設計Exchange環(huán)境下的web方式郵箱訪問-論文

1、設計Exchange環(huán)境下的web方式郵箱訪問摘 要當今，企業(yè)擁有自己域名的郵件系統(tǒng)，能夠提升其企業(yè)形象提高知名度，最關鍵的是使企業(yè)的運作更具效率。Exchange 作為現(xiàn)代企業(yè)的電子郵件服務器得到的廣大企業(yè)的厚愛。它提供了多種網(wǎng)絡收取郵件的方式。OWA就是一種非常適合移動用戶的使用，對于長期在外工作的人員來說，OWA收發(fā)郵件非常方便和便捷。本課題郵件系統(tǒng)的設計，是以中小型企業(yè)為背景，利用Windows Server 2003，Microsoft Exchange Server 2007等軟件，在虛擬機環(huán)境下，根據(jù)企業(yè)郵件服務器拓撲結構，從企業(yè)的實際需求出發(fā)設計實施完成。在Windows Se

2、rver 2003服務器系統(tǒng)中成功部署域控制器并安裝了Exchange Server 2007，具體實現(xiàn)了利用WEB瀏覽器即可通過OWA方式訪問郵箱，并使用SSL提供用戶端到服務器的安全連接，同時使用數(shù)字證書保障了企業(yè)信息的安全。關鍵字 電子郵件系統(tǒng)；企業(yè)郵箱；Exchange Server; Outlook Web AccessDesign of the web mail access under the Exchange environmentAbstractNowadays, the enterprises have their own domain name of mail syste

3、m, can enhance the corporate image and improve visibility. The key is to make the operation more efficient. Exchange, as a modern enterprise email server, is getting the support of majority of enterprises. It provides variety of ways to send or receive email from Internet. OWA is a very suitable for

4、 mobile users, for long-term work outside of the staff, using OWA is very easy and convenient. The design of the e-mail system is based on small and medium enterprises as the background. According to enterprise email Server topologies, using Windows Server 2003, Microsoft Exchange Server 2007 at the

5、 virtual machine environment then designed and implemented from actually requirement of the company.Successfully deployed domain controller and installed Exchange Server 2007 in Windows Server 2003 Server system, and the concrete implementation using a WEB browser can through, OWA access to email. T

6、he specific realization of using WEB browser to access email through OWA, and use the SSL provides a secure connection to the server, using the digital certificate guarantees the security of enterprise information.Keywords Electronic mail system; Enterprise email; Exchange Server; Outlook Web Access

7、目 錄第1章 緒論11.1 課題研究的背景11.2 課題研究的目的和意義1第2章 郵件系統(tǒng)22.1 郵件系統(tǒng)介紹22.1.1 郵件系統(tǒng)的組成22.1.2 常見的郵件協(xié)議22.1.3常見的企業(yè)郵件產(chǎn)品32.2 當前主流企業(yè)郵件系統(tǒng)比較32.3 Exchange郵件系統(tǒng)簡介以及特性5第3章 郵件系統(tǒng)設計目標、需求以及可行性分析73.1 郵件系統(tǒng)設計總體目標73.2 中小企業(yè)對郵件系統(tǒng)的需求73.3 對現(xiàn)有硬件、軟件技術以及經(jīng)濟可行性分析83.3.1 硬件技術要求83.3.2 軟件技術要求83.3.3 經(jīng)濟可行性9第4章 企業(yè)郵件系統(tǒng)總體規(guī)劃與設計104.1 物理結構設計104.2邏輯結構設計11第

8、5章 企業(yè)郵件系統(tǒng)具體設計及部署方案125.1域控制器設計125.1.1 域控制器的作用125.1.2 域控制器設計與安裝125.2活動目錄設計135.2.1 活動目錄簡介135.2.2 郵件系統(tǒng)與活動目錄的關系145.2.3 活動目錄設計與安裝145.3 DNS設計155.3.1 DNS 在郵件系統(tǒng)中的作用155.3.2 DNS設計與安裝155.4 Exchange下的Outlook Web Access設計175.4.1 Outlook Web Access簡介175.4.2 Exchange設計與安裝185.4.3 Outlook Web Access設計與安裝205.4.4 設計使用S

