Exchange电子邮件系统解决方案.docx
《Exchange电子邮件系统解决方案.docx》由会员分享,可在线阅读,更多相关《Exchange电子邮件系统解决方案.docx(31页珍藏版)》请在冰点文库上搜索。
Exchange电子邮件系统解决方案
邮
件
系
统
建
设
方
案
北京美承互联数码科技发展有限公司
2014-02
现状分析
分析贵公司的目前情况,综合需求,我们认为贵公司的企业信息化实施应该分为三个阶段:
1、基础架构实现阶段;
2、信息化实现阶段;
3、信息安全(包括端点安全、数据安全和服务安全)提升阶段;
基础架构实现阶段是为后期贵公司的信息化建设做底层架构策略,完善底层架构将会完成企业信息化基础架构的标准,利用该标准来规划以后的信息化方向;
信息化实现阶段是我们利用之前所创建的基础架构,来完善信息化,根据企业需求来实现实际应用;当我们的信息化上升到一定规模,我们的信息安全将面临考验,我们需要采用切实可行的企业安全策略来保护我们企业的信息安全。
需求分析
该方案为建议性解决方案,如方案中需规模性改造企业网络,我们会根据最终网络拓扑和实际网络情况进行相应的方案改进,并最终形成可行性解决方案。
需求分析如下:
1、MicrosoftExchange邮件服务器;
2、邮箱空间限制在100MB,当空间使用率达到80%,提醒用户;
3、邮件附件大小限制在30MB以内;
4、要求设置密码策略,密码使用周期小于3个月,密码不能少于8位,并遵循密码复杂度要求(必须包含数字、字母和特殊符号);
5、OWA模式邮件收发方式;
6、继续接受旧服务器邮件;
7、建立全球通讯录;
8、使用HTTP连接到MicrosoftExchange;
9、域管理:
实现开发环境标准化、提高信息和网络安全;
10、未来域模式规划;
方案设计术语
ActiveDirectory:
ActiveDirectory(活动目录)动目录(ActiveDirectory)是面向WindowsStandardServer、WindowsEnterpriseServer以及WindowsDatacenterServer的目录服务。
(ActiveDirectory不能运行在WindowsWebServer上,但是可以通过它对运行WindowsWebServer的计算机进行管理。
)ActiveDirectory存储了有关网络对象的信息,并且让管理员和用户能够轻松地查找和使用这些信息。
ActiveDirectory使用了一种结构化的数据存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织。
备份系统:
传统机制的备份系统无法对现在使用的应用平台做完整细粒度备份,一旦应用发生灾难性损坏,后果将不堪设想,我们利用专业备份系统来弥补这个问题的空白。
方案设计拓扑图
拓扑图图示
方案设计简介
本方案中我们将完成的是基础架构建设的起步,利用微软公司提供的解决方案来规划我们的企业信息架构:
本方案将利用的解决方案包括:
MicrosoftActiveDirectory、MicrosoftExchange电子邮件及反垃圾邮件系统、Symantec数据备份系统。
本方案计划采用2台Exchange邮件服务器+2台AD服务器,方案设计AD服务器两台并行,互备结构信息,当其中1台AD服务器发生故障,另外一台会继续为企业提供策略服务。
因考虑Exchange服务器安全运行,Exchange中的客户端访问服务器角色、边缘传输服务器角色、中心传输服务器角色、邮箱服务器角色和统一消息服务器角色在同一台服务器上,而Exchange服务器需要对外公开发布,考虑到企业其他内部服务器的安全性,我们建议将其中1台Exchange服务器安放在企业的DMZ区域中,这台邮件服务器,提供邮件收发过程中的过滤功能。
同时,多种角色存在于同一台服务器,反垃圾邮件系统不可以在该服务器上运行,原因是反垃圾邮件服务器(边缘传输服务器角色)会占用大量的系统物理资源,影响Exchange主服务(邮件服务)正常提供服务,因此,我们建议在邮件服务器和企业防火墙之间加设反垃圾邮件网关(也就是梭子鱼邮件防火墙系统)。
