第3章 安装Exchange Server 2010
安装Exchange Server 2010(以下简称Exchange)是每个即将或者已经部署Windows Server 的企业必备的过程,因此本章从准备操作系统开始详细介绍规划、部署的全过程。由于Exchange包括5种服务器角色,合理规划每种角色将对企业日后的扩展十分重要。本章介绍的Exchange安装过程,既适用于Exchange SP1,又适用于Exchange SP2。
本章要点
• Exchange角色规划
•多种方式安装Exchange SP1/SP2
• Exchange安装后需要注意的问题
3.1 角色部署建议
Exchange包括五种角色,在不同的应用环境中,应该根据实际情况在不同的物理服务器中配置不同的角色。如果是小型企业,建议合并角色。如果是中型以上的企业,建议在充分考虑成本和扩展性的基础上,在每台服务器中配置独立角色。
3.1.1 小型企业
小型企业根据以下建议部署Exchange角色。
• 如果不提供语音类的服务,建议不安装统一通信服务器角色(UM)。如果要提供语音支持,统一通信服务器角色建议部署在独立服务器中。
• 建议将邮箱数据库角色(MBX)、客户端访问服务器角色(CAS)、集线器传输角色(HT)部署在同一台物理服务器中,合并三种角色。
• 基于成本考虑,建议不安装边缘传输服务器角色(Edge),直接使用集线器传输角色提供的邮件传递、病毒防护以及垃圾邮件过滤等功能保护服务器。
综上所述,小型企业满足正常的邮件系统需求,一台物理服务器即可满足日常需要。
3.1.2 中型企业
中型企业根据以下建议部署Exchange角色。
• 建议至少部署2台物理服务器,第一台安装邮箱数据库角色,第二台安装客户端访问服务器角色以及集线器传输角色。
• 如果不提供语音类的服务,建议不安装统一通信服务器角色。如果要提供语音支持,统一通信服务器角色建议部署在独立服务器中。
• 基于成本考虑,建议不安装边缘传输服务器角色,直接使用集线器传输角色完成邮件传递、病毒防护以及防垃圾邮件等功能。
• 考虑企业扩展,建议首先考虑邮箱数据库角色,建议部署为3节点以上的数据库可用性组(DAG),然后考虑客户端访问服务器角色以及集线器传输角色的高可用性,建议部署CAS阵列。
综上所述,中型企业满足正常的邮件系统需求,2台物理服务器即可满足日常需要。
3.1.3 大型企业
大型企业根据以下建议部署Exchange角色。
• 每个角色独立部署,并且每个节点至少部署2台以上的服务器。
• 邮箱数据库角色服务器建议数量3台以上。
3.1.4 本书中Exchange部署说明
要保证部署服务器之间的高可用性,需要增加服务器数量至少一倍以上,因此本书中服务器的使用将根据章节内容调整服务器的在线数量。
1.非高可用性章节
非高可用性章节中,将部署2台Exchange服务器,第一台安装客户端访问服务器角色和集线器传输角色,第二台安装邮箱数据库角色,每台Exchange服务器使用同一个管理员用户“exadmin”登录。应用架构如图3-1所示。
图3-1 非高可用性应用架构
2.高可用性章节
高可用性章节中,将部署5台Exchange服务器,2台服务器安装客户端访问服务器角色和集线器传输角色并组成CAS阵列,其余3台服务器安装邮箱数据库角色,组成数据库可用性组,每台Exchange服务器使用同一个管理员用户“exadmin”登录。系统架构如图3-2所示。
图3-2 高可用性应用架构
3.2 安装操作系统
安装Windows操作系统时,建议采用最小化方式安装,只安装网络服务所必需的模块。当产生新的服务需求时,再安装相应的服务模块,并及时进行安全设置。
3.2.1 安装前注意事项
安装Windows操作系统前,注意以下事项。
• 拔掉网线,断开网络,确认要安装的目标计算机没有连接到在网络中,然后开始安装操作系统。
•确保硬件设备的可靠性。建议操作系统运行于Raid 5方式或者Raid 1方式的磁盘阵列中,确保服务器硬件环境的稳定。
• 不要在服务器上安装多系统启动环境,防止其他系统因为交叉启动控制造成引导区或者引导文件丢失、损坏。
• 确保操作系统的来源合法性。不建议使用非正常渠道得到的 Windows 操作系统安装盘,防止在安装操作系统的同时就已经安装了木马或者恶意软件,防止其中隐藏有被恶意修改后门程序的原始安装程序。
