【正文】 .. . . .. Exchange電子郵件系統(tǒng)解決方案整體解決方案目錄一、用戶需求 2二、名詞解釋 2三、方案拓撲 3四、方案推介 4Microsoft Active Directory 4地址分配 4名稱解析 5DNS 5域結構 6組織單元結構 7Microsoft Exchange 2010 11防火墻和邊緣服務器 11中心傳輸服務器 12客戶端訪問服務器 13郵箱服務器 14Exchange Server 2010群集服務 14可實現的功能： 15Symantec Backup Exec For Windows Server 16產品簡介 22Windows Server 2008簡體中文標準版 22Microsoft Exchange Server 2010 26Symantec Backup Exec 2010 For Windows 33方案介紹 37建議方案一 37建議方案二 38Exchange服務器角色簡介 39： 39： 39： 40： 43一、用戶需求XXX原有WinMail郵件服務器，因業(yè)務需要和對郵件數據的要求提高，希望通過部署Microsoft Exchange Server來完成對現有郵件系統(tǒng)的升級，以此來滿足需求。因XXXExchange屬于全新架構，因此，我們針對其現有結構情況和需求制定本方案。本方案為前期方案，根據實際需求變化和最終確定需求詳情，我們將制定詳細的實施部署方案，以此作為項目過程的歸檔目錄之一。二、名詞解釋Microsoft Exchange 2010：微軟新一代電子郵件服務系統(tǒng)。Active Directory：Active Directory（活動目錄）動目錄（Active Directory）是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目錄服務。（Active Directory不能運行在Windows Web Server上，但是可以通過它對運行Windows Web Server的計算機進行管理。）Active Directory存儲了有關網絡對象的信息，并且讓管理員和用戶能夠輕松地查找和使用這些信息。Active Directory使用了一種結構化的數據存儲方式，并以此作為基礎對目錄信息進行合乎邏輯的分層組織。反垃圾郵件網關：用于針對已有垃圾郵件進行過濾和阻斷的設備。備份系統(tǒng)：傳統(tǒng)機制的備份系統(tǒng)無法對現在使用的應用平臺做完整細粒度備份，一旦應用發(fā)生災難性損壞，后果將不堪設想，我們利用專業(yè)備份系統(tǒng)來彌補這個問題的空白。三、方案拓撲建議方案1建議方案2四、方案推介Microsoft Active Directory方案規(guī)劃XXX采用單林單域方式，組織單元規(guī)劃根據企業(yè)實際行政規(guī)劃來設計。AD明細如下：地址分配地址分配即IP地址的分配和管理。我們可以根據實際情況來確定IP的獲取方式，根據部門來劃分靜態(tài)IP和DHCP的數量級和安全級別。名稱解析名稱解析是指在訪問網絡資源（包括文件服務器和打印機）時，如何將資源的名稱轉換成對應的IP地址的服務。目前公司的內部用戶在訪問網絡資源時通過直接的IP地址來定位資源，這樣帶來的問題時每個用戶必須記住要訪問資源的IP地址，使用效率不高而且管理成本較高。通過DNS和WINS的服務，相關的服務器會自動將某個名稱轉換成實際的IP地址，用戶只需記住容易辨識的資源名稱即可進行相應的訪問。這樣網絡資源的共享和使用效率將得到很大程度的提高。DNS我們將在公司的DC0DC02兩臺DNS服務器。該服務器同時也是域控制器。