V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
lonelygo
V2EX  ›  问与答

有关 Exchange Server2010, EMC 存储的几个问题,求帮助!

  •  
  •   lonelygo · 2015-04-15 10:42:58 +08:00 · 2865 次点击
    这是一个创建于 3545 天前的主题,其中的信息可能已经有所发展或是发生改变。

    有以下几个问题比较疑惑,求帮助。
    1、使用了Citrix的桌面虚拟化系统的客户桌面,要求在虚机中:不能上外网(已经实现),并且邮件客户端可以收取所有邮件,但是只能向特定地址发送邮件,同时,不限制在物理机的邮件行为。
    由于同样一个ID在不同场景下的控制是不同的,所以在Exchange上简单的做策略是不行的,由于桌面虚拟化的虚机的网段是专有的,考虑的方案是在“发送联接器”中做配置, 现在的问题是:

    a、Exchange2010的发送联接器,是否支持对源IP判断后使用不同的规则处理发送邮件的请求?
    b、如果支持,如何配置,如果手头有环境,最好能给几张图。(这里的ExchangeServer是另外一个公司管理的,我暂时没环境研究,只能拿出来可行的方案与人家去沟通,看人家配合做策略不)。

    2、有一个EMC 5600的存储,双控制器FC部分不考虑,有26T的空间做成了NAS,主要是做为用户私有云的云盘使用,现在有两个问题:
    a、NAS的防病毒应该如何做?
    b、NAS上的文件有什么备份工具可以做备份(如果能有版本管理更好)。

    13 条回复    2015-04-17 14:50:33 +08:00
    AntiGameZ
        1
    AntiGameZ  
       2015-04-15 13:46:14 +08:00   ❤️ 1
    Exchange 不懂

    --

    VNX 5600 做 NAS,当初干嘛不买 NetApp 呢?

    NAS 是以什么方式分给最终用户用的,云盘用的哪家方案,是不是只有在虚拟桌面里面才能访问?
    如果是和虚拟桌面紧密相关的话,建议在VDI这头做防病毒(比如用趋势的VDI解决方案,赛门铁克也有)。如果还有非VDI用户访问,应该在云盘层面做。总之不应该在存储层面做。

    存储的备份一般不会有版本管理功能,更多是使用快照的方式去做备份。

    如果你只是在构思方案阶段的话,云盘可以直接上 EMC 家的 syncplicity,防病毒和版本控制全部解决了。
    lonelygo
        2
    lonelygo  
    OP
       2015-04-15 15:18:35 +08:00
    @AntiGameZ 可能是我描述的不够清晰,混淆你的视线了。
    VNX5600 一共56T的样子,有30T是FC的,26T拿出来做了NAS。
    NAS就可以理解为“云盘”,是给每个虚拟桌面给了100G的存储空间。
    现在项目基本搞完了,新采购基本不可能(除非愿意白送)。EMC的给了一个CAVA tools,没文档,也查不到文档,看起来是个NAS防毒用的,不过好像还要调用商用的防毒软件的引擎来扫描。

    另外,现在搞不清楚做成NAS的这部分可以用快照不,而且也没确定快照是否是免费的。

    我只能说,我在一个坑里。
    archean
        3
    archean  
       2015-04-15 16:19:13 +08:00   ❤️ 1
    Exchange Server 这块,先说结论:不能用你的方案实现。

    按我理解,可能是内网用虚拟桌面做开发机,不想以任何途径将代码传送出来,如果是这样的话,使用一套账号体系实现不了,建议每个人开2个账号,开发账号和日常沟通账号,日常沟通账号配置自动转发,所有邮件转发给开发账号,然后在传输规则做策略将来自开发账号的邮件按需求拦截掉就可以实现了。但是成本有点高,每个账号都要有 CAL 许可。

    NAS 没搞过,不说了。
    lonelygo
        4
    lonelygo  
    OP
       2015-04-15 17:19:10 +08:00
    @archean 要是做开发环境管理就好了,是给国企上桌面虚拟化。
    对方项目负责人一口咬定招标要求了可以限制邮件外发,要求必须实现,根本不管Exchange Server这块根本不是这个项目的内容。
    我查了一下,Exchange Server 2013的传输规则新增了“*SenderIPRanges 用于检测从一组特定 IP 地址范围发送的邮件*”这个规则,貌似是考虑对发件人的IP进行过滤的,可是,他们现在是2010,也没有升级计划,我也没有环境做实验。
    愁人。
    archean
        5
    archean  
       2015-04-15 18:04:16 +08:00
    @lonelygo 嗯,2010不具备这个属性。
    lonelygo
        6
    lonelygo  
    OP
       2015-04-15 18:08:59 +08:00
    @archean 那么,2010下有没有类似的方案,那怕第三方的也行。
    桌面虚拟化是个单独的网段,只有这个特征是可以利用的。
    居然有人告诉我装个防火墙,用防火墙的策略处理,我表示我的知识体系很难理解这种奇葩思路居然敢说出来。
    AntiGameZ
        7
    AntiGameZ  
       2015-04-15 18:49:51 +08:00   ❤️ 1
    @lonelygo 做解决方案的人真敢想。

    CAVA 只支持 CIFS,NAS 没戏。

    Snapshot 支持 NAS,但是 Snapshot 没法对应你分出去的一个个空间为单位做操作。
    archean
        8
    archean  
       2015-04-15 21:37:10 +08:00   ❤️ 1
    @lonelygo Exchange 有一个 Message Tracking Log,这个 Log 中第 24 个字段是"original-client-ip",理论上可以通过分析日志中的此字段来做点事情:

    1. 给 Hub Transport 发送指令来 Drop 掉某封邮件(命令是"Remove-Message -WithNDR $True",Exchange 中一封邮件在组织内传递时理论上最少有2个阶段,RECEIVE 和 DELIVER,要么就是 RECEIVE 和 SEND,要让程序足够快,在第二个阶段处理之前搞定,也许有办法让邮件队列缓慢传送,我需要再去看一下资料才能确定);

    2. 如果方法1来不及,可以使用 Search-Mailbox 在收件人邮箱中删除掉这封特定邮件(这个只能针对组织内收件人)。
    lonelygo
        9
    lonelygo  
    OP
       2015-04-16 09:53:46 +08:00
    @AntiGameZ
    CAVA也没希望了?那防病毒只能考虑在桌面层面处理了?
    能按照LUN 来做Snapshot否?不同的LUN 不同的Snapshot策略。
    lonelygo
        10
    lonelygo  
    OP
       2015-04-16 10:07:56 +08:00
    @archean
    方法2,应该不行,因为用户是国字头的某个省公司,要求是限制*@省.集团.gov.cn*中的“部分省是可以直接发的,部分是限制发送的”。
    更关键的是,这个限制要求仅仅在虚机中生效,在其他网络环境中不生效,所以做任何策略,都要首先解决*如何判断这个邮件从哪里发出来的问题*。这个也是目前最让人崩溃的问题。
    所以,在你的方案1中,是否有发送人的源IP这样的字段?
    archean
        11
    archean  
       2015-04-16 18:03:10 +08:00
    @lonelygo "original-client-ip" 就是客户端源IP。
    lonelygo
        12
    lonelygo  
    OP
       2015-04-17 10:36:50 +08:00
    @archean 下面的问题就是要如何缓存邮件,让解析后慢点发出去,让脚本有时间运行?
    archean
        13
    archean  
       2015-04-17 14:50:33 +08:00
    @lonelygo 对,可以先往这个方向努力,有更好的方案我们再讨论。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2656 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 05:39 · PVG 13:39 · LAX 21:39 · JFK 00:39
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.