【正文】 0 中，可以阻止網(wǎng)絡(luò)外圍的病毒和垃圾郵件或未經(jīng)請(qǐng)求的商業(yè)電子郵件?？赡艿牟僮靼ǜ綦x郵件、丟棄或拒絕郵件、附加其他收件人或記錄事件。邊緣傳輸規(guī)則條件以數(shù)據(jù)為基礎(chǔ)，例如，郵件主題、正文、標(biāo)題或發(fā)件人地址中的特定字詞或文本模式，垃圾郵件信任級(jí)別 (SCL) 或附件類型。邊緣傳輸規(guī)則 用于控制發(fā)送到 Internet 或從其接收的郵件流。邊緣傳輸服務(wù)器角色上可管理：Internet郵件流 運(yùn)行邊緣傳輸服務(wù)器角色的服務(wù)器接受通過 Internet 進(jìn)入 Exchange 2010 組織的郵件。邊緣服務(wù)器將內(nèi)外的郵件系統(tǒng)隔離開來，使得這些不得不和外界連通的服務(wù)器即使被黑客攻擊，也不會(huì)影響防火墻后面內(nèi)部網(wǎng)絡(luò)內(nèi)的服務(wù)器，它提高了安全性和設(shè)計(jì)靈活性。然后停火區(qū)建立Exchange 邊緣服務(wù)器，負(fù)責(zé)對(duì)外的郵件往來。Microsoft Exchange 2010防火墻和邊緣服務(wù)器防火墻實(shí)現(xiàn)機(jī)構(gòu)局域網(wǎng)與廣域網(wǎng)之間的隔離，是實(shí)現(xiàn)安全性的保障。目前，公司的所有用戶都已被分到各個(gè)不同的組織單元(OU)下面。4. 按照部門分組.由于維護(hù)用戶和組賬號(hào)是一項(xiàng)日常的工作，這項(xiàng)工作將由公司的人員，依據(jù)管理的需求來創(chuàng)建。2. 按職能分組，例如所有的財(cái)務(wù)人員，所有的科技人員，所有的系統(tǒng)管理員等等。(公司如采用單域結(jié)構(gòu)，則沒有使用Universal組的必要)良好的分組策略可以降低管理的復(fù)雜性，避免安全上的漏洞，大大提高管理的可靠性。組賬號(hào)管理分組管理是重要而有效的管理策略。公司目前的計(jì)算機(jī)命名規(guī)則為：事業(yè)部+部門+序號(hào)。216。 個(gè)人賬號(hào)的命名規(guī)則用戶名稱將使用中文名，帳號(hào)名稱為:216。*()_+）216。 必須包含大寫和小寫字母216。 每個(gè)個(gè)人賬號(hào)都有一個(gè)口令來保護(hù)，為了防止口令被盜用和攻擊，我們將在整個(gè)域中啟用相應(yīng)的密碼策略以保證每個(gè)密碼都符合一定的復(fù)雜度，具體要求如下：216。 服務(wù)的賬號(hào)，在Windows 2008中，每一個(gè)服務(wù)都需要一個(gè)賬號(hào)，通常這些賬號(hào)采用系統(tǒng)賬號(hào)，我們無須關(guān)心，但有一些服務(wù)需要特殊的用戶賬號(hào)。 Guest，匿名登錄的賬號(hào)，為了提高系統(tǒng)的安全性，建議將Guest賬號(hào)禁止。為了提高系統(tǒng)的安全性，建議將管理員賬號(hào)的用戶名更改，比如hqadmin（僅僅是建議，系統(tǒng)管理員可以自行決定）。特殊賬號(hào)有以下幾個(gè)：216。 第一類為普通賬號(hào)，采用一人一號(hào)的方式，為每一位員工建立自己的賬號(hào)。 賬號(hào)和口令管理賬號(hào)管理可以分為個(gè)人賬號(hào)管理、組賬號(hào)管理和機(jī)器賬號(hào)管理。 第三級(jí)：事業(yè)部名稱216。 第一級(jí)：資源類型216。由于用戶帳號(hào)（在這里包括用戶組賬號(hào)）和計(jì)算機(jī)賬號(hào)分?jǐn)?shù)兩種不同的資源類型，所以也需要分開管理。 反映企業(yè)內(nèi)部的組織結(jié)構(gòu)對(duì)于DC服務(wù)器本身的安全也提出更高的要求。 整個(gè)公司集團(tuán)只能實(shí)行一種安全策略，例如統(tǒng)一的口令策略。 在IT系統(tǒng)管理權(quán)限相對(duì)分散的組織結(jié)構(gòu)中，難以區(qū)分“管理權(quán)”。 單一的組策略更容易實(shí)施。 