AD域及Exchange部署方案參考模板

1、XX公司ecology項目Exchange部署整合方案SUBMITTED BY WEAVER SOFTWARE聯(lián)系人 郭利朋 河北區(qū)域項目總監(jiān)Weaver Software石家莊市廣安大街鉑金公寓909室 郵政編碼：010000電話：+86真：+86 21 50942278電郵： guolip1234僅限閱讀 請勿傳播當您閱讀本方案時，即表示您同意不傳播本方案的所有內(nèi)容1 / 30 說明首先非常感謝XX公司選擇泛微協(xié)同商務(wù)系統(tǒng)（e-cology）作為企業(yè)信息化平臺，這是在項目啟動后我們提供的EXCHANGE部署策略。泛微衷心希望能有機會為XX公司提供服務(wù)，希望泛微的協(xié)

2、同商務(wù)系統(tǒng)能為XX公司帶來價值和提升！聲明：此文件僅供貴司內(nèi)部參考，請勿外傳。此文件的版權(quán)僅限于上海泛微軟件有限公司，未經(jīng)書面許可，任何單位和個人均不以任何方式透露給第三方公司或個人。泛微軟件協(xié)同商務(wù)的倡導者！Weaver Software- A Pioneer of Collaborative Commerce System!1、 前言為保證XX公司協(xié)同系統(tǒng)服務(wù)安全性，由上海泛微軟件公司（以下簡稱：泛微公司）提供系統(tǒng)安全性相關(guān)方案，XX公司（以下簡稱XX公司）公司承擔具體EXCHANGE部署實施工作，相關(guān)軟硬件平臺供應(yīng)商提供技術(shù)支持工作。XX公司將提供EXCHANGE部署具體實施計劃。并取得

3、XX公司系統(tǒng)項目負責人員的配合，以保證系統(tǒng)的安全穩(wěn)定為前提。2、 服務(wù)器組成及功用XX公司的服務(wù)器組共有三臺服務(wù)器組成：應(yīng)用系統(tǒng)服務(wù)器配置數(shù)量備注EXCHANGE部署服務(wù)器 1Windows平臺OA前端服務(wù)器內(nèi)存不小于16G1LINUX/WINDOWS/UNIX數(shù)據(jù)庫服務(wù)器1MS SQL SERVER/ORACLE3、 方案設(shè)計思路背景：e-cology可以通過簡單的配置就實現(xiàn)和一些主流的目錄服務(wù)器同步用戶信息的功能，在同步用戶信息的同時，將用戶認證功能也交于目錄服務(wù)器實現(xiàn)。目前常用的目錄服務(wù)器為：微軟的AD和SUN的SUN ONE。出于對WEB服務(wù)器的安全性的考慮, 同時考慮到AD域服務(wù)的廣

4、泛社會應(yīng)用性，本次系統(tǒng)安全部署采用AD域安全驗證模式。Exchange Server 是個消息與協(xié)作系統(tǒng)。 簡單而言，Exchange server可以被用來構(gòu)架應(yīng)用于企業(yè)、學校的郵件系統(tǒng)甚至于象sohu或sina那樣的免費郵件系統(tǒng)。Exchange可以和AD域進行集成部署。AD域部署方案（推薦）總公司搭建主域服務(wù)器（建設(shè)各分公司總的組織OU），在ecology部署時前臺web采用分部部署方式即多點web服務(wù)部署方式，各web服務(wù)器采用各分公司部署的AD域配置，各分公司登錄各自的AD服務(wù)器進行域驗證，實現(xiàn)登錄分流及域管理分流，OA系統(tǒng)和總公司搭建的主域進行信息同步，人員變更及異動由AD主域進行

5、控制，分公司通過各自建設(shè)的域服務(wù)器僅進行域信息安全驗證。優(yōu)點：因為做了分布部署，所以有效實現(xiàn)登錄及域驗證分流，降低了系統(tǒng)壓力。缺點：需要磁盤陣列支持，硬件投入較高，因為域服務(wù)器分布于各子公司，不便于人員的統(tǒng)一管理Exchange部署方案（推薦）在此方案中，兩臺exchange服務(wù)器分別兼做域控制器和備份域控制器，用戶帳戶信息存儲在兩臺服務(wù)器上，郵箱數(shù)據(jù)存儲在共享磁盤陣列上，兩臺exchange服務(wù)器做MSCS集群。當企業(yè)用戶小于500且投資較少時，可以建議采用此方案。方案一配置表:使用該方案具有以下優(yōu)點。1.安全可靠:在該方案里，域控制器和exchange服務(wù)器都分別進行了備份，使得當任意一臺

