Exchange2013配置与规划方案-V2.0.doc

ExchangeExchange ServerServer 20132013 配置与规划方案建议书配置与规划方案建议书 V2.0V2.0 二零一六年八月二零一六年八月 目录 1.方案背景.4 2.方案规划.4 3.工期规划.5 3.1.一期.5 3.2.二期.5 3.3.三期.6 4.服务器规划.6 4.1.高可用架构设计 .6 5.方案说明.7 5.1.EXCHANGE服务器角色说明.7 5.2.架构说明 .7 5.3.EXCHANGE 2013 群集连续复制系统及要求 .8 5.3.1.硬件要求.8 5.3.2.操作系统要求.9 5.3.3.存储系统要求.9 5.3.4.服务及组件要求.9 5.3.5.外网 DNS 域名要求.10 5.4.客户端访问 .10 5.4.1.必要前提.10 5.4.2.Outlook.11 5.4.3.Outlook Web Access.11 5.4.4.关于 Outlook 与 OWA 的差异.11 5.4.5.关于客户端访问的安全性.11 5.4.6.客户端限制设置.11 6.备份与还原.12 6.1.EXCHANGE备份与还原.12 6.1.1.ServerBackup 备份还原.12 6.2.SYMANTEC BACKUP EXEC FOR EXCHANGE备份还原.12 6.3.建议备份方式 .12 6.3.1.Exchange Server.12 6.3.2.操作系统.12 7.防病毒与反垃圾建议.13 7.1.EXCHANGE防病毒与反垃圾.13 7.2.WINDOWS 防病毒.13 8.方案实施.13 8.1.实施任务： .13 8.2.二期项目 .14 8.3.三期项目 .15 9.附件：管理员培训大纲.15 1.1. 方案背景方案背景 目前由于集团发展要求，拟构筑一套自建的、功能完善的、信息传输安全、专业级企 业邮件系统，来改变目前员工邮件使用混乱、组织架构零散、无法集中管理的现状，对于 未来规划针对诸如 SAP 企业 ERP、OA 系统等统一集成到构架后的邮件系统中，从而实现协 同、高效的办公环境。 2.2. 方案规划方案规划 自建邮箱系统对整个公司的信息化具有重要的意义，系统的选择和设计对建成后的质 量和作用起到举足轻重的影响，为保证系统的广泛使用和稳定运行，新系统的选择和设计 应遵循以下原则： 保障信息传递的高效性 便于最终用户使用，符合用户习惯，方便与其他客户端软件集成 系统稳定可靠 方便网络和系统的管理、安全性控制和扩展 能提供完备的反病毒、反垃圾邮件和备份方案 便于系统的统一管理 基于以上的设计原则，邮件系统的设计应达到以下目标： 现阶段为公司人员提供邮件服务，初期大约 2000 人左右，每人 1G 容量，每封 信附件最大 30M, 部门经理级以上无限制。 用户工作流将围绕 Exchange 进行实施，采用 Outlook 和 OWA 方式连接 Exchange 高度可伸缩性的体系构架。能方便地扩充容量，以满足集团未来发展的需要。 完备的反病毒和反垃圾邮件解决方案 为管理员提供方便高效的管理工具，减少日常维护工作量 对于移动用户和设备的支持 根据公司用户规模和具体需求，建议邮件系统采用集中部署的方式，邮件系统的服务 器在西安集团总部机房内，采用光纤 100M 接入互联网，系统上线后可实现西安和外地员工 （整个集团）通过 Web 方式收发邮件或 Outlook 方式收发邮件。 方案采用了 Windows Server 2012 平台上 Exchange 2013 集群部署的邮件系统，以前、 后端部署的方式实现系统的高性能和高扩展性。 3.3. 工期规划工期规划 对于整个 Exchange 邮件系统项目建议分为三个工期。第一期为邮件系统基础架设； 第二期为安全保障期；第三期为分支机构邮件整合期。 一期 外部 DNS 域名设定 Exchange 2013 安装及设置 客户端访问方式及邮件传输规则配置（其中包含邮件外发审核） NTbackup 备份设置 一期完成后能达到的目的是：内部用户及外部用户都可以使用邮件系统进行邮件收发， 完成了一个基本的邮件系统架设。 