【正文】 消息進(jìn)行加密，只要接收郵件的外部SMTP服務(wù)器也被配置為可以使用TLS收發(fā)信息即可。這種方法阻止了欺騙并保護(hù)了信息的機(jī)密性。所有在Exchange Server 2010組織內(nèi)傳輸?shù)男畔⑷笔【褪羌用艿?。在信息到達(dá)用戶的組織之前會(huì)對(duì)它們進(jìn)行垃圾郵件和病毒的清理。這一功能使用戶可以在幾乎任何一臺(tái)機(jī)器上獲得高效的生產(chǎn)力并保證所查看文檔的安全性，甚至是在公共計(jì)算機(jī)上，因?yàn)镺utlook Web Access會(huì)在用戶退出或會(huì)話超時(shí)時(shí)刪除HTML文檔。同時(shí)，日歷助手會(huì)刪除同一個(gè)會(huì)議請(qǐng)求的歷史版本，確保了用戶郵箱中的日歷請(qǐng)求是最新版本的。252。252。 Web 瀏覽器（Outlook Web Access）：通過Web瀏覽器（如IE）就可以直接訪問Exchange，Outlook Web Access提供了Outlook客戶端的98％的功能，如收件人地址的自動(dòng)完成功能、日程安排通過鼠標(biāo)拖拽就可更改日程時(shí)間等。 Outlook：使用Outlook可以獲得最為強(qiáng)大和豐富的功能，包括本地緩存模式、本地的全球地址簿、共享日歷、聯(lián)系人等。 Microsoft Forefront for Exchange：除了提供下述的全面的病毒保護(hù)功能，該服務(wù)每天都會(huì)會(huì)對(duì)病毒代碼，IP信譽(yù)服務(wù)和反垃圾過濾器進(jìn)行數(shù)次更新。當(dāng)邊緣服務(wù)器偵測(cè)到來自某一域的相應(yīng)趨勢(shì)時(shí)，它會(huì)采取具體的行動(dòng)來處理，包括隔離信息或拒絕信息進(jìn)入企業(yè)內(nèi)網(wǎng)。 垃圾郵件隔離：除了Outlook和OWA客戶端帶的Outlook垃圾郵件隔離功能外，現(xiàn)在管理員可以復(fù)查并隔離可疑的垃圾郵件。垃圾郵件發(fā)送者通常沒有時(shí)間或計(jì)算資源來把每一個(gè)復(fù)雜的問題和答案附加到數(shù)千封要發(fā)出的郵件中，所以他們不會(huì)使用問題和答案。 安全發(fā)件人集合：為了減少將合法郵件誤判為垃圾郵件的概率，Outlook用戶創(chuàng)建的安全發(fā)件人列表會(huì)傳送到中心傳輸服務(wù)器，然后再傳送到邊緣傳輸服務(wù)器（在DMZ區(qū)中），來自這些用戶的消息將會(huì)被直接路由進(jìn)入組織。Exchange Server的Forefront Security 為Exchange邊緣傳輸角色、中心傳輸角色和郵箱角色提供了全面的病毒保護(hù)功能。通過該API，軟件提供商可以編寫反病毒代理來與Exchange內(nèi)建的傳輸代理直接交互。Exchange Server 2010提供了新的群集選項(xiàng)，它允許服務(wù)和數(shù)據(jù)庫(kù)在出現(xiàn)故障時(shí)都轉(zhuǎn)移到某個(gè)被動(dòng)節(jié)點(diǎn)，因而同時(shí)提供了對(duì)服務(wù)和數(shù)據(jù)庫(kù)的備份。2. 最佳的可用性提高Exchange郵箱服務(wù)器可用性的一個(gè)方法（不再是唯一方法了）是使用Exchange群集技術(shù)。在Exchange Server 2010中，可以通過設(shè)定記錄范圍來決定記錄哪些郵件。Microsoft Exchange Server 20101. 為法規(guī)遵循和郵件保留所提供的郵件記錄功能安全，法規(guī)遵循和郵件保留是郵件系統(tǒng)規(guī)則管理的核心。216。 快速關(guān)機(jī)服務(wù)Windows的一大歷史問題就是關(guān)機(jī)過程緩慢。216。 更大的靈活性WindowsServer2008的設(shè)計(jì)允許管理員修改其基礎(chǔ)結(jié)構(gòu)來適應(yīng)不斷變化的業(yè)務(wù)需求，同時(shí)保持了此操作的靈活性。