网络工程师讲义张智勇如何部署Exchange 2000 构建应用网络工程师讲义张智勇如何部署Exchange 2000 和
ISA 2000构建应用网络工程师讲义张智勇内容安排
�zAD 和exchange 2000
�z网络设计
�z连接Internet
�z安全网络工程师讲义张智勇
Active Directory 在企业中
�z域和OUs 组成层次化管理结构
�z多个域可以组成
�{树-Trees
�{森林-Forests
Forest
Objects
Domain
Domain
Domain
Domain
Domain
Domain
Tree
Domain
Domain
Domain
Domain
Tree
Domain
Domain
OU OU
OU
网络工程师讲义张智勇
Active Directory Schema
Object
Class Examples
Object
Class Examples
Printers
Printers
Computers
ters
Users
Users
Attributes of Users
Might Contain:
Attributes of Users
Might Contain:
accountExpires
department
distinguishedName
middleName
accountExpires
department
distinguishedName
middleName
List of Attributes
List of Attributes
accountExpires
department
distinguishedName
directReports
dNSHostName
operatingSystem
repsFrom
repsTo
middleName
…
accountExpires
department
distinguishedName
directReports
operatingSystem
repsFrom
repsTo
middleName
Attribute
Examples
Attribute
Active Directory Schema Is:
�?动态可用的
�?动态可更新的
�?由DACLs保护网络工程师讲义张智勇域-Domains
�z一个域是个安全边界
�{一个域的管理员只能管理本域内的资源,除非明确被其他域授权
�z一个域是一个复制的单元
�{一个域的域控制器参与复制并包含这个域的完整的目录信息
Windows 2000
Domain
Windows 2000
Domain
U
s
e
r
1
U
s
e
r
2
U
s
e
r
1
U
s
e
r
2
复制复制复制网络工程师讲义张智勇
Global Catalog
Global Catalog Server
Global Catalog
Global Catalog
Subset of the
Attributes of All
Objects
Subset of the
Attributes of All
Objects
DomainDomain
Domain
DomainDomain
Domain
查询查询查询
Group membership
when user logs on
when user logs on
网络工程师讲义张智勇站点结构
Sites,
�z优化复制通信量
�z让用户能够通过一个稳定的,高速的连接登录到一个域控制器
Site
IP subnet
IP subnet
Los Angeles
Seattle
Chicago
New York
网络工程师讲义张智勇站点拓扑结构举例
Domain A Domain B
Site 1
Site 2
Site Link
Domain A Domain B
Site 2
Site 1
Site Link
12
3
4
网络工程师讲义张智勇
Active Directory 森林
Exchange
2000
组织
contoso.msft
nwtraders.msft
samerica.nwtraders.msft
Exchange
2000
组织
Exchange
2000
组织
nwtraders.msft
samerica.nwtraders.msftnamerica.nwtraders.msft
Northwind
Traders
多个森林一个森林网络工程师讲义张智勇存放Exchange 2000 Data数据
Users ComputersGroups
Domain
Partition
Configuration
Partition
Exchange
Configuration Sites
Replication
Topology
Schema Partition
CN=Schema,CN=Configuration,DC=nwtraders,DC=msft
网络工程师讲义张智勇
Active Directory 数据库大小
Active
Directory
425 MB
Active
Directory
345 MB
Active
Directory
110 MB
Active
Directory
27 MB
Active
Directory
13 MB
Install Windows 2000
Install Windows 2000
Install Exchange 20000
Install Exchange 20000
Add 10,000 Mail-Enabled Users
Add 10,000 Mail-Enabled Users
Add 50,000 Non Mail-Enabled Users
Add 50,000 Non Mail-Enabled Users
Mail-Enable 50,000 Users
Mail-Enable 50,000 Users
网络工程师讲义张智勇
User Principle Names
Tree
nwtraders.msft
namerica.nwtraders.msft
samerica.nwtraders.msft
UPN=Joeb@nwtraders.msft
SMTP=Joeb@nwtraders.msft
UPN=Jamesw@nwtraders.msft
SMTP=Jamesw@nwtraders.msft
UPN=Miyokoy@nwtraders.msft
SMTP=Miyokoy@nwtraders.msft
网络工程师讲义张智勇
Exchange
2000
Global
Catalog
Domain
Controller
Global
Catalog
Windows
2000 Site 2
Domain
Controller
Windows
2000 Site 1
Global Catalog 访问
Exchange 2000 访问Active Directory
Windows
2000 Site 1
A
A
B
B
Exchange
2000
Global
Catalog
Windows
2000 Site 2
C
C
D
D
Global
Catalog
DS Access
Domain Controller 访问
DNS
网络工程师讲义张智勇发现和定义Directory Service Servers
Cache List
1,Domain Controller 1
2,Domain Controller 2
3,Domain Controller 3
.
