Microsoft Exchange Server 概览白皮书Word格式文档下载.docx
《Microsoft Exchange Server 概览白皮书Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《Microsoft Exchange Server 概览白皮书Word格式文档下载.docx(24页珍藏版)》请在冰豆网上搜索。
今天的商业需求——如安全,灾难恢复和移动性——比以前更加迫切。
为了满足这些需求,Exchange将自身的功能范围扩展到了简单电子邮件之外,以提高用户生产力,使信息近在手边,同时又足够灵活,满足您组织的管理模型。
本白皮书提供了ExchangeServer2007的一个概览,并描述了下一代的Exchange在满足组织/企业不断变化的业务需求的同时,是如何提高用户的生产力和管理员的效率。
附送MicrosoftExchangeServer2007帮助下载
及ExchangeServer2007安装部署指南,希望对大家有所帮助!
第一章体系结构概览
ExchangeServer在满足大企业和小公司不同需求上不断地努力,并得到用户广泛的认可。
但今天各种规模的企业用户有着新的、相似的沟通服务需求——如遵守[h7],安全性和灾难恢复。
为了迎接这些新的挑战,ExchangeServer2007的体系结构进行了更新,以利用X64位硬件的优势,简化的管理和路由,使一台Exchange服务器可以承担一种或多种服务器角色。
1.1 服务器角色
ExchangeServer提供了一个全面的、可以运行在一台单独服务器上的信息系统——这意味着所有Exchange服务角色都安装在一台服务器上,与MicrosoftSmallBusinessServer产品一样。
但是拥有一个可以安装到多台设备上的灵活的、模块化的系统可以在部署、管理和安全上获得重要的效益。
这一概念首次在Exchange2000Server引入,其中前端服务器可以设置为将到来的Internet客户端协议转到合适的邮箱服务器。
前端服务器是可选的,它可以降低邮箱服务器上的负担并简化MicrosoftOfficeOutlook®
WebAccess(OWA)和ExchangeActiveSync(EAS)用户的访问。
在中型或大型组织设置前端服务器可以使特定任务集中在有限的几台服务器上,从而使Exchange更灵活。
在ExchangeServer2007中,基于角色的部署功能进行了扩展,您可以将预定义的角色指定给特定的服务器。
这些预定义的角色使组织可以控制邮件流程,提高安全性以及分发服务,如下图所示。
图1:
ExchangeServer2007服务器角色
客户典型地自定义他们的ExchangeServer2003的安装过程,用一种非常手动的方式创建特定的服务器角色。
在ExchangeServer2007中,角色是预定义的并可以在安装过程中进行选择。
安装过程中选择的角色确保了只安装必需的服务和组件。
这一方法不仅简化了部署过程,随着时间的推移,对Exchange的管理和对硬件的利用更加高效与简捷、尤其是,增强系统的可伸缩性的维护,Exchange服务器角色如下:
1.角色规则
除了边缘传输角色外,可以将多个角色或全部角色安装到一个单独的系统中。
这是因为由于安全性的原因,在环路网(DMZ)中运行边缘传输角色的Exchange服务器不是ActiveDirectory或Exchange组织的成员。
另一个角色限制是聚集的邮箱服务器,它们只能由邮箱服务器角色进行配置。
客户端访问角色.类似于早期版本的Exchange中的前端服务器,该服务器将Internet客户端的访问转到正确的邮箱服务器。
2.邮箱角色.该角色管理着用户的邮箱,这些邮箱存储在可被复制或聚集的数据库中。
[h8]
3.中心传输角色.该角色提供了对所有信息的内部路由——包括来自边缘服务器的信息,统一消息(UM)服务器的信息或在同一邮箱数据库上的两个用户之间的信息。
