390 likes | 920 Views
Exchange Server 2010 資 料保護進階探討 – DAG 與 IRM. 羅濟棠 Jammy 技術支援副理 合作夥伴支援部. 資料保護進階探 討 Agenda. Exchange 2010 的資 料庫可用性群 組 (DAG) DAG 與 CCR 有何不同 ? 部署 DAG 的條件與考量 如何設定與使用 DAG? 如何讓企業敏感性資料不外流 ? Exchange 2010 的資訊版權管 理 如何設定 Windows Server 2008 R2 的 RMS ? 如何在 Exchange 2010 中套用 IRM 範本?.
E N D
Exchange Server 2010 資料保護進階探討 – DAG 與IRM 羅濟棠 Jammy 技術支援副理 合作夥伴支援部
資料保護進階探討 Agenda • Exchange 2010的資料庫可用性群組(DAG) • DAG與CCR有何不同? • 部署DAG的條件與考量 • 如何設定與使用DAG? • 如何讓企業敏感性資料不外流? • Exchange 2010的資訊版權管理 • 如何設定Windows Server 2008 R2的RMS? • 如何在Exchange 2010中套用IRM範本?
Exchange 2007的高可用性 • Exchange 2007 Single Copy Cluster(SCC) • Exchange 2007 Continuous Replication • Exchange 2007 CCR+SCR
Exchange 2007的高可用性 • Single Copy Cluster (SCC) • 當一個Store失敗時,SCC會重啟同一台機器上的所有Store;無法提供叢集信箱伺服器(CMS)的容錯 • SCC 無法在Storage損毀時,提供自動復原機制 • SCC 無法有效保護您的保貴資料(Single DB) • SCC 無法做到站台的容錯支援(Site Failover) • 結論 • SCC 只能提供伺服器硬體層級的容錯機制 • SCC 無法提供伺服器資料庫容錯保護機制
Exchange 2007的高可用性 • Exchange 2007的連續複寫高可用性
Exchange 2007的高可用性 • Exchange 2007 CCR+SCR (Server centric failover)
Exchange 2010的高可用性 AD site: Dallas DB1 All clients connect via CAS servers Client Access Server Client DB3 DB5 Mailbox Server 6 AD site: San Jose Client Access Server Easy to stretch across sites Failover managed within Exchange Mailbox Server 1 Mailbox Server 2 Mailbox Server 3 Mailbox Server 4 Mailbox Server 5 Database Availability Group DB1 DB1 DB1 DB4 DB2 DB5 DB3 DB2 DB5 DB3 DB4 DB1 Database centric failover DB1 DB3 DB2 DB5 DB4
Exchange 2010HA的主要特性 • 資料庫行動力(Database Mobility ) • Exchange 2007 CMS為伺服器層級,所以當單一的資料庫發生損毀時,會使整個CMS Failover到另一個Node。這會波及其它還可用的資料庫使用者。 • Exchange 2010透過資料庫行動力擴充系統對連續複寫的使用。 • Exchange 2010的資料庫行動力提供更好的資料庫保護及更高的可用性。 • 當發生資料庫損毀時,資料庫副本可以立即(約30秒)接手。因此,Exchange 2010提供了資料庫層級的容錯機制。
Exchange 2010HA的主要特性 • 增量部署(Incremental Deployment ) • Exchange 2007的CMS只支援Mailbox Server且必需事先成為Windows Cluster Node • Exchange 2010的DAG可以支援All in One伺服器角色。可以在事後隨時加入到DAG成為DAG複寫成員。 • Exchange 2007的CMS必需使用專用的硬體,硬體必需符合Windows Cluster的要求。 • Exchange 2010的DAG整合了Windows Cluster元件,不再要求必需要使用專用的硬體。這也使得Exchange 2010可以在日後隨時變更成為DAG成員。
Exchange 2010HA的主要特性 • 資料庫可用性群組(Database Availability Groups ,DAG) • Exchange 2007 叢集必需使用專用的硬體 • Exchange 2007 叢集只能安裝於Mailbox Server • Exchange 2007 CMS 必需要有Windows Cluster知識 • Exchange 2007 CCR 兩兩為一組 • Exchange 2010DAG 不需要專用的硬體 • Exchange 2010 DAG 可以支援 All in one的部署 • Exchange 2010 DAG 直接整合了Windows Cluster • Exchange 2010 DAG 可支援最多16個副本 • Exchange 2007 CCR+SCR=Exchange 2010 DAG
