目录
第 1章 方案背景 1.1 用户需求
1.2 设计原则和设计目标 1.2.1 设计原则 1.2.2 设计要求 第 2章 设计方案 2.1 方案构架
2.1.1 Active Directory 目录服务器 2.1.2 Exchange 2007 邮件服务器 2.1.3 灵活的客户端访问方式 2.2 系统组成及规划 2.2.1 邮件服务系统
2.2.2 Exchange 2007 前后端结构 2.2.3 邮件系统存储设计 2.2.4 域控制器 DC 2.2.5 客户端
2.2.6 垃圾邮件的处理 2.2.7 防病毒规划 2.2.8 数据备份和恢复
第3章 建议Exchange 2007前后端架构服务器软硬件配置。
3.1 服务器硬件配置建议 3.2 邮件系统软件需求
上海市中山北路 2020 号中星经贸大厦 19 楼 电话: (8621)52916000 传真: (8621) 52949018 方案背景
1.1 用户需求
目前需要为中国地区员工(上海和沈阳两地)架设邮件服务器,大约用户人数在 1000 人左右,用户客 户端连接采用 POP3 方式。
1.2 邮件系统的设计原则和设计目标
1.2.1 设计原则 企业电子邮件及协作系统的建设对整个公司的信息化具有重要的意义,系统的选择和设计对建成后的 质量
和作用起到举足轻重的影响,为保证系统的广泛使用和稳定运行,新系统的选择和设计应遵循以下原 则:
保障信息传递的高效性 便于最终用户使用,符合用户习惯,方便与其他客户端软件集成
系统稳定可靠 方便网络和系统的管理、安全性控制和扩展 能提供完备的反病毒、反垃圾邮件和备份方案 方便与外部系统的连通
方便系统的开发应用及和企业其它系统的互联和集成 便于系统的统一管理
1.2.2 设计要求
基于以上的设计原则,邮件系统的设计应达到以下目标:
现阶段为公司中国区(上海、沈阳)人员提供邮件服务,大约 1000 人左右,每人 100M 容量 高度可伸缩性的体系构架。能方便地扩充容量,以满足集团未来发展的需要。
开通 Web 方式收发邮件, Web Mail 界面能和公司内部网集成,并能提供多语言界面 提供邮件帐号别名,使一个帐号能有多个邮件地址
完备的反病毒和反垃圾邮件解决方案
上海市中山北路 2020 号中星经贸大厦 19 楼 电话: (8621)52916000 传真 : (8621) 52949018 为管理员提供方便高效
的管理工具,减少日常维护工作量 对于移动用户和设备的支持 第2章 设计方案
2.1 方案构架 根据中国区的现有情况和具体需求,建议邮件系统采用集中部署的方式,邮件系统的服务器上海公司 机房
内,沈阳地区员工通过 Internet POP3 方式连接上海机房内的邮件服务器。
方案采用了 Windows Server 2003 平台上 Exchange 2007 集群部署的邮件系统,以前后端部署的方式 实现系统的高性能和高扩展性。
下图为系统构架示意图:
-riEich.ngp 前端 槪
务器可以恨据需 啰扩光撒负愦均褪
沈阳fll亦外胞出差的 STiffiiilntcrnciUj 何防火堵快射的公搦 IP,与Exchnn熬凰 务器建
立『。円连接
上淘曲司AD域控制器
Tntvrmrt
舍网IP 15* 血冊端口到 E上
前期脛 务黔内阳IF
—台EnchMgp忑端雌 务曙可以根据需要軽
加觎势赛扩容
LWM E通过巩W3布内 网连
上海市中山北路2020号中星经贸大厦 19 楼 电话:(8621)52916000 传真:(8621) 52949018
黒F;績h卯駅駅务器
2.1.1 Active Directory 目录服务器
域服务器整合、AD服务器提供所有的人员帐户和 资源的管理,邮
在上图中Exchange与上海公司Active Directory 件服务器为这些用户帐号提供邮件服务。
2.1.2 Exchange 2007
统的访问,可通
邮件服务器 邮件服务器在本机构内提供高效的邮件服务,同时自动与其他外接系统通讯。邮件系
过Outlook, OWA 等客户端软件。为了提高系统的性能, Exchange Server会采用前后端部署的方式。前 端邮件服务器专门负责和Internet
进行外部邮件收发和0WA能够提高系统总体性能。后端邮件服务器则
