X X 公司e c o l o g y 項(xiàng)目 Exchange 部署整合方案SUBMITTED BY WEAVER SOFTWARE聯(lián)系人 郭利朋河北區(qū)域項(xiàng)目總監(jiān)Weaver Software石家莊

X X 公司e c o l o g y 項(xiàng)目 Exchange 部署整合方案

SUBMITTED BY WEAVER SOFTWARE

聯(lián)系人 郭利朋

河北區(qū)域項(xiàng)目總監(jiān)

Weaver Software

石家莊市廣安大街鉑金公寓909室

郵政編碼：010000

電話： 86 15303293373

傳真： 86 21 50942278

電郵： guolip1234@163.com

說明

首先非常感謝XX 公司選擇泛微協(xié)同商務(wù)系統(tǒng)（e-cology ）作為企業(yè)信息化平臺(tái)，這是在項(xiàng)目啟動(dòng)后我們提供的EXCHANGE 部署策略。

泛微衷心希望能有機(jī)會(huì)為XX 公司提供服務(wù)，希望泛微的協(xié)同商務(wù)系統(tǒng)能為XX 公司帶來價(jià)值和提升！

聲明：此文件僅供貴司內(nèi)部參考，請(qǐng)勿外傳。此文件的版權(quán)僅限于上海泛微軟件有限公司，未經(jīng)書面許可，任何單位和個(gè)人均不以任何方式透露給第三方公司或個(gè)人。

泛微軟件――協(xié)同商務(wù)的倡導(dǎo)者！

Weaver Software--- A Pioneer of Collaborative Commerce System!

1、 前言

為保證XX 公司協(xié)同系統(tǒng)服務(wù)安全性，由上海泛微軟件公司（以下簡(jiǎn)稱：泛微公司）提供系統(tǒng)安全性相關(guān)方案，XX 公司（以下簡(jiǎn)稱XX 公司）公司承擔(dān)具體EXCHANGE 部署實(shí)施工作，相關(guān)軟硬件平臺(tái)供應(yīng)商提供技術(shù)支持工作。

XX 公司將提供EXCHANGE 部署具體實(shí)施計(jì)劃。并取得XX 公司系統(tǒng)項(xiàng)目負(fù)責(zé)人員的配合，以保證系統(tǒng)的安全穩(wěn)定為前提。

2、 服務(wù)器組成及功用

XX 公司的服務(wù)器組共有三臺(tái)服務(wù)器組成：

3、 方案設(shè)計(jì)思路

背景：

e-cology 可以通過簡(jiǎn)單的配置就實(shí)現(xiàn)和一些主流的目錄服務(wù)器同步用戶信息的功能，在同步用戶信息的同時(shí)，將用戶認(rèn)證功能也交于目錄服務(wù)器實(shí)現(xiàn)。目前常用的目錄服務(wù)器為：微軟的AD 和SUN 的SUN ONE。出于對(duì)WEB 服務(wù)器的安全性的考慮, 同時(shí)考慮到AD 域服務(wù)的廣泛社會(huì)應(yīng)用性，本次系統(tǒng)安全部署采用AD 域安全驗(yàn)證模式。Exchange Server 是個(gè)消息與協(xié)作系統(tǒng)。 簡(jiǎn)單而言，Exchange server可以被用來構(gòu)架應(yīng)用于企業(yè)、學(xué)校的郵件系統(tǒng)甚至于象sohu 或sina 那樣的免費(fèi)郵件系統(tǒng)。Exchange 可以和AD 域進(jìn)行集成部署。

AD 域部署方案（推薦）

總公司搭建主域服務(wù)器（建設(shè)各分公司總的組織OU ），在ecology 部署時(shí)前臺(tái)web 采用分部部署方式即多點(diǎn)web 服務(wù)部署方式，各web 服務(wù)器采用各分公司部署的AD 域配置，各分公司登錄各自的AD 服務(wù)器進(jìn)行域驗(yàn)證，實(shí)現(xiàn)登錄分流及域管理分流，OA 系統(tǒng)和總公司搭建的主域進(jìn)行

信息同步，人員變更及異動(dòng)由AD 主域進(jìn)行控制，分公司通過各自建設(shè)的域服務(wù)器僅進(jìn)行域信息安全驗(yàn)證。

優(yōu)點(diǎn)：因?yàn)樽隽朔植疾渴?，所以有效?shí)現(xiàn)登錄及域驗(yàn)證分流，降低了系統(tǒng)壓力。

缺點(diǎn)：需要磁盤陣列支持，硬件投入較高，因?yàn)橛蚍?wù)器分布于各子公司，不便于人員的統(tǒng)一管理

Exchange 部署方案（推薦）

在此方案中，兩臺(tái)exchange 服務(wù)器分別兼做域控制器和備份域控制器，用戶帳戶信息存儲(chǔ)在兩臺(tái)服務(wù)器上，郵箱數(shù)據(jù)存儲(chǔ)在共享磁盤陣列上，兩臺(tái)exchange 服務(wù)器做MSCS 集群。當(dāng)企業(yè)用戶小于500且投資較少時(shí)，可以建議采用此方案。