9、SL訪問OWA245.4.5 設計使用OWA發(fā)送加密郵件26第6章 驗證、測試基于Exchange的OWA訪問方式296.1 建立測試基礎環(huán)境296.2 測試郵件系統(tǒng)29第7章 設計中遇到的問題以及想法337.1 設計物理結構遇到的問題337.2 安裝郵件服務器遇到的問題33結 論34致 謝35參 考 文 獻36附錄 A 譯文37關于 Microsoft Exchange Server 200737附錄 B 外文原文45About Microsoft Exchange Server 200745第1章 緒論1.1 課題研究的背景隨著時代的發(fā)展，無紙化辦公越來越受到企業(yè)的青睞。眾所周知，在當今的

10、企業(yè)中，電子郵件因為其最有效、最直接和成本最低的功用成為現(xiàn)代企業(yè)最常用的互聯(lián)網(wǎng)通訊工具。電子郵件在企業(yè)中扮演著越來越重要的角色。正因為如此，企業(yè)通常會在內部架設自己的郵件服務器用來滿足內部員工的通信要求，但出于安全和技術方面的原因，登錄和訪問郵件系統(tǒng)往往也會被限制在企業(yè)內部。隨著企業(yè)的不斷發(fā)展壯大以及全球化進程的加快，僅僅依靠電子郵件系統(tǒng)傳遞郵件已經(jīng)無法滿足企業(yè)的需求，與此同時，長期在外工作的員工與日俱增，單一的訪問方式以及對工作環(huán)境的依賴，嚴重阻礙了企業(yè)與員工之間的通信，使得企業(yè)運作效率低下。然而企業(yè)有必要利用互聯(lián)網(wǎng)帶來的強大功能提供更為優(yōu)質，便捷的商業(yè)服務，所以如何使得郵件系統(tǒng)發(fā)揮其更大的

11、效能，是企業(yè)迫在眉睫需要解決的事情。1.2 課題研究的目的和意義為了解決傳統(tǒng)電子郵件系統(tǒng)使得企業(yè)運作效率低下，信息保密性差的困擾，企業(yè)必須設計規(guī)劃更具效能的電子郵件系統(tǒng)。Exchange Server 是個企業(yè)信息平臺，其最主要的功能就是收發(fā)郵件，與其他電子郵件系統(tǒng)不同的是，它不僅僅是個電子郵箱系統(tǒng)，它還具有個人行程規(guī)劃提醒、日歷信息共享、工作流等企業(yè)高級功能，特別的是它提供了多途徑訪問的功能，其中備受矚目的是Exchange的Web訪問郵箱的方式，訪問者只需要一臺可以上網(wǎng)的電腦和一個Web瀏覽器就可以輕松便捷安全地在世界各地訪問企業(yè)郵箱系統(tǒng)，而不需要一個特定的office辦公環(huán)境，大大降低了

12、訪問成本，提高了工作效率，給長期在外工作的員工提供了便捷。第2章 郵件系統(tǒng)2.1 郵件系統(tǒng)介紹2.1.1 郵件系統(tǒng)的組成電子郵件系統(tǒng)由用戶代理MUA（Mail User Agent）以及郵件傳輸代理MTA（Mail Transfer Agent）,MDA（Mail Delivery Agent）郵件投遞代理組成，MUA指用于收發(fā)Mail的程序，MTA指將來自MUA的信件轉發(fā)給指定用戶的程序，MDA就是將MTA接收的信件依照信件的流向將該信件放置到本機賬戶下的郵件文件中，當用戶從 MUA 中發(fā)送一份郵件時，該郵件會被發(fā)送送到MTA，而后在一系列MTA中轉發(fā)，直到它到達最終發(fā)送目標為止，如圖2.1

13、所示。圖2.1 電子郵件系統(tǒng)運行過程2.1.2 常見的郵件協(xié)議（1）SMTP（郵件傳輸協(xié)議）是傳輸電子郵件的標準協(xié)議，默認使用TCP的25號端口，規(guī)定了郵件系統(tǒng)傳輸電子郵件的標準交換格式，以及郵件的信息機制，通常用于把郵件從客戶端傳到服務器，或者從服務器傳到客戶端。（2）POP3（郵局協(xié)議，第3版）POP3是一種離線郵件協(xié)議，采用client/server的工作模式，默認使用TCP的110號端口?？蛻舳诵枰諘r，MUA將與POP3服務器建立TCP連接，經(jīng)過POP3協(xié)議的三種工作狀態(tài)收取郵件。首先是身份驗證過程，然后是處理狀態(tài)，用戶收取自己的郵件，完成響應的操作后客戶機離線，最后是更新狀態(tài)。（

