Exchange2013方案及報(bào)價(jià)

1、企業(yè)郵箱Exchange 2013自建解決方案建議書(shū)2014年6月目錄1. Exchange 2013 架構(gòu)介紹 .11.1. 郵件系統(tǒng)方案架構(gòu) .11.1.1. Active Directory 活動(dòng)目 .11.1.2 公鑰基礎(chǔ)架構(gòu) .21.1.3 系統(tǒng)角色架構(gòu) .21.1.4 數(shù)據(jù)庫(kù)可用性組技術(shù) .41.1.5 合規(guī)性 . .52.方案設(shè)計(jì) .5 2.1 項(xiàng)目背景.5 2.2 設(shè)計(jì)原則.6 2.3 郵局 300 人自建架構(gòu).7 2.3.1 可擴(kuò)展性.7 2.3.2 500 人郵局?jǐn)U展.8 2.4 硬件規(guī)劃.9 2.5防病毒及垃圾郵件過(guò)濾.9 2.6軟件規(guī)劃.93. 方案優(yōu)勢(shì).103.1 高

2、安全性.103.1.1 訪問(wèn)安全.103.1.2 郵箱空間安全限制.113.2統(tǒng)一性.114. 相關(guān)報(bào)價(jià).121. Exchange 2013 架構(gòu)介紹1.1. 郵件系統(tǒng)方案架構(gòu)Exchange Server 2013 相比早先版本更加專(zhuān)業(yè)化。在 Exchange 2003 中，服務(wù)器上運(yùn)行的軟件可配置為前端代理或郵件服務(wù)器。在 Exchange 2007 中，服務(wù)器可以配置為一個(gè) 5 角色：傳輸中心（HUB）、郵箱(Mailbox)、統(tǒng)一消息(Unified Messaging)、邊緣傳輸(Edge Transport)和客戶(hù)端訪問(wèn)(CAS)。 Exchange Server 2013 仍然

3、扮演了五個(gè)角色。然而，客戶(hù)端訪問(wèn)服務(wù)器的職能得到了加強(qiáng)。它成為一個(gè)真正的中間層架構(gòu)，為 Outlook 和 Outlook 網(wǎng)頁(yè)存取處理所有的數(shù)據(jù)翻譯和轉(zhuǎn)換。服務(wù)器角色功能和安裝代碼相互獨(dú)立，可以安裝在同一臺(tái)服務(wù)器上，也可以分角色進(jìn)行分布式的安裝。1.1.1. Active Directory 活動(dòng)目錄Active Directory 活動(dòng)目錄由一或多臺(tái)服務(wù)器組成，提供全局的人員帳戶(hù)和資源的管理，并提供郵件服務(wù)器必須的服務(wù)功能，其信息在各機(jī)構(gòu)之間自動(dòng)實(shí)現(xiàn)同步。在基于Windows Server 2008 R2版搭建的系統(tǒng)環(huán)境中設(shè)置 Active Directory，Exchange Serve

4、r 2013 將所有配置信息和收件人信息存儲(chǔ)在 Active Directory 目錄服務(wù)數(shù)據(jù)庫(kù)中。當(dāng)運(yùn)行 Exchange 2013 的計(jì)算機(jī)需要有關(guān)收件人的信息和有關(guān) Exchange 組織配置的信息時(shí)，它必須查詢(xún) Active Directory 以訪問(wèn)這些信息。 Active Directory 服務(wù)器必須對(duì) Exchange2013 可用，系統(tǒng)才能正常工作。郵箱服務(wù)器角色將有關(guān)郵箱用戶(hù)和存儲(chǔ)的配置信息存儲(chǔ)在1.1.2. 公鑰基礎(chǔ)架構(gòu)為了在互聯(lián)網(wǎng)上識(shí)別訪問(wèn)的用戶(hù)和保證通訊的安全，郵件服務(wù)器通常會(huì)啟用基于證書(shū)的加密。常見(jiàn)的郵件服務(wù)器證書(shū)可以自頒發(fā)或者由證書(shū)頒發(fā)中心（CA）進(jìn)行集中的頒發(fā)。

