SANGFOR WOC v9.度渠道高级认证培训05 EXCHANGE优化案例.ppt

Exchange测试注意事项和排错 1、Exchange服务器最新版本是Exchange2013，WOC哪个版本开始支持优化？ 注意：WOC8.2及其以后版本新增支持Exchange2013，WOC8.1R1SP2只支持Exchange2007/Exchange2010。 2、测试Exchange优化，建议用哪个版本？ 注意：建议用WOC9.1版本，WOC9.1对Exchange认证优化和域认证报错等都有了相应改进，如果不能升级到该版本，至少用WOC8.1R1SP2版本。 Exchange测试注意事项和排错 3、如果客户PC认证方式用的是协商认证，那我如何知道当前PC的认证方式到底是协商的NTLM、NTLMV2还是协商的kerberos认证？ 注意：当前客户PC一般用的都是win7以上系统，默认自动协商会强制成NTLMV2认证方式，所以需要用委派模式并且启用NTLMV2认证，如果是XP电脑，可以通过在电脑上抓包判断对应的认证方式来选择WOC到底用哪种模式进行优化了，假设协商的是kerberos认证，抓包如下： Exchange测试注意事项和排错 4、WOC设备加入域不成功。 注意：a、WOC的首选DNS地址要设置成域控DC的IP地址； b、加入域的账号需要有权限加入域； 5、客户使用kerberos认证，WOC系统时间和域控时间相差超过30S导致加速bypass。 注意：Kerberos对于时间同步要求较高，所以在配置委派用户前需要确保网关的时间与域控制器的时间相差不超过30秒，而且时区与域控制器上的时区一致。 培训内容 培训目标 Exchange优化手段 1.掌握Exchange优化手段 Exchange配置注意事项 Exchange优化网络环境确认和配置注意事项 Exchange优化案例 SANGFOR WOC PPT 模板 Exchange加速优化 Exchange环境拓扑 Exchange的一个常见环境拓扑图 Exchange环境确认 1、客户内网客户端PC是什么版本系统，Exchange服务器是什么版本系统，对于不同的版本系统环境，该如何选择认证优化方式？ 说明：WOC有两种认证模式，分别为自动协商模式和委派模式。下表为各模式支持的场景。 客户端操作系统 认证协议 自动协商模式 委派模式 XP NTLM/协商的NTLM/协商的kerberos 支持 支持 XP NTLMv2/协商的NTLMv2 不支持 支持，但需要 Vista/Windows 7 NTLM 支持 支持 Vista/Windows 7 NTLMv2/协商的NTLM/协商的NTLMv2 不支持 支持，但需要 Vista/Windows 7 协商的kerberos 不支持 支持 所有 强制Kerberos（不允许协商） 不支持 不支持 举个例子来说，比如客户端是win7操作系统，Exchange服务器是2010，默认win7客户端是使用NTLMV2协议进行协商，所以需要用委派模式，并且启用NTLMV2。（客户网络中客户存在XP和WIN7系统，如果WIN7系统多，建议都用委派模式） Exchange环境确认 2、只要涉及到Exchange优化，服务端WOC设备就需要加入域（分支端WOC不用加入域），那么加入域的用户名是否必须要超级管理员的权限？ 说明：客户能给具有Administrator权限组的用户最好，如果客户只能给一个普通domain user的域用户，那么可以参考以下该连接，让设备加入域。 普通用户加入域参考链接：　/Forums/projectserver/zh-CN/0d9e9624-84e8-4b71-8dc1-3377659399b2 Exchange测试案例一 启用自动协商模式进行Exchange优化： 说明：客户网络环境：PC客户端是XP系统，Exchange服务器是2003系统，采用的是协商的NTLM认证，根据场景表得知WOC可以直接用自动协商模式进行优化，客户拓扑图如上： Exchange测试案例一--设备加入域 1、WOC设备加入域，测试中，只需要服务端WOC设备加入域即可，如下图； Exchange测试案例一--启用Exchange代理 2、加入域成功后，分支和总部WOC设备都启用Exchange代理，并且选择自动协商模式，如下图： Exchange测试案例一--配置加速策略 3、总部创建加速用户、加速策略组和加速策略，分支WOC进行加速连接即可，此处配置忽略； Exchange测试案例一--outlook客户端配置 4、Outlook默认是协商认证，需要修改为NTLM认证，以outlook2007为例说明，如图：（如果默认协商成NTLM认证也可以） 点击工具--账