1、XX公司ecology項目Exchange部署整合方案SUBMITTED BY WEAVER SOFTWARE聯系人 郭利朋 河北區域項目總監Weaver Software石家莊市廣安大街鉑金公寓909室 郵政編碼：010000電話：+86真：+86 21 50942278電郵： guolip1234僅限閱讀 請勿傳播當您閱讀本方案時，即表示您同意不傳播本方案的所有內容1 / 30 說明首先非常感謝XX公司選擇泛微協同商務系統（e-cology）作為企業信息化平臺，這是在項目啟動后我們提供的EXCHANGE部署策略。泛微衷心希望能有機會為XX公司提供服務，希望泛微的協

2、同商務系統能為XX公司帶來價值和提升！聲明：此文件僅供貴司內部參考，請勿外傳。此文件的版權僅限于上海泛微軟件有限公司，未經書面許可，任何單位和個人均不以任何方式透露給第三方公司或個人。泛微軟件協同商務的倡導者！Weaver Software- A Pioneer of Collaborative Commerce System!1、 前言為保證XX公司協同系統服務安全性，由上海泛微軟件公司（以下簡稱：泛微公司）提供系統安全性相關方案，XX公司（以下簡稱XX公司）公司承擔具體EXCHANGE部署實施工作，相關軟硬件平臺供應商提供技術支持工作。XX公司將提供EXCHANGE部署具體實施計劃。并取得

3、XX公司系統項目負責人員的配合，以保證系統的安全穩定為前提。2、 服務器組成及功用XX公司的服務器組共有三臺服務器組成：應用系統服務器配置數量備注EXCHANGE部署服務器 1Windows平臺OA前端服務器內存不小于16G1LINUX/WINDOWS/UNIX數據庫服務器1MS SQL SERVER/ORACLE3、 方案設計思路背景：e-cology可以通過簡單的配置就實現和一些主流的目錄服務器同步用戶信息的功能，在同步用戶信息的同時，將用戶認證功能也交于目錄服務器實現。目前常用的目錄服務器為：微軟的AD和SUN的SUN ONE。出于對WEB服務器的安全性的考慮, 同時考慮到AD域服務的廣

4、泛社會應用性，本次系統安全部署采用AD域安全驗證模式。Exchange Server 是個消息與協作系統。 簡單而言，Exchange server可以被用來構架應用于企業、學校的郵件系統甚至于象sohu或sina那樣的免費郵件系統。Exchange可以和AD域進行集成部署。AD域部署方案（推薦）總公司搭建主域服務器（建設各分公司總的組織OU），在ecology部署時前臺web采用分部部署方式即多點web服務部署方式，各web服務器采用各分公司部署的AD域配置，各分公司登錄各自的AD服務器進行域驗證，實現登錄分流及域管理分流，OA系統和總公司搭建的主域進行信息同步，人員變更及異動由AD主域進行

5、控制，分公司通過各自建設的域服務器僅進行域信息安全驗證。優點：因為做了分布部署，所以有效實現登錄及域驗證分流，降低了系統壓力。缺點：需要磁盤陣列支持，硬件投入較高，因為域服務器分布于各子公司，不便于人員的統一管理Exchange部署方案（推薦）在此方案中，兩臺exchange服務器分別兼做域控制器和備份域控制器，用戶帳戶信息存儲在兩臺服務器上，郵箱數據存儲在共享磁盤陣列上，兩臺exchange服務器做MSCS集群。當企業用戶小于500且投資較少時，可以建議采用此方案。方案一配置表:使用該方案具有以下優點。1.安全可靠:在該方案里，域控制器和exchange服務器都分別進行了備份，使得當任意一臺

6、發生故障時，另外一臺馬上接管服務，實現服務不間斷。2.性價比高: 采用較少數量的服務器，實現了郵件服務器的功能，并且也實現了數據的備份及恢復，具有較高的性價比。3.適用于較小的企業: 由于服務器承擔了用戶帳號管理和郵件管理的雙重功能，壓力較大，適用于用戶數較少的企業。Exchange部署方案二域控制器和應用服務器獨立開來，兩個exchange服務器做MSCS雙機，提供MAIL服務，域控制器做用戶帳號的管理以及DNS解析。如果客戶的預算充足，可以建議用戶做備份域控制器，這樣，可以實現域控制器和exchange應用服務器的雙重備份，如果不是很充足，可以定期做域控制器的備份，這樣，當域控制器出現故障

7、時，可以在用戶允許的時間內做用戶帳號的恢復。方案二配置表:使用方案二具有如下優點。 域控制器和應用服務器的應用分離，減輕了服務器的負擔，可以承擔更多的用戶。安全可靠: 郵件服務采用MSCS雙機高可用方案，操作簡單，域控制器采用備份控制器，保證業務不間斷。Exchange部署方案三方案三適合較大的企業，并且有較充足的預算資金。采用多臺exchange服務器集群做后臺郵件服務，前端有一臺服務器負責接收由 POP3、IMAP4 和 RPC/HTTP 客戶端傳來的請求。方案三配置表使用方案三具有以下優點。性能靈活擴展: 能夠讓用戶在訪問其郵箱時使用單一的和一致的命名空間。利用單一命名空間，即使添加或刪