14、3）IMAP4（網(wǎng)際消息訪問協(xié)議，第四版）允許用戶使用電子郵件程序訪問郵件服務器上電子郵件，默認使用TCP的143號端口?？梢宰層脩粲行У膹亩嗯_計算機上獲取信息，同時提供一種機制讓客戶能感知當前連接到這個郵箱的其他用戶所做的操作用戶可以有選擇的下載電子郵件，甚至只下載郵件的部分內容。（4）MIME（多用途網(wǎng)際郵件擴展）它設計的最初目的是為了在發(fā)送電子郵件時附加多媒體數(shù)據(jù)，讓郵件客戶程序能根據(jù)其類型進行處理。然而當它被HTTP協(xié)議支持之后，它的意義就更為顯著了。它使得HTTP傳輸?shù)牟粌H是普通的文本，而變得豐富多彩。MIME增強了郵件報文的交換能力，允許傳輸二進制數(shù)據(jù)。2.1.3常見的企業(yè)郵件產(chǎn)品

15、（1）SendmailSendmail作為一種免費的郵件服務器軟件，已被廣泛的應用于各種服務器中，它在穩(wěn)定性、可移植性、及確保沒有bug等方面具有一定的特色，且可以在網(wǎng)絡中搜索到大量的使用資料。（2）Qmail作為Linux下面主流的郵件系統(tǒng)內核，大量著名的商業(yè)郵件系統(tǒng)都是在Qmail內核下開發(fā)，比如Hotmail等。Qmail具有安裝方便、安全性高、郵件結構合理等強大的功能。（3）Exchange ServerExchange 2007包含了眾多新增和改進特性這些特性讓Exchange 2007成為了具有高度生產(chǎn)力和面向移動訪問的理想消息和協(xié)作服務器平臺。Exchange 2007可提供具有

16、一流安全性和隱私性的移動、遠程和桌面電子郵件訪問。（4）Lotus DominoLotus Notes是一個世界領先的企業(yè)級通訊、協(xié)同工作及Internet/Intranet平臺具有完善的工作流控制、數(shù)據(jù)庫復制技術和完善可靠的安全機制。2.2 當前主流企業(yè)郵件系統(tǒng)比較（1）當前主流的郵件系統(tǒng)Unix/Linux環(huán)境：主要以開源產(chǎn)品為主，如Sendmail、Qmail。Microsoft：主要產(chǎn)品是Exchange郵件系統(tǒng)。IBM：主要產(chǎn)品是Lotus Domino郵件系統(tǒng)。（2）主流郵件系統(tǒng)使用性Sendmail：實用M4語法，單一的主配置文件晦澀難懂。Qmail：配置文件格式簡單，但其有配置

17、文件數(shù)量比較多Exchange：圖形化見面配置，簡單且易于管理。Domino：獨有的郵件存儲和安全機制，安全性和穩(wěn)定性高。（2）主流郵件系統(tǒng)維護性Sendmail、Qmail：要求對Unix或Linux操作熟練，以及其字符性的配置文件熟悉，維護成本比較大。Exchange：對Windows NT活動目錄熟悉，且圖形化界面，維護成本比較低。Domino：支持Windows，Linux及Unix平臺，部署靈活。（3）主流郵件系統(tǒng)安全性Sendmail：在大多數(shù)系統(tǒng)中以root身份運行，一旦出現(xiàn)問題，就會對系統(tǒng)安全造成嚴重影響，安全性較差。Qmail:只有必要程序才以root身份運行，安全性較高。E