3.2.二期 备份设备及介质采购安装 Exchange 备份软件采购安装 操作系统备份软件采购安装 防病毒及反垃圾产品采购安装 备份计划作业的规划及设置 二期完成后能达到的目的是：保障邮件用户不受垃圾及病毒邮件的困扰。保障邮件系 统安全可靠运行。提高了系统在灾难性事件中的恢复能力。 3.3.三期 整理文件安全（权限保护） 将分支机构三地邮件系统融合 所有用户账户和主要应用系统统一到集团组织架构中管理 多地邮件系统容灾 整合现有 Office 365（Exchange 混合部署） 三期完成后达到的目的是：将新的邮件系统完全代替三地原有零散邮件使用方式，完 善整套系统的运行时效性、数据安全保障。 4.4. 服务器规划服务器规划 在本方案中的架构将至少用到 8 台服务器。2 台作为 AD 域控，2 台 Exchange 2013 前 端服务器采用 F5 做负载均衡，4 台 Exchange2013 后端服务器采用 DAG 数据库高可用（可 使用虚拟服务器） 。 服务器平台必须是 X64 位，后端服务器 MailBoxSvr01、MailBoxSvr02、MailBoxSvr03、MailBoxSvr04 最好硬件配置相同。 在本次第一阶段工作中（按照 1000 点） ，可先设计为两台域控制器（建议物理服务器） ， 两台邮件前端服务器（可采用虚拟机） 、两台邮件后端服务器（可采用虚拟机） ，一台边缘 外发服务器（可采用虚拟机） ，共 7 台。 高可用架构设计 DC01 为主域控制器 DC02 为辅助域控制器起到对 DC01 的目录服务备份作用 选用自建证书实现内外网邮件数据加密传输 ExchSvr01 为 Exchange 的客户端访问服务器（前端 CAS01） ExchSvr02 为 Exchange 的客户端访问服务器（前端 CAS02） MailBoxSvr01 为 Exchange 的邮箱服务器（后端 DAG01） MailBoxSvr02 为 Exchange 的邮箱服务器（后端 DAG02） 邮件边缘外发服务器（互联网） 5.5. 方案说明方案说明 Exchange 服务器角色说明 Exchange 2013 相比 Exchange 2010，角色从以前的 5 个，减少了只有 2 个，分别是客 户端访问服务器和邮箱服务器。 客户端访问角色： 该角色处理所有 Exchange 客户端请求。角色包含的客户端 Outlook 、OWA、移动设备和 SMTP 代理服务器连接，并接收邮件和邮件传送到 Internet 上的其 他邮件主机。客户端访问服务器，可以组成客户端访问服务器阵列。 邮箱服务器： 该角色存储着可以被复制和集群化的用户邮箱数据库。邮箱服务器可以 使用到后端高可用性组集群（DAG） 5.2.架构说明 使用 Exchange 2013 高可用性存储组做为邮件服务器的基本部署架构。这种群集信箱 服务器结合了 Exchange 2013 的复制和重新显示功能以及 Microsoft 群集服务的故障转 移功能。部署 CCR 解决方案，可让单一数据中心或两个数据中之间没有单一失败点。凡目 前执行群集信箱服务器(以前称为Exchange 虚拟服务器) 的节点，即是主动节点， 而群集中目前没有执行群集信箱服务器的节点，即是被动节点。 CCR 会使用 Exchange 2013 中的数据库失败复原功能，对第二份数据库副本执行连续 异步更新，使该副本更新成数据库主动副本中的变更。记录文件则在信箱服务器不再使用 且关闭后才会予以复制。在 CCR 环境中进行被动节点安装时，每个储存群组和其数据库都 会从主动节点复制至被动节点。这个作业称为植入 ，用以提供数据库的复制基准。在执 行初次植入后，就会继续执行记录复制和重新显示作业。CCR 会以被动节点来复制和重新 显示记录文件，被动节点则透过安全档案共享存取这些记录文件。 复制功能与群集服务的整合，使 CCR 环境能够打造出高可用性解决方案。CCR 不仅可 提供资料和服务可用性，还可以因应排定的中断作业。