5、考慮到今后的系統(tǒng)擴(kuò)展性，本次項(xiàng)目建議建設(shè)一個(gè)和活動(dòng)目錄緊密聯(lián)系的證書(shū)頒發(fā)中心。其優(yōu)點(diǎn)在于：證書(shū)由 CA 統(tǒng)一進(jìn)行頒發(fā)，用戶(hù)計(jì)算機(jī)不用頻繁進(jìn)行證書(shū)的導(dǎo)入操作，只需要導(dǎo)入基本的根證書(shū)到信任證書(shū)頒發(fā)機(jī)構(gòu)存儲(chǔ)。有許多系統(tǒng)能夠與證書(shū)的 PKI 架構(gòu)協(xié)作，構(gòu)建成多因子驗(yàn)證手段，以適合各種不同的安全需求。例如用于存儲(chǔ)證書(shū)的 USB Key?；蛘呤褂弥讣y掃描等設(shè)備的多因子系統(tǒng)。1.1.3. 系統(tǒng)角色架構(gòu)Exchange 2013 按功能邏輯，分為下列角色服務(wù)器：l 郵箱服務(wù)器（MailBox） 此服務(wù)器承載郵箱和公用文件夾。l 客戶(hù)端訪問(wèn)服務(wù)器（CAS）此服務(wù)器供各類(lèi)客戶(hù)端訪問(wèn)，支持各種協(xié)議，如 POP3、I

6、MAP4、HTTP、HTTPS、Outlook Anywhere。l統(tǒng)一消息服務(wù)器（ UM） 此服務(wù)器將專(zhuān)用交換機(jī) (PBX)系統(tǒng)連接到Exchange 2013 ，提供對(duì)外語(yǔ)音服務(wù)。l中心傳輸服務(wù)器（HUB） 此服務(wù)器負(fù)責(zé) Exchange 組織內(nèi)郵件的郵件路由。l邊緣傳輸服務(wù)器（EDGE）此服務(wù)器通常位于拓?fù)涞耐鈬?，并?fù)責(zé)路由 Exchange 組織進(jìn)出郵件，可以用于增強(qiáng)反垃圾郵件保護(hù)和防病毒保護(hù)。下圖簡(jiǎn)單描述了 Exchange 系統(tǒng)的郵件收發(fā)傳遞路徑：郵件流示意圖1.1.4. 數(shù)據(jù)庫(kù)可用性組技術(shù)數(shù)據(jù)庫(kù)可用性組技術(shù)使 Exchange Server 2013 在高可用性方面得到進(jìn)一步簡(jiǎn)化

7、與完善，借助于多臺(tái)服務(wù)器間的連續(xù)復(fù)制，可為用戶(hù)提供高可用性的 Exchange 郵箱。這看似只是一項(xiàng)簡(jiǎn)單的改進(jìn)，但實(shí)際上，與前代版本相比，這是一個(gè)非常大的進(jìn)步，它使用戶(hù)無(wú)需借助復(fù)雜的技術(shù)與高昂的設(shè)備，就可以獲得高可用性。 數(shù)據(jù)庫(kù)級(jí)的復(fù)制為了支持 DAG 的新功能， Exchange Server 2013 數(shù)據(jù)庫(kù)已遷移到組織級(jí)，而不是Exchange 2007或早期版本的服務(wù)器級(jí)。Exchange Server 2013中不存在存儲(chǔ)組的概念?，F(xiàn)在，每個(gè)數(shù)據(jù)庫(kù)都有一個(gè)日志流與數(shù)據(jù)庫(kù)相關(guān)聯(lián)。Exchange 2007 中的 CCR 的一個(gè)缺點(diǎn)是：如果主動(dòng)節(jié)點(diǎn)的一個(gè)數(shù)據(jù)庫(kù)出現(xiàn)故障，群集郵箱服務(wù)器上現(xiàn)