Exchange 2010HA的主要特性 • 信箱資料庫副本 • Database Mobility已經中斷資料庫與伺服器的關聯,並且新增了單一資料庫可擁有最多16個副本的支援 • Database Mobility與先前Database portability 的唯一差別是:資料庫的所有副本都具有相同的 GUID • 當DAG資料庫發生失敗時,AM會自動復原至DAG的其它資料庫副本並設定成為主動資料庫 • 若所有資料庫副本都不符合自動裝載(Auto Mount)的準則,則可以透過手動方式進行裝載(Mount)
Exchange 2010HA的主要特性 • Active Manager • 分成PAM與SAM兩種 • PAM:Primary Active Manager 主要AM • SAM:Standby Active Manager 待機AM • 在所有隸屬資料庫DAG 的信箱伺服器上執行 • PAM 負責取得拓撲變更通知,並回應伺服器失敗 • SAM 會偵測到本機資料庫與本機資訊儲存庫的失敗。並會要求 PAM 初始化容錯移轉 (如果資料庫已複寫的話) 來回應失敗 • 取代舊版 Exchange 與叢集服務整合後所提供的資源模型與容錯移轉管理功能 • Exchange 2010不再使用叢集資源模型來提供高可用性 • Exchange 2010不再是叢集應用程式(Clustered Application)
關於DAG… • 所有DAG成員的作業系統都必需是企業版 • 所有DAG成員的作業系統版本都必需相同 • 不可將Windows Server 2008與Windows Server 008 R2混合使用 • 作業系統的Service Pack也必需一致 • 所有DAG成員的資料庫路徑必需一致 • DAG成員可以是由Exchange 2010標準版與企業版組成 • 但標準版最多只能擁有5個資料庫(主動加副本)
部署DAG的規劃考量 • Network的考量 • DAG內的每一個成員的Network要求 • DAG成員必需至少要有兩張網卡 • 每張網卡的IP必需是不同的Subnet • CAS<>Mailbox Server的網路回應時間(Network Latency Time)必需要低於50~100ms • 每一個DAG成員間的網路回應時間必需要低於250ms
部署DAG的規劃考量 • 見證伺服器 • DAG使用如同CCR的技術,所以若當同一個DAG群組中的成員數為偶數時,則應該要再找一台伺服器來擔任見證伺服器如此才能維持DAG發生Failover時的仲裁機制 • 只要是Windows Server 2003 SP1且安裝了 KB921181的更新程式之後的Windows Server作業系統都可以擔任見證伺服器的功能
DAG跨Site的部署考量 • 複寫與WAN 的考量 • 每一個DAG成員的network latency 必需低於250ms • 複寫的吞吐量是個重點 • 愈高的latency愈少的複寫吞吐量 • 其它考量 • CAS在站台失效時會根據用戶端所使用的Protocol來決定Redirect或是Autodiscover • 當Exchange 2010同時也是DC角色時,不支援成為DAG成員
部署 Exchange 2010 HA • Create a DAGNew-DatabaseAvailabilityGroup -Name DAG1 -FileShareWitnessShare \\EXHUB1\DAG1FSW -FileShareWitnessDirectory C:\DAG1FSW • Add first Mailbox Server to DAGAdd-DatabaseAvailbilityGroupServer -Identity DAG1 -MailboxServer EXMBX1 -DatabaseAvailablityGroupIpAddresses 10.0.0.8 • Add second and subsequent Mailbox ServerAdd-DatabaseAvailabilityGroupServer -Identity DAG1 -MailboxServer EXMBX2Add-DatabaseAvailabilityGroupServer -Identity DAG1 -MailboxServer EXMBX2 -DatabaseAvailablityGroupIpAddresses 10.0.0.8,10.0.1.8 • Add Mailbox Database CopyAdd-MailboxDatabaseCopy -Identity MBXDB1 -MailboxServer EXMBX3 • Extend as needed
Exchange 2010的資訊版權管理 • Windows Server 2008 R2 AD RMS 新功能 • 加強的安裝與管理體驗 • AD RMS 內建於 Windows Server 2008 中為伺服器角色之一。 • AD RMS 的管理作業是透過 MMC 完成,而非先前版本中的「網站管理」。 • AD RMS 叢集的自我註冊 • 透過使用伺服器自我註冊憑證,不需要連線到 Microsoft 註冊服務即可註冊 AD RMS 叢集。 • 整合 AD FS • AD RMS 與 AD FS 整合,讓企業得以使用現有的同盟關係,與外部協力廠商協同作業 • 新的 AD RMS 系統管理角色 • 三種系統管理角色:AD RMS Enterprise 系統管理員、AD RMS 範本管理員,以及 AD RMS 稽核員。