公司內部網絡的域名為： 或 DNS服務器包含兩個區(qū)域，以下是它們的技術參數：Name: .Type: Active DirectoryIntegratedReplication: To All DNS servers in the Active Directory forest Dynamic updates: Nonsecure and secureName: .Type: Active DirectoryIntegratedReplication: To All DNS servers in the Active Directory domain Dynamic updates: Nonsecure and secureDNS服務器都將DNS數據放在本地的AD數據庫中，但是作為獨立的Application Partition來參與域控制器之間的目錄復制(Directory Replication)從而同步DNS數據庫。所有域控制器都將主域控設為首選的DNS服務器外部(Internet)名稱解析在DC01，將本地ISP的DNS服務器設為轉發(fā)器。將所有非內部網的域名解析請求轉發(fā)至Internet上所有公司內的客戶端都將通過DNS來進行名稱解析。包括登入域和訪問文件服務器或其他客戶端。每一個加入域的客戶端都通過動態(tài)注冊在DNS服務器上注冊自己的主機紀錄(A)和指針紀錄(PTR)。管理員在服務器上可以輕松的了解所有客戶端的注冊情況。此外，在DC01的DNS服務出現暫時不可用的情況時，可以依靠其它額外DC (DNS服務器)來進行必要的名稱解析。域結構域結構設計是活動目錄中最重要，也是最基礎的工作，是多種因素權衡的結果，它既要盡可能貼近用戶的管理模式和組織結構，也要考慮網絡情況及今后的各種變化。以下是單域結構相對于其他結構的優(yōu)缺點：優(yōu)點216。 集中管理整個集團的安全策略。216。 集中管理整個集團的組策略。216。 完全利用組織單元反映集團的管理結構。216。 當公司機構重組時可以非常靈活的進行調整。216。 當資源和用戶需要在組織機構內遷移時可以非常靈活的調整。216。 不需要GC服務器 – 因為所有的DC都擁有AD的全備份。216。 相對其它方案，可以使用較少的域控制器。216。 簡單的名字空間設計 – 只需要1個DNS名字后綴。216。 用戶在查找AD內的信息時相對簡單。216。 單一的組策略更容易實施。缺點216。 在IT系統(tǒng)管理權限相對分散的組織結構中，難以區(qū)分“管理權”。216。 整個公司集團只能實行一種安全策略，例如統(tǒng)一的口令策略。.所有的域控制器(DC)都擁有整個AD的數據的備份，AD的任何更改也要反映到域內的所有DC上，這對每臺DC的硬件配置要提出更高的要求，同時對那些廣域網帶寬有限的區(qū)域會帶來效率上的問題。對于DC服務器本身的安全也提出更高的要求。組織單元結構組織單元的設計將遵循兩點原則： 反映企業(yè)內部的組織結構 有利于通過組策略進行細化的終端管理目前公司的組織結構需根據XXX的實際人事組織拓撲制定，會在制定項目實施方案時提供。由于用戶帳號（在這里包括用戶組賬號）和計算機賬號分數兩種不同的資源類型，所以也需要分開管理。因此，我們將組織單元設計成以下結構： 216。 第一級：資源類型216。 第二級：地理位置216。 第三級：事業(yè)部名稱216。 第四級：部門名稱請參考下圖以了解這個結構的模型：178。 賬號和口令管理賬號管理可以分為個人賬號管理、組賬號管理和機器賬號管理。個人賬號可以分為兩類： 第一類為普通賬號，采用一人一號的方式，為每一位員工建立自己的賬號。當員工加入或者離開時，按照一定的規(guī)則增加或者刪除用戶的賬號。 第二類為特殊賬號，通常不屬于某一位員工，而是為了滿足某些特殊的功能，比如系統(tǒng)管理、匿名訪問等等。特殊賬號有以下幾個：216。 Administrator，系統(tǒng)管理員賬號，具有最高的權限，可以進行任何管理操作，該賬號不能被刪除，只能更改用戶名。為了提高系統(tǒng)的安全性，建議將管理員賬號的用戶名更改，比如hqadmin（僅僅是建議，系統(tǒng)管理員可以自行決定）。216。 Guest，匿名登錄的賬號，為了提高系統(tǒng)的安全性，建議將Guest賬號禁止。216。 服務的賬號，在Windows 2008中，每一個服務都需要一個賬號，通常這些賬號采用系統(tǒng)賬號，我們無須關心，但有一些服務需要特殊的用戶賬號。 