8、除服務器，或者將郵箱從一個服務器移到另一個服務器，用戶仍然可以使用同一個 URL 或 POP 和 IMAP 客戶端配置。此外，創建單一命名空間可確保 Outlook Web Access、POP 或 IMAP 訪問在組織擴大后仍然保持著可伸縮性。保證安全，不受病毒侵犯: 用戶可以將前端服務器作為單一訪問點放在 Internet 防火墻上或 Internet 防火墻之后，并且將 Internet 防火墻配置為只允許從 Internet 到前端的通信。因為前端服務器上沒有存儲任何用戶信息，所以，該服務器為組織提供了額外的安全層。此外，可以將前端服務器配置為在代理請求之前對請求進行身份驗證，這將幫助

9、后端服務器抵御“拒絕服務”攻擊。4、 EXCHANGE部署實施方法可以通過兩種方法來實現，第一種可以通過Exchange 管理控制臺來實現，第二種可以通過Exchange 命令行管理程序來實現。在執行相關的操作前請確保操作的用戶擁有Exchange管理員角色。一、使用 Exchange 管理控制臺向用戶授予其他用戶郵箱的代理發送權限：1、 在Exchange 2007服務器上打開管理控制臺并選擇“收件人配置”。2、 在結果窗格中，選擇要向其授予代理發送權限的郵箱。3、 在操作窗格中的郵箱名下，單擊“管理代理發送權限”。此時將打開管理代理發送權限向導。4、 在“管理代理發送權限”頁上，單擊添加。

10、5、 在“選擇用戶或組”中，選擇要向其授予“代理發送”權限的用戶，然后單擊確定。6、 單擊管理。7、 在完成頁上，摘要顯示是否已成功授予代理發送權限。摘要還顯示用于授予代理發送權限的 Exchange 命令行管理程序命令。8、 單擊完成。請注意，只有升級到Exchange 2007 SP1后，才可以執行上述的操作，在Exchange 2007 RTM版本中，需要通過活動目錄用戶和計算機來實現。具體的方法如下：1. 在運行 Exchange 的計算機上，打開Active Directory 用戶和計算機。2. 在Active Directory 用戶和計算機中，在查看菜單上選中高級功能。3. 展

11、開域節點，然后單擊用戶。4. 右鍵單擊要向其授予“代理發送”權限的用戶，然后單擊屬性。5. 點擊安全，單擊高級。6. 在“用戶的高級安全設置”中，單擊添加。7. 在“輸入對象名稱來選擇”框中，鍵入要向其授予“代理發送”權限的郵箱用戶或組的名稱，然后單擊“檢查名稱”以驗證此用戶或組，如圖3所示，單擊“確定”。8. 在“用戶的權限條目”中，在“應用于”列表中，選擇“僅此對象”。9. 在“權限”列表中，找到“代理發送”，然后選中“允許”復選框。10. 單擊“確定”關閉對話框。二、使用 Exchange 命令行管理程序向用戶授予其他用戶郵箱的代理發送權限1.Add-ADPermission “Mail

12、box” -User “DomainUser” -Extendedrights “Send As”請將Mailbox替換為需要被代理發送郵件的賬號，比如總經理的郵箱，將DomainUser替換使用代理權限的用戶，比如秘書的賬號。請注意：只有在發生復制之后，才能授予代理發送權限。復制時間取決于 Microsoft Exchange 和網絡配置。若要立即授予權限，請停止然后再重新啟動 Microsoft Exchange Information Store 服務，然后檢查結果如何。2.然后打開活動目錄用戶和計算機，然后右鍵選中rock，選擇屬性，點擊安全，確認rock001已經被授予send as

13、 權限了。3.要取消該設置，只需要運行下面的命令：Remove-ADPermission -Identity rock -User rock001 -AccessRights extendedright -ExtendedRights “send as”在系統提示的時候選擇y即刻完成。（一） 配置OWA功能OWA實現安裝Exchange之后，檢查Exchange服務器的默認網站有沒有創建出一個名為Exchange的虛擬目錄，如下圖所示。虛擬目錄已被成功創建，我們接下來可以用OWA測試一下郵箱的訪問情況。訪問郵箱的語法是 urlHttp:/Exchangeserver/exchange/url郵

14、箱名，如果被訪問的郵箱屬于當前登錄用戶，直接輸入urlHttp:/exchangeserver/exchange/url即可。 我們用Istanbul作為客戶機，測試訪問administrator的郵箱。首先在Istanbul以exchtestadministrator登錄，打開瀏覽器，輸入 urlHttp:/berlin/exchange/url即可，如下圖所示。由于使用了集成身份驗證，Exchange并沒有要求用戶輸入口令。 進入郵箱后，我們可以進行簡單的郵件收發測試，先給其他用戶發一封郵件，點擊“新建”，從下拉菜單中選擇“郵件”，如下圖所示，我們用OWA給wangni

