AD域及Echange部署方案解析.docx

仅限阅读请勿传播 当您阅读本方案时，即表示您同意不传播本方案的全部内容XX 公司 ecology 工程Exchange 部署整合方案SUBMITTED BY WEAVER SOFTWARE联系人 郭利朋河北区域工程总监Weaver Software石家庄市广安大街铂金公寓 909 室邮政编码：010000 ：+86 ：+86 21 50942278电邮：说明首先格外感谢 XX 公司选择泛微协同商务系统e-cology作为企业信息化平台，这是在工程启动后我们供给的 EXCHANGE 部署策略。泛微诚意期望能有时机为 XX 公司供给效劳，期望泛微的协同商务系统能为 XX 公司带来价值和提升！声明：此文件仅供贵司内部参考，请勿外传。此文件的版权仅限于上海泛微软件，未 经书面许可，任何单位和个人均不以任何方式透露给第三方公司或个人。泛微软件协同商务的提倡者！Weaver Software- A Pioneer of Collaborative Commerce System!1为保证 XX 公司协同系统效劳安全性，由上海泛微软件公司以下简称：泛微公司供给系统安全性相关方案，XX 公司以下简称 XX 公司公司担当具体 EXCHANGE 部署实施工作， 相关软硬件平台供给商供给技术支持工作。XX 公司将供给 EXCHANGE 部署具体实施打算。并取得 XX 公司系统工程负责人员的协作， 以保证系统的安全稳定为前提。2应用系统效劳器配置数量备注EXCHANGE 部署服务器1Windows 平台OA 前端效劳器内存不小于 16G1LINUX/WINDOWS/UNIX数据库效劳器1MS SQLSERVER/ORACLEXX 公司的效劳器组共有三台效劳器组成：3、 方案设计思路背景：e-cology 可以通过简洁的配置就实现和一些主流的名目效劳器同步用户信息的功能，在同步用户信息的同时，将用户认证功能也交于名目效劳器实现。目前常用的名目效劳器为：微软的 AD 和 SUN 的 SUN ONE。出于对 WEB 效劳器的安全性的考虑, 同时考虑到 AD 域效劳的广泛社会应用性，本次系统安全部署承受AD 域安全验证模式。Exchange Server 是个消息与协作系统。 简洁而言，Exchange server 可以被用来构架应用于企业、学校的邮件系统甚至于象 sohu 或sina 那样的免费邮件系统。Exchange 可以和 AD 域进展集成部署。AD 域部署方案推举总公司搭建主域效劳器建设各分公司总的组织OU，在ecology 部署时前台 web 承受分部部署方式即多点 web 效劳部署方式，各 web 效劳器承受各分公司部署的 AD 域配置，各分公司登录各自的 AD 效劳器进展域验证，实现登录分流及域治理分流，OA 系统和总公司搭建的主域进展信息同步，人员变更及异动由 AD 主域进展把握，分公司通过各自建设的域效劳器仅进展域信息安全验证。优点：由于做了分布部署，所以有效实现登录及域验证分流，降低了系统压力。缺点：需要磁盘阵列支持，硬件投入较高，由于域效劳器分布于各子公司，不便于人员的统 一治理Exchange 部署方案推举在此方案中，两台 exchange 效劳器分别兼做域把握器和备份域把握器，用户帐户信息存储在两台效劳器上，邮箱数据存储在共享磁盘阵列上，两台 exchange 效劳器做 MSCS 集群。当企业用户小于 500 且投资较少时，可以建议承受此方案。方案一配置表:使用该方案具有以下优点。1. 安全牢靠:在该方案里，域把握器和 exchange 效劳器都分别进展了备份，使得当任意一台发生故障时，另外一台马上接收效劳，实现效劳不连续。2. 性价比高: 承受较少数量的效劳器，实现了邮件效劳器的功能，并且也实现了数据的备份及恢复，具有较高的性价比。3. 适用于较小的企业: 由于效劳器担当了用户帐号治理和邮件治理的双重功能，压力较大， 适用于用户数较少的企业。Exchange 部署方案二域把握器和应用效劳器独立开来，两个 exchange 效劳器做 MSCS 双机，供给 MAIL 效劳，域把握器做用户帐号的治理以及 DNS 解析。假设客户的预算充分，可以建议用户做备份域把握器， 这样，可以实现域把握器和 exchange 应用效劳器的双重备份，假设不是很充分，可以定期做域把握器的备份，这样，当域把握器消灭故障时，可以在用户允许的时间内做用户帐号的恢复。方案二配置表:使用方案二具有如下优点。域把握器和应用效劳器的应用分别，减轻了效劳器的负担，可以担当更多的用户。安全牢靠: 邮件效劳承受 MSCS 双机高可用方案，操作简洁，域把握器承受备份把握器，保证业务不连续。Exchange 部署方案三方案三适合较大的企业，并且有较充分的预算资金。承受多台 exchange 效劳器集群做后台邮件效劳，前端有一台效劳器负责接收由 POP3、IMAP4 和 RPC/ 客户端传来的恳求。方案三配置表使用方案三具有以下优点。性能灵敏扩展: 能够让用户在访问其邮箱时使用单一的和全都的命名空间。利用单一命名空间，即使添加或删除效劳器，或者将邮箱从一个效劳器移到另一个效劳器，用户照旧可以使用同一个 URL 或 POP 和 IMAP 客户端配置。此外，创立单一命名空间可确保 Outlook Web Access、POP 或 IMAP 访问在组织扩大后照旧保持着可伸缩性。