Exchange电子邮件系统解决方案模版Word文档格式.docx
《Exchange电子邮件系统解决方案模版Word文档格式.docx》由会员分享,可在线阅读,更多相关《Exchange电子邮件系统解决方案模版Word文档格式.docx(25页珍藏版)》请在冰豆网上搜索。
反垃圾邮件网关:
用于针对已有垃圾邮件进行过滤和阻断的设备。
备份系统:
传统机制的备份系统无法对现在使用的应用平台做完整细粒度备份,一旦应用发生灾难性损坏,后果将不堪设想,我们利用专业备份系统来弥补这个问题的空白。
三、方案拓扑
建议方案1
建议方案2
四、方案推介
MicrosoftActiveDirectory
方案规划XXX采用单林单域方式,组织单元规划根据企业实际行政规划来设计。
AD明细如下:
地址分配
地址分配即IP地址的分配和管理。
我们可以根据实际情况来确定IP的获取方式,根据部门来划分静态IP和DHCP的数量级和安全级别。
名称解析
名称解析是指在访问网络资源(包括文件服务器和打印机)时,如何将资源的名称转换成对应的IP地址的服务。
目前公司的内部用户在访问网络资源时通过直接的IP地址来定位资源,这样带来的问题时每个用户必须记住要访问资源的IP地址,使用效率不高而且管理成本较高。
通过DNS和WINS的服务,相关的服务器会自动将某个名称转换成实际的IP地址,用户只需记住容易辨识的资源名称即可进行相应的访问。
这样网络资源的共享和使用效率将得到很大程度的提高。
DNS
我们将在公司的DC01、DC02两台DNS服务器。
该服务器同时也是域控制器。
公司内部网络的域名为:
或baiyyy.local
DNS服务器包含两个区域,以下是它们的技术参数:
Name:
_.
Type:
ActiveDirectory-Integrated
Replication:
ToAllDNSserversintheActiveDirectoryforest
Dynamicupdates:
Nonsecureandsecure
.
ToAllDNSserversintheActiveDirectorydomain
DNS服务器都将DNS数据放在本地的AD数据库中,但是作为独立的ApplicationPartition来参与域控制器之间的目录复制(DirectoryReplication)从而同步DNS数据库。
所有域控制器都将主域控设为首选的DNS服务器
外部(Internet)名称解析
在DC01,将本地ISP的DNS服务器设为转发器。
将所有非内部网的域名解析请求转发至Internet上
所有公司内的客户端都将通过DNS来进行名称解析。
包括登入域和访问文件服务器或其他客户端。
每一个加入域的客户端都通过动态注册在DNS服务器上注册自己的主机纪录(A)和指针纪录(PTR)。
管理员在服务器上可以轻松的了解所有客户端的注册情况。
此外,在DC01的DNS服务出现暂时不可用的情况时,可以依靠其它额外DC(DNS服务器)来进行必要的名称解析。
域结构
域结构设计是活动目录中最重要,也是最基础的工作,是多种因素权衡的结果,它既要尽可能贴近用户的管理模式和组织结构,也要考虑网络情况及今后的各种变化。
以下是单域结构相对于其他结构的优缺点:
优点
Ø
集中管理整个集团的安全策略;
集中管理整个集团的组策略;
完全利用组织单元反映集团的管理结构;
当公司机构重组时可以非常灵活的进行调整;
当资源和用户需要在组织机构内迁移时可以非常灵活的调整;
不需要GC服务器–因为所有的DC都拥有AD的全备份;
相对其它方案,可以使用较少的域控制器;
简单的名字空间设计–只需要1个DNS名字后缀;
用户在查找AD内的信息时相对简单;
单一的组策略更容易实施。
缺点
在IT系统管理权限相对分散的组织结构中,难以区分“管理权”。
整个公司集团只能实行一种安全策略,例如统一的口令策略。
.
所有的域控制器(DC)都拥有整个AD的数据的备份,AD的任何更改也要反映到域内的所有DC上,这对每台DC的硬件配置要提出更高的要求,同时对那些广域网带宽有限的区域会带来效率上的问题。
对于DC服务器本身的安全也提出更高的要求。
组织单元结构
组织单元的设计将遵循两点原则:
∙反映企业内部的组织结构
∙有利于通过组策略进行细化的终端管理
目前公司的组织结构需根据XXX的实际人事组织拓扑制定,会在制定项目实施方案时提供。
由于用户帐号(在这里包括用户组账号)和计算机账号分数两种不同的资源类型,所以也需要分开管理。
因此,我们将组织单元设计成以下结构:
第一级:
资源类型
第二级:
地理位置
第三级:
事业部名称
第四级:
部门名称
请参考下图以了解这个结构的模型:
✧账号和口令管理
账号管理可以分为个人账号管理、组账号管理和机器账号管理。
个人账号可以分为两类:
∙第一类为普通账号,采用一人一号的方式,为每一位员工建立自己的账号。
当员工加入或者离开时,按照一定的规则增加或者删除用户的账号。
∙第二类为特殊账号,通常不属于某一位员工,而是为了满足某些特殊的功能,比如系统管理、匿名访问等等。
特殊账号有以下几个:
Administrator,系统管理员账号,具有最高的权限,可以进行任何管理操作,该账号不能被删除,只能更改用户名。
为了提高系统的安全性,建议将管理员账号的用户名更改,比如hqadmin(仅仅是建议,系统管理员可以自行决定)。
Guest,匿名登录的账号,为了提高系统的安全性,建议将Guest账号禁止。
服务的账号,在Windows2008中,每一个服务都需要一个账号,通常这些账号采用系统账号,我们无须关心,但有一些服务需要特殊的用户账号。
∙每个个人账号都有一个口令来保护,为了防止口令被盗用和攻击,我们将在整个域中启用相应的密码策略以保证每个密码都符合一定的复杂度,具体要求如下:
长度不得小于8个字符
必须包含大写和小写字母
必须包含特殊字符(例如:
~!
