部署exchang2010郵件服務(wù)器

1、實(shí)驗(yàn)架構(gòu)圖:DC/DNS/Exchange2010 中心傳輸服務(wù)器Ip:7/24網(wǎng)關(guān):DNS:7Edge邊緣傳輸服務(wù)器Ip:26/24網(wǎng)關(guān):DNS:71. 搭建DC并配置MX記錄新建郵件服務(wù)器A記錄,新建郵件交換器MX用于標(biāo)識(shí)郵件服務(wù)器的名稱2. 安裝MS Filter Pack程序;安裝.net Framework功能; 安裝web IIS角色; 3. 安裝先后順序安裝操作系統(tǒng)補(bǔ)丁包(kb979099;kb982867;kb979744;kb9834

2、40;kb977020) 4. 安裝Exchange2010,選擇典型安裝(中心傳輸,客戶端訪問,郵箱,exchange管理工具)5. 安裝完成后測試,輸入下面命令能夠看到本機(jī)安裝的郵件角色Get-exchangeserver | fi serverRole6. 配置網(wǎng)頁登陸MUA客戶端登錄http:/本機(jī)IP/owa來創(chuàng)建用戶郵箱7. 配置POP3來啟用收件服務(wù)Net start MSExchangePop3或Services.msc 進(jìn)入服務(wù)里面開啟pop38. 配置outlook MUA客戶端打開office選擇outlook收件人管理1. 收件人概述:收件人是指在活動(dòng)目錄中啟用了郵箱和

3、啟用了電子郵件的對(duì)象.主要包括三類: 用戶,聯(lián)系人,組2.創(chuàng)建exchange用戶啟用郵箱:一般旨針對(duì)于公司內(nèi)部員工啟用郵件:一般旨針對(duì)聯(lián)系人和組 2. 管理用戶郵箱屬性存儲(chǔ)限額:郵箱傳遞選項(xiàng)的配置: 轉(zhuǎn)發(fā)地址:讓發(fā)送給我的郵件自動(dòng)轉(zhuǎn)發(fā)一封給某人代表發(fā)送:讓他人以自己的名義發(fā)送郵件傳遞限制:禁止用戶接收外部郵件或禁止用戶發(fā)送外部郵件.3. 創(chuàng)建exchange組:實(shí)現(xiàn)向批量用戶發(fā)送郵件通用分發(fā)組:只能用戶群收電子郵件,該組沒有windows系統(tǒng)的SID號(hào).通用安全組:既可以發(fā)送郵件,也可以分配權(quán)限;有SID號(hào)碼動(dòng)態(tài)通訊組:使用相應(yīng)的篩選條件自動(dòng)生成的組,例如:按照部門自動(dòng)生成的組將郵箱用戶的賬

4、戶信息改為相對(duì)應(yīng)的動(dòng)態(tài)通訊組條件就可以自動(dòng)加入到相應(yīng)的動(dòng)態(tài)通訊組4. 管理地址列表通過地址列表可以將收件人按照部門,地理位置,收件人類型等標(biāo)準(zhǔn)進(jìn)行分類,用戶使用地址列表可以方便找到想聯(lián)系的收件人.4.1 創(chuàng)建地址列表中心傳輸服務(wù)器角色管理1. 郵件傳輸和路由:郵件在不同的郵件服務(wù)器之間的傳遞路徑叫做傳輸,如:從域路由到域;決定了郵件的處理和傳遞方式是郵件傳輸傳輸方式有兩種:1.1 W中心傳輸服務(wù)器-1.2 W中心傳輸服務(wù)器-邊緣傳輸服務(wù)器-2. 認(rèn)識(shí)SMTP連接器(默認(rèn)情況下exchange2010會(huì)為內(nèi)部自動(dòng)建立發(fā)送和接收連接器)SMTP連接器:負(fù)責(zé)發(fā)送和接收郵件,提供了傳遞郵件到特定目的地

