AD域及Exchange部署方案解析

1、-. z.*公司ecology項(xiàng)目E*change部署整合方案SUBMITTED BY WEAVER SOFTWARE聯(lián)系人 郭利朋 *區(qū)域項(xiàng)目總監(jiān)Weaver Software*市*大街鉑金公寓909室 郵政編碼：010000傳真：+86 21 50942278電郵： guolip1234163.僅限閱讀 請(qǐng)勿傳播當(dāng)您閱讀本方案時(shí)，即表示您同意不傳播本方案的所有內(nèi)容說(shuō)明首先非常感謝*公司選擇泛微協(xié)同商務(wù)系統(tǒng)（e-cology）作為企業(yè)信息化平臺(tái)，這是在項(xiàng)目啟動(dòng)后我們提供的E*CHANGE部署策略。泛微衷心希望能有機(jī)會(huì)為*公司提供服務(wù)，希望泛微的協(xié)同商務(wù)系統(tǒng)能為*公司帶來(lái)價(jià)值和提升！聲明：此文

2、件僅供貴司內(nèi)部參考，請(qǐng)勿外傳。此文件的僅限于*泛微軟件*，未經(jīng)書(shū)面許可，任何單位和個(gè)人均不以任何方式透露給第三方公司或個(gè)人。泛微軟件協(xié)同商務(wù)的倡導(dǎo)者！Weaver Software- A Pioneer of Collaborative merce System!前言為保證*公司協(xié)同系統(tǒng)服務(wù)安全性，由*泛微軟件公司（以下簡(jiǎn)稱：泛微公司）提供系統(tǒng)安全性相關(guān)方案，*公司（以下簡(jiǎn)稱*公司）公司承擔(dān)具體E*CHANGE部署實(shí)施工作，相關(guān)軟硬件平臺(tái)供應(yīng)商提供技術(shù)支持工作。*公司將提供E*CHANGE部署具體實(shí)施計(jì)劃。并取得*公司系統(tǒng)項(xiàng)目負(fù)責(zé)人員的配合，以保證系統(tǒng)的安全穩(wěn)定為前提。服務(wù)器組成及功用*公司的

3、服務(wù)器組共有三臺(tái)服務(wù)器組成：應(yīng)用系統(tǒng)服務(wù)器配置數(shù)量備注E*CHANGE部署服務(wù)器1Windows平臺(tái)OA前端服務(wù)器內(nèi)存不小于16G1LINU*/WINDOWS/UNI*數(shù)據(jù)庫(kù)服務(wù)器1MS SQL SERVER/ORACLE方案設(shè)計(jì)思路背景：e-cology可以通過(guò)簡(jiǎn)單的配置就實(shí)現(xiàn)和一些主流的目錄服務(wù)器同步用戶信息的功能，在同步用戶信息的同時(shí)，將用戶認(rèn)證功能也交于目錄服務(wù)器實(shí)現(xiàn)。目前常用的目錄服務(wù)器為：微軟的AD和SUN的SUN ONE。出于對(duì)WEB服務(wù)器的安全性的考慮, 同時(shí)考慮到AD域服務(wù)的廣泛社會(huì)應(yīng)用性，本次系統(tǒng)安全部署采用AD域安全驗(yàn)證模式。E*change Server 是個(gè)消息與協(xié)作

4、系統(tǒng)。 簡(jiǎn)單而言，E*change server可以被用來(lái)構(gòu)架應(yīng)用于企業(yè)、學(xué)校的系統(tǒng)甚至于象sohu或sina那樣的免費(fèi)系統(tǒng)。E*change可以和AD域進(jìn)行集成部署。AD域部署方案（推薦）總公司搭建主域服務(wù)器（建設(shè)各分公司總的組織OU），在ecology部署時(shí)前臺(tái)web采用分部部署方式即多點(diǎn)web服務(wù)部署方式，各web服務(wù)器采用各分公司部署的AD域配置，各分公司登錄各自的AD服務(wù)器進(jìn)行域驗(yàn)證，實(shí)現(xiàn)登錄分流及域管理分流，OA系統(tǒng)和總公司搭建的主域進(jìn)行信息同步，人員變更及異動(dòng)由AD主域進(jìn)行控制，分公司通過(guò)各自建設(shè)的域服務(wù)器僅進(jìn)行域信息安全驗(yàn)證。優(yōu)點(diǎn)：因?yàn)樽隽朔植疾渴?，所以有效?shí)現(xiàn)登錄及域驗(yàn)證分流