当需要安装更新或执行维护作业时， 您可以手动地将群集信箱服务器移动到被动节点。移动作业完成后，就可以执行所需 的维护作业。 5.3. Exchange 2013 群集连续复制系统及要求 硬件要求 处理器： 基于 x64 体系结构的计算机，具有支持 Intel 64 位体系结构的 Intel 处理器 建议至少 2 路 8 核心 内存配置： DC01 内存 16GB 或更大(域控制器,客户端访问) DC02 内存 16GB 或更大(域控制器，备份 DC01) ExchSvr 内存 32GB 或更大(客户端访问) MailBoxSvr 内存 32GB 或更大(邮箱存储) 磁盘空间： 邮箱服务器对初期 2000 用户 1G 每用户将要至少 2T 磁盘存储空间 邮箱服务器对后期 10000 用户 1G 每用户将要至少 10T 磁盘存储空间 文件格式： 格式化为 NTFS 文件系统的磁盘分区，这适用于下列分区： 系统分区 存储 Exchange 二进制文件的分区 包含存储组文件（包括事务日志文件）的分区 包含数据库文件的分区 5.3.2. 操作系统要求 Exchange 2013 Enterprise With SP1 的操作系统要求： Windows Server 2012 Datacenter x64 Edition 5.3.3. 存储系统要求 要求 FC 光通道存储设备 总可用空间需求 10T 总共 IOPS 需求 15,360（按照 2000 客户端并发计算） 合计读取 IOPS 量 12,288 合计写入 IOPS 量 3,072 总共吞吐量 (Mb/ sec) 337 5.3.4. 服务及组件要求 Microsoft .NET Framework 3.0 版本 Microsoft .NET Framework 2.0 sp1 版更新 Microsoft Windows PowerShell（适用于 Exchange 命令行管理程序） 网络新闻传输协议 (NNTP) 服务 不得安装 简单邮件传输协议 (SMTP) 服务 不得安装 Internet Information Services (IIS) COM+ 访问（IIS 6.0 组件） 万维网发布服务 (W3SVC) RPC（远程过程调用）over HTTP（超文本传输协议）Proxy Windows 网络组件 ASP。NET 版本 2.0 分布式事务处理协调器服务 与 NWLink IPX/SPX/NetBIOS 兼容的传输协议 不得安装 5.3.5. 外网 DNS 域名要求 外网注册域名 MX 记录 固定 IP 要使内部 Exchange 服务能够接收外部件，必须注册 DNS 域名及 MX 记录。要求有固定 IP。并指向公司防火墙外接口 IP，防火墙再做 IP 或端口映射到 Exchange 服务器。MX 记录 变更建议在非工作进行，因为 DNS 全球同步问题，会造成邮件发不进来。 5.4.客户端访问 必要前提 要使外部用户可以访问内部邮件服务器及内部用户可以接收来自外网的邮件,必须要有 固定 IP 及注册外部 DNS 域名和 MX 记录。否则将不能接收外网邮件,发送到外网的邮件可能 会被认为是垃圾邮件而被接收服务器拒绝。 Exchange Server 2013 支持 Outlook,OWA,POP3,IMAP 等客户端访问方式，默认只开通 Outlookup ,OWA 访问服务。 5.4.2. Outlook Outlook Anywhere 通过使用自动发现功能以及 RPC/HTTP，使用户可以从任何一台运 行着 Outlook 并连接到 Internet 的计算机轻松地访问他们的邮箱。 5.4.3. Outlook Web Access Outlook Web Access 有着与 Outlook 2013 类似的外观与感觉。对搜索功能和地址簿 的改进使您更容易获取要找的信息。Outlook Web Access 还允许您访问网络资源，如 SharePoint 站点和文件共享。使用 Outlook Web Access，可以无需 VPN 就能访问邮箱和网 络资源。 5.4.4. 关于 Outlook 与 OWA 的差异 Outlook 是缓存模式，没有网络是可以查看缓存下来的邮件。缺点就是同步起来比较 慢，及时性相对较差。OWA 即为实时，但客户机没有网络时将不给查看邮件。 5.4.5. 关于客户端访问的安全性 可以架设内部 CA 服务器或者公网证书机构颁发的证书，给客户端访问服务器发放证书。 设置 Outlookup Anywhere 及 OWA 都使用内部证书。做到客户端和服务器通信加密。 5.4.6. 客户端限制设置 关于限制用户邮箱大小及删除保留：在 Exchange 管理工具服务器配置相应的数据库 属性。 关于找回已删除邮件：通过 OWA 进入邮箱选项已删除邮件。可找回最近删除的邮件。 6.6. 备份与还原备份与还原 Exchange 备份与还原 Exchange 备份与还原主要分为两类；一类是通过 Windows 自带 ServerBackup 来进行 实现，另一类是通过第三方软件要实现（Symantec Backup Exec） 。 ServerBackup 备份还原 ServerBackup 是 Windows 自带的备份工具。可以对 Exchange Server 2013 的存储组 进行备份。 还原同样通过 NTBackup 还原： NTBackup 备份还原的弱点。只能对数据库备份还原。不能直接还原单个邮件。优点是 相对第三方软件来说是免费。 6.2.Symantec Backup Exec for Exchange 备份还原 Symantec Backup Exec 是 Windows 平台下优秀的备份软件。 Symantec Backup Exec for Exchange 优点。可以做到还原到单个邮件级别。并且有 强大备份设备管理能力及详细的报表功能。 6.3.建议备份方式 Exchange Server Symantec Backup Exec + EMC 存储。通过 Symantec Backup Exec 可以对存储文件进 行分类，定义保护周期。设定安排计划及发送操作记录到管理者或用户。这样管理者只要 查看邮件就知道详细的备份情况。 6.3.2. 操作系统 凭借可以自动进行物理到虚拟转换，以实现即时系统恢复的新功能，Symantec Backup Exec System Recovery Server Edition 能够在几分钟之内恢复整个 Windows 系统，甚至 可以恢复到不同的硬件或虚拟环境。并且管理员可以设置备份计划对系统进行备份而不必 关机。 7.7. 防病毒与反垃圾建议防病毒与反垃圾建议 Exchange 防病毒与反垃圾 Symantec Mail Security for Microsoft Exchange Symantec Mail Security for Microsoft Exchange 提供了高性能的集成邮件防护功 能，可以保护 Microsoft Exchange 2013 服务器免遭病毒威胁、垃圾邮件和安全风险的侵 扰，同时确保在这些服务器上实施内部策略。从而在初始设置后无需进行额外的后续管理， 即可提供一流的垃圾邮件防御能力。 7.2.Windows 防病毒 建议使用网络版的防毒软件。全网防毒才是真正的防毒。建议选择产品： Symantec Endpoint Protection Symantec Endpoint Protection 无缝集成了一些基本技术，如防病毒、反间谍软件、 防火墙、入侵防御、设备和应用程序控制。只需要一个代理，通过一个管理控制台即可进 行管理。 8.8. 方案实施方案实施 实施任务： 任务名称实施时间备注 操作系统安装1 个工作日安装完成后进行补丁更新 防毒软件安装0.5 个工作日安装操作系统防毒软件 活动目录架设1 个工作日 域名确认 主域控制器与备份域控制器安装 成员服务器加入域 邮件系统安装5 个工作日 角色安装 高可用 客户端访问方式及规则0.5 个工作日 OutLook OWA 设置邮件传输规则 反垃圾邮件功能配置0.5 个工作日 开启 Exchange 201