5、的單向路徑,2.1. SMTP發(fā)送連接器(出站連接器)發(fā)送連接器是exchange要發(fā)送電子郵件到外部電子郵件系統(tǒng)所經(jīng)過的邏輯網(wǎng)關(guān),多個(gè)郵件服務(wù)器可以使用同一個(gè)發(fā)送連接器,2.2. SMTP接收連接器(入站連接器)接收連接器是exchange接收所有入站的郵件,即接收客戶端發(fā)送到exchange郵件服務(wù)器的郵件時(shí)所經(jīng)過的一個(gè)邏輯網(wǎng)關(guān).3. 配置郵件exchange出站3.1 添加DNS的郵件服務(wù)器的MX記錄3.2 配置轉(zhuǎn)發(fā)器3.3 建立發(fā)送連接器表示連接所有外部郵件系統(tǒng)都使用該連接器出站此時(shí)可以發(fā)送郵件到類型郵箱了4. 配置exchange郵件入站接受域:用于發(fā)送和接收電子郵件的SMTP命名空

6、間,不在接受域列表中的域名郵件,exchange傳輸服務(wù)器不會(huì)負(fù)責(zé)傳輸,接受域分為權(quán)威域和中繼域權(quán)威域:集團(tuán)的電子郵件域是權(quán)威域,默認(rèn)接受域是活動(dòng)目錄林根域的完全限定域名,默認(rèn)中心傳輸服務(wù)器接受任何權(quán)威域的電子郵件.中繼域:用于邊緣傳輸服務(wù)器從internet接收電子郵件而收件人不屬于權(quán)威域時(shí)候,發(fā)送服務(wù)器試圖通過exchange服務(wù)器中繼;一般用于中心傳輸服務(wù)發(fā)送接收的郵件不是發(fā)往組織內(nèi)容,此時(shí)郵件服務(wù)器可能會(huì)利用中繼域轉(zhuǎn)發(fā)出站默認(rèn)中心傳輸服務(wù)器是允許匿名的身份入站,Default servername是一個(gè)接收連接器5. 配置郵件傳輸策略主要是限制組織內(nèi)部和外部的收件人和發(fā)件人之間的交互,

7、使用此技術(shù)可以限制不適當(dāng)?shù)膬?nèi)容離開公司,可以基于篩選關(guān)鍵字進(jìn)行設(shè)置. #邊緣傳輸服務(wù)器邊緣傳輸服務(wù)器是部署在公司的網(wǎng)絡(luò)防火墻DMZ區(qū)域中的一臺(tái)用于處理所有面向internet外部郵件系統(tǒng)的郵件流,為exchange組織提供SMTP中繼和智能主機(jī)服務(wù)器.中心傳輸服務(wù)器-邊緣傳輸服務(wù)器- - - 原理: 中心服務(wù)器負(fù)責(zé)組織內(nèi)的郵件的路由和傳輸,同時(shí)接收來自組織內(nèi)的郵箱服務(wù)器的郵件,然后路由到邊緣服務(wù)器. 邊緣傳輸服務(wù)器接收來自組織外部的郵件,然后路由到組織內(nèi)的中心傳輸服務(wù)器,最后傳輸?shù)洁]箱服務(wù)器部署:1. 邊緣傳輸服務(wù)器安裝在獨(dú)立的服務(wù)器中,不推薦加入域,一般部署在DMZ區(qū)域中,因?yàn)檫吘壏?wù)器可以

8、使用ADAM工具鏈接域,保持與AD同步2. 將edge服務(wù)器的DNS指向AD域,更改計(jì)算機(jī)名,和主DNS后綴;并在DNS中添加edge的A記錄3. Edge服務(wù)器安裝.net Framework 3.5程序組件,Active Directory輕量級(jí)活動(dòng)協(xié)議服務(wù),用于與AD進(jìn)行同步4. 安裝edge服務(wù)器,選自定義安裝只需要安裝邊緣傳輸服務(wù)器和管理工具即可. 5. 安裝完成邊緣后重啟一次計(jì)算機(jī)6. 在邊緣服務(wù)器中生成邊緣訂閱文件edge.xml,并復(fù)制該文件到中心傳輸服務(wù)器中進(jìn)行導(dǎo)入New-edgesubscription filename c:edge.xml7. 打開中心傳輸服務(wù)器,進(jìn)入組

