1、21/21企業Exchange 前后端集群郵件系統方案目錄第1章 方案背景1.1 用戶需求1.2 設計原則和設計目標1.2.1 設計原則1.2.2 設計要求第2章 設計方案2.1 方案構架2.1.1 Active Directory 目錄服務器2.1.2 Exchange 2007 郵件服務器2.1.3 靈活的客戶端訪問方式2.2 系統組成及規劃2.2.1 郵件服務系統2.2.2 Exchange 2007 前后端結構2.2.3 郵件系統存儲設計2.2.4 域控制器DC2.2.5 客戶端2.2.6 垃圾郵件的處理2.2.7 防病毒規劃2.2.8 數據備份和恢復第3 章 建議Exchange 2

2、007 前后端架構服務器軟硬件配置。3.1 服務器硬件配置建議3.2 郵件系統軟件需求上海市中山北路2020 號中星經貿大廈19 樓 電話: (8621)52916000 傳真: (8621) 52949018方案背景1.1 用戶需求目前需要為中國地區員工（上海和沈陽兩地）架設郵件服務器，大約用戶人數在1000 人左右，用戶客戶端連接采用POP3 方式。1.2 郵件系統的設計原則和設計目標1.2.1 設計原則企業電子郵件及協作系統的建設對整個公司的信息化具有重要的意義，系統的選擇和設計對建成后的質量和作用起到舉足輕重的影響，為保證系統的廣泛使用和穩定運行，新系統的選擇和設計應遵循以下原則： 保

3、障信息傳遞的高效性 便于最終用戶使用，符合用戶習慣，方便與其他客戶端軟件集成 系統穩定可靠 方便網絡和系統的管理、安全性控制和擴展 能提供完備的反病毒、反垃圾郵件和備份方案 方便與外部系統的連通 方便系統的開發應用及和企業其它系統的互聯和集成 便于系統的統一管理1.2.2 設計要求基于以上的設計原則，郵件系統的設計應達到以下目標： 現階段為公司中國區（上海、沈陽）人員提供郵件服務，大約 1000 人左右，每人100M 容量 高度可伸縮性的體系構架。能方便地擴充容量，以滿足集團未來發展的需要。 開通 Web 方式收發郵件，Web Mail 界面能和公司內部網集成，并能提供多語言界面 提供郵件帳號

4、別名，使一個帳號能有多個郵件地址 完備的反病毒和反垃圾郵件解決方案上海市中山北路2020 號中星經貿大廈19 樓 電話: (8621)52916000 傳真: (8621) 52949018 為管理員提供方便高效的管理工具，減少日常維護工作量 對于移動用戶和設備的支持第2章 設計方案2.1 方案構架根據中國區的現有情況和具體需求，建議郵件系統采用集中部署的方式，郵件系統的服務器上海公司機房內，沈陽地區員工通過Internet POP3 方式連接上海機房內的郵件服務器。方案采用了Windows Server 2003 平臺上Exchange 2007 集群部署的郵件系統，以前后端部署的方式實現系

5、統的高性能和高擴展性。下圖為系統構架示意圖：上海市中山北路2020 號中星經貿大廈19 樓 電話: (8621)52916000 傳真: (8621) 529490182.1.1 Active Directory 目錄服務器在上圖中Exchange 與上海公司Active Directory 域服務器整合、AD 服務器提供所有的人員帳戶和資源的管理，郵件服務器為這些用戶帳號提供郵件服務。2.1.2 Exchange 2007 郵件服務器郵件服務器在本機構內提供高效的郵件服務，同時自動與其他外接系統通訊。郵件系統的訪問，可通過 Outlook, OWA 等客戶端軟件。為了提高系統的性能，Exch

6、ange Server 會采用前后端部署的方式。前端郵件服務器專門負責和Internet 進行外部郵件收發和OWA，能夠提高系統總體性能。后端郵件服務器則專門為內部用戶提供郵件、和其他協作服務。當內部用戶有郵件發往Internet 或者Internet 上有郵件發往內部用戶時，前后端郵件服務器之間能夠自動進行同步，因此用戶只會感覺到只有一個郵件服務器在工作，在提高性能的同時，不會影響易用性。如果需要提高系統的穩定性和可用性，后端郵件服務器還可以采用Cluster 群集結構，就是兩臺服務器相互備份和同步，當其中一臺服務器意外崩潰以后，另外一臺會馬上接替工作，不會引起服務中止。2.1.3 靈活的客