专门为内部用户提供邮件、和其他协作服务。当内部用户有邮件发往 Internet 或者Internet 上有邮件发 往内部用户时,前后端邮件服务器之间能够自动进行同步,因此用户只会感觉到只有一个邮件服务器在工 作,在提高性能的同时,不会影响易用性。如果需要提高系统的稳定性和可用性,后端邮件服务器还可以 采用Cluster群集结构,就是两台服务器相互备份和同步,当其中一台服务器意外崩溃以后,另外一台会 马上接替工作,不会引起服务中止。
2.1.3灵活的客户端访问方式
Exchange 2007具有对多种客户端灵活的支持能力。
对于上海公司局域网内的用户,可以采用以下几种方式访问邮件服务:
Outlook作为客户端,以MAPI方式访问Exchange服务器。 Outlook 或者Outlook Express
为客户端、以POP3连接访问Exchange服务器
Outlook Web Access 方式,通过IE 浏览器来访问Exchange服务器
对于沈阳和在外地出差的用户,可以采用以下几种方式:
Outlook 或者 Outlook Express 作为客户端,采用 POP3方式访问 Exchange Server
Outlook Web Access 方式,通过IE浏览器来访问Exchange服务器
考虑到系统的性能和使用方便性,建议采用
POP3方式来接入Exchange服务器
2.2系统组成及规划 2.2.1邮件服务系统
安装在 Windows 2003 Enterprise Server 之上的Exchange Server 2007
提供完善的电子邮件服务。
上海市中山北路 2020号中星经贸大厦19楼 电话:(8621)52916000传真:(8621) 52949018
Microsoft Exchange 2007 Server 与Microsoft Windows 2003 操作系统之间实现了无缝化集成,其设计
满足各种规模的商务企业(从小型组织机构到大型分布式企业)在消息和协作方面所提岀的需求。其可靠 性、伸缩性、企业消息和协作平台性能以及为降低系统拥有成本而对操作系统功能得至U进一步应用。
Web
与工作流应用设计的集成以及为改善知识工作者效率而使其与消息、文档及应用程序配合工作的单一基础 架构和用户模式。通过对无线通讯、统一消息、手持设备及远程会议等新兴技术的应用来实现在任何时间、 从任何地点提供信息访问的通讯基础架构,这些功能将为近一步扩展应用提供基础。
2.2.2 Exchange 2007 前后端结构
Exchange 2007 Server 有一种新的应用程序体系结构,它为
供了一个功能丰富而强大的平台,这种结构就是前端 端/后端服务器拓扑,从而进一步提高了可伸缩性和可用性。 用程序体系结构,采用专用的
Internet 和Intranet 邮件解决方案提
/后端结构(FE/BE)。由于Exchange 2007采用了前
FE/BE服务器拓扑是真正多层的Internet 应
Web和数据库服务器。在 Exchange 2007中将协议和存储服务分开,使设
HTTP SMTP
计者能够使用多层 FE/BE服务器拓扑,提高了可伸缩性、安全性和可用性等等。另外,处理
POP及IMAP( Internet 消息访问协议)请求的一组IP服务器可以容留在独立于全部数据存储的服务器上, 并且无需RAID
(容错磁盘阵列)控制器。这就减少了服务器成本,同时也可以防止 务拒绝事件影响到通信存储或目录。
SMTP故障和意外的服
Exchange 2007 Server 划分了协议、存储和目录的核心服务,并分别与前端、后端和域控制器的服
务器角色对应。默认情况下,Exchange 2007服务器存放公用存储和专用存储,并且以此角色履行后端或 存储服务器的职责。通过使用 HTTP协议,Exchange 2007前端协议服务器可以专用于与客户端通信。无 论是前端服务器还是后端服务器都不能运行目录服务,现在专门由域控制器处理这些服务。 当FE/BE服务器拓扑与Internet
相连的环境集成在一起时,它提高了安全性和设计灵活性。因为
前端服务器不存放 Web存储系统或Active Directory 数据库,所以它们成为\"黑客”攻击对象的价值就 会降低。可以配置前端服务器以便在最低限度的一组
在防火墙后面或者放在隔离区 (DMZ)中。
下图反映了 Exchange FE/BE结构在隔离区中的部署:
Internet 端口上扩展邮件服务,因而它们最适于放
ExchangeJuS 服务器
上海市中山北路 2020号中星经贸大厦19楼 电话:(8621)52916000传真:(8621) 52949018 规划和调整FE/BE服务时要考虑的主要标准是:
用户数要求(最大和并发客户端连接) 可用性要求(针对应用程序和数据) 数据恢复性(数据和/或服务恢复率)
其中,用户数要求(特别是最大和并发客户端负载)决定了支持的
Exchange服务器和域控制器的数
目和大小。规模适当的体系结构必须能够支持所有服务的估计最大用户并发率:登录 端)会话、后端存储性能、 LDAP 查询( Active Directory
/身份验证、IIS (前
和全局编录 [GC] )和公用文件夹应用程序。
2.2.3 邮件系统存储设计 考虑因素
可靠性 包括硬件软件的可靠性,即使在部分数据库受到以外破坏,尽可能少影响用户的正常使用。对于不同 的用户的可靠性要求不同,对重点用户可靠性要求较高。
性能 能够满足系统中用户的访问需要,保证数据库的日志文件操作不会影响整体存储访问的性能。不同类 型用户对性能要求也会有所不同。
备份和恢复 要求实现灵活的备份调度,不同种类用户的邮箱要求不同的备份策略,对于重点用户的邮箱需要每半 个星期备份一次,普通用户的邮箱只需要 1 个星期备份一次。在灾难恢复的时候,要求只要恢复受破坏的 邮箱数据库。 上海市中山北路 2020 号中星经贸大厦 19 楼 电话: (8621)52916000 传真: (8621) 52949018
成本 在考虑可靠性、性能的同时需要考虑成本。在成本预算范围内提供最可靠、稳定和高效的存储设计 设计原则 用户根据不同的可靠性和性能要求分成不同类型,不同类型的用户设计不同的存储策略。 每个卷尽量地使用单独的数据总线和磁盘控制器
为了保证最大的可靠性,数据库和日志文件应该分开存放在不同的卷。 数据库所在的卷,可以由多个硬盘组成。 如果需要对邮箱和公共文件夹建立索引,需要预留 索引文件应该在分开在单独的卷里
一台 Exchange 2007 企业版服务器最多可容纳 50 个存储组,无软件存储容量限制。
25%至 30%的额外磁盘空间
2.2.4 域控制器 DC
Exchange 2007 Server 利用 Windows 2003 Server 的 Active Directory
活动目录服务完成目录服务
的职能。所有 Exchange 2007 目录信息(包括关于用户、邮箱、服务器、站点、自定义收件人等)存放于
Active Directory 中。目录服务器提供全局的人员账户和资源的管理, 并提供邮件服务器必须的服务功能。 如果邮件系统
的 AD 与公司的 AD 集成的话, 可以利用 AD 来实现更方便的管理, 新建邮箱和修改邮箱属性等 操作,只要连接到公司内部的 AD 的域控制器就可以完成。 Active Directory 会自动进行同步。 活动目录是 Windows 2003 网络体系结构中一个基本且不可分割的部分。并提供了一套为分布式网络 环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。 另外,目录服务在网络安全方面也扮演着中心授权机构的角色,从而使操作系统可以轻松地验证用户身份 并控制其对网络资源的访问。同等重要的是,活动目录还担当着系统集成和巩固管理任务的集合点。
2.2.5 客户端
对于 Exchange2007 服务器,可以使用以下客户端应用程序对 Exchange 服务进行访问:
o Outlook Express ----- 可以为使用 POP3或IMAP4协议访问运行Exchange的服务器而对Outlook Express 进行配置;当然, Outlook Express 需将上述协议与基本验证一并使用。
o Outlook Web Access(OWA)访问——你可以配置 Outlook Web 访问并使用HTTP或HTTPS访问
Exchange 服务。 Outlook Web 访问以缺省方式使用基本验证;而如果你需要更为安全的连接,则 上海市中山北路 2020 号
中星经贸大厦 19 楼 电话: (8621)52916000 传真: (8621) 52949018 可在SSL上使用基本验证。
o Outlook —你可以将 Outlook 配置为 Internet 客户或 MAPI 客户。将 Outlook 配置为 Internet 客户时,它便开始
使用 POP3或IMAP4协议与基本验证方式。可以通过建立一个 VPN而将Outlook
配置为MAPI客尸。MAPI的使用仅限于与工作组或 VPN配合工作的远程过程调用(RPC进行通信。 由于VPN使用可透过防火墙的专用连接,因此,可以使用集成
Windows验证。
