AD域及Exchange部署方案

X X 公司e c o l o g y 项目 Exchange 部署整合方案SUBMITTED BY WEAVER SOFTWARE联系人 郭利朋河北区域项目总监Weaver Software石家庄

X X 公司e c o l o g y 项目 Exchange 部署整合方案

SUBMITTED BY WEAVER SOFTWARE

联系人 郭利朋

河北区域项目总监

Weaver Software

石家庄市广安大街铂金公寓909室

邮政编码：010000

电话： 86 15303293373

传真： 86 21 50942278

电邮： guolip1234@163.com

说明

首先非常感谢XX 公司选择泛微协同商务系统（e-cology ）作为企业信息化平台，这是在项目启动后我们提供的EXCHANGE 部署策略。

泛微衷心希望能有机会为XX 公司提供服务，希望泛微的协同商务系统能为XX 公司带来价值和提升！

声明：此文件仅供贵司内部参考，请勿外传。此文件的版权仅限于上海泛微软件有限公司，未经书面许可，任何单位和个人均不以任何方式透露给第三方公司或个人。

泛微软件――协同商务的倡导者！

Weaver Software--- A Pioneer of Collaborative Commerce System!

1、 前言

为保证XX 公司协同系统服务安全性，由上海泛微软件公司（以下简称：泛微公司）提供系统安全性相关方案，XX 公司（以下简称XX 公司）公司承担具体EXCHANGE 部署实施工作，相关软硬件平台供应商提供技术支持工作。

XX 公司将提供EXCHANGE 部署具体实施计划。并取得XX 公司系统项目负责人员的配合，以保证系统的安全稳定为前提。

2、 服务器组成及功用

XX 公司的服务器组共有三台服务器组成：

3、 方案设计思路

背景：

e-cology 可以通过简单的配置就实现和一些主流的目录服务器同步用户信息的功能，在同步用户信息的同时，将用户认证功能也交于目录服务器实现。目前常用的目录服务器为：微软的AD 和SUN 的SUN ONE。出于对WEB 服务器的安全性的考虑, 同时考虑到AD 域服务的广泛社会应用性，本次系统安全部署采用AD 域安全验证模式。Exchange Server 是个消息与协作系统。 简单而言，Exchange server可以被用来构架应用于企业、学校的邮件系统甚至于象sohu 或sina 那样的免费邮件系统。Exchange 可以和AD 域进行集成部署。

AD 域部署方案（推荐）

总公司搭建主域服务器（建设各分公司总的组织OU ），在ecology 部署时前台web 采用分部部署方式即多点web 服务部署方式，各web 服务器采用各分公司部署的AD 域配置，各分公司登录各自的AD 服务器进行域验证，实现登录分流及域管理分流，OA 系统和总公司搭建的主域进行

信息同步，人员变更及异动由AD 主域进行控制，分公司通过各自建设的域服务器仅进行域信息安全验证。

优点：因为做了分布部署，所以有效实现登录及域验证分流，降低了系统压力。

缺点：需要磁盘阵列支持，硬件投入较高，因为域服务器分布于各子公司，不便于人员的统一管理

Exchange 部署方案（推荐）

在此方案中，两台exchange 服务器分别兼做域控制器和备份域控制器，用户帐户信息存储在两台服务器上，邮箱数据存储在共享磁盘阵列上，两台exchange 服务器做MSCS 集群。当企业用户小于500且投资较少时，可以建议采用此方案。

方案一配置表

:

使用该方案具有以下优点。

1. 安全可靠:在该方案里，域控制器和exchange 服务器都分别进行了备份，使得当任意一台发生故障时，另外一台马上接管服务，实现服务不间断。

2. 性价比高: 采用较少数量的服务器，实现了邮件服务器的功能，并且也实现了数据的备份及恢复，具有较高的性价比。

3. 适用于较小的企业: 由于服务器承担了用户帐号管理和邮件管理的双重功能，压力较大，适用于用户数较少的企业。

Exchange 部署方案二

域控制器和应用服务器独立开来，两个exchange 服务器做MSCS 双机，提供MAIL 服务，域控制器做用户帐号的管理以及DNS 解析。如果客户的预算充足，可以建议用户做备份域控制器，这样，可以实现域控制器和exchange 应用服务器的双重备份，如果不是很充足，可以定期做域控制器的备份，这样，当域控制器出现故障时，可以在用户允许的时间内做用户帐号的恢复。

方案二配置表:

使用方案二具有如下优点。

域控制器和应用服务器的应用分离，减轻了服务器的负担，可以承担更多的用户。

安全可靠: 邮件服务采用MSCS 双机高可用方案，操作简单，域控制器采用备份控制器，保证业务不间断。

Exchange 部署方案三

方案三适合较大的企业，并且有较充足的预算资金。采用多台exchange 服务器集群做后台邮件服务，前端有一台服务器负责接收由 POP3、IMAP4 和 RPC/HTTP 客户端传来的请求。

