Exchange电子邮件系统解决方案osp.docx
《Exchange电子邮件系统解决方案osp.docx》由会员分享,可在线阅读,更多相关《Exchange电子邮件系统解决方案osp.docx(54页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、青岛赛诺普信息技术有限公司Qingdao Sinopower Information Technology CO., LTD.XXXXXExchange电子邮件系统解决方案整体解决方案青岛赛诺普信息技术有限公司 技术部用户需求求因考虑XXXXXX网络处处于改造造阶段,相相关网络络情况不不明了,该该方案为为建议性性解决方方案,如如方案中中需规模模性改造造企业网网络,我我们会根根据最终终网络拓拓扑和实实际网络络情况进进行相应应的方案案改进,并并最终形形成可行行性解决决方案。XXXXX需求如如下:1、 Micrrosooft Excchannge邮邮件服务务器;2、 邮箱空间间限制在在1000MB,
2、当当空间使使用率达达到800%,提提醒用户户;3、 邮件附件件大小限限制在330MBB以内;4、 要求设置置密码策策略,密密码使用用周期小小于3个个月,密密码不能能少于88位,并并遵循密密码复杂杂度要求求(必须须包含数数字、字字母和特特殊符号号);5、 OWA模模式邮件件收发方方式;6、 继续接受受旧服务务器邮件件;7、 建立全球球通讯录录;8、 使用HTTTP连连接到MMicrrosooft Excchannge;9、 域管理:实现开开发环境境标准化化、提高高信息和和网络安安全;10、 未来域模模式规划划;名词解释释Micrrosooft Excchannge 20110:微微软新一一代电子
3、子邮件服服务系统统。Actiive Dirrecttoryy:Acctivve DDireectoory(活活动目录录)动目目录(AActiive Dirrecttoryy)是面面向Wiindoows Staandaard Serrverr、Wiindoows Entterpprisse SServver以以及 WWinddowss Daataccentter Serrverr的目录录服务。(AActiive Dirrecttoryy不能运运行在WWinddowss Weeb SServver上上,但是是可以通通过它对对运行WWinddowss Weeb SServver的的计算机机进行管管理
4、。)AActiive Dirrecttoryy存储了了有关网网络对象象的信息息,并且且让管理理员和用用户能够够轻松地地查找和和使用这这些信息息。Acctivve DDireectoory使使用了一一种结构构化的数数据存储储方式,并并以此作作为基础础对目录录信息进进行合乎乎逻辑的的分层组组织。反垃圾邮邮件网关关:用于于针对已已有垃圾圾邮件进进行过滤滤和阻断断的设备备。备份系统统:传统统机制的的备份系系统无法法对现在在使用的的应用平平台做完完整细粒粒度备份份,一旦旦应用发发生灾难难性损坏坏,后果果将不堪堪设想,我我们利用用专业备备份系统统来弥补补这个问问题的空空白。方案拓扑扑建议方案案1建议方案案
5、2方案推介介分析XXXXX的的目前情情况,综综合需求求,我们们认为XXXXXX的企业业信息化化实施应应该分为为三个阶阶段:1、 基础架构构实现阶阶段;2、 信息化实实现阶段段;3、 信息安全全(包括括端点安安全、数数据安全全和服务务安全)提提升阶段段;基础架构构实现阶阶段是为为后期XXXXXX的信息息化建设设做底层层架构策策略,完完善底层层架构将将会完成成企业信信息化基基础架构构的标准准,利用用该标准准来规划划以后的的信息化化方向;信息化实实现阶段段是我们们利用之之前所创创建的基基础架构构,来完完善信息息化,根根据企业业需求来来实现实实际应用用;当我们的的信息化化上升到到一定规规模,我我们的信
