Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

务实技术讲座系列

1,215 views

Published on

Published in: Technology
  • Be the first to comment

  • Be the first to like this

务实技术讲座系列

  1. 1. 务实技术讲座系列务实技术讲座系列
  2. 2. 如何部署如何部署 Exchange 2000Exchange 2000 和和 ISA 2000ISA 2000 构建应用构建应用
  3. 3. 内容安排内容安排  ADAD 和和 exchange 2000exchange 2000  网络设计网络设计  连接连接 InternetInternet  安全安全
  4. 4. Active DirectoryActive Directory 在企业中在企业中 域和域和 OUsOUs 组成层组成层 次化管理结构次化管理结构 多个域可以组成多个域可以组成  树树 -Trees-Trees  森林森林 -Forests-Forests Forest Objects DomainDomainDomainDomain DomainDomain Tree DomainDomain DomainDomain Tree DomainDomain OUOU OUOU OUOU
  5. 5. Active Directory SchemaActive Directory Schema ObjectObject Class ExamplesClass Examples ObjectObject Class ExamplesClass Examples PrintersPrinters ComputersComputers UsersUsers Attributes of UsersAttributes of Users Might Contain:Might Contain: Attributes of UsersAttributes of Users Might Contain:Might Contain: accountExpires department distinguishedName middleName accountExpires department distinguishedName middleName List of AttributesList of AttributesList of AttributesList of Attributes accountExpires department distinguishedName directReports dNSHostName operatingSystem repsFrom repsTo middleName … accountExpires department distinguishedName directReports dNSHostName operatingSystem repsFrom repsTo middleName … AttributeAttribute ExamplesExamples AttributeAttribute ExamplesExamples Active Directory Schema Is:  动态可用的  动态可更新的  由 DACLs 保护
  6. 6. 域域 -Domains-Domains 一个域是个安全边界一个域是个安全边界  一个域的管理员只能管理本域内的资源一个域的管理员只能管理本域内的资源 ,, 除非除非 明确被其他域授权明确被其他域授权 一个域是一个复制的单元一个域是一个复制的单元  一个域的域控制器参与复制并包含这个域的完一个域的域控制器参与复制并包含这个域的完 整的目录信息整的目录信息 Windows 2000 Domain Windows 2000 Domain User1 User2 User1 User2 复制复制复制复制
  7. 7. Global CatalogGlobal Catalog Global Catalog Server Global CatalogGlobal CatalogGlobal CatalogGlobal Catalog Subset of the Attributes of All Objects Subset of the Attributes of All Objects DomainDomain Domain DomainDomain Domain 查询查询查询查询 Group membershipGroup membership when user logs onwhen user logs on Group membershipGroup membership when user logs onwhen user logs on
  8. 8. 站点结构站点结构 Sites:  优化复制通信量  让用户能够通过一个稳定的,高速的连接登录 到一个域控制器 Site IP subnetIP subnetIP subnetIP subnet IP subnetIP subnetIP subnetIP subnet Los Angeles Seattle Chicago New York
  9. 9. 站点拓扑结构举例站点拓扑结构举例 Domain A Domain B Site 1 Site 2Site Link Domain A Domain B Site 2 Site 1 Site Link 1 2 3 4
  10. 10. Active DirectoryActive Directory 森林森林 Exchange 2000 组织 contoso.msft nwtraders.msft samerica.nwtraders.msft Exchange 2000 组织 Exchange 2000 组织 nwtraders.msft samerica.nwtraders.msftnamerica.nwtraders.msft Northwind Traders 多个森林 一个森林
  11. 11. 存放存放 Exchange 2000 DataExchange 2000 Data 数据数据 Users ComputersGroups Domain Partition Configuration Partition Exchange Configuration Sites Replication Topology Schema Partition CN=Schema, CN=Configuration, DC=nwtraders, DC=msft