,与用于桌面浏览器的 Outlook Web Access 类似,Outlook Mobile
o Outlook Mobile Access (OMA)
Access是专门为从移动设备浏览器更安全地进行访问而设计的。通过 Exchange 2007,用户可
以使用带有基于 HTML、XHTML (WAP 2x)和CHTML的微浏览器的移动设备访问他们的邮箱。 为了使用户更为有效地管理自己的邮件,设置邮件的各种规则,方便地使用日程、任务、会议安排等 功能,建议有条件的客户端尽量采用 Outlook,同时Web访问的手段作为一种有效的补充。 图:IE方式下的OWA邮件客户
[3 JAficniRon DirtS』W^h Ai iiiw-i--. - MIc r^>->'iff Fa pkif«*p 伞 >4<»T =>WfcW is tf http .■ MMMutfr n>3 ;tj■■-c|- . Ihu V/Zta. JUCUF V... Tlhiisyz^zuQZ?... lt|i^ Wiaid Mkh Wrrft.: IP I. Aik、IDIth • Ihlh 出山*川1 ^UIM The Eojnofriisc Tfi! ka-~ iEutltiCh RE; Emptp nalbaM HFtim 枱s: p«5i.. 曰口恥加呂■ofcy 讨』 卜.常〜 !^l PF\" 0 0 Mil 如”7r Th. *1.... aemnikn ________________________________________ 1 妙Dylwi V-me- Thu fl/Z&.'znOJ ?... woklrig Fd - “ir Thu 9/Zb.2002 気“ Mv HflWLr - %pl:«!intwji 0、£t(C Thil 创富肛訓I© llm Thu91.3fe,?0O2 fl... r, a The defriKE i ndustry, in my view, begifia- and s FDIJF in 换枣 worid, And beclui^ 卵f 酗 w^nt I* VE( »hni| I\" ^u vfl fP< Emnuni 沁仁 truin 細 Krfirii!ii fkiiiHMi NEWS SUMMARIES Pclitks thi^ week Au^ l 邓 2QQ2 岂Sfi^wn Dr^ewefl RE: HTTPS EJ Ctirtiwi 薪廿钟曲 Ttiu O.r窗艮IWQt? fl... *L:\"倉OSt tUMf蜃自鬥強加2 .lbi亡 Dell* Phu 9/2t^d2 fIH ftE: IS3D on 血 sauertm: ■±jErlC Rr ZWO (OLE) TV1U 创它时2W? 7,„ 3 F hJi dSI |1 \"^1- bull I' ■ J : JEIJTPJ >>I MfTHSJnH- 珂勺上PIJHWE- After Saddam U SddddfTi Hu-EGsin A. -ctlll in 灯皿^吗 but lit K That AiYiertca's Depar^^nc Im 副 organTsgi-ions thgt could pre-^e humoi he ic ouseQd Pres 筋祇 Gec*M toe-' a InKeak fnc- v Ur.4-hrrr msvipM ”J:\"■•聲5槪 P? tes ;Jth- i ■.ElJ 1 ■■ 2 ■ *・'l 111 nn/Eji\": j 即 on i.virfo? t>r * p ]'3tlT3Ekj • ■ f A IWFV5 rmn md r ™.r【ntE- *#e MDU 钠:二 HOQ start 2.2.6垃圾邮件的处理 邮件拒收(Message Block) 上海市中山北路 2020号中星经贸大厦19楼 电话:(8621)52916000传真:(8621) 52949018 邮件拒收是在SMTP协议实现时的扩展选项。拒收的对象是虽然具有正确的本地收件人地址,但却是 来自不受欢迎的网络或个人的电子邮件。 是对邮件头部信息进行的。 要求可以设置以下规则: 拒收来自指定IP或子网的邮件; 拒收来自指定E-mail地址的邮件; 拒收来自指定域的邮件; 拒收来自指定用户名的邮件; 超岀系统管理员设定大小的邮件; 收件人个数超岀系统管理员设定标准的邮件; 收件人特征符合系统管理员设定为标准的垃圾邮件; 拒收在一个时间段某地址针对单一用户发岀超过设定数量的邮件 邮件拒收执行的时机是MTA正在按照SMTP协议接收邮件时,操作 拒收在一个时间段某地址针对邮件系统发岀超过设定数量的邮件 每一个被拒收的邮件都会产生可统计的日志记录。 