18、xchange：可以指定單獨的Exchange管理員，能夠使用微軟集群技術保障可用性。Domino：特有的Id加密與證書驗證，同時支持第三方CA證書，可以使用Domino集群技術保障可用性（4）主流郵件系統(tǒng)穩(wěn)定性Sendmail：穩(wěn)定性較差，如果郵件較多時就要花費相當長的時間。Qmail：有許多不同功能的小程序組成，穩(wěn)定性較高。Exchange：穩(wěn)定性一般，超過500用戶時，收發(fā)信的效率下降。Domino：穩(wěn)定性較強，Windows平臺單服務器可支持同時在用600用戶。（5）主流郵件系統(tǒng)處理吞吐率Sendmail：其結構不適合較大的負載，并且以單進程向外發(fā)送郵件，效率不高。Qmail：可以啟動

19、某個模塊的多個實例完成發(fā)送郵件任務，效率較高。Exchange：具有每秒處理500封郵件的高收發(fā)效率，效率較高。Domino：內部郵件通過Domino NRPC協(xié)議進行處理，效率較高。（6）主流郵件系統(tǒng)購置成本Sendmail、Qmail：免費軟件，但是缺乏廠家的技術支持，出現(xiàn)問題只能自己吃力解決。Exchange：費用不算很高，購買后可享受微軟的技術支持。Domino：費用相對很高，購買后可享受IBM原廠的技術支持。通過對主流郵件系統(tǒng)各項性能的總體評價（見表2.1），我們得出結論：Exchange相對于其他郵件系統(tǒng)，具有圖形化界面、維護成本低、成本較低、安全性高、處理吞吐率高的優(yōu)點，對于企業(yè)

20、來說，使用Exchange Server作為企業(yè)的郵件郵件系統(tǒng)是一個比較明智的選擇。表2.1 主流郵件系統(tǒng)各項性能對比2.3 Exchange郵件系統(tǒng)簡介以及特性Exchange Server是個消息與協(xié)作系統(tǒng)。簡單而言，Exchange server可以被用來構架應用于企業(yè)、學校的郵件系統(tǒng)甚至于像Sohu或Sina那樣的免費郵件系統(tǒng)。Exchange server還是一個協(xié)作平臺?？梢栽诖嘶A上開發(fā)工作流，知識管理系統(tǒng)，Web系統(tǒng)或者是其他消息系統(tǒng)。 Exchange郵件服務器在企業(yè)內提供高效的郵件服務，同時自動與其他外接系統(tǒng)通訊。郵件系統(tǒng)的訪問，可通過 Outlook, OWA 等客戶端軟

21、件。為了提高系統(tǒng)的性能，Exchange Server 采用前后端部署的方式。前端郵件服務器專門負責和Internet 進行外部郵件收發(fā)和OWA，能夠提高系統(tǒng)總體性能。后端郵件服務器則專門為內部用戶提供郵件、和其他協(xié)作服務。當內部用戶有郵件發(fā)往Internet 或者Internet 上有郵件發(fā)往內部用戶時，前后端郵件服務器之間能夠自動進行同步，因此用戶只會感覺到只有一個郵件服務器在工作，在提高性能的同時，不會影響易用性。如果需要提高系統(tǒng)的穩(wěn)定性和可用性，后端郵件服務器還可以采用Cluster 群集結構，就是兩臺服務器相互備份和同步，當其中一臺服務器意外崩潰以后，另外一臺會馬上接替工作，不會引起

22、服務中止。在Exchange 2007的部署設計中，主要以“角色”為基礎進行部署，這一方法不僅簡化了部署過程，隨著時間的推移，對Exchange的管理和對硬件的利用更加高效與簡捷、尤其是，增強系統(tǒng)的可伸縮性的維護。Exchange 2007中的服務器角色共分為5類（見圖2.2）：邊緣傳輸、集線器傳輸、整合通信、客戶端訪問與信件郵箱服務器等。其中除邊緣傳輸角色外，可以將多個角色或全部角色安裝到一個單獨的系統(tǒng)中。這是因為由于安全性的原因，在DMZ中運行邊緣傳輸角色的Exchange服務器不是Active Directory或Exchange組織的成員。另一個角色限制是聚集的郵箱服務器，它們只能由郵