方案三配置表

使用方案三具有以下优点。

性能灵活扩展: 能够让用户在访问其邮箱时使用单一的和一致的命名空间。利用单一命名空间，即使添加或删除服务器，或者将邮箱从一个服务器移到另一个服务器，用户仍然可以使用同一个 URL 或 POP 和 IMAP 客户端配置。此外，创建单一命名空间可确保 Outlook Web Access 、POP 或 IMAP 访问在组织扩大后仍然保持着可伸缩性。

保证安全，不受病毒侵犯: 用户可以将前端服务器作为单一访问点放在 Internet 防火墙上或 Internet 防火墙之后，并且将 Internet 防火墙配置为只允许从 Internet 到前端的通信。

因为前端服务器上没有存储任何用户信息，所以，该服务器为组织提供了额外的安全层。此外，可以将前端服务器配置为在代理请求之前对请求进行身份验证，这将帮助后端服务器抵御“拒绝服务”攻击。

4、 EXCHANGE 部署实施方法

可以通过两种方法来实现，第一种可以通过Exchange 管理控制台来实现，第二种可以通过Exchange 命令行管理程序来实现。在执行相关的操作前请确保操作的用户拥有Exchange 管理员角色。

一、使用 Exchange 管理控制台向用户授予其他用户邮箱的代理发送权限：

1、 在Exchange 2007服务器上打开管理控制台并选择“收件人配置”。

2、 在结果窗格中，选择要向其授予代理发送权限的邮箱。

3、 在操作窗格中的邮箱名下，单击“管理代理发送权限”。此时将打开管理代理发送权限向导。

4、 在“管理代理发送权限”页上，单击添加。

5、 在“选择用户或组”中，选择要向其授予“代理发送”权限的用户，然后单击确定。

6、 单击管理。

7、 在完成页上，摘要显示是否已成功授予代理发送权限。摘要还显示用于授予代理发送权限的 Exchange 命令行管理程序命令。

8、 单击完成。

请注意，只有升级到Exchange 2007 SP1后，才可以执行上述的操作，在Exchange 2007 RTM 版本中，需要通过活动目录用户和计算机来实现。具体的方法如下：

1. 在运行 Exchange 的计算机上，打开Active Directory 用户和计算机。

2. 在Active Directory 用户和计算机中，在查看菜单上选中高级功能。

3. 展开域节点，然后单击用户。

4. 右键单击要向其授予“代理发送”权限的用户，然后单击属性。

5. 点击安全，单击高级。

6. 在“用户的高级安全设置”中，单击添加。

7. 在“输入对象名称来选择”框中，键入要向其授予“代理发送”权限的邮箱用户或组的名称，然后单击“检查名称”以验证此用户或组，如图3所示，单击“确定”。

8. 在“用户的权限条目”中，在“应用于”列表中，选择“仅此对象”。

9. 在“权限”列表中，找到“代理发送”，然后选中“允许”复选框。

10. 单击“确定”关闭对话框。

二、使用 Exchange 命令行管理程序向用户授予其他用户邮箱的代理发送权限

1.Add-ADPermission “Mailbox ” -User “DomainUser” -Extendedrights “Send As ” 请将Mailbox 替换为需要被代理发送邮件的账号，比如总经理的邮箱，将DomainUser替换使用代理权限的用户，比如秘书的账号。

请注意：只有在发生复制之后，才能授予代理发送权限。复制时间取决于 Microsoft Exchange 和网络配置。若要立即授予权限，请停止然后再重新启动 Microsoft Exchange Information Store 服务，然后检查结果如何。

2. 然后打开活动目录用户和计算机，然后右键选中rock ，选择属性，点击安全，确认rock001已经被授予send as 权限了。

3. 要取消该设置，只需要运行下面的命令：

Remove-ADPermission -Identity rock -User rock001 -AccessRights extendedright -ExtendedRights “send as”

在系统提示的时候选择y 即刻完成。

（一） 配置OWA 功能

OWA 实现

安装Exchange 之后，检查Exchange 服务器的默认网站有没有创建出一个名为Exchange 的虚拟目录，如下图所示。虚拟目录已被成功创建，我们接下来可以用OWA 测试一下邮箱的访问情况。访问邮箱的语法是 [url]Http://Exchangeserver/exchange/[/url]邮箱名，如果被访问的邮箱属于当前登录用户，直接输入[url]Http://exchangeserver/exchange[/url]即可。

我们用Istanbul 作为客户机，测试访问administrator 的邮箱。首先在Istanbul 以

exchtest�ministrator登录，打开浏览器，输入 [url]Http://berlin/exchange[/url]即可，如下图所示。由于使用了集成身份验证，Exchange 并没有要求用户输入口令。