《《務(wù)實(shí)技術(shù)講座系列》PPT課件.ppt》由會員分享，可在線閱讀，更多相關(guān)《《務(wù)實(shí)技術(shù)講座系列》PPT課件.ppt（64頁珍藏版）》請?jiān)谘b配圖網(wǎng)上搜索。

務(wù)實(shí)技術(shù)講座系列 如何部署Exchange2000和ISA2000構(gòu)建應(yīng)用 內(nèi)容安排 AD和exchange2000網(wǎng)絡(luò)設(shè)計(jì)連接Internet安全 ActiveDirectory在企業(yè)中 域和OUs組成層次化管理結(jié)構(gòu)多個域可以組成樹 Trees森林 Forests ActiveDirectorySchema ObjectClassExamples Printers Computers Users AttributesofUsersMightContain accountExpiresdepartmentdistinguishedNamemiddleName ListofAttributes accountExpiresdepartmentdistinguishedNamedirectReportsdNSHostNameoperatingSystemrepsFromrepsTomiddleName AttributeExamples ActiveDirectorySchemaIs 動態(tài)可用的動態(tài)可更新的由DACLs保護(hù) 域 Domains 一個域是個安全邊界一個域的管理員只能管理本域內(nèi)的資源 除非明確被其他域授權(quán)一個域是一個復(fù)制的單元一個域的域控制器參與復(fù)制并包含這個域的完整的目錄信息 GlobalCatalog 查詢 Groupmembershipwhenuserlogson 站點(diǎn)結(jié)構(gòu) Sites 優(yōu)化復(fù)制通信量讓用戶能夠通過一個穩(wěn)定的 高速的連接登錄到一個域控制器 站點(diǎn)拓?fù)浣Y(jié)構(gòu)舉例 ActiveDirectory森林 存放Exchange2000Data數(shù)據(jù) Users Computers Groups ActiveDirectory數(shù)據(jù)庫大小 InstallWindows2000 InstallExchange20000 Add10 000Mail EnabledUsers Add50 000NonMail EnabledUsers Mail Enable50 000Users UserPrincipleNames GlobalCatalog訪問 Exchange2000訪問ActiveDirectory Windows2000Site1 A B Exchange2000 GlobalCatalog Windows2000Site2 C D GlobalCatalog DSAccess DomainController訪問 DNS 發(fā)現(xiàn)和定義DirectoryServiceServers Exchange2000和AD站點(diǎn)設(shè)計(jì) Windows2000站點(diǎn)不影響Exchange2000Exchange信息路由基于路由組路由組設(shè)計(jì)決定與ActiveDirectory站點(diǎn)非常相似每個站點(diǎn)只能由一個活動的數(shù)據(jù)會議的會議管理器 服務(wù)定位 用戶端需要下列服務(wù)DNSDomainControllerGlobalCatalog DNS和ActiveDirectory 用戶端使用DNS定位ActiveDirectoryservicesActiveDirectoryDNSRFC要求必須支持SRV記錄 RFC2052應(yīng)該支持DHCP動態(tài)更新 RFC2136應(yīng)該支持IncrementalZoneTransfer RFC1995Exchangeservers使用DNS定位其他ExchangeserversExchange用戶使用DNS定位Exchangeservers考慮DNS與AD集成 DomainController放置 Windows2000用戶訪問基于ActiveDirectory站點(diǎn)每個站點(diǎn)放置多個域控制器提供冗余 GlobalCatalogServer放置 Exchange用戶端使用GC定位ExchangeDirectoryServicesExchange5 0用戶端 Outlook97 98由Exchangeserver代理Outlook2000直接訪問Exchangedirectoryservices 網(wǎng)絡(luò)設(shè)計(jì) 網(wǎng)絡(luò)狀況 遠(yuǎn)程用戶 本地網(wǎng) 分公司 范圍 典型網(wǎng)絡(luò)分布 廣州 2M 1M 1500人 500人 500人 50人 部署AD 多域 廣州 域 ABC NET CD ABC NET 服務(wù)器放置 廣州 2M 1M BJDCGC01 BJDC02 SHDCGC01 GZDCGC01 CDDCGC01 512K 服務(wù)器配置 域控制器P3500 1G內(nèi)存磁盤1個18G 系統(tǒng)郵件服務(wù)器磁盤1個18G 系統(tǒng) 3個80G 郵件數(shù)據(jù)庫如果可能可采用AA集群 北京 網(wǎng)絡(luò)連接 ADSitelink 站點(diǎn)連接BJ SHBJ GZSH GZBJ CDExchange2000路由組與ADSiteLink匹配管理組與路由組匹配Internet出口 北京 成都 系統(tǒng)安裝 1 北京安裝AD2 上海廣州 建立站點(diǎn)連接3 e2k4 北京成都建立VPN5 成都安裝AD 建立站點(diǎn)連接6 成都安裝e2k 站點(diǎn)連接 廣州 BJ SH Cost10 BJ GZCost 10 SH GZ Cost15 BJ CD Cost15 安裝Exchange2000 Firstserverintheforest Forest Setup forestprep Windows2000 Config Schema Modify Modify Install 準(zhǔn)備森林設(shè)置 forestprep 安裝Exchange2000 Setup forestprep Windows2000DomainController Install Group User Create Config Schema Forest Group User Config Schema Exchange2000 準(zhǔn)備域設(shè)置 domainprep 通過VPN建立請求撥號連接 CallingRouter