每個個人賬號都有一個口令來保護，為了防止口令被盜用和攻擊，我們將在整個域中啟用相應的密碼策略以保證每個密碼都符合一定的復雜度，具體要求如下：216。 長度不得小于8個字符216。 必須包含大寫和小寫字母216。 必須包含特殊字符（例如：~!@$%^amp。*()_+）216。 密碼有效期=3個月 個人賬號的命名規(guī)則用戶名稱將使用中文名，帳號名稱為:216。 采用姓名的拼音全稱，如有重復則在末尾加用戶所在部門名稱的首字母，若仍有重復則在末尾加數字以示區(qū)別。216。 例如：姓名 姓名拼音 帳戶名張剛(工程實際部) 張鋼(財務部) 計算機賬號管理所有加入到域中的計算機都需要一個計算機賬號，通過該帳號，我們可以對計算機的各種配置進行管理。公司目前的計算機命名規(guī)則為：事業(yè)部+部門+序號。例如：SJBMB001（設計保密部第一臺計算機）。組賬號管理分組管理是重要而有效的管理策略。在Windows 2008中有三種組帳戶：通用組（Universal Group）、全局組（global group）和域本地組（Domain local group），全局組可以包括本域的用戶帳戶（user account），域本地組可以包括本域和資源域的用戶帳戶和全局組帳戶，通用組的使用則沒有任何限制。(公司如采用單域結構，則沒有使用Universal組的必要)良好的分組策略可以降低管理的復雜性，避免安全上的漏洞，大大提高管理的可靠性。我們采用這樣的分組策略：1. 按照職位分組。2. 按職能分組，例如所有的財務人員，所有的科技人員，所有的系統(tǒng)管理員等等。3. 對員工分類，比如普通員工，臨時員工等等。4. 按照部門分組.由于維護用戶和組賬號是一項日常的工作，這項工作將由公司的人員，依據管理的需求來創(chuàng)建。此次項目中，將為每一個部門創(chuàng)建一個管理員組，用來進行一些日常的管理工作，包括安裝額外的硬件，共享文件和打印機，等等。目前，公司的所有用戶都已被分到各個不同的組織單元(OU)下面。每個組織單元下還包含一個用戶組，該用戶組的成員即是該組織單元內的所有用戶，這樣可以較為輕松的管理用戶資源。Microsoft Exchange 2010防火墻和邊緣服務器防火墻實現機構局域網與廣域網之間的隔離，是實現安全性的保障。首先系統(tǒng)和Internet公網之間設立一臺硬件防火墻，為系統(tǒng)提供第一層安全防護。然后停火區(qū)建立Exchange 邊緣服務器，負責對外的郵件往來。外部的郵件首先到達邊緣服務器，經過反垃圾、防病毒系統(tǒng)的檢查，確定安全后再轉發(fā)給內網的中心傳輸服務器。邊緣服務器將內外的郵件系統(tǒng)隔離開來，使得這些不得不和外界連通的服務器即使被黑客攻擊，也不會影響防火墻后面內部網絡內的服務器，它提高了安全性和設計靈活性。因為前端服務器不存放郵件存儲系統(tǒng)或 Active Directory 數據庫，所以它們成為“黑客”攻擊對象的價值就會降低。邊緣傳輸服務器角色上可管理：Internet郵件流 運行邊緣傳輸服務器角色的服務器接受通過 Internet 進入 Exchange 2010 組織的郵件。邊緣傳輸服務器對郵件進行處理之后，會將它們路由到組織內部的中心傳輸服務器。邊緣傳輸規(guī)則 用于控制發(fā)送到 Internet 或從其接收的郵件流。邊緣傳輸規(guī)則通過將操作應用于滿足指定條件的郵件幫助保護企業(yè)網絡資源和數據。邊緣傳輸規(guī)則條件以數據為基礎，例如，郵件主題、正文、標題或發(fā)件人地址中的特定字詞或文本模式，垃圾郵件信任級別 (SCL) 或附件類型。當指定條件為真時，這些操作可確定處理郵件的方式?？赡艿牟僮靼ǜ綦x郵件、丟棄或拒絕郵件、附加其他收件人或記錄事件。有例外情況（可選）可以不對特定郵件執(zhí)行操作。反垃圾郵件和防病毒保護 在 Exchange 2010 中，可以阻止網絡外圍的病毒和垃圾郵件或未經請求的商業(yè)電子郵件。邊緣傳輸服務器角色的服務器通過提供一組協同工作以提供不同垃圾郵件篩選層和保護層的代理，以幫助防止組織中的用戶接收垃圾郵件。地址重寫 可以為來自