• 确保操作系统安装的目标分区使用NTFS格式。使用NTFS分区作为唯一的系统分区标准,不论当前计算机中划分多少分区。NTFS属于日志性文件系统,使用日志和检查点信息,即使在系统崩溃或者电源故障时也能保证文件系统的一致性。
• 合理规划目标分区内容。分区内容规划根据实际需要而定,例如C盘安装操作系统、D盘安装数据库系统、E盘存储日志文件等。
• 规划分区。在安装操作系统的过程中,建议首先删除磁盘原有的所有分区,然后重新划分分区,如果安装目标操作系统是Windows Server 2008 R2,建议系统分区的磁盘空间为40GB以上。如果安装目标操作系统是Windows Server 2003,建议系统分区的磁盘空间为15GB以上。
• 格式化分区。在安装操作系统的过程中,删除磁盘中的所有数据。在安装之前,确定磁盘中所有的数据都已经删除干净,磁盘完好无损,最好将涉及的磁盘全部都格式化。
• 在安装过程中,遵循 Windows 操作系统部署向导提供的内容。如果安装 Windows Server 2003操作系统,在安装过程中需要键入管理员密码,密码必须符合强密码策略。如果安装Windows Server 2008 R2操作系统,在第一次登录时需要设置管理员密码。
• 在操作系统安装完成后但没有正式运行前,保证系统在安装的过程中不与任何公共系统相连,如果必须要有网络安装,要确保服务器在一个独立可信并且安全的网段中。
• 如有可能,尽量安装英文版的操作系统。因为微软公司总是最先发布英文版本的补丁,中文版本的补丁相对滞后一段时间。
• 服务器默认安装完成后,为独立服务器模式,如非必要不要加入到域中。Exchange应用中,边缘传输服务器角色所在的服务器不需要加入到域中。
3.2.2 设置管理员密码
Windows系统默认管理员用户为“Administrator”,这是公开的事实。Windows Server 2003在安装过程中即可设置管理员密码,Windows Server 2008 R2只能在系统安装完成后的第一次登录过程中设置密码。
1.密码
密码是登录系统的钥匙,密码是否安全直接影响到计算机系统是否安全。密码应当定期修改,尤其是当发现有不良攻击时,更应及时修改复杂密码,以免被破解。为避免密码因过于复杂而忘记,可用笔记录下来,并保存在安全的地方,或随身携带避免丢失。
在设置管理员用户密码时,应注意以下问题。
• 切不可让账号与密码相同
如果将用户账号与密码设置为相同,许多系统扫描工具默认将用户和密码作为相同的设置扫描系统,无疑会省去攻击者的很多力气。
• 切不可使用自己的姓名
使用自己的姓或名,甚至是姓名作为密码,实在是不堪一击,对于本单位和熟悉本单位的人来讲,姓名无疑是攻击的首选,因为这几乎谁都能猜得到。另外,在许多黑客编写的字典中,往往将百家姓一一列出,并放在字典的前列。
• 切不可使用英文词组
一些常用或别致的英文单词往往是用户设置密码时的最爱,在他们看来,这类密码既便于记忆,又凸显自己的个性。但事实上,那些绝顶聪明的黑客们也早已猜到并详细地将其编入字典,因此,英文词组绝不可用。
• 切不可使用特定意义的日期
以具有特定意义的日期作为密码是任何人都十分喜爱的,这一类日期通常有自己生日、父母生日、儿女生日、朋友生日、重大节日、个人纪念日等等。不用说熟悉的人可以猜得到,即使是陌生人也可以通过穷举的方式而得手。在黑客字典中,几乎全部罗列了以上所有的几个组合,实在令人惊骇不已。
• 切不可使用简单的密码
越是字符数少,越是简单的密码,在破解时所用的时间也就越短。一个穷举软件每秒钟可以重试10万次之多,字数越少,字符越简单化,排列组合的结果也就越少,也就越容易被攻破。
2.安全密码原则
若欲保证用户密码的安全,应当遵循以下规则。
• 用户密码应包含英文字母的大小写、数字、可打印字符,甚至是非打印字符,将这些符号排列组合使用,以期达到最好的保密效果。
• 用户密码不要太规则,不要将用户姓名、生日和电话号码作为密码。不要用常用单词作为密码。
• 根据黑客软件的工作原理,参照密码破译的难易程度,以破解需要的时间为排序指标,密码长度设置时应遵循7位或14位的整数倍原则。
• 在通过网络验证密码的过程中,不得以明文方式传输,以免被监听截取。