保证安全，不受病毒侵害: 用户可以将前端效劳器作为单一访问点放在 Internet 防火墙上或 Internet 防火墙之后，并且将 Internet 防火墙配置为只允许从 Internet 到前端的通信。由于前端效劳器上没有存储任何用户信息，所以，该效劳器为组织供给了额外的安全层。此外， 可以将前端效劳器配置为在代理恳求之前对恳求进展身份验证，这将帮助后端效劳器抵抗“拒绝效劳”攻击。4可以通过两种方法来实现，第一种可以通过 Exchange 治理把握台来实现，其次种可以通过 Exchange 命令行治理程序来实现。在执行相关的操作前请确保操作的用户拥有 Exchange 治理员角色。一、使用 Exchange 治理把握台向用户授予其他用户邮箱的代理发送权限： 1、 在 Exchange 2023 效劳器上翻开治理把握台并选择“收件人配置”。2、 在结果窗格中，选择要向其授予代理发送权限的邮箱。3、 在操作窗格中的邮箱名下，单击“治理代理发送权限”。此时将翻开治理代理发送权限向导。4、 在“治理代理发送权限”页上，单击添加。5、 在“选择用户或组”中，选择要向其授予“代理发送”权限的用户，然后单击确定。6、 单击治理。7、 在完成页上，摘要显示是否已成功授予代理发送权限。摘要还显示用于授予代理发送权限的 Exchange 命令行治理程序命令。8、 单击完成。请留意，只有升级到 Exchange 2023 SP1 后，才可以执行上述的操作，在 Exchange 2023 RTM 版本中，需要通过活动名目用户和计算机来实现。具体的方法如下：1. 在运行 Exchange 的计算机上，翻开 Active Directory 用户和计算机。2. 在 Active Directory 用户和计算机中，在查看菜单上选中高级功能。3. 开放域节点，然后单击用户。4. 右键单击要向其授予“代理发送”权限的用户，然后单击属性。5. 点击安全，单击高级。6. 在“用户的高级安全设置”中，单击添加。7. 在“输入对象名称来选择”框中，键入要向其授予“代理发送”权限的邮箱用户或组的 名称，然后单击“检查名称”以验证此用户或组，如图 3 所示，单击“确定”。8. 在“用户的权限条目”中，在“应用于”列表中，选择“仅此对象”。9. 在“权限”列表中，找到“代理发送”，然后选中“允许”复选框。10. 单击“确定”关闭对话框。二、使用 Exchange 命令行治理程序向用户授予其他用户邮箱的代理发送权限1. Add-ADPermission “Mailbox” -User “DomainUser” -Extendedrights “Send As” 请将 Mailbox 替换为需要被代理发送邮件的账号，比方总经理的邮箱，将 DomainUser 替换使用代理权限的用户，比方秘书的账号。请留意：只有在发生复制之后，才能授予代理发送权限。复制时间取决于 Microsoft Exchange 和网络配置。假设要马上授予权限，请停顿然后再重启动 Microsoft Exchange Information Store 效劳，然后检查结果如何。2. 然后翻开活动名目用户和计算机，然后右键选中 rock，选择属性，点击安全，确认 rock001已经被授予 send as 权限了。3. 要取消该设置，只需要运行下面的命令：Remove-ADPermission -Identity rock -User rock001 -AccessRights extendedright-ExtendedRights “send as”在系统提示的时候选择 y 即刻完成。一配置 OWA 功能OWA 实现安装 Exchange 之后，检查 Exchange 效劳器的默认网站有没有创立出一个名为 Exchange 的虚拟名目，如以以下图所示。虚拟名目已被成功创立，我们接下来可以用 OWA 测试一下邮箱的访问状况。访问邮箱的语法是 url/url邮箱名，假设被访问的邮箱属于当前登录用户，直接输入url/url即可。我们用 Istanbul 作为客户机，测试访问 administrator 的邮箱。首先在 Istanbul 以exchtestadministrator 登录，翻开扫瞄器，输入 url/url即可，如以以下图所示。由于使用了集成身份验证，Exchange 并没有要求用户输入口令。进入邮箱后，我们可以进展简洁的邮件收发测试，先给其他用户发一封邮件，点击“建”，从 下拉菜单中选择“邮件”，如以以下图所示，我们用 OWA 给 wangning 发一封测试邮件检查一下 wangning 的邮箱，我们可以看到 wangning 已经收到了测试邮件给 administrator 发一封回信，看看 OWA 能否接收到检查治理员的邮箱，回信已经躺在邮箱里了，OWA 邮件收发试验完成有不少人曾经问过这么一个问题，为什么用 url/url访问自己的邮箱可以使用集成验证，但使用 url/url访问时就被要求输入用户名和口令，如以以下图所示，为什么呢？主要是由于使用完全合格域名描述 Exchange 效劳器时，假设想使用集成验证，IE 扫瞄器需要把完全合格域名添加到 Intranet 站点列表中。