6、發(fā)生故障時，另外一臺馬上接管服務(wù)，實現(xiàn)服務(wù)不間斷。2.性價比高: 采用較少數(shù)量的服務(wù)器，實現(xiàn)了郵件服務(wù)器的功能，并且也實現(xiàn)了數(shù)據(jù)的備份及恢復，具有較高的性價比。3.適用于較小的企業(yè): 由于服務(wù)器承擔了用戶帳號管理和郵件管理的雙重功能，壓力較大，適用于用戶數(shù)較少的企業(yè)。Exchange部署方案二域控制器和應(yīng)用服務(wù)器獨立開來，兩個exchange服務(wù)器做MSCS雙機，提供MAIL服務(wù)，域控制器做用戶帳號的管理以及DNS解析。如果客戶的預算充足，可以建議用戶做備份域控制器，這樣，可以實現(xiàn)域控制器和exchange應(yīng)用服務(wù)器的雙重備份，如果不是很充足，可以定期做域控制器的備份，這樣，當域控制器出現(xiàn)故障

7、時，可以在用戶允許的時間內(nèi)做用戶帳號的恢復。方案二配置表:使用方案二具有如下優(yōu)點。 域控制器和應(yīng)用服務(wù)器的應(yīng)用分離，減輕了服務(wù)器的負擔，可以承擔更多的用戶。安全可靠: 郵件服務(wù)采用MSCS雙機高可用方案，操作簡單，域控制器采用備份控制器，保證業(yè)務(wù)不間斷。Exchange部署方案三方案三適合較大的企業(yè)，并且有較充足的預算資金。采用多臺exchange服務(wù)器集群做后臺郵件服務(wù)，前端有一臺服務(wù)器負責接收由 POP3、IMAP4 和 RPC/HTTP 客戶端傳來的請求。方案三配置表使用方案三具有以下優(yōu)點。性能靈活擴展: 能夠讓用戶在訪問其郵箱時使用單一的和一致的命名空間。利用單一命名空間，即使添加或刪

8、除服務(wù)器，或者將郵箱從一個服務(wù)器移到另一個服務(wù)器，用戶仍然可以使用同一個 URL 或 POP 和 IMAP 客戶端配置。此外，創(chuàng)建單一命名空間可確保 Outlook Web Access、POP 或 IMAP 訪問在組織擴大后仍然保持著可伸縮性。保證安全，不受病毒侵犯: 用戶可以將前端服務(wù)器作為單一訪問點放在 Internet 防火墻上或 Internet 防火墻之后，并且將 Internet 防火墻配置為只允許從 Internet 到前端的通信。因為前端服務(wù)器上沒有存儲任何用戶信息，所以，該服務(wù)器為組織提供了額外的安全層。此外，可以將前端服務(wù)器配置為在代理請求之前對請求進行身份驗證，這將幫助

9、后端服務(wù)器抵御“拒絕服務(wù)”攻擊。4、 EXCHANGE部署實施方法可以通過兩種方法來實現(xiàn)，第一種可以通過Exchange 管理控制臺來實現(xiàn)，第二種可以通過Exchange 命令行管理程序來實現(xiàn)。在執(zhí)行相關(guān)的操作前請確保操作的用戶擁有Exchange管理員角色。一、使用 Exchange 管理控制臺向用戶授予其他用戶郵箱的代理發(fā)送權(quán)限：1、 在Exchange 2007服務(wù)器上打開管理控制臺并選擇“收件人配置”。2、 在結(jié)果窗格中，選擇要向其授予代理發(fā)送權(quán)限的郵箱。3、 在操作窗格中的郵箱名下，單擊“管理代理發(fā)送權(quán)限”。此時將打開管理代理發(fā)送權(quán)限向?qū)А?、 在“管理代理發(fā)送權(quán)限”頁上，單擊添加。

10、5、 在“選擇用戶或組”中，選擇要向其授予“代理發(fā)送”權(quán)限的用戶，然后單擊確定。6、 單擊管理。7、 在完成頁上，摘要顯示是否已成功授予代理發(fā)送權(quán)限。摘要還顯示用于授予代理發(fā)送權(quán)限的 Exchange 命令行管理程序命令。8、 單擊完成。請注意，只有升級到Exchange 2007 SP1后，才可以執(zhí)行上述的操作，在Exchange 2007 RTM版本中，需要通過活動目錄用戶和計算機來實現(xiàn)。具體的方法如下：1. 在運行 Exchange 的計算機上，打開Active Directory 用戶和計算機。2. 在Active Directory 用戶和計算機中，在查看菜單上選中高級功能。3. 展