方案一配置表

:

使用該方案具有以下優(yōu)點(diǎn)。

1. 安全可靠:在該方案里，域控制器和exchange 服務(wù)器都分別進(jìn)行了備份，使得當(dāng)任意一臺(tái)發(fā)生故障時(shí)，另外一臺(tái)馬上接管服務(wù)，實(shí)現(xiàn)服務(wù)不間斷。

2. 性價(jià)比高: 采用較少數(shù)量的服務(wù)器，實(shí)現(xiàn)了郵件服務(wù)器的功能，并且也實(shí)現(xiàn)了數(shù)據(jù)的備份及恢復(fù)，具有較高的性價(jià)比。

3. 適用于較小的企業(yè): 由于服務(wù)器承擔(dān)了用戶帳號(hào)管理和郵件管理的雙重功能，壓力較大，適用于用戶數(shù)較少的企業(yè)。

Exchange 部署方案二

域控制器和應(yīng)用服務(wù)器獨(dú)立開來，兩個(gè)exchange 服務(wù)器做MSCS 雙機(jī)，提供MAIL 服務(wù)，域控制器做用戶帳號(hào)的管理以及DNS 解析。如果客戶的預(yù)算充足，可以建議用戶做備份域控制器，這樣，可以實(shí)現(xiàn)域控制器和exchange 應(yīng)用服務(wù)器的雙重備份，如果不是很充足，可以定期做域控制器的備份，這樣，當(dāng)域控制器出現(xiàn)故障時(shí)，可以在用戶允許的時(shí)間內(nèi)做用戶帳號(hào)的恢復(fù)。

方案二配置表:

使用方案二具有如下優(yōu)點(diǎn)。

域控制器和應(yīng)用服務(wù)器的應(yīng)用分離，減輕了服務(wù)器的負(fù)擔(dān)，可以承擔(dān)更多的用戶。

安全可靠: 郵件服務(wù)采用MSCS 雙機(jī)高可用方案，操作簡(jiǎn)單，域控制器采用備份控制器，保證業(yè)務(wù)不間斷。

Exchange 部署方案三

方案三適合較大的企業(yè)，并且有較充足的預(yù)算資金。采用多臺(tái)exchange 服務(wù)器集群做后臺(tái)郵件服務(wù)，前端有一臺(tái)服務(wù)器負(fù)責(zé)接收由 POP3、IMAP4 和 RPC/HTTP 客戶端傳來的請(qǐng)求。

方案三配置表

使用方案三具有以下優(yōu)點(diǎn)。

性能靈活擴(kuò)展: 能夠讓用戶在訪問其郵箱時(shí)使用單一的和一致的命名空間。利用單一命名空間，即使添加或刪除服務(wù)器，或者將郵箱從一個(gè)服務(wù)器移到另一個(gè)服務(wù)器，用戶仍然可以使用同一個(gè) URL 或 POP 和 IMAP 客戶端配置。此外，創(chuàng)建單一命名空間可確保 Outlook Web Access 、POP 或 IMAP 訪問在組織擴(kuò)大后仍然保持著可伸縮性。

保證安全，不受病毒侵犯: 用戶可以將前端服務(wù)器作為單一訪問點(diǎn)放在 Internet 防火墻上或 Internet 防火墻之后，并且將 Internet 防火墻配置為只允許從 Internet 到前端的通信。

因?yàn)榍岸朔?wù)器上沒有存儲(chǔ)任何用戶信息，所以，該服務(wù)器為組織提供了額外的安全層。此外，可以將前端服務(wù)器配置為在代理請(qǐng)求之前對(duì)請(qǐng)求進(jìn)行身份驗(yàn)證，這將幫助后端服務(wù)器抵御“拒絕服務(wù)”攻擊。

4、 EXCHANGE 部署實(shí)施方法

可以通過兩種方法來實(shí)現(xiàn)，第一種可以通過Exchange 管理控制臺(tái)來實(shí)現(xiàn)，第二種可以通過Exchange 命令行管理程序來實(shí)現(xiàn)。在執(zhí)行相關(guān)的操作前請(qǐng)確保操作的用戶擁有Exchange 管理員角色。