9、織配置節(jié)點(diǎn)-集線器傳輸-新建邊緣訂閱8. 測試邊緣訂閱是否成功Start-edgesynchronization 使用此命令強(qiáng)制與邊緣服務(wù)器進(jìn)行AD數(shù)據(jù)的同步Test-edgesynchronization 驗(yàn)證是否與邊緣服務(wù)器的連接及同步是否正常9. 配置完邊緣訂閱后,在中心傳輸服務(wù)器會(huì)自動(dòng)建立2個(gè)發(fā)送連接器用于邊緣服務(wù)器10. 刪除之前中心傳輸服務(wù)器中建立的”連接到internet的發(fā)送連接器”(沒有建立,則此步驟不需要執(zhí)行)11. 將中心傳輸服務(wù)器中DNS的MX記錄指向邊緣傳輸服務(wù)器IP;因?yàn)橥獠渴紫仁沁B接到邊緣傳輸服務(wù)器,再進(jìn)入中心傳輸服務(wù)器可以解析到的MX記錄12. 發(fā)送一封郵件到外

10、部地址 #郵件服務(wù)器安全技術(shù)1. 部署FPE2010主要是為邊緣和中心服務(wù)器提供保護(hù),實(shí)現(xiàn)防病毒,蠕蟲,垃圾郵件主要將FPE部署在中心傳輸服務(wù)器和邊緣傳輸服務(wù)器,客戶端訪問角色服務(wù)器上2. 安裝前準(zhǔn)備(提前安裝.net Framework 3.0 sp1補(bǔ)丁包;本實(shí)驗(yàn)是將FPE2010安裝在中心傳輸服務(wù)器中)安裝完成后重新啟動(dòng)Exchange 2010郵件系統(tǒng)3. 配置FPE20103.1 打開FPE2010主界面3.2 啟動(dòng)實(shí)時(shí)掃描,可以掃描用戶郵箱中是否由病毒或違法了垃圾郵件的規(guī)則的郵件3.3 惡意郵件的處理方式是清理和刪除集線器,即中心傳輸服務(wù)器的實(shí)時(shí)掃描主要是針對(duì)SMTP郵件的入站或出

11、站的電子郵件,從外部進(jìn)入exchange2010,或者從exchange2010到外部進(jìn)行反垃圾或防病毒4. 配置FPE2010的篩選器4.1 阻止員工發(fā)送一些執(zhí)行文件,因?yàn)楹芏嗄抉R類似一些執(zhí)行文件4.2 阻止員工發(fā)送一些包含特定敏感的文字進(jìn)行傳播,比如sexu 創(chuàng)建篩選器列表用戶過濾 u 使用客戶機(jī)測試發(fā)送一封包含exe執(zhí)行文件的郵件 打開文件文件時(shí)出現(xiàn)下面的提示信息5. 配置FPE2010防病毒防病毒主要是針對(duì)此軟件已經(jīng)集成了5個(gè)殺毒引擎為一體,免費(fèi)更新殺毒庫,及時(shí)得到互聯(lián)網(wǎng)的殺毒庫可以設(shè)置更新頻率和更新時(shí)間u 測試發(fā)送病毒郵件 6. 部署Exchange2010郵件加密技術(shù)本節(jié)的郵件加密