7、戶端訪問方式Exchange 2007 具有對多種客戶端靈活的支持能力。對于上海公司局域網內的用戶，可以采用以下幾種方式訪問郵件服務： Outlook 作為客戶端，以MAPI 方式訪問Exchange 服務器。 Outlook 或者Outlook Express 為客戶端、以POP3 連接訪問Exchange 服務器 Outlook Web Access 方式，通過IE 瀏覽器來訪問Exchange 服務器對于沈陽和在外地出差的用戶，可以采用以下幾種方式： Outlook 或者Outlook Express 作為客戶端，采用POP3 方式訪問Exchange Server Outlook We

8、b Access 方式,通過IE 瀏覽器來訪問Exchange 服務器考慮到系統的性能和使用方便性，建議采用POP3 方式來接入Exchange 服務器2.2 系統組成及規劃2.2.1 郵件服務系統安裝在 Windows 2003 Enterprise Server 之上的 Exchange Server 2007 提供完善的電子郵件服務。上海市中山北路2020 號中星經貿大廈19 樓 電話: (8621)52916000 傳真: (8621) 52949018Microsoft Exchange 2007 Server 與Microsoft Windows 2003 操作系統之間實現了無縫化

9、集成，其設計滿足各種規模的商務企業（從小型組織機構到大型分布式企業）在消息和協作方面所提出的需求。其可靠性、伸縮性、企業消息和協作平臺性能以及為降低系統擁有成本而對操作系統功能得到進一步應用。 Web與工作流應用設計的集成以及為改善知識工作者效率而使其與消息、文檔及應用程序配合工作的單一基礎架構和用戶模式。 通過對無線通訊、統一消息、手持設備及遠程會議等新興技術的應用來實現在任何時間、從任何地點提供信息訪問的通訊基礎架構，這些功能將為近一步擴展應用提供基礎。2.2.2 Exchange 2007 前后端結構Exchange 2007 Server 有一種新的應用程序體系結構，它為 Intern

10、et 和 Intranet 郵件解決方案提供了一個功能豐富而強大的平臺，這種結構就是前端/后端結構（FE/BE）。由于 Exchange 2007 采用了前端/后端服務器拓撲，從而進一步提高了可伸縮性和可用性。FE/BE 服務器拓撲是真正多層的 Internet 應用程序體系結構，采用專用的 Web 和數據庫服務器。在 Exchange 2007 中將協議和存儲服務分開，使設計者能夠使用多層 FE/BE 服務器拓撲，提高了可伸縮性、安全性和可用性等等。另外，處理HTTP、SMTP、POP 及IMAP（Internet 消息訪問協議）請求的一組IP 服務器可以容留在獨立于全部數據存儲的服務器上，

11、并且無需RAID（容錯磁盤陣列）控制器。這就減少了服務器成本，同時也可以防止SMTP 故障和意外的服務拒絕事件影響到通信存儲或目錄。Exchange 2007 Server 劃分了協議、存儲和目錄的核心服務，并分別與前端、后端和域控制器的服務器角色對應。 默認情況下，Exchange 2007 服務器存放公用存儲和專用存儲，并且以此角色履行后端或存儲服務器的職責。通過使用 HTTP 協議，Exchange 2007 前端協議服務器可以專用于與客戶端通信。無論是前端服務器還是后端服務器都不能運行目錄服務，現在專門由域控制器處理這些服務。當 FE/BE 服務器拓撲與 Internet 相連的環境集

12、成在一起時，它提高了安全性和設計靈活性。因為前端服務器不存放 Web 存儲系統或 Active Directory 數據庫，所以它們成為“黑客”攻擊對象的價值就會降低。可以配置前端服務器以便在最低限度的一組 Internet 端口上擴展郵件服務，因而它們最適于放在防火墻后面或者放在隔離區 (DMZ)中。下圖反映了Exchange FE/BE 結構在隔離區中的部署：上海市中山北路2020 號中星經貿大廈19 樓 電話: (8621)52916000 傳真: (8621) 52949018規劃和調整 FE/BE 服務時要考慮的主要標準是： 用戶數要求（最大和并發客戶端連接） 可用性要求（針對應用程

