部署exchang2010邮件服务器

1、实验架构图:DC/DNS/Exchange2010 中心传输服务器Ip:7/24网关:DNS:7Edge边缘传输服务器Ip:26/24网关:DNS:71. 搭建DC并配置MX记录新建邮件服务器A记录,新建邮件交换器MX用于标识邮件服务器的名称2. 安装MS Filter Pack程序;安装.net Framework功能; 安装web IIS角色; 3. 安装先后顺序安装操作系统补丁包(kb979099;kb982867;kb979744;kb9834

2、40;kb977020) 4. 安装Exchange2010,选择典型安装(中心传输,客户端访问,邮箱,exchange管理工具)5. 安装完成后测试,输入下面命令能够看到本机安装的邮件角色Get-exchangeserver | fi serverRole6. 配置网页登陆MUA客户端登录http:/本机IP/owa来创建用户邮箱7. 配置POP3来启用收件服务Net start MSExchangePop3或Services.msc 进入服务里面开启pop38. 配置outlook MUA客户端打开office选择outlook收件人管理1. 收件人概述:收件人是指在活动目录中启用了邮箱和

3、启用了电子邮件的对象.主要包括三类: 用户,联系人,组2.创建exchange用户启用邮箱:一般旨针对于公司内部员工启用邮件:一般旨针对联系人和组 2. 管理用户邮箱属性存储限额:邮箱传递选项的配置: 转发地址:让发送给我的邮件自动转发一封给某人代表发送:让他人以自己的名义发送邮件传递限制:禁止用户接收外部邮件或禁止用户发送外部邮件.3. 创建exchange组:实现向批量用户发送邮件通用分发组:只能用户群收电子邮件,该组没有windows系统的SID号.通用安全组:既可以发送邮件,也可以分配权限;有SID号码动态通讯组:使用相应的筛选条件自动生成的组,例如:按照部门自动生成的组将邮箱用户的账

4、户信息改为相对应的动态通讯组条件就可以自动加入到相应的动态通讯组4. 管理地址列表通过地址列表可以将收件人按照部门,地理位置,收件人类型等标准进行分类,用户使用地址列表可以方便找到想联系的收件人.4.1 创建地址列表中心传输服务器角色管理1. 邮件传输和路由:邮件在不同的邮件服务器之间的传递路径叫做传输,如:从域路由到域;决定了邮件的处理和传递方式是邮件传输传输方式有两种:1.1 W中心传输服务器-1.2 W中心传输服务器-边缘传输服务器-2. 认识SMTP连接器(默认情况下exchange2010会为内部自动建立发送和接收连接器)SMTP连接器:负责发送和接收邮件,提供了传递邮件到特定目的地

5、的单向路径,2.1. SMTP发送连接器(出站连接器)发送连接器是exchange要发送电子邮件到外部电子邮件系统所经过的逻辑网关,多个邮件服务器可以使用同一个发送连接器,2.2. SMTP接收连接器(入站连接器)接收连接器是exchange接收所有入站的邮件,即接收客户端发送到exchange邮件服务器的邮件时所经过的一个逻辑网关.3. 配置邮件exchange出站3.1 添加DNS的邮件服务器的MX记录3.2 配置转发器3.3 建立发送连接器表示连接所有外部邮件系统都使用该连接器出站此时可以发送邮件到类型邮箱了4. 配置exchange邮件入站接受域:用于发送和接收电子邮件的SMTP命名空

6、间,不在接受域列表中的域名邮件,exchange传输服务器不会负责传输,接受域分为权威域和中继域权威域:集团的电子邮件域是权威域,默认接受域是活动目录林根域的完全限定域名,默认中心传输服务器接受任何权威域的电子邮件.中继域:用于边缘传输服务器从internet接收电子邮件而收件人不属于权威域时候,发送服务器试图通过exchange服务器中继;一般用于中心传输服务发送接收的邮件不是发往组织内容,此时邮件服务器可能会利用中继域转发出站默认中心传输服务器是允许匿名的身份入站,Default servername是一个接收连接器5. 配置邮件传输策略主要是限制组织内部和外部的收件人和发件人之间的交互,