6、信息安全全将面临临考验,我我们需要要采用切切实可行行的企业业安全策策略来保保护我们们企业的的信息安安全。本方案中中我们将将完成的的是基础础架构建建设的起起步,利利用微软软公司提提供的解解决方案案来规划划我们的的企业信信息架构构:本方案将将利用的的解决方方案包括括:Miicroosofft AActiive Dirrecttoryy、Miccrossoftt Exxchaangee电子邮邮件及反反垃圾邮邮件系统统、Syymanntecc数据备备份系统统。本次方案案旨在定定义企业业基础架架构模型型,结合合企业行行政管理理架构来来定义企企业用户户在企业业中的位位置,并并规划相相关权限限,为后后期客户
7、户端以域域管理模模式进入入企业网网络做准准备。前前期将规规划相关关事项的的定义(网网络定义义需结合合网络产产品供应应商),其其中包括括: 服务器群群组的计计算机名名定义、服服务器管管理组和和用户组组权限定定义、IIP地址址范围定定义、VVLANN定义、DDMZ区区域定义义等; 客户端群群的计算算机名定定义、用用户名定定义、IIP定制制定义、VLAN定义、VLAN互访策略定义、客户端实际使用权限定义等; 邮件服务务器的邮邮箱容量量定义、又又将收发发规则定定义、梭梭子鱼反反垃圾邮邮件策略略、邮箱箱访问方方式等。Micrrosooft Acttivee Diirecctorry方案规划划XXXXX采
8、用用单林单单域方式式,组织织单元规规划根据据企业实实际行政政规划来来设计。AD明细细如下: 地址分配配地址分配配即IPP地址的的分配和和管理。目前公司司的IPP地址分分配采用用静态方方式,其其添加和和维护工工作由IIT人员员在现场场手工完完成。如如果某个个用户想想要访问问Intternnet,需需事先让让网络管管理员在在防火墙墙上开启启对某个个IP地址址的路由由,然后后告知用用户该IIP地址址。我们可以以根据实实际情况况来确定定IP的获获取方式式,根据据部门来来划分静静态IPP和DHCCP的数数量级和和安全级级别。 名称解析析名称解析析是指在在访问网网络资源源(包括括文件服服务器和和打印机机)
9、时,如如何将资资源的名名称转换换成对应应的IPP地址的的服务。目前公司司的内部部用户在在访问网网络资源源时通过过直接的的IP地址址来定位位资源,这这样带来的问问题时每每个用户户必须记记住要访访问资源源的IPP地址,使使用效率率不高而而且管理理成本较较高。通过DNNS和WINNS的服服务,相相关的服服务器会会自动将将某个名名称转换换成实际际的IPP地址,用用户只需需记住容容易辨识识的资源源名称即即可进行行相应的的访问。这这样网络络资源的的共享和和使用效效率将得得到很大大程度的的提高。 DNS我们将在在公司的的DC11、DC22两台DNSS服务器器。该服服务器同同时也是是域控制制器。公公司内部部网
10、络的的域名为为:m或 coompaany.loccal (coompaany 是指公公司名称称或其缩缩写)DNS服服务器包包含两个个区域,以以下是它它们的技技术参数数:Namee: _m.Typee: AActiive Dirrecttoryy-InnteggrattedRepllicaatioon: To Alll DNNS sservverss inn thhe AActiive Dirrecttoryy fooresst ccorpp.xxxcommpanny.ccomDynaamicc uppdattes: Noonseecurre aand seccureeNamee: ccorpp
11、.xxxcommpanny.ccom.Typee: AActiive Dirrecttoryy-InnteggrattedRepllicaatioon: To Alll DNNS sservverss inn thhe AActiive Dirrecttoryy doomaiin ccorpp.xxxcommpanny.ccomDynaamicc uppdattes: Noonseecurre aand seccureeDNS服服务器都都将DNNS数据据放在本本地的AAD数据据库中,但但是作为为独立的的Apppliccatiion Parrtittionn来参与与域控制制器之间间的目录录复制(
