【正文】 北京美承互聯(lián)數(shù)碼科技發(fā)展有限公司郵件系統(tǒng)建設(shè)方案北京美承互聯(lián)數(shù)碼科技發(fā)展有限公司201402目錄現(xiàn)狀分析 2需求分析 3方案設(shè)計(jì)術(shù)語(yǔ) 4方案設(shè)計(jì)拓?fù)鋱D 5方案設(shè)計(jì)簡(jiǎn)介 6Microsoft Active Directory 7Microsoft Exchange 10Symantec Backup Exec For Windows Server 11備份策略 11災(zāi)難恢復(fù)策略 14介質(zhì)使用及命名規(guī)則 14設(shè)備清單 15產(chǎn)品介紹 17Microsoft Server 2008 17Microsoft Exchange Server 2012 22為法規(guī)遵循和郵件保留所提供的郵件記錄功能 22最佳的可用性 22內(nèi)置多引擎的防病毒系統(tǒng) 23內(nèi)置豪華垃圾郵件過(guò)濾組件 23多種訪問(wèn)方式，一致的使用體驗(yàn)（可選擇開(kāi)放） 24保證復(fù)雜網(wǎng)絡(luò)環(huán)境下用戶的使用體驗(yàn) 26強(qiáng)大的日程管理功能 26Web方式查看文檔 27在垃圾郵件和病毒到達(dá)用戶的組織之前進(jìn)行防護(hù) 27消息傳輸和認(rèn)證的安全性 27簡(jiǎn)化Exchange的管理 28手機(jī)直推郵件（可選功能） 29客戶端訪問(wèn)服務(wù)器角色 30Symantec Backup Exec 2012 For Windows 37現(xiàn)狀分析分析貴公司的目前情況，綜合需求，我們認(rèn)為貴公司的企業(yè)信息化實(shí)施應(yīng)該分為三個(gè)階段： 基礎(chǔ)架構(gòu)實(shí)現(xiàn)階段； 信息化實(shí)現(xiàn)階段； 信息安全（包括端點(diǎn)安全、數(shù)據(jù)安全和服務(wù)安全）提升階段；基礎(chǔ)架構(gòu)實(shí)現(xiàn)階段是為后期貴公司的信息化建設(shè)做底層架構(gòu)策略，完善底層架構(gòu)將會(huì)完成企業(yè)信息化基礎(chǔ)架構(gòu)的標(biāo)準(zhǔn)，利用該標(biāo)準(zhǔn)來(lái)規(guī)劃以后的信息化方向；信息化實(shí)現(xiàn)階段是我們利用之前所創(chuàng)建的基礎(chǔ)架構(gòu)，來(lái)完善信息化，根據(jù)企業(yè)需求來(lái)實(shí)現(xiàn)實(shí)際應(yīng)用；當(dāng)我們的信息化上升到一定規(guī)模，我們的信息安全將面臨考驗(yàn)，我們需要采用切實(shí)可行的企業(yè)安全策略來(lái)保護(hù)我們企業(yè)的信息安全。需求分析該方案為建議性解決方案，如方案中需規(guī)模性改造企業(yè)網(wǎng)絡(luò)，我們會(huì)根據(jù)最終網(wǎng)絡(luò)拓?fù)浜蛯?shí)際網(wǎng)絡(luò)情況進(jìn)行相應(yīng)的方案改進(jìn)，并最終形成可行性解決方案。