.
.
10.
DNS
DS Access
Exchange 2000
LDAP DNS
Cache List
1,Domain Controller 1
2,Domain Controller 2
3,Domain Controller 3
.
.
.
10.
DS Access
Exchange 2000
LDAP
Domain
Controller
网络工程师讲义张智勇
Exchange 2000 和AD 站点设计
�z Windows 2000 站点不影响Exchange
2000
�z Exchange 信息路由基于路由组
�z路由组设计决定与Active Directory 站点非常相似
�z每个站点只能由一个活动的数据会议的会议管理器网络工程师讲义张智勇服务定位
�z用户端需要下列服务
�{ DNS
�{ Domain Controller
�{ Global Catalog
网络工程师讲义张智勇
DNS 和Active Directory
�z用户端使用DNS 定位Active Directory services
�z Active Directory DNS RFC 要求
�{必须支持SRV 记录,RFC 2052
�{应该支持DHCP 动态更新,RFC 2136
�{应该支持Incremental Zone Transfer,RFC 1995
�z Exchange servers 使用DNS 定位其他Exchange
servers
�z Exchange 用户使用DNS 定位Exchange servers
�z考虑DNS 与AD 集成网络工程师讲义张智勇
Domain Controller 放置
�z Windows 2000 用户访问基于Active
Directory 站点
�z每个站点放置多个域控制器提供冗余网络工程师讲义张智勇
Global Catalog Server 放置
�z Exchange 用户端使用GC 定位Exchange
Directory Services
�z Exchange 5.0 用户端,Outlook 97/98 由
Exchange server 代理
�z Outlook 2000 直接访问Exchange directory
services
网络工程师讲义张智勇网络设计网络工程师讲义张智勇网络状况远程用户本地网分公司
Internet
范围范围网络工程师讲义张智勇典型网络分布成都成都广州广州
Internet
北京北京上海上海
Internet
2M
1M
1500人人
500人人
500人人
50人人网络工程师讲义张智勇部署AD-多域成都成都广州广州
Internet
北京北京上海上海
Internet
OU
北京北京上海上海域广州广州
OU
成都
ABC.NET
CD.ABC.NET
网络工程师讲义张智勇服务器放置成都成都广州广州
Internet
北京北京上海上海
Internet
2M
1M
BJDCGC01
BJDC02
SHDCGC01
GZDCGC01
CDDCGC01
512K
网络工程师讲义张智勇服务器配置
�z域控制器
�{P3 500,1G 内存
�{磁盘1 个18G –系统
�z邮件服务器
�{磁盘1 个18G –系统,3 个80G –邮件数据库
�{如果可能,可采用AA集群—北京网络工程师讲义张智勇网络连接
�z AD Site link –站点连接
�{BJ ----- SH
�{BJ ----- GZ
�{SH ----- GZ
�{BJ ----- CD
�z Exchange 2000 路由组
�{与AD Site Link 匹配
�z管理组
�{与路由组匹配
�z Internet 出口---北京,成都网络工程师讲义张智勇系统安装
�z1、北京安装AD
�z2、上海广州,建立站点连接
�z3、北京安装e2k
�z4、北京成都建立VPN
�z5、成都安装AD,建立站点连接
�z6、成都安装e2k
网络工程师讲义张智勇站点连接成都成都广州广州
Internet
北京北京上海上海
Internet
BJ_SH,Cost 10
BJ_GZ
Cost:10
SH_GZ,Cost 15
BJ_CD,Cost 15
网络工程师讲义张智勇安装Exchange 2000
First server
in the forest
Forest
Setup /forestprep
Setup /forestprep
Windows 2000
Config
Config
Schema
Schema
Modify
Modify
Modify
Modify
Install
Install
准备森林设置准备森林设置
/forestprep
网络工程师讲义张智勇安装Exchange 2000
Setup /forestprep
Setup /forestprep
Windows 2000
Domain Controller
Install
Install
Group
Group
User
