Exchange电子邮件系统解决方案

本方案由青岛赛诺普信息技术有限公司技术部创建，该方案所有技术指标遵循微软公司技术指标，相关方案设计解释权归青岛赛诺普信息技术有限公司所有。XXXXXExchange电子邮件系统解决方案整体解决方案青岛赛诺普信息技术有限公司技术部青岛赛诺普信息技术有限公司QingdaoSinopowerInformationTechnologyCO.,LTD.1用户需求因考虑XXXX网络处于改造阶段，相关网络情况不明了，该方案为建议性解决方案，如方案中需规模性改造企业网络，我们会根据最终网络拓扑和实际网络情况进行相应的方案改进，并最终形成可行性解决方案。XXXX需求如下：1、MicrosoftExchange邮件服务器；2、邮箱空间限制在100MB，当空间使用率达到80%，提醒用户；3、邮件附件大小限制在30MB以内；4、要求设置密码策略，密码使用周期小于3个月，密码不能少于8位，并遵循密码复杂度要求（必须包含数字、字母和特殊符号）；5、OWA模式邮件收发方式；6、继续接受旧服务器邮件；7、建立全球通讯录；8、使用HTTP连接到MicrosoftExchange；9、域管理：实现开发环境标准化、提高信息和网络安全；10、未来域模式规划；青岛赛诺普信息技术有限公司QingdaoSinopowerInformationTechnologyCO.,LTD.2名词解释MicrosoftExchange2010：微软新一代电子邮件服务系统。ActiveDirectory：ActiveDirectory（活动目录）动目录（ActiveDirectory）是面向WindowsStandardServer、WindowsEnterpriseServer以及WindowsDatacenterServer的目录服务。（ActiveDirectory不能运行在WindowsWebServer上，但是可以通过它对运行WindowsWebServer的计算机进行管理。）ActiveDirectory存储了有关网络对象的信息，并且让管理员和用户能够轻松地查找和使用这些信息。ActiveDirectory使用了一种结构化的数据存储方式，并以此作为基础对目录信息进行合乎逻辑的分层组织。反垃圾邮件网关：用于针对已有垃圾邮件进行过滤和阻断的设备。备份系统：传统机制的备份系统无法对现在使用的应用平台做完整细粒度备份，一旦应用发生灾难性损坏，后果将不堪设想，我们利用专业备份系统来弥补这个问题的空白。青岛赛诺普信息技术有限公司QingdaoSinopowerInformationTechnologyCO.,LTD.3方案拓扑建议方案1建议方案2青岛赛诺普信息技术有限公司QingdaoSinopowerInformationTechnologyCO.,LTD.4方案推介分析XXXX的目前情况，综合需求，我们认为XXXX的企业信息化实施应该分为三个阶段：1、基础架构实现阶段；2、信息化实现阶段；3、信息安全（包括端点安全、数据安全和服务安全）提升阶段；基础架构实现阶段是为后期XXXX的信息化建设做底层架构策略，完善底层架构将会完成企业信息化基础架构的标准，利用该标准来规划以后的信息化方向；信息化实现阶段是我们利用之前所创建的基础架构，来完善信息化，根据企业需求来实现实际应用；当我们的信息化上升到一定规模，我们的信息安全将面临考验，我们需要采用切实可行的企业安全策略来保护我们企业的信息安全。本方案中我们将完成的是基础架构建设的起步，利用微软公司提供的解决方案来规划我们的企业信息架构：本方案将利用的解决方案包括：MicrosoftActiveDirectory、MicrosoftExchange电子邮件及反垃圾邮件系统、Symantec数据备份系统。本次方案旨在定义企业基础架构模型，结合企业行政管理架构来定义企业用户在企业中的位置，并规划相关权限，为后期客户端以域管理模式进入企业网络做准备。前期将规划相关事项的定义（网络定义需结合网络产品供应商），其中包括：服务器群组的计算机名定义、服务器管理组和用户组权限定义、IP地址范围定义、VLAN定义、DMZ区域定义等；客户端群的计算机名定义、用户名定义、IP定制定义、VLAN定义、VLAN互访策略定义、客户端实际使用权限定义等；邮件服务器的邮箱容量定义、又将收发规则定义、梭子鱼反垃圾邮件策略、邮箱访问方式等。MicrosoftActiveDirectory方案规划XXXX采用单林单域方式，组织单元规划根据企业实际行政规划来设计。AD明细如下：地址分配地址分配即IP地址的分配和管理。目前公司的IP地址分配采用静态方式，其添加和维护工作由IT人员在现场手工完成。如果某个用户想要访问Internet，需事先让网络管理员在防火墙上开启对某个IP地址的路由，然后告知用户该IP地址。我们可以根据实际情况来确定IP的获取方式，根据部门来划分静态IP和DHCP的数量级和安全级别。名称解析青岛赛诺普信息技术有限公司QingdaoSinopowerInformationTechnologyCO.,LTD.5名称解析是指在访问网络资源（包括文件服务器和打印机）时，如何将资源的名称转换成对应的IP地址的服务。目前公司的内部用户在访问网络资源时通过直接的IP地址来定位资源，这样带来的问题时每个用户必须记住要访问资源的IP地址，使用效率不高而且管理成本较高。通过DNS和WINS的服务，相关的服务器会自动将某个名称转换成实际的IP地址，用户只需记住容易辨识的资源名称即可进行相应的访问。这样网络资源的共享和使用效率将得到很大程度的提高。DNS我们将在公司的DC1、DC2两台DNS服务器。该服务器同时也是域控制器。