8、有的所有活動(dòng)數(shù)據(jù)庫(kù)的故障都將轉(zhuǎn)移到被動(dòng) CCR 節(jié)點(diǎn)。如果這個(gè)節(jié)點(diǎn)上的用戶(hù)有郵箱存儲(chǔ)于各自的群集郵箱服務(wù)器 (ClusterMailbox Server，CMS)，他們都將受到影響。 每個(gè) DAG 支持多達(dá) 16 個(gè)成員同 Exchange 2007 相比，Exchange Server 2013 可以支持更多的郵箱數(shù)據(jù)庫(kù)，用戶(hù)最多可以添加 16 個(gè)郵箱服務(wù)器到一個(gè) DAG，并可能保存 16 個(gè)郵箱數(shù)據(jù)庫(kù)副本。因此，Exchange Server 2013 企業(yè)版支持的郵箱數(shù)據(jù)庫(kù)最高限額已從 50 個(gè)上調(diào)至 100 個(gè)。但標(biāo)準(zhǔn)版目前仍然只支持每個(gè)郵箱服務(wù)器最多 5 個(gè)數(shù)據(jù)庫(kù)。 切換/故障轉(zhuǎn)移較

9、以前更為快速有賴(lài)于 Exchange Server 2013 DAG 的改進(jìn)，現(xiàn)在，郵箱數(shù)據(jù)庫(kù)副本間的切換/故障轉(zhuǎn)移更為快速。同 Exchange 2007 下采用 CCR 動(dòng)輒就需要數(shù)分鐘相比，目前所用時(shí)間往往在 30稱(chēng)之內(nèi)。此外，由于 Outlook MAPI 客戶(hù)端連接客戶(hù)端訪問(wèn)服務(wù)器的 RPC 客戶(hù)端訪問(wèn)服務(wù)，因此最終用戶(hù)很少會(huì)注意到切換或故障轉(zhuǎn)移的發(fā)生1.1.5. 合規(guī)性Exchange 2013 提供了新的集成電子郵件歸檔和保留功能，包括詳細(xì)的多郵箱搜索和即時(shí)合法保留，更有效的攔截、仲裁、加密和阻止電子郵件的能力。此功能提供了范圍靈活的保護(hù)和控制選項(xiàng)以及是否自動(dòng)強(qiáng)制執(zhí)行控制或授予用

10、戶(hù)實(shí)現(xiàn)其數(shù)據(jù)保護(hù)的權(quán)限。2. 方案設(shè)計(jì)（200 人為例）2.1. 項(xiàng)目背景企業(yè)現(xiàn)有郵局為263企業(yè)郵箱。該郵箱目前無(wú)法滿(mǎn)足公司高速發(fā)展的需求。公司準(zhǔn)備自建 Exchange 郵箱系統(tǒng)服務(wù)，目前人數(shù)為 300 人。正因?yàn)樯鲜鲈蚣皹I(yè)務(wù)發(fā)展考慮，部署當(dāng)前在市場(chǎng)上處于領(lǐng)導(dǎo)地位且性?xún)r(jià)比極高的微軟Exchange 2013 郵件系統(tǒng)。2.2. 設(shè)計(jì)原則本系統(tǒng)的設(shè)計(jì)過(guò)程將嚴(yán)格遵循下列原則： 先進(jìn)性堅(jiān)持采用目前主流的軟硬件技術(shù)為基本原則。在滿(mǎn)足性能指標(biāo)的前提下，選擇成熟的微軟 Exchange 產(chǎn)品，提供最佳的解決方案。以先進(jìn)、成熟的技術(shù)進(jìn)行方案設(shè)計(jì)及實(shí)施。 可擴(kuò)展性良好的擴(kuò)展性在項(xiàng)目完成初期是以增加少量成