User
Create
Create
Config
Config
Schema
Schema
Forest
Group
Group
User
User
Config
Config
Schema
Schema
Exchange 2000
Exchange 2000
准备域设置准备域设置
/domainprep
网络工程师讲义张智勇通过VPN建立请求拨号连接
Calling Router VPN Router
Internet
Intranet HQ
ISP ISP
VPN Tunnel
成都北京网络工程师讲义张智勇请求拨号路由网络工程师讲义张智勇请求拨号路由网络工程师讲义张智勇请求拨号路由网络工程师讲义张智勇请求拨号路由网络工程师讲义张智勇请求拨号路由网络工程师讲义张智勇请求拨号路由网络工程师讲义张智勇请求拨号路由网络工程师讲义张智勇计划路由组服务器必须属于同一个Active Directory directory service forest
服务器彼此之间必须永久连接路由组内的所有服务器必须能够连接到routing group master
在一个路由组的Exchange 2000必须满足下列条件在一个路由组的在一个路由组的Exchange 2000
必须满足下列条件必须满足下列条件
Cost = 10
Cost = 30
A C
B
Cost = 10
User
C
User
C
User
C
User
C
网络工程师讲义张智勇路由组成都成都广州广州
Internet
北京北京上海上海
Internet
BJ_SH,Cost 100
BJ_GZ
Cost:100
SH_GZ,Cost 150
BJ_CD,Cost 150
网络工程师讲义张智勇创建和配置存储组
ESE
Transaction Log
Transaction Log
Store
Reserved
Store
Store
Store
Store
Storage Group A Storage Group B
Transaction Log
Transaction Log
Store
Reserved
Store
Store
Store
Store
ESE
网络工程师讲义张智勇文件放置系统分区和启动分区系统分区和启动分区
Mirror Set
C:\
Storage Group 1
Transaction Logs
Storage Group 1
Transaction Logs
Mirror Set
E:\
Storage Group 2
Transaction Logs
Storage Group 2
Transaction Logs
Mirror Set
F:\
Page File
Page File
D:\
All Database Files For
Both Storage Groups
All Database Files For
Both Storage Groups
Stripe Set with Parity
G:\
网络工程师讲义张智勇
Connect Exchange 2000 to Internet
Server
Internet
网络工程师讲义张智勇
DNS
.msft
nwtraders
MX 10 SMTP1.nwtraders.msft
MX 20 SMTP2.nwtraders.msft
MX 30 SMTP3.nwtraders.msft
Locating MX Records in DNS
DNS 和SMTP
Internet
Sending SMTP Server
A SMTP1.nwtraders.msft 192.168.2.200
网络工程师讲义张智勇
ISA
Internet
部署防火墙-小型网络或分公司的配置企业內部网络企业內部网络
�z访问策略规则- IP封包,应用程式,使用者,群组等的存取规则
�z带宽规则-不同Internet request所分配不同带宽的规则
�z发布规则-将Internet服务(如web,ftp,mail)透过防火墙的保护公布給外界大众
�z入侵检测-防火墙入侵监测与警示
�z监视和日志–进出流量分析与报表
�z Web 缓存-所有放火墙的安全策存内容略会被自动应用到缓存内容之上网络工程师讲义网络工程师讲义张智勇张智勇网络工程师讲义张智勇蜂巢式安全防护体系内部防火墙内部防火墙中央监控服务器中央监控服务器
Internet
中央管理服务器中央管理服务器对外防火墙对外防火墙内部防火墙内部防火墙网络工程师讲义张智勇配置内部邮件路由到internet
�z制定北京的一台服务器作为SMTP桥头堡连接到防火墙的内部IP 地址
�z上海、广州和北京的另一台服务器设定Smart
Host,指到SMTP 桥头堡服务器
�z成都exchange 可以直接指到本地防火墙网络工程师讲义张智勇
Secure SMTP Server
�z Secure relay
settings
�z Best Practice,
Default settings!