12、技術(shù)是使用微軟的S/MIME技術(shù)來實(shí)現(xiàn)的,也就是使用郵件的加密和數(shù)字簽名兩種技術(shù)來實(shí)現(xiàn).S/MIME主要包括以下三點(diǎn):1.exchange2010郵件系統(tǒng)2.PKI數(shù)字證書 2.1 對(duì)稱加密(即,傳統(tǒng)的對(duì)稱加密) 2.2 非對(duì)稱加密(即,公鑰加密技術(shù)) -公鑰,私鑰3.支持S/MIME的客戶端郵件收發(fā)+7. 部署S/MIME應(yīng)用 -客戶機(jī)可以不用加入域1. 安裝CA(實(shí)驗(yàn)環(huán)境可以將CA安裝在擁有exchange2010那臺(tái)主機(jī))2. 在客戶機(jī)登錄3. 選擇”申請(qǐng)證書”-“用戶證書”-“提交”-“安裝此證書”4. 檢查證書(進(jìn)入Internet選項(xiàng)-內(nèi)容-證書)5. 使用outlook或owa形

13、式安裝S/MIME控件測試發(fā)加密郵件#部署DPM服務(wù)器架構(gòu)圖:7 0DC dpm(成員服務(wù)器)1. DPM服務(wù)器安裝需要部署在域的環(huán)境下,不是部署在域控制器中2. 在dc中新建用戶dpm,并加入到域管理組,用加入域的一臺(tái)成員服務(wù)器登錄dpm來安裝DPM服務(wù)器3. 安裝會(huì)重新啟動(dòng)一次服務(wù)器,然后在重新打開DPM安裝位置,手動(dòng)執(zhí)行安裝4. 打開桌面的DPM管理員控制臺(tái)5. 添加DPM備份磁盤;手工添加2塊1000磁盤 6. 向需要被保護(hù)的計(jì)算機(jī)上安裝DPM保護(hù)代理7. #配置DPM數(shù)據(jù)備份服務(wù)器架構(gòu)圖: DCDPM20107

14、01. 創(chuàng)建保護(hù)組 測試DPM保護(hù)與恢復(fù)1. 創(chuàng)建一個(gè)恢復(fù)點(diǎn),用戶恢復(fù)到指定時(shí)間2. 恢復(fù)還原到指定界面刪除D盤ceshi.txt文件后模擬還原 模擬配置保護(hù)exchange2010系統(tǒng)1. 添加exchange2010保護(hù)組 創(chuàng)建一個(gè)用戶testdpm用于測試發(fā)送一些郵件給自己,然后再來創(chuàng)建恢復(fù)點(diǎn). n 在恢復(fù)之前需要?jiǎng)?chuàng)建恢復(fù)數(shù)據(jù)庫,用于保存恢復(fù)數(shù)據(jù),不能直接恢復(fù)到生產(chǎn)數(shù)據(jù)庫創(chuàng)建一個(gè)用戶恢復(fù)的mailbox數(shù)據(jù),用于保存恢復(fù)后的數(shù)據(jù),用戶再從這個(gè)恢復(fù)的數(shù)據(jù)庫中導(dǎo)出數(shù)據(jù)到生產(chǎn)數(shù)據(jù)庫.執(zhí)行恢復(fù)操作 n 從恢復(fù)數(shù)據(jù)庫中導(dǎo)出數(shù)據(jù)到生產(chǎn)庫中合并rdb數(shù)據(jù)庫中的郵件到原來的數(shù)據(jù)庫

15、上面Mount-database rdb重建testdpm郵箱的數(shù)據(jù)Restore-mailbox Identity testdpm recoverydatabase rdb如果知道需要恢復(fù)郵件的主題或者包含什么字體可以使用下面語句恢復(fù):Restore-mailbox identity 用戶名 recoverydatabase rdb subjectkeywords “主題名”#實(shí)驗(yàn)架構(gòu)圖：DFS服務(wù)器/DC/DNS 成員服務(wù)器成員服務(wù)器 1. 安裝DC,文件服務(wù)n 分布式文件系統(tǒng)案例一（統(tǒng)一共享資源）將各個(gè)服務(wù)器創(chuàng)建的共享文件夾添加到命名空間中統(tǒng)一管理和使用，所有人只需要訪問命名空間即可。1