• 密码不得以明文方式存放在系统中,确保密码以加密的形式写在硬盘上,并且包含密码的文件应该是只读的。加密的方法很多,如基于单向函数的密码加密,基于测试模式的密码加密,基于公钥加密方案的密码加密,基于平方剩余的密码加密,基于多项式共享的密码加密,基于数字签名方案的密码加密等。经过上述方法加密的密码,即使是管理员也难以得到。
• 密码应定期修改,应避免重复使用旧密码,应采用多套密码的命名规则。
• 建立账号锁定机制。一旦同一账号密码校验错误若干次即断开连接并锁定该账号,经过一段时间才解锁。
• 由网络管理员设置一次性密码机制,用户在下次登录时必须更换新的密码。
3.系统用户密码要求
在Windows Server 2008 R2系统中,安装系统的同时就要求管理员指定符合要求的安全密码,大大提高了用户和系统的安全性。通常情况下,在Windows Server 2008 R2网络中,对用户密码的要求如下。
• 不包含全部或部分的用户名。
• 长度至少为6字符。
• 包含来自以下4个类别中的3个的字符。
♦ 大写英文字母(从A到Z)。
♦ 小写英文字母(从a到z)。
♦ 10个基本数字(从0到9)。
♦ 非字母字符(例如!、$、#、%)。
对于未安装Active Directory服务的Windows Server 2003计算机或修改了Windows Server 203/2008默认组策略的计算机,其用户密码可以随意设置。
强密码具有以下特征。
• 长度至少有7个字符。
• 不包含用户的生日、电话、用户名、真实姓名或公司名等。
• 不包含完整的字典词汇。
• 包含全部下列4组字符类型。大写字母(A,B,C...)、小写字母(a,b,c...)、数字(从0~ 9)、非字母字符(键盘上所有未定义为字母和数字的字符,如` ~ ! @ # $ % ^ & * ( ) _ + - = { } | [ ] \ : " ; ' < > ? , . /)。
除此之外,管理员用户的密码应当定期修改,尤其是当发现有不良攻击时,更应及时修改复杂密码,以避免被破解。为避免密码因过于复杂而忘记,可用笔记录下来,并保存在安全的地方,或随身携带避免丢失。其实,最安全的方法就是不使用常规密码,而采用电子密钥等一些几乎无法破解的登录方式,确保系统的安全性。
4.锁定计算机
操作系统安装完成后,如果管理员没有和计算机交互,默认在10分钟之内自动锁定当前的计算机。如果没有锁定计算机,相当于在10分钟的时间内,计算机处于完全开放状态,任何人都可以对计算机做任何事情,对任何人都是敞开的。
3.2.3 最小化组件安装
Windows Server 2008 R2默认安装完成后,没有安装任何角色和功能软件包,这样默认为操作系统本身提供一个可靠的安全基线。按照“最小化安装”原则,根据需要安装需要的组件,非必须组件不要安装。
1.角色
服务器角色软件集合,完成特定功能的软件组,默认的角色都包含自己的对应的数据库。Windows Server 2008 R2提供17个角色,通过“添加角色向导”可以安装需要的角色,默认没有安装任何角色,如图3-3所示。
图3-3 角色列表
2.功能
功能也是一些软件,这些程序虽然不直接构成角色,但可以支持或增强一个或多个角色的功能,或增强服务器的功能。Windows Server 2008 R2提供42个功能,通过“添加功能向导”可以安装需要的功能组件包,默认没有安装任何功能,如图3-4所示。
图3-4 功能列表
3.3 操作系统准备
每台服务器安装Windows Server 2008 R2 SP1操作系统,升级到最新补丁,启用防火墙服务,安装防病毒程序并更新病毒库。每台虚拟机安装 2块网卡,分别用于心跳网络(172.16.0.0/16)和内部网络(192.168.0.0/24)。根据完成的功能不同(按照Exchange角色划分),每台服务器安装的Windows组件也不同。每台都使用同一个邮件系统管理员用户登录。
3.3.1 Exchange依赖的Windows组件
Exchange不同的角色需要不同的Windows组件,Exchange 可以通过Powershell命令,一次性安装所有必须的组件。由于命令行较长,建议到微软站点直接复制代码,粘贴到命令行窗口中执行,避免手动输入出现错误的可能性,或者参考表 3-1 提供的安装脚本。这里以一台服务器中同时安装“CAS”角色和“HT”角色为例说明。安装其他角色参考表3-1。