网络工程师讲义张智勇
ISA Server 配置
HTTPS (SSL)
�z映射的协议:,HTTPS server”
�z ISA Server listens on 443/tcp
�z接受入站通信
�z重新产生新的包转发给OWA server
�{保留原地址和端口网络工程师讲义张智勇
ISA Server 配置
HTTPS (SSL) — Security
�z如果要求监测?
�{使用Web 发布
�{ ISA Server 需要更高的能力-考虑使用硬件加密卡
�z SSL 终止点
�{ SSL stops at ISA Server
�{ Certificate per ISA Server IP address
�z SSL 桥
�{ SSL from Client to ISA Server; new SSL from ISA
Server to OWA server
�{需要证书从ISA 到OWA servers
网络工程师讲义张智勇
ISA Server 配置
SMTP
�z映射的协议:,SMTP Server”
�z典型ISA Server 反向代理方式
�z SMTP filter 提供保护
�{附件部署
�{拒绝的发送者和域
�{ SMTP 命令确认和限制
�{关键词过滤网络工程师讲义张智勇保证Exchange Server安全
Exchange
Server
Any
Protocol
AnyMail
Server
Internal
Network
PortDestinationSource
IMAP
POP3
SMTP
Protocol
TCP 110Mail ServerAny
TCP 25Mail ServerAny
TCP 143Mail ServerAny
PortDestinationSource
Internet
网络工程师讲义张智勇
Front end/Back End
Firewall
Open Ports,
443,993,995
Exchange 2000
Front-End
Server
Exchange 2000
Server
Active Directory
Global Catalog Server
Exchange 2000
Server
Exchange 2000
Server
Internet
HTTP,IMAP
or POP3 Client
网络工程师讲义张智勇使用DMZ
Firewall
Open
Ports:
443,993,
995
Exchange
2000
Front-End
Servers
Exchange 2000
Server
Active Directory
Global Catalog Server
Exchange 2000
Server
Exchange 2000
Server
Internet
Firewall
Open
Ports,80
143,110,
LDAP,etc
DMZ
HTTP,IMAP
or POP3 Client
网络工程师讲义张智勇保证服务器之间安全-验证
�z服务器和服务器自动使用X-EXPS验证
�{ Kerberos/NTLM
�{缺省SMTP 协议扩充与Exchange 2000 一起安装
�{允许服务器通过其他服务器中继(需要验证)
�z SMTP AUTH (RFC 2554)
�{主要是连接外部系统–配置SMTP connector
网络工程师讲义张智勇保证服务器之间安全-加密
�z IPSec
�{定义不同的IPSec filters
�{最简单的配置
�{使用组策略可以使所有的Exchange servers
要求通过25 端口的入站信息加密
�{ http://www.microsoft.com/windows2000/techinfo/planning/se
curity/ipsecsteps.asp
�z TLS (TLS – RFC 2487)
�{要求在每台服务器上安装X.509v3 服务器密键,
网络工程师讲义张智勇配置ISA 防毒
�z防止Nimda Worm
http://www.microsoft.com/technet/treeview/def
ault.asp?url=/technet/prodtechnol/isa/deploy
/isanimda.asp
�z防止Code Red Worm."