  12. 12. Active DirectoryActive Directory 数据库大小数据库大小 Active Directory 425 MB Active Directory 345 MB Active Directory 110 MB Active Directory 27 MB Active Directory 13 MB Install Windows 2000Install Windows 2000Install Windows 2000Install Windows 2000 Install Exchange 20000Install Exchange 20000Install Exchange 20000Install Exchange 20000 Add 10,000 Mail-Enabled UsersAdd 10,000 Mail-Enabled UsersAdd 10,000 Mail-Enabled UsersAdd 10,000 Mail-Enabled Users Add 50,000 Non Mail-Enabled UsersAdd 50,000 Non Mail-Enabled UsersAdd 50,000 Non Mail-Enabled UsersAdd 50,000 Non Mail-Enabled Users Mail-Enable 50,000 UsersMail-Enable 50,000 UsersMail-Enable 50,000 UsersMail-Enable 50,000 Users
  13. 13. User Principle NamesUser Principle Names Tree nwtraders.msft namerica.nwtraders.msft samerica.nwtraders.msft UPN=Joeb@nwtraders.msft SMTP=Joeb@nwtraders.msft UPN=Jamesw@nwtraders.msft SMTP=Jamesw@nwtraders.msft UPN=Miyokoy@nwtraders.msft SMTP=Miyokoy@nwtraders.msft
  14. 14. Exchange 2000 Global Catalog Domain Controller Global Catalog Windows 2000 Site 2 Domain Controller Windows 2000 Site 1 Global Catalog 访问 Exchange 2000Exchange 2000 访问访问 Active DirectoryActive Directory Windows 2000 Site 1 AAAA BBBB Exchange 2000 Global Catalog Windows 2000 Site 2 CCCC DDDD Global Catalog DS Access Domain Controller 访问 DNSDNS
  15. 15. 发现和定义发现和定义 Directory Service ServersDirectory Service Servers Cache List 1. Domain Controller 1 2. Domain Controller 2 3. Domain Controller 3 . . . 10. DNSDNSDNSDNS DS AccessDS AccessDS AccessDS Access Exchange 2000 LDAP DNS Cache List 1. Domain Controller 1 2. Domain Controller 2 3. Domain Controller 3 . . . 10. DS AccessDS AccessDS AccessDS Access Exchange 2000 LDAP Domain Controller
  16. 16. Exchange 2000Exchange 2000 和和 ADAD 站点设站点设 计计  Windows 2000Windows 2000 站点不影响站点不影响 ExchangeExchange 20002000  ExchangeExchange 信息路由基于路由组信息路由基于路由组  路由组设计决定与路由组设计决定与 Active DirectoryActive Directory 站站 点非常相似点非常相似  每个站点只能由一个活动的数据会议的每个站点只能由一个活动的数据会议的 会议管理器会议管理器
  17. 17. 服务定位服务定位  用户端需要下列服务用户端需要下列服务  DNSDNS  Domain ControllerDomain Controller  Global CatalogGlobal Catalog
  18. 18. DNSDNS 和和 Active DirectoryActive Directory  用户端使用用户端使用 DNSDNS 定位定位 Active DirectoryActive Directory servicesservices  Active Directory DNS RFCActive Directory DNS RFC 要求要求  必须支持必须支持 SRVSRV 记录记录 , RFC 2052, RFC 2052  应该支持应该支持 DHCPDHCP 动态更新动态更新 , RFC 2136, RFC 2136  应该支持应该支持 Incremental Zone Transfer, RFC 1995Incremental Zone Transfer, RFC 1995  Exchange serversExchange servers 使用使用 DNSDNS 定位其他定位其他 Exchange serversExchange servers  ExchangeExchange 用户使用用户使用 DNSDNS 定位定位 Exchange serversExchange servers  考虑考虑 DNSDNS 与与 ADAD 集成集成
