务实技术讲座系列

务实技术讲座系列第1页，共65页。如何部署Exchange2000和ISA2000构建应用第2页，共65页。内容安排AD和exchange2000网络设计连接Internet安全第3页，共65页。ActiveDirectory在企业中域和OUs组成层次化管理结构多个域可以组成树-Trees森林-ForestsForestObjectsDomainDomainDomainTreeDomainDomainTreeDomainOUOUOU第4页，共65页。ActiveDirectorySchemaObjectClassExamplesPrintersComputersUsersAttributesofUsers

MightContain:accountExpiresdepartmentdistinguishedNamemiddleNameListofAttributesaccountExpiresdepartmentdistinguishedNamedirectReportsdNSHostNameoperatingSystemrepsFromrepsTomiddleName…AttributeExamplesActiveDirectorySchemaIs:动态可用的动态可更新的由DACLs保护第5页，共65页。域-Domains一个域是个安全边界一个域的管理员只能管理本域内的资源,除非明确被其他域授权一个域是一个复制的单元一个域的域控制器参与复制并包含这个域的完整的目录信息Windows2000

DomainUser1User2User1User2复制第6页，共65页。GlobalCatalogGlobalCatalogServerGlobalCatalogSubsetoftheAttributesofAllObjectsDomainDomainDomainDomainDomainDomain查询Groupmembershipwhenuserlogson第7页，共65页。站点结构

Sites:优化复制通信量让用户能够通过一个稳定的，高速的连接登录到一个域控制器

SiteIPsubnetIPsubnetLosAngelesSeattleChicagoNewYork第8页，共65页。站点拓扑结构举例DomainADomainBSite1Site2SiteLinkDomainADomainBSite2Site1SiteLink1234第9页，共65页。ActiveDirectory森林Exchange2000组织contoso.msftnwtraders.msftsamerica.nwtraders.msftExchange2000组织Exchange2000组织nwtraders.msftsamerica.nwtraders.msftnamerica.nwtraders.msftNorthwindTraders多个森林一个森林第10页，共65页。存放Exchange2000Data数据UsersComputersGroupsDomainPartitionConfigurationPartitionExchangeConfigurationSitesReplicationTopologySchemaPartitionCN=Schema,CN=Configuration,DC=nwtraders,DC=msft第11页，共65页。ActiveDirectory数据库大小ActiveDirectory425MBActiveDirectory345MBActiveDirectory110MBActiveDirectory27MBActiveDirectory13MBInstallWindows2000InstallExchange20000Add10,000Mail-EnabledUsersAdd50,000NonMail-EnabledUsersMail-Enable50,000Users第12页，共65页。UserPrincipleNamesTreenwtraders.msftnamerica.nwtraders.msftsamerica.nwtraders.msftUPN=Joeb@nwtraders.msftSMTP=Joeb@nwtraders.msft