网络工程师讲义张智勇
Information Store 方案
�z存储事件
�{在存储内当一个条目打开,保存,移动或删除时会触发
�{事件类型
�z同步–当事件发生时
�z异步–在事件发生之后
�z病毒扫描API
�{扫描邮件和附件
�{安优先级扫描队列;主动邮件扫描
�{增强背景扫描;线程池;每个MDB 扫描
�{ EDK 网关内容扫描
�{本机MAPI/MIME 内容扫描
�{扫描器按需重新启动网络工程师讲义张智勇传输方案
�z整理公开中继Fix open relays
�{ SMTP Relay Parameters
�z邮件过滤-Filter Mail
�z拒绝连接-Disallow connections
�z阻止内部垃圾邮件-Stop internal spam
网络工程师讲义张智勇桌面防毒
�zWindows and 浏览器
�{下载最新的补丁
�{定制浏览器的安全区域选项
�zOutlook 安全
�{Outlook 98 / 2000 SP1
�zUpgrade available now from http://www.officeupdate.com
�{Outlook 2002
�zBuilt into base product
�z安装最新防病毒工具网络工程师讲义张智勇小结:
ISA 2000构建应用网络工程师讲义张智勇内容安排
�zAD 和exchange 2000
�z网络设计
�z连接Internet
�z安全网络工程师讲义张智勇
Active Directory 在企业中
�z域和OUs 组成层次化管理结构
�z多个域可以组成
�{树-Trees
�{森林-Forests
Forest
Objects
Domain
Domain
Domain
Domain
Domain
Domain
Tree
Domain
Domain
Domain
Domain
Tree
Domain
Domain
OU OU
OU
网络工程师讲义张智勇
Active Directory Schema
Object
Class Examples
Object
Class Examples
Printers
Printers
Computers
ters
Users
Users
Attributes of Users
Might Contain:
Attributes of Users
Might Contain:
accountExpires
department
distinguishedName
middleName
accountExpires
department
distinguishedName
middleName
List of Attributes
List of Attributes
accountExpires
department
distinguishedName
directReports
dNSHostName
operatingSystem
repsFrom
repsTo
middleName
…
accountExpires
department
distinguishedName
directReports
operatingSystem
repsFrom
repsTo
middleName
Attribute
Examples
Attribute
Active Directory Schema Is:
�?动态可用的
�?动态可更新的
�?由DACLs保护网络工程师讲义张智勇域-Domains
�z一个域是个安全边界
�{一个域的管理员只能管理本域内的资源,除非明确被其他域授权
�z一个域是一个复制的单元
�{一个域的域控制器参与复制并包含这个域的完整的目录信息
Windows 2000
Domain
Windows 2000
Domain
U
s
e
r
1
U
s
e
r
2
U
s
e
r
1
U
s
e
r
2
复制复制复制网络工程师讲义张智勇
Global Catalog
Global Catalog Server
Global Catalog
Global Catalog
Subset of the
Attributes of All
Objects
Subset of the
Attributes of All
Objects
DomainDomain
Domain
DomainDomain
Domain
查询查询查询
Group membership
when user logs on
when user logs on
网络工程师讲义张智勇站点结构
Sites,
�z优化复制通信量
�z让用户能够通过一个稳定的,高速的连接登录到一个域控制器
Site
IP subnet
IP subnet
Los Angeles
Seattle
Chicago
New York
网络工程师讲义张智勇站点拓扑结构举例
Domain A Domain B
Site 1
Site 2
Site Link
Domain A Domain B
Site 2
Site 1
Site Link
12
3
4
网络工程师讲义张智勇
Active Directory 森林
Exchange
2000
组织
contoso.msft
nwtraders.msft
samerica.nwtraders.msft
Exchange
2000
组织
Exchange
2000
组织
nwtraders.msft
samerica.nwtraders.msftnamerica.nwtraders.msft
Northwind
Traders
多个森林一个森林网络工程师讲义张智勇存放Exchange 2000 Data数据
Users ComputersGroups
Domain
Partition
Configuration
Partition
Exchange
Configuration Sites
Replication
Topology
Schema Partition
CN=Schema,CN=Configuration,DC=nwtraders,DC=msft
网络工程师讲义张智勇
Active Directory 数据库大小
Active
Directory
425 MB
Active
Directory
345 MB
Active
Directory
110 MB
Active
Directory
27 MB
Active
Directory
13 MB
Install Windows 2000
Install Windows 2000
Install Exchange 20000
Install Exchange 20000
Add 10,000 Mail-Enabled Users
Add 10,000 Mail-Enabled Users
Add 50,000 Non Mail-Enabled Users
Add 50,000 Non Mail-Enabled Users
Mail-Enable 50,000 Users
Mail-Enable 50,000 Users
网络工程师讲义张智勇
User Principle Names
Tree
nwtraders.msft
namerica.nwtraders.msft
samerica.nwtraders.msft
UPN=Joeb@nwtraders.msft
SMTP=Joeb@nwtraders.msft
UPN=Jamesw@nwtraders.msft
SMTP=Jamesw@nwtraders.msft
UPN=Miyokoy@nwtraders.msft
SMTP=Miyokoy@nwtraders.msft
网络工程师讲义张智勇
Exchange
2000
Global
Catalog
Domain
Controller
Global
Catalog
Windows
2000 Site 2
Domain
Controller
Windows
2000 Site 1
Global Catalog 访问
Exchange 2000 访问Active Directory
Windows
2000 Site 1
A
A
B
B
Exchange
2000
Global
Catalog
Windows
2000 Site 2
C
C
D
D
Global
Catalog
DS Access
Domain Controller 访问
DNS
网络工程师讲义张智勇发现和定义Directory Service Servers
Cache List
1,Domain Controller 1
2,Domain Controller 2
3,Domain Controller 3
.