5、，降低了系統(tǒng)壓力。缺點(diǎn)：需要磁盤(pán)陣列支持，硬件投入較高，因?yàn)橛蚍?wù)器分布于各子公司，不便于人員的統(tǒng)一管理E*change部署方案（推薦）在此方案中，兩臺(tái)e*change服務(wù)器分別兼做域控制器和備份域控制器，用戶*信息存儲(chǔ)在兩臺(tái)服務(wù)器上，數(shù)據(jù)存儲(chǔ)在共享磁盤(pán)陣列上，兩臺(tái)e*change服務(wù)器做MSCS集群。當(dāng)企業(yè)用戶小于500且投資較少時(shí)，可以建議采用此方案。方案一配置表:使用該方案具有以下優(yōu)點(diǎn)。1.安全可靠:在該方案里，域控制器和e*change服務(wù)器都分別進(jìn)行了備份，使得當(dāng)任意一臺(tái)發(fā)生故障時(shí)，另外一臺(tái)馬上接管服務(wù)，實(shí)現(xiàn)服務(wù)不間斷。2.性價(jià)比高: 采用較少數(shù)量的服務(wù)器，實(shí)現(xiàn)了服務(wù)器的功能，并且也

6、實(shí)現(xiàn)了數(shù)據(jù)的備份及恢復(fù)，具有較高的性價(jià)比。3.適用于較小的企業(yè): 由于服務(wù)器承擔(dān)了用戶*管理和管理的雙重功能，壓力較大，適用于用戶數(shù)較少的企業(yè)。E*change部署方案二域控制器和應(yīng)用服務(wù)器獨(dú)立開(kāi)來(lái)，兩個(gè)e*change服務(wù)器做MSCS雙機(jī)，提供MAIL服務(wù)，域控制器做用戶*的管理以及DNS解析。如果客戶的預(yù)算充足，可以建議用戶做備份域控制器，這樣，可以實(shí)現(xiàn)域控制器和e*change應(yīng)用服務(wù)器的雙重備份，如果不是很充足，可以定期做域控制器的備份，這樣，當(dāng)域控制器出現(xiàn)故障時(shí)，可以在用戶允許的時(shí)間內(nèi)做用戶*的恢復(fù)。方案二配置表:使用方案二具有如下優(yōu)點(diǎn)。 域控制器和應(yīng)用服務(wù)器的應(yīng)用分離，減輕了服務(wù)器

7、的負(fù)擔(dān)，可以承擔(dān)更多的用戶。安全可靠: 服務(wù)采用MSCS雙機(jī)高可用方案，操作簡(jiǎn)單，域控制器采用備份控制器，保證業(yè)務(wù)不間斷。E*change部署方案三方案三適合較大的企業(yè)，并且有較充足的預(yù)算資金。采用多臺(tái)e*change服務(wù)器集群做后臺(tái)服務(wù)，前端有一臺(tái)服務(wù)器負(fù)責(zé)接收由 POP3、IMAP4 和 RPC/HTTP 客戶端傳來(lái)的請(qǐng)求。方案三配置表使用方案三具有以下優(yōu)點(diǎn)。性能靈活擴(kuò)展: 能夠讓用戶在訪問(wèn)其時(shí)使用單一的和一致的命名空間。利用單一命名空間，即使添加或刪除服務(wù)器，或者將從一個(gè)服務(wù)器移到另一個(gè)服務(wù)器，用戶仍然可以使用同一個(gè) URL 或 POP 和 IMAP 客戶端配置。此外，創(chuàng)建單一命名空間可