通過在故障轉(zhuǎn)移群集中使用新的驗(yàn)證工具，您可以測(cè)試系統(tǒng)、存儲(chǔ)和網(wǎng)絡(luò)配置是否適用于群集。在此版本之前，當(dāng)用戶必須使用域控制器進(jìn)行身份驗(yàn)證，但其所在的分支辦公室無法為域控制器提供足夠物理安全性時(shí)，必須通過廣域網(wǎng) (WAN) 進(jìn)行身份驗(yàn)證。以這種方式，網(wǎng)絡(luò)管理員可以定義連接到網(wǎng)絡(luò)時(shí)計(jì)算機(jī)應(yīng)具備的基準(zhǔn)保護(hù)級(jí)別。借助網(wǎng)絡(luò)訪問保護(hù)(NAP)、只讀域控制器(RODC)、公鑰基礎(chǔ)結(jié)構(gòu)(PKI)增強(qiáng)功能、Windows服務(wù)強(qiáng)化、新的雙向Windows防火墻和新一代加密支持，WindowsServer2008操作系統(tǒng)中的安全性也得到了增強(qiáng)。216。通過服務(wù)器管理器進(jìn)行的基于角色的安裝和管理簡(jiǎn)化了在企業(yè)中管理與保護(hù)多個(gè)服務(wù)器角色的任務(wù)。從工作組到數(shù)據(jù)中心，Windows Server2008都提供了令人興奮且很有價(jià)值的新功能，對(duì)基本操作系統(tǒng)做出了重大改進(jìn)。通過加快IT系統(tǒng)的部署與維護(hù)、使服務(wù)器和應(yīng)用程序的合并與虛擬化更加簡(jiǎn)單、提供直觀管理工具，Windows Server2008還為IT專業(yè)人員提供了靈活性。 Windows Server 2008是一套相等于Windows Vista(代號(hào)為L(zhǎng)onghorn)的服務(wù)器系統(tǒng)，兩者很可能將會(huì)擁有很多相同功能；Vista及Server2008與XP及Server2008間存在相似的關(guān)系。災(zāi)難恢復(fù)的備份策略安裝完所有服務(wù)器的VERITAS及其選件和代理后，對(duì)所有要進(jìn)行災(zāi)難恢復(fù)的服務(wù)器進(jìn)行一次全備份。比如每個(gè)月作一次全備份（如每月初），然后每星期日作一次累計(jì)增量備份，其它時(shí)間，每天作一次增量備份。（如：上周日、星期一、星期二 ...，直到出事前一天的數(shù)據(jù)。 數(shù)據(jù)量大時(shí)，如果每天作全備份，效率會(huì)很低。我們可以結(jié)合這三種方式，靈活應(yīng)用。如果應(yīng)用在系統(tǒng)配置文件中的一些信息較最近一次完全備份時(shí)有所不同，那么即使恢復(fù)了系統(tǒng)也難以正常運(yùn)行，或者造成不可見的故障隱患備份策略的定義定義好備份資源以后，我們必須根據(jù)實(shí)際需要配置備份策略?？紤]到本系統(tǒng)的具體情況，我們認(rèn)為做每日備份是極為合理的方案。備份策略對(duì)數(shù)據(jù)進(jìn)行備份，是出于保證數(shù)據(jù)的安全性、對(duì)系統(tǒng)信息做歷史記錄、在災(zāi)難發(fā)生時(shí)恢復(fù)系統(tǒng)等多方面考慮的。Symantec Backup Exec For Windows Server備份過程中要用到大量的存儲(chǔ)介質(zhì)，隨著時(shí)間的推移，介質(zhì)上備份數(shù)據(jù)的作用會(huì)越來越小，除非要特意恢復(fù)到某一歷史時(shí)刻的狀態(tài)，都會(huì)用最新的備份數(shù)據(jù)來進(jìn)行恢復(fù)。目前，公司的所有用戶都已被分到各個(gè)不同的組織單元(OU)下面。2. 按職能分組，例如所有的財(cái)務(wù)人員，所有的科技人員，所有的系統(tǒng)管理員等等。組賬號(hào)管理分組管理是重要而有效的管理策略。216。*()_+）216。 每個(gè)個(gè)人賬號(hào)都有一個(gè)口令來保護(hù)，為了防止口令被盜用和攻擊，我們將在整個(gè)域中啟用相應(yīng)的密碼策略以保證每個(gè)密碼都符合一定的復(fù)雜度，具體要求如下：216。 