  19. 19. Domain ControllerDomain Controller 放置放置  Windows 2000Windows 2000 用户访问基于用户访问基于 Active DirectoryActive Directory 站点站点  每个站点放置多个域控制器提供冗余每个站点放置多个域控制器提供冗余
  20. 20. Global Catalog ServerGlobal Catalog Server 放置放置  ExchangeExchange 用户端使用用户端使用 GCGC 定位定位 Exchange Directory ServicesExchange Directory Services  Exchange 5.0Exchange 5.0 用户端用户端 , Outlook 97/98, Outlook 97/98 由由 Exchange serverExchange server 代理代理  Outlook 2000Outlook 2000 直接访问直接访问 ExchangeExchange directory servicesdirectory services
  21. 21. 网络设计网络设计
  22. 22. 网络状况网络状况 远程用户 本地网 分公司 InternetInternet 范围范围
  23. 23. 典型网络分布典型网络分布 成都成都 广州广州 InternetInternet 北京北京 上海上海 InternetInternet 2M2M 1M1M 15001500 人人 500500 人人 500500 人人 5050 人人
  24. 24. 部署部署 AD-AD- 多域多域 成都成都 广州广州 InternetInternet 北京北京 上海上海 InternetInternet OUOU 北京北京 上海上海 域 广州广州 OUOU 成都 ABC.NETABC.NET CD.ABC.NETCD.ABC.NET
  25. 25. 服务器放置服务器放置 成都成都 广州广州 InternetInternet 北京北京 上海上海 InternetInternet 2M2M 1M1M BJDCGC01BJDCGC01 BJDC02BJDC02 SHDCGC01SHDCGC01 GZDCGC01GZDCGC01 CDDCGC01CDDCGC01 512K512K
  26. 26. 服务器配置服务器配置  域控制器域控制器  P3 500, 1GP3 500, 1G 内存内存  磁盘磁盘 11 个个 18G –18G – 系统系统  邮件服务器邮件服务器  磁盘磁盘 11 个个 18G –18G – 系统,系统, 33 个个 80G –80G – 邮件数邮件数 据库据库  如果可能可采用如果可能可采用 AAAA 集群—北京集群—北京
  27. 27. 网络连接网络连接  AD Site link –AD Site link – 站点连接站点连接  BJ ----- SHBJ ----- SH  BJ ----- GZBJ ----- GZ  SH ----- GZSH ----- GZ  BJ ----- CDBJ ----- CD  Exchange 2000Exchange 2000 路由组路由组  与与 AD Site LinkAD Site Link 匹配匹配  管理组管理组  与路由组匹配与路由组匹配  InternetInternet 出口出口 ------ 北京,成都北京,成都
  28. 28. 系统安装系统安装  11 、 北京安装、 北京安装 ADAD  22 、 上海广州、 上海广州 ,, 建立站点连接建立站点连接  33 、、 e2ke2k  44 、 北京成都建立、 北京成都建立 VPNVPN  55 、 成都安装、 成都安装 ADAD ,建立站点连接,建立站点连接  66 、成都安装、成都安装 e2ke2k
  29. 29. 站点连接站点连接 成都成都 广州广州 InternetInternet 北京北京 上海上海 InternetInternet BJ_SH , Cost 10BJ_SH , Cost 10 BJ_GZBJ_GZ Cost:10Cost:10 SH_GZ, Cost 15SH_GZ, Cost 15 BJ_CD,Cost 15BJ_CD,Cost 15
  30. 30. 安装安装 Exchange 2000Exchange 2000 First server in the forest Forest Setup /forestprepSetup /forestprep Windows 2000 ConfigConfigConfigConfig SchemaSchemaSchemaSchema ModifyModifyModifyModify ModifyModifyModifyModify InstallInstallInstallInstall 准备森林设置准备森林设置 /forestprep/forestprep
  31. 31. 安装安装 Exchange 2000Exchange 2000 Setup /forestprepSetup /forestprep Windows 2000 Domain Controller InstallInstallInstallInstall GroupGroup UserUser CreateCreateCreateCreate ConfigConfigConfigConfig SchemaSchemaSchemaSchema Forest GroupGroup UserUser ConfigConfigConfigConfig SchemaSchemaSchemaSchema Exchange 2000Exchange 2000 准备域设置准备域设置 /domainprep/domainprep
  32. 32. 通过通过 VPNVPN 建立请求拨号连接建立请求拨号连接 Calling Router VPN Router Internet Intranet HQ ISP ISP VPN Tunnel 成都 北京
  33. 33. 请求拨号路由请求拨号路由
  34. 34. 请求拨号路由请求拨号路由
  35. 35. 请求拨号路由请求拨号路由
  36. 36. 请求拨号路由请求拨号路由
  37. 37. 请求拨号路由请求拨号路由
  38. 38. 请求拨号路由请求拨号路由
  39. 39. 请求拨号路由请求拨号路由