7、使用此技术可以限制不适当的内容离开公司,可以基于筛选关键字进行设置. #边缘传输服务器边缘传输服务器是部署在公司的网络防火墙DMZ区域中的一台用于处理所有面向internet外部邮件系统的邮件流,为exchange组织提供SMTP中继和智能主机服务器.中心传输服务器-边缘传输服务器- - - 原理: 中心服务器负责组织内的邮件的路由和传输,同时接收来自组织内的邮箱服务器的邮件,然后路由到边缘服务器. 边缘传输服务器接收来自组织外部的邮件,然后路由到组织内的中心传输服务器,最后传输到邮箱服务器部署:1. 边缘传输服务器安装在独立的服务器中,不推荐加入域,一般部署在DMZ区域中,因为边缘服务器可以

8、使用ADAM工具链接域,保持与AD同步2. 将edge服务器的DNS指向AD域,更改计算机名,和主DNS后缀;并在DNS中添加edge的A记录3. Edge服务器安装.net Framework 3.5程序组件,Active Directory轻量级活动协议服务,用于与AD进行同步4. 安装edge服务器,选自定义安装只需要安装边缘传输服务器和管理工具即可. 5. 安装完成边缘后重启一次计算机6. 在边缘服务器中生成边缘订阅文件edge.xml,并复制该文件到中心传输服务器中进行导入New-edgesubscription filename c:edge.xml7. 打开中心传输服务器,进入组

9、织配置节点-集线器传输-新建边缘订阅8. 测试边缘订阅是否成功Start-edgesynchronization 使用此命令强制与边缘服务器进行AD数据的同步Test-edgesynchronization 验证是否与边缘服务器的连接及同步是否正常9. 配置完边缘订阅后,在中心传输服务器会自动建立2个发送连接器用于边缘服务器10. 删除之前中心传输服务器中建立的”连接到internet的发送连接器”(没有建立,则此步骤不需要执行)11. 将中心传输服务器中DNS的MX记录指向边缘传输服务器IP;因为外部首先是连接到边缘传输服务器,再进入中心传输服务器可以解析到的MX记录12. 发送一封邮件到外

10、部地址 #邮件服务器安全技术1. 部署FPE2010主要是为边缘和中心服务器提供保护,实现防病毒,蠕虫,垃圾邮件主要将FPE部署在中心传输服务器和边缘传输服务器,客户端访问角色服务器上2. 安装前准备(提前安装.net Framework 3.0 sp1补丁包;本实验是将FPE2010安装在中心传输服务器中)安装完成后重新启动Exchange 2010邮件系统3. 配置FPE20103.1 打开FPE2010主界面3.2 启动实时扫描,可以扫描用户邮箱中是否由病毒或违法了垃圾邮件的规则的邮件3.3 恶意邮件的处理方式是清理和删除集线器,即中心传输服务器的实时扫描主要是针对SMTP邮件的入站或出

11、站的电子邮件,从外部进入exchange2010,或者从exchange2010到外部进行反垃圾或防病毒4. 配置FPE2010的筛选器4.1 阻止员工发送一些执行文件,因为很多木马类似一些执行文件4.2 阻止员工发送一些包含特定敏感的文字进行传播,比如sexu 创建筛选器列表用户过滤 u 使用客户机测试发送一封包含exe执行文件的邮件 打开文件文件时出现下面的提示信息5. 配置FPE2010防病毒防病毒主要是针对此软件已经集成了5个杀毒引擎为一体,免费更新杀毒库,及时得到互联网的杀毒库可以设置更新频率和更新时间u 测试发送病毒邮件 6. 部署Exchange2010邮件加密技术本节的邮件加密

12、技术是使用微软的S/MIME技术来实现的,也就是使用邮件的加密和数字签名两种技术来实现.S/MIME主要包括以下三点:1.exchange2010邮件系统2.PKI数字证书 2.1 对称加密(即,传统的对称加密) 2.2 非对称加密(即,公钥加密技术) -公钥,私钥3.支持S/MIME的客户端邮件收发+7. 部署S/MIME应用 -客户机可以不用加入域1. 安装CA(实验环境可以将CA安装在拥有exchange2010那台主机)2. 在客户机登录3. 选择”申请证书”-“用户证书”-“提交”-“安装此证书”4. 检查证书(进入Internet选项-内容-证书)5. 使用outlook或owa形