Guest，匿名登錄的賬號(hào)，為了提高系統(tǒng)的安全性，建議將Guest賬號(hào)禁止。特殊賬號(hào)有以下幾個(gè)：216。 第一類為普通賬號(hào)，采用一人一號(hào)的方式，為每一位員工建立自己的賬號(hào)。 第二級(jí)：地理位置 反映企業(yè)內(nèi)部的組織結(jié)構(gòu).所有的域控制器(DC)都擁有整個(gè)AD的數(shù)據(jù)的備份，AD的任何更改也要反映到域內(nèi)的所有DC上，這對(duì)每臺(tái)DC的硬件配置要提出更高的要求，同時(shí)對(duì)那些廣域網(wǎng)帶寬有限的區(qū)域會(huì)帶來效率上的問題。.缺點(diǎn)不需要GC服務(wù)器 – 因?yàn)樗械腄C都擁有AD的全備份。集中管理整個(gè)集團(tuán)的組策略。目前山東外運(yùn)超過60%的微機(jī)和超過55%的管理人員集中于青島總部地區(qū)，這意味著外地機(jī)構(gòu)分布較廣而各地的人員和微機(jī)數(shù)量都比較少，并且各地區(qū)也有固定的專線線路連入總部。管理員在服務(wù)器上可以輕松的了解所有客戶端的注冊(cè)情況。所有域控制器都將主域控設(shè)為首選的DNS服務(wù)器外部(Internet)名稱解析在DC1，將本地ISP的DNS服務(wù)器設(shè)為轉(zhuǎn)發(fā)器。178。 名稱解析名稱解析是指在訪問網(wǎng)絡(luò)資源（包括文件服務(wù)器和打印機(jī)）時(shí)，如何將資源的名稱轉(zhuǎn)換成對(duì)應(yīng)的IP地址的服務(wù)。目前公司的IP地址分配采用靜態(tài)方式，其添加和維護(hù)工作由IT人員在現(xiàn)場(chǎng)手工完成。 郵件服務(wù)器的郵箱容量定義、又將收發(fā)規(guī)則定義、梭子魚反垃圾郵件策略、郵箱訪問方式等。本次方案旨在定義企業(yè)基礎(chǔ)架構(gòu)模型，結(jié)合企業(yè)行政管理架構(gòu)來定義企業(yè)用戶在企業(yè)中的位置，并規(guī)劃相關(guān)權(quán)限，為后期客戶端以域管理模式進(jìn)入企業(yè)網(wǎng)絡(luò)做準(zhǔn)備。反垃圾郵件網(wǎng)關(guān)：用于針對(duì)已有垃圾郵件進(jìn)行過濾和阻斷的設(shè)備。Active Directory：Active Directory（活動(dòng)目錄）動(dòng)目錄（Active Directory）是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目錄服務(wù)。XXXX需求如下： Microsoft Exchange郵件服務(wù)器； 郵箱空間限制在100MB，當(dāng)空間使用率達(dá)到80%，提醒用戶； 郵件附件大小限制在30MB以內(nèi)； 要求設(shè)置密碼策略，密碼使用周期小于3個(gè)月，密碼不能少于8位，并遵循密碼復(fù)雜度要求（必須包含數(shù)字、字母和特殊符號(hào)）； OWA模式郵件收發(fā)方式； 繼續(xù)接受舊服務(wù)器郵件； 建立全球通訊錄； 使用HTTP連接到Microsoft Exchange； 域管理：實(shí)現(xiàn)開發(fā)環(huán)境標(biāo)準(zhǔn)化、提高信息和網(wǎng)絡(luò)安全； 未來域模式規(guī)劃；名詞解釋Microsoft Exchange 2010：微軟新一代電子郵件服務(wù)系統(tǒng)。Active Directory使用了一種結(jié)構(gòu)化的數(shù)據(jù)存儲(chǔ)方式，并以此作為基礎(chǔ)對(duì)目錄信息進(jìn)行合乎邏輯的分層組織。本方案中我們將完成的是基礎(chǔ)架構(gòu)建設(shè)的起步，利用微軟公司提供的解決方案來規(guī)劃我們的企業(yè)信息架構(gòu)：本方案將利用的解決方案包括：Microsoft Active Directory、Microsoft Exchange電子郵件及反垃圾郵件系統(tǒng)、Symantec數(shù)據(jù)備份系統(tǒng)。 