23、箱服務器角色進行配置。圖2.2 Exchange 2007 5中服務器角色第3章 郵件系統(tǒng)設計目標、需求以及可行性分析3.1 郵件系統(tǒng)設計總體目標由于目前中小型企業(yè)存在著IT技術力量薄弱、競爭激烈、成本壓力等諸多因素的限制，設計應基于現(xiàn)有的計算機網(wǎng)絡系統(tǒng)，建設一個安全可靠、操作簡便、可擴展性強，開放的電子郵件平臺，滿足內外信息傳遞需求。3.2 中小企業(yè)對郵件系統(tǒng)的需求企業(yè)電子郵件及協(xié)作系統(tǒng)的建設對整個公司的信息化具有重要的意義，系統(tǒng)的選擇和設計對建成后的質量和作用起到舉足輕重的影響，為保證系統(tǒng)的廣泛使用和穩(wěn)定運行，企業(yè)對新系統(tǒng)的選擇和設計提出以下需求：（1）保障信息傳遞的高效性電子郵件系統(tǒng)作為

24、企業(yè)的核心信息系統(tǒng)，要保證每一封郵件都可以準確、快速地投遞到收件人的信箱中，即使在在訪問量非常大的情況下，仍然能夠保持較高的郵件處理速度，這對于企業(yè)的高效運轉起著至關重要的作用。（2）具有靈活的訪問方式利用任何一款Web瀏覽器即可在線處理電子郵件，通過人性化的界面可以實現(xiàn)在線收信、發(fā)信功能，電子郵件的自動轉發(fā)，方便內部員工進行信息交換，提高溝通效率使企業(yè)內部各部門的信息交流更加有效，特別適合兩地辦公的環(huán)境。（3）系統(tǒng)穩(wěn)定可靠、維護成本低企業(yè)郵箱能夠保證每天24小時不間斷提供服務，且具有圖形化的控制界面，即使初次使用，也可以快速找到并完成指定操作。管理員只需要定期備份郵箱數(shù)據(jù)即可，一旦遇到宕機等

25、緊急情況，能夠以最快捷有效地方式恢復正常運行。（4）功能性強、方便與其他客戶端軟件集成支持POP3/IMAP4/SMTP等多種標準EMAIL協(xié)議，能夠與其它電子郵件系統(tǒng)直接交換數(shù)據(jù)。支持Outlook、Foxmail等大多數(shù)郵件客戶端程序，滿足用戶不同的使用習慣。方便公司與客戶、供貨廠商、后勤廠商等進行大容量數(shù)據(jù)傳輸，提高商務協(xié)作效率。 （5）安全性高 采用SSL技術等加密技術，保證郵件的安全性。加強內部信息安全管理。一方面對于內部下達的各項指令可根據(jù)郵件進行追蹤，做到有案可查，另一方面，可以通過加密郵件的方式傳輸一些企業(yè)機密信息，防止信息在傳輸過程中被截獲破譯。3.3 對現(xiàn)有硬件、軟件技術以

26、及經(jīng)濟可行性分析3.3.1 硬件技術要求（1）域控制器域控制器是基于微軟的Windows Server 2003構建并且與DNS集成，通過對活動目錄的操作提供用戶賬戶管理以及對密碼驗證。主要功能是提供用戶身份驗證并對身份賦予相應的權限來訪問特定的資源。目前大多數(shù)主流的服務器都可以正常運行Windows Server 2003服務器操作系統(tǒng)。對于要求可靠性較高的企業(yè)可以增加備用域控制器提高冗余。（2）Exchange Server服務器安裝于Windows Server 2003上的郵件應用服務，主要用于用戶郵箱存儲、客戶端訪問，隨著用戶數(shù)量的增多，對于存儲、內存等要求也隨之遞增，對于生產(chǎn)環(huán)境的

27、Exchange郵件服務器，需要配備64位的CPU，可表現(xiàn)出較高的效率。3.3.2 軟件技術要求（1）Windows Server 2008 R2Windows Server 2008 R2具有可靠性、可用性、可伸縮性和安全性，通過安裝向導可以輕松部署所需要的服務，可以使用人性化的界面進行管理。（2）Active Directory活動目錄服務是Windows Server 2008 R2操作系統(tǒng)平臺的中心組件之一。Active Directory存儲了有關網(wǎng)絡對象的所有信息，并且讓管理員和用戶能夠輕松地查找和使用這些信息。Active Directory使用了一種結構化的數(shù)據(jù)存儲方式，并以此