VPNRouter Internet Intranet HQ ISP ISP VPNTunnel 成都 北京 請求撥號路由 請求撥號路由 請求撥號路由 請求撥號路由 請求撥號路由 請求撥號路由 請求撥號路由 計(jì)劃路由組 服務(wù)器必須屬于同一個ActiveDirectorydirectoryserviceforest服務(wù)器彼此之間必須永久連接路由組內(nèi)的所有服務(wù)器必須能夠連接到routinggroupmaster 在一個路由組的Exchange2000必須滿足下列條件 Cost 10 Cost 30 A C B Cost 10 路由組 廣州 BJ SH Cost100 BJ GZCost 100 SH GZ Cost150 BJ CD Cost150 創(chuàng)建和配置存儲組 StorageGroupA StorageGroupB 文件放置 系統(tǒng)分區(qū)和啟動分區(qū) MirrorSet C StorageGroup1TransactionLogs MirrorSet E StorageGroup2TransactionLogs MirrorSet F PageFile D AllDatabaseFilesForBothStorageGroups StripeSetwithParity G 備份恢復(fù) ConnectExchange2000toInternet Server Internet LocatingMXRecordsinDNS DNS和SMTP Internet SendingSMTPServer ISA 部署防火墻 小型網(wǎng)絡(luò)或分公司的配置 企業(yè)內(nèi)部網(wǎng)絡(luò) 訪問策略規(guī)則 IP封包 應(yīng)用程式 使用者 群組等的存取規(guī)則帶寬規(guī)則 不同Internetrequest所分配不同帶寬的規(guī)則發(fā)布規(guī)則 將Internet服務(wù) 如web ftp mail 透過防火墻的保護(hù)公布給外界大眾入侵檢測 防火墻入侵監(jiān)測與警示監(jiān)視和日志 進(jìn)出流量分析與報(bào)表Web緩存 所有放火墻的安全策存內(nèi)容略會被自動應(yīng)用到緩存內(nèi)容之上 蜂巢式安全防護(hù)體系 內(nèi)部防火墻 中央監(jiān)控服務(wù)器 Internet 中央管理服務(wù)器 對外防火墻 內(nèi)部防火墻 配置內(nèi)部郵件路由到internet 制定北京的一臺服務(wù)器作為SMTP橋頭堡連接到防火墻的內(nèi)部IP地址上海 廣州和北京的另一臺服務(wù)器設(shè)定SmartHost 指到SMTP橋頭堡服務(wù)器成都exchange可以直接指到本地防火墻 SecureSMTPServer SecurerelaysettingsBestPractice Defaultsettings ISAServer配置HTTPS SSL 映射的協(xié)議 HTTPSserver ISAServerlistenson443 tcp接受入站通信重新產(chǎn)生新的包轉(zhuǎn)發(fā)給OWAserver保留原地址和端口 ISAServer配置HTTPS SSL Security 如果要求監(jiān)測 使用Web發(fā)布ISAServer需要更高的能力 考慮使用硬件加密卡SSL終止點(diǎn)SSLstopsatISAServerCertificateperISAServerIPaddressSSL橋SSLfromClienttoISAServer newSSLfromISAServertoOWAserver需要證書從ISA到OWAservers ISAServer配置SMTP 映射的協(xié)議 SMTPServer 典型ISAServer反向代理方式SMTPfilter提供保護(hù)附件部署拒絕的發(fā)送者和域SMTP命令確認(rèn)和限制關(guān)鍵詞過濾 保證ExchangeServer安全 ExchangeServer Frontend BackEnd FirewallOpenPorts 443 993 995 Exchange2000Front EndServer Exchange2000Server ActiveDirectoryGlobalCatalogServer Exchange2000Server Exchange2000Server Internet HTTP IMAPorPOP3Client 使用DMZ FirewallOpenPorts 443 993 995 Exchange2000Front EndServers Exchange2000Server ActiveDirectoryGlobalCatalogServer Exchange2000Server Exchange2000Server Internet FirewallOpenPorts 80143 110 LDAP etc DMZ HTTP IMAPorPOP3Client 保證服務(wù)器之間安全 驗(yàn)證 服務(wù)器和服務(wù)器自動使用X EXPS驗(yàn)證Kerberos NTLM缺省SMTP協(xié)議擴(kuò)充與Exchange2000一起安裝允許服務(wù)器通過其他服務(wù)器中繼 需要驗(yàn)證 SMTPAUTH RFC2554 主要是連接外部系統(tǒng) 配置SMTPconnector 保證服務(wù)器之間安全 加密 IPSec定義不同的IPSecfilters最簡單的配置使用組策略可以使所有的Exchangeservers要求通過25端口的入站信息加密 配置ISA防毒 防止NimdaWorm InformationStore方案 存儲事件在存儲內(nèi)當(dāng)一個條目打開 保存 移動或刪除時會觸發(fā)事件類型同步 當(dāng)事件發(fā)生時異步 在事件發(fā)生之后病毒掃描API掃描郵件和附件安優(yōu)先級掃描隊(duì)列主動郵件掃描增強(qiáng)背景掃描線程池每個MDB掃描EDK網(wǎng)關(guān)內(nèi)容掃描本機(jī)MAPI MIME內(nèi)容掃描掃描器按需重新啟動 傳輸方案 整理公開中繼FixopenrelaysSMTPRelayParameters郵件過濾 FilterMail拒絕連接 Disallowconnections阻止內(nèi)部垃圾郵件 Stopinternalspam 桌面防毒 Windowsand瀏覽器下載最新的補(bǔ)丁定制瀏覽器的安全區(qū)域選項(xiàng)Outlook安全Outlook98 2000SP1UpgradeavailablenowfromOutlook2002Builtintobaseproduct安裝最新防病毒工具