需求分析如下： Microsoft Exchange郵件服務(wù)器； 郵箱空間限制在100MB，當(dāng)空間使用率達(dá)到80%，提醒用戶； 郵件附件大小限制在30MB以內(nèi)； 要求設(shè)置密碼策略，密碼使用周期小于3個(gè)月，密碼不能少于8位，并遵循密碼復(fù)雜度要求（必須包含數(shù)字、字母和特殊符號(hào)）； OWA模式郵件收發(fā)方式； 繼續(xù)接受舊服務(wù)器郵件； 建立全球通訊錄； 使用HTTP連接到Microsoft Exchange； 域管理：實(shí)現(xiàn)開(kāi)發(fā)環(huán)境標(biāo)準(zhǔn)化、提高信息和網(wǎng)絡(luò)安全； 未來(lái)域模式規(guī)劃；方案設(shè)計(jì)術(shù)語(yǔ)Active Directory：Active Directory（活動(dòng)目錄）動(dòng)目錄（Active Directory）是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目錄服務(wù)。（Active Directory不能運(yùn)行在Windows Web Server上，但是可以通過(guò)它對(duì)運(yùn)行Windows Web Server的計(jì)算機(jī)進(jìn)行管理。）Active Directory存儲(chǔ)了有關(guān)網(wǎng)絡(luò)對(duì)象的信息，并且讓管理員和用戶能夠輕松地查找和使用這些信息。Active Directory使用了一種結(jié)構(gòu)化的數(shù)據(jù)存儲(chǔ)方式，并以此作為基礎(chǔ)對(duì)目錄信息進(jìn)行合乎邏輯的分層組織。備份系統(tǒng)：傳統(tǒng)機(jī)制的備份系統(tǒng)無(wú)法對(duì)現(xiàn)在使用的應(yīng)用平臺(tái)做完整細(xì)粒度備份，一旦應(yīng)用發(fā)生災(zāi)難性損壞，后果將不堪設(shè)想，我們利用專業(yè)備份系統(tǒng)來(lái)彌補(bǔ)這個(gè)問(wèn)題的空白。方案設(shè)計(jì)拓?fù)鋱D拓?fù)鋱D圖示方案設(shè)計(jì)簡(jiǎn)介本方案中我們將完成的是基礎(chǔ)架構(gòu)建設(shè)的起步，利用微軟公司提供的解決方案來(lái)規(guī)劃我們的企業(yè)信息架構(gòu)：本方案將利用的解決方案包括：Microsoft Active Directory、Microsoft Exchange電子郵件及反垃圾郵件系統(tǒng)、Symantec數(shù)據(jù)備份系統(tǒng)。本方案計(jì)劃采用2臺(tái)Exchange郵件服務(wù)器+2臺(tái)AD服務(wù)器，方案設(shè)計(jì)AD服務(wù)器兩臺(tái)并行，互備結(jié)構(gòu)信息，當(dāng)其中1臺(tái)AD服務(wù)器發(fā)生故障，另外一臺(tái)會(huì)繼續(xù)為企業(yè)提供策略服務(wù)。因考慮Exchange服務(wù)器安全運(yùn)行，Exchange中的客戶端訪問(wèn)服務(wù)器角色、邊緣傳輸服務(wù)器角色、中心傳輸服務(wù)器角色、郵箱服務(wù)器角色和統(tǒng)一消息服務(wù)器角色在同一臺(tái)服務(wù)器上，而Exchange服務(wù)器需要對(duì)外公開(kāi)發(fā)布，考慮到企業(yè)其他內(nèi)部服務(wù)器的安全性，我們建議將其中1臺(tái)Exchange服務(wù)器安放在企業(yè)的DMZ區(qū)域中，這臺(tái)郵件服務(wù)器，提供郵件收發(fā)過(guò)程中的過(guò)濾功能。