16、. 將2臺(tái)2008系統(tǒng)，分別為file1和file2加入域2. 在file1中新建共享文件夾sales,并設(shè)置該文件夾讓域用戶可以讀寫操作3. 在file2中新建共享文件夾manager,并設(shè)置該文件夾讓域用戶可以讀寫操作4. 在DFS管理中新建2個(gè)文件夾，取名為"銷售部"和"公司管理文檔"5. 分別將sales鏈接到銷售部，manager鏈接到公司管理文檔n 分布式文件系統(tǒng)DFS案例二（DFS冗余）建立兩臺(tái)DFS服務(wù)器，我們可以將輔助DC變成另一臺(tái)DFS服務(wù)器，為企業(yè)DFS提供冗余作業(yè)，避免單點(diǎn)故障1. 在輔助域控制器中安裝分布式文件系統(tǒng)角色服務(wù)（此臺(tái)

17、不創(chuàng)建命名空間）2. 在原來DFS管理再添加一臺(tái)命名空間服務(wù)器。 #部署DFS分布式文件系統(tǒng) 二DFS命名空間支持故障轉(zhuǎn)移功能：在一個(gè)文件夾目標(biāo)發(fā)生故障或從命名空間中刪除后，客戶端嘗試訪問引用中另外一臺(tái)服務(wù)器。如果客戶端沒有配置故障回復(fù)，則不能夠故障回復(fù)到以后的那臺(tái)服務(wù)器DFS復(fù)制：在一個(gè)成員上進(jìn)行的任何更改均將復(fù)制到復(fù)制組的所有成員上。DFS復(fù)制過程中發(fā)生沖突，對(duì)于沖突文件,DFS復(fù)制使用最后寫入者優(yōu)先的沖突解決方式l 部署步驟：1. 一臺(tái)DC，兩臺(tái)成員服務(wù)器加入域，在成員服務(wù)器中創(chuàng)建共享文件夾manager，并設(shè)置只能是“域用戶”可以讀寫2. 在兩臺(tái)成員服務(wù)器中安裝分布式文件系統(tǒng)角色2.

18、添加兩個(gè)文件夾目標(biāo),即兩臺(tái)成員服務(wù)器 驗(yàn)證：診斷報(bào)告向?qū)?#部署微軟平臺(tái)故障轉(zhuǎn)移群集心跳線:檢測兩個(gè)節(jié)點(diǎn)間的存活狀態(tài)仲裁磁盤:用于保存群集配置數(shù)據(jù)庫,實(shí)現(xiàn)數(shù)據(jù)一致性.防止出現(xiàn)群集服務(wù)器同時(shí)對(duì)同一資源實(shí)現(xiàn)爭用.見證盤:保存的數(shù)據(jù)和仲裁盤相同,需要和群集的各個(gè)節(jié)點(diǎn)配合才能完成仲裁的功能.故障轉(zhuǎn)移群集的節(jié)點(diǎn)間仲裁支持模式:1. 節(jié)點(diǎn)多數(shù)仲裁配置(節(jié)點(diǎn)可故障:(總節(jié)點(diǎn)數(shù)/2)四舍五入)-12. 節(jié)點(diǎn)和磁盤多數(shù)仲裁配置(擁有見證盤的時(shí)候,可以故障節(jié)點(diǎn)為總節(jié)點(diǎn)的一半)3. 節(jié)點(diǎn)和文件共享多數(shù)仲裁配置(與上面一種類似,把見證盤改為文件共享)4. 無多數(shù)僅磁盤仲裁配置(使用獨(dú)立的一臺(tái)電腦來作為仲裁盤)部署步驟:1. 每個(gè)節(jié)點(diǎn)需要2塊網(wǎng)卡,一