  40. 40. 计划路由组计划路由组 服务器必须属于同一个 Active Directory directory service forest 服务器彼此之间必须永久连接 路由组内的所有服务器必须能够连接到 routing group master 在一个路由组的在一个路由组的 Exchange 2000Exchange 2000 必须满足下列条件必须满足下列条件在一个路由组的在一个路由组的 Exchange 2000Exchange 2000 必须满足下列条件必须满足下列条件 Cost = 10 Cost = 30 AAAA CCCC BBBBCost = 10 User C User C User C User C
  41. 41. 路由组路由组 成都成都 广州广州 InternetInternet 北京北京 上海上海 InternetInternet BJ_SH , Cost 100BJ_SH , Cost 100 BJ_GZBJ_GZ Cost:100Cost:100 SH_GZ, Cost 150SH_GZ, Cost 150 BJ_CD,Cost 150BJ_CD,Cost 150
  42. 42. 创建和配置存储组创建和配置存储组 ESEESE TransactionLogTransactionLog Store Reserved Store Store Store Store Storage Group A Storage Group B TransactionLogTransactionLog Store Reserved Store Store Store Store ESEESE
  43. 43. 文件放置文件放置 系统分区和启动分区系统分区和启动分区 Mirror Set C: Storage Group 1 Transaction Logs Storage Group 1 Transaction Logs Mirror Set E: Storage Group 2 Transaction Logs Storage Group 2 Transaction Logs Mirror Set F: Page FilePage File D: All Database Files For Both Storage Groups All Database Files For Both Storage Groups Stripe Set with Parity G:
  44. 44. 备份恢复备份恢复  http://www.microsoft.com/Ehttp://www.microsoft.com/E xchange/techinfo/deploymexchange/techinfo/deployme nt/2000/E2Krecovery.aspnt/2000/E2Krecovery.asp
  45. 45. Connect Exchange 2000 toConnect Exchange 2000 to InternetInternet ServerServer InternetInternet
  46. 46. DNSDNS .msft nwtraders MX 10 SMTP1.nwtraders.msft MX 20 SMTP2.nwtraders.msft MX 30 SMTP3.nwtraders.msft DNSDNS .msft nwtraders MX 10 SMTP1.nwtraders.msft MX 20 SMTP2.nwtraders.msft MX 30 SMTP3.nwtraders.msft DNSDNS .msft nwtraders MX 10 SMTP1.nwtraders.msft MX 20 SMTP2.nwtraders.msft MX 30 SMTP3.nwtraders.msft Locating MX Records in DNS DNSDNS 和和 SMTPSMTP Internet Sending SMTP Server DNSDNS A SMTP1.nwtraders.msft 192.168.2.200 nwtraders MX 10 SMTP1.nwtraders.msft MX 20 SMTP2.nwtraders.msft MX 30 SMTP3.nwtraders.msft .msft
  47. 47. ISAISA InternetInternet 部署防火墙部署防火墙 -- 小型网络或分公司的配置小型网络或分公司的配置 企 部网业內 络企 部网业內 络  访问策略规则访问策略规则 -- IPIP 封包封包 ,, 应应 用程式用程式 ,, 使用者使用者 ,, 群组等的存取规则群组等的存取规则  带宽规则带宽规则 -- 不同不同 Internet requestInternet request 所分配不同带宽的规则所分配不同带宽的规则  发布规则发布规则 -- 将将 InternetInternet 服务服务 (( 如如 web,ftp,mail)web,ftp,mail) 透过防火墙透过防火墙 的保护公布給外界大众的保护公布給外界大众  入侵检测入侵检测 -- 防火墙入侵监测与警示防火墙入侵监测与警示  监视和日志监视和日志 –– 进出流量分析与报表进出流量分析与报表  WebWeb 缓存缓存 -- 所有放火墙的安全策存内容略会被自动应用到缓存内容之上所有放火墙的安全策存内容略会被自动应用到缓存内容之上
  48. 48. 蜂巢式安全防护体系蜂巢式安全防护体系 内部防火墙内部防火墙 中央监控服务器中央监控服务器 InternetInternet 中央管理服务器中央管理服务器 对外防火墙对外防火墙 内部防火墙内部防火墙
  49. 49. 配置内部邮件路由到配置内部邮件路由到 internetinternet  制定北京的一台服务器作为制定北京的一台服务器作为 SMTPSMTP 桥头桥头 堡连接到防火墙的内部堡连接到防火墙的内部 IPIP 地址地址  上海、广州和北京的另一台服务器设定上海、广州和北京的另一台服务器设定 Smart HostSmart Host ,指到,指到 SMTPSMTP 桥头堡服务器桥头堡服务器  成都成都 exchangeexchange 可以直接指到本地防火可以直接指到本地防火 墙墙
  50. 50. Secure SMTP ServerSecure SMTP Server  Secure relaySecure relay settingssettings  Best Practice:Best Practice: Default settings!Default settings!
