口令的功能，点击OWA中的修改口令，如下图所示，设置成功！5、 OWA单点登录方案利用泛微软件单点登录模块单点登录OWA，登录参数如下：<form action=" method="post" name="logonForm" autocomplete="off"> <input type="hidden" name="destination" value=" <input type="hidden&