中心传输角色也是对在组织内外传输的信息实施信息策略的地方。
4.统一消息角色.该角色可以与交换机进行集成,以传输语音邮件和传真信息到Exchange邮箱中,并提供到ExchangeServer的语音拨入功能。
该角色和其服务在本文后面有更详细介绍。
5.边缘传输角色.该服务器在您的内部网络之外,为Exchange提供前端[h9]的邮件安全,反病毒和反垃圾服务。
后端的过滤由ExchangeHostedFiltering提供,稍后讨论。
由于要与生产网络资源如DNS和ActiveDirectory之间进行必要的通讯,因此不推荐的把一个典型的Exchange服务器或任何其它域成员服务器放在您的环路网(DMZ)。
但是环路网是分析到来的信息并过滤掉不想要的邮件或感染了病毒的邮件的理想地方。
ExchangeServer2007引入了边缘传输角色,它不是ActiveDirectory或Exchange组织的传统成员,而是对到来的信息进行垃圾邮件或病毒分析的Exchange服务器。
图2:
环路网中的边缘传输角色
边缘传输角色使用一个名为EdgeSync的服务,该服务接受来自企业生产网络上中心传输的通讯,因此从边缘传输进到生产网络无需开放TCP端口。
边缘传输角色使用ActiveDirectory的一个轻量级版本(即ADAM[*])来保存它的配置信息和其它组件,而这些通常保存在ActiveDirectory中。
从中心传输服务器发往边缘传输服务器的信息包含收件人列表,用于验证在发出信息之前,收件人存在。
其它发往边缘传输服务器的信息包括用户的安全发件人列表。
MicrosoftOfficeOutlook®
或OWA用户可以把SMTP地址添加到安全发件人列表中。
该列表在从中心传输服务器到边缘服务器之间建立了一条通路,它使得从安全发件人列表中的用户发往该Outlook用户的信息不会被Exchange反垃圾组件拦截。
1.2 管理组和路由组
在ExchangeServer2007中,管理得到了简化,因此更加灵活。
在Exchange之前的版本中,管理组是包含服务器和其它对象的管理边界。
[h10]可以创建管理组来隔离企业IT组织内部的管理,但是创建后不是很灵活(不能在管理组间移动服务器)。
ExchangeServer2007通过去除管理组打破了这一限制。
现在可以将管理权限从组织委派到服务器。
不论您的组织是使用集中式管理模型还是分散式管理模型,您都可以委派权限以使更接近相应模型,并且您可以在组织结构变化时轻易地适应新的模型。
[h11]
路由组一直以来都与ActiveDirectory站点集成在一起。
因为ActiveDirectory站点边界的设计原则与路由组的设计原则是相似的,而且在大多数组织中都是相同的。
[h12]Exchange现在采用了基于ActiveDirectory站点路线的路由拓扑结构。
[h13]已经无需再单独维护Exchange路由拓扑和ActiveDirectory站点拓扑了。
1.3 存储组和信息存储
ExchangeServer2007企业版每台服务器支持最多50个存储组和50个数据库。
您可以设置每个存储组5个数据库,最多可以设置50个数据库。
相比与早期版本的ExchangeServer,现在的邮箱数据可以分布到更多数据库中,邮箱数据库可以分布到更多存储组中。
ExchangeServer标准版每台服务器支持最多5个存储组和5个数据库。
企业版和标准版的数据库大小都不受限制。
1.4 64位的优势
在过去的几年中,Exchange服务器在邮箱数量和邮箱平均大小方面发展迅速。
这包括多方面的原因——增强的Exchange5.5站点,硬件更便宜了,广域网带宽更便宜了,增加了的信息存储大小限制以及用户发送了更多的电子邮件。
由于所有这些原因甚至更多的原因,组织们实现了用更少的大型服务器代替一些较小的分布式服务器。
这种策略可以获得一些成本和管理上的效益,但随着越来越多的用户在越来越少的服务器上,在某些时候性能就成了一个问题。