翻开 IE，在“工具”菜单上，单击“Internet 选项”，然后单击“安全”，选择“本地 Intranet”，单击“站点”，点击“高级”，然后键入 Exchange效劳器的完全合格域名 Berlin.exchtest ，单击“添加”，然后单击“确定。重用完全合格域名访问一下，是否一切正常了！OWAOver SOWA 用 S 对传输数据进展加密，我们使用时会更有安全感。 S 的加密过程大致如下A客户机验证 Web 效劳器证书有效性B客户机从 Web 效劳器证书中提取公钥C客户机与 Web 效劳器商定在接下来的数据传递过程中承受对称加密方式，客户机将对称密钥用公钥加密后传给 Web 效劳器D效劳器收到加密的对称密钥，用自己的私钥解开对称密钥 E客户机将数据用对称密钥加密后传给 Web 效劳器FWeb 效劳器用对称密钥解开加密数据从以上过程来看，SSL 承受了对称加密和非对称加密相结合的方式，为什么不直接把全部数据用公钥加密传给 Web 效劳器呢？主要是由于对称加密的速度比非对称加密快上千倍，两者结合可以各自发挥所长。实现 S 需要以下步骤： 部署 CA 效劳器Web 效劳器申请证书在 Istanbul 客户机上用 S 访问一下邮箱试试，在 IE 中输入 url/url，结果如以以下图所示，访问成功。有了 S 的支持，我们可以更改 OWA 的登录界面，将 OWA 的登录方式改为表单式登录，这样在一些公共场合例如网吧使用时更加安全。我们可以在 Exchange 效劳器上翻开开头程序Microsoft Exchange系统治理器，右键点击 协议下的 Exchange 虚拟效劳器，选择属性， 如以以下图所示：在 Exchange 虚拟效劳器属性中选择“设置”标签，勾选“启用基于表单的身份验证”，点击“确定”后，Exchange 效劳器提示启用此功能需要有 SSL 支持。启用 OWA 表单验证后，试试效果，登录界面如以以下图所示：假设效劳器想强制客户机只能使用 S 访问，可以在 Exchange 效劳器上翻开治理工具 Internet 信息效劳IIS治理器默认网站Exchange 虚拟名目属性，在“安全通信”控件中选择“编辑”，如以以下图所示选择“要求安全通道SSL”，这样客户机访问效劳器就只能使用 S 了使用 OWA 修改用户口令在 Exchange2023 中，用户可以通过 OWA 修改自己的口令，在 Exchange2023 中，似乎没有了这一功能。其实 Exchange2023 照旧可以通过 OWA 修改口令，只是需要我们完成以下操作：A Exchange 的 web 站点需要申请证书，这是由于修改口令时数据需要有 S 的加密支持， 申请证书的过程前文已经提及，在此不再重复。B 修改注册表，让口令修改功能重见天日，在 Exchange 效劳器上，运行 Regedit，定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMSExchangeWEBOWA ，如以以下图所示， 将“DisablePassword”的键值从 1 改为 0修改完注册表，无需重启效劳，我们用 OWA 进入用户邮箱后，点击左下角的“选项”，在右侧界面中我们就可以看到“更改密码”的提示了，如以以下图所示。不过不要焦急，现在此项功能还不能 使用，我们还欠缺最终一步。C 在 Exchange 效劳器的默认 Web 站点中手工创立一个虚拟名目，在 Exchange 效劳器上，翻开治理工具Internet 信息效劳IIS治理器，右键单击“默认网站”，选择建虚拟名目，如以以下图所示虚拟名目的名称设置为 IISADMPWD虚拟名目对应的物理路径为 c:windowssystem32inetsrviisadmpwd权限设置取默认值即可，创立虚拟名目完毕后，试试修改口令的功能，点击 OWA 中的修改口令， 如以以下图所示，设置成功！5、 OWA 单点登录方案利用泛微软件单点登录模块单点登录 OWA， 登录参数如下：<form action=“ method=“post“ name=“logonForm“ autocomplete=“off“><input type=“hidden“ name=“destination“ value=“/><input type=“hidden“ name=“flags“ value=“0“/><input type=“hidden“ name=“forcedownlevel“ value=“0“/><input type=“hidden“ id=“rdoPblc“ name=“trusted“ value=“0“/><input id=“username“ name=“username“ type=“hidden“ value=“lihb“/><input id=“password“ name=“password“ type=“hidden“ value=“751718“/>登录后效果如以下图：注：以上方案以电子文档的形式供给。再次感谢 XX 公司给我们这个时机参与到 XX 公司的信息化建设进程中来，假设此份运行安全实施方案的局部内容不太清楚的话，您可以通过以下方式获得帮助。登陆客户门户。这里是客户门户的链接。发送电子邮件，可以发送给相对应的工程经理的电子邮件，。 询问：。感谢！本案由泛微软件公司北京工程部供给，如有何疑问请与我们联系！Submitted by Weaver Beijing