AD域及Exchange部署方案

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

联系人郭利朋河北区域项目总监WeaverSoftware石家庄市广安大街铂金公寓909室邮政编码:010000电话:+8615303293373传真:+862150942278电邮:guolip1234@163.com仅限阅读请勿传播当您阅读本方案时,即表示您同意不传播本方案的所有内容XXXX公公司司eeccoollooggyy项项目目Exchange部署整合方案SUBMITTEDBYWEAVERSOFTWARE说明首先非常感谢XX公司选择泛微协同商务系统(e-cology)作为企业信息化平台,这是在项目启动后我们提供的EXCHANGE部署策略。泛微衷心希望能有机会为XX公司提供服务,希望泛微的协同商务系统能为XX公司带来价值和提升!声明:此文件仅供贵司内部参考,请勿外传。此文件的版权仅限于上海泛微软件有限公司,未经书面许可,任何单位和个人均不以任何方式透露给第三方公司或个人。泛微软件――协同商务的倡导者!WeaverSoftware---APioneerofCollaborativeCommerceSystem!1、前言为保证XX公司协同系统服务安全性,由上海泛微软件公司(以下简称:泛微公司)提供系统安全性相关方案,XX公司(以下简称XX公司)公司承担具体EXCHANGE部署实施工作,相关软硬件平台供应商提供技术支持工作。XX公司将提供EXCHANGE部署具体实施计划。并取得XX公司系统项目负责人员的配合,以保证系统的安全稳定为前提。2、服务器组成及功用XX公司的服务器组共有三台服务器组成:应用系统服务器配置数量备注EXCHANGE部署服务器1Windows平台OA前端服务器内存不小于16G1LINUX/WINDOWS/UNIX数据库服务器1MSSQLSERVER/ORACLE3、方案设计思路背景:e-cology可以通过简单的配置就实现和一些主流的目录服务器同步用户信息的功能,在同步用户信息的同时,将用户认证功能也交于目录服务器实现。目前常用的目录服务器为:微软的AD和SUN的SUNONE。出于对WEB服务器的安全性的考虑,同时考虑到AD域服务的广泛社会应用性,本次系统安全部署采用AD域安全验证模式。ExchangeServer是个消息与协作系统。简单而言,Exchangeserver可以被用来构架应用于企业、学校的邮件系统甚至于象sohu或sina那样的免费邮件系统。Exchange可以和AD域进行集成部署。AD域部署方案(推荐)总公司搭建主域服务器(建设各分公司总的组织OU),在ecology部署时前台web采用分部部署方式即多点web服务部署方式,各web服务器采用各分公司部署的AD域配置,各分公司登录各自的AD服务器进行域验证,实现登录分流及域管理分流,OA系统和总公司搭建的主域进行信息同步,人员变更及异动由AD主域进行控制,分公司通过各自建设的域服务器仅进行域信息安全验证。优点:因为做了分布部署,所以有效实现登录及域验证分流,降低了系统压力。缺点:需要磁盘阵列支持,硬件投入较高,因为域服务器分布于各子公司,不便于人员的统一管理Exchange部署方案(推荐)在此方案中,两台exchange服务器分别兼做域控制器和备份域控制器,用户帐户信息存储在两台服务器上,邮箱数据存储在共享磁盘阵列上,两台exchange服务器做MSCS集群。当企业用户小于500且投资较少时,可以建议采用此方案。方案一配置表:使用该方案具有以下优点。1.安全可靠:在该方案里,域控制器和exchange服务器都分别进行了备份,使得当任意一台发生故障时,另外一台马上接管服务,实现服务不间断。2.性价比高:采用较少数量的服务器,实现了邮件服务器的功能,并且也实现了数据的备份及恢复,具有较高的性价比。3.适用于较小的企业:由于服务器承担了用户帐号管理和邮件管理的双重功能,压力较大,适用于用户数较少的企业。Exchange部署方案二域控制器和应用服务器独立开来,两个exchange服务器做MSCS双机,提供MAIL服务,域控制器做用户帐号的管理以及DNS解析。如果客户的预算充足,可以建议用户做备份域控制器,这样,可以实现域控制器和exchange应用服务器的双重备份,如果不是很充足,可以定期做域控制器的备份,这样,当域控制器出现故障时,可以在用户允许的时间内做用户帐号的恢复。方案二配置表:使用方案二具有如下优点。域控制器和应用服务器的应用分离,减轻了服务器的负担,可以承担更多的用户。安全可靠:邮件服务采用MSCS双机高可用方案,操作简单,域控制器采用备份控制器,保证业务不间断。Exchange部署方案三方案三适合较大的企业,并且有较充足的预算资金。采用多台exchange服务器集群做后台邮件服务,前端有一台服务器负责接收由POP3、IMAP4和RPC/HTTP客户端传来的请求。方案三配置表使用方案三具有以下优点。性能灵活扩展:能够让用户在访问其邮箱时使用单一的和一致的命名空间。利用单一命名空间,即使添加或删除服务器,或者将邮箱从一个服务器移到另一个服务器,用户仍然可以使用同一个URL或POP和IMAP客户端配置。此外,创建单一命名空间可确保OutlookWebAccess、POP或IMAP访问在组织扩大后仍然保持着可伸缩性。保证安全,不受病毒侵犯:用户可以将前端服务器作为单一访问点放在Internet防火墙上或Internet防火墙之后,并且将Internet防火墙配置为只允许从Internet到前端的通信。因为前端服务器上没有存储任何用户信息,所以,该服务器为组织提供了额外的安全层。此外,可以将前端服务器配置为在代理请求之前对请求进行身份验证,这将帮助后端服务器抵御“拒绝服务”攻击。