64位的数字
32位=232或4GB可寻址内存
64位=264或16EB可寻址内存
使用64位硬件和操作系统通过给Exchange更多的资源,可以获得增强的性能和容量[h14]。
32位的体系结构只允许最大4GB的可寻址内存,而且是在内核和应用程序之间分配。
将服务器和硬件的体系结构升级到64位可以使操作系统寻址最大16EB的内存。
(目前硬件的限制在16GB到64GBRAM之间)。
一个64位的处理器也可以获得更多缓存容量,也就是说内部寄存器是32位处理器寄存器的两倍,这使得像Exchange这样的应用程序以一种将应用程序的更多部分驻留在处理器上方式进行写操作——极大地提高性能并使Exchange服务器随着增长的信息需求一起成长。
64位对性能有显著影响的另一个地方是每秒输入/输出操作数(IOPS)。
带有大型数据库的32位Exchange服务器如果没有对磁盘子系统正确设置,会引发高的IOPS。
这说明应该按性能来设计您的存储子系统,而不是按容量——使用一些较小的磁盘驱动器,而不是使用较少的大型磁盘驱动器,许多磁盘空间不使用。
早期的测试显示运行在64位硬件上的ExchangeServer2007需要的IOPS比运行在相同硬件上的ExchangeServer2003大约要少75%。
另一种查看这种区别的方式是,达到相同的性能,ExchangeServer2007需要的磁盘空间是ExchangeServer2003的四分之一。
这说明ExchangeServer2007比早期版本的Exchange支持更多、更大的数据库。
这也意味着磁盘子系统的设计可以考虑容量和性能。
第二章 新特性和功能
ExchangeServer2007增加了许多新的特性和功能以满足多数组织/企业不同的需求。
作为一个优秀的产品,ExchangeServer2007为管理员提供了功能强大的新工具来完成他们的工作,为最终用户提供了更多访问方式来连接到邮箱,且邮箱可以包括一天中需要的多种信息。
2.1 全面抵御外界威胁
商业电子邮件用户面临的主要威胁来自于组织之外那些没有经过用户请求的电子邮件。
微软提供了两种不同的但却有相同效果的方式来保护用户免受这一实际威胁——onsite反垃圾与反病毒保护和hosted反垃圾与反病毒保护。
在自身对垃圾邮件和病毒的防护上,ExchangeServer2007采取了一些方法来最小化有害的电子邮件和带有病毒的信息给组织/企业带来的威胁。
使您的用户远离垃圾邮件
ExchangeServer2007扩展了Exchange的反垃圾邮件框架。
该框架包含了多层保护措施,以多种不同的方式来阻止垃圾邮件。
重要的方式包括:
1.安全发件人集合.为了减少误判[K15],Outlook用户创建的安全发件人列表会传送到中心传输服务器,然后再传送到边缘传输服务器(在环路网中),来自这些用户的信息不论他们的垃圾邮件信用等级如何,允许直接进入组织。
2.Outlook电子邮戳.Outlook2007可以为每一封邮件创建一个难题和答案[K16],称为邮戳,它被附加到每一封要发出的邮件中。
该邮戳的创建和解密需要花费许多CPU周期。
垃圾邮件发送者通常没有时间或计算资源来把每一个复杂的难题和答案附加到数千封要发出的邮件中,所以他们不会使用难题和答案。
因此,当Exchange接收到一封带有邮戳的邮件时,它会验证它的难题和答案。
邮戳越复杂,邮件时垃圾邮件的可能性就越小。
3.垃圾邮件隔离.除了Outlook和OWA客户端带的Outlook垃圾邮件隔离功能外,现在管理员可以复查并隔离可疑的垃圾邮件。
然后管理员可以从隔离的邮件中删除或释放用户的邮件。
4.发件人的信誉.发件人的信誉是动态分析并更新的。
当边缘服务器侦测到来自某一域的相应趋势时,它会采取具体的行动来隔离信息或拒绝来访信息。
5.边缘服务器上的内容过滤.当垃圾邮件发送者改变策略并使用新的方法来避免被检测时,这时垃圾邮件内容过滤器会自动更新来保持对垃圾邮件的控制,因此它可以保护您的组织,而不会增加您的工作量。