表3-1 安装脚本
第1步,安装组件。打开“管理工具”→“Windows PowerShell Modules”选项,启动Powershell组件。执行如下命令:
Import-Module ServerManager
执行如下命令:
Add-WindowsFeature
NET-Framework,RSAT-ADDS,Web-Server,Web-Basic-Auth,Web-Windows-Auth,Web-Metabase,Web-Net-Ext, Web-Lgcy-Mgmt-Console,WAS-Process-Model,RSAT-Web-Server,Web-ISAPI-Ext,Web-Digest-Auth,Web-Dyn-Compression,NET-HTTP-Activation,RPC-Over-HTTP-Proxy,NLB -Restart
命令执行后,系统安装指定组件并自动重新启动服务器。
第2步,设置Net.Tcp Port Sharing Services服务的启动类型为“自动”。通过Powershell命令行提示符完成该服务设置,执行如下命令:
Set-Service NetTcpPortSharing -StartupType Automatic
通过DOS命令行提示符完成该服务设置,执行如下命令:
sc config NetTcpPortSharing start= auto
3.3.2 网络参数设置
服务器网卡设置时,注意以下事项。
• 每台Exchange服务器设置内部网络静态IP地址,网络负载均衡群集(NLB)和群集(Cluster)不支持由动态主机配置协议为服务器分配的地址。
• 每台Exchange服务器配置2块网卡,一个提供应用服务的外部网络,另一个用于节点服务器之间连接的心跳网络。注意,心跳网络不是必须的。
CAS01服务器设置完成的网络参数,如图3-5和图3-6所示,心跳网络使用172.16.0.0/16网段,内部网络使用192.168.0.0/24网段。
图3-5 物理网络参数设置之一
图3-6 物理网络参数设置之二
设置心跳网络IP地址时,仅设置IP地址和子网掩码即可,DNS参数和默认网关不需要设置(如图3-7所示)。在“高级TCP/IP设置”对话框中,选择“禁用TCP/IP上的NETBIOS”选项(如图3-8所示)。
图3-7 心跳网络参数设置
图3-8 NetBIOS设置
3.3.3 Exchange Server管理账号
本书中所有Exchange服务器使用同一系统管理员用户“exadmin”登录。
在Active Directory中,将该用户添加到“Schema Admins”、“Enterprise Admins”以及“Domain Admins”组中,如图3-9和图3-10所示。
图3-9 用户信息
图3-10 隶属组
在本地计算机中将用户添加到“本地管理员组”中,如图3-11所示。
图3-11 本地管理员组
3.3.4 加域
客户端访问服务器(名称为 CAS01)加域后成为成员服务器,将 Exchange 管理员用户添加到该服务器的“本地管理员组”中。重新启动计算机后,以Exchange管理员身份登录(命令行“whoami”命令查看),如图3-12和图3-13所示。
图3-12 加域之一
图3-13 加域之二
3.4 下载Exchange补丁包
目前Exchange Service Pack历经SP1、SP2两大版本,现已更新到SP2,建议将Exchange更新到最新版本。安装SP补丁包之前,需要下载更新Exchange必须的HotFix。HotFix安装完成后,才能部署SP系列补丁包。
3.4.1 HotFix下载
安装Exchange之前,必须安装下列补丁程序,否则无法成功安装SP版本。需要安装的补丁为:KB979099、KB982867、KB979744、KB983440、KB977020、KB2550886以及FilterPack64bit。或者登录微软http://technet.microsoft.com/zh-cn/library/bb691354.aspx站点,选择需要下载的Hotfix即可。如图3-14所示。
