《Exchange电子邮件系统解决实施方案[模版]》由会员分享,可在线阅读,更多相关《Exchange电子邮件系统解决实施方案[模版](29页珍藏版)》请在金锄头文库上搜索。
1、 WORD整理版分享 Exchange电子邮件系统解决方案整体解决方案目录一、用户需求2二、名词解释2三、方案拓扑3四、方案推介4Microsoft Active Directory4地址分配4名称解析5DNS5域结构6组织单元结构7Microsoft Exchange 201011防火墙和边缘服务器11中心传输服务器12客户端访问服务器13邮箱服务器14Exchange Server 2010群集服务14可实现的功能:15Symantec Backup Exec For Windows Server16产品简介22Windows Server 2008简体中文标准版22Microsoft E
2、xchange Server 201026Symantec Backup Exec 2010 For Windows33方案介绍37建议方案一37建议方案二38Exchange服务器角色简介391.客户端访问服务器角色:392.边缘传输服务器角色:393.中心传输服务器角色:404.邮箱服务器角色:43一、用户需求XXX原有WinMail邮件服务器,因业务需要和对邮件数据的要求提高,希望通过部署Microsoft Exchange Server来完成对现有邮件系统的升级,以此来满足需求。因XXXExchange属于全新架构,因此,我们针对其现有结构情况和需求制定本方案。本方案为前期方案,根据实
3、际需求变化和最终确定需求详情,我们将制定详细的实施部署方案,以此作为项目过程的归档目录之一。二、名词解释Microsoft Exchange 2010:微软新一代电子邮件服务系统。Active Directory:Active Directory(活动目录)动目录(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。(Active Directory不能运行在Windows Web Server上,但是可以通过它对运行Windows Web
4、Server的计算机进行管理。)Active Directory存储了有关网络对象的信息,并且让管理员和用户能够轻松地查找和使用这些信息。Active Directory使用了一种结构化的数据存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织。反垃圾邮件网关:用于针对已有垃圾邮件进行过滤和阻断的设备。备份系统:传统机制的备份系统无法对现在使用的应用平台做完整细粒度备份,一旦应用发生灾难性损坏,后果将不堪设想,我们利用专业备份系统来弥补这个问题的空白。三、方案拓扑建议方案1建议方案2四、方案推介Microsoft Active Directory方案规划XXX采用单林单域方式,组织单元规划
5、根据企业实际行政规划来设计。AD明细如下:地址分配地址分配即IP地址的分配和管理。我们可以根据实际情况来确定IP的获取方式,根据部门来划分静态IP和DHCP的数量级和安全级别。名称解析名称解析是指在访问网络资源(包括文件服务器和打印机)时,如何将资源的名称转换成对应的IP地址的服务。目前公司的内部用户在访问网络资源时通过直接的IP地址来定位资源,这样带来的问题时每个用户必须记住要访问资源的IP地址,使用效率不高而且管理成本较高。通过DNS和WINS的服务,相关的服务器会自动将某个名称转换成实际的IP地址,用户只需记住容易辨识的资源名称即可进行相应的访问。这样网络资源的共享和使用效率将得到很大程
6、度的提高。DNS我们将在公司的DC01、DC02两台DNS服务器。该服务器同时也是域控制器。公司内部网络的域名为: 或 baiyyy.localDNS服务器包含两个区域,以下是它们的技术参数:Name: _.Type: Active Directory-IntegratedReplication: To All DNS servers in the Active Directory forest Dynamic updates: Nonsecure and secureName: .Type: Active Directory-IntegratedReplication: To All DNS
7、 servers in the Active Directory domain Dynamic updates: Nonsecure and secureDNS服务器都将DNS数据放在本地的AD数据库中,但是作为独立的Application Partition来参与域控制器之间的目录复制(Directory Replication)从而同步DNS数据库。所有域控制器都将主域控设为首选的DNS服务器外部(Internet)名称解析在DC01,将本地ISP的DNS服务器设为转发器。将所有非内部网的域名解析请求转发至Internet上所有公司内的客户端都将通过DNS来进行名称解析。包括登入域和访问文