AD RMS的能與不能 • AD RMS可協助您執行下列動作 • 防止受 IRM 保護之內容的授權收件者轉寄、修改、列印、傳真、儲存或剪下並貼上內容。 • 使用與郵件相同的保護層級,保護支援的附件檔案格式。 • 支援受 IRM 保護之郵件和附件的到期功能,以便經過指定期間之後便無法再加以檢視。 • 防止使用 Windows 中的剪取工具來複製受 IRM 保護的內容。
AD RMS的能與不能 • AD RMS 無法防止使用下列方法來複製資訊 • 協力廠商螢幕擷取程式 • 使用者記住或手動抄錄資訊 • 使用照相機等影像裝置拍攝
AD RSM與Exchange 2010 • 用戶端百分之百不需安裝任何元件 • 即使是透過瀏灠器 • 支援OWA用戶端 • IE/Firefox/Safari/Chrome • Windows Mobile 6.x內建支援 • 必需透過Windows Vista或Windows 7啟用 • Apple iPhone 目前仍無法支援 • 主動規則保護,無需人為介入 • 中央統一規則,背景無聲套用 • 支援郵件日誌,保留稽核彈性 • 支援 AD 同盟,上下鏈更安全
傳輸規則主動保護 Exchange Server 2010 提供組織電子郵件統一的保護與控管 • 以內容為基礎的自動化隱私保護: • 透過傳輸規則套用RMS範本至電子郵件 • 傳輸規則可支援郵件中的附件檔 • (Office系列以及XPS格式,不包含PDF) • 內建”不要轉寄”..等RMS範本
減少風險:自動套用IRM範本 使用傳輸規則自動套用RMS原則範本 RMS範本可以依據寄件者,通訊群組或是關鍵字做為套用條件 可以套用事先建立好的RMS範本。 例如:不要轉寄。 RMS保護會自動套用到Office附件之中
改良後的AD RMS • 持續性的保護 • 保護您的敏感性資料,不管它身在何處 • 不論是線上或離線,公司內部或外部 • 都能鎖定在文件本身的使用者權限中 • 更細致的控管 • 使用者能直接將RMS保護套用在Email 本身 • 使用者可以定義誰可以開啟/修改/列印或轉寄Email • 組織可以自訂使用的原則範本 • 例如:”Microsoft機密-唯讀” • 限縮檔案存取授權者Only
保護更具彈性 • IRM 搜尋 • 可以在Outlook 與OWA上針對被IRM保護的郵件進行全文檢索 • 傳輸解密 • 允許Transport Agents存取被IRM保護的郵件 • 以用來執行內容過濾/反垃圾郵件/病毒掃瞄 • 郵件日誌自動解密 • 自動複製一份被 IRM保護郵件的Clear-text (加密前)副本到日誌信箱
AD RMS的部署 • RMS不支援與Exchange 2010安裝在同一台 • RMS不建議與Domain Controller安裝在一起
在安裝 AD RMS 之前 • 必需要有AD DS(AD Domain Service) • 建立一個AD RMS Services 帳戶 • 僅需Domain Users權限即可 • 建立一個AD RMS 安裝管理帳戶 • 安裝帳戶不能與服務帳戶相同 • 可先加入到Enterprise Admins群組,以便註冊AD RMS SCP • 安裝完成後可以將之移除 • 必需對SQL Server有建立資料庫的權限(sysadmin) • 必需具有AD RMS Server的本機管理者權限 • 安裝完成後可以將之移除 • 必需具有查詢AD的權限 • 建立AD RMS叢集URL的CNAME記錄 • 不能與AD RMS Host Name相同
安裝 AD RMS 的考量 • 為了效能,應該與SQL Server分開安裝 • 為了安全,應該使用憑證SSL(HTTPS)進行存取 • 自我簽署憑證應該只在測試環境中使用 • 應該先申請好SSL憑證後再開始安裝AD RMS • 安裝AD RMS前請勿插入智慧卡(Smart Card) • AD RMS叢集URL不支援Localhost當做名稱 • AD RMS 預設不支援 Kerberos 驗證 • 如需要支援Kerberos則必需在安裝後手動啟用
Exchange 2010與AD RMS的整合 • Register a Service Connection Point • Add Permissions for Exchange to Access AD RMS • Set up an RMS Super User Group • Set-IRMConfiguration -InternalLicensingEnabled$TRUE
Demo 新增Exchange存取AD RMS權限設定啟用進階使用者建立AD RMS範本建立傳輸規則套用RMS範本使用OWA傳送IRM郵件RMS保護與郵件日誌
在何處取得 TechNet 相關資訊? • 訂閱 TechNet 資訊技術人快訊 • http://www.microsoft.com/taiwan/technet/flash • 訂閱 TechNet Plus • http://www.microsoft.com/taiwan/technet • 參加 TechNet 的活動 • http://www.microsoft.com/taiwan/technet • 下載 TechNet 研討會簡報與錄影檔 • http://www.microsoft.com/taiwan/technet/webcast