Exchange2010邮件系统解决方案书.docx

Exchange 2010 邮件系统解决方案书目录Exchange 2010 邮件系统解决方案书1一需求分析：31.1 技术现状：31.2 用户需求3二、Exchange 方案设计：32.1 方案设计：32.2 方案架构：42.3 现状评估：52.4 实施步骤：5三、Exchange 架构53.1 服务器角色53.2 系统高可用6四、具体实施步骤7五、实施注意事项8六、Exchange 2010优势介绍8七、项目实施规划15一需求分析：1.1 技术现状：公司目前深圳站点已配置了4台Exchange服务器，2台CAS角色服务器配置为NLB负载均衡模式，2台Mailbox角色配置为DAG高可用模式，通过深圳的Internet对外接收和发送邮件，香港用户通过专线和公网连接到深圳邮件系统使用POP3进行邮件的接收和发送.使用公网POP3模式连接到深圳邮件服务器出现不稳定现象，深圳的公网IP被部分外国邮件系统列为黑名单，导致发送到国外的公司邮件被拒绝接收，香港的用户发送到外国的邮件出现延迟等情况。1.2 用户需求通过在香港架设Exchange 2010 服务器，并设置邮件从香港公网发送，解决遇到的问题。二、Exchange 方案设计：2.1 方案设计：1. 新建HK子域站点，为子站点部署Exchange 2010 服务器，香港的用户邮箱存储在香港的邮件服务器上，而不需要通过专线连接到深圳邮件服务器读取，解决邮件收发的不稳定现象，并提高邮件的收发速度，改善用户的使用。2. 在HK站点，配置2台Exchange服务器，通过Exchange DAG配置邮件系统的高可用。3. 配置组织的邮件通过香港的公网发送出去，解决邮件被国外公司邮件系统拒绝情况。4. 通过DNS智能分析，使用统一域名配置，深圳用户邮件通过深圳邮件服务器进行接收，香港用户邮件通过香港邮件服务器进行接收，做到一个出口，两个接收点。2.2 方案架构：公司拓扑介绍+部署准备站点服务器角色计算机名IP规划心跳IP深圳CAS+HUB1X X X X X X CAS+HUB1X X X X X X Mailbox2X X X X X X Mailbox2X X X X X X 香港CAS+HUB+Mailbox 1X X X X X X CAS+HUB+Mailbox 2X X X X X X 公司内部域名：站点内部域名深圳香港外部域名： ，通过ISP DNS智能解析：DNS MXIP AddressSite拓扑介绍：2.3 现状评估：1. AD现状检查 DCDiag2. Exchange 现状检查 Exchange最佳实践分析器3. 网络现状检查2.4 实施步骤：1. 新建HK子域，确保子域与父域正常进行数据复制。2. 划分HK和SZ站点，优化站点间的复制3. 为HK子域新建Exchange 2010 服务器4. 配置Exchange 2010 DAG高可用5. 配置Exchange 组织通过香港公网IP进行发送邮件三、Exchange 架构3.1 服务器角色下图说明了一个已部署所有服务器角色的域。Exchange 2010 包括以下服务器角色： 邮箱服务器此服务器承载邮箱和公用文件夹。 客户端访问服务器这是驻留客户端协议（例如，邮局协议 3 (POP3)、Internet 邮件访问协议 4 (IMP4)、安全的超文本传输协议 (HTTPS)、Outlook Anywhere、可用性服务和自动发现服务）的服务器。客户端访问服务器还驻留了 Web 服务。 统一消息服务器这是将专用交换机 (PBX) 系统连接到 Exchange 2010 的服务器。 中心传输服务器这是在 Exchange 组织内路由邮件的邮件路由服务器。 边缘传输服务器这是通常位于拓扑的外围并路由 Exchange 组织进出邮件的邮件路由服务器。3.2 系统高可用通过新的统一的数据可用性组（DAG）技术，简化邮箱的高可用、备份和灾难恢复。