本次方案旨在定义企业基础架构模型,结合企业行政管理架构来定义企业用户在企业中的位置,并规划相关权限,为后期客户端以域管理模式进入企业网络做准备。
前期将规划相关事项的定义(网络定义需结合网络产品供应商),其中包括:
✧服务器群组的计算机名定义、服务器管理组和用户组权限定义、IP地址范围定义、VLAN定义、DMZ区域定义等;
✧客户端群的计算机名定义、用户名定义、IP定制定义、VLAN定义、VLAN互访策略定义、客户端实际使用权限定义等;
✧邮件服务器的邮箱容量定义、又将收发规则定义、梭子鱼反垃圾邮件策略、邮箱访问方式等。
MicrosoftActiveDirectory
方案规划贵公司采用单林单域方式,组织单元规划根据企业实际行政规划来设计。
AD明细如下:
✧地址分配
地址分配即IP地址的分配和管理。
目前公司的服务器IP地址分配采用静态方式,其添加和维护工作由IT人员在现场手工完成。
如果某个用户想要访问Internet,需事先让网络管理员在防火墙上开启对某个IP地址的路由,然后告知用户该IP地址。
我们可以根据实际情况来确定IP的获取方式,根据部门来划分静态IP和DHCP的数量级和安全级别。
✧名称解析
名称解析是指在访问网络资源(包括文件服务器和打印机)时,如何将资源的名称转换成对应的IP地址的服务。
目前公司的内部用户在访问网络资源时通过直接的IP地址来定位资源,这样带来的问题时每个用户必须记住要访问资源的IP地址,使用效率不高而且管理成本较高。
通过DNS和WINS的服务,相关的服务器会自动将某个名称转换成实际的IP地址,用户只需记住容易辨识的资源名称即可进行相应的访问。
这样网络资源的共享和使用效率将得到很大程度的提高。
✧DNS
我们将在公司的DC1、DC2两台DNS服务器。
该服务器同时也是域控制器。
公司内部网络的域名为:
XXX.com或XXX.localDNS服务器包含两个区域,以下是它们的技术参数:
DNS服务器都将DNS数据放在本地的AD数据库中,但是作为独立的ApplicationPartition来参与域控制器之间的目录复制(DirectoryReplication)从而同步DNS数据库。
所有域控制器都将主域控设为首选的DNS服务器
外部(Internet)名称解析
在DC1,将本地ISP的DNS服务器设为转发器。
将所有非内部网的域名解析请求转发至Internet上
所有公司内的客户端都将通过DNS来进行名称解析。
包括登入域和访问文件服务器或其他客户端。
每一个加入域的客户端都通过动态注册在DNS服务器上注册自己的主机纪录(A)和指针纪录(PTR)。
管理员在服务器上可以轻松的了解所有客户端的注册情况。
此外,在DC1的DNS服务出现暂时不可用的情况时,可以依靠其它额外DC(DNS服务器)来进行必要的名称解析。
✧域结构
域结构设计是活动目录中最重要,也是最基础的工作,是多种因素权衡的结果,它既要尽可能贴近用户的管理模式和组织结构,也要考虑网络情况及今后的各种变化。
目前山东外运超过60%的微机和超过55%的管理人员集中于青岛总部地区,这意味着外地机构分布较广而各地的人员和微机数量都比较少,并且各地区也有固定的专线线路连入总部。
此外,山东外运IT部门的最终目标是能够实现完全集中管理。
因此此次在山东外运环境内采用单域结构。
以下是单域结构相对于其他结构的优缺点:
优点
集中管理整个集团的安全策略。
集中管理整个集团的组策略。
完全利用组织单元反映集团的管理结构。
当公司机构重组时可以非常灵活的进行调整。
当资源和用户需要在组织机构内迁移时可以非常灵活的调整。
不需要GC服务器–因为所有的DC都拥有AD的全备份。
相对其它方案,可以使用较少的域控制器。
简单的名字空间设计–只需要1个DNS名字后缀.
用户在查找AD内的信息时相对简单。
单一的组策略更容易实施。
.
缺点
∙在IT系统管理权限相对分散的组织结构中,难以区分“管理权”。
∙整个公司集团只能实行一种安全策略,例如统一的口令策略。
.