11、開域節(jié)點，然后單擊用戶。4. 右鍵單擊要向其授予“代理發(fā)送”權(quán)限的用戶，然后單擊屬性。5. 點擊安全，單擊高級。6. 在“用戶的高級安全設(shè)置”中，單擊添加。7. 在“輸入對象名稱來選擇”框中，鍵入要向其授予“代理發(fā)送”權(quán)限的郵箱用戶或組的名稱，然后單擊“檢查名稱”以驗證此用戶或組，如圖3所示，單擊“確定”。8. 在“用戶的權(quán)限條目”中，在“應(yīng)用于”列表中，選擇“僅此對象”。9. 在“權(quán)限”列表中，找到“代理發(fā)送”，然后選中“允許”復選框。10. 單擊“確定”關(guān)閉對話框。二、使用 Exchange 命令行管理程序向用戶授予其他用戶郵箱的代理發(fā)送權(quán)限1.Add-ADPermission “Mail

12、box” -User “DomainUser” -Extendedrights “Send As”請將Mailbox替換為需要被代理發(fā)送郵件的賬號，比如總經(jīng)理的郵箱，將DomainUser替換使用代理權(quán)限的用戶，比如秘書的賬號。請注意：只有在發(fā)生復制之后，才能授予代理發(fā)送權(quán)限。復制時間取決于 Microsoft Exchange 和網(wǎng)絡(luò)配置。若要立即授予權(quán)限，請停止然后再重新啟動 Microsoft Exchange Information Store 服務(wù)，然后檢查結(jié)果如何。2.然后打開活動目錄用戶和計算機，然后右鍵選中rock，選擇屬性，點擊安全，確認rock001已經(jīng)被授予send as

13、 權(quán)限了。3.要取消該設(shè)置，只需要運行下面的命令：Remove-ADPermission -Identity rock -User rock001 -AccessRights extendedright -ExtendedRights “send as”在系統(tǒng)提示的時候選擇y即刻完成。（一） 配置OWA功能OWA實現(xiàn)安裝Exchange之后，檢查Exchange服務(wù)器的默認網(wǎng)站有沒有創(chuàng)建出一個名為Exchange的虛擬目錄，如下圖所示。虛擬目錄已被成功創(chuàng)建，我們接下來可以用OWA測試一下郵箱的訪問情況。訪問郵箱的語法是 urlHttp:/Exchangeserver/exchange/url郵

14、箱名，如果被訪問的郵箱屬于當前登錄用戶，直接輸入urlHttp:/exchangeserver/exchange/url即可。 我們用Istanbul作為客戶機，測試訪問administrator的郵箱。首先在Istanbul以exchtestadministrator登錄，打開瀏覽器，輸入 urlHttp:/berlin/exchange/url即可，如下圖所示。由于使用了集成身份驗證，Exchange并沒有要求用戶輸入口令。 進入郵箱后，我們可以進行簡單的郵件收發(fā)測試，先給其他用戶發(fā)一封郵件，點擊“新建”，從下拉菜單中選擇“郵件”，如下圖所示，我們用OWA給wangni

15、ng發(fā)一封測試郵件 檢查一下wangning的郵箱，我們可以看到wangning已經(jīng)收到了測試郵件 給administrator發(fā)一封回信，看看OWA能否接收到檢查管理員的郵箱，回信已經(jīng)躺在郵箱里了，OWA郵件收發(fā)實驗完成 有不少人曾經(jīng)問過這么一個問題，為什么用 urlHttp:/berlin/exchange/url訪問自己的郵箱可以使用集成驗證，但使用 urlHttp:/  主要是因為使用完全合格域名描述Exchange服務(wù)器時，如果想使用集成驗證，IE 瀏覽器需要把完全合格域名添加到Intranet站點列表中。打開IE，在“工具”菜單上，單擊“In