同時(shí)，多種角色存在于同一臺(tái)服務(wù)器，反垃圾郵件系統(tǒng)不可以在該服務(wù)器上運(yùn)行，原因是反垃圾郵件服務(wù)器（邊緣傳輸服務(wù)器角色）會(huì)占用大量的系統(tǒng)物理資源，影響Exchange主服務(wù)（郵件服務(wù)）正常提供服務(wù)，因此，我們建議在郵件服務(wù)器和企業(yè)防火墻之間加設(shè)反垃圾郵件網(wǎng)關(guān)（也就是梭子魚(yú)郵件防火墻系統(tǒng)）。本次方案旨在定義企業(yè)基礎(chǔ)架構(gòu)模型，結(jié)合企業(yè)行政管理架構(gòu)來(lái)定義企業(yè)用戶在企業(yè)中的位置，并規(guī)劃相關(guān)權(quán)限，為后期客戶端以域管理模式進(jìn)入企業(yè)網(wǎng)絡(luò)做準(zhǔn)備。前期將規(guī)劃相關(guān)事項(xiàng)的定義（網(wǎng)絡(luò)定義需結(jié)合網(wǎng)絡(luò)產(chǎn)品供應(yīng)商），其中包括：178。 服務(wù)器群組的計(jì)算機(jī)名定義、服務(wù)器管理組和用戶組權(quán)限定義、IP地址范圍定義、VLAN定義、DMZ區(qū)域定義等；178。 客戶端群的計(jì)算機(jī)名定義、用戶名定義、IP定制定義、VLAN定義、VLAN互訪策略定義、客戶端實(shí)際使用權(quán)限定義等；178。 郵件服務(wù)器的郵箱容量定義、又將收發(fā)規(guī)則定義、梭子魚(yú)反垃圾郵件策略、郵箱訪問(wèn)方式等。Microsoft Active Directory方案規(guī)劃貴公司采用單林單域方式，組織單元規(guī)劃根據(jù)企業(yè)實(shí)際行政規(guī)劃來(lái)設(shè)計(jì)。AD明細(xì)如下：178。 地址分配地址分配即IP地址的分配和管理。目前公司的服務(wù)器IP地址分配采用靜態(tài)方式，其添加和維護(hù)工作由IT人員在現(xiàn)場(chǎng)手工完成。如果某個(gè)用戶想要訪問(wèn)Internet，需事先讓網(wǎng)絡(luò)管理員在防火墻上開(kāi)啟對(duì)某個(gè)IP地址的路由，然后告知用戶該IP地址。我們可以根據(jù)實(shí)際情況來(lái)確定IP的獲取方式，根據(jù)部門來(lái)劃分靜態(tài)IP和DHCP的數(shù)量級(jí)和安全級(jí)別。178。 名稱解析名稱解析是指在訪問(wèn)網(wǎng)絡(luò)資源（包括文件服務(wù)器和打印機(jī)）時(shí)，如何將資源的名稱轉(zhuǎn)換成對(duì)應(yīng)的IP地址的服務(wù)。目前公司的內(nèi)部用戶在訪問(wèn)網(wǎng)絡(luò)資源時(shí)通過(guò)直接的IP地址來(lái)定位資源，這樣帶來(lái)的問(wèn)題時(shí)每個(gè)用戶必須記住要訪問(wèn)資源的IP地址，使用效率不高而且管理成本較高。通過(guò)DNS和WINS的服務(wù)，相關(guān)的服務(wù)器會(huì)自動(dòng)將某個(gè)名稱轉(zhuǎn)換成實(shí)際的IP地址，用戶只需記住容易辨識(shí)的資源名稱即可進(jìn)行相應(yīng)的訪問(wèn)。這樣網(wǎng)絡(luò)資源的共享和使用效率將得到很大程度的提高。178。 DNS我們將在公司的DCDC2兩臺(tái)DNS服務(wù)器。該服務(wù)器同時(shí)也是域控制器。