用戶在查找AD內(nèi)的信息時(shí)相對(duì)簡(jiǎn)單。 簡(jiǎn)單的名字空間設(shè)計(jì) – 只需要1個(gè)DNS名字后綴。 相對(duì)其它方案，可以使用較少的域控制器。 不需要GC服務(wù)器 – 因?yàn)樗械腄C都擁有AD的全備份。 當(dāng)資源和用戶需要在組織機(jī)構(gòu)內(nèi)遷移時(shí)可以非常靈活的調(diào)整。 當(dāng)公司機(jī)構(gòu)重組時(shí)可以非常靈活的進(jìn)行調(diào)整。 完全利用組織單元反映集團(tuán)的管理結(jié)構(gòu)。 集中管理整個(gè)集團(tuán)的組策略。 集中管理整個(gè)集團(tuán)的安全策略。域結(jié)構(gòu)域結(jié)構(gòu)設(shè)計(jì)是活動(dòng)目錄中最重要，也是最基礎(chǔ)的工作，是多種因素權(quán)衡的結(jié)果，它既要盡可能貼近用戶的管理模式和組織結(jié)構(gòu)，也要考慮網(wǎng)絡(luò)情況及今后的各種變化。管理員在服務(wù)器上可以輕松的了解所有客戶端的注冊(cè)情況。包括登入域和訪問文件服務(wù)器或其他客戶端。所有域控制器都將主域控設(shè)為首選的DNS服務(wù)器外部(Internet)名稱解析在DC01，將本地ISP的DNS服務(wù)器設(shè)為轉(zhuǎn)發(fā)器。該服務(wù)器同時(shí)也是域控制器。這樣網(wǎng)絡(luò)資源的共享和使用效率將得到很大程度的提高。目前公司的內(nèi)部用戶在訪問網(wǎng)絡(luò)資源時(shí)通過直接的IP地址來定位資源，這樣帶來的問題時(shí)每個(gè)用戶必須記住要訪問資源的IP地址，使用效率不高而且管理成本較高。我們可以根據(jù)實(shí)際情況來確定IP的獲取方式，根據(jù)部門來劃分靜態(tài)IP和DHCP的數(shù)量級(jí)和安全級(jí)別。三、方案拓?fù)浣ㄗh方案1建議方案2四、方案推介Microsoft Active Directory方案規(guī)劃XXX采用單林單域方式，組織單元規(guī)劃根據(jù)企業(yè)實(shí)際行政規(guī)劃來設(shè)計(jì)。反垃圾郵件網(wǎng)關(guān)：用于針對(duì)已有垃圾郵件進(jìn)行過濾和阻斷的設(shè)備。）Active Directory存儲(chǔ)了有關(guān)網(wǎng)絡(luò)對(duì)象的信息，并且讓管理員和用戶能夠輕松地查找和使用這些信息。Active Directory：Active Directory（活動(dòng)目錄）動(dòng)目錄（Active Directory）是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目錄服務(wù)。本方案為前期方案，根據(jù)實(shí)際需求變化和最終確定需求詳情，我們將制定詳細(xì)的實(shí)施部署方案，以此作為項(xiàng)目過程的歸檔目錄之一。. Exchange電子郵件系統(tǒng)解決方案整體解決方案目錄一、用戶需求 2二、名詞解釋 2三、方案拓?fù)?3四、方案推介 4Microsoft Active Directory 4地址分配 4名稱解析 5DNS 5域結(jié)構(gòu) 6組織單元結(jié)構(gòu) 7Microsoft Exchange 2010 11防火墻和邊緣服務(wù)器 11中心傳輸服務(wù)器 12客戶端訪問服務(wù)器 13郵箱服務(wù)器 14Exchange Server 2010群集服務(wù) 14可實(shí)現(xiàn)的功能： 15Symantec Backup Exec For Windows Server 16產(chǎn)品簡(jiǎn)介 22Windows Server 2008簡(jiǎn)體中文標(biāo)準(zhǔn)版 22Microsoft Exchange Server 2010 26Symantec Backup Exec 2010 For Windows 33方案介紹 37建議方案一 37建議方案二 38Exchange服務(wù)器角色簡(jiǎn)介 39： 39： 39： 40： 43一、用戶需求XXX原有WinMail郵件服務(wù)器，因業(yè)務(wù)需要和對(duì)郵件數(shù)據(jù)的要求提高，希望通過部署Microsoft Exchange Server來完成對(duì)現(xiàn)有郵件系統(tǒng)的升級(jí)，以此來滿足需求。