13、序和數據） 數據恢復性（數據和/或服務恢復率）其中，用戶數要求（特別是最大和并發客戶端負載）決定了支持的 Exchange 服務器和域控制器的數目和大小。規模適當的體系結構必須能夠支持所有服務的估計最大用戶并發率：登錄/身份驗證、IIS（前端）會話、后端存儲性能、LDAP 查詢（Active Directory 和全局編錄GC）和公用文件夾應用程序。2.2.3 郵件系統存儲設計考慮因素 可靠性包括硬件軟件的可靠性，即使在部分數據庫受到以外破壞，盡可能少影響用戶的正常使用。對于不同的用戶的可靠性要求不同，對重點用戶可靠性要求較高。 性能能夠滿足系統中用戶的訪問需要，保證數據庫的日志文件操作不會影

14、響整體存儲訪問的性能。不同類型用戶對性能要求也會有所不同。 備份和恢復要求實現靈活的備份調度，不同種類用戶的郵箱要求不同的備份策略，對于重點用戶的郵箱需要每半個星期備份一次，普通用戶的郵箱只需要1 個星期備份一次。在災難恢復的時候，要求只要恢復受破壞的郵箱數據庫。上海市中山北路2020 號中星經貿大廈19 樓 電話: (8621)52916000 傳真: (8621) 52949018 成本在考慮可靠性、性能的同時需要考慮成本。在成本預算范圍內提供最可靠、穩定和高效的存儲設計設計原則 用戶根據不同的可靠性和性能要求分成不同類型，不同類型的用戶設計不同的存儲策略。 每個卷盡量地使用單獨的數據總線

15、和磁盤控制器 為了保證最大的可靠性，數據庫和日志文件應該分開存放在不同的卷。 數據庫所在的卷，可以由多個硬盤組成。 如果需要對郵箱和公共文件夾建立索引，需要預留 25%至30%的額外磁盤空間 索引文件應該在分開在單獨的卷里 一臺 Exchange 2007 企業版服務器最多可容納50 個存儲組，無軟件存儲容量限制。2.2.4 域控制器DCExchange 2007 Server 利用Windows 2003 Server 的Active Directory 活動目錄服務完成目錄服務的職能。所有Exchange 2007 目錄信息（包括關于用戶、郵箱、服務器、站點、自定義收件人等）存放于Acti

16、ve Directory 中。目錄服務器提供全局的人員賬戶和資源的管理，并提供郵件服務器必須的服務功能。如果郵件系統的AD 與公司的AD 集成的話，可以利用AD 來實現更方便的管理，新建郵箱和修改郵箱屬性等操作，只要連接到公司內部的AD 的域控制器就可以完成。Active Directory 會自動進行同步。活動目錄是Windows 2003 網絡體系結構中一個基本且不可分割的部分。并提供了一套為分布式網絡環境設計的目錄服務。活動目錄使得組織機構可以有效地對有關網絡資源和用戶的信息進行共享和管理。另外，目錄服務在網絡安全方面也扮演著中心授權機構的角色，從而使操作系統可以輕松地驗證用戶身份并控制

17、其對網絡資源的訪問。同等重要的是，活動目錄還擔當著系統集成和鞏固管理任務的集合點。2.2.5 客戶端對于Exchange2007 服務器，可以使用以下客戶端應用程序對Exchange 服務進行訪問：o Outlook Express可以為使用 POP3 或IMAP4 協議訪問運行Exchange 的服務器而對OutlookExpress 進行配置；當然，Outlook Express 需將上述協議與基本驗證一并使用。o Outlook Web Access(OWA) 訪問你可以配置 Outlook Web 訪問并使用HTTP 或HTTPS 訪問Exchange 服務。Outlook Web 訪

18、問以缺省方式使用基本驗證；而如果你需要更為安全的連接，則上海市中山北路2020 號中星經貿大廈19 樓 電話: (8621)52916000 傳真: (8621) 52949018可在SSL 上使用基本驗證。o Outlook 你可以將 Outlook 配置為Internet 客戶或MAPI 客戶。將Outlook 配置為Internet客戶時，它便開始使用POP3 或IMAP4 協議與基本驗證方式。可以通過建立一個VPN 而將Outlook配置為MAPI 客戶。MAPI 的使用僅限于與工作組或VPN 配合工作的遠程過程調用（RPC）進行通信。由于VPN 使用可透過防火墻的專用連接，因此，可以