图3-14 Exchange Hotfix站点
3.4.2 Exchange补丁包下载
1.下载Exchange SP1
Microsoft Exchange Service Pack 1(SP1)的下载地址为http://www.microsoft.com/downloads/zh-cn/details.aspx?displaylang=zh-cn&FamilyID=50b32685-4356-49cc-8b37-d9c9d4ea3f5b,下载的补丁包大小为522MB。
2.下载Exchange SP2
Microsoft Exchange Service Pack 2(SP2)的下载地址为http://www.microsoft.com/downloads/zh-cn/confirmation.aspx?familyid=4e5554f9-a5ce-40d6-8353-94d5a34b635e,下载的补丁包大小为535MB。
3.Exchange SP 2更新汇总1
Exchange Service Pack 2更新汇总1(KB2645995)的下载地址为http://www.microsoft. com/downloads/zh-cn/details.aspx?FamilyID=4077DD70-5670-4FC7-A61C-002ED3F4414A,下载的补丁包大小为29.6MB。
3.5 网络环境准备
如果管理员对Exchange整体架构不是很了解,可以略过本节内容,通过图形模式安装Exchange,安装向导将自动扩展网络架构。
3.5.1 旧版本Exchange服务器权限准备
如果网络中存在Exchange Server 2003服务器,需要为Exchange Server 2003服务器准备权限。以“管理员身份”运行“命令行提示符”,切换到光盘驱动器映射的盘符,执行“Setup /pl”命令或者“Setup /PrepareLegacyExchangePermissions”命令。如果网络中不存在Exchange Server 2003服务器,则不需要执行该命令。
3.5.2 架构准备
执行“Setup /ps”命令或者“Setup /PrepareSchema”命令,执行架构扩展准备。
3.5.3 林准备
执行“Setup /p/OrganizationName:book”命令或者“Setup /PrepareAD/OrganizationName:book”命令,执行林扩展准备。
3.5.4 域准备
执行“Setup /pad”命令或者“Setup /PrepareAllDomains”命令,执行域扩展准备。
3.6 安装Exchange服务器
本书中除高可用性章节之外,Exchange中的CAS角色和HT角色部署在名称为CAS01的服务器中,邮箱服务器角色部署在DAG01服务器中。安装前确认Windows Server 2008 R2安装组件的需求和安装Exchange SP1/SP2必需的HotFix已经安装完成。实际环境中,建议首先安装邮箱数据库角色,然后安装其他角色。如果先安装其他角色,安装完成后建议关闭角色所在的服务器。
3.6.1 向导安装Exchange服务器
1.安装CAS/HT服务器
以Exchange管理员身份登录CAS01服务器,将Exchange SP1/SP2解压到目标目录后,执行“Setup.exe”文件开始安装。
第1步,运行Setup.exe安装文件,启动安装向导,如图3-15所示。
图3-15 安装Exchange之一
第2步,单击“步骤4:安装Microsoft Exchange”超链接,启动“Exchange安装程序”安装向导,显示如图3-16所示的“简介”对话框。
图3-16 安装Exchange之二
第3步,单击“下一步”按钮,显示如图3-17所示的“许可协议”对话框。选择“我接受许可协议中的条款”选项。
图3-17 安装Exchange之三
第4步,单击“下一步”按钮,显示如图3-18所示的“错误报告”对话框。选择“否”选项。
图3-18 安装Exchange之四
第5步,单击“下一步”按钮,显示如图3-19所示的“安装类型”对话框。选择“自定义Exchange Server安装”选项。自定义安装Exchange角色。