.
.
10.
DNS
DS Access
Exchange 2000
LDAP DNS
Cache List
1,Domain Controller 1
2,Domain Controller 2
3,Domain Controller 3
.
.
.
10.
DS Access
Exchange 2000
LDAP
Domain
Controller
网络工程师讲义张智勇
Exchange 2000 和AD 站点设计
�z Windows 2000 站点不影响Exchange
2000
�z Exchange 信息路由基于路由组
�z路由组设计决定与Active Directory 站点非常相似
�z每个站点只能由一个活动的数据会议的会议管理器网络工程师讲义张智勇服务定位
�z用户端需要下列服务
�{ DNS
�{ Domain Controller
�{ Global Catalog
网络工程师讲义张智勇
DNS 和Active Directory
�z用户端使用DNS 定位Active Directory services
�z Active Directory DNS RFC 要求
�{必须支持SRV 记录,RFC 2052
�{应该支持DHCP 动态更新,RFC 2136
�{应该支持Incremental Zone Transfer,RFC 1995
�z Exchange servers 使用DNS 定位其他Exchange
servers
�z Exchange 用户使用DNS 定位Exchange servers
�z考虑DNS 与AD 集成网络工程师讲义张智勇
Domain Controller 放置
�z Windows 2000 用户访问基于Active
Directory 站点
�z每个站点放置多个域控制器提供冗余网络工程师讲义张智勇
Global Catalog Server 放置
�z Exchange 用户端使用GC 定位Exchange
Directory Services
�z Exchange 5.0 用户端,Outlook 97/98 由
Exchange server 代理
�z Outlook 2000 直接访问Exchange directory
services
网络工程师讲义张智勇网络设计网络工程师讲义张智勇网络状况远程用户本地网分公司
Internet
范围范围网络工程师讲义张智勇典型网络分布成都成都广州广州
Internet
北京北京上海上海
Internet
2M
1M
1500人人
500人人
500人人
50人人网络工程师讲义张智勇部署AD-多域成都成都广州广州
Internet
北京北京上海上海
Internet
OU
北京北京上海上海域广州广州
OU
成都
ABC.NET
CD.ABC.NET
网络工程师讲义张智勇服务器放置成都成都广州广州
Internet
北京北京上海上海
Internet
2M
1M
BJDCGC01
BJDC02
SHDCGC01
GZDCGC01
CDDCGC01
512K
网络工程师讲义张智勇服务器配置
�z域控制器
�{P3 500,1G 内存
�{磁盘1 个18G –系统
�z邮件服务器
�{磁盘1 个18G –系统,3 个80G –邮件数据库
�{如果可能,可采用AA集群—北京网络工程师讲义张智勇网络连接
�z AD Site link –站点连接
�{BJ ----- SH
�{BJ ----- GZ
�{SH ----- GZ
�{BJ ----- CD
�z Exchange 2000 路由组
�{与AD Site Link 匹配
�z管理组
�{与路由组匹配
�z Internet 出口---北京,成都网络工程师讲义张智勇系统安装
�z1、北京安装AD
�z2、上海广州,建立站点连接
�z3、北京安装e2k
�z4、北京成都建立VPN
�z5、成都安装AD,建立站点连接
�z6、成都安装e2k
网络工程师讲义张智勇站点连接成都成都广州广州
Internet
北京北京上海上海
Internet
BJ_SH,Cost 10
BJ_GZ
Cost:10
SH_GZ,Cost 15
BJ_CD,Cost 15
网络工程师讲义张智勇安装Exchange 2000
First server
in the forest
Forest
Setup /forestprep
Setup /forestprep
Windows 2000
Config
Config
Schema
Schema
Modify
Modify
Modify
Modify
Install
Install
准备森林设置准备森林设置
/forestprep
网络工程师讲义张智勇安装Exchange 2000
Setup /forestprep
Setup /forestprep
Windows 2000
Domain Controller
Install
Install
Group
Group
User