DAG 是内置于 Exchange 2010 中的高可用性和站点恢复框架的基础组件。DAG 是一组邮箱服务器（最多可包含 16 个邮箱服务器），其中承载了一组数据库，可提供从影响单个数据库的故障中自动执行数据库级恢复的功能。DAG 中的任何服务器可以承载来自 DAG 中任何其他服务器的邮箱数据库副本。将服务器添加到 DAG 后，此服务器与 DAG 中的其他服务器协同工作，提供从影响邮箱数据库的故障（如磁盘故障或服务器故障）中自动执行恢复的功能。四、具体实施步骤4.1 检查系统的健康状况AD现状检查 DCDiagExchange 现状检查 Exchange最佳实践分析器网络现状检查4.2安装子域域控制器在香港安装深圳 域的成员服务器，后升级 的子域XX.，为子域域控制器安装集成Active Directory 的DNS服务器，委派DNS子域管理。4.3划分深圳和香港站点创建新站点创建子网，关联子网与站点将服务器分配到站点，配置各站点的桥头服务器配置站点链接，优化站点间的复制4.4安装Exchange服务器安装2台子域的成员服务器，安装Exchange 2010 先决条件：Windows Management Framework .NET Framework 3.5 SP1Internet Information Services (IIS)为2台服务器安装Exchange 2010 CAS/HUB/Mailbox角色。4.5为Exchange服务器申请证书安装CA根证书颁发机构，为Exchange 2010 服务器申请证书，为服务发布证书。4.6配置Exchange 2010 DAG高可用配置心跳网卡配置数据库可用性组IP配置见证服务器添加邮箱数据库副本4.7配置发送连接器配置Exchange 2010 发送连接器，设置邮件从香港公网IP发送五、实施注意事项5.1 确保AD域的健康5.2 备份现有服务器，用于特殊情况可进行恢复5.3 确保网络和专线的稳定性六、Exchange 2010优势介绍1、技术优势1.1 信息传输的安全控制严格的信息传输的安全控制需要从实时传输控制和事后安全审计两部分实现。实时传输控制要求邮件在传输到用户邮箱之前就能管理控制，使其满足行业或者机构的法规和政策。事后安全审计要求无论用户对其邮箱做了什么操作，其历史来往邮件应该都是可查的，而且必须有良好的方式查询多个用户的来往邮件是否有违反公司安全策略的记录。 Exchange的实时传输控制功能包括邮件传输加密、邮件传输规则控制、邮件关键词过滤、防病毒和反垃圾邮件。 Exchange的事后安全审计功能包括邮件记录留存、邮件记录管理和邮件归档。1.1.1邮件传输加密邮件在机构内部传输过程中都是默认加密传输。无论是客户端到服务器，还是服务器之间的传输，都是通过加密的方式进行传输。管理员无需配置即可实现默认加密传输，邮件在传输过程中无需担心邮件内容被窥探。 Exchange Server 2010使用SMTP协议在组织内部的Exchange服务器之间传输信息。所有在Exchange Server 2010组织内传输的信息缺省就是加密的。服务器与服务器间的传输使用传输层安全协议（TLS），Outlook的连接使用加密的远程过程调用（RPC），客户端访问（Outlook Web Access，微软 Exchange ActiveSync和Web服务）使用SSL协议。这种方法阻止了欺骗并保护了信息的机密性。 Kerberos认证服务用来进行认证，简化的安全传输层协议用来进行加密。1.1.2邮件传输规则控制很多机构都会有如下的一些邮件传输策略： 防止不适当的内容进入或离开组织 筛选机密组织信息 控制不同部门或者不同用户之间的邮件来往 对特定个人发送或接收的邮件抄送给特定人员审计 在传递之前重定向入站和出站邮件以便进行检查 对通过组织的邮件应用免责声明Exchange提供了邮件传输规则控制的功能，使得管理员可以设定特定的传输规则，便于在组织内部更好的控制邮件传输安全。