【正文】 XXXXXExchange電子郵件系統(tǒng)解決方案整體解決方案文庫貢獻者用戶需求因考慮XXXX網(wǎng)絡(luò)處于改造階段，相關(guān)網(wǎng)絡(luò)情況不明了，該方案為建議性解決方案，如方案中需規(guī)模性改造企業(yè)網(wǎng)絡(luò)，我們會根據(jù)最終網(wǎng)絡(luò)拓撲和實際網(wǎng)絡(luò)情況進行相應(yīng)的方案改進，并最終形成可行性解決方案。XXXX需求如下： Microsoft Exchange郵件服務(wù)器； 郵箱空間限制在100MB，當空間使用率達到80%，提醒用戶； 郵件附件大小限制在30MB以內(nèi)； 要求設(shè)置密碼策略，密碼使用周期小于3個月，密碼不能少于8位，并遵循密碼復(fù)雜度要求（必須包含數(shù)字、字母和特殊符號）； OWA模式郵件收發(fā)方式； 繼續(xù)接受舊服務(wù)器郵件； 建立全球通訊錄； 使用HTTP連接到Microsoft Exchange； 域管理：實現(xiàn)開發(fā)環(huán)境標準化、提高信息和網(wǎng)絡(luò)安全； 未來域模式規(guī)劃；名詞解釋Microsoft Exchange 2010：微軟新一代電子郵件服務(wù)系統(tǒng)。Active Directory：Active Directory（活動目錄）動目錄（Active Directory）是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目錄服務(wù)。（Active Directory不能運行在Windows Web Server上，但是可以通過它對運行Windows Web Server的計算機進行管理。）Active Directory存儲了有關(guān)網(wǎng)絡(luò)對象的信息，并且讓管理員和用戶能夠輕松地查找和使用這些信息。Active Directory使用了一種結(jié)構(gòu)化的數(shù)據(jù)存儲方式，并以此作為基礎(chǔ)對目錄信息進行合乎邏輯的分層組織。反垃圾郵件網(wǎng)關(guān)：用于針對已有垃圾郵件進行過濾和阻斷的設(shè)備。備份系統(tǒng)：傳統(tǒng)機制的備份系統(tǒng)無法對現(xiàn)在使用的應(yīng)用平臺做完整細粒度備份，一旦應(yīng)用發(fā)生災(zāi)難性損壞，后果將不堪設(shè)想，我們利用專業(yè)備份系統(tǒng)來彌補這個問題的空白。方案拓撲建議方案1建議方案2方案推介分析XXXX的目前情況，綜合需求，我們認為XXXX的企業(yè)信息化實施應(yīng)該分為三個階段： 基礎(chǔ)架構(gòu)實現(xiàn)階段； 信息化實現(xiàn)階段； 信息安全（包括端點安全、數(shù)據(jù)安全和服務(wù)安全）提升階段；基礎(chǔ)架構(gòu)實現(xiàn)階段是為后期XXXX的信息化建設(shè)做底層架構(gòu)策略，完善底層架構(gòu)將會完成企業(yè)信息化基礎(chǔ)架構(gòu)的標準，利用該標準來規(guī)劃以后的信息化方向；信息化實現(xiàn)階段是我們利用之前所創(chuàng)建的基礎(chǔ)架構(gòu)，來完善信息化，根據(jù)企業(yè)需求來實現(xiàn)實際應(yīng)用；當我們的信息化上升到一定規(guī)模，我們的信息安全將面臨考驗，我們需要采用切實可行的企業(yè)安全策略來保護我們企業(yè)的信息安全。本方案中我們將完成的是基礎(chǔ)架構(gòu)建設(shè)的起步，利用微軟公司提供的解決方案來規(guī)劃我們的企業(yè)信息架構(gòu)：本方案將利用的解決方案包括：Microsoft Active Directory、Microsoft Exchange電子郵件及反垃圾郵件系統(tǒng)、Symantec數(shù)據(jù)備份系統(tǒng)。本次方案旨在定義企業(yè)基礎(chǔ)架構(gòu)模型，結(jié)合企業(yè)行政管理架構(gòu)來定義企業(yè)用戶在企業(yè)中的位置，并規(guī)劃相關(guān)權(quán)限，為后期客戶端以域管理模式進入企業(yè)網(wǎng)絡(luò)做準備。前期將規(guī)劃相關(guān)事項的定義（網(wǎng)絡(luò)定義需結(jié)合網(wǎng)絡(luò)產(chǎn)品供應(yīng)商），其中包括：178。 服務(wù)器群組的計算機名定義、服務(wù)器管理組和用戶組權(quán)限定義、IP地址范圍定義、VLAN定義、DMZ區(qū)域定義等；178。 客戶端群的計算機名定義、用戶名定義、IP定制定義、VLAN定義、VLAN互訪策略定義、客戶端實際使用權(quán)限定義等；178。 