因XXXExchange屬于全新架構(gòu)，因此，我們針對(duì)其現(xiàn)有結(jié)構(gòu)情況和需求制定本方案。二、名詞解釋Microsoft Exchange 2010：微軟新一代電子郵件服務(wù)系統(tǒng)。（Active Directory不能運(yùn)行在Windows Web Server上，但是可以通過它對(duì)運(yùn)行Windows Web Server的計(jì)算機(jī)進(jìn)行管理。Active Directory使用了一種結(jié)構(gòu)化的數(shù)據(jù)存儲(chǔ)方式，并以此作為基礎(chǔ)對(duì)目錄信息進(jìn)行合乎邏輯的分層組織。備份系統(tǒng)：傳統(tǒng)機(jī)制的備份系統(tǒng)無法對(duì)現(xiàn)在使用的應(yīng)用平臺(tái)做完整細(xì)粒度備份，一旦應(yīng)用發(fā)生災(zāi)難性損壞，后果將不堪設(shè)想，我們利用專業(yè)備份系統(tǒng)來彌補(bǔ)這個(gè)問題的空白。AD明細(xì)如下：地址分配地址分配即IP地址的分配和管理。名稱解析名稱解析是指在訪問網(wǎng)絡(luò)資源（包括文件服務(wù)器和打印機(jī)）時(shí)，如何將資源的名稱轉(zhuǎn)換成對(duì)應(yīng)的IP地址的服務(wù)。通過DNS和WINS的服務(wù)，相關(guān)的服務(wù)器會(huì)自動(dòng)將某個(gè)名稱轉(zhuǎn)換成實(shí)際的IP地址，用戶只需記住容易辨識(shí)的資源名稱即可進(jìn)行相應(yīng)的訪問。DNS我們將在公司的DC0DC02兩臺(tái)DNS服務(wù)器。公司內(nèi)部網(wǎng)絡(luò)的域名為： 或 DNS服務(wù)器包含兩個(gè)區(qū)域，以下是它們的技術(shù)參數(shù)：Name: .Type: Active DirectoryIntegratedReplication: To All DNS servers in the Active Directory forest Dynamic updates: Nonsecure and secureName: .Type: Active DirectoryIntegratedReplication: To All DNS servers in the Active Directory domain Dynamic updates: Nonsecure and secureDNS服務(wù)器都將DNS數(shù)據(jù)放在本地的AD數(shù)據(jù)庫中，但是作為獨(dú)立的Application Partition來參與域控制器之間的目錄復(fù)制(Directory Replication)從而同步DNS數(shù)據(jù)庫。將所有非內(nèi)部網(wǎng)的域名解析請(qǐng)求轉(zhuǎn)發(fā)至Internet上所有公司內(nèi)的客戶端都將通過DNS來進(jìn)行名稱解析。每一個(gè)加入域的客戶端都通過動(dòng)態(tài)注冊(cè)在DNS服務(wù)器上注冊(cè)自己的主機(jī)紀(jì)錄(A)和指針紀(jì)錄(PTR)。此外，在DC01的DNS服務(wù)出現(xiàn)暫時(shí)不可用的情況時(shí)，可以依靠其它額外DC (DNS服務(wù)器)來進(jìn)行必要的名稱解析。以下是單域結(jié)構(gòu)相對(duì)于其他結(jié)構(gòu)的優(yōu)缺點(diǎn)：優(yōu)點(diǎn)216。216。216。216。216。216。216。216。216。216。缺點(diǎn)216。216。.所有的域控制器(DC)都擁有整個(gè)AD的數(shù)據(jù)的備份，AD的任何更改也要反映到域內(nèi)的所有DC上，這對(duì)每臺(tái)DC的硬件配置要提出更高的要求，同時(shí)對(duì)那些廣域網(wǎng)帶寬有限的區(qū)域會(huì)帶來效率上的問題。