16、ternet 選項”，然后單擊“安全”，選擇“本地 Intranet”，單擊“站點”，點擊“高級”，然后鍵入Exchange服務(wù)器的完全合格域名B，單擊“添加”，然后單擊“確定。重新用完全合格域名訪問一下，是否一切正常了！OWA  Over  HTTPSOWA用HTTPS對傳輸數(shù)據(jù)進行加密，我們使用時會更有安全感。HTTPS的加密過程大致如下A  客戶機驗證Web服務(wù)器證書有效性B  客戶機從Web服務(wù)器證書中提取公鑰C  客戶機與Web服務(wù)器約定在接下來的數(shù)據(jù)傳遞過程中采用對稱加密方式，客戶機將對稱密鑰用公鑰加密后傳給Web服務(wù)器D 

17、; 服務(wù)器收到加密的對稱密鑰，用自己的私鑰解開對稱密鑰E  客戶機將數(shù)據(jù)用對稱密鑰加密后傳給Web服務(wù)器F  Web服務(wù)器用對稱密鑰解開加密數(shù)據(jù) 從以上過程來看，SSL采用了對稱加密和非對稱加密相結(jié)合的方式，為什么不直接把所有數(shù)據(jù)用公鑰加密傳給Web服務(wù)器呢？主要是因為對稱加密的速度比非對稱加密快上千倍，兩者結(jié)合可以各自發(fā)揮所長。 實現(xiàn)HTTPS需要以下步驟：部署CA服務(wù)器Web服務(wù)器申請證書 在Istanbul客戶機上用HTTPS訪問一下郵箱試試，在IE中輸入 urlHttps:/ 有了HTTPS的支持，我們可以更改OWA的登錄界面

18、，將OWA的登錄方式改為表單式登錄，這樣在一些公共場合（例如網(wǎng)吧）使用時更加安全。我們可以在Exchange服務(wù)器上打開  開始程序Microsoft Exchange系統(tǒng)管理器，右鍵點擊HTTP協(xié)議下的Exchange虛擬服務(wù)器，選擇屬性，如下圖所示： 在Exchange虛擬服務(wù)器屬性中選擇“設(shè)置”標簽，勾選“啟用基于表單的身份驗證”，點擊“確定”后，Exchange服務(wù)器提示啟用此功能需要有SSL支持。 啟用OWA表單驗證后，試試效果，登錄界面如下圖所示： 如果服務(wù)器想強制客戶機只能使用HTTPS訪問，可以在Exchange服務(wù)器上打開管理工具Int

19、ernet信息服務(wù)（IIS）管理器默認網(wǎng)站Exchange虛擬目錄屬性，在“安全通信”控件中選擇“編輯”，如下圖所示選擇“要求安全通道（SSL）”，這樣客戶機訪問服務(wù)器就只能使用HTTPS了使用OWA修改用戶口令在Exchange2000中，用戶可以通過OWA修改自己的口令，在Exchange2003中，似乎沒有了這一功能。其實Exchange2003仍然可以通過OWA修改口令，只是需要我們完成以下操作：A  Exchange的web站點需要申請證書，這是因為修改口令時數(shù)據(jù)需要有HTTPS的加密支持，申請證書的過程前文已經(jīng)提及，在此不再重復。B  修改注冊表，讓口令修改功能

20、重見天日，在Exchange服務(wù)器上，運行Regedit，定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMSExchangeWEBOWA，如下圖所示，將“DisablePassword”的鍵值從1 改為 0 修改完注冊表，無需重啟服務(wù)，我們用OWA進入用戶郵箱后，點擊左下角的“選項”，在右側(cè)界面中我們就可以看到“更改密碼”的提示了，如下圖所示。不過不要著急，現(xiàn)在此項功能還不能使用，我們還欠缺最后一步。  C  在Exchange服務(wù)器的默認Web站點中手工創(chuàng)建一個虛擬目錄，在Exchange服務(wù)器

21、上，打開管理工具Internet信息服務(wù)（IIS）管理器，右鍵單擊“默認網(wǎng)站”，選擇新建虛擬目錄，如下圖所示  虛擬目錄的名稱設(shè)置為 IISADMPWD 虛擬目錄對應(yīng)的物理路徑為 c:windowssystem32inetsrviisadmpwd 權(quán)限設(shè)置取默認值即可，創(chuàng)建虛擬目錄完畢后，試試修改口令的功能，點擊OWA中的修改口令，如下圖所示，設(shè)置成功！5、 OWA單點登錄方案利用泛微軟件單點登錄模塊單點登錄OWA，登錄參數(shù)如下：<form action=" method="post" name="logonForm" autocomplete="off"> <input type="hidden" name="destination" value=" <input type="hidden&