《务实技术讲座系列.ppt》由会员分享,可在线阅读,更多相关《务实技术讲座系列.ppt(64页珍藏版)》请在三一办公上搜索。
1、,务实技术讲座系列,如何部署Exchange 2000 和ISA 2000构建应用,内容安排,AD 和 exchange 2000网络设计连接Internet安全,Active Directory 在企业中,域和 OUs 组成层次化管理结构多个域可以组成树-Trees森林-Forests,Active Directory Schema,ObjectClass Examples,Printers,Computers,Users,Attributes of Users Might Contain:,accountExpiresdepartmentdistinguishedNamemiddleNam
2、e,List of Attributes,accountExpiresdepartmentdistinguishedNamedirectReportsdNSHostNameoperatingSystemrepsFromrepsTomiddleName,Attribute Examples,Active Directory Schema Is:动态可用的动态可更新的由 DACLs 保护,域-Domains,一个域是个安全边界一个域的管理员只能管理本域内的资源,除非明确被其他域授权一个域是一个复制的单元一个域的域控制器参与复制并包含这个域的完整的目录信息,Global Catalog,查询,Gro
3、up membershipwhen user logs on,站点结构,Sites:优化复制通信量让用户能够通过一个稳定的,高速的连接登录到一个域控制器,站点拓扑结构举例,Active Directory 森林,存放 Exchange 2000 Data数据,Users,Computers,Groups,Active Directory 数据库大小,Install Windows 2000,Install Exchange 20000,Add 10,000 Mail-Enabled Users,Add 50,000 Non Mail-Enabled Users,Mail-Enable 50,0
4、00 Users,User Principle Names,Global Catalog 访问,Exchange 2000 访问 Active Directory,Windows2000 Site 1,A,B,Exchange2000,GlobalCatalog,Windows2000 Site 2,C,D,GlobalCatalog,Domain Controller 访问,DNS,发现和定义Directory Service Servers,Exchange 2000 和 AD 站点设计,Windows 2000 站点不影响 Exchange 2000Exchange 信息路由基于路由组路
5、由组设计决定与 Active Directory 站点非常相似每个站点只能由一个活动的数据会议的会议管理器,服务定位,用户端需要下列服务DNSDomain ControllerGlobal Catalog,DNS 和 Active Directory,用户端使用 DNS 定位Active Directory servicesActive Directory DNS RFC 要求必须支持 SRV 记录,RFC 2052应该支持 DHCP 动态更新,RFC 2136应该支持 Incremental Zone Transfer,RFC 1995Exchange servers 使用 DNS 定位其他
6、Exchange serversExchange 用户使用 DNS 定位 Exchange servers考虑 DNS 与 AD 集成,Domain Controller 放置,Windows 2000 用户访问基于 Active Directory 站点每个站点放置多个域控制器提供冗余,Global Catalog Server 放置,Exchange 用户端使用 GC 定位 Exchange Directory ServicesExchange 5.0 用户端,Outlook 97/98 由Exchange server 代理Outlook 2000 直接访问 Exchange direc
7、tory services,网络设计,网络状况,远程用户,本地网,分公司,范围,典型网络分布,广州,2M,1M,1500人,500人,500人,50人,部署AD-多域,广州,域,ABC.NET,服务器放置,广州,2M,1M,BJDCGC01,BJDC02,SHDCGC01,GZDCGC01,CDDCGC01,512K,服务器配置,域控制器P3 500,1G 内存磁盘 1 个 18G 系统邮件服务器磁盘 1 个 18G 系统,3 个80G 邮件数据库如果可能可采用AA集群北京,网络连接,AD Site link 站点连接BJ-SHBJ-GZ SH-GZBJ-CDExchange 2000 路由组
8、 与AD Site Link 匹配管理组与路由组匹配Internet 出口-北京,成都,系统安装,1、北京安装AD2、上海广州,建立站点连接3、e2k 4、北京成都建立VPN 5、成都安装AD,建立站点连接6、成都安装 e2k,站点连接,广州,BJ_SH,Cost 10,BJ_GZCost:10,SH_GZ,Cost 15,BJ_CD,Cost 15,安装 Exchange 2000,First server in the forest,Forest,Setup/forestprep,Windows 2000,Config,Schema,Modify,Modify,Install,准备森林设置
9、/forestprep,安装 Exchange 2000,Setup/forestprep,Windows 2000Domain Controller,Install,Group,User,Create,Config,Schema,Forest,Group,User,Config,Schema,Exchange 2000,准备域设置/domainprep,通过VPN建立请求拨号连接,Calling Router,VPN Router,Internet,Intranet,HQ,ISP,ISP,VPN Tunnel,成都,北京,请求拨号路由,请求拨号路由,请求拨号路由,请求拨号路由,请求拨号路由,