8、確保 Outlook Web Access、POP 或 IMAP 訪問(wèn)在組織擴(kuò)大后仍然保持著可伸縮性。保證安全，不受病毒侵犯: 用戶可以將前端服務(wù)器作為單一訪問(wèn)點(diǎn)放在 Internet 防火墻上或 Internet 防火墻之后，并且將 Internet 防火墻配置為只允許從 Internet 到前端的通信。因?yàn)榍岸朔?wù)器上沒(méi)有存儲(chǔ)任何用戶信息，所以，該服務(wù)器為組織提供了額外的安全層。此外，可以將前端服務(wù)器配置為在代理請(qǐng)求之前對(duì)請(qǐng)求進(jìn)行身份驗(yàn)證，這將幫助后端服務(wù)器抵御拒絕服務(wù)”攻擊。E*CHANGE部署實(shí)施方法可以通過(guò)兩種方法來(lái)實(shí)現(xiàn)，第一種可以通過(guò)E*change 管理控制臺(tái)來(lái)實(shí)現(xiàn)，第二種可以通

9、過(guò)E*change 命令行管理程序來(lái)實(shí)現(xiàn)。在執(zhí)行相關(guān)的操作前請(qǐng)確保操作的用戶擁有E*change管理員角色。一、使用 E*change 管理控制臺(tái)向用戶授予其他用戶的代理發(fā)送權(quán)限：1、 在E*change 2007服務(wù)器上打開(kāi)管理控制臺(tái)并選擇收件人配置”。2、 在結(jié)果窗格中，選擇要向其授予代理發(fā)送權(quán)限的。3、 在操作窗格中的名下，單擊管理代理發(fā)送權(quán)限”。此時(shí)將打開(kāi)管理代理發(fā)送權(quán)限向?qū)А?、 在管理代理發(fā)送權(quán)限”頁(yè)上，單擊添加。5、 在選擇用戶或組”中，選擇要向其授予代理發(fā)送”權(quán)限的用戶，然后單擊確定。6、 單擊管理。7、 在完成頁(yè)上，摘要顯示是否已成功授予代理發(fā)送權(quán)限。摘要還顯示用于授予代理發(fā)

10、送權(quán)限的 E*change 命令行管理程序命令。8、 單擊完成。請(qǐng)注意，只有升級(jí)到E*change 2007 SP1后，才可以執(zhí)行上述的操作，在E*change 2007 RTM版本中，需要通過(guò)活動(dòng)目錄用戶和計(jì)算機(jī)來(lái)實(shí)現(xiàn)。具體的方法如下：1. 在運(yùn)行 E*change 的計(jì)算機(jī)上，打開(kāi)Active Directory 用戶和計(jì)算機(jī)。2. 在Active Directory 用戶和計(jì)算機(jī)中，在查看菜單上選中高級(jí)功能。3. 展開(kāi)域節(jié)點(diǎn)，然后單擊用戶。4. 右鍵單擊要向其授予代理發(fā)送”權(quán)限的用戶，然后單擊屬性。5. 點(diǎn)擊安全，單擊高級(jí)。6. 在用戶的高級(jí)安全設(shè)置”中，單擊添加。7. 在輸入對(duì)象名稱來(lái)