15、ng發一封測試郵件 檢查一下wangning的郵箱，我們可以看到wangning已經收到了測試郵件 給administrator發一封回信，看看OWA能否接收到檢查管理員的郵箱，回信已經躺在郵箱里了，OWA郵件收發實驗完成 有不少人曾經問過這么一個問題，為什么用 urlHttp:/berlin/exchange/url訪問自己的郵箱可以使用集成驗證，但使用 urlHttp:/  主要是因為使用完全合格域名描述Exchange服務器時，如果想使用集成驗證，IE 瀏覽器需要把完全合格域名添加到Intranet站點列表中。打開IE，在“工具”菜單上，單擊“In

16、ternet 選項”，然后單擊“安全”，選擇“本地 Intranet”，單擊“站點”，點擊“高級”，然后鍵入Exchange服務器的完全合格域名B，單擊“添加”，然后單擊“確定。重新用完全合格域名訪問一下，是否一切正常了！OWA  Over  HTTPSOWA用HTTPS對傳輸數據進行加密，我們使用時會更有安全感。HTTPS的加密過程大致如下A  客戶機驗證Web服務器證書有效性B  客戶機從Web服務器證書中提取公鑰C  客戶機與Web服務器約定在接下來的數據傳遞過程中采用對稱加密方式，客戶機將對稱密鑰用公鑰加密后傳給Web服務器D 

17、; 服務器收到加密的對稱密鑰，用自己的私鑰解開對稱密鑰E  客戶機將數據用對稱密鑰加密后傳給Web服務器F  Web服務器用對稱密鑰解開加密數據 從以上過程來看，SSL采用了對稱加密和非對稱加密相結合的方式，為什么不直接把所有數據用公鑰加密傳給Web服務器呢？主要是因為對稱加密的速度比非對稱加密快上千倍，兩者結合可以各自發揮所長。 實現HTTPS需要以下步驟：部署CA服務器Web服務器申請證書 在Istanbul客戶機上用HTTPS訪問一下郵箱試試，在IE中輸入 urlHttps:/ 有了HTTPS的支持，我們可以更改OWA的登錄界面

18、，將OWA的登錄方式改為表單式登錄，這樣在一些公共場合（例如網吧）使用時更加安全。我們可以在Exchange服務器上打開  開始程序Microsoft Exchange系統管理器，右鍵點擊HTTP協議下的Exchange虛擬服務器，選擇屬性，如下圖所示： 在Exchange虛擬服務器屬性中選擇“設置”標簽，勾選“啟用基于表單的身份驗證”，點擊“確定”后，Exchange服務器提示啟用此功能需要有SSL支持。 啟用OWA表單驗證后，試試效果，登錄界面如下圖所示： 如果服務器想強制客戶機只能使用HTTPS訪問，可以在Exchange服務器上打開管理工具Int

19、ernet信息服務（IIS）管理器默認網站Exchange虛擬目錄屬性，在“安全通信”控件中選擇“編輯”，如下圖所示選擇“要求安全通道（SSL）”，這樣客戶機訪問服務器就只能使用HTTPS了使用OWA修改用戶口令在Exchange2000中，用戶可以通過OWA修改自己的口令，在Exchange2003中，似乎沒有了這一功能。其實Exchange2003仍然可以通過OWA修改口令，只是需要我們完成以下操作：A  Exchange的web站點需要申請證書，這是因為修改口令時數據需要有HTTPS的加密支持，申請證書的過程前文已經提及，在此不再重復。B  修改注冊表，讓口令修改功能

20、重見天日，在Exchange服務器上，運行Regedit，定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMSExchangeWEBOWA，如下圖所示，將“DisablePassword”的鍵值從1 改為 0 修改完注冊表，無需重啟服務，我們用OWA進入用戶郵箱后，點擊左下角的“選項”，在右側界面中我們就可以看到“更改密碼”的提示了，如下圖所示。不過不要著急，現在此項功能還不能使用，我們還欠缺最后一步。  C  在Exchange服務器的默認Web站點中手工創建一個虛擬目錄，在Exchange服務器

21、上，打開管理工具Internet信息服務（IIS）管理器，右鍵單擊“默認網站”，選擇新建虛擬目錄，如下圖所示  虛擬目錄的名稱設置為 IISADMPWD 虛擬目錄對應的物理路徑為 c:windowssystem32inetsrviisadmpwd 權限設置取默認值即可，創建虛擬目錄完畢后，試試修改口令的功能，點擊OWA中的修改口令，如下圖所示，設置成功！5、 OWA單點登錄方案利用泛微軟件單點登錄模塊單點登錄OWA，登錄參數如下：<form action=" method="post" name="logonForm" autocomplete="off"> <input type="hidden" name="destination" value=" <input type="hidden&