Don’t worry, Be MAPI ;-) Παύλος Καλογεράς Γιώργος Ανδρίτσος
Ασφάλεια Ηλεκτρονικής Αλληλογραφίας • Προστασία από Ιούς • Προστασία από ανεπιθύμητη αλληλογραφία (SPAM) Σε πολλαπλά επίπεδα • Τερματικό Υπολογιστή • Mail Server • Gateway
Ασφάλεια Ηλεκτρονικής Αλληλογραφίας • Mail Phishing • Προστασία ταυτότητας χρήστη και ασφάλεια κατά την μεταφορά μηνυμάτων. – Ανασφάλεια του SMTP (SMTP/S over TLS) – Έλεγχος με MAPI (Encrypted MAPI) – Sender ID Framework (SPF) – Ψηφιακή Ταυτότητα
Ασφάλεια Ηλεκτρονικής Αλληλογραφίας • Έλεγχος και Προστασία Δεδομένων – Παρεμπόδιση διαρροής ευαίσθητων δεδομένων – Έλεγχος διακινουμένων πληροφοριών Στόχος: Παρεμπόδιση μη εξουσιοδοτημένης διακίνησης ευαίσθητων δεδομένων
Ασφάλεια Ηλεκτρονικής Αλληλογραφίας Rights Management Service • Τεχνολογία προστασίας πληροφοριών βασισμένη σε πλατφόρμα Microsoft Windows – Ο Χρήστης ορίζει ποιός και τι δικαιώματα θα έχει στην πληροφορία – Προστασία μηνυμάτων οπουδήποτε, εντός και εκτός εταιρείας. – Τα δικαιώματα για το «ποιός και τι» ταξιδεύουν μαζί με το μήνυμα
Ασφάλεια Ηλεκτρονικής Αλληλογραφίας Συνεργασία Exchange 2010 και Rights Management Service Αυτόματός Ορισμός Προστασίας Δεδομένων: • Transport Rule για εφαρμογή RMS template στο μήνυμα και στα συνημμένα του •Οι Transport Rules υποστηρίζουν κανόνες για έλεγχο μέσα στο θέμα, στο μήνυμα, ακόμα και στο συνημένο. Αυτόματός Ορισμός Προστασίας Δεδομένων: • Transport Rule για εφαρμογή RMS template στο μήνυμα και στα συνημμένα του •Οι Transport Rules υποστηρίζουν κανόνες για έλεγχο μέσα στο θέμα, στο μήνυμα, ακόμα και στο συνημένο.
Ασφάλεια Ηλεκτρονικής Αλληλογραφίας Συνεργασία Exchange 2010 και Rights Management Service Απαιτήσεις: • Microsoft Active Directory • Windows Server 2008 RMS
Συνεργασία Exchange 2010 και Rights Management Service SCP: Service Connection Point RAC: RMS Account Certificate CLC: Client Licensor Certificate
Η ανάγκη για Archiving μηνυμάτων Που είναι τα σας ? SharePoint Webmail Third Party Archive Backups Exchange Server Outlook PSTs
Ένα δευτερεύον Mailbox το οποίο ρυθμίζει ο Administrator Εμφανίζετε ταυτόχρονα με το κανονικό Mailbox του Χρήστη από Outlook ή Outlook Web App. Μπορούμε να μεταφέρουμε μηνύματα από PST στο Archive ακόμα και με Drag and Drop. Τα μηνύματα στο mailbox του χρήστη μπορούν να μεταφέρονται αυτόματα στο Archive με χρήση Retention Policies Το Archive Mailbox μπορεί να έχει διαφορετικό Quota από το κυρίως Mailbox. Online Archive
New-Enable-Connect Archive GUI Κατά την διάρκεια της δημιουργίας του Mailbox μπορούμε να ενεργοποιήσουμε και Archiving με ένα κλικ Τα Mailbox με Archive έχουν διαφορετικό εικονίδιο Μπορούμε να απενεργοποιήσουμε ή να διαγράψουμε το Archive ξεχωριστά από το κανονικό Mailbox του χρήστη. Διαχείριση και από Powershell
Archive: Message Retention • Move Policy: Μετακινεί αυτόματα μηνύματα στο Archive – Επίπτωση στον Χρήστη: Φροντίζει ώστε να μένουμε μέσα στο Mailbox Quota. – Λειτουργεί σαν το Outlook Auto-Archive αλλά…. Χωρίς PSTs! • Delete Policy: Διαγράφει τα μηνύματα αυτόματα. – Επίπτωση στον Χρήστη: Αφαιρεί μη χρήσιμα μηνύματα – Φροντίζει ώστε να μένουμε μέσα στο Mailbox Quota. – Οι Delete policies μεταφέρονται και στο Archive. • Hold Policy: Διατηρεί αυτόματα μηνύματα για ανάκτηση