图3-19 安装Exchange之五
第6步,单击“下一步”按钮,显示如图3-20所示的“服务器角色”对话框。本例中选择“客户端访问角色”和“集线器传输角色”选项。
图3-20 安装Exchange之六
第7步,单击“下一步”按钮,显示如图3-21所示的“配置客户端访问服务器外部域”对话框。选择“客户端访问服务器角色将面向 Internet”选项,在文本框中键入从 Internet访问邮件服务器的DNS名称。
图3-21 安装Exchange之七
第8步,单击“下一步”按钮,显示如图3-22所示的“客户体验改善计划”对话框。选择“我现在不参加此计划”选项。
图3-22 安装Exchange之八
第9步,单击“下一步”按钮,显示如图3-23所示的“准备情况检查”对话框。检测安装Exchange之前必需的条件。
图3-23 安装Exchange之九
第10步,前提条件准备完成后,显示如图3-24所示的对话框。如果先决条件检测通过,显示“”图标。如果已经安装但不满足条件,则显示“”图标。如果检测失败,显示“”图标。
图3-24 安装Exchange之十
第11步,单击“安装”按钮,开始安装Exchange,安装完成后,显示如图3-25所示的“完成”对话框。单击“完成”按钮,成功安装Exchange。
图3-25 安装Exchange之十一
2.安装MBX邮箱服务器
邮箱服务器的安装过程和客户端服务器基本相同,不同之处在于,打开“服务器角色选择”对话框后,仅选择“邮箱角色”即可。如图3-26所示。
图3-26 “服务器角色”选择对话框
打开“客户端设置”对话框后,组织中如果有用户使用Outlook 2007之前的版本, Exchange需要为使用以前版本的用户创建公用文件夹。如果用户全部使用Outlook 2007之后的版本,不需要创建公用文件夹。本例中选择“否”选项。其他选项按照默认值安装即可。如图3-27所示。
图3-27 “客户端设置”对话框
3.6.2 命令行安装Exchange服务器
Exchange 支持命令行方式的安装,安装命令的格式完全相同,但需要注意安装时选择不同的服务器角色。
1.安装CAS/HT服务器
安装Exchange Server的CAS角色和HT角色,执行如下命令。
X:\Setup.com /mode:Install /roles:CA,HT /targetdir:c:\exchange2010SP1/ExternalCASServer Domain:mail.book.com
命令行解释如下。
• /mode:Install:安装Exchange Server。
• /roles:CA,HT:安装CAS角色和HT角色。
• /targetdir:c:\exchange2010SP1:将Exchange SP1安装到c:\exchange2010SP1文件夹。
• /ExternalCASServerDomain:mail.book.com:外部域名是mail.book.com。
命令执行后,开始检测安装Exchange SP1环境,然后复制文件直至安装完成。如果缺少必要的组件或者检测出错误将停止安装,返回到命令行模式。
可用的角色列表如下。
• HTTransport(简称HT,H)
• ClientAccess(简称CA,C)
• Mailbox(简称MB,M)
• UnifiedMessaging(简称UM,U)
• EdgeTransport(简称ET,E)
• ManagementTools(简称MT,T)
2.安装MBX邮箱服务器
安装Exchange Server的邮箱数据库角色,执行如下命令。
X:\Setup.com/mode:Install/roles:MB/targetdir:c:\exchange2010SP1/ExternalCASServer Domain:mail.book.com
3.6.3 OWA访问测试
客户端访问服务器角色、集线器传输角色以及邮箱数据库角色安装完成后,内部网络用户之间可以通过Outlook或者OWA模式使用邮件。下面以OWA访问为例说明。
在客户端访问服务器中,打开Internet Explorer浏览器,地址栏键入“https://cas01. book.local/owa”,回车后显示如图3-28所示的窗口。注意,OWA默认使用HTTPS协议,在没有部署证书的情况下将出现安全提示。