公司內(nèi)部網(wǎng)絡(luò)的域名為： DNS服務(wù)器包含兩個(gè)區(qū)域，以下是它們的技術(shù)參數(shù)：DNS服務(wù)器都將DNS數(shù)據(jù)放在本地的AD數(shù)據(jù)庫(kù)中，但是作為獨(dú)立的Application Partition來(lái)參與域控制器之間的目錄復(fù)制(Directory Replication)從而同步DNS數(shù)據(jù)庫(kù)。所有域控制器都將主域控設(shè)為首選的DNS服務(wù)器外部(Internet)名稱解析在DC1，將本地ISP的DNS服務(wù)器設(shè)為轉(zhuǎn)發(fā)器。將所有非內(nèi)部網(wǎng)的域名解析請(qǐng)求轉(zhuǎn)發(fā)至Internet上所有公司內(nèi)的客戶端都將通過(guò)DNS來(lái)進(jìn)行名稱解析。包括登入域和訪問(wèn)文件服務(wù)器或其他客戶端。每一個(gè)加入域的客戶端都通過(guò)動(dòng)態(tài)注冊(cè)在DNS服務(wù)器上注冊(cè)自己的主機(jī)紀(jì)錄(A)和指針紀(jì)錄(PTR)。管理員在服務(wù)器上可以輕松的了解所有客戶端的注冊(cè)情況。此外，在DC1的DNS服務(wù)出現(xiàn)暫時(shí)不可用的情況時(shí)，可以依靠其它額外DC (DNS服務(wù)器)來(lái)進(jìn)行必要的名稱解析。178。 域結(jié)構(gòu)域結(jié)構(gòu)設(shè)計(jì)是活動(dòng)目錄中最重要，也是最基礎(chǔ)的工作，是多種因素權(quán)衡的結(jié)果，它既要盡可能貼近用戶的管理模式和組織結(jié)構(gòu)，也要考慮網(wǎng)絡(luò)情況及今后的各種變化。目前山東外運(yùn)超過(guò)60%的微機(jī)和超過(guò)55%的管理人員集中于青島總部地區(qū)，這意味著外地機(jī)構(gòu)分布較廣而各地的人員和微機(jī)數(shù)量都比較少，并且各地區(qū)也有固定的專線線路連入總部。此外，山東外運(yùn)IT部門的最終目標(biāo)是能夠?qū)崿F(xiàn)完全集中管理。因此此次在山東外運(yùn)環(huán)境內(nèi)采用單域結(jié)構(gòu)。以下是單域結(jié)構(gòu)相對(duì)于其他結(jié)構(gòu)的優(yōu)缺點(diǎn)：優(yōu)點(diǎn)集中管理整個(gè)集團(tuán)的安全策略。集中管理整個(gè)集團(tuán)的組策略。完全利用組織單元反映集團(tuán)的管理結(jié)構(gòu)。當(dāng)公司機(jī)構(gòu)重組時(shí)可以非常靈活的進(jìn)行調(diào)整。當(dāng)資源和用戶需要在組織機(jī)構(gòu)內(nèi)遷移時(shí)可以非常靈活的調(diào)整。不需要GC服務(wù)器 – 因?yàn)樗械腄C都擁有AD的全備份。相對(duì)其它方案，可以使用較少的域控制器。簡(jiǎn)單的名字空間設(shè)計(jì) – 只需要1個(gè)DNS名字后綴.用戶在查找AD內(nèi)的信息時(shí)相對(duì)簡(jiǎn)單。單一的組策略更容易實(shí)施。.缺點(diǎn) 在IT系統(tǒng)管理權(quán)限相對(duì)分散的組織結(jié)構(gòu)中，難以區(qū)分“管理權(quán)”。 整個(gè)公司集團(tuán)只能實(shí)行一種安全策略，例如統(tǒng)一的口令策略。.所有的域控制器(DC)都擁有整個(gè)AD的數(shù)據(jù)的備份，AD的任何更改也要反映到域內(nèi)的所有DC上，這對(duì)每臺(tái)DC的硬件配置要提出更高的要求，同時(shí)對(duì)那些廣域網(wǎng)帶寬有限的區(qū)域會(huì)帶來(lái)效率上的問(wèn)題。