1.1.3关键词过滤Forefront Security for Exchange可以很容易地实现对特定关键词的筛选。当包含特定关键词时，执行特定的操作。关键词的过滤范围包括邮件标题、邮件正文和附件标题、附件正文。对于ZIP等文件，可以自动解压查看里面的文件，检查完后自动压缩成新的ZIP文件。1.1.4防病毒建议采用Microsoft Forefront Security做为保护 Exchange 环境的解决方案。Forefront Security 使用 Exchange VSAPI 与 Exchange 服务器紧密集成，以提供无缝的保护。它支持八个厂家的防病毒引擎在一个整合的环境中工作。通过使用多引擎，在新的病毒爆发时用户可得到多个病毒实验室的支持而不必只依靠一个实验室。Forefront Security支持9个防病毒引擎，可在单个服务器上可同时启用5个防病毒引擎。 1.1.5反垃圾邮件Microsoft Exchange Server 2010 默认提供的9个反垃圾邮件筛选器是按以下顺序进行应用： 连接筛选，发件人筛选， 收件人筛选， 发件人 ID，内容筛选， 发件人信誉，附件筛选。1.1.6邮件记录留存和归档邮件记录是法规遵循的一个重要组成部分。某些管理规则需要具备对邮件组用户所收到的邮件进行审计的功能，该功能对于组织的内部策略或审计非常有用。丰富的信息展现方式1.2多种访问方式，一致的使用体验在Exchange Server 2010强大的移动特性的支持下，用户可以通过Outlook客户端、Web浏览器、手机、普通电话、POP3或者IMAP4客户端来访问和管理自己的邮件、日程安排、任务和联系人。所有这些客户端，无论从用户界面、操作方式还是从提供的功能来看都和Outlook非常接近，这不仅为用户提供了良好的使用体验，同时也减轻了企业的系统维护和管理人员的培训工作量。1.2.1保证复杂网络环境下用户的使用体验优化的握手协议和数据压缩能够减小网络数据流量，给窄带环境下的用户更流畅的使用体验；Outlook的Exchange缓存模式能够自动在离线/在线状态间切换，减少对用户工作的打断；Exchange Server 2010独有的Outlook无处不在功能使得企业不必部署VPN/RAS也能让外网（例如在家或出差）的用户能够使用Outlook安全地连接到位于企业内网的Exchange邮件服务器，而开放的端口仅仅是80/443（HTTP/HTTPS）。1.2.2手机直推邮件无须额外服务器和服务，Exchange Server 2010 默认支持手机（如智能手机、Pocket PC等）实时获取和更新用户邮件、日程安排和联系人的信息。服务器一有新邮件抵达，立刻推送至手机上。结合移动办公解决方案，管理人员可以摆脱计算机的束缚，直接在手机上批复公文。1.2.3统一消息Exchange Server 2010不再只是存放邮件、日程信息和联系人，组织的语音留言和传真也都可以被Exchange Server 2010统一管理起来。用户只需要通过访问收件箱，就可以访问到邮件、日程安排、联系人、语音留言和传真。同时，Exchange Server 2010还是一个会听话并且能说话的邮件系统。用户可以通过普通电话来访问邮件系统，并语音控制它读取邮件或者日程安排。Exchange Server 2010会依据邮件的编码选择合适的语言将邮件内容由文字转换成语音的方式，通过电话读给用户听。1.3开放的集成平台Exchange是一个开放的集成平台。Exchange可以和微软活动目录服务器无缝集成，直接使用微软活动目录的用户管理和用户验证功能。Exchange可以和SharePoint紧密集成，通过SharePoint的Web Parts功能，可以在SharePoint门户中通过简单的配置来访问邮件列表、日程和联系人等信息。另外，Exchange提供了丰富的Web Services接口，便于其它应用调用Exchange接口发送邮件或者阅读邮件。