转发限制( Relay Restriction ) 转发限制也是在SMTP协议实现时的扩展选项。转发限制的对象是那些虽然具有正确的非本域目标收 件人地址,但却来自不受欢迎的网络或个人电子邮件,或者目标收件人或网络不愿意接受来自本域转发的 E-mail。转发限制的操作实际是 MTA正在按照SMTP协议接受邮件时,操作是对邮件头部信息进行的。 要求可以设置以下规则: 拒绝转发或仅转发来自指定 IP 或子网的邮件; 拒绝转发来自指定 E-mail 地址的邮件; 拒绝转发或仅转发来自指定域的邮件; 拒绝转发来自指定用户名的邮件; 拒绝转发或仅转发目标为指定子网或指定域的邮件; 除特定用户外,限制本地电子邮件用户一次性发送指定数量(如 25 封)以上电子邮件 每一个被拒绝转发的邮件都会产生可统计的日志记录。 上海市中山北路 2020 号中星经贸大厦 19 楼 电话: (8621)52916000 传真: (8621) 52949018 邮件过滤 (Mail Filter ) 要求可以实现系统级与用户级的过滤处理功能,对符合过滤规则的邮件可选择拒收、丢弃、转发、投 递、等待、延时等动作; 过滤规则数量不限,可对包括邮件头部信息在内的整个邮件通过邮件大小进行过滤分析。 能够对电子邮件信头主题、收发件人、抄送人等内容进行基于特征字符串的过滤; 能够对电子邮件信体内容进行特征字符串的过滤; 能够对电子邮件附件标题、文件类型和长度进行基于特征字符串的过滤; 支持过滤规则动态导入和维护,并立即生效; 对电子邮件信件头、信体进行扫描之前,支持 BASE64和QuotedPrintable 解码; 对有害垃圾电子邮件过滤和阻断数量可以进行统计,对公安机关所要求的过滤信息可以向公安 机关远程传送; 系统级的过滤规则对所有用户起作用,用户级的过滤规则只对用户自己的邮箱起作用。 2.2.7 防病毒规划 病毒防范的病毒防范体系应该包括:病毒防范制度、防病毒软件和技术防范措施。 病毒防范制度是防范体 系中每个主体都必须遵守的行为规程。没有制度,防范体系就不可能很好地运 作。应专门针对病毒防范制定相应的制度。 对于基于网络的计算机病毒防护,主要的病毒防范点有: Internet 接入口、大容量电子邮件系统的关 键服务器及工作站、内部信息网络的中心服务器等。 Exchange 2007 带有支持病毒检测的开发接口,可以通过开发实现实时的邮件检测,删除带有病毒的 邮件和附件。建议采用 Symantec 或者 Mcafee 提供的专业邮件防毒软件进行邮件服务器防毒。 2.2.8 数据备份和恢复 邮件系统应配置高速的备份 设备,建立完备的日志,增量备份、累计备份、定期全备份等的数据安全 制度。 邮件服务器的完整备份的周期为一周, 具体备份策略如下: 周六晚8 点-早8 点实施邮件服务器的完 全备份,而在每周其它天的晚 12 点-早六点采用增量备份,这样可以备份和恢复,例如,如果周四邮件服 务器崩溃,需要恢复,则首先恢复周六的完全备份,然后依次恢复周日、周一、周二和周三的增量备份。 由于Exchange 2007对于多存储组和数据库的支持,还可以针对不同的存储组设定不同的备份策略, 上海市中山北路 2020 号中星经贸大厦 19 楼 电话: (8621)52916000 传真: (8621) 52949018 从而实现对 VIP 用户邮箱数据的更高级别的保护。 第3章 建议 Exchange 2007 前后端架构服务器软硬件配置。 Exchange 2007 邮件服务器软件采用 X64 位架构,因此需要使用支持 X64 的服务器和操作系统 3.1 服务器硬件建议配置 前端服务器采用IBM X3550服务器(双CPU 4G内存) 后端服务器作为邮箱存储数据库,需要较高的性能和稳定性,建议采用 IBM X3650 服务器(双 CPU、4G 内存) 3.2 邮件系统软件需求 前端服务器建议: Windows 2003 X64 企业版+Exchange 2007 企业版 后端服务器建议 : Windows 2003 X64 企业版 +Exchange 2007 企业版 邮件防毒和垃圾邮件防护建议: Symantec Mail security for Exchange 因篇幅问题不能全部显示,请点此查看更多更全内容