DL.bitsCN.com网管软件下载
[注释11]在前端服务器上停止Exchange Information Store之后,您将不能通过Internet Service Manager来管理Exchange中的HTTP服务。因此,在您停止IS服务之前,请确认已完全配置正确。
5、关于Exchange 2000前后端技术的更多思考
以上过程基本上完成了一个简单的Exchange F/B构架,接下来我们来看一些和之相关性较大的话题。
A.多个电子邮件域的处理:假如您企业中存在多个域名,或您的Exchange电脑需要为多个组织提供邮件服务,为此您必须在前/后端服务器上配置虚拟服务器或虚拟目录。在您创建虚拟服务器时,必须对每个虚拟服务器指定域名[注释12],指定储存用户信箱还是公用文档夹。当您在前端服务器上创建虚拟服务器或虚拟目录后,必须在后端服务器上创建相同的虚拟服务器和虚拟目录,并且他们有着相类似的操作过程。下面是个创建虚拟服务器的过程。
启动Exchange System Manager,依次打开:Administrative GroupsàFirst Administrative GroupsàServersàServer NameàProtocolsàHTTP,右击HTTPàNewàHTTP Virtual Server,如图4所示: bitsCN.Com
中国网管联盟
图4:创建HTTP虚拟服务器
在对话框中,您必须指定服务器IP地址,是存储用户信箱还是公用文档夹,最重要的是,单击“Modify”按钮,来选择更改域名。然后转换到“Access”页面,能够配置HTTP的验证方式,如前文所述,验证方式决定了用户访问时的登录方式。创建虚拟服务器后,您还需要为新的虚拟服务器创建相应的虚拟目录,按照默认规则,假如您为用户信箱存储创建虚拟目录,将Exchange作为虚拟目录名,假如是存储公用文档夹,将Public作为虚拟目录名[注释13]。如图5所示:
bbs.bitsCN.com
注释12]必须为每个虚拟服务器指定不同的域名,域名和IP地址,端口,主机头等的组合必须能够和其他虚拟服务器相区别,否则会导致任何HTTP服务工作不正常。
[注释13]不要试图为额外创建的虚拟服务器添加exadmin虚拟目录,这个目录只提供给Exchange System Manager程式使用,前端服务器并不为该虚拟目录提供“代理”功能。
B.前后端服务器的安全:Exchange F/B构架中的安全,需要从两个方面来考虑。首先,不论是前端服务器还是后端服务器,必须确保每一台Exchange电脑本身的安全配置。Exchange 2000和Windows 2000操作系统紧密集成,虽然借助了操作系统提供的安全机制,但不容忽视的是,Exchange 2000还和IIS 5.0紧密集成,大家都知道IIS在Internet上往往是被锁定的目标,因此,做好IIS的安全,同时也确保了Exchange电脑的安全。Microsoft在一年前发布了一款针对IIS的安全工具àIISLockDown程式,该程式在Exchange电脑上运行时,有许多需要特别注意的地方,虽然有部分人不推荐在Exchange电脑上使用IISLockDown程式,但在一个安全性需要较高的环境中,您还是有必要使用他,我推荐您严格按照Microsoft PSS文档Q309508:IIS Lockdown and URLscan Configurations in an Exchange Environment,(http://support.microsoft.com/default.aspx?scid=KB;EN-US;Q309508)上所讲的过程来部署IIS安全工具。假如您的域名是.com结构,在安装IISLockDown程式之后,您还需要打开位于%systemroot%\system32\inetsrv\urlscan目录中的urlscan.ini文档,把[DenyExtensions]小节中的.com去掉,否则在打开Exchange System Manager中Folder节点时产生错误。关于IISLockDown程式在Exchange电脑上的部署及相关的配置配置,请参见文末提供的链接。其次,需要考虑的安全问题就是客户电脑连接前端服务器时的安全和前端服务器和后端服务器之间的安全连接。您能够使用标准的SSL,IPSec来加强安全,但前端服务器不支持通过SSL和后端服务器的通信。关于SSL,IP Security等的配置,请参见Windows 2000技术文档,此处不再复述。
C.当前/后端服务器脱机时:在实际生产环境中,由于硬件维护等原因,您的后端服务器可能会临时被关闭。当被请求的数据恰好存放在这台被关闭的电脑上时,前端服务器将尝试连接到其他可用的后端服务器上去。直到原后端服务器加入到网络10分钟之后,才能够正常使用。[注释13]
D.DSAccess组件在DMZ网络中的配置:Exchange 2000 SP2中的DSAccess已被重新设计,为DMZ网络提供了更好的支持,但仍然需要在注册表中修改两个键值:
1)禁止DSAccess检测NetLogon服务,并且禁止RPC穿过防火墙:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Service\MSExchangeDSAccess\Profiles
\DisableNetlogonCheck,配置键类型为REG DWORD,键值:1
2)在DMZ中,您必须在前端服务器上创建相应的注册键,防止DS和DC之间的Ping问题: bitscn.com
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Service\MSExchangeDSAccess\LdapKeepAliveSecs,配置键类型为REG DWORD,键值:0
[注释13]后端服务器被再次投入生产环境后,需要使用10分钟才能够更新AD数据库,这样GC才能够查询到这台电脑的存在。假如您关闭的电脑是GC,同样对Outlook客户造成10分钟的时间差,因为在
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