所有的域控制器(DC)都拥有整个AD的数据的备份,AD的任何更改也要反映到域内的所有DC上,这对每台DC的硬件配置要提出更高的要求,同时对那些广域网带宽有限的区域会带来效率上的问题。
对于DC服务器本身的安全也提出更高的要求。
✧组织单元结构
组织单元的设计将遵循两点原则:
∙反映企业内部的组织结构
∙有利于通过组策略进行细化的终端管理
MicrosoftExchange
为企业安装部署企业级邮件系统Exchange2012。
●配置Exchange2012的OWA功能,使之能够让用户采用WEB方式访问企业邮箱,以此我们可以通过HTTP方式来访问邮件服务器收发邮件并处理相关信息;
●配置开放Exchange2012的POP3的协议解析功能,使之实现对Outlook和其它第三方邮件收发软件的支持;
●定制防火墙对邮件系统的发布策略;
●发布邮件系统到INTERNET网络;
●定制邮件系统的反垃圾邮件的策略;
●定制邮件系统的反攻击安全策略;
●根据企业需要,定制邮箱大小策略,邮件大小策略,邮件发送策略等一系列邮箱设置策略;
●根据企业需要,定制全球通讯录,部门通讯录等各种脱机通讯录;
●配置邮件系统,为邮件进行128位的SSL加密,保证邮件传输安全;
规划邮件系统,合理定制邮件的存放周期及备份周期。
SymantecBackupExecForWindowsServer
备份过程中要用到大量的存储介质,随着时间的推移,介质上备份数据的作用会越来越小,除非要特意恢复到某一历史时刻的状态,都会用最新的备份数据来进行恢复。
所以在制定备份策略时,要根据数据的运作和使用情况,来确定数据的最长有效期、可容忍的数据丢失时间,从而确定执行备份的时间、每次备份的种类、使用空介质和重用老介质的方法。
AD服务器作为重要的运营系统和宝贵的信息库,承担着日常的网络与数据中枢的角色,其长期运行过程中积累下来的数据具有重要的价值。
基于此,对于这些服务器的备份,应从整体、系统、长期的角度来制定备份策略,做到既能快速的进行日常备份,又能完备的保留一定历史时期内的数据。
备份策略
对数据进行备份,是出于保证数据的安全性、对系统信息做历史记录、在灾难发生时恢复系统等多方面考虑的。
若要详细、历史的记录数据,并在特定情况下恢复特定时期的数据,就要保证数据备份的频率、以及备份介质上数据的保存时间符合预期设计的目标。
目前,国内外大型企业对资源数据的备份都是每天进行一次的,并且采用完全备份和差量备份结合的方式,给数恢复带来便利。
由于采用了先进的软、硬件配置,这种日常备份操作都可以在晚间系统负载较轻时定时、自动、快速进行,对系统日间使用不会造成任何影响。
考虑到本系统的具体情况,我们认为做每日备份是极为合理的方案。
由于系统中的每台服务器数据交换和信息更新都极为频繁,每天都有大量的信息数据、那么做每日备份,记录每日系统的最新信息是极为必要的。
对系统做完全备份是出于恢复方便考虑,系统管理员不必使用任何其它历史资料,就可以对系统进行完全恢复,简单便捷。
若是只对应用数据进行备份,那么一但系统崩溃,需要使用最近一次完全备份恢复系统,再使用最近一次应用备份恢复具体应用,操作及为不便。
如果应用在系统配置文件中的一些信息较最近一次完全备份时有所不同,那么即使恢复了系统也难以正常运行,或者造成不可见的故障隐患
备份策略的定义
定义好备份资源以后,我们必须根据实际需要配置备份策略。
定义备份策略,涉及到以下内容:
a)在什么时间(备份时间,如下午6:
00)、
b)将什么数据(备份内容,数据库数据)、
c)以什么方式(备份方式,如全备份或增量备份)、
d)通过哪组磁盘驱动器、
e)备份到磁盘哪一个位置
在我们对每一组数据、数据库都根据需要定义好备份策略后,系统就会自动的按照我们定义的时间、方式、将需要备份的数据备份到我们指定的磁盘中去。
而备份的方式可以分为三种:
全备份、增量备份、累计增量备份。
全备份
每次备份定义的所有数据,优点是恢复快,缺点是备份数据量大,数据多时可能做一次全备份需很长时间
增量备份
备份自上一次备份以来更新的所有数据,其优点是每次备份的数据量少,缺点是恢复时需要全备份及多份增量备份
差分备份
备份自上一次全备份以来更新的所有数据。
我们可以结合这三种方式,灵活应用。
比如:
✓数据量少时,我们可以每次都用全备份备份数据,这样,恢复时,只需要指定一个数据源即可。
✓数据量大时,如果每天作全备份,效率会很低。
我们可以结合全备份和增量备份方式。
比如每星期作一次全备份(如星期天),其它时间,每天作一个增量备份(如:
星期一到星期六)。
恢复时,只要依次恢复最多七个备份介质即可。
(如:
上周日、星期一、星期二...,直到出事前一天的数据。
)
✓数据量特别大时,每星期作全备份对系统的压力也会很大。
这时,我们可以结合全备份、累计增量备份、增量备份三种方式,提供相对效率高,恢复有快的备份手段。
比如每个月作一次全备份(如每月初),然后每星期日作一次累计增量备份,其它时间,每天作一次增量备份。