  51. 51. ISA ServerISA Server 配置配置 HTTPS (SSL)HTTPS (SSL)  映射的协议映射的协议 : “HTTPS server”: “HTTPS server”  ISA Server listens on 443/tcpISA Server listens on 443/tcp  接受入站通信接受入站通信  重新产生新的包转发给重新产生新的包转发给 OWA serverOWA server  保留原地址和端口保留原地址和端口
  52. 52. ISA ServerISA Server 配置配置 HTTPS (SSL) — SecurityHTTPS (SSL) — Security  如果要求监测如果要求监测 ??  使用使用 WebWeb 发布发布  ISA ServerISA Server 需要更高的能力需要更高的能力 -- 考虑使用硬件加密卡考虑使用硬件加密卡  SSLSSL 终止点终止点  SSL stops at ISA ServerSSL stops at ISA Server  Certificate per ISA Server IP addressCertificate per ISA Server IP address  SSLSSL 桥桥  SSL from Client to ISA Server; new SSL from ISASSL from Client to ISA Server; new SSL from ISA Server to OWA serverServer to OWA server  需要证书从需要证书从 ISAISA 到到 OWA serversOWA servers
  53. 53. ISA ServerISA Server 配置配置 SMTPSMTP  映射的协议映射的协议 : “SMTP Server”: “SMTP Server”  典型典型 ISA ServerISA Server 反向代理方式反向代理方式  SMTP filterSMTP filter 提供保护提供保护  附件部署附件部署  拒绝的发送者和域拒绝的发送者和域  SMTPSMTP 命令确认和限制命令确认和限制  关键词过滤关键词过滤
  54. 54. 保证保证 Exchange ServerExchange Server 安安 全全 Exchange Server ProtocolProtocol SourceSource DestinatioDestinatio nn PortPort AnyAny InternalInternal NetworkNetwork Mail ServerMail Server AnyAny ProtocolProtocol SourceSource DestinationDestination PortPort SMTPSMTP AnyAny Mail ServerMail Server TCP 25TCP 25 POP3POP3 AnyAny Mail ServerMail Server TCP 110TCP 110 IMAPIMAP AnyAny Mail ServerMail Server TCP 143TCP 143 InternetInternet
  55. 55. Front end/Back EndFront end/Back End FirewallFirewall Open Ports:Open Ports: 443, 993, 995443, 993, 995 Exchange 2000Exchange 2000 Front-EndFront-End ServerServer Exchange 2000Exchange 2000 ServerServer Active DirectoryActive Directory Global Catalog ServerGlobal Catalog Server Exchange 2000Exchange 2000 ServerServer Exchange 2000Exchange 2000 ServerServerInternet HTTP, IMAPHTTP, IMAP or POP3 Clientor POP3 Client
  56. 56. 使用使用 DMZDMZ FirewallFirewall OpenOpen Ports:Ports: 443, 993,443, 993, 995995 ExchangeExchange 20002000 Front-EndFront-End ServersServers Exchange 2000Exchange 2000 ServerServer Active DirectoryActive Directory Global Catalog ServerGlobal Catalog Server Exchange 2000Exchange 2000 ServerServer Exchange 2000Exchange 2000 ServerServerInternet FirewallFirewall OpenOpen Ports: 80Ports: 80 143, 110,143, 110, LDAP, etcLDAP, etc DMZDMZ HTTP, IMAPHTTP, IMAP or POP3 Clientor POP3 Client