郵件服務(wù)器的郵箱容量定義、又將收發(fā)規(guī)則定義、梭子魚反垃圾郵件策略、郵箱訪問方式等。Microsoft Active Directory方案規(guī)劃XXXX采用單林單域方式，組織單元規(guī)劃根據(jù)企業(yè)實際行政規(guī)劃來設(shè)計。AD明細如下：178。 地址分配地址分配即IP地址的分配和管理。目前公司的IP地址分配采用靜態(tài)方式，其添加和維護工作由IT人員在現(xiàn)場手工完成。如果某個用戶想要訪問Internet，需事先讓網(wǎng)絡(luò)管理員在防火墻上開啟對某個IP地址的路由，然后告知用戶該IP地址。我們可以根據(jù)實際情況來確定IP的獲取方式，根據(jù)部門來劃分靜態(tài)IP和DHCP的數(shù)量級和安全級別。178。 名稱解析名稱解析是指在訪問網(wǎng)絡(luò)資源（包括文件服務(wù)器和打印機）時，如何將資源的名稱轉(zhuǎn)換成對應(yīng)的IP地址的服務(wù)。目前公司的內(nèi)部用戶在訪問網(wǎng)絡(luò)資源時通過直接的IP地址來定位資源，這樣帶來的問題時每個用戶必須記住要訪問資源的IP地址，使用效率不高而且管理成本較高。通過DNS和WINS的服務(wù)，相關(guān)的服務(wù)器會自動將某個名稱轉(zhuǎn)換成實際的IP地址，用戶只需記住容易辨識的資源名稱即可進行相應(yīng)的訪問。這樣網(wǎng)絡(luò)資源的共享和使用效率將得到很大程度的提高。178。 DNS我們將在公司的DCDC2兩臺DNS服務(wù)器。該服務(wù)器同時也是域控制器。公司內(nèi)部網(wǎng)絡(luò)的域名為： 或 (pany 是指公司名稱或其縮寫)DNS服務(wù)器包含兩個區(qū)域，以下是它們的技術(shù)參數(shù)：Name: .Type: Active DirectoryIntegratedReplication: To All DNS servers in the Active Directory forest Dynamic updates: Nonsecure and secureName: .Type: Active DirectoryIntegratedReplication: To All DNS servers in the Active Directory domain Dynamic updates: Nonsecure and secureDNS服務(wù)器都將DNS數(shù)據(jù)放在本地的AD數(shù)據(jù)庫中，但是作為獨立的Application Partition來參與域控制器之間的目錄復(fù)制(Directory Replication)從而同步DNS數(shù)據(jù)庫。所有域控制器都將主域控設(shè)為首選的DNS服務(wù)器外部(Internet)名稱解析在DC1，將本地ISP的DNS服務(wù)器設(shè)為轉(zhuǎn)發(fā)器。將所有非內(nèi)部網(wǎng)的域名解析請求轉(zhuǎn)發(fā)至Internet上所有公司內(nèi)的客戶端都將通過DNS來進行名稱解析。包括登入域和訪問文件服務(wù)器或其他客戶端。每一個加入域的客戶端都通過動態(tài)注冊在DNS服務(wù)器上注冊自己的主機紀錄(A)和指針紀錄(PTR)。管理員在服務(wù)器上可以輕松的了解所有客戶端的注冊情況。此外，在DC1的DNS服務(wù)出現(xiàn)暫時不可用的情況時，可以依靠其它額外DC (DNS服務(wù)器)來進行必要的名稱解析。178。 域結(jié)構(gòu)域結(jié)構(gòu)設(shè)計是活動目錄中最重要，也是最基礎(chǔ)的工作，是多種因素權(quán)衡的結(jié)果，它既要盡可能貼近用戶的管理模式和組織結(jié)構(gòu)，也要考慮網(wǎng)絡(luò)情況及今后的各種變化。目前山東外運超過60%的微機和超過55%的管理人員集中于青島總部地區(qū)，這意味著外地機構(gòu)分布較廣而各地的人員和微機數(shù)量都比較少，并且各地區(qū)也有固定的專線線路連入總部。此外，山東外運IT部門的最終目標是能夠?qū)崿F(xiàn)完全集中管理。因此此次在山東外運環(huán)境內(nèi)采用單域結(jié)構(gòu)。以下是單域結(jié)構(gòu)相對于其他結(jié)構(gòu)的優(yōu)缺點： 優(yōu)點集中管理整個集團的安全策略。集中管理整個集團的組策略。完全利用組織單元反映集團的管理結(jié)構(gòu)。當公司機構(gòu)重組時可以非常靈活的進行調(diào)整。當資源和用戶需要在組織機構(gòu)內(nèi)遷移時可以非常靈活的調(diào)整。不需要GC服務(wù)器 – 因為所有的DC都擁有AD的全備份。相對其它方案，可以使用較少的域控制器。簡單的名字空間設(shè)計 – 只需要1個DNS名字后綴.