AD域及Exchange部署方案解析

admin管理员组

文章数量:1532460

2024年7月11日发(作者：)

仅限阅读 请勿传播

当您阅读本方案时，即表示您

同意不传播本方案的所有内容

XX公司ecology项目

Exchange部署整合方案

SUBMITTED BY WEAVER SOFTWARE

联系人 郭利朋

河北区域项目总监

Weaver Software

石家庄市广安大街铂金公寓909室

邮政编码：010000

电话：+86

传真：+86 21 50942278

电邮：

说明

首先非常感谢XX公司选择泛微协同商务系统（e-cology）作为企业信息化平台，这是在项

目启动后我们提供的EXCHANGE部署策略。

泛微衷心希望能有机会为XX公司提供服务，希望泛微的协同商务系统能为XX公司带来价值

和提升！

声明：此文件仅供贵司内部参考，请勿外传。此文件的版权仅限于上海泛微软件有限公司，未

经书面许可，任何单位和个人均不以任何方式透露给第三方公司或个人。

泛微软件――协同商务的倡导者！

Weaver Software--- A Pioneer of Collaborative Commerce System!

1

为保证XX公司协同系统服务安全性，由上海泛微软件公司（以下简称：泛微公司）提供系

统安全性相关方案，XX公司（以下简称XX公司）公司承担具体EXCHANGE部署实施工作，

相关软硬件平台供应商提供技术支持工作。

XX公司将提供EXCHANGE部署具体实施计划。并取得XX公司系统项目负责人员的配合，

以保证系统的安全稳定为前提。

2

XX公司的服务器组共有三台服务器组成：

应用系统

EXCHANGE部署服

务器

OA前端服务器

服务器配置 数量

1

备注

Windows平台

LINUX/WINDOWS/UNI

X

MS SQL

SERVER/ORACLE

内存不小于16G 1

数据库服务器

3、 方案设计思路

背景：

1

e-cology可以通过简单的配置就实现和一些主流的目录服务器同步用户信息的功能，在同

步用户信息的同时，将用户认证功能也交于目录服务器实现。目前常用的目录服务器为：微软的

AD和SUN的SUN ONE。出于对WEB服务器的安全性的考虑, 同时考虑到AD域服务的广泛社会应

用性，本次系统安全部署采用AD域安全验证模式。Exchange Server 是个消息与协作系统。 简

单而言，Exchange server可以被用来构架应用于企业、学校的邮件系统甚至于象sohu或sina

那样的免费邮件系统。Exchange可以和AD域进行集成部署。

AD域部署方案（推荐）

总公司搭建主域服务器（建设各分公司总的组织OU），在ecology部署时前台web采用分部

部署方式即多点web服务部署方式，各web服务器采用各分公司部署的AD域配置，各分公司登

录各自的AD服务器进行域验证，实现登录分流及域管理分流，OA系统和总公司搭建的主域进行

信息同步，人员变更及异动由AD主域进行控制，分公司通过各自建设的域服务器仅进行域信息

安全验证。

优点：因为做了分布部署，所以有效实现登录及域验证分流，降低了系统压力。

缺点：需要磁盘阵列支持，硬件投入较高，因为域服务器分布于各子公司，不便于人员的统

一管理

Exchange部署方案（推荐）

在此方案中，两台exchange服务器分别兼做域控制器和备份域控制器，用户帐户信息存储在两

台服务器上，邮箱数据存储在共享磁盘阵列上，两台exchange服务器做MSCS集群。当企业用户

小于500且投资较少时，可以建议采用此方案。

方案一配置表:

使用该方案具有以下优点。

1.安全可靠:在该方案里，域控制器和exchange服务器都分别进行了备份，使得当任意一台

发生故障时，另外一台马上接管服务，实现服务不间断。

2.性价比高: 采用较少数量的服务器，实现了邮件服务器的功能，并且也实现了数据的备份

及恢复，具有较高的性价比。

3.适用于较小的企业: 由于服务器承担了用户帐号管理和邮件管理的双重功能，压力较大，

适用于用户数较少的企业。

Exchange部署方案二

域控制器和应用服务器独立开来，两个exchange服务器做MSCS双机，提供MAIL服务，域

控制器做用户帐号的管理以及DNS解析。如果客户的预算充足，可以建议用户做备份域控制器，

这样，可以实现域控制器和exchange应用服务器的双重备份，如果不是很充足，可以定期做域

控制器的备份，这样，当域控制器出现故障时，可以在用户允许的时间内做用户帐号的恢复。

方案二配置表:

使用方案二具有如下优点。

域控制器和应用服务器的应用分离，减轻了服务器的负担，可以承担更多的用户。

安全可靠: 邮件服务采用MSCS双机高可用方案，操作简单，域控制器采用备份控制器，保

证业务不间断。

Exchange部署方案三

方案三适合较大的企业，并且有较充足的预算资金。采用多台exchange服务器集群做后台

邮件服务，前端有一台服务器负责接收由 POP3、IMAP4 和 RPC/HTTP 客户端传来的请求。

方案三配置表

使用方案三具有以下优点。

性能灵活扩展: 能够让用户在访问其邮箱时使用单一的和一致的命名空间。利用单一命名空

间，即使添加或删除服务器，或者将邮箱从一个服务器移到另一个服务器，用户仍然可以使用同

一个 URL 或 POP 和 IMAP 客户端配置。此外，创建单一命名空间可确保 Outlook Web Access、

POP 或 IMAP 访问在组织扩大后仍然保持着可伸缩性。

保证安全，不受病毒侵犯: 用户可以将前端服务器作为单一访问点放在 Internet 防火墙上

或 Internet 防火墙之后，并且将 Internet 防火墙配置为只允许从 Internet 到前端的通信。

因为前端服务器上没有存储任何用户信息，所以，该服务器为组织提供了额外的安全层。此外，

可以将前端服务器配置为在代理请求之前对请求进行身份验证，这将帮助后端服务器抵御“拒绝

服务”攻击。

4

可以通过两种方法来实现，第一种可以通过Exchange 管理控制台来实现，第二种可以通

过Exchange 命令行管理程序来实现。在执行相关的操作前请确保操作的用户拥有Exchange管

理员角色。

一、使用 Exchange 管理控制台向用户授予其他用户邮箱的代理发送权限：

1、 在Exchange 2007服务器上打开管理控制台并选择“收件人配置”。

2、 在结果窗格中，选择要向其授予代理发送权限的邮箱。

3、 在操作窗格中的邮箱名下，单击“管理代理发送权限”。此时将打开管理代理发送权

限向导。

4、 在“管理代理发送权限”页上，单击添加。

5、 在“选择用户或组”中，选择要向其授予“代理发送”权限的用户，然后单击确定。

6、 单击管理。

7、 在完成页上，摘要显示是否已成功授予代理发送权限。摘要还显示用于授予代理发送

权限的 Exchange 命令行管理程序命令。

8、 单击完成。

请注意，只有升级到Exchange 2007 SP1后，才可以执行上述的操作，在Exchange 2007 RTM

版本中，需要通过活动目录用户和计算机来实现。具体的方法如下：

1. 在运行 Exchange 的计算机上，打开Active Directory 用户和计算机。

2. 在Active Directory 用户和计算机中，在查看菜单上选中高级功能。

3. 展开域节点，然后单击用户。

4. 右键单击要向其授予“代理发送”权限的用户，然后单击属性。

5. 点击安全，单击高级。

6. 在“用户的高级安全设置”中，单击添加。

7. 在“输入对象名称来选择”框中，键入要向其授予“代理发送”权限的邮箱用户或组的

名称，然后单击“检查名称”以验证此用户或组，如图3所示，单击“确定”。

8. 在“用户的权限条目”中，在“应用于”列表中，选择“仅此对象”。

9. 在“权限”列表中，找到“代理发送”，然后选中“允许”复选框。

10. 单击“确定”关闭对话框。

二、使用 Exchange 命令行管理程序向用户授予其他用户邮箱的代理发送权限

-ADPermission “Mailbox” -User “DomainUser” -Extendedrights “Send As”

请将Mailbox替换为需要被代理发送邮件的账号，比如总经理的邮箱，将DomainUser替

换使用代理权限的用户，比如秘书的账号。

请注意：只有在发生复制之后，才能授予代理发送权限。复制时间取决于 Microsoft

Exchange 和网络配置。若要立即授予权限，请停止然后再重新启动 Microsoft Exchange

Information Store 服务，然后检查结果如何。

2.然后打开活动目录用户和计算机，然后右键选中rock，选择属性，点击安全，确认rock001

已经被授予send as 权限了。

3.要取消该设置，只需要运行下面的命令：

Remove-ADPermission -Identity rock -User rock001 -AccessRights extendedright

-ExtendedRights “send as”