10、请求拨号路由,请求拨号路由,计划路由组,服务器必须属于同一个 Active Directory directory service forest服务器彼此之间必须永久连接路由组内的所有服务器必须能够连接到 routing group master,在一个路由组的Exchange 2000必须满足下列条件,Cost=10,Cost=30,A,C,B,Cost=10,路由组,广州,BJ_SH,Cost 100,BJ_GZCost:100,SH_GZ,Cost 150,BJ_CD,Cost 150,创建和配置存储组,Storage Group A,Storage Group B,文件放置,系统分区和
11、启动分区,Mirror Set,C:,Storage Group 1Transaction Logs,Mirror Set,E:,Storage Group 2Transaction Logs,Mirror Set,F:,Page File,D:,All Database Files For Both Storage Groups,Stripe Set with Parity,G:,备份恢复,Connect Exchange 2000 to Internet,Server,Internet,Locating MX Records in DNS,DNS 和 SMTP,Internet,Sendi
12、ng SMTP Server,ISA,部署防火墙-小型网络或分公司的配置,企业內部网络,访问策略规则-IP封包,应用程式,使用者,群组等的存取规则带宽规则-不同Internet request所分配不同带宽的规则 发布规则-将Internet服务(如web,ftp,mail)透过防火墙 的保护公布給外界大众入侵检测-防火墙入侵监测与警示监视和日志 进出流量分析与报表Web 缓存-所有放火墙的安全策存内容略会被自动应用到缓存内容之上,蜂巢式安全防护体系,内部防火墙,中央监控服务器,Internet,中央管理服务器,对外防火墙,内部防火墙,配置内部邮件路由到internet,制定北京的一台服务器作
13、为SMTP桥头堡连接到防火墙的内部IP 地址上海、广州和北京的另一台服务器设定Smart Host,指到 SMTP 桥头堡服务器成都exchange 可以直接指到本地防火墙,Secure SMTP Server,Secure relay settingsBest Practice:Default settings!,ISA Server 配置HTTPS(SSL),映射的协议:“HTTPS server”ISA Server listens on 443/tcp接受入站通信重新产生新的包转发给 OWA server保留原地址和端口,ISA Server 配置HTTPS(SSL)Security,
14、如果要求监测?使用 Web 发布ISA Server 需要更高的能力-考虑使用硬件加密卡SSL 终止点SSL stops at ISA ServerCertificate per ISA Server IP addressSSL 桥SSL from Client to ISA Server;new SSL from ISA Server to OWA server需要证书从 ISA 到 OWA servers,ISA Server 配置SMTP,映射的协议:“SMTP Server”典型 ISA Server 反向代理方式SMTP filter 提供保护附件部署拒绝的发送者和域SMTP 命令确
15、认和限制关键词过滤,保证 Exchange Server安全,Exchange Server,Front end/Back End,FirewallOpen Ports:443,993,995,Exchange 2000Front-EndServer,Exchange 2000Server,Active DirectoryGlobal Catalog Server,Exchange 2000Server,Exchange 2000Server,Internet,HTTP,IMAPor POP3 Client,使用 DMZ,FirewallOpen Ports:443,993,995,Excha
16、nge 2000Front-EndServers,Exchange 2000Server,Active DirectoryGlobal Catalog Server,Exchange 2000Server,Exchange 2000Server,Internet,FirewallOpenPorts:80143,110,LDAP,etc,DMZ,HTTP,IMAPor POP3 Client,保证服务器之间安全-验证,服务器和服务器自动使用X-EXPS验证Kerberos/NTLM缺省 SMTP 协议扩充与Exchange 2000 一起安装允许服务器通过其他服务器中继(需要验证)SMTP AU
17、TH(RFC 2554)主要是连接外部系统 配置 SMTP connector,保证服务器之间安全-加密,IPSec定义不同的 IPSec filters最简单的配置使用组策略可以使所有的 Exchange servers 要求通过25 端口的入站信息加密TLS(TLS RFC 2487)要求在每台服务器上安装 X.509v3 服务器密键,配置ISA 防毒,防止 Nimda Worm technet/treeview/default.asp?url=/technet/prodtechnol/isa/deploy/isanimda.asp防止 Code Red Worm.,Information
18、 Store 方案,存储事件在存储内当一个条目打开,保存,移动或删除时会触发事件类型同步 当事件发生时异步 在事件发生之后病毒扫描 API扫描邮件和附件安优先级扫描队列 主动邮件扫描增强背景扫描线程池每个MDB 扫描EDK 网关内容扫描本机 MAPI/MIME 内容扫描扫描器按需重新启动,传输方案,整理公开中继Fix open relaysSMTP Relay Parameters邮件过滤-Filter Mail拒绝连接-Disallow connections阻止内部垃圾邮件-Stop internal spam,桌面防毒,Windows and 浏览器下载最新的补丁定制浏览器的安全区域选项Outlook 安全Outlook 98/2000 SP1Upgrade available now from http:/Outlook 2002Built into base product安装最新防病毒工具,