對(duì)于DC服務(wù)器本身的安全也提出更高的要求。178。 組織單元結(jié)構(gòu)組織單元的設(shè)計(jì)將遵循兩點(diǎn)原則： 反映企業(yè)內(nèi)部的組織結(jié)構(gòu) 有利于通過(guò)組策略進(jìn)行細(xì)化的終端管理Microsoft Exchange為企業(yè)安裝部署企業(yè)級(jí)郵件系統(tǒng)Exchange2012。l 配置Exchange2012的OWA功能，使之能夠讓用戶采用WEB方式訪問(wèn)企業(yè)郵箱，以此我們可以通過(guò)HTTP方式來(lái)訪問(wèn)郵件服務(wù)器收發(fā)郵件并處理相關(guān)信息；l 配置開(kāi)放Exchange2012的POP3的協(xié)議解析功能，使之實(shí)現(xiàn)對(duì)Outlook 和其它第三方郵件收發(fā)軟件的支持；l 定制防火墻對(duì)郵件系統(tǒng)的發(fā)布策略；l 發(fā)布郵件系統(tǒng)到INTERNET網(wǎng)絡(luò)；l 定制郵件系統(tǒng)的反垃圾郵件的策略；l 定制郵件系統(tǒng)的反攻擊安全策略；l 根據(jù)企業(yè)需要，定制郵箱大小策略，郵件大小策略，郵件發(fā)送策略等一系列郵箱設(shè)置策略；l 根據(jù)企業(yè)需要，定制全球通訊錄，部門通訊錄等各種脫機(jī)通訊錄；l 配置郵件系統(tǒng)，為郵件進(jìn)行128位的SSL加密，保證郵件傳輸安全；規(guī)劃郵件系統(tǒng)，合理定制郵件的存放周期及備份周期。Symantec Backup Exec For Windows Server備份過(guò)程中要用到大量的存儲(chǔ)介質(zhì)，隨著時(shí)間的推移，介質(zhì)上備份數(shù)據(jù)的作用會(huì)越來(lái)越小，除非要特意恢復(fù)到某一歷史時(shí)刻的狀態(tài)，都會(huì)用最新的備份數(shù)據(jù)來(lái)進(jìn)行恢復(fù)。所以在制定備份策略時(shí)，要根據(jù)數(shù)據(jù)的運(yùn)作和使用情況，來(lái)確定數(shù)據(jù)的最長(zhǎng)有效期、可容忍的數(shù)據(jù)丟失時(shí)間，從而確定執(zhí)行備份的時(shí)間、每次備份的種類、使用空介質(zhì)和重用老介質(zhì)的方法。AD服務(wù)器作為重要的運(yùn)營(yíng)系統(tǒng)和寶貴的信息庫(kù)，承擔(dān)著日常的網(wǎng)絡(luò)與數(shù)據(jù)中樞的角色，其長(zhǎng)期運(yùn)行過(guò)程中積累下來(lái)的數(shù)據(jù)具有重要的價(jià)值。基于此，對(duì)于這些服務(wù)器的備份，應(yīng)從整體、系統(tǒng)、長(zhǎng)期的角度來(lái)制定備份策略，做到既能快速的進(jìn)行日常備份，又能完備的保留一定歷史時(shí)期內(nèi)的數(shù)據(jù)。備份策略對(duì)數(shù)據(jù)進(jìn)行備份，是出于保證數(shù)據(jù)的安全性、對(duì)系統(tǒng)信息做歷史記錄、在災(zāi)難發(fā)生時(shí)恢復(fù)系統(tǒng)等多方面考慮的。若要詳細(xì)、歷史的記錄數(shù)據(jù)，并在特定情況下恢復(fù)特定時(shí)期的數(shù)據(jù)，就要保證數(shù)據(jù)備份的頻率、以及備份介質(zhì)上數(shù)據(jù)的保存時(shí)間符合預(yù)期設(shè)計(jì)的目標(biāo)。