Transcript Exchange Server 2010 資料保護進階探討– DAG 與IRM

羅濟棠 Jammy
技術支援副理
合作夥伴支援部

Exchange 2010的資料庫可用性群組(DAG)




DAG與CCR有何不同?
部署DAG的條件與考量
如何設定與使用DAG?
如何讓企業敏感性資料不外流？



Exchange 2010的資訊版權管理
如何設定Windows Server 2008 R2的RMS？
如何在Exchange 2010中套用IRM範本？



Exchange 2007 Single Copy Cluster(SCC)
Exchange 2007 Continuous Replication
Exchange 2007 CCR+SCR

Single Copy Cluster (SCC)
當一個Store失敗時，SCC會重啟同一台機器上的所有
Store；無法提供叢集信箱伺服器(CMS)的容錯
 SCC 無法在Storage損毀時，提供自動復原機制
 SCC 無法有效保護您的保貴資料(Single DB)
 SCC 無法做到站台的容錯支援(Site Failover)


結論


SCC 只能提供伺服器硬體層級的容錯機制
SCC 無法提供伺服器資料庫容錯保護機制

Exchange 2007的連續複寫高可用性

Exchange 2007 CCR+SCR (Server centric failover)
AD site: Dallas
All clients connect
via CAS servers
Client Access
Server
Mailbox
Server 6
AD site: San Jose
Client Access
Server
Mailbox
Server 1
Mailbox
Server 2
Easy to stretch
across sites
Mailbox
Server 3
Mailbox
Server 4
Mailbox
Server 5
Failover managed
within Exchange
Database
centric failover

資料庫行動力(Database Mobility )
Exchange 2007 CMS為伺服器層級，所以當單一的資
料庫發生損毀時，會使整個CMS Failover到另一個
Node。這會波及其它還可用的資料庫使用者。
 Exchange 2010透過資料庫行動力擴充系統對連續複
寫的使用。
 Exchange 2010的資料庫行動力提供更好的資料庫保
護及更高的可用性。
 當發生資料庫損毀時，資料庫副本可以立即(約30秒)
接手。因此，Exchange 2010提供了資料庫層級的容
錯機制。


增量部署(Incremental Deployment )




Exchange 2007的CMS只支援Mailbox Server且必需
事先成為Windows Cluster Node
Exchange 2010的DAG可以支援All in One伺服器角
色。可以在事後隨時加入到DAG成為DAG複寫成員。
Exchange 2007的CMS必需使用專用的硬體，硬體必
需符合Windows Cluster的要求。
Exchange 2010的DAG整合了Windows Cluster元件，
不再要求必需要使用專用的硬體。這也使得Exchange
2010可以在日後隨時變更成為DAG成員。

資料庫可用性群組(Database Availability Groups ,DAG)









Exchange 2007 叢集必需使用專用的硬體
Exchange 2007 叢集只能安裝於Mailbox Server
Exchange 2007 CMS 必需要有Windows Cluster知識
Exchange 2007 CCR 兩兩為一組
Exchange 2010 DAG 不需要專用的硬體
Exchange 2010 DAG 可以支援 All in one的部署
Exchange 2010 DAG 直接整合了Windows Cluster
Exchange 2010 DAG 可支援最多16個副本
Exchange 2007 CCR+SCR=Exchange 2010 DAG

信箱資料庫副本



Database Mobility已經中斷資料庫與伺服器的關聯，
並且新增了單一資料庫可擁有最多16個副本的支援
Database Mobility與先前Database portability 的唯
一差別是：資料庫的所有副本都具有相同的 GUID
當DAG資料庫發生失敗時，AM會自動復原至DAG的
其它資料庫副本並設定成為主動資料庫
 若所有資料庫副本都不符合自動裝載(Auto Mount)的準
則，則可以透過手動方式進行裝載(Mount)

Active Manager

分成PAM與SAM兩種
 PAM：Primary Active Manager 主要AM
 SAM：Standby Active Manager 待機AM

在所有隸屬資料庫DAG 的信箱伺服器上執行
 PAM 負責取得拓撲變更通知，並回應伺服器失敗
 SAM 會偵測到本機資料庫與本機資訊儲存庫的失敗。並
會要求 PAM 初始化容錯移轉 (如果資料庫已複寫的話)
來回應失敗

取代舊版 Exchange 與叢集服務整合後所提供的資源
模型與容錯移轉管理功能
 Exchange 2010不再使用叢集資源模型來提供高可用性
 Exchange 2010不再是叢集應用程式(Clustered Application)


所有DAG成員的作業系統都必需是企業版
所有DAG成員的作業系統版本都必需相同
不可將Windows Server 2008與Windows Server
008 R2混合使用
 作業系統的Service Pack也必需一致