User selects 5 Years from set of Policies Ο χρήστης επιλέγει να κρατήσει τα μηνύματα στο mailbox για 5 χρόνια από τα Move Policies OutlookOWA User selects 5 Years from set of Policies Ο χρήστης επιλέγει να κρατήσει τα μηνύματα για 10 χρόνια από τα Delete Policies Archive: Message Retention
Η Hold Policy καταγράφει όλα τα μηνύματα που επεξεργάζονται ή διαγράφονται. Ο χρήστης δουλεύει κανονικά, τα μηνύματα φυλάσσονται σε κρυφούς φάκελους στον Dumpster 2.0. Το Multi-mailbox search μπορεί να βρει μηνύματα που είναι αποθηκευμένα στο Dumpster 2.0. Ο χρήστης ενημερώνεται ότι είναι σε Hold Policy. Archive: Message Retention Hold Policy
High Availability • Απλή Ρύθμιση • Ελαχιστοποίηση κόστους • Λύση από το ίδιο το προιόν • Ταχύτερος Χρόνος ανάκτησης • Υποστήριξη για πιο μεγάλα Mailboxes • Υποστήριξη για μεγάλες και ευέλικτες εγκαταστάσης High Availability … Κάτι που θα εφαρμόζετε σε όλες τις εγκαταστάσεις
DB2 DB3 DB2 DB3 DB4 DB5 Client Access Server Mailbox Server 1 Mailbox Server 2 Mailbox Server 3 Mailbox Server 6 Mailbox Server 4 Dallas San Jose Mailbox Server 5 DB5 DB2 DB3 DB4 DB5 DB1 Failover managed by/with Exchange Database level failover Easy to extend across sites All clients connect via CAS servers DB3 DB5 DB1 Exchange Server 2010
17 Exchange Server 2010 Active Directory Schema Organization
Site: Dublin HUB GC MbxSvr2 DB1 DB2 DB3 DB4DB5DB6 Alt FSW DAG Site: Redmond HUB GC MbxSvr1 DB1 DB2 DB3 DB4DB5DB6 FSW CAS LB Farm
Site: Dublin HUB GC MbxSvr2 DB1 DB2 DB3 DB4DB5DB6 Alt FSW DAG Site: Redmond HUB GC MbxSvr1 DB1 DB2 DB3 DB4DB5DB6 FSW CAS LB Farm
Single Site 3 HA Copies Database Availability Group DB1 DB2 DB3 DB5DB6 DB1 DB2 DB3 DB4DB5DB6 DB1 DB2 DB3 DB4DB5DB6 DB4 Mailbox Server 1 Mailbox Server 2 Mailbox Server 3 3 Nodes X CAS LB Farm AD: Dublin X JBOD -> 3 physical Copies 2 servers out -> manual activation of server 3 In 3 server DAG, quorum is lost DAGs with more servers sustain more failures – greater resiliency High Availability Design Example Double Resilience – Maintenance + DB Failure
Client Access Hub Transport Mailbox Client Access Hub Transport Mailbox Client Access Hub Transport Mailbox Member servers of DAG can host other server roles DB1 DB2 DB3 DB2 DB1 DB2 DB3 2-server DAGs should use RAID 8 processor cores recommended with a maximum of 64GB RAM UM role not recommended for co-location High Availability Design Example Branch/Small Office Design
Networks in an HA Deployment • Requirements – Minimum of 2 networks – Separate subnet per network – <250ms network latency • Network Types – Replication network (1 or more) • Log shipping • Seeds • Incremental Resynch • Heartbeats – MAPI network (1) • MAPI clients – Outlook • Other non-Mailbox servers – HUB, CAS, AD • Heartbeats
Network Design nicΑ nicB nicC MAPI Network Replication Network Outlook HUBCAS nicΑ nicB nicC nicΑ nicB nicC nicΑ nicB nicC