@#$%^&
*()_+)
密码有效期<
=3个月
∙个人账号的命名规则
用户名称将使用中文名,帐号名称为:
采用姓名的拼音全称,如有重复则在末尾加用户所在部门名称的首字母,若仍有重复则在末尾加数字以示区别。
例如:
姓名姓名拼音帐户名
张刚(工程实际部)Gang.ZhangGang.Zhang.SJ
张钢(财务部)Gang.ZhangGang.Zhang.CW
计算机账号管理
所有加入到域中的计算机都需要一个计算机账号,通过该帐号,我们可以对计算机的各种配置进行管理。
公司目前的计算机命名规则为:
事业部+部门+序号。
SJ-BMB-001(设计保密部第一台计算机)。
组账号管理
分组管理是重要而有效的管理策略。
在Windows2008中有三种组帐户:
通用组(UniversalGroup)、全局组(globalgroup)和域本地组(Domainlocalgroup),全局组可以包括本域的用户帐户(useraccount),域本地组可以包括本域和资源域的用户帐户和全局组帐户,通用组的使用则没有任何限制。
(公司如采用单域结构,则没有使用Universal组的必要)
良好的分组策略可以降低管理的复杂性,避免安全上的漏洞,大大提高管理的可靠性。
我们采用这样的分组策略:
1.按照职位分组。
2.按职能分组,例如所有的财务人员,所有的科技人员,所有的系统管理员等等。
3.对员工分类,比如普通员工,临时员工等等。
4.按照部门分组.
由于维护用户和组账号是一项日常的工作,这项工作将由公司的人员,依据管理的需求来创建。
此次项目中,将为每一个部门创建一个管理员组,用来进行一些日常的管理工作,包括安装额外的硬件,共享文件和打印机,等等。
目前,公司的所有用户都已被分到各个不同的组织单元(OU)下面。
每个组织单元下还包含一个用户组,该用户组的成员即是该组织单元内的所有用户,这样可以较为轻松的管理用户资源。
MicrosoftExchange2010
防火墙和边缘服务器
防火墙实现机构局域网与广域网之间的隔离,是实现安全性的保障。
首先系统和Internet公网之间设立一台硬件防火墙,为系统提供第一层安全防护。
然后停火区建立Exchange边缘服务器,负责对外的邮件往来。
外部的邮件首先到达边缘服务器,经过反垃圾、防病毒系统的检查,确定安全后再转发给内网的中心传输服务器。
边缘服务器将内外的邮件系统隔离开来,使得这些不得不和外界连通的服务器即使被黑客攻击,也不会影响防火墙后面内部网络内的服务器,它提高了安全性和设计灵活性。
因为前端服务器不存放邮件存储系统或ActiveDirectory数据库,所以它们成为“黑客”攻击对象的价值就会降低。
边缘传输服务器角色上可管理:
Internet邮件流
运行边缘传输服务器角色的服务器接受通过Internet进入Exchange2010组织的邮件。
边缘传输服务器对邮件进行处理之后,会将它们路由到组织内部的中心传输服务器。
边缘传输规则
用于控制发送到Internet或从其接收的邮件流。
边缘传输规则通过将操作应用于满足指定条件的邮件帮助保护企业网络资源和数据。
边缘传输规则条件以数据为基础,例如,邮件主题、正文、标题或发件人地址中的特定字词或文本模式,垃圾邮件信任级别(SCL)或附件类型。
当指定条件为真时,这些操作可确定处理邮件的方式。
可能的操作包括隔离邮件、丢弃或拒绝邮件、附加其他收件人或记录事件。
有例外情况(可选)可以不对特定邮件执行操作。
反垃圾邮件和防病毒保护
在Exchange2010中,可以阻止网络外围的病毒和垃圾邮件或未经请求的商业电子邮件。
边缘传输服务器角色的服务器通过提供一组协同工作以提供不同垃圾邮件筛选层和保护层的代理,以帮助防止组织中的用户接收垃圾邮件。
地址重写
可以为来自您的Exchange2010组织的邮件的外部收件人提供一致的外观。
针对边缘传输服务器角色配置地址重写代理,可以修改进站和出站邮