1 / 37

Exchange Server 2010 資 料保護進階探討 – DAG 與 IRM

Exchange Server 2010 資 料保護進階探討 – DAG 與 IRM. 羅濟棠 Jammy 技術支援副理 合作夥伴支援部. 資料保護進階探 討 Agenda. Exchange 2010 的資 料庫可用性群 組 (DAG) DAG 與 CCR 有何不同 ? 部署 DAG 的條件與考量 如何設定與使用 DAG? 如何讓企業敏感性資料不外流 ? Exchange 2010 的資訊版權管 理 如何設定 Windows Server 2008 R2 的 RMS ? 如何在 Exchange 2010 中套用 IRM 範本?.

todd
Download Presentation

Exchange Server 2010 資 料保護進階探討 – DAG 與 IRM

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Exchange Server 2010 資料保護進階探討 – DAG 與IRM 羅濟棠 Jammy 技術支援副理 合作夥伴支援部

  2. 資料保護進階探討 Agenda • Exchange 2010的資料庫可用性群組(DAG) • DAG與CCR有何不同? • 部署DAG的條件與考量 • 如何設定與使用DAG? • 如何讓企業敏感性資料不外流? • Exchange 2010的資訊版權管理 • 如何設定Windows Server 2008 R2的RMS? • 如何在Exchange 2010中套用IRM範本?

  3. Exchange 2007的高可用性 • Exchange 2007 Single Copy Cluster(SCC) • Exchange 2007 Continuous Replication • Exchange 2007 CCR+SCR

  4. Exchange 2007的高可用性 • Single Copy Cluster (SCC) • 當一個Store失敗時,SCC會重啟同一台機器上的所有Store;無法提供叢集信箱伺服器(CMS)的容錯 • SCC 無法在Storage損毀時,提供自動復原機制 • SCC 無法有效保護您的保貴資料(Single DB) • SCC 無法做到站台的容錯支援(Site Failover) • 結論 • SCC 只能提供伺服器硬體層級的容錯機制 • SCC 無法提供伺服器資料庫容錯保護機制

  5. Exchange 2007的高可用性 • Exchange 2007的連續複寫高可用性

  6. Exchange 2007的高可用性 • Exchange 2007 CCR+SCR (Server centric failover)

  7. Exchange 2010的高可用性 AD site: Dallas DB1 All clients connect via CAS servers Client Access Server Client DB3 DB5 Mailbox Server 6 AD site: San Jose Client Access Server Easy to stretch across sites Failover managed within Exchange Mailbox Server 1 Mailbox Server 2 Mailbox Server 3 Mailbox Server 4 Mailbox Server 5 Database Availability Group DB1 DB1 DB1 DB4 DB2 DB5 DB3 DB2 DB5 DB3 DB4 DB1 Database centric failover DB1 DB3 DB2 DB5 DB4

  8. Exchange 2010HA的主要特性 • 資料庫行動力(Database Mobility ) • Exchange 2007 CMS為伺服器層級,所以當單一的資料庫發生損毀時,會使整個CMS Failover到另一個Node。這會波及其它還可用的資料庫使用者。 • Exchange 2010透過資料庫行動力擴充系統對連續複寫的使用。 • Exchange 2010的資料庫行動力提供更好的資料庫保護及更高的可用性。 • 當發生資料庫損毀時,資料庫副本可以立即(約30秒)接手。因此,Exchange 2010提供了資料庫層級的容錯機制。

  9. Exchange 2010HA的主要特性 • 增量部署(Incremental Deployment ) • Exchange 2007的CMS只支援Mailbox Server且必需事先成為Windows Cluster Node • Exchange 2010的DAG可以支援All in One伺服器角色。可以在事後隨時加入到DAG成為DAG複寫成員。 • Exchange 2007的CMS必需使用專用的硬體,硬體必需符合Windows Cluster的要求。 • Exchange 2010的DAG整合了Windows Cluster元件,不再要求必需要使用專用的硬體。這也使得Exchange 2010可以在日後隨時變更成為DAG成員。

  10. Exchange 2010HA的主要特性 • 資料庫可用性群組(Database Availability Groups ,DAG) • Exchange 2007 叢集必需使用專用的硬體 • Exchange 2007 叢集只能安裝於Mailbox Server • Exchange 2007 CMS 必需要有Windows Cluster知識 • Exchange 2007 CCR 兩兩為一組 • Exchange 2010DAG 不需要專用的硬體 • Exchange 2010 DAG 可以支援 All in one的部署 • Exchange 2010 DAG 直接整合了Windows Cluster • Exchange 2010 DAG 可支援最多16個副本 • Exchange 2007 CCR+SCR=Exchange 2010 DAG