  57. 57. 保证服务器之间安全保证服务器之间安全 -- 验证验证  服务器和服务器自动使用服务器和服务器自动使用 X-EXPSX-EXPS 验验 证证  Kerberos/NTLMKerberos/NTLM  缺省缺省 SMTPSMTP 协议扩充与协议扩充与 Exchange 2000Exchange 2000 一起安装一起安装  允许服务器通过其他服务器中继允许服务器通过其他服务器中继 (( 需要需要 验证验证 ))  SMTP AUTH (RFC 2554)SMTP AUTH (RFC 2554)  主要是连接外部系统 –配置主要是连接外部系统 –配置 SMTPSMTP connectorconnector
  58. 58. 保证服务器之间安全保证服务器之间安全 -- 加密加密  IPSecIPSec  定义不同的定义不同的 IPSec filtersIPSec filters  最简单的配置最简单的配置  使用组策略可以使所有的使用组策略可以使所有的 ExchangeExchange serversservers 要求通过要求通过 2525 端口的入站信息加端口的入站信息加 密密  http://www.microsoft.com/windows2000/techinfo/plannihttp://www.microsoft.com/windows2000/techinfo/planni ng/security/ipsecsteps.aspng/security/ipsecsteps.asp  TLS (TLS – RFC 2487)TLS (TLS – RFC 2487)  要求在每台服务器上安装要求在每台服务器上安装 X.509v3X.509v3 服务服务 器密键器密键 ,,
  59. 59. 配置配置 ISAISA 防毒防毒  防止防止 Nimda WormNimda Worm http://www.microsoft.com/technet/treeviewhttp://www.microsoft.com/technet/treeview /default.asp?/default.asp? url=/technet/prodtechnol/isa/deploy/isanurl=/technet/prodtechnol/isa/deploy/isan imda.aspimda.asp  防止防止 Code Red Worm."Code Red Worm."
  60. 60. Information StoreInformation Store 方案方案  存储事件存储事件  在存储内当一个条目打开,保存,移动或删除时会触发在存储内当一个条目打开,保存,移动或删除时会触发  事件类型事件类型  同步 – 当事件发生时同步 – 当事件发生时  异步 – 在事件发生之后异步 – 在事件发生之后  病毒扫描病毒扫描 APIAPI  扫描邮件和附件扫描邮件和附件  安优先级扫描队列安优先级扫描队列  主动邮件扫描主动邮件扫描  增强背景扫描增强背景扫描  线程池线程池  每个每个 MDBMDB 扫描扫描  EDKEDK 网关内容扫描网关内容扫描  本机本机 MAPI/MIMEMAPI/MIME 内容扫描内容扫描  扫描器按需重新启动扫描器按需重新启动
  61. 61. 传输方案传输方案  整理公开中继整理公开中继 Fix open relaysFix open relays  SMTP Relay ParametersSMTP Relay Parameters  邮件过滤邮件过滤 -Filter Mail-Filter Mail  拒绝连接拒绝连接 -Disallow connections-Disallow connections  阻止内部垃圾邮件阻止内部垃圾邮件 -Stop internal spam-Stop internal spam
  62. 62. 桌面防毒桌面防毒  Windows andWindows and 浏览器浏览器  下载最新的补丁下载最新的补丁  定制浏览器的安全区域选项定制浏览器的安全区域选项  OutlookOutlook 安全安全  Outlook 98 / 2000 SP1Outlook 98 / 2000 SP1  Upgrade available now from http://www.officeupdate.comUpgrade available now from http://www.officeupdate.com  Outlook 2002Outlook 2002  Built into base productBuilt into base product  安装最新防病毒工具安装最新防病毒工具

×