13、式安装S/MIME控件测试发加密邮件#部署DPM服务器架构图:7 0DC dpm(成员服务器)1. DPM服务器安装需要部署在域的环境下,不是部署在域控制器中2. 在dc中新建用户dpm,并加入到域管理组,用加入域的一台成员服务器登录dpm来安装DPM服务器3. 安装会重新启动一次服务器,然后在重新打开DPM安装位置,手动执行安装4. 打开桌面的DPM管理员控制台5. 添加DPM备份磁盘;手工添加2块1000磁盘 6. 向需要被保护的计算机上安装DPM保护代理7. #配置DPM数据备份服务器架构图: DCDPM20107

14、01. 创建保护组 测试DPM保护与恢复1. 创建一个恢复点,用户恢复到指定时间2. 恢复还原到指定界面删除D盘ceshi.txt文件后模拟还原 模拟配置保护exchange2010系统1. 添加exchange2010保护组 创建一个用户testdpm用于测试发送一些邮件给自己,然后再来创建恢复点. n 在恢复之前需要创建恢复数据库,用于保存恢复数据,不能直接恢复到生产数据库创建一个用户恢复的mailbox数据,用于保存恢复后的数据,用户再从这个恢复的数据库中导出数据到生产数据库.执行恢复操作 n 从恢复数据库中导出数据到生产库中合并rdb数据库中的邮件到原来的数据库

15、上面Mount-database rdb重建testdpm邮箱的数据Restore-mailbox Identity testdpm recoverydatabase rdb如果知道需要恢复邮件的主题或者包含什么字体可以使用下面语句恢复:Restore-mailbox identity 用户名 recoverydatabase rdb subjectkeywords “主题名”#实验架构图：DFS服务器/DC/DNS 成员服务器成员服务器 1. 安装DC,文件服务n 分布式文件系统案例一（统一共享资源）将各个服务器创建的共享文件夹添加到命名空间中统一管理和使用，所有人只需要访问命名空间即可。1

16、. 将2台2008系统，分别为file1和file2加入域2. 在file1中新建共享文件夹sales,并设置该文件夹让域用户可以读写操作3. 在file2中新建共享文件夹manager,并设置该文件夹让域用户可以读写操作4. 在DFS管理中新建2个文件夹，取名为"销售部"和"公司管理文档"5. 分别将sales链接到销售部，manager链接到公司管理文档n 分布式文件系统DFS案例二（DFS冗余）建立两台DFS服务器，我们可以将辅助DC变成另一台DFS服务器，为企业DFS提供冗余作业，避免单点故障1. 在辅助域控制器中安装分布式文件系统角色服务（此台

17、不创建命名空间）2. 在原来DFS管理再添加一台命名空间服务器。 #部署DFS分布式文件系统 二DFS命名空间支持故障转移功能：在一个文件夹目标发生故障或从命名空间中删除后，客户端尝试访问引用中另外一台服务器。如果客户端没有配置故障回复，则不能够故障回复到以后的那台服务器DFS复制：在一个成员上进行的任何更改均将复制到复制组的所有成员上。DFS复制过程中发生冲突，对于冲突文件,DFS复制使用最后写入者优先的冲突解决方式l 部署步骤：1. 一台DC，两台成员服务器加入域，在成员服务器中创建共享文件夹manager，并设置只能是“域用户”可以读写2. 在两台成员服务器中安装分布式文件系统角色2.

18、添加两个文件夹目标,即两台成员服务器 验证：诊断报告向导 #部署微软平台故障转移群集心跳线:检测两个节点间的存活状态仲裁磁盘:用于保存群集配置数据库,实现数据一致性.防止出现群集服务器同时对同一资源实现争用.见证盘:保存的数据和仲裁盘相同,需要和群集的各个节点配合才能完成仲裁的功能.故障转移群集的节点间仲裁支持模式:1. 节点多数仲裁配置(节点可故障:(总节点数/2)四舍五入)-12. 节点和磁盘多数仲裁配置(拥有见证盘的时候,可以故障节点为总节点的一半)3. 节点和文件共享多数仲裁配置(与上面一种类似,把见证盘改为文件共享)4. 无多数仅磁盘仲裁配置(使用独立的一台电脑来作为仲裁盘)部署步骤:1. 每个节点需要2块网卡,一