客戶端群的計(jì)算機(jī)名定義、用戶名定義、IP定制定義、VLAN定義、VLAN互訪策略定義、客戶端實(shí)際使用權(quán)限定義等；178。 地址分配地址分配即IP地址的分配和管理。178。這樣網(wǎng)絡(luò)資源的共享和使用效率將得到很大程度的提高。公司內(nèi)部網(wǎng)絡(luò)的域名為： 或 (pany 是指公司名稱或其縮寫)DNS服務(wù)器包含兩個(gè)區(qū)域，以下是它們的技術(shù)參數(shù)：Name: .Type: Active DirectoryIntegratedReplication: To All DNS servers in the Active Directory forest Dynamic updates: Nonsecure and secureName: .Type: Active DirectoryIntegratedReplication: To All DNS servers in the Active Directory domain Dynamic updates: Nonsecure and secureDNS服務(wù)器都將DNS數(shù)據(jù)放在本地的AD數(shù)據(jù)庫(kù)中，但是作為獨(dú)立的Application Partition來參與域控制器之間的目錄復(fù)制(Directory Replication)從而同步DNS數(shù)據(jù)庫(kù)。每一個(gè)加入域的客戶端都通過動(dòng)態(tài)注冊(cè)在DNS服務(wù)器上注冊(cè)自己的主機(jī)紀(jì)錄(A)和指針紀(jì)錄(PTR)。 域結(jié)構(gòu)域結(jié)構(gòu)設(shè)計(jì)是活動(dòng)目錄中最重要，也是最基礎(chǔ)的工作，是多種因素權(quán)衡的結(jié)果，它既要盡可能貼近用戶的管理模式和組織結(jié)構(gòu)，也要考慮網(wǎng)絡(luò)情況及今后的各種變化。以下是單域結(jié)構(gòu)相對(duì)于其他結(jié)構(gòu)的優(yōu)缺點(diǎn)： 優(yōu)點(diǎn)集中管理整個(gè)集團(tuán)的安全策略。當(dāng)資源和用戶需要在組織機(jī)構(gòu)內(nèi)遷移時(shí)可以非常靈活的調(diào)整。單一的組策略更容易實(shí)施。 整個(gè)公司集團(tuán)只能實(shí)行一種安全策略，例如統(tǒng)一的口令策略。 組織單元結(jié)構(gòu)組織單元的設(shè)計(jì)將遵循兩點(diǎn)原則： 第一級(jí)：資源類型個(gè)人賬號(hào)可以分為兩類： 第二類為特殊賬號(hào)，通常不屬于某一位員工，而是為了滿足某些特殊的功能，比如系統(tǒng)管理、匿名訪問等等。216。 必須包含特殊字符（例如：~!$%^amp。 采用姓名的拼音全稱，如有重復(fù)則在末尾加用戶所在部門名稱的首字母，若仍有重復(fù)則在末尾加數(shù)字以示區(qū)別。例如：SJBMB001（設(shè)計(jì)保密部第一臺(tái)計(jì)算機(jī)）。我們采用這樣的分組策略：1. 按照職位分組。此次項(xiàng)目中，將為每一個(gè)部門創(chuàng)建一個(gè)管理員組，用來進(jìn)行一些日常的管理工作，包括安裝額外的硬件，共享文件和打印機(jī)，等等。l 配置Exchange2007的OWA功能，使之能夠讓用戶采用WEB方式訪問企業(yè)郵箱，以此我們可以通過HTTP方式來訪問郵件服務(wù)器收發(fā)郵件并處理相關(guān)信息；l 配置開放Exchange2007的POP3的協(xié)議解析功能，使之實(shí)現(xiàn)對(duì)Outlook 和其它第三方郵件收發(fā)軟件的支持；l 定制防火墻對(duì)郵件系統(tǒng)的發(fā)布策略；l 發(fā)布郵件系統(tǒng)到INTERNET網(wǎng)絡(luò)；l 定制郵件系統(tǒng)的反垃圾郵件的策略（梭子魚策略）；l 定制郵件系統(tǒng)的反攻擊安全策略（梭子魚策略）；l 根據(jù)企業(yè)需要，定制郵箱大小策略，郵件大小策略，郵件發(fā)送策略等一系列郵箱設(shè)置策略；l