11、本為代價(jià)的，但沒(méi)有擴(kuò)充性在項(xiàng)目運(yùn)營(yíng)后不久是以設(shè)備大量報(bào)廢為代價(jià)的。要在理想化和利用率兩端為擴(kuò)充性找到一個(gè)平衡點(diǎn)。根據(jù)用戶(hù)量和電子郵件數(shù)量的增長(zhǎng)和變化，系統(tǒng)可以平滑地?cái)U(kuò)展和升級(jí)，無(wú)需變動(dòng)系統(tǒng)架構(gòu)和現(xiàn)有設(shè)備。 安全性系統(tǒng)安全性是項(xiàng)目建設(shè)的基礎(chǔ)，因此需要通過(guò)使用如用戶(hù)訪問(wèn)控制、身份鑒別、收發(fā)確認(rèn)、郵件過(guò)濾、數(shù)據(jù)加密等手段，提供可靠的安全管理措施以便保護(hù)系統(tǒng)安全。同時(shí)，在防病毒，反垃圾郵件上本方案也作了充分的考慮。 規(guī)范性電子郵件系統(tǒng)設(shè)計(jì)中，要符合國(guó)際相應(yīng)的標(biāo)準(zhǔn)，保證電子郵件系統(tǒng)能和外界其它的電子郵件系統(tǒng)很好的溝通。同時(shí)，系統(tǒng)的設(shè)計(jì)還需要滿(mǎn)足系統(tǒng)設(shè)計(jì)方面的規(guī)范和標(biāo)準(zhǔn)，使整個(gè)系統(tǒng)能按照相應(yīng)的標(biāo)準(zhǔn)擴(kuò)展，滿(mǎn)

12、足未來(lái)電子郵件系統(tǒng)處理量、以及未來(lái)在電子郵件系統(tǒng)上建立其它系統(tǒng)的需要。2.3. 郵局 300 人自建架構(gòu)基于貴公司對(duì)于硬件投資規(guī)劃，實(shí)現(xiàn)完整的 Exchange2013 郵箱功能。該架構(gòu)針對(duì)目前貴公司 300 人所涉及，同時(shí)滿(mǎn)足可擴(kuò)展性，在今后可靈活擴(kuò)展到冗余、高可用性的環(huán)境。Exchange Server 2013 服務(wù)器架構(gòu)參考整個(gè)貴公司的數(shù)據(jù)中心 Exchange Server 2013 服務(wù)器架構(gòu)由 1 臺(tái)服務(wù)器構(gòu)成：1 臺(tái)用于郵箱服務(wù)器，提供郵箱存儲(chǔ)， 郵件傳輸，客戶(hù)端訪問(wèn)服務(wù)等功能。1 臺(tái) AD 域控制器，對(duì)用戶(hù)登錄身份驗(yàn)證。域控制器和郵件服務(wù)器為同一臺(tái)服務(wù)器.2.3.1. 可擴(kuò)展

13、性ll 系統(tǒng)最多到 16 節(jié)點(diǎn)的郵箱群集支持，可平滑支持更大規(guī)模的郵件系統(tǒng)，確保和您的業(yè)務(wù)能力同步擴(kuò)展；ll 通過(guò)標(biāo)準(zhǔn)的 SMTP 調(diào)用或使用 MAPI 接口編程，可進(jìn)行用戶(hù)個(gè)性化定制開(kāi)發(fā)；ll 第三方廠商能夠利用 Exchange Server 2013 提供的防病毒編程接口開(kāi)發(fā)專(zhuān)門(mén)的防病毒產(chǎn)品.2.3.2. 500 人郵局?jǐn)U展隨著公司業(yè)務(wù)的發(fā)展，規(guī)模的壯大，同時(shí)對(duì)郵件系統(tǒng)的依賴(lài)程度及高可用的需求也隨之增加，當(dāng)前的架構(gòu)的易擴(kuò)展性使得企業(yè)能隨時(shí)的調(diào)整架構(gòu)以滿(mǎn)足公司發(fā)展需要。以下結(jié)構(gòu)按擴(kuò)展可滿(mǎn)足 500 人的郵件系統(tǒng)要求，并提供高可用性。2.4. 防病毒及垃圾郵件過(guò)濾梭子魚(yú)反垃圾及病毒郵件防火墻