所有DAG成員的資料庫路徑必需一致
DAG成員可以是由Exchange 2010標準版與企
業版組成

但標準版最多只能擁有5個資料庫(主動加副本)

Network的考量

DAG內的每一個成員的Network要求
 DAG成員必需至少要有兩張網卡
 每張網卡的IP必需是不同的Subnet
 CAS<>Mailbox Server的網路回應時間(Network
Latency Time)必需要低於50~100ms
 每一個DAG成員間的網路回應時間必需要低於250ms

見證伺服器


DAG使用如同CCR的技術，所以若當同一個DAG群組
中的成員數為偶數時，則應該要再找一台伺服器來擔
任見證伺服器如此才能維持DAG發生Failover時的仲
裁機制
只要是Windows Server 2003 SP1且安裝了 KB921181
的更新程式之後的Windows Server作業系統都可以
擔任見證伺服器的功能

複寫與WAN 的考量


每一個DAG成員的network latency 必需低於250ms
複寫的吞吐量是個重點
 愈高的latency愈少的複寫吞吐量

其它考量


CAS在站台失效時會根據用戶端所使用的Protocol來
決定Redirect或是Autodiscover
當Exchange 2010同時也是DC角色時，不支援成為
DAG成員
Legacy Deployment Steps
(CCR/SCC)
Exchange 2010 Incremental
Deployment
1. Prepare hardware, install proper
OS, and update
Extra for SCC: configure storage
2. Build Windows Failover Cluster
Extra for SCC: configure storage
3. Configure cluster quorum, file share
witness, and public and private
networks
4. Run Setup in Custom mode and
install clustered mailbox server
5. Configure clustered mailbox server
Extra for SCC: configure disk
resource dependencies
6. Test *overs
1. Prepare hardware, install proper
OS, and update
2. Run Setup and install Mailbox role
3. Create a DAG and replicate
databases
4. Test *overs

Create a DAG
New-DatabaseAvailabilityGroup -Name DAG1 -FileShareWitnessShare
\\EXHUB1\DAG1FSW -FileShareWitnessDirectory C:\DAG1FSW

Add first Mailbox Server to DAG
Add-DatabaseAvailbilityGroupServer -Identity DAG1 -MailboxServer EXMBX1
-DatabaseAvailablityGroupIpAddresses 10.0.0.8

Add second and subsequent Mailbox Server
Add-DatabaseAvailabilityGroupServer -Identity DAG1 -MailboxServer
EXMBX2
Add-DatabaseAvailabilityGroupServer -Identity DAG1 -MailboxServer
EXMBX2 -DatabaseAvailablityGroupIpAddresses 10.0.0.8,10.0.1.8

Add Mailbox Database Copy
Add-MailboxDatabaseCopy -Identity MBXDB1 -MailboxServer EXMBX3

Extend as needed

Windows Server 2008 R2 AD RMS 新功能

加強的安裝與管理體驗
 AD RMS 內建於 Windows Server 2008 中為伺服器角
色之一。
 AD RMS 的管理作業是透過 MMC 完成，而非先前版本
中的「網站管理」。

AD RMS 叢集的自我註冊
 透過使用伺服器自我註冊憑證，不需要連線到
Microsoft 註冊服務即可註冊 AD RMS 叢集。

整合 AD FS
 AD RMS 與 AD FS 整合，讓企業得以使用現有的同盟關
係，與外部協力廠商協同作業

新的 AD RMS 系統管理角色
 三種系統管理角色：AD RMS Enterprise 系統管理員、
AD RMS 範本管理員，以及 AD RMS 稽核員。

AD RMS可協助您執行下列動作




防止受 IRM 保護之內容的授權收件者轉寄、修改、列
印、傳真、儲存或剪下並貼上內容。
使用與郵件相同的保護層級，保護支援的附件檔案格
式。
支援受 IRM 保護之郵件和附件的到期功能，以便經過
指定期間之後便無法再加以檢視。
防止使用 Windows 中的剪取工具來複製受 IRM 保護
的內容。