恢复时,先恢复月初的全备份,再恢复上周日的累计增量备份,在依次恢复以后每一天的增量备份,如星期一、星期二...,直到出事前一天的数据。
(最多恢复8份数据,相对的如果不采用累计增量备份方式,恢复时最多可能需要恢复31份数据,恢复速度和复杂程度都会不理想)。
由此我们认为,对系统进行每日备份是必要的,可以更好的提高系统的安全性和可靠性。
灾难恢复策略
安装完所有服务器的VERITAS及其选件和代理后,对所有要进行灾难恢复的服务器进行一次全备份。
当WindowsNT系统出现依靠启动软盘无法恢复的系统损毁时,依靠系统全备份文件恢复整个系统,然后用最新的内容更新系统的内容。
介质使用及命名规则
为了更好的管理介质,我们对所有磁盘按统一的规则来命名:
备份类型–集合名–日期
备份类型:
—F完全备份
—A部分备份
集合名:
—使用者指定的唯一性名字
日期:
—使用该介质进行备份的时间
—MM/DD/YY格式
如:
某一磁带可以命名为:
F-ICBCOA-2/1/99
设备清单
服务器
产品用途
产品描述
数量
单价
总价
备注
电子邮件服务器
2个IntelXeonE5-2609(4核2.4GHz,10MB共享三级缓存,80W)处理器;32GB(8x4GB)PC3L-10600R寄存式低电压内存;集成1个HPSmartArrayP420i智能阵列控制器,1GBFBWC缓存;1个NC331FlexLOM4端口千兆网络适配器;集成iLO4远程管理(含独立管理端口);8块300GSAS2.5英寸热插拔硬盘,2个460W通用插槽热插拔标准电源,DVD光驱;固定式式BB机柜导轨,2U机架式
2
31500
63000
必选
AD服务器
2个IntelXeonE5-2609(4核2.4GHz,10MB共享三级缓存,80W)处理器;32GB(8x4GB)PC3L-10600R寄存式低电压内存;集成1个HPSmartArrayP420i智能阵列控制器,1GBFBWC缓存;1个NC331FlexLOM4端口千兆网络适配器;集成iLO4远程管理(含独立管理端口);8块300GSAS2.5英寸热插拔硬盘,2个460W通用插槽热插拔标准电源,DVD光驱;固定式式BB机柜导轨,2U机架式
2
31500
63000
必选
备份服务器
2个IntelXeonE5-2609(4核2.4GHz,10MB共享三级缓存,80W)处理器;32GB(8x4GB)PC3L-10600R寄存式低电压内存;集成1个HPSmartArrayP420i智能阵列控制器,1GBFBWC缓存;1个NC331FlexLOM4端口千兆网络适配器;集成iLO4远程管理(含独立管理端口);8块300GSAS2.5英寸热插拔硬盘,2个460W通用插槽热插拔标准电源,DVD光驱;固定式式BB机柜导轨,2U机架式
1
31500
31500
软件
产品类别
描述
数量
单价
总价
备注
服务器操作系统
WindowsServer2008简体中文标准版
5
9700
48500
可选
服务器客户端
接入客户端
100
325
32500
根据需求购买几个
电子邮件系统
ExchangeServer2012简体中文标准版
2
8000
16000
电子邮件系统访问许可
ExchangeServerCAL
100
778
77800
可选
数据库备份主模块
SymantecBackupExec2012ForWindows主模块
1
7000
7000
必选
备份数据库license
SymantecBackupExec2012AgentForExchangeServer
1
7000
7000
必选
集成费
设备的安装、调试等
27704
合计(元)
374004
产品介绍
MicrosoftServer2008
WindowsServer2008是微软最新一个服务器操作系统的名称,它继承WindowsServer2008。
WindowsServer2008在进行开发及测试时的代号为"WindowsServerLonghorn"。
WindowsServer2008是一套相等于WindowsVista(代号为Longhorn)的服务器系统,两者很可能将会拥有很多相同功能;Vista及Server2008与XP及Server2008间存在相似的关系。
(XP和Server2008的代号分别为Whistler及WhistlerServer)
MicrosoftWindowsServer2008代表了下一代WindowsServer。
使用WindowsServer2008,IT专业人员对其服务器和网络基础结构的控制能力更强,从而可重点关注关键业务需求。
WindowsServer2008通过加强操作系统和保护网络环境提高了安全性。
通过加快IT系统的部署与维护、使服务器和应用程序的合并与虚拟化更加简单、提供直观管理工具,WindowsServer2008还为IT专业人员提供了灵活性。