14、是軟硬件集成的解決方案，幫助郵件系統(tǒng)抵御最新的垃圾郵件、病毒郵件、欺詐性郵件、釣魚(yú)郵件、間諜程序郵件等各類(lèi)郵件威脅。梭子魚(yú)提供強(qiáng)大、易用、高性?xún)r(jià)比的反垃圾及病毒郵件解決方案，滿(mǎn)足各類(lèi)企業(yè)在當(dāng)前復(fù)雜的互聯(lián)網(wǎng)環(huán)境下垃圾郵件防護(hù)需求。2.5. 軟件規(guī)劃實(shí)現(xiàn)本方案中建議的基礎(chǔ)結(jié)構(gòu)和郵件系統(tǒng)平臺(tái)，貴公司需要購(gòu)買(mǎi)下列軟件產(chǎn)品和許可證：解決方案類(lèi)型軟件數(shù)量Exchange2013 服務(wù)器Exchange Server 2013 企業(yè)版1Exchange Server 2013 標(biāo)準(zhǔn)版客戶(hù)端授權(quán)3002.6. 硬件規(guī)劃實(shí)現(xiàn)本方案中建議的基礎(chǔ)結(jié)構(gòu)和郵件系統(tǒng)平臺(tái)，貴公司需要準(zhǔn)備下列硬件設(shè)備：硬件配置數(shù)量Excha

15、nge2013 服務(wù)器1顆（64 位）處理器，四核，16G 內(nèi)存, 硬盤(pán)（根據(jù)實(shí)際需要）13. 方案優(yōu)勢(shì)3.1. 高安全性該郵局系統(tǒng)對(duì)安全性問(wèn)題予以高度重視，從操作系統(tǒng)層，網(wǎng)絡(luò)層，應(yīng)用層每個(gè)層次都有相應(yīng)的措施。系統(tǒng)運(yùn)用了 SMTP-Auth，PKI，SSL，S-MINE，反垃圾郵件，防病毒，防火墻等技術(shù)以解決傳輸安全，系統(tǒng)安全和郵件信息安全的需求。3.1.1. 訪問(wèn)安全1. 信箱用戶(hù)不是系統(tǒng)用戶(hù)，不具有進(jìn)入郵件服務(wù)器操作系統(tǒng)權(quán)限；2. 郵件訪問(wèn)入口（Web、客戶(hù)端、智能終端）到郵局系統(tǒng)的連接都是 PKI 證書(shū)加密，可以阻擋惡意監(jiān)控軟件的嗅探，防止郵件信息的泄漏；3. 信箱用戶(hù)的密碼要符合 AD 的安全強(qiáng)度認(rèn)證，且在登錄時(shí)，可要求必須修改舊密碼，杜絕信箱初始化密碼遺忘修改造成的安全隱患；4. 郵局系統(tǒng)結(jié)構(gòu)也保證了訪問(wèn)安全，提供了專(zhuān)門(mén)的客戶(hù)端訪問(wèn)服務(wù)器，分隔郵局系統(tǒng)各服務(wù)器。5. 郵局系統(tǒng)各角色服務(wù)器直接的傳輸連接，也使用 PKI 證書(shū)進(jìn)行加密，確保郵件傳輸安全。3.1.2. 郵箱空間安全限制郵局系統(tǒng)對(duì)郵箱空間的管理，可對(duì)郵箱容量設(shè)制安全策略，當(dāng)出現(xiàn)下列情況時(shí)，會(huì)發(fā)配額郵件通知信箱所有人進(jìn)行相關(guān)處理。l 郵箱、個(gè)人存檔或公用文件夾超過(guò)其“發(fā)出警告”限制（最低存儲(chǔ)配額）。l 郵箱超過(guò)其“禁止發(fā)送”限制或公用