11、選擇”框中，鍵入要向其授予代理發(fā)送”權(quán)限的用戶或組的名稱，然后單擊檢查名稱”以驗(yàn)證此用戶或組，如圖3所示，單擊確定”。8. 在用戶的權(quán)限條目”中，在應(yīng)用于”列表中，選擇僅此對(duì)象”。9. 在權(quán)限”列表中，找到代理發(fā)送”，然后選中允許”復(fù)選框。10. 單擊確定”關(guān)閉對(duì)話框。二、使用 E*change 命令行管理程序向用戶授予其他用戶的代理發(fā)送權(quán)限1.Add-ADPermission Mailbo*” -User DomainUser” -E*tendedrights Send As”請(qǐng)將Mailbo*替換為需要被代理發(fā)送的賬號(hào)，比如總經(jīng)理的，將DomainUser替換使用代理權(quán)限的用戶，比如秘書(shū)的

12、賬號(hào)。請(qǐng)注意：只有在發(fā)生復(fù)制之后，才能授予代理發(fā)送權(quán)限。復(fù)制時(shí)間取決于 Microsoft E*change 和網(wǎng)絡(luò)配置。若要立即授予權(quán)限，請(qǐng)停止然后再重新啟動(dòng) Microsoft E*change Information Store 服務(wù)，然后檢查結(jié)果如何。2.然后打開(kāi)活動(dòng)目錄用戶和計(jì)算機(jī)，然后右鍵選中rock，選擇屬性，點(diǎn)擊安全，確認(rèn)rock001已經(jīng)被授予send as 權(quán)限了。3.要取消該設(shè)置，只需要運(yùn)行下面的命令：Remove-ADPermission -Identity rock -User rock001 -AccessRights e*tendedright -E*tended

13、Rights send as”在系統(tǒng)提示的時(shí)候選擇y即刻完成。配置OWA功能OWA實(shí)現(xiàn)安裝E*change之后，檢查E*change服務(wù)器的默認(rèn)有沒(méi)有創(chuàng)建出一個(gè)名為E*change的虛擬目錄，如下圖所示。虛擬目錄已被成功創(chuàng)建，我們接下來(lái)可以用OWA測(cè)試一下的訪問(wèn)情況。訪問(wèn)的語(yǔ)法是 urlE*changeserver/e*change/url名，如果被訪問(wèn)的屬于當(dāng)前登錄用戶，直接輸入urle*changeserver/e*change/url即可。我們用Istanbul作為客戶機(jī)，測(cè)試訪問(wèn)administrator的。首先在Istanbul以e*chtestadministrator登錄，打開(kāi)瀏

14、覽器，輸入 urlberlin/e*change/url即可，如下圖所示。由于使用了集成身份驗(yàn)證，E*change并沒(méi)有要求用戶輸入口令。進(jìn)入后，我們可以進(jìn)行簡(jiǎn)單的收發(fā)測(cè)試，先給其他用戶發(fā)一封，點(diǎn)擊新建”，從下拉菜單中選擇”，如下圖所示，我們用OWA給wangning發(fā)一封測(cè)試檢查一下wangning的，我們可以看到wangning已經(jīng)收到了測(cè)試給administrator發(fā)一封回信，看看OWA能否接收到檢查管理員的，回信已經(jīng)躺在里了，OWA收發(fā)實(shí)驗(yàn)完成有不少人曾經(jīng)問(wèn)過(guò)這么一個(gè)問(wèn)題，為什么用 urlberlin/e*change/url訪問(wèn)自己的可以使用集成驗(yàn)證，但使用 urlberlin.e

15、*chtest./e*change/url訪問(wèn)時(shí)就被要求輸入用戶名和口令，如下圖所示，為什么呢？ 主要是因?yàn)槭褂猛耆细裼蛎枋鯡*change服務(wù)器時(shí)，如果想使用集成驗(yàn)證，IE 瀏覽器需要把完全合格域名添加到Intranet站點(diǎn)列表中。打開(kāi)IE，在工具”菜單上，單擊Internet 選項(xiàng)”，然后單擊安全”，選擇本地 Intranet”，單擊站點(diǎn)”，點(diǎn)擊高級(jí)”，然后鍵入E*change服務(wù)器的完全合格域名Berlin.e*chtest.，單擊添加”，然后單擊確定。重新用完全合格域名訪問(wèn)一下，是否一切正常了！OWA Over HTTPSOWA用HTTPS對(duì)傳輸數(shù)據(jù)進(jìn)行加密，我們使用時(shí)會(huì)更有安全感

