Exchange教程之前后端拓扑管理

    [雷阵雨 August 26, 2007 12:32 | by ]
Exchange支持前后端的拓扑结构,那么在Exchange安装完成后呢,默认情况下它就是一台后端服务器,所以要实现前后端服务器的拓扑结构,只要将一台Exchange服务器提升为前端服务器就可以了,需要大家注意的是Exchange的前端服务器上是没有任何的用户数据的,哪怕是在提升前上面有用户邮箱,成为前端服务器后,上面的邮箱将不能再访问.

  所以我们要把一台Exchange服务器配置成前端服务器,要么这台服务器是全新的,上面本来就没有什么用户数据的,要么就得选择一台用户数据相对较少的Exchange服务器,并且要把这些用户迁移到别的Exchange服务器后才能进行配置操作,把一台Exchange服务器配置成前端服务器还是非常简单的,只是去打个勾而已,之所以我要写这篇文章,是因为一旦配置成前后端的拓扑结构呢,Exchange的很多配置方法也将会随之改变,在后面的文章里呢,我也将利用这种前后端的拓扑结构来进行配置,这一点需要跟大家事先说明一下,那么现在就正式开始这篇文章的内容了。

  首先,我们来看一下在没有配置Exchange前端服务器前的一种情况,我的实验环境总共有一两台Exchange服务器,分别是EX1和EX2,EX1经过前面的几篇文章已经配置了SSL等,所以在EX2上也进行相同的配置,配置过程全部相同,这里就不再叙述了,现在所有的用户邮箱全部在EX1上面,我们现在就用其中的一个叫TOM的用户,来看一下这个用户的属性:

  从上面的用户属性我们可以看得出来,“TOM”用户的邮箱保存在EX1的第一个存储组的邮箱存储上面,通过前面的文章大家可以知道,如果我们在客户端上启动IE,在地址栏里输入:http://ex1.try.com/exchnage,再输入用户凭证,那么我们就可以通过OWA的方式来访问“TOM”用户的邮箱,但是如果输入:http://ex2.try.com/exchnage,是不是也可来访问邮箱呢?我们来试一下:

点击放大此图片

  这个画面大家肯定非常的熟悉,我们输入“TOM”这个用户的凭证信息,然后点“确定”:

点击放大此图片

  上面两幅图非常的相近,但请大家注意我用红框标出的位置的区别,如果我们再次输入“TOM”用户的凭证信息,再点“确定”,三次以后,将出现如下画面:

点击放大此图片

  由于在EX1上启用了SSL和“基于表单的身份验证”所以访问被拒绝了,如果没有启用的话,那么是可以进入邮箱的,或者用https的方式也是可以访问邮箱的,但请大家注意的是,我们通过上面几张图可以看出,我们通过http://ex2.try.com/exchange的方式来访问存在于EX1上的邮箱时,实际上EX2不是把用户的访问请求转到了EX1上,而是把整个访问连接转到了EX1上,而且转移连接后,EX2就退出了连接,也就是说没EX2什么事了,那么这种方法我们是不推荐的,首先它直接将用户数据所在的服务器位置显示了出来,而且整个操作要输入多次的凭证信息,对于用户而言,越简单越好,最好是透明的,因此前端服务器的作用就开始显示出来了,现在我们把EX2来配置成前端服务器,配置完成后,我们再来看一下和上面的访问有何区别。

  转到EX2上,点击“开始—程序—Microsoft Exchange—系统管理器”:

点击放大此图片

  定位到“组织—管理组—第二个管理组—服务器—EX2”,并且在“EX2”上击右键:

点击放大此图片

  选“属性”:

点击放大此图片

  在“这是前端服务器”前打个勾,并且点“确定”:

  SSL已经配置好了,所以接下来只要将服务重启一下就可以了,如果你找不到这些服务的位置的话,那么就用个最笨的办法,点“确定”后将整台服务器重启。

  这样前端服务器的配置就算是完成了,简单吧?我们现在到客户端来验证一下,打开IE,输入:https://ex2.try.com/exchange,然后回车:

点击放大此图片

  我们输入“TOM”用户的凭证信息,然后点“登录”:

点击放大此图片

  大家可以看到,能够访问“TOM”的邮箱,尤其请大家注意的是我用红框标出的地址栏,里面的地相是EX2而不是EX1,这是配置了前端服务器才能达到的效果,说明把EX2配置成前端服务器后转发的是请求而不是连接。那么配置前后端的服务器拓扑结构有什么用呢?主要有以下几点的好处:

  1、 安全。从上面的例子中大家可以看出,用户根本不知道“TOM”的邮箱上保存了EX1上的,因为所有的访问从表面上看都是在访问EX2的,这样就达到了保密的效果,而且退一步讲,就算是EX2被黑客进入,里面也没有任何的用户数据,哪怕是遭到灾难性的破坏也是没有什么关系的,对企业数据不会造成任何的影响;

  2、 方便。如果你的组织里面的多台Exchange服务器,不同的用户邮箱保存在不同的Exchange服务器上,那么你必须对不同的用户告诉他们应该去访问不同的服务器,这是一个非常繁琐的工作,而且当你对其中一台Exchange服务器进行维护时,你不得不在对被维护的Exchange服务器上的用户邮箱迁移后,要及时的通知他们应该去访问另外一台服务器,而且维护完成后,再迁回邮箱,然后还得去通知他们可以访问以前的Exchange服务器,这样的操作会让你的用户抱怨不已,而前后端服务器拓扑架构可以避免这种情况的出现,你只需要将前端服务器告诉用户就可以了。

  3、 减负。由于用户发出请求后,前端服务器会自动的判断用户请求邮箱所在的Exchange服务器,然后再把数据返回给用户,这样呢其实就是两台服务器一同在为用户服务,就起到了减轻后端服务器的效果。

  前后端服务器的配置到这里算是完成了,但是我们的工作还没有完,因为我们需要的是前后端服务器能够进行一种安全的通信,但是令我们感到非常遗憾的是Exchange前后端服务器这间是不支持SSL的,那么可能有些朋友会提出来,我在前后端之间架个防火墙,行不行?回答是肯定的,行,而且从安全通信这个角度上来讲,这也是微软推荐的方法,但是我试用之后觉得有以下二个缺点:

  1、 费用。这个我想谁都知道,买防火墙是要钱的,企业级的防火墙和我们一般家里的电脑上装的什么软件防火墙是有区别的,尤其是价格上的差异是足以让人大吃一惊的,而且IT部门在大部份公司里都属性后勤部,并不是直接产生效益的,所以大部份的老板在IT投资方面都是很小器的,能省则省,最好不要钱。

  2、 配置。我们知道Exchange是依赖于活动目录的,它会经常的向活动目录发出查询,所以如果把前端服务器放在防火墙的外面的话,那么你就要在这个防火墙上开设大量的端口,整个配置过程还是比较麻烦的。

  那么有没有不花钱,而且配置方便的方案呢?有,IPSEC,当然,安全性肯定是要差一些的,如果安全性和防火墙一样的话,那防火墙还有人买吗?这世上哪有这种好事?所以这种方法只适合于一些中小型企业,或者是安全性的要求不是非常高的企业,接下来,我们就来看一下整个配置的过程:

  我们先转到前端服务器,也就是EX2上面,我们点击“开始—运行”,输入:mmc,然后回车:

  点“文件—添加/删除管理单元”:

点击放大此图片

  点“添加”:

  找到“IP安全策略管理”,然后点“添加”:

点击放大此图片

  选择“本地计算机”,点“完成”,再用相同的办法添加一下“IP安全监视器”,然后退出:

点击放大此图片

  在“IP安全策略”上击右键:

点击放大此图片

  选择“管理IP筛选器表和筛选器操作”:

点击放大此图片

  点“添加”:

点击放大此图片

  我们把“名称”改为“swg”,然后把“使用添加向导”前的勾去掉,最后再点一下“添加”:

点击放大此图片

Pages: [1] [2]

Technology | Comments(0) | Trackbacks(0) | Reads(15728)
Add a comment
Emots
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
Enable HTML
Enable UBB
Enable Emots
Hidden
Nickname   Password   Optional
Site URI   Email   [Register]
               

Security code Case insensitive