目前，國(guó)內(nèi)外大型企業(yè)對(duì)資源數(shù)據(jù)的備份都是每天進(jìn)行一次的，并且采用完全備份和差量備份結(jié)合的方式，給數(shù)恢復(fù)帶來(lái)便利。由于采用了先進(jìn)的軟、硬件配置，這種日常備份操作都可以在晚間系統(tǒng)負(fù)載較輕時(shí)定時(shí)、自動(dòng)、快速進(jìn)行，對(duì)系統(tǒng)日間使用不會(huì)造成任何影響?？紤]到本系統(tǒng)的具體情況，我們認(rèn)為做每日備份是極為合理的方案。由于系統(tǒng)中的每臺(tái)服務(wù)器數(shù)據(jù)交換和信息更新都極為頻繁，每天都有大量的信息數(shù)據(jù)、那么做每日備份，記錄每日系統(tǒng)的最新信息是極為必要的。對(duì)系統(tǒng)做完全備份是出于恢復(fù)方便考慮，系統(tǒng)管理員不必使用任何其它歷史資料，就可以對(duì)系統(tǒng)進(jìn)行完全恢復(fù)，簡(jiǎn)單便捷。若是只對(duì)應(yīng)用數(shù)據(jù)進(jìn)行備份，那么一但系統(tǒng)崩潰，需要使用最近一次完全備份恢復(fù)系統(tǒng)，再使用最近一次應(yīng)用備份恢復(fù)具體應(yīng)用，操作及為不便。如果應(yīng)用在系統(tǒng)配置文件中的一些信息較最近一次完全備份時(shí)有所不同，那么即使恢復(fù)了系統(tǒng)也難以正常運(yùn)行，或者造成不可見(jiàn)的故障隱患備份策略的定義定義好備份資源以后，我們必須根據(jù)實(shí)際需要配置備份策略。定義備份策略，涉及到以下內(nèi)容：a) 在什么時(shí)間（備份時(shí)間，如下午6:00）、b) 將什么數(shù)據(jù)（備份內(nèi)容，數(shù)據(jù)庫(kù)數(shù)據(jù)）、c) 以什么方式（備份方式，如全備份或增量備份）、d) 通過(guò)哪組磁盤驅(qū)動(dòng)器、e) 備份到磁盤哪一個(gè)位置在我們對(duì)每一組數(shù)據(jù)、數(shù)據(jù)庫(kù)都根據(jù)需要定義好備份策略后，系統(tǒng)就會(huì)自動(dòng)的按照我們定義的時(shí)間、方式、將需要備份的數(shù)據(jù)備份到我們指定的磁盤中去。而備份的方式可以分為三種：全備份、增量備份、累計(jì)增量備份。全備份每次備份定義的所有數(shù)據(jù)，優(yōu)點(diǎn)是恢復(fù)快，缺點(diǎn)是備份數(shù)據(jù)量大，數(shù)據(jù)多時(shí)可能做一次全備份需很長(zhǎng)時(shí)間增量備份備份自上一次備份以來(lái)更新的所有數(shù)據(jù)，其優(yōu)點(diǎn)是每次備份的數(shù)據(jù)量少，缺點(diǎn)是恢復(fù)時(shí)需要全備份及多份增量備份差分備份備份自上一次全備份以來(lái)更新的所有數(shù)據(jù)。我們可以結(jié)合這三種方式，靈活應(yīng)用。比如：252。 數(shù)據(jù)量少時(shí)，我們可以每次都用全備份備份數(shù)據(jù)，這樣，恢復(fù)時(shí)，只需要指定一個(gè)數(shù)據(jù)源即可。252。 數(shù)據(jù)量大時(shí)，如果每天作全備份，效率會(huì)很低。我們可以結(jié)合全備份和增量備份方式。比如每星期作一次全備份（如星期天），其它時(shí)間，每天作一個(gè)增量備份（如:星期一到星期六）?；謴?fù)時(shí)，