在系统提示的时候选择y即刻完成。

（一） 配置OWA功能

OWA实现

安装Exchange之后，检查Exchange服务器的默认网站有没有创建出一个名为Exchange的虚拟

目录，如下图所示。虚拟目录已被成功创建，我们接下来可以用OWA测试一下邮箱的访问情况。

访问邮箱的语法是 [url][/url]邮箱名，如果被访问的邮箱属于当前登录用户，直接输入

[url][/url]即可。

我们用Istanbul作为客户机，测试访问administrator的邮箱。首先在Istanbul以

exchtestadministrator登录，打开浏览器，输入 [url][/url]即可，如下图所示。由于使用

了集成身份验证，Exchange并没有要求用户输入口令。

进入邮箱后，我们可以进行简单的邮件收发测试，先给其他用户发一封邮件，点击“新建”，从

下拉菜单中选择“邮件”，如下图所示，我们用OWA给wangning发一封测试邮件

检查一下wangning的邮箱，我们可以看到wangning已经收到了测试邮件

给administrator发一封回信，看看OWA能否接收到

检查管理员的邮箱，回信已经躺在邮箱里了，OWA邮件收发实验完成

有不少人曾经问过这么一个问题，为什么用 [url][/url]访问自己的邮箱可以使用集成验证，但

使用 [url][/url]访问时就被要求输入用户名和口令，如下图所示，为什么呢？

主要是因为使用完全合格域名描述Exchange服务器时，如果想使用集成验证，IE 浏览器需要把

完全合格域名添加到Intranet站点列表中。打开IE，在“工具”菜单上，单击“Internet 选

项”，然后单击“安全”，选择“本地 Intranet”，单击“站点”，点击“高级”，然后键入Exchange

服务器的完全合格域名，单击“添加”，然后单击“确定。重新用完全合

格域名访问一下，是否一切正常了！

OWA Over HTTPS

OWA用HTTPS对传输数据进行加密，我们使用时会更有安全感。HTTPS的加密过程大致如下

A 客户机验证Web服务器证书有效性

B 客户机从Web服务器证书中提取公钥

C 客户机与Web服务器约定在接下来的数据传递过程中采用对称加密方式，客户机将对称密钥用

公钥加密后传给Web服务器

D 服务器收到加密的对称密钥，用自己的私钥解开对称密钥

E 客户机将数据用对称密钥加密后传给Web服务器

F Web服务器用对称密钥解开加密数据

从以上过程来看，SSL采用了对称加密和非对称加密相结合的方式，为什么不直接把所有数据用

公钥加密传给Web服务器呢？主要是因为对称加密的速度比非对称加密快上千倍，两者结合可以

各自发挥所长。

实现HTTPS需要以下步骤：

部署CA服务器

Web服务器申请证书

在Istanbul客户机上用HTTPS访问一下邮箱试试，在IE中输入 [url][/url]，结果如下图所

示，访问成功。

有了HTTPS的支持，我们可以更改OWA的登录界面，将OWA的登录方式改为表单式登录，这样在

一些公共场合（例如网吧）使用时更加安全。我们可以在Exchange服务器上打开 开始－程序

－Microsoft Exchange－系统管理器，右键点击HTTP协议下的Exchange虚拟服务器，选择属性，

如下图所示：

在Exchange虚拟服务器属性中选择“设置”标签，勾选“启用基于表单的身份验证”，

点击“确定”后，Exchange服务器提示启用此功能需要有SSL支持。

启用OWA表单验证后，试试效果，登录界面如下图所示：

如果服务器想强制客户机只能使用HTTPS访问，可以在Exchange服务器上打开管理工具－

Internet信息服务（IIS）管理器－默认网站－Exchange虚拟目录－属性，在“安全通信”控件

中选择“编辑”，如下图所示

选择“要求安全通道（SSL）”，这样客户机访问服务器就只能使用HTTPS了

使用OWA修改用户口令

在Exchange2000中，用户可以通过OWA修改自己的口令，在Exchange2003中，似乎没有了这一

功能。其实Exchange2003仍然可以通过OWA修改口令，只是需要我们完成以下操作：

A Exchange的web站点需要申请证书，这是因为修改口令时数据需要有HTTPS的加密支持，

申请证书的过程前文已经提及，在此不再重复。

B 修改注册表，让口令修改功能重见天日，在Exchange服务器上，运行Regedit，定位到

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMSExchangeWEBOWA，如下图所示，

将“DisablePassword”的键值从1 改为 0

修改完注册表，无需重启服务，我们用OWA进入用户邮箱后，点击左下角的“选项”，在右侧界

面中我们就可以看到“更改密码”的提示了，如下图所示。不过不要着急，现在此项功能还不能

使用，我们还欠缺最后一步。

C 在Exchange服务器的默认Web站点中手工创建一个虚拟目录，在Exchange服务器上，打开

管理工具－Internet信息服务（IIS）管理器，右键单击“默认网站”，选择新建虚拟目录，如

下图所示

虚拟目录的名称设置为 IISADMPWD

虚拟目录对应的物理路径为 c:windowssystem32inetsrviisadmpwd

权限设置取默认值即可，创建虚拟目录完毕后，试试修改口令的功能，点击OWA中的修改口令，

如下图所示，设置成功！

5、 OWA单点登录方案

利用泛微软件单点登录模块单点登录OWA，

登录参数如下：