12、Dirrecttoryy Reepliicattionn)从而而同步DDNS数数据库。所有域控控制器都都将主域域控设为为首选的的DNSS服务器器外部(IInteerneet)名名称解析析在DC11,将本本地ISSP的DNSS服务器器设为转转发器。将将所有非非内部网网的域名名解析请请求转发发至Innterrnett上所有公司司内的客客户端都都将通过过DNSS来进行行名称解解析。包包括登入入域和访访问文件件服务器器或其他他客户端端。每一一个加入入域的客客户端都都通过动动态注册册在DNNS服务务器上注注册自己己的主机机纪录(A)和和指针纪纪录(PTRR)。管理理员在服服务器上上可以轻轻松的了了解所有
13、有客户端端的注册册情况。此此外,在在DC11的DNSS服务出出现暂时时不可用用的情况况时,可可以依靠靠其它额外外DC (DNSS服务器器)来进行行必要的的名称解解析。 域结构域结构设设计是活活动目录录中最重重要,也也是最基基础的工工作,是是多种因因素权衡衡的结果果,它既既要尽可可能贴近近用户的的管理模模式和组组织结构构,也要要考虑网网络情况况及今后后的各种种变化。目前山东外运超过60%的微机和超过55%的管理人员集中于青岛总部地区,这意味着外地机构分布较广而各地的人员和微机数量都比较少,并且各地区也有固定的专线线路连入总部。此外,山东外运IT部门的最终目标是能够实现完全集中管理。因此此次在山东
14、外运环境内采用单域结构。以下是单单域结构构相对于于其他结结构的优优缺点:优点集中管理理整个集集团的安安全策略略。集中管理理整个集集团的组组策略。完全利用用组织单单元反映映集团的的管理结结构。当公司机机构重组组时可以以非常灵灵活的进进行调整整。当资源和和用户需需要在组组织机构构内迁移移时可以以非常灵灵活的调调整。不需要GGC服务务器 因为为所有的的DC都拥拥有ADD的全备备份。相对其它它方案,可可以使用用较少的的域控制制器。简单的名名字空间间设计 只只需要11个DNSS名字后后缀.用户在查查找ADD内的信信息时相相对简单单。单一的组组策略更更容易实实施。.缺点 在IT系系统管理理权限相相对分散散
15、的组织织结构中中,难以以区分“管理权权”。 整个公司司集团只只能实行行一种安安全策略略,例如如统一的的口令策策略。.所有的域域控制器器(DCC)都拥拥有整个个AD的数数据的备备份,AAD的任任何更改改也要反反映到域域内的所所有DCC上,这这对每台台DC的硬硬件配置置要提出出更高的的要求,同同时对那那些广域域网带宽宽有限的的区域会会带来效效率上的的问题。对对于DCC服务器器本身的的安全也也提出更更高的要要求。 组织单元元结构组织单元元的设计计将遵循循两点原原则: 反映企业业内部的的组织结结构 有利于通通过组策策略进行行细化的的终端管管理目前公司司的组织织结构简简图如下下:见附录22由于用户户帐号
16、(在在这里包包括用户户组账号号)和计计算机账账号分数数两种不不同的资资源类型型,所以以也需要要分开管管理。因因此,我我们将组组织单元元设计成成以下结结构: 第一级:资源类类型 第二级:地理位位置 第三级:事业部部名称第四级:部门名名称请参考下下图以了了解这个个结构的的模型: 账号和口口令管理理账号管理理可以分分为个人人账号管管理、组组账号管管理和机机器账号号管理。个人账号号可以分分为两类类: 第一类为为普通账账号,采采用一人人一号的的方式,为为每一位位员工建建立自己己的账号号。当员员工加入入或者离离开时,按按照一定定的规则则增加或或者删除除用户的的账号。 第二类为为特殊账账号,通通常不属属于某
17、一一位员工工,而是是为了满满足某些些特殊的的功能,比比如系统统管理、匿匿名访问问等等。特特殊账号号有以下下几个: Admiinisstraatorr,系统统管理员员账号,具具有最高高的权限限,可以以进行任任何管理理操作,该该账号不不能被删删除,只只能更改改用户名名。为了了提高系系统的安安全性,建建议将管管理员账账号的用用户名更更改,比比如hqqadmmin(仅仅仅是建建议,系系统管理理员可以以自行决决定)。 Guesst,匿匿名登录录的账号号,为了了提高系系统的安安全性,建建议将GGuesst账号号禁止。 服务的账账号,在在Winndowws 220088中,每每一个服服务都需需要一个个账号,