28、作為基礎對目錄信息進行合乎邏輯的分層組織。（3）DNSDNS也是Windows Server 2008 R2操作系統(tǒng)平臺的中心組件之一。通過域名與IP地址對應的數(shù)據(jù)庫為用戶提供域名解析服務，方便用戶訪問互聯(lián)網(wǎng)。當網(wǎng)絡中安裝了域控制器時，它可以幫助用戶找到域控制器。（4）Exchange Server 2007Exchange是微軟推出的一款功能強大的郵件系統(tǒng)軟件，它具有易于管理、方便維護且穩(wěn)定，并具有高性能的特點，擁有良好的用戶接口與訪問界面，在中小型企業(yè)的郵件系統(tǒng)軟件中占有相當大的市場份額。因此，使用Exchange郵件系統(tǒng)作為中小企業(yè)的郵件平臺是非常理想的選擇。3.3.3 經(jīng)濟可行性使用E

29、xchange Server部署出來的郵件系統(tǒng)，整體系統(tǒng)架構較為簡單，只需要在企業(yè)原有網(wǎng)絡系統(tǒng)的基礎上，花少量的資金購買幾臺性能較好的服務器即可滿足需要，而軟件方面，大部分軟件已經(jīng)集成于Windows Server 2008 R2系統(tǒng)中，企業(yè)只需要購買服務器操作系統(tǒng)和Exchange Server郵箱系統(tǒng)應用程序即可，由于軟件都采用了同一家公司的產(chǎn)品，軟件兼容性會比較好，圖形化界面使得軟件更簡單易用，且對于授權微軟用戶，微軟都會為企業(yè)提供強大的技術支持，后期維護所花費的會相對較少，十分適合中小型企業(yè)部署郵件系統(tǒng)。第4章 企業(yè)郵件系統(tǒng)總體規(guī)劃與設計4.1 物理結構設計在企業(yè)網(wǎng)絡環(huán)境中，架設兩臺域

30、控制器。一臺作為主域控制器，主要負責用戶賬戶管理驗證以及用作DNS解析，另一臺作為備份域控制器，采用通知機制，從主域控制器復制信息，做到數(shù)據(jù)同步。在備份域控制器中安裝Exchange服務器，建立郵箱存儲，存儲所有用戶的郵箱以及配置信息，并負責接收客戶端傳來的訪問請求。在企業(yè)網(wǎng)絡邊緣使用防火墻保護內部網(wǎng)絡，防止從互聯(lián)網(wǎng)上發(fā)起的攻擊。由于域控制器對于企業(yè)網(wǎng)絡的正常運轉起著重要作用，將Exchange安裝到備份域控制器上，這樣既可以防止Exchange服務對企業(yè)域環(huán)境的影響，又可以提高企業(yè)域環(huán)境的可用性以及可靠性。在設計中，客戶端與Exchange服務器之間使用SSL技術進行加密，提供了數(shù)據(jù)通信的安

31、全性，并使用數(shù)字證書技術保證了郵件內容的加密性以及不可否認性，最高程度提升了安全性。如圖4.1所示圖4.1 郵件系統(tǒng)物理拓撲圖4.2邏輯結構設計現(xiàn)有一家公司radish，該公司總部設在上海，還有一家分公司在蘇州，由于公司剛起步，規(guī)模比較小，蘇州分公司員工也較少，所有服務器都架設在上?？偛?，蘇州分公司只提供較為基礎的網(wǎng)絡接入，在蘇州公司的員工主要通過Exchange提供的web訪問方式訪問位于上海總部的郵件服務器，而且出差員工也需要使用Web訪問郵件服務器，因此整個Exchange組織中需要建立兩個管理組，分別對應上海和蘇州。上海總部有總經(jīng)理以及IT部門。不管是總部還是分公司，都有以下部門：市場

32、部、人力資源部、財務部、銷售部等。在公司管理中可以分別在上海和蘇州管理組下建立相應的組織單元，管理各個部門的用戶賬戶，并為用戶分配相應權限。如圖4.2所示圖4.2 郵件系統(tǒng)邏輯拓撲圖第5章 企業(yè)郵件系統(tǒng)具體設計及部署方案5.1域控制器設計5.1.1 域控制器的作用域控制器中包含了由這個域的賬戶、密碼、屬于這個域的計算機等信息構成的數(shù)據(jù)庫。當電腦聯(lián)入網(wǎng)絡時，域控制器首先要鑒別這臺電腦是否是屬于這個域的，用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息有一樣不正確，那么域控制器就會拒絕這個用戶從這臺電腦登錄。不能登錄，用戶就不能訪問服務器上有權限保護的資源，他只能以對等網(wǎng)用戶的方式訪問Win