  11. Exchange 2010HA的主要特性 • 信箱資料庫副本 • Database Mobility已經中斷資料庫與伺服器的關聯,並且新增了單一資料庫可擁有最多16個副本的支援 • Database Mobility與先前Database portability 的唯一差別是:資料庫的所有副本都具有相同的 GUID • 當DAG資料庫發生失敗時,AM會自動復原至DAG的其它資料庫副本並設定成為主動資料庫 • 若所有資料庫副本都不符合自動裝載(Auto Mount)的準則,則可以透過手動方式進行裝載(Mount)

  12. Exchange 2010HA的主要特性 • Active Manager • 分成PAM與SAM兩種 • PAM:Primary Active Manager 主要AM • SAM:Standby Active Manager 待機AM • 在所有隸屬資料庫DAG 的信箱伺服器上執行 • PAM 負責取得拓撲變更通知,並回應伺服器失敗 • SAM 會偵測到本機資料庫與本機資訊儲存庫的失敗。並會要求 PAM 初始化容錯移轉 (如果資料庫已複寫的話) 來回應失敗 • 取代舊版 Exchange 與叢集服務整合後所提供的資源模型與容錯移轉管理功能 • Exchange 2010不再使用叢集資源模型來提供高可用性 • Exchange 2010不再是叢集應用程式(Clustered Application)

  13. 關於DAG… • 所有DAG成員的作業系統都必需是企業版 • 所有DAG成員的作業系統版本都必需相同 • 不可將Windows Server 2008與Windows Server 008 R2混合使用 • 作業系統的Service Pack也必需一致 • 所有DAG成員的資料庫路徑必需一致 • DAG成員可以是由Exchange 2010標準版與企業版組成 • 但標準版最多只能擁有5個資料庫(主動加副本)

  14. 部署DAG的規劃考量 • Network的考量 • DAG內的每一個成員的Network要求 • DAG成員必需至少要有兩張網卡 • 每張網卡的IP必需是不同的Subnet • CAS<>Mailbox Server的網路回應時間(Network Latency Time)必需要低於50~100ms • 每一個DAG成員間的網路回應時間必需要低於250ms

  15. 部署DAG的規劃考量 • 見證伺服器 • DAG使用如同CCR的技術,所以若當同一個DAG群組中的成員數為偶數時,則應該要再找一台伺服器來擔任見證伺服器如此才能維持DAG發生Failover時的仲裁機制 • 只要是Windows Server 2003 SP1且安裝了 KB921181的更新程式之後的Windows Server作業系統都可以擔任見證伺服器的功能

  16. DAG跨Site的部署考量 • 複寫與WAN 的考量 • 每一個DAG成員的network latency 必需低於250ms • 複寫的吞吐量是個重點 • 愈高的latency愈少的複寫吞吐量 • 其它考量 • CAS在站台失效時會根據用戶端所使用的Protocol來決定Redirect或是Autodiscover • 當Exchange 2010同時也是DC角色時,不支援成為DAG成員

  17. 部署Exchange 2010 HA

  18. 部署 Exchange 2010 HA • Create a DAGNew-DatabaseAvailabilityGroup -Name DAG1 -FileShareWitnessShare \\EXHUB1\DAG1FSW -FileShareWitnessDirectory C:\DAG1FSW • Add first Mailbox Server to DAGAdd-DatabaseAvailbilityGroupServer -Identity DAG1 -MailboxServer EXMBX1 -DatabaseAvailablityGroupIpAddresses 10.0.0.8 • Add second and subsequent Mailbox ServerAdd-DatabaseAvailabilityGroupServer -Identity DAG1 -MailboxServer EXMBX2Add-DatabaseAvailabilityGroupServer -Identity DAG1 -MailboxServer EXMBX2 -DatabaseAvailablityGroupIpAddresses 10.0.0.8,10.0.1.8 • Add Mailbox Database CopyAdd-MailboxDatabaseCopy -Identity MBXDB1 -MailboxServer EXMBX3 • Extend as needed

  19. Demo DAG的部署

  20. Exchange 2010的資訊版權管理 • Windows Server 2008 R2 AD RMS 新功能 • 加強的安裝與管理體驗 • AD RMS 內建於 Windows Server 2008 中為伺服器角色之一。 • AD RMS 的管理作業是透過 MMC 完成,而非先前版本中的「網站管理」。 • AD RMS 叢集的自我註冊 • 透過使用伺服器自我註冊憑證,不需要連線到 Microsoft 註冊服務即可註冊 AD RMS 叢集。 • 整合 AD FS • AD RMS 與 AD FS 整合,讓企業得以使用現有的同盟關係,與外部協力廠商協同作業 • 新的 AD RMS 系統管理角色 • 三種系統管理角色:AD RMS Enterprise 系統管理員、AD RMS 範本管理員,以及 AD RMS 稽核員。

  21. AD RMS的能與不能 • AD RMS可協助您執行下列動作 • 防止受 IRM 保護之內容的授權收件者轉寄、修改、列印、傳真、儲存或剪下並貼上內容。 • 使用與郵件相同的保護層級,保護支援的附件檔案格式。 • 支援受 IRM 保護之郵件和附件的到期功能,以便經過指定期間之後便無法再加以檢視。 • 防止使用 Windows 中的剪取工具來複製受 IRM 保護的內容。