16、。HTTPS的加密過(guò)程大致如下A 客戶機(jī)驗(yàn)證Web服務(wù)器證書(shū)有效性B 客戶機(jī)從Web服務(wù)器證書(shū)中提取公鑰C 客戶機(jī)與Web服務(wù)器約定在接下來(lái)的數(shù)據(jù)傳遞過(guò)程中采用對(duì)稱加密方式，客戶機(jī)將對(duì)稱密鑰用公鑰加密后傳給Web服務(wù)器D 服務(wù)器收到加密的對(duì)稱密鑰，用自己的私鑰解開(kāi)對(duì)稱密鑰E 客戶機(jī)將數(shù)據(jù)用對(duì)稱密鑰加密后傳給Web服務(wù)器F Web服務(wù)器用對(duì)稱密鑰解開(kāi)加密數(shù)據(jù)從以上過(guò)程來(lái)看，SSL采用了對(duì)稱加密和非對(duì)稱加密相結(jié)合的方式，為什么不直接把所有數(shù)據(jù)用公鑰加密傳給Web服務(wù)器呢？主要是因?yàn)閷?duì)稱加密的速度比非對(duì)稱加密快上千倍，兩者結(jié)合可以各自發(fā)揮所長(zhǎng)。實(shí)現(xiàn)HTTPS需要以下步驟：部署CA服務(wù)器Web服務(wù)器申

17、請(qǐng)證書(shū)在Istanbul客戶機(jī)上用HTTPS訪問(wèn)一下試試，在IE中輸入 urlHttps:/berlin.e*chtest./e*change/url，結(jié)果如下圖所示，訪問(wèn)成功。有了HTTPS的支持，我們可以更改OWA的登錄界面，將OWA的登錄方式改為表單式登錄，這樣在一些公共場(chǎng)合（例如網(wǎng)吧）使用時(shí)更加安全。我們可以在E*change服務(wù)器上打開(kāi) 開(kāi)始程序Microsoft E*change系統(tǒng)管理器，右鍵點(diǎn)擊HTTP協(xié)議下的E*change虛擬服務(wù)器，選擇屬性，如下圖所示：在E*change虛擬服務(wù)器屬性中選擇設(shè)置”標(biāo)簽，勾選啟用基于表單的身份驗(yàn)證”，點(diǎn)擊確定”后，E*change服務(wù)器提示

18、啟用此功能需要有SSL支持。啟用OWA表單驗(yàn)證后，試試效果，登錄界面如下圖所示：如果服務(wù)器想強(qiáng)制客戶機(jī)只能使用HTTPS訪問(wèn)，可以在E*change服務(wù)器上打開(kāi)管理工具Internet信息服務(wù)（IIS）管理器默認(rèn)E*change虛擬目錄屬性，在安全通信”控件中選擇編輯”，如下圖所示選擇要求安全通道（SSL）”，這樣客戶機(jī)訪問(wèn)服務(wù)器就只能使用HTTPS了使用OWA修改用戶口令在E*change2000中，用戶可以通過(guò)OWA修改自己的口令，在E*change2003中，似乎沒(méi)有了這一功能。其實(shí)E*change2003仍然可以通過(guò)OWA修改口令，只是需要我們完成以下操作：A E*change的web站點(diǎn)需要申請(qǐng)證書(shū)，這是因?yàn)樾薷目诹顣r(shí)數(shù)據(jù)需要有HTTPS的加密支持，申請(qǐng)證書(shū)的過(guò)程前文已經(jīng)提及，在此不再重復(fù)。B 修改注冊(cè)表，讓口令修改功能重見(jiàn)天日，在E*change服務(wù)器上，運(yùn)行Regedit，定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMSE*changeWE