一、使用 Exchange 管理控制臺(tái)向用戶授予其他用戶郵箱的代理發(fā)送權(quán)限：

1、 在Exchange 2007服務(wù)器上打開管理控制臺(tái)并選擇“收件人配置”。

2、 在結(jié)果窗格中，選擇要向其授予代理發(fā)送權(quán)限的郵箱。

3、 在操作窗格中的郵箱名下，單擊“管理代理發(fā)送權(quán)限”。此時(shí)將打開管理代理發(fā)送權(quán)限向?qū)А?/p>

4、 在“管理代理發(fā)送權(quán)限”頁上，單擊添加。

5、 在“選擇用戶或組”中，選擇要向其授予“代理發(fā)送”權(quán)限的用戶，然后單擊確定。

6、 單擊管理。

7、 在完成頁上，摘要顯示是否已成功授予代理發(fā)送權(quán)限。摘要還顯示用于授予代理發(fā)送權(quán)限的 Exchange 命令行管理程序命令。

8、 單擊完成。

請(qǐng)注意，只有升級(jí)到Exchange 2007 SP1后，才可以執(zhí)行上述的操作，在Exchange 2007 RTM 版本中，需要通過活動(dòng)目錄用戶和計(jì)算機(jī)來實(shí)現(xiàn)。具體的方法如下：

1. 在運(yùn)行 Exchange 的計(jì)算機(jī)上，打開Active Directory 用戶和計(jì)算機(jī)。

2. 在Active Directory 用戶和計(jì)算機(jī)中，在查看菜單上選中高級(jí)功能。

3. 展開域節(jié)點(diǎn)，然后單擊用戶。

4. 右鍵單擊要向其授予“代理發(fā)送”權(quán)限的用戶，然后單擊屬性。

5. 點(diǎn)擊安全，單擊高級(jí)。

6. 在“用戶的高級(jí)安全設(shè)置”中，單擊添加。

7. 在“輸入對(duì)象名稱來選擇”框中，鍵入要向其授予“代理發(fā)送”權(quán)限的郵箱用戶或組的名稱，然后單擊“檢查名稱”以驗(yàn)證此用戶或組，如圖3所示，單擊“確定”。

8. 在“用戶的權(quán)限條目”中，在“應(yīng)用于”列表中，選擇“僅此對(duì)象”。

9. 在“權(quán)限”列表中，找到“代理發(fā)送”，然后選中“允許”復(fù)選框。

10. 單擊“確定”關(guān)閉對(duì)話框。

二、使用 Exchange 命令行管理程序向用戶授予其他用戶郵箱的代理發(fā)送權(quán)限

1.Add-ADPermission “Mailbox ” -User “DomainUser” -Extendedrights “Send As ” 請(qǐng)將Mailbox 替換為需要被代理發(fā)送郵件的賬號(hào)，比如總經(jīng)理的郵箱，將DomainUser替換使用代理權(quán)限的用戶，比如秘書的賬號(hào)。

請(qǐng)注意：只有在發(fā)生復(fù)制之后，才能授予代理發(fā)送權(quán)限。復(fù)制時(shí)間取決于 Microsoft Exchange 和網(wǎng)絡(luò)配置。若要立即授予權(quán)限，請(qǐng)停止然后再重新啟動(dòng) Microsoft Exchange Information Store 服務(wù)，然后檢查結(jié)果如何。

2. 然后打開活動(dòng)目錄用戶和計(jì)算機(jī)，然后右鍵選中rock ，選擇屬性，點(diǎn)擊安全，確認(rèn)rock001已經(jīng)被授予send as 權(quán)限了。

3. 要取消該設(shè)置，只需要運(yùn)行下面的命令：

Remove-ADPermission -Identity rock -User rock001 -AccessRights extendedright -ExtendedRights “send as”

在系統(tǒng)提示的時(shí)候選擇y 即刻完成。

（一） 配置OWA 功能

OWA 實(shí)現(xiàn)

安裝Exchange 之后，檢查Exchange 服務(wù)器的默認(rèn)網(wǎng)站有沒有創(chuàng)建出一個(gè)名為Exchange 的虛擬目錄，如下圖所示。虛擬目錄已被成功創(chuàng)建，我們接下來可以用OWA 測(cè)試一下郵箱的訪問情況。訪問郵箱的語法是 [url]Http://Exchangeserver/exchange/[/url]郵箱名，如果被訪問的郵箱屬于當(dāng)前登錄用戶，直接輸入[url]Http://exchangeserver/exchange[/url]即可。

我們用Istanbul 作為客戶機(jī)，測(cè)試訪問administrator 的郵箱。首先在Istanbul 以

exchtest?ministrator登錄，打開瀏覽器，輸入 [url]Http://berlin/exchange[/url]即可，如下圖所示。由于使用了集成身份驗(yàn)證，Exchange 并沒有要求用戶輸入口令。