  22. AD RMS的能與不能 • AD RMS 無法防止使用下列方法來複製資訊 • 協力廠商螢幕擷取程式 • 使用者記住或手動抄錄資訊 • 使用照相機等影像裝置拍攝

  23. AD RSM與Exchange 2010 • 用戶端百分之百不需安裝任何元件 • 即使是透過瀏灠器 • 支援OWA用戶端 • IE/Firefox/Safari/Chrome • Windows Mobile 6.x內建支援 • 必需透過Windows Vista或Windows 7啟用 • Apple iPhone 目前仍無法支援 • 主動規則保護,無需人為介入 • 中央統一規則,背景無聲套用 • 支援郵件日誌,保留稽核彈性 • 支援 AD 同盟,上下鏈更安全

  24. 傳輸規則主動保護 Exchange Server 2010 提供組織電子郵件統一的保護與控管 • 以內容為基礎的自動化隱私保護: • 透過傳輸規則套用RMS範本至電子郵件 • 傳輸規則可支援郵件中的附件檔 • (Office系列以及XPS格式,不包含PDF) • 內建”不要轉寄”..等RMS範本

  25. 減少風險:自動套用IRM範本 使用傳輸規則自動套用RMS原則範本 RMS範本可以依據寄件者,通訊群組或是關鍵字做為套用條件 可以套用事先建立好的RMS範本。 例如:不要轉寄。 RMS保護會自動套用到Office附件之中

  26. 改良後的AD RMS • 持續性的保護 • 保護您的敏感性資料,不管它身在何處 • 不論是線上或離線,公司內部或外部 • 都能鎖定在文件本身的使用者權限中 • 更細致的控管 • 使用者能直接將RMS保護套用在Email 本身 • 使用者可以定義誰可以開啟/修改/列印或轉寄Email • 組織可以自訂使用的原則範本 • 例如:”Microsoft機密-唯讀” • 限縮檔案存取授權者Only

  27. 保護更具彈性 • IRM 搜尋 • 可以在Outlook 與OWA上針對被IRM保護的郵件進行全文檢索 • 傳輸解密 • 允許Transport Agents存取被IRM保護的郵件 • 以用來執行內容過濾/反垃圾郵件/病毒掃瞄 • 郵件日誌自動解密 • 自動複製一份被 IRM保護郵件的Clear-text (加密前)副本到日誌信箱

  28. AD RMS 保護的支援案例

  29. AD RMS的部署 • RMS不支援與Exchange 2010安裝在同一台 • RMS不建議與Domain Controller安裝在一起

  30. 在安裝 AD RMS 之前 • 必需要有AD DS(AD Domain Service) • 建立一個AD RMS Services 帳戶 • 僅需Domain Users權限即可 • 建立一個AD RMS 安裝管理帳戶 • 安裝帳戶不能與服務帳戶相同 • 可先加入到Enterprise Admins群組,以便註冊AD RMS SCP • 安裝完成後可以將之移除 • 必需對SQL Server有建立資料庫的權限(sysadmin) • 必需具有AD RMS Server的本機管理者權限 • 安裝完成後可以將之移除 • 必需具有查詢AD的權限 • 建立AD RMS叢集URL的CNAME記錄 • 不能與AD RMS Host Name相同

  31. 安裝 AD RMS 的考量 • 為了效能,應該與SQL Server分開安裝 • 為了安全,應該使用憑證SSL(HTTPS)進行存取 • 自我簽署憑證應該只在測試環境中使用 • 應該先申請好SSL憑證後再開始安裝AD RMS • 安裝AD RMS前請勿插入智慧卡(Smart Card) • AD RMS叢集URL不支援Localhost當做名稱 • AD RMS 預設不支援 Kerberos 驗證 • 如需要支援Kerberos則必需在安裝後手動啟用

  32. Demo 安裝AD RMS

  33. Exchange 2010與AD RMS的整合 • Register a Service Connection Point • Add Permissions for Exchange to Access AD RMS • Set up an RMS Super User Group • Set-IRMConfiguration -InternalLicensingEnabled$TRUE

  34. Demo 新增Exchange存取AD RMS權限設定啟用進階使用者建立AD RMS範本建立傳輸規則套用RMS範本使用OWA傳送IRM郵件RMS保護與郵件日誌

  35. Questions & Answers

  36. 在何處取得 TechNet 相關資訊? • 訂閱 TechNet 資訊技術人快訊 • http://www.microsoft.com/taiwan/technet/flash • 訂閱 TechNet Plus • http://www.microsoft.com/taiwan/technet • 參加 TechNet 的活動 • http://www.microsoft.com/taiwan/technet • 下載 TechNet 研討會簡報與錄影檔 • http://www.microsoft.com/taiwan/technet/webcast

More Related