图3-28 OWA访问测试之一
单击“继续浏览此网站(不推荐)”超链接,显示如图3-29所示的窗口。
图3-29 OWA访问测试之二
“域名\用户名”键入有效用户(例如 book\exadmin,邮件系统管理员)后,单击“登录”按钮,即可打开OWA界面,如图3-30所示。
图3-30 OWA访问测试之三
3.7 Exchange安装后需要注意的问题
Exchange安装完成后,将在Exchange服务器中安装系列服务、部署系列防火墙规则,以及在域控制器中创建新的Exchange安全组。管理员需要了解安装后的变化。
3.7.1 Exchange安装的服务
Exchange 2010安装程序在默认情况下不会禁用任何Windows服务。表3-2列出了每个服务器角色在默认情况下启用的服务。默认情况下,安装程序仅启用特定Exchange 2010服务器角色正常操作所需要的服务。
表3-2 Exchange相关的服务
续表
续表
续表
续表
3.7.2 Exchange高级防火墙策略和端口
Windows Server 2008 R2默认启用高级安全Windows防火墙,通过状态数据包检查防火墙。Exchange安装程序在安装期间将创建所需的防火墙规则(如表3-3所示),允许Exchange服务和进程进行通信。Windows Server 2008 R2中,高级安全Windows防火墙允许指定端口针对哪些进程或服务开放。注意,修改某项Exchange 2010服务所用的默认端口时,还必须修改相应的高级安全 Windows 防火墙的防火墙规则,以允许通过使用的非默认端口进行通信。当更改某项服务所用的默认端口时,Exchange不会自动更改防火墙规则。需要手动方式更改相关端口。
表3-3 安装程序默认创建的防火墙规则以及使用的端口
3.7.3 默认限制参数
Exchange安装完成后,默认传输服务器、客户端访问服务器和邮箱服务器角色都设置了限制参数,用以控制与各协议相关的不同连接参数。Exchange还包括客户端限制策略,用以控制客户端访问服务器上的负载。这些限制参数和策略可以控制负载并保护Exchange服务器免受针对不同协议的拒绝服务攻击的侵害。
1.传输服务器的限制参数
Exchange传输服务器中,邮件的限制通过发送连接器和接收连接器完成,用来控制邮件处理速率、SMTP连接速率和SMTP会话超时值。默认参数设置如表3-4所示。建议使用“Set-TransportServer”命令行设置参数。
表3-4 传输服务器限制参数
2.发送连接器限制参数
发送连接器限制参数如表3-5所示。可以使用“Send-Connector”命令设置该参数。
表3-5 发送连接器限制参数
3.接收连接器限制参数
接收连接器限制参数如表3-6所示。可以使用“Set-ReceiveConnector”命令设置该参数。
表3-6 接器限制参数
4.POP3服务限制参数
适用于客户端访问服务器上的Microsoft Exchange POP3服务,如表3-7所示。可以使用“Set-POPSettings cmdlet”命令配置参数。
表3-7 服务限制参数
5.IMAP4服务限制参数
适用于客户端访问服务器上的Microsoft Exchange IMAP4服务,如表3-8所示。可以使用“Set- IMAPSettings”命令配置参数。
表3-8 IMAP4服务限制参数
6.客户端限制参数
Exchange使用客户端限制策略来管理客户端访问服务器的性能,管理工作可以通过控制参数来实现,例如每个客户端访问协议的并发连接数、客户端会话可用于运行LDAP操作的时间百分比、RPC操作以及客户端访问操作,如表3-9所示。Exchange包含一个默认的客户端限制策略,通常情况下管理客户端访问服务器上的负载可以正常使用。Exchange管理员也可以修改默认策略参数或创建符合部署要求的自定义策略。
表3-9 客户端限制参数列表
续表
3.7.4 Microsoft Exchange安全组
Exchange安装程序在域中创建一个新的组织单位,称为“Microsoft Exchange安全组”,如表3-10所示。该组中默认创建如表3-10所示的安全组。
表3-10 安全组列表
续表