公司内部网络的域名为：company.com或company.local(company是指公司名称或其缩写)DNS服务器包含两个区域，以下是它们的技术参数：Name:_msdcs.corp.xxcompany.com.Type:ActiveDirectory-IntegratedReplication:ToAllDNSserversintheActiveDirectoryforestcorp.xxcompany.comDynamicupdates:NonsecureandsecureName:corp.xxcompany.com.Type:ActiveDirectory-IntegratedReplication:ToAllDNSserversintheActiveDirectorydomaincorp.xxcompany.comDynamicupdates:NonsecureandsecureDNS服务器都将DNS数据放在本地的AD数据库中，但是作为独立的ApplicationPartition来参与域控制器之间的目录复制(DirectoryReplication)从而同步DNS数据库。所有域控制器都将主域控设为首选的DNS服务器外部(Internet)名称解析在DC1，将本地ISP的DNS服务器设为转发器。将所有非内部网的域名解析请求转发至Internet上所有公司内的客户端都将通过DNS来进行名称解析。包括登入域和访问文件服务器或其他客户端。每一个加入域的客户端都通过动态注册在DNS服务器上注册自己的主机纪录(A)和指针纪录(PTR)。管理员在服务器上可以轻松的了解所有客户端的注册情况。此外，在DC1的DNS服务出现暂时不可用的情况时，可以依靠其它额外DC(DNS服务器)来进行必要的名称解析。域结构域结构设计是活动目录中最重要，也是最基础的工作，是多种因素权衡的结果，它既要尽可能贴近用户的管理模式和组织结构，也要考虑网络情况及今后的各种变化。目前山东外运超过60%的微机和超过55%的管理人员集中于青岛总部地区，这意味着外地机构分布较广而各地的人员和微机数量都比较少，并且各地区也有青岛赛诺普信息技术有限公司QingdaoSinopowerInformationTechnologyCO.,LTD.6固定的专线线路连入总部。此外，山东外运IT部门的最终目标是能够实现完全集中管理。因此此次在山东外运环境内采用单域结构。以下是单域结构相对于其他结构的优缺点：优点集中管理整个集团的安全策略。集中管理整个集团的组策略。完全利用组织单元反映集团的管理结构。当公司机构重组时可以非常灵活的进行调整。当资源和用户需要在组织机构内迁移时可以非常灵活的调整。不需要GC服务器–因为所有的DC都拥有AD的全备份。相对其它方案，可以使用较少的域控制器。简单的名字空间设计–只需要1个DNS名字后缀.用户在查找AD内的信息时相对简单。单一的组策略更容易实施。.缺点在IT系统管理权限相对分散的组织结构中，难以区分“管理权”。整个公司集团只能实行一种安全策略，例如统一的口令策略。.所有的域控制器(DC)都拥有整个AD的数据的备份，AD的任何更改也要反映到域内的所有DC上，这对每台DC的硬件配置要提出更高的要求，同时对那些广域网带宽有限的区域会带来效率上的问题。对于DC服务器本身的安全也提出更高的要求。组织单元结构组织单元的设计将遵循两点原则：反映企业内部的组织结构有利于通过组策略进行细化的终端管理目前公司的组织结构简图如下：见附录2由于用户帐号（在这里包括用户组账号）和计算机账号分数两种不同的资源类型，所以也需要分开管理。因此，我们将组织单元设计成以下结构：第一级：资源类型第二级：地理位置青岛赛诺普信息技术有限公司QingdaoSinopowerInformationTechnologyCO.,LTD.7第三级：事业部名称第四级：部门名称请参考下图以了解这个结构的模型：域控制器一级组织单位轻合金QHJ.ADMIN时尚广场SSGC.ADMIN会议中心HYZX.ADMIN海滨花园HBHY.ADMIN精纺总厂JFZC.ADMIN贵宾楼GBL.ADMIN城市花园CSHY.ADMIN铝业公司LYGS.ADMIN高尔夫GOLF.ADMIN外国语学校WGY.ADMIN东海电厂DHDC.ADMIN供应公司GYGS.ADMIN海景酒店HJJD.ADMIN组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元组织单元二级组织单位三级组织单位账号和口令管理账号管理可以分为个人账号管理、组账号管理和机器账号管理。个人账号可以分为两类：第一类为普通账号，采用一人一号的方式，为每一位员工建立自己的账号。当员工加入或者离开时，按照一定的规则增加或者删除用户的账号。第二类为特殊账号，通常不属于某一位员工，而是为了满足某些特殊的功能，比如系统管理、匿名访问等等。特殊账号有以下几个：Administrator，系统管理员账号，具有最高的权限，可以进行任何管理操作，该账号不能被删除，只能更改用户名。为了提高系统的安全性，建议将管理员账号的用户名更改，比如hqadmin（仅仅是建议，系统管理员可以自行决定）。Guest，匿名登录的账号，为了提高系统的安全性，建议将Guest账号禁止。青岛赛诺普信息技术有限公司QingdaoSinopowerInformationTechnologyCO.,LTD.8服务的账号，在Windows2008中，每一个服务都需要一个账号，通常这些账号采用系统账号，我们无须关心，但有一些服务需要特殊的用户账号。每个个人账号都有一个口令来保护，为了防止口令被盗用和攻击，我们将在整个域中启用相应的密码策略以保证每个密码都符合一定的复杂度，具体要求如下：长度不得小于8个字符必须包含大写和小写字母必须包含特殊字符（