WindowsServer2008为任何组织的服务器和网络基础结构奠定了最好的基础。
MicrosoftWindowsServer2008用于在虚拟化工作负载、支持应用程序和保护网络方面向组织提供最高效的平台。
它为开发和可靠地承载Web应用程序和服务提供了一个安全、易于管理的平台。
从工作组到数据中心,WindowsServer2008都提供了令人兴奋且很有价值的新功能,对基本操作系统做出了重大改进。
Ø更强的控制能力
使用WindowsServer2008,IT专业人员能够更好地控制服务器和网络基础结构,从而可以将精力集中在处理关键业务需求上。
增强的脚本编写功能和任务自动化功能(例如,WindowsPowerShell)可帮助IT专业人员自动执行常见IT任务。
通过服务器管理器进行的基于角色的安装和管理简化了在企业中管理与保护多个服务器角色的任务。
服务器的配置和系统信息是从新的服务器管理器控制台这一集中位置来管理的。
IT人员可以仅安装需要的角色和功能,向导会自动完成许多费时的系统部署任务。
增强的系统管理工具(例如,性能和可靠性监视器)提供有关系统的信息,在潜在问题发生之前向IT人员发出警告。
Ø增强的保护
WindowsServer2008提供了一系列新的和改进的安全技术,这些技术增强了对操作系统的保护,为企业
的运营和发展奠定了坚实的基础。
WindowsServer2008提供了减小内核攻击面的安全创新(例如PatchGuard),因而使服务器环境更安全、更稳定。
通过保护关键服务器服务使之免受文件系统、注册表或网络中异常活动的影响,Windows服务强化有助于提高系统的安全性。
借助网络访问保护(NAP)、只读域控制器(RODC)、公钥基础结构(PKI)增强功能、Windows服务强化、新的双向Windows防火墙和新一代加密支持,WindowsServer2008操作系统中的安全性也得到了增强。
NetworkAccessProtection(NAP):
这是一个新的框架,允许IT管理员为网络定义健康要求,并限制不符合这些要求的计算机与网络的通信。
NAP强制执行管理员定义的、用于描述特定组织健康要求的策略。
例如,健康要求可以定义为安装操作系统的所有更新,或者安装或更新反病毒或反间谍软件。
以这种方式,网络管理员可以定义连接到网络时计算机应具备的基准保护级别。
MicrosoftBitLocker在多个驱动器上进行完整卷加密,为您的数据提供额外的安全保护,甚至当系统处于XX操作或运行不同的操作系统时间、数据和控制时也能提供安全保护。
Read-OnlyDomainController(RODC):
这是WindowsServer2008操作系统中的一种新型域控制器配置,使组织能够在域控制器安全性无法保证的位置轻松部署域控制器。
RODC维护给定域中ActiveDirectory目录服务数据库的只读副本。
在此版本之前,当用户必须使用域控制器进行身份验证,但其所在的分支办公室无法为域控制器提供足够物理安全性时,必须通过广域网(WAN)进行身份验证。
在很多情况下,这不是一个有效的解决方案。
通过将只读ActiveDirectory数据库副本放置在更接近分支办公室用户的地方,这些用户可以更快地登录,并能更有效地访问网络上的身份验证资源,即使身处没有足够物理安全性来部署传统域控制器的环境。
FailoverClustering:
这些改进旨在更轻松地配置服务器群集,同时对数据和应用程序提供保护并保证其可用性。
通过在故障转移群集中使用新的验证工具,您可以测试系统、存储和网络配置是否适用于群集。
凭借WindowsServer2008中的故障转移群集,管理员可以更轻松地执行安装和迁移任务,以及管理和操作任务。
群集基础结构的改进可帮助管理员最大限度地提高提供给用户的服务的可用性,可获得更好的存储和网络性能,并能提高安全性。
Ø更大的灵活性
WindowsServer2008的设计允许管理员修改其基础结构来适应不断变化的业务需求,同时保持了此操作的灵活性。
它允许用户从远程位置(如远程应用程序和终端服务网关)执行程序,这一技术为移动工作人员增强了灵活性。
WindowsServer2008使用Windows部署服务(WDS)加速对IT系统的部署和维护,使用WindowsServer虚拟化(WSv)帮助合并服务器。
对于需要在分支机构中使用域控制器的组织,WindowsServer2008提供了一个新配置选项:
只读域控制器(RODC),它可以防止在域控制器出现安全问题时暴露用户帐户。
Ø自修复NTFS文件系统
从DOS时代开始,文件系统出错就意味着相应的卷必须下线修复,而在WS2K8中,一个新的系统服务会
在后台默默工作,检测文件系统错误,并且可以在无需关闭服务器的状态下自动将其修复。
有了这一新服务,在文件系统发生错误的时候,服务器只会暂时停止无法访问
升级会员 