用戶在查找AD內(nèi)的信息時相對簡單。單一的組策略更容易實施。.缺點 在IT系統(tǒng)管理權(quán)限相對分散的組織結(jié)構(gòu)中，難以區(qū)分“管理權(quán)”。 整個公司集團只能實行一種安全策略，例如統(tǒng)一的口令策略。.所有的域控制器(DC)都擁有整個AD的數(shù)據(jù)的備份，AD的任何更改也要反映到域內(nèi)的所有DC上，這對每臺DC的硬件配置要提出更高的要求，同時對那些廣域網(wǎng)帶寬有限的區(qū)域會帶來效率上的問題。對于DC服務(wù)器本身的安全也提出更高的要求。178。 組織單元結(jié)構(gòu)組織單元的設(shè)計將遵循兩點原則： 反映企業(yè)內(nèi)部的組織結(jié)構(gòu) 有利于通過組策略進行細化的終端管理目前公司的組織結(jié)構(gòu)簡圖如下：見附錄2由于用戶帳號（在這里包括用戶組賬號）和計算機賬號分數(shù)兩種不同的資源類型，所以也需要分開管理。因此，我們將組織單元設(shè)計成以下結(jié)構(gòu)： 第一級：資源類型 第二級：地理位置 第三級：事業(yè)部名稱第四級：部門名稱請參考下圖以了解這個結(jié)構(gòu)的模型：178。 賬號和口令管理賬號管理可以分為個人賬號管理、組賬號管理和機器賬號管理。個人賬號可以分為兩類： 第一類為普通賬號，采用一人一號的方式，為每一位員工建立自己的賬號。當員工加入或者離開時，按照一定的規(guī)則增加或者刪除用戶的賬號。 第二類為特殊賬號，通常不屬于某一位員工，而是為了滿足某些特殊的功能，比如系統(tǒng)管理、匿名訪問等等。特殊賬號有以下幾個：216。 Administrator，系統(tǒng)管理員賬號，具有最高的權(quán)限，可以進行任何管理操作，該賬號不能被刪除，只能更改用戶名。為了提高系統(tǒng)的安全性，建議將管理員賬號的用戶名更改，比如hqadmin（僅僅是建議，系統(tǒng)管理員可以自行決定）。216。 Guest，匿名登錄的賬號，為了提高系統(tǒng)的安全性，建議將Guest賬號禁止。216。 服務(wù)的賬號，在Windows 2008中，每一個服務(wù)都需要一個賬號，通常這些賬號采用系統(tǒng)賬號，我們無須關(guān)心，但有一些服務(wù)需要特殊的用戶賬號。 每個個人賬號都有一個口令來保護，為了防止口令被盜用和攻擊，我們將在整個域中啟用相應(yīng)的密碼策略以保證每個密碼都符合一定的復(fù)雜度，具體要求如下：216。 長度不得小于8個字符216。 必須包含大寫和小寫字母216。 必須包含特殊字符（例如：~!@$%^amp。*()_+）216。 密碼有效期=3個月 個人賬號的命名規(guī)則用戶名稱將使用中文名，帳號名稱為:216。 采用姓名的拼音全稱，如有重復(fù)則在末尾加用戶所在部門名稱的首字母，若仍有重復(fù)則在末尾加數(shù)字以示區(qū)別。216。 例如：姓名 姓名拼音 帳戶名張剛(工程實際部) 張鋼(財務(wù)部) 計算機賬號管理所有加入到域中的計算機都需要一個計算機賬號，通過該帳號，我們可以對計算機的各種配置進行管理。公司目前的計算機命名規(guī)則為：事業(yè)部+部門+序號。例如：SJBMB001（設(shè)計保密部第一臺計算機）。組賬號管理分組管理是重要而有效的管理策略。在Windows 2008中有三種組帳戶：通用組（Universal Group）、全局組（global group）和域本地組（Domain local group），全局組可以包括本域的用戶帳戶（user account），域本地組可以包括本域和資源域的用戶帳戶和全局組帳戶，通用組的使用則沒有任何限制。(公司如采用單域結(jié)構(gòu)，則沒有使用Universal組的必要)良好的分組策略可以降低管理的復(fù)雜性，避免安全上的漏洞，大大提高管理的可靠性。我們采用這樣的分組策略：1. 按照職位分組。2. 按職能分組，例如所有的財務(wù)人員，所有的科技人員，所有的系統(tǒng)管理員等等。3. 對員工分類，比如普通員工，臨時員工等等。4. 按照部門分組.由于維護用戶和組賬號是一項日常的工作，這項工作將由公司的人員，依據(jù)管理的需求來創(chuàng)建。此次項目中，將為每一個部門創(chuàng)建一個管理員組，用來進行一些日常的管理工作，包括安裝額外的硬件，共享文件和打印機，等等。目前，公司的所有用戶都已被分到各個不同的組織單元(OU)下面。每個組織單元下還包含一個用戶組，該用戶組的成員即是該組織單元內(nèi)的所有用戶，這樣可以較為輕松的管理用戶資源。Microsoft Exchange為企業(yè)安裝部署企業(yè)級郵件系統(tǒng)Exchange2007。l 配置Exchange2007的OWA功能，使之能夠讓用戶采用WEB方式訪問企業(yè)郵箱，以此我們可以通過