AD RMS 無法防止使用下列方法來複製資訊



協力廠商螢幕擷取程式
使用者記住或手動抄錄資訊
使用照相機等影像裝置拍攝

用戶端百分之百不需安裝任何元件


支援OWA用戶端






IE/Firefox/Safari/Chrome
Windows Mobile 6.x內建支援


即使是透過瀏灠器
必需透過Windows Vista或Windows 7啟用
Apple iPhone 目前仍無法支援
主動規則保護，無需人為介入
中央統一規則，背景無聲套用
支援郵件日誌，保留稽核彈性
支援 AD 同盟，上下鏈更安全
Exchange Server 2010 提供組織電子郵件統一的保護與控管
以內容為基礎的自動化隱私保護:
•透過傳輸規則套用RMS範本至電子郵件
•傳輸規則可支援郵件中的附件檔
(Office系列以及XPS格式，不包含PDF)
• 內建”不要轉寄”..等RMS範本
使用傳輸規則自動
套用RMS原則範本
RMS範本可以依
據寄件者，通訊
群組或是關鍵字
做為套用條件
可以套用事先建立
好的RMS範本。
例如：不要轉寄。
RMS保護會自動套用到Office附件之中

持續性的保護




保護您的敏感性資料，不管它身在何處
不論是線上或離線，公司內部或外部
都能鎖定在文件本身的使用者權限中
更細致的控管

使用者能直接將RMS保護套用在Email 本身
使用者可以定義誰可以開啟／修改／列印或轉寄Email
組織可以自訂使用的原則範本

限縮檔案存取授權者Only


 例如：”Microsoft機密－唯讀”

IRM 搜尋


可以在Outlook 與OWA上針對被IRM保護的郵件進行
全文檢索
傳輸解密

允許Transport Agents存取被IRM保護的郵件
 以用來執行內容過濾／反垃圾郵件／病毒掃瞄

郵件日誌自動解密

自動複製一份被 IRM保護郵件的Clear-text (加密前)
副本到日誌信箱
案例
支援 IRM 保護嗎？
傳送給 Exchange 組織內部信箱使用者的郵件
是
傳送給組織內部通訊群組的郵件
是
附註：
如果通訊群組包含 Exchange 組織外部的收件者，請參閱「傳送
給組織外部收件者的郵件」。
傳送給組織外部收件者的郵件
否
附註：
Exchange 2010 未包含傳送受 IRM 保護之郵件給外部收件者的解
決方案。AD RMS 藉由使用信任原則提供解決方案。您可以在 AD
RMS 叢集和 Windows Live ID 之間設定信任原則。對於在兩個組
織之間傳送的郵件，可以使用 Active Directory Federation
Services (AD FS)，在兩個 Active Directory 樹系間建立同盟信任。
若要深入了解，請參閱了解 AD RMS 信任原則。
傳送給 Exchange 組織外部通訊群組或通訊群組清單的郵件
否
附註：
外部通訊群組清單或通訊群組擴充不會在您的 Exchange 組織內
部發生。傳送給外部通訊群組的受 IRM 保護的郵件，包含群組的
授權，但不含群組成員的授權。群組成員將無法存取郵件。
Feature


Single Box
Split
Cluster
Pre-licensing
√
√
√
RMS Encryption
√
√
√
RMS/Journal Report
Decryption
√
√
√
IRM Enabled Outlook
Web App
Not Supported
√
√
IRM Enabled Unified
Messaging
Not Supported
√
√
RMS不支援與Exchange 2010安裝在同一台
RMS不建議與Domain Controller安裝在一起



必需要有AD DS(AD Domain Service)
建立一個AD RMS Services 帳戶

僅需Domain Users權限即可


安裝帳戶不能與服務帳戶相同
可先加入到Enterprise Admins群組，以便註冊AD RMS
SCP
建立一個AD RMS 安裝管理帳戶
 安裝完成後可以將之移除



必需對SQL Server有建立資料庫的權限(sysadmin)
必需具有AD RMS Server的本機管理者權限

必需具有查詢AD的權限

不能與AD RMS Host Name相同
 安裝完成後可以將之移除
建立AD RMS叢集URL的CNAME記錄


為了效能，應該與SQL Server分開安裝
為了安全，應該使用憑證SSL(HTTPS)進行存取





自我簽署憑證應該只在測試環境中使用
應該先申請好SSL憑證後再開始安裝AD RMS
安裝AD RMS前請勿插入智慧卡(Smart Card)
AD RMS叢集URL不支援Localhost當做名稱
AD RMS 預設不支援 Kerberos 驗證

如需要支援Kerberos則必需在安裝後手動啟用

Register a Service Connection Point
Add Permissions for Exchange to Access AD
RMS
Set up an RMS Super User Group

Set-IRMConfiguration -InternalLicensingEnabled $TRUE



訂閱 TechNet 資訊技術人快訊


訂閱 TechNet Plus


http://www.microsoft.com/taiwan/technet
參加 TechNet 的活動


http://www.microsoft.com/taiwan/technet/flash
http://www.microsoft.com/taiwan/technet
下載 TechNet 研討會簡報與錄影檔

http://www.microsoft.com/taiwan/technet/webcast