組織單元結(jié)構(gòu)組織單元的設(shè)計(jì)將遵循兩點(diǎn)原則： 有利于通過組策略進(jìn)行細(xì)化的終端管理目前公司的組織結(jié)構(gòu)需根據(jù)XXX的實(shí)際人事組織拓?fù)渲贫?，?huì)在制定項(xiàng)目實(shí)施方案時(shí)提供。因此，我們將組織單元設(shè)計(jì)成以下結(jié)構(gòu)： 216。 第二級(jí)：地理位置216。 第四級(jí)：部門名稱請(qǐng)參考下圖以了解這個(gè)結(jié)構(gòu)的模型：178。個(gè)人賬號(hào)可以分為兩類： 當(dāng)員工加入或者離開時(shí)，按照一定的規(guī)則增加或者刪除用戶的賬號(hào)。 第二類為特殊賬號(hào)，通常不屬于某一位員工，而是為了滿足某些特殊的功能，比如系統(tǒng)管理、匿名訪問等等。 Administrator，系統(tǒng)管理員賬號(hào)，具有最高的權(quán)限，可以進(jìn)行任何管理操作，該賬號(hào)不能被刪除，只能更改用戶名。216。216。 長(zhǎng)度不得小于8個(gè)字符216。 必須包含特殊字符（例如：~!$%^amp。 密碼有效期=3個(gè)月 采用姓名的拼音全稱，如有重復(fù)則在末尾加用戶所在部門名稱的首字母，若仍有重復(fù)則在末尾加數(shù)字以示區(qū)別。 例如：姓名 姓名拼音 帳戶名張剛(工程實(shí)際部) 張鋼(財(cái)務(wù)部) 計(jì)算機(jī)賬號(hào)管理所有加入到域中的計(jì)算機(jī)都需要一個(gè)計(jì)算機(jī)賬號(hào)，通過該帳號(hào)，我們可以對(duì)計(jì)算機(jī)的各種配置進(jìn)行管理。例如：SJBMB001（設(shè)計(jì)保密部第一臺(tái)計(jì)算機(jī)）。在Windows 2008中有三種組帳戶：通用組（Universal Group）、全局組（global group）和域本地組（Domain local group），全局組可以包括本域的用戶帳戶（user account），域本地組可以包括本域和資源域的用戶帳戶和全局組帳戶，通用組的使用則沒有任何限制。我們采用這樣的分組策略：1. 按照職位分組。3. 對(duì)員工分類，比如普通員工，臨時(shí)員工等等。此次項(xiàng)目中，將為每一個(gè)部門創(chuàng)建一個(gè)管理員組，用來進(jìn)行一些日常的管理工作，包括安裝額外的硬件，共享文件和打印機(jī)，等等。每個(gè)組織單元下還包含一個(gè)用戶組，該用戶組的成員即是該組織單元內(nèi)的所有用戶，這樣可以較為輕松的管理用戶資源。首先系統(tǒng)和Internet公網(wǎng)之間設(shè)立一臺(tái)硬件防火墻，為系統(tǒng)提供第一層安全防護(hù)。外部的郵件首先到達(dá)邊緣服務(wù)器，經(jīng)過反垃圾、防病毒系統(tǒng)的檢查，確定安全后再轉(zhuǎn)發(fā)給內(nèi)網(wǎng)的中心傳輸服務(wù)器。因?yàn)榍岸朔?wù)器不存放郵件存儲(chǔ)系統(tǒng)或 Active Directory 數(shù)據(jù)庫，所以它們成為“黑客”攻擊對(duì)象的價(jià)值就會(huì)降低。邊緣傳輸服務(wù)器對(duì)郵件進(jìn)行處理之后，會(huì)將它們路由到組織內(nèi)部的中心傳輸服務(wù)器。邊緣傳輸規(guī)則通過將操作應(yīng)用于滿足指定條件的郵件幫助保護(hù)企業(yè)網(wǎng)絡(luò)資源和數(shù)據(jù)。當(dāng)指定條件為真時(shí)，這些操作可確定處理郵件的方式。有例外情況（可選）可以不對(duì)特定郵件執(zhí)行操作。邊緣傳輸服務(wù)器角色的服務(wù)器通過提供一組協(xié)同工作以提供不同垃圾郵件篩選層和保護(hù)層的代理，以幫助防止組織中的用戶接收垃圾郵件。針對(duì)邊緣傳輸服務(wù)器角色配置地址重寫代理，可以修改進(jìn)站和出站郵件的 SMTP 地址。中心傳輸服務(wù)器每個(gè)Exchan