User
Create
Create
Config
Config
Schema
Schema
Forest
Group
Group
User
User
Config
Config
Schema
Schema
Exchange 2000
Exchange 2000
准备域设置准备域设置
/domainprep
网络工程师讲义张智勇通过VPN建立请求拨号连接
Calling Router VPN Router
Internet
Intranet HQ
ISP ISP
VPN Tunnel
成都北京网络工程师讲义张智勇请求拨号路由网络工程师讲义张智勇请求拨号路由网络工程师讲义张智勇请求拨号路由网络工程师讲义张智勇请求拨号路由网络工程师讲义张智勇请求拨号路由网络工程师讲义张智勇请求拨号路由网络工程师讲义张智勇请求拨号路由网络工程师讲义张智勇计划路由组服务器必须属于同一个Active Directory directory service forest
服务器彼此之间必须永久连接路由组内的所有服务器必须能够连接到routing group master
在一个路由组的Exchange 2000必须满足下列条件在一个路由组的在一个路由组的Exchange 2000
必须满足下列条件必须满足下列条件
Cost = 10
Cost = 30
A C
B
Cost = 10
User
C
User
C
User
C
User
C
网络工程师讲义张智勇路由组成都成都广州广州
Internet
北京北京上海上海
Internet
BJ_SH,Cost 100
BJ_GZ
Cost:100
SH_GZ,Cost 150
BJ_CD,Cost 150
网络工程师讲义张智勇创建和配置存储组
ESE
Transaction Log
Transaction Log
Store
Reserved
Store
Store
Store
Store
Storage Group A Storage Group B
Transaction Log
Transaction Log
Store
Reserved
Store
Store
Store
Store
ESE
网络工程师讲义张智勇文件放置系统分区和启动分区系统分区和启动分区
Mirror Set
C:\
Storage Group 1
Transaction Logs
Storage Group 1
Transaction Logs
Mirror Set
E:\
Storage Group 2
Transaction Logs
Storage Group 2
Transaction Logs
Mirror Set
F:\
Page File
Page File
D:\
All Database Files For
Both Storage Groups
All Database Files For
Both Storage Groups
Stripe Set with Parity
G:\
网络工程师讲义张智勇
Connect Exchange 2000 to Internet
Server
Internet
网络工程师讲义张智勇
DNS
.msft
nwtraders
MX 10 SMTP1.nwtraders.msft
MX 20 SMTP2.nwtraders.msft
MX 30 SMTP3.nwtraders.msft
Locating MX Records in DNS
DNS 和SMTP
Internet
Sending SMTP Server
A SMTP1.nwtraders.msft 192.168.2.200
网络工程师讲义张智勇
ISA
Internet
部署防火墙-小型网络或分公司的配置企业內部网络企业內部网络
�z访问策略规则- IP封包,应用程式,使用者,群组等的存取规则
�z带宽规则-不同Internet request所分配不同带宽的规则
�z发布规则-将Internet服务(如web,ftp,mail)透过防火墙的保护公布給外界大众
�z入侵检测-防火墙入侵监测与警示
�z监视和日志–进出流量分析与报表
�z Web 缓存-所有放火墙的安全策存内容略会被自动应用到缓存内容之上网络工程师讲义网络工程师讲义张智勇张智勇网络工程师讲义张智勇蜂巢式安全防护体系内部防火墙内部防火墙中央监控服务器中央监控服务器
Internet
中央管理服务器中央管理服务器对外防火墙对外防火墙内部防火墙内部防火墙网络工程师讲义张智勇配置内部邮件路由到internet
�z制定北京的一台服务器作为SMTP桥头堡连接到防火墙的内部IP 地址
�z上海、广州和北京的另一台服务器设定Smart
Host,指到SMTP 桥头堡服务器
�z成都exchange 可以直接指到本地防火墙网络工程师讲义张智勇
Secure SMTP Server
�z Secure relay
settings
�z Best Practice,
Default settings!