8、件服务器或其他客户端。每一个加入域的客户端都通过动态注册在DNS服务器上注册自己的主机纪录(A)和指针纪录(PTR)。管理员在服务器上可以轻松的了解所有客户端的注册情况。此外,在DC01的DNS服务出现暂时不可用的情况时,可以依靠其它额外DC (DNS服务器)来进行必要的名称解析。域结构域结构设计是活动目录中最重要,也是最基础的工作,是多种因素权衡的结果,它既要尽可能贴近用户的管理模式和组织结构,也要考虑网络情况及今后的各种变化。以下是单域结构相对于其他结构的优缺点:优点 集中管理整个集团的安全策略; 集中管理整个集团的组策略; 完全利用组织单元反映集团的管理结构; 当公司机构重组时可以非常灵
9、活的进行调整; 当资源和用户需要在组织机构内迁移时可以非常灵活的调整; 不需要GC服务器 因为所有的DC都拥有AD的全备份; 相对其它方案,可以使用较少的域控制器; 简单的名字空间设计 只需要1个DNS名字后缀; 用户在查找AD内的信息时相对简单; 单一的组策略更容易实施。缺点 在IT系统管理权限相对分散的组织结构中,难以区分“管理权”。 整个公司集团只能实行一种安全策略,例如统一的口令策略。.所有的域控制器(DC)都拥有整个AD的数据的备份,AD的任何更改也要反映到域内的所有DC上,这对每台DC的硬件配置要提出更高的要求,同时对那些广域网带宽有限的区域会带来效率上的问题。对于DC服务器本身的
10、安全也提出更高的要求。组织单元结构组织单元的设计将遵循两点原则: 反映企业内部的组织结构 有利于通过组策略进行细化的终端管理目前公司的组织结构需根据XXX的实际人事组织拓扑制定,会在制定项目实施方案时提供。由于用户帐号(在这里包括用户组账号)和计算机账号分数两种不同的资源类型,所以也需要分开管理。因此,我们将组织单元设计成以下结构: 第一级:资源类型 第二级:地理位置 第三级:事业部名称 第四级:部门名称请参考下图以了解这个结构的模型: 账号和口令管理账号管理可以分为个人账号管理、组账号管理和机器账号管理。个人账号可以分为两类: 第一类为普通账号,采用一人一号的方式,为每一位员工建立自己的账号
11、。当员工加入或者离开时,按照一定的规则增加或者删除用户的账号。 第二类为特殊账号,通常不属于某一位员工,而是为了满足某些特殊的功能,比如系统管理、匿名访问等等。特殊账号有以下几个: Administrator,系统管理员账号,具有最高的权限,可以进行任何管理操作,该账号不能被删除,只能更改用户名。为了提高系统的安全性,建议将管理员账号的用户名更改,比如hqadmin(仅仅是建议,系统管理员可以自行决定)。 Guest,匿名登录的账号,为了提高系统的安全性,建议将Guest账号禁止。 服务的账号,在Windows 2008中,每一个服务都需要一个账号,通常这些账号采用系统账号,我们无须关心,但有
12、一些服务需要特殊的用户账号。 每个个人账号都有一个口令来保护,为了防止口令被盗用和攻击,我们将在整个域中启用相应的密码策略以保证每个密码都符合一定的复杂度,具体要求如下: 长度不得小于8个字符 必须包含大写和小写字母 必须包含特殊字符(例如:!#$%&*()_+) 密码有效期=3个月 个人账号的命名规则用户名称将使用中文名,帐号名称为: 采用姓名的拼音全称,如有重复则在末尾加用户所在部门名称的首字母,若仍有重复则在末尾加数字以示区别。 例如:姓名姓名拼音 帐户名张刚(工程实际部)Gang.ZhangGang.Zhang.SJ张钢(财务部) Gang.ZhangGang.Zhang.CW计算机账
13、号管理所有加入到域中的计算机都需要一个计算机账号,通过该帐号,我们可以对计算机的各种配置进行管理。公司目前的计算机命名规则为:事业部+部门+序号。例如:SJ-BMB-001(设计保密部第一台计算机)。组账号管理分组管理是重要而有效的管理策略。在Windows 2008中有三种组帐户:通用组(Universal Group)、全局组(global group)和域本地组(Domain local group),全局组可以包括本域的用户帐户(user account),域本地组可以包括本域和资源域的用户帐户和全局组帐户,通用组的使用则没有任何限制。(公司如采用单域结构,则没有使用Universal
14、组的必要)良好的分组策略可以降低管理的复杂性,避免安全上的漏洞,大大提高管理的可靠性。我们采用这样的分组策略:1. 按照职位分组。2. 按职能分组,例如所有的财务人员,所有的科技人员,所有的系统管理员等等。3. 对员工分类,比如普通员工,临时员工等等。4. 按照部门分组.由于维护用户和组账号是一项日常的工作,这项工作将由公司的人员,依据管理的需求来创建。此次项目中,将为每一个部门创建一个管理员组,用来进行一些日常的管理工作,包括安装额外的硬件,共享文件和打印机,等等。目前,公司的所有用户都已被分到各个不同的组织单元(OU)下面。每个组织单元下还包含一个用户组,该用户组的成员即是该组织单元内的所
15、有用户,这样可以较为轻松的管理用户资源。Microsoft Exchange 2010防火墙和边缘服务器防火墙实现机构局域网与广域网之间的隔离,是实现安全性的保障。首先系统和Internet公网之间设立一台硬件防火墙,为系统提供第一层安全防护。然后停火区建立Exchange 边缘服务器,负责对外的邮件往来。外部的邮件首先到达边缘服务器,经过反垃圾、防病毒系统的检查,确定安全后再转发给内网的中心传输服务器。边缘服务器将内外的邮件系统隔离开来,使得这些不得不和外界连通的服务器即使被黑客攻击,也不会影响防火墙后面内部网络内的服务器,它提高了安全性和设计灵活性。因为前端服务器不存放邮件存储系统或 Active Directo