UPN=Jamesw@nwtraders.msftSMTP=Jamesw@nwtraders.msft

UPN=Miyokoy@nwtraders.msftSMTP=Miyokoy@nwtraders.msft第13页，共65页。Exchange2000GlobalCatalogDomainControllerGlobalCatalogWindows2000Site2DomainControllerWindows2000Site1GlobalCatalog访问Exchange2000访问ActiveDirectoryWindows2000Site1ABExchange2000GlobalCatalogWindows2000Site2CDGlobalCatalogDSAccessDomainController访问DNS第14页，共65页。发现和定义DirectoryServiceServersCacheListDomainController1DomainController2DomainController3...10.DNSDSAccessExchange2000LDAPDNSCacheListDomainController1DomainController2DomainController3...10.DSAccessExchange2000LDAPDomainController第15页，共65页。Exchange2000和AD站点设计Windows2000站点不影响Exchange2000Exchange信息路由基于路由组路由组设计决定与ActiveDirectory站点非常相似每个站点只能由一个活动的数据会议的会议管理器第16页，共65页。服务定位用户端需要下列服务DNSDomainControllerGlobalCatalog第17页，共65页。DNS和ActiveDirectory用户端使用DNS定位ActiveDirectoryservicesActiveDirectoryDNSRFC要求必须支持SRV记录,RFC2052应该支持DHCP动态更新,RFC2136应该支持IncrementalZoneTransfer,RFC1995Exchangeservers使用DNS定位其他ExchangeserversExchange用户使用DNS定位Exchangeservers考虑DNS与AD集成第18页，共65页。DomainController放置Windows2000用户访问基于ActiveDirectory站点每个站点放置多个域控制器提供冗余第19页，共65页。GlobalCatalogServer放置Exchange用户端使用GC定位ExchangeDirectoryServicesExchange5.0用户端,Outlook97/98由Exchangeserver代理Outlook2000直接访问Exchangedirectoryservices第20页，共65页。网络设计第21页，共65页。网络状况远程用户本地网分公司Internet范围第22页，共65页。典型网络分布成都广州Internet北京上海Internet2M1M1500人500人500人50人第23页，共65页。部署AD-多域成都广州Internet北京上海InternetOU北京上海域广州OU成都ABC.NET第24页，共65页。服务器放置成都广州Internet北京上海Internet2M1MBJDCGC01BJDC02SHDCGC01GZDCGC01CDDCGC01512K第25页，共65页。服务器配置域控制器P3500,1G内存磁盘1个18G–系统邮件服务器磁盘1个18G–系统，3个80G–邮件数据库如果可能可采用AA集群—北京第26页，共65页。网络连接ADSitelink–站点连接BJSHBJGZSHGZBJCDExchange2000路由组与ADSiteLink匹配管理组与路由组匹配Internet出口北京，成都第27页，共65页。系统安装1、北京安装AD2、上海广州,建立站点连接3、e2k4、北京成都建立VPN5、成都安装AD，建立站点连接6、成都安装e2k第28页，共65页。站点连接成都广州Internet北京上海InternetBJ_SH,Cost10BJ_GZCost:10SH_GZ,Cost15BJ_CD,Cost15第29页，共65页。安装Exchange2000FirstserverintheforestForestSetup/forestprepWindows2000ConfigSchemaModifyModifyInstall准备森林设置

/forestprep第30页，共65页。安装Exchange2000Setup/forestprepWindows2000DomainControllerInstallGroupUserCreateConfigSchemaForestGroupUserConfigSchemaExchange2000准备域设置/domainprep第31页，共65页。通过VPN建立请求拨号连接CallingRouterVPNRouterInternetIntranetHQISPISPVPNTunnel成都北京第32页，共65页。请求拨号路由第33页，共65页。请求拨号路由第34页，共65页。请求拨号路由第35页，共65页。请求拨号路由第36页，共65页。请求拨号路由第37页，共65页。请求拨号路由第38页，共65页。请求拨号路由第39页，共65页。计划路由组服务器必须属于同一个ActiveDirectorydirectoryserviceforest服务器彼此之间必须永久连接路由组内的所有服务器必须能够连接到routinggroupmaster在一个路由组的Exchange2000必须满足下列条件Cost=10Cost=30ACBCost=10UserCUserCUserCUserC第40页，共65页。路由组成都广州Internet北京上海InternetBJ_SH,Cost100BJ_GZCost:100SH_GZ,Cost150BJ_CD,Cost150第41页，共65页。创建和配置存储组ESETransactionLogStoreReservedStoreStoreStoreStoreStorageGroupAStorageGroupBTransactionLogStoreReservedStoreStoreStoreStoreESE第42页，共65页。文件放置系统分区和启动分区MirrorSetC:\StorageGroup1TransactionLogsMirrorSetE:\StorageGroup2TransactionLogsMirrorSetF:\PageFileD:\AllDatabaseFilesFor

BothStorageGroupsStripeSetwithParityG:\第43页，共65页。备份恢复第44页，共65页。ConnectExchange2000toInternetServerInternet第45页，共65页。DNS.msftnwtradersMX 10 SMTP1.nwtraders.msftMX 20 SMTP2.nwtraders.msftMX 30 SMTP3.nwtraders.msftDNS.msftnwtradersMX 10 SMTP1.nwtraders.msftMX 20 SMTP2.nwtraders.msftMX 30 SMTP3.nwtraders.msftDNS.msftnwtradersMX 10 SMTP1.nwtraders.msftMX 20 SMTP2.nwtraders.msftMX 30 SMTP3.nwtraders.msftLocatingMXRecordsinDNSDNS和SMTPInternetSendingSMTPServerDNSASMTP1.nwtraders.msft00nwtradersMX 10 SMTP1.nwtraders.msftMX 20 SMTP2.nwtraders.msftMX 30 SMTP3.nwtraders.msft.msft第46页，共65页。ISAInternet部署防火墙-