4、EXCHANGE部署实施方法可以通过两种方法来实现,第一种可以通过Exchange管理控制台来实现,第二种可以通过Exchange命令行管理程序来实现。在执行相关的操作前请确保操作的用户拥有Exchange管理员角色。一、使用Exchange管理控制台向用户授予其他用户邮箱的代理发送权限:1、在Exchange2007服务器上打开管理控制台并选择“收件人配置”。2、在结果窗格中,选择要向其授予代理发送权限的邮箱。3、在操作窗格中的邮箱名下,单击“管理代理发送权限”。此时将打开管理代理发送权限向导。4、在“管理代理发送权限”页上,单击添加。5、在“选择用户或组”中,选择要向其授予“代理发送”权限的用户,然后单击确定。6、单击管理。7、在完成页上,摘要显示是否已成功授予代理发送权限。摘要还显示用于授予代理发送权限的Exchange命令行管理程序命令。8、单击完成。请注意,只有升级到Exchange2007SP1后,才可以执行上述的操作,在Exchange2007RTM版本中,需要通过活动目录用户和计算机来实现。具体的方法如下:1.在运行Exchange的计算机上,打开ActiveDirectory用户和计算机。2.在ActiveDirectory用户和计算机中,在查看菜单上选中高级功能。3.展开域节点,然后单击用户。4.右键单击要向其授予“代理发送”权限的用户,然后单击属性。5.点击安全,单击高级。6.在“用户的高级安全设置”中,单击添加。7.在“输入对象名称来选择”框中,键入要向其授予“代理发送”权限的邮箱用户或组的名称,然后单击“检查名称”以验证此用户或组,如图3所示,单击“确定”。8.在“用户的权限条目”中,在“应用于”列表中,选择“仅此对象”。9.在“权限”列表中,找到“代理发送”,然后选中“允许”复选框。10.单击“确定”关闭对话框。二、使用Exchange命令行管理程序向用户授予其他用户邮箱的代理发送权限1.Add-ADPermission“Mailbox”-User“Domain\User”-Extendedrights“SendAs”请将Mailbox替换为需要被代理发送邮件的账号,比如总经理的邮箱,将Domain\User替换使用代理权限的用户,比如秘书的账号。请注意:只有在发生复制之后,才能授予代理发送权限。复制时间取决于MicrosoftExchange和网络配置。若要立即授予权限,请停止然后再重新启动MicrosoftExchangeInformationStore服务,然后检查结果如何。2.然后打开活动目录用户和计算机,然后右键选中rock,选择属性,点击安全,确认rock001已经被授予sendas权限了。3.要取消该设置,只需要运行下面的命令:Remove-ADPermission-Identityrock-Userrock001-AccessRightsextendedright-ExtendedRights“sendas”在系统提示的时候选择y即刻完成。(一)配置OWA功能OWA实现安装Exchange之后,检查Exchange服务器的默认网站有没有创建出一个名为Exchange的虚拟目录,如下图所示。虚拟目录已被成功创建,我们接下来可以用OWA测试一下邮箱的访问情况。访问邮箱的语法是[url][/url]邮箱名,如果被访问的邮箱属于当前登录用户,直接输入[url][/url]即可。我们用Istanbul作为客户机,测试访问administrator的邮箱。首先在Istanbul以exchtest\administrator登录,打开浏览器,输入[url][/url]即可,如下图所示。由于使用了集成身份验证,Exchange并没有要求用户输入口令。进入邮箱后,我们可以进行简单的邮件收发测试,先给其他用户发一封邮件,点击“新建”,从下拉菜单中选择“邮件”,如下图所示,我们用OWA给wangning发一封测试邮件检查一下wangning的邮箱,我们可以看到wangning已经收到了测试邮件给administrator发一封回信,看看OWA能否接收到检查管理员的邮箱,回信已经躺在邮箱里了,OWA邮件收发实验完成有不少人曾经问过这么一个问题,为什么用[url][/url]访问自己的邮箱可以使用集成验证,但使用[url][/url]访问时就被要求输入用户名和口令,如下图所示,为什么呢?主要是因为使用完全合格域名描述Exchange服务器时,如果想使用集成验证,IE浏览器需要把完全合格域名添加到Intranet站点列表中。打开IE,在“工具”菜单上,单击“Internet选项”,然后单击“安全”,选择“本地Intranet”,单击“站点”,点击“高级”,然后键入Exchange服务器的完全合格域名Berlin.exchtest.com,单击“添加”,然后单击“确定。重新用完全合格域名访问一下,是否一切正常了!OWAOverHTTPSOWA用HTTPS对传输数据进行加密,我们使用时会更有安全感。HTTPS的加密过程大致如下A客户机验证Web服务器证书有效性B客户机从Web服务器证书中提取公钥C客户机与Web服务器约定在接下来的数据传递过程中采用对称加密方式,客户机将对称密钥用公钥加密后传给Web服务器D服务器收到加密的对称密钥,用自己的私钥解开对称密钥E客户机将数据用对称密钥加密后传给Web服务器FWeb服务器用对称密钥解开加密数据从以上过程来看,SSL采用了对称加密和非对称加密相结合的方式,为什么不直接把所有数据用公钥加密传给Web服务器呢?主要是因为对称加密的速度比非对称加密快上千倍,两者结合可以各自发挥所长。实现HTTPS需要以下步骤:部署CA服务器Web服务器申请证书在Istanbul客户机上用HTTPS访问一下邮箱试试,在IE中输入[url][/url],结果如下图所示,访问成功。

1 / 29
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功