务实技术讲座系列..ppt

务实技术讲座系列 如何部署Exchange 2000 和ISA 2000构建应用 内容安排 AD 和 exchange 2000 网络设计 连接Internet 安全 Active Directory 在企业中 域和 OUs 组成层次化管理结构 多个域可以组成 树-Trees 森林-Forests Active Directory Schema 域-Domains 一个域是个安全边界 一个域的管理员只能管理本域内的资源, 除非明确被其他域授权 一个域是一个复制的单元 一个域的域控制器参与复制并包含这个域的完整的目录信息 Global Catalog 站点结构 站点拓扑结构举例 Active Directory 森林 存放 Exchange 2000 Data数据 Active Directory 数据库大小 User Principle Names Exchange 2000 访问 Active Directory 发现和定义Directory Service Servers Exchange 2000 和 AD 站点设计 Windows 2000 站点不影响 Exchange 2000 Exchange 信息路由基于路由组 路由组设计决定与 Active Directory 站点非常相似 每个站点只能由一个活动的数据会议的会议管理器 服务定位 用户端需要下列服务 DNS Domain Controller Global Catalog DNS 和 Active Directory 用户端使用 DNS 定位Active Directory services Active Directory DNS RFC 要求 必须支持 SRV 记录, RFC 2052 应该支持 DHCP 动态更新, RFC 2136 应该支持 Incremental Zone Transfer, RFC 1995 Exchange servers 使用 DNS 定位其他Exchange servers Exchange 用户使用 DNS 定位 Exchange servers 考虑 DNS 与 AD 集成 Domain Controller 放置 Windows 2000 用户访问基于 Active Directory 站点 每个站点放置多个域控制器提供冗余 Global Catalog Server 放置 Exchange 用户端使用 GC 定位 Exchange Directory Services Exchange 5.0 用户端, Outlook 97/98 由Exchange server 代理 Outlook 2000 直接访问 Exchange directory services 网络设计 网络状况 典型网络分布 部署AD-多域 服务器放置 服务器配置 域控制器 P3 500, 1G 内存 磁盘 1 个 18G –系统 邮件服务器 磁盘 1 个 18G –系统，3 个80G –邮件数据库 如果可能可采用AA集群—北京 网络连接 AD Site link –站点连接 BJ SH BJ GZ SH GZ BJ CD Exchange 2000 路由组 与AD Site Link 匹配 管理组 与路由组匹配 Internet 出口北京，成都 通过VPN建立请求拨号连接 请求拨号路由 请求拨号路由 请求拨号路由 请求拨号路由 请求拨号路由 请求拨号路由 请求拨号路由 创建和配置存储组 备份恢复 /Exchange/techinfo/deployment/2000/E2Krecovery.asp Connect Exchange 2000 to Internet DNS 和 SMTP 部署防火墙- 小型网络或分公司的配置 访问策略规则 - IP封包, 应用程式, 使用者, 群组等的存取规则 带宽规则 - 不同Internet request所分配不同带宽的规则 发布规则 - 将Internet服务(如web,ftp,mail)透过防火墙 的保护公布給外界大众 入侵检测 - 防火墙入侵监测与警示 监视和日志 – 进出流量分析与报表 Web 缓存-所有放火墙的安全策存内容略会被自动应用到缓存内容之上 蜂巢式安全防护体系 配置内部邮件路由到internet 制定北京的一台服务器作为SMTP桥头堡连接到防火墙的内部IP 地址 上海、广州和北京的另一台服务器设定Smart Host，指到 SMTP 桥头堡服务器 成都exchange 可以直接指到本地防火墙 Secure SMTP Server Secure relay settings Best Practice: Default settings