18、通通常这些些账号采采用系统统账号,我我们无须须关心,但但有一些些服务需需要特殊殊的用户户账号。 每个个人人账号都都有一个个口令来来保护,为为了防止止口令被被盗用和和攻击,我我们将在在整个域域中启用用相应的的密码策策略以保保证每个个密码都都符合一一定的复复杂度,具具体要求求如下: 长度不得得小于88个字符符 必须包含含大写和和小写字字母 必须包含含特殊字字符(例例如:!#$%&*()_+) 密码有效效期=3个月月 个人账号号的命名名规则用户名称称将使用中中文名,帐帐号名称为为: 采用姓名名的拼音音全称,如如有重复复则在末末尾加用用户所在在部门名名称的首首字母,若若仍有重重复则在在末尾加加数字以以
19、示区别别。 例如:姓姓名姓名名拼音帐帐户名张张刚(工程实实际部)Ganng.ZZhanngGaang.Zhaang.SJ张钢钢(财务部)Ganng.ZZhanngGaang.Zhaang.CW计算机账账号管理理所有加入入到域中中的计算算机都需需要一个个计算机机账号,通通过该帐帐号,我我们可以以对计算算机的各各种配置置进行管管理。公公司目前前的计算算机命名名规则为为:事业业部+部门+序号。例例如:SSJ-BMBB-0001(设设计保密密部第一一台计算算机)。组账号管管理分组管理理是重要要而有效效的管理理策略。在在Winndowws 220088中有三三种组帐帐户:通通用组(Universal G
20、roup)、全局组(global group)和域本地组(Domainlocal group),全局组可以包括本域的用户帐户(user account),域本地组可以包括本域和资源域的用户帐户和全局组帐户,通用组的使用则没有任何限制。(公司如采用单域结构,则没有使用Universal组的必要)良好的分分组策略略可以降降低管理理的复杂杂性,避避免安全全上的漏漏洞,大大大提高高管理的的可靠性性。我们采用用这样的的分组策策略:1. 按照职位位分组。2. 按职能分分组,例例如所有有的财务务人员,所所有的科科技人员员,所有有的系统统管理员员等等。3. 对员工分分类,比比如普通通员工,临临时员工工等等。4
21、. 按照部门门分组.由于维护护用户和和组账号号是一项项日常的的工作,这这项工作作将由公公司的人人员,依依据管理理的需求求来创建建。此次次项目中中,将为为每一个个部门创创建一个个管理员员组,用用来进行行一些日日常的管管理工作作,包括括安装额额外的硬硬件,共共享文件件和打印印机,等等等。目前,公公司的所所有用户户都已被被分到各各个不同同的组织织单元(OU)下面。每每个组织织单元下下还包含含一个用用户组,该该用户组组的成员员即是该该组织单单元内的的所有用用户,这这样可以以较为轻轻松的管管理用户户资源。Micrrosooft Excchannge为企业安安装部署署企业级级邮件系系统Exxchaange
22、e20007。l 配置Exxchaangee20007的OWAA功能,使使之能够够让用户户采用WWEB方方式访问问企业邮邮箱,以以此我们们可以通通过HTTTP方方式来访访问邮件件服务器器收发邮邮件并处处理相关关信息;l 配置开放放Excchannge220077的POPP3的协协议解析析功能,使使之实现现对Ouutloook 和其它它第三方方邮件收收发软件件的支持持;l 定制防火火墙对邮邮件系统统的发布布策略;l 发布邮件件系统到到INTTERNNET网网络;l 定制邮件件系统的的反垃圾圾邮件的的策略(梭梭子鱼策策略);l 定制邮件件系统的的反攻击击安全策策略(梭梭子鱼策策略);l 根据企业业
23、需要,定定制邮箱箱大小策策略,邮邮件大小小策略,邮邮件发送送策略等等一系列列邮箱设设置策略略;l 根据企业业需要,定定制全球球通讯录录,部门门通讯录录等各种种脱机通通讯录;l 配置邮件件系统,为为邮件进进行1228位的的SSLL加密,保保证邮件件传输安安全;规划邮件件系统,合合理定制制邮件的的存放周周期及备备份周期期。Symaanteec BBackkup Exeec FFor Winndowws SServver备份过程程中要用用到大量量的存储储介质,随随着时间间的推移移,介质质上备份份数据的的作用会会越来越越小,除除非要特特意恢复复到某一一历史时时刻的状状态,都都会用最最新的备备份数据据来
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Exchange 电子邮件 系统 解决方案 osp
限制150内