1.3.1与SharePoint门户集成对于已经部署或者将要部署SharePoint门户的用户，无需开发，使用SharePoint门户自带的Web Parts组件就可以直接在SharePoint门户中内嵌邮件列表、日程和联系人等。Exchange和SharePoint门户实现了单点登录，即登录了SharePoint门户，无需再次输入密码，就可以访问SharePoint门户中内嵌邮件列表、日程和联系人等信息。1.3.2丰富的Web Services接口Exchange 2007 拥有一个新的服务集（也称为 Exchange Web 服务），使开发人员能够使用标准 HTTP 与 Exchange 邮箱及内容进行交互。通过 Exchange Web 服务可以访问已通过身份验证用户的邮箱及其邮箱中的项目。1.4高级的容灾功能Exchange提供了丰富的容灾功能。包括实时的服务切换和高级的备份恢复功能，尽可能的减少因为硬件故障而无法提供服务所造成的损失。1.4.1已彻底删除邮件恢复Exchange支持已彻底删除项目的保留：设置已删除项目的保留时间后，如14天，则在彻底删除邮件项目14天之内，用户可以通过Outlook客户端自行恢复已删除项目，而无须管理员干预。管理员可以针对不同级别的用户，设定不同的保留时间。如机构领导，可以设定较长的保留时间，如60天。领导彻底删除的邮件在60天之内，都可以直接通过客户端直接恢复，而无需管理员干预。对普通用户，可以只设定7天或者更短。1.4.2高级备份和恢复功能Exchange支持高级的备份和联机恢复功能。备份方式包括：卷影复制服务：卷影复制服务可以在分钟级备份和恢复邮件数据。卷影复制服务是通过快照的技术实现快速备份和恢复数据。1.5高性能和可扩展平台1.5.1多服务器角色，易于扩展Exchange使用模块化多服务器角色。各个服务器角色可以合并安装，也可以单独安装。各服务器角色安装后，自动优化配置。同时，使用多服务器角色的部署架构，易于对架构进行扩展。 1.5.2高性能的64位环境通过64位环境的高内存，Exchange比32位环境性能提升4倍。1.5.3优化的路由算法通过优化的路由算法，Exchange提高了邮件的传输速度。1.6易管理性1.6.1改进管理方式的工具Exchange Server 2010引入了一个基于模块服务器角色的架构，以解决企业对于改变信息的需求。同样，Exchange Server 2010包含了一个新的图形化管理工具。Exchange 管理控制台是一个基于Microsoft 管理控制台 (MMC) 的工具，它反映了架构的变化，可以对服务器角色进行独立管理，可以实现新的管理模型，而无需管理组或路由组。1.6.2强大的脚本工具Exchange管理外壳程序Exchange管理控制台使用了一个功能强大的脚本技术，叫作Exchange 管理外壳程序。Exchange 管理外壳程序基于Windows PowerShellTM技术，它是一个命令行工具，您可以通过它操作功能强大的命令集，这些命令集由动词-名词对组成。通过PowerShell，您可以用最少的代码编写复杂的任务脚本或者在外壳程序提示符下交互式地执行任务。凭借外壳程序，您可以通过执行命令来访问并影响许多不同的资源，包括邮箱数据库，注册表以及Active Directory。1.6.3内置多个管理工具Exchange内置多个管理工具，如性能调优工具、队列查看器、邮件跟踪工具、最佳实践分析工具等，便于管理员管理系统。1.6.4客户端自动发现服务器以往的Outlook客户端配置都需要知道服务器名称，造成管理员花费大量时间帮助用户安装客户端。有了新的自动发现功能，用户只需要记住他们的用户名，密码和电子邮件地址就可以自动配置Outlook。2、其它优势2.1广泛的市场认可Exchange在全球企业邮件市场中已经占有62的市场份额（Gartner 2007年评估报告）。Exchange Server 2010于2009年1