6.MicrosoftForefrontSecurityforExchangeServer.除了提供以下描述的全面防病毒保护,该功能一天之内会对病毒信号,IP信誉服务和反垃圾过滤器进行数次更新。
使您的用户远离病毒
对于onsite反病毒保护,反病毒软件提供商和客户可以从ExchangeServer2007提供的新的传输代理API中获益[K17]。
通过该API,软件提供商可以编写反病毒代理来与Exchange内建的传输代理直接交互。
因为信息是通过边缘传输服务器或中心传输服务器进入组织的,传输服务器可以调用反病毒代理来检查信息并过滤那些包含病毒的信息。
图3:
使用MicrosoftForefrontSecurityforExchangeServer进行防病毒保护
除了这一增强的可编程性,ExchangeServer2007还提供了全面的反病毒解决方案。
ForefrontSecurityforExchangeServer[†]为Exchange边缘传输角色、中心传输角色和邮箱角色提供了全面的前端防病毒保护。
ForefrontSecurityforExchangeServer使用带有内容过滤功能的多重扫描引擎,提供了层次化的保护来抵御带有病毒的信息。
在垃圾邮件和病毒到达您的组织之前进行防范
微软还可以通过Microsoft®
ExchangeHostedFiltering服务为您的组织提供反垃圾和反电子邮件病毒保护。
该服务是Microsoft®
ExchangeHostedServices(见附录A)服务套件的一部分,通过ExchangeHostedFiltering服务,您可以获得与使用了ForefrontSecurityforExchange的边缘服务器同样的效益,但是对这些服务的管理是由微软来完成的。
在信息到达您的组织之前会对它们进行垃圾邮件和病毒的清理。
图4:
S使用MicrosoftExchangeHostedFiltering服务进行反垃圾保护
ExchangeHostedFiltering使用多重过滤来主动保护,使您的企业远离垃圾邮件、病毒、网络钓鱼陷阱[h18]和违反政策的电子邮件[h19]的危害。
2.2 简化的信息安全管理
与早期版本的Exchange一样,ExchangeServer2007使用SMTP在组织内部的Exchange服务器之间传输信息。
但是对于ExchangeServer2007,所有在ExchangeServer2007组织中的信息默认都是加密的。
服务器与服务器间的传输使用安全传输层协议(TLS),Outlook的连接使用加密的远程过程调用(RPC),客户端访问(OutlookWebAccess,Microsoft®
ExchangeActiveSync®
和Web服务)使用安全套接层协议。
这种方法阻止了欺骗并保护了信息的机密性。
安全传输层协议
安全传输层协议(TLS)使用底层操作系统或应用服务器来处理安全特性。
ExchangeServer2007中组织内部的信息传输使用TLS。
安全套接层协议(SSL)是另一个公用的传输层方法,用于提供数据的加密。
Kerberos认证服务用来进行认证,简化的安全传输层协议用来进行加密。
TLS在ExchangeServer2007中进行了简化,因为它使用自身指定的SSL认证。
因为每一台Exchange服务器都使用一个SSL认证自动进行配置,内部的Exchange服务器不能仅用SSL对信息进行加密,但是如果外部SMTP服务器设置为使用TLS收发信息,那么这些信息也会被加密。
2.3 法规遵守[K20]
在今天的商业活动中,电子邮件通常是最常用且首选的沟通方式。
作为一个企业的资产,电子邮件必须要进行保护和管理。
政府和企业的决策者正在制定影响电子邮件及其资料的规定。
对这些政策和规定的强制实施称为遵守。