网络工程师讲义张智勇
ISA Server 配置
HTTPS (SSL)
�z映射的协议:,HTTPS server”
�z ISA Server listens on 443/tcp
�z接受入站通信
�z重新产生新的包转发给OWA server
�{保留原地址和端口网络工程师讲义张智勇
ISA Server 配置
HTTPS (SSL) — Security
�z如果要求监测?
�{使用Web 发布
�{ ISA Server 需要更高的能力-考虑使用硬件加密卡
�z SSL 终止点
�{ SSL stops at ISA Server
�{ Certificate per ISA Server IP address
�z SSL 桥
�{ SSL from Client to ISA Server; new SSL from ISA
Server to OWA server
�{需要证书从ISA 到OWA servers
网络工程师讲义张智勇
ISA Server 配置
SMTP
�z映射的协议:,SMTP Server”
�z典型ISA Server 反向代理方式
�z SMTP filter 提供保护
�{附件部署
�{拒绝的发送者和域
�{ SMTP 命令确认和限制
�{关键词过滤网络工程师讲义张智勇保证Exchange Server安全
Exchange
Server
Any
Protocol
AnyMail
Server
Internal
Network
PortDestinationSource
IMAP
POP3
SMTP
Protocol
TCP 110Mail ServerAny
TCP 25Mail ServerAny
TCP 143Mail ServerAny
PortDestinationSource
Internet
网络工程师讲义张智勇
Front end/Back End
Firewall
Open Ports,
443,993,995
Exchange 2000
Front-End
Server
Exchange 2000
Server
Active Directory
Global Catalog Server
Exchange 2000
Server
Exchange 2000
Server
Internet
HTTP,IMAP
or POP3 Client
网络工程师讲义张智勇使用DMZ
Firewall
Open
Ports:
443,993,
995
Exchange
2000
Front-End
Servers
Exchange 2000
Server
Active Directory
Global Catalog Server
Exchange 2000
Server
Exchange 2000
Server
Internet
Firewall
Open
Ports,80
143,110,
LDAP,etc
DMZ
HTTP,IMAP
or POP3 Client
网络工程师讲义张智勇保证服务器之间安全-验证
�z服务器和服务器自动使用X-EXPS验证
�{ Kerberos/NTLM
�{缺省SMTP 协议扩充与Exchange 2000 一起安装
�{允许服务器通过其他服务器中继(需要验证)
�z SMTP AUTH (RFC 2554)
�{主要是连接外部系统–配置SMTP connector
网络工程师讲义张智勇保证服务器之间安全-加密
�z IPSec
�{定义不同的IPSec filters
�{最简单的配置
�{使用组策略可以使所有的Exchange servers
要求通过25 端口的入站信息加密
�{ http://www.microsoft.com/windows2000/techinfo/planning/se
curity/ipsecsteps.asp
�z TLS (TLS – RFC 2487)
�{要求在每台服务器上安装X.509v3 服务器密键,
网络工程师讲义张智勇配置ISA 防毒
�z防止Nimda Worm
http://www.microsoft.com/technet/treeview/def
ault.asp?url=/technet/prodtechnol/isa/deploy
/isanimda.asp
�z防止Code Red Worm."
网络工程师讲义张智勇
Information Store 方案
�z存储事件
�{在存储内当一个条目打开,保存,移动或删除时会触发
�{事件类型
�z同步–当事件发生时
�z异步–在事件发生之后
�z病毒扫描API
�{扫描邮件和附件
�{安优先级扫描队列;主动邮件扫描
�{增强背景扫描;线程池;每个MDB 扫描
�{ EDK 网关内容扫描
�{本机MAPI/MIME 内容扫描
�{扫描器按需重新启动网络工程师讲义张智勇传输方案
�z整理公开中继Fix open relays
�{ SMTP Relay Parameters
�z邮件过滤-Filter Mail
�z拒绝连接-Disallow connections
�z阻止内部垃圾邮件-Stop internal spam
网络工程师讲义张智勇桌面防毒
�zWindows and 浏览器
�{下载最新的补丁
�{定制浏览器的安全区域选项
�zOutlook 安全
�{Outlook 98 / 2000 SP1
�zUpgrade available now from http://www.officeupdate.com
�{Outlook 2002
�zBuilt into base product
�z安装最新防病毒工具网络工程师讲义张智勇小结:
