Exchange电子邮件系统解决方案.docx

青岛三诺普信息技术有限公司青岛中电信息技术有限公司五x综合征Exchange电子邮件系统解决方案整体解决方案青岛中平信息技术有限公司技术部用户需求考虑到XXXX网络正处于转型阶段，相关网络情况尚不清楚，该方案是一个建议的解决方案。如果方案中需要对企业网络进行大规模改造，我们将根据最终的网络拓扑和实际网络情况进行相应的方案改进，最终形成可行的解决方案。XXXX的要求如下：1.Microsoft Exchange邮件服务器；2、邮箱空间限制在100兆，当空间利用率达到80%时，提醒用户；3、邮件附件大小限制为30MB4.需要设置密码策略。密码使用期限不超过3个月，密码不得少于8位，并且必须符合密码复杂性要求(必须包括数字、字母和特殊符号)。5.OWA模式邮件发送和接收模式；6、继续接受旧服务器邮件；7.建立全球通讯录；8.连接到Microsoft Exchange使用超文本传输协议；9.领域管理：开发环境的标准化以及信息和网络安全的改进；10.未来领域模型的规划；名词解释微软交易所2010:微软的下一代电子邮件服务系统。活动目录：活动目录活动目录是用于Windows标准服务器、Windows企业服务器和Windows数据中心服务器的目录服务。(活动目录不能在视窗网络服务器上运行，但它可以管理运行视窗网络服务器的计算机。活动目录存储有关网络对象的信息，并允许管理员和用户轻松查找和使用这些信息。活动目录使用结构化数据存储方法，并以此为基础以逻辑和分层方式组织目录信息。反垃圾邮件网关：用于过滤和阻止现有垃圾邮件的设备。备份系统：传统的备份系统无法对当前使用的应用平台进行完整的细粒度备份。万一应用程序遭到灾难性破坏，后果将不堪设想。我们使用专业的备份系统来弥补这个问题。方案拓扑提议1建议2方案介绍在分析了XXXX的现状和综合需求后，我们认为XXXX企业信息化的实施应分为三个阶段：1.基础设施实施阶段；2.信息实现阶段；3.信息安全(包括端点安全、数据安全和服务安全)升级阶段；基础设施实施阶段是为后期XXXX信息化建设制定底层框架战略。完善底层框架将完善企业信息化基础设施标准，并利用该标准规划未来的信息化方向。信息化实施阶段是我们根据企业的需求，利用之前创建的基础设施完善信息化，实现实际应用。当我们的信息化发展到一定规模时，我们的信息安全将受到考验。我们需要采用实用的企业安全策略来保护我们的企业信息安全。我们将在这个计划中完成的是基础设施建设的开始。我们将使用微软提供的解决方案来规划我们的企业信息架构：该方案采用的解决方案包括：微软活动目录、微软电子邮件和反垃圾邮件系统、赛门铁克数据备份系统。本项目的目的是定义企业基础架构模型，结合企业管理框架定义企业用户在企业中的位置，并规划相关权限，为后期客户端进入企业网络的域管理模式做准备。前期将计划相关事宜的定义(网络定义应与网络产品供应商相结合)，包括：服务器组的计算机名称的定义、服务器管理组和用户组的权限的定义、IP地址范围的定义、VLAN定义、非军事区区域定义等。计算机名称定义、用户名定义、IP定制定义、VLAN定义、VLAN交换访问策略定义、客户实际使用权定义等。客户群的；邮件服务器邮箱容量的定义、发送和接收规则的定义、梭鱼反垃圾邮件策略、邮箱访问方法等。微软活动目录XXXX方案规划采用单一森林、单一领域，组织单元规划根据企业实际行政规划进行设计。广告详情如下：地址分配地址分配是指IP地址的分配和管理。目前，公司的IP地址分配是静态的，其添加和维护由现场的IT人员手动完成。如果用户想要访问互联网，他或她需要让网络管理员在防火墙上打开一个到一个IP地址的路由，然后通知用户该IP地址。我们可以根据实际情况确定获取IP的方式，并按部门划分静态IP和DHCP的数量级和安全级别。名字解析名称解析是指在访问网络资源(包括文件服务器和打印机)时，如何将资源的名称转换为相应的IP地址的服务。目前，公司内部用户在访问网络资源时通过直接的IP地址来定位资源，因此当出现问题时，每个用户都必须记住要访问的资源的IP地址，这种管理效率低且成本高。通过域名系统和WINS服务，相关服务器会自动将某个名称转换为实际的IP地址，用户可以通过记住容易识别的资源名称来访问它。这样，共享和使用网络资源的效率将大大提高。十进位计数制我们将在DC1和DC2中有两个域名服务器。服务器也是一个域控制器。公司内部网络的域名为：或公司.本地(公司指公司名称或其缩写)域名系统服务器包含两个区域，以下是它们的技术参数：name : _ msdcs . corp . 。类型：活动目录-集成复制：到活动目录林中的所有DNS服务器动态更新3360不安全和安全姓名： 。类型：活动目录-集成复制：到活动目录域中的所有DNS服务器动态更新3360不安全和安全域名系统服务器将域名系统数据放在本地广告数据库中，但作为一个独立的应用程序分区参与域控制器之间的目录复制，以同步域名系统数据库。所有域控制器都将主域控制器设置为首选的DNS服务器外部(互联网)名称解析在DC1中，将本地互联网服务提供商的域名服务器设置为转发器。将所有非内部网的域名解析请求转发到互联网公司的所有客户都将使用域名解析系统进行域名解析。包括登录域和访问文件服务器或其他客户端。每个加入域的客户端都通过动态注册在域名服务器上注册自己的主机记录(A)和指针记录(PTR)。管理员可以轻松了解服务器上所有客户端的注册状态。此外，当DC1的域名服务暂时不可用时，可以依靠其他附加的DC(域名服务器)来进行必要的域名解析。畴结构域结构设计是活动目录中最重要和最基础的工作。这是权衡各种因素的结果。它不仅应该尽可能接近用户的管理模式和组织结构，还应该考虑网络情况和未来的各种变化。目前，山东外运60%以上的微机和55%以上的管理人员集中在青岛总部地区，这意味着现场机构分布广泛，各地区的人员和微机数量相对较少，各地区也有固定的专线与总部相连。此外，山东外运信息技术部的最终目标是实现完全集中管理。因此，这次在山东出站环境中采用了单域结构。以下是单畴结构相对于其他结构的优点和缺点：优势集中管理整个集团的安全战略。为整个集团集中管理集团政策。充分利用组织单位来反映集团的管理结构。公司重组时，可以非常灵活地进行调整。当资源和用户需要在组织内迁移时，可以非常灵活地进行调整。不需要气相色谱服务器因为所有DC都有完整的广告备份。与其他方案相比，可以使用更少的域控制器。简单的命名空间设计-只需要1个域名后缀。用户在广告中查找信息相对简单。单一组策略更容易实现。不足之处在信息技术系统管理权限相对分散的组织结构中，很难区分“管理权限”。整个公司组只能实施一个安全策略，如统一密码策略。所有域控制器(DC)都有整个虚拟数据的备份，虚拟数据的任何变化也应反映在域中的所有DC上，这要求每个DC都有更高的硬件配置，并给广域网带宽有限的地区带来效率问题。对DC服务器本身的安全性也有更高的要求。组织单位结构组织单位的设计将遵循两个原则：反映企业的内部组织结构这有利于通过组策略进行详细的终端管理。目前，公司的组织结构图如下：见附录2由于用户帐户(这里包括用户组帐户)和计算机帐户分数是两种不同的资源类型，它们也需要单独管理。因此，我们将组织单元设计成以下结构：级别1:资源类型二级：地理位置第三级：分部名称第4级：部门名称请参考下图了解此结构的模型：帐户和密码管理账户管理可分为个人账户管理、集团账户管理和机器账户管理。个人账户可以分为两类：第一种类型是普通账号，它使用“一人一号”的方法为每个员工建立自己的账号。当员工加入或离开时，根据特定规则添加或删除用户帐户。第二类是特殊账户，通常不属于一个员工，但满足一些特殊功能，如系统管理、匿名访问等。特别账户包括以下内容：管理员，即系统管理员帐户，拥有最高权限，可以执行任何管理操作。此帐户不能删除，只能更改用户名。为了提高系统的安全性，建议更改管理员帐户的用户名，如hqadmin(只建议系统管理员自己决定)。为了提高系统的安全性，建议禁止匿名登录帐户Guest。服务的帐号。在Windows 2008中，每项服务都需要一个帐号。通常这些账号是系统账号。我们不需要关心，但是有些服务需要特殊的用户账号。每个个人账户都有密码保护。为了防止密码被盗用和攻击，我们将在整个域中启用相应的密码策略，以确保每个密码都满足一定的复杂性。具体要求如下：长度不得少于8个字符必须包含大写和小写字母必须包含特殊字符(例如：！#$%*()_)密码有效期=3个月个人帐户的命名规则用户名为中文，账号为：名称应当采用全称。如有重复，用户所在部门名称的第一个字母应加在末尾。如果仍有重复，应在末尾加上数字以显示差异。例如：姓名、姓名、拼音、帐户名张刚(工程实践部)刚。张张刚(财务部)刚。张计算机账户管理添加到域中的所有计算机都需要一个计算机帐户，通过该帐户我们可以管理计算机的各种配置。该公司目前的电脑命名规则是：部门的序列号。例如：SJ-BMB-001(设计安全部第一台计算机)。集团账户管理分组管理是一种重要而有效的管理策略。在Windows 2008中，有三种组帐户：通用组、全局组和域本地组。全局组可以包括本地域的用户帐户，域本地组可以包括本地域和资源域的用户帐户和全局组帐户，对通用组的使用没有限制。(如果公司采用单域结构，则没有必要使用通用组)良好的分组策略可以降低管理的复杂性，避免安全漏洞，大大提高管理的可靠性。我们采用这种分组策略：1.按位置分组。2.按功能分组，如所有财务人员、所有科技人员、所有系统管理员等。3.对员工进行分类，如普通员工、临时员工等。4.组由于维护用户和组帐户是一项常规工作，该工作将由公司人员根据管理要求创建。在这个项目中，将为每个部门创建一个管理员组来执行一些日常管理工作，包括安装额外的硬件、共享文件和打印机等。目前，公司的所有用户都被分配到不同的组织单位。每个组织单元还包含一个用户组，其成员都是组织单元中的用户，这使得管理用户资源变得更加容易。微软交易所为企业安装部署企业邮件系统Exchange2007。配置Exchange2007的OWA功能，使用户可以通过WEB访问企业邮箱，这样我们就可以通过HTTP访问邮件服务器发送和接收邮件以及处理相关信息。配置开放交换2007的协议解析功能POP3，支持Outlook等第三方邮件收发软件；定制防火墙对邮件系统的发布策略；将邮件系统发布到互联网；定制邮件系统的反垃圾邮件策略(梭鱼策略)；定制邮件系统的抗攻击安全策略(梭鱼策略)；l根据企业的需要，定制一系列邮箱设置策略，如邮箱大小策略、邮件大小策略、邮件发送策略等。l根据企业需要，定制全球通讯录、部门通讯录等离线通讯录；配置邮件系统，对邮件进行128位的SSL加密，保证邮件传输