19、使用集成Windows 驗證。o Outlook Mobile Access (OMA)，與用于桌面瀏覽器的 Outlook Web Access 類似，Outlook MobileAccess 是專門為從移動設備瀏覽器更安全地進行訪問而設計的。通過 Exchange 2007，用戶可以使用帶有基于 HTML、XHTML (WAP 2.x) 和 CHTML 的微瀏覽器的移動設備訪問他們的郵箱。為了使用戶更為有效地管理自己的郵件，設置郵件的各種規則，方便地使用日程、任務、會議安排等功能，建議有條件的客戶端盡量采用Outlook，同時Web 訪問的手段作為一種有效的補充。圖：IE 方式下的 OWA

20、 郵件客戶2.2.6 垃圾郵件的處理郵件拒收（Message Block）上海市中山北路2020 號中星經貿大廈19 樓 電話: (8621)52916000 傳真: (8621) 52949018郵件拒收是在SMTP 協議實現時的擴展選項。拒收的對象是雖然具有正確的本地收件人地址，但卻是來自不受歡迎的網絡或個人的電子郵件。郵件拒收執行的時機是MTA 正在按照SMTP 協議接收郵件時，操作是對郵件頭部信息進行的。要求可以設置以下規則： 拒收來自指定 IP 或子網的郵件； 拒收來自指定 E-mail 地址的郵件； 拒收來自指定域的郵件； 拒收來自指定用戶名的郵件； 超出系統管理員設定大小的郵件；

21、 收件人個數超出系統管理員設定標準的郵件； 收件人特征符合系統管理員設定為標準的垃圾郵件； 拒收在一個時間段某地址針對單一用戶發出超過設定數量的郵件 拒收在一個時間段某地址針對郵件系統發出超過設定數量的郵件 每一個被拒收的郵件都會產生可統計的日志記錄。轉發限制（Relay Restriction）轉發限制也是在SMTP 協議實現時的擴展選項。轉發限制的對象是那些雖然具有正確的非本域目標收件人地址，但卻來自不受歡迎的網絡或個人電子郵件，或者目標收件人或網絡不愿意接受來自本域轉發的E-mail。轉發限制的操作實際是MTA 正在按照SMTP 協議接受郵件時，操作是對郵件頭部信息進行的。要求可以設置以

22、下規則： 拒絕轉發或僅轉發來自指定 IP 或子網的郵件； 拒絕轉發來自指定 E-mail 地址的郵件； 拒絕轉發或僅轉發來自指定域的郵件； 拒絕轉發來自指定用戶名的郵件； 拒絕轉發或僅轉發目標為指定子網或指定域的郵件； 除特定用戶外，限制本地電子郵件用戶一次性發送指定數量（如 25 封）以上電子郵件 每一個被拒絕轉發的郵件都會產生可統計的日志記錄。上海市中山北路2020 號中星經貿大廈19 樓 電話: (8621)52916000 傳真: (8621) 52949018郵件過濾 （Mail Filter）要求可以實現系統級與用戶級的過濾處理功能，對符合過濾規則的郵件可選擇拒收、丟棄、轉發、投遞

23、、等待、延時等動作； 過濾規則數量不限，可對包括郵件頭部信息在內的整個郵件通過郵件大小進行過濾分析。 能夠對電子郵件信頭主題、收發件人、抄送人等內容進行基于特征字符串的過濾； 能夠對電子郵件信體內容進行特征字符串的過濾； 能夠對電子郵件附件標題、文件類型和長度進行基于特征字符串的過濾； 支持過濾規則動態導入和維護，并立即生效； 對電子郵件信件頭、信體進行掃描之前，支持 BASE64 和QuotedPrintable 解碼； 對有害垃圾電子郵件過濾和阻斷數量可以進行統計，對公安機關所要求的過濾信息可以向公安機關遠程傳送；系統級的過濾規則對所有用戶起作用，用戶級的過濾規則只對用戶自己的郵箱起作用。2.2.7 防病毒規劃病毒防范的病毒防范體系應該包括：病毒防范制度、防病毒軟件和技術防范措施。病毒防范制度是防范體系中每個主體都必須遵守的行為規程。沒有制度，防范體系就不可能很好地運作。應專門針對病毒防范制定相應的制度。對于基于網絡的計算機病毒防護，主要的病毒防范點有：Internet 接入口、大容量電子郵件系統的關鍵服務器及工作站、內部信息網絡的中心