小型网络或分公司的配置企业內部网络访问策略规则

-IP封包,应用程式,使用者,群组等的存取规则带宽规则

-不同Internetrequest所分配不同带宽的规则发布规则

-将Internet服务(如web,ftp,mail)透过防火墙

的保护公布給外界大众入侵检测

-防火墙入侵监测与警示监视和日志

–进出流量分析与报表Web缓存-所有放火墙的安全策存内容略会被自动应用到缓存内容之上第47页，共65页。第48页，共65页。蜂巢式安全防护体系内部防火墙中央监控服务器Internet中央管理服务器对外防火墙内部防火墙第49页，共65页。配置内部邮件路由到internet制定北京的一台服务器作为SMTP桥头堡连接到防火墙的内部IP地址上海、广州和北京的另一台服务器设定SmartHost，指到SMTP桥头堡服务器成都exchange可以直接指到本地防火墙第50页，共65页。SecureSMTPServerSecurerelaysettingsBestPractice:Defaultsettings!第51页，共65页。ISAServer配置

HTTPS(SSL)映射的协议:“HTTPSserver”ISAServerlistenson443/tcp接受入站通信重新产生新的包转发给OWAserver保留原地址和端口第52页，共65页。ISAServer配置

HTTPS(SSL)—Security如果要求监测?使用Web发布ISAServer需要更高的能力-考虑使用硬件加密卡SSL终止点SSLstopsatISAServerCertificateperISAServerIPaddressSSL桥SSLfromClienttoISAServer;newSSLfromISAServertoOWAserver需要证书从ISA到OWAservers第53页，共65页。ISAServer配置

SMTP映射的协议:“SMTPServer”典型ISAServer反向代理方式SMTPfilter提供保护附件部署拒绝的发送者和域SMTP命令确认和限制关键词过滤第54页，共65页。保证ExchangeServer安全ExchangeServerProtocolSourceDestinationPortAnyInternalNetworkMailServerAnyProtocolSourceDestinationPortSMTPAnyMailServerTCP25POP3AnyMailServerTCP110IMAPAnyMailServerTCP143Internet第55页，共65页。Frontend/BackEndFirewallOpenPorts:

443,993,995Exchange2000Front-End

ServerExchange2000ServerActiveDirectoryGlobalCatalogServerExchange2000ServerExchange2000ServerInternetHTTP,IMAP

orPOP3Client第56页，共65页。使用DMZFirewallOpen

Ports:

443,993,

995Exchange

2000Front-End

ServersExchange2000ServerActiveDirectoryGlobalCatalogServerExchange2000ServerExchange2000ServerInternetFirewallOpen

Ports:80

143,110,LDAP,etcDMZHTTP,IMAP

orPOP3Client第57页，共65页。保证服务器之间安全-验证服务器和服务器自动使用X-EXPS验证Kerberos/NTLM缺省SMTP协议扩充与Exchange2000一起安装允许服务器通过其他服务器中继(需要验证)SMTPAUTH(RFC2554)主要是连接外部系统–配置SMTPconnector第58页，共65页。保证服务器之间安全-加密IPSec定义不同的IPSecfilters最简单的配置使用组策略可以使所有的Exchangeservers要求通过25端口的入站信息加密TLS(TLS–RFC2487)要求在每台服务器上安装X.509v3服务器密键,第59页，共65页。配置ISA防毒防止NimdaWormtechnet/treeview/default.asp?url=/technet/prodtechnol/isa/deploy/isanimda.asp防止CodeRedWorm."

第60页，共65页。InformationStore方案存储事件在存储内当一个条目打开，保存，移动或删除时会触发事件类型同步–当事件发生