例如,美国政府已经制定了一些适当的规定如HIPAA[‡],该规定要求对包括电子邮件在内的与卫生保健相关的通讯方式进行安全处理以保护个人的隐私。
其它这样的规定包括Sarbanes-Oxley和SEC17a-4,要求对财政和核算资料进行特殊处理,对任何变化或修改记录文档。
ExchangeServer2007允许对企业的,政府的和合法的规定或政策通过复杂的电子邮件流程控制和政策引擎进行强制实施。
图5:
一封电子邮件的简单生命周期
对信息记录管理的解释
在您的组织中,可能有一些规定,限制和政策,定义了邮箱的最大容量,邮件删除后可以保留多久,某些文件夹可能还有时间限制。
这些政策放存在适当的位置,用于管理您组织中的电子邮件。
信息记录管理根据相应的政策和规则,定义了组织中一封电子邮件的生命周期。
在创建完一封电子邮件并且用户点击“发送”之后,该邮件可能会发生若干件事情。
很显然,该封邮件发送给了收件人。
除此之外,可能还有一些对该邮件的动作。
上图展示了一封电子邮件从一个用户发送到另一个用户,以及对该电子邮件采取的各种动作,包括:
1.已发送邮件.默认情况下,每一封发送的邮件都会保留一份副本在已发送邮件文件夹中。
2.已删除邮件.多数邮件从收件箱中删除。
删除的邮件缺省移动到已删除邮件文件夹。
3.已删除邮件保留.当用户将邮件从已删除邮件夹中删除后,邮件可以根据在Exchange服务器的已删除邮件保留策略中的设置保留一段时间(默认14天),邮件在保留期过后才真正从用户的邮箱中删除。
4.邮件传输记录.满足相应条件的邮件在传输过程中可以被发送到任何具备接受SMTP电子邮件功能的场所进行归档。
一个归档邮件包含了邮件的副本以及相关的元数据。
5.受控文件夹邮件记录.受控文件夹(本文后续章节将对受控文件夹进行详细说明)中的邮件同样可以被发送到任何具备SMTP电子邮件接收功能的场所(比如SharePointServer2007)进行归档,。
6.备份.在邮件备份过程中也会进行复制。
邮件备份数据通常被用来进行灾难恢复,但也可以帮助用户找回那些由于种种原因被删除或者丢失的邮件。
图6:
可以使用向导创建传输规则
一封电子邮件的生命周期从它被创建那一刻开始,到它所有的副本都被删除为止。
用户可以在邮件的整个生命周期对对邮件的处理进行管理,根据组织或政府管理规定来定义相应规则。
单纯的邮件发送和接收是反映了一个简单的邮件生命周期。
通过部署ExchangeServer2007,用户可以方便地管理组织的邮件的生命周期来满足法定信息披露和法规遵循方面的要求。
通过传输规则来应用策略
Exchange管理员可以在ExchangeServer2007中定义满足企业制度要求的邮件传输规则。
满足相应传输规则的邮件在传输的过程中会受传输规则影响,系统会对该邮件采取相应操作。
规则可以根据邮件发件人,收件人或元数据(比如邮件中的一个词或短语)或邮件分类来制定。
诸如机密邮件或私人邮件等邮件分类可以由用户设定或者由设置如。
传输规则中经常使用的规则是伦理墙[h21],当需要对同一组织中用户之间的通讯进行管理时使用该规则。
您可以定义一个规则,当邮件在用户间或在用户组间发送时采取某一动作。
可以采取这些动作:
丢弃该邮件,返回一个未发送报告,去除附件,修改该邮件,记录该邮件,发送该邮件的一份副本到法规遵循管理人员[h22]那里等等。
例如,可以用一个传输规则来管理一个组织中的市场分析师和经纪人之间的通信,因为这两个组的通讯就应该被监控或者说它们之间本来就不应该进行通讯。
规则还可以定义为根据邮件分类采取动作。
在ExchangeServer2007中,除了使用传输规则自身指定的分类之外,用户还可以在多种邮件分类中进行选择。
例如,所有发往企业法律顾问的邮件都可以归类为机密邮件。
机密邮件的归档可以不同于普通邮件,或者可以不被搜索到。
受控文件夹
在邮件到达用户的收件箱后,该邮件便脱离了传输规则的管理范围,此时就需要通过应用文件夹级别的规则来满足政策和法规遵循的要求了。
ExchangeServer2007引入了受控文件
升级会员 