33、dows共享出來的資源，這樣就在一定程度上保護了網(wǎng)絡上的資源。Exchange使用域控制器來對登陸到郵件服務器的用戶進行識別，當驗證成功后便會為用戶打開郵箱，用戶變可以對郵件進行操作。5.1.2 域控制器設計與安裝（1）根據(jù)企業(yè)物理網(wǎng)絡拓撲圖，需架設兩臺域控制器，使用Windows Server 2008 R2操作系統(tǒng)架設。先對兩臺域控制器配置基礎網(wǎng)絡環(huán)境，由于備份域控制器既是域控又是Exchange郵件服務器，所以直接命名為mail，如表5.1，圖5.1，圖5.2所示。表5.1 服務器網(wǎng)絡配置表角色配置計算機名IP地址默認網(wǎng)關DNS主域控制器PDC/24192.168.

34、1.1備份域控制器mail/24圖5.1 IP地址配置 5.2 計算機名配置在完成PDC配置后，將備份域控制器也配置好。（2）為企業(yè)指定自己的域名為?！伴_始”-“管理您的服務器”向導將服務器PDC升級為主域控制器，并在向導指導下安裝DNS服務。安裝完成后將mail服務器升級為“現(xiàn)有域的額外域控制器”作為備份域控制器，如圖5.3,圖5.4所示。圖5.3 PDC升級為主域控制器 圖5.4 mail升級為備份域控制器（3）由于Exchange Server通訊簿等功能的需要，將兩臺DC提升域功能級別和林功能級別到

35、“Windows Server 2003”模式，如圖5.5,圖5.6所示。圖5.5 域功能級別圖 5.6 林功能級別5.2活動目錄設計由于Windows Server 2008 R2 和Microsoft Exchange Server 2007 都依賴 Active Directory 實現(xiàn)目錄服務，因此必須確定如何將 Exchange 集成到 Active Directory 結構中。要部署 Exchange，需要從一個已建立的、處于穩(wěn)定工作狀態(tài)的 Active Directory 基礎結構開始。5.2.1 活動目錄簡介活動目錄可以實現(xiàn)用戶管理，提供對用戶、應用程序和設備的單一、一致性的管

36、理點；加強終端安全性。并且向用戶提供單一的網(wǎng)絡資源登錄，為管理員提供強大、一致性的工具以使他們能夠管理為內部計算機用戶、遠程撥號用戶以及外部客戶提供的安全服務?；顒佑蚬芾硎菍嵤┓掌鞴芾?、終端管理的基礎，也為財務、人事、電子郵件、企業(yè)信息門戶、辦公自動化、防病毒系統(tǒng)等各種應用系統(tǒng)提供支持，是安全體系建設的基礎。 5.2.2 郵件系統(tǒng)與活動目錄的關系Exchange Server 2007郵件系統(tǒng)與活動目錄緊密集成，并且依賴活動目錄完成其目錄操作。活動目錄可以為郵件系統(tǒng)提供郵箱信息、地址列表服務以及其他跟收件人相關的信息，同時郵件系統(tǒng)的配置信息也存儲在活動目錄中。通過活動目錄的復制功能，可以將這

37、些收件人相關信息和配置信息復制到各個活動目錄域和站點中的域服務器，以供郵件系統(tǒng)就近訪問。可以說活動目錄是郵件系統(tǒng)的安全系統(tǒng)，活動目錄的安全機制保證了只有認證通過的用戶可以訪問郵箱，并且只有認證通過的管理員才能更改郵件系統(tǒng)中的配置信息。 郵件系統(tǒng)內置活動目錄訪問模塊，用于和活動目錄通訊以及緩存活動目錄的信息，通過共享訪問和緩存機制，可以減少活動目錄域控制器以及全局編目服務器的負載。郵件系統(tǒng)可以發(fā)現(xiàn)活動目錄拓撲，確認域控制器和全局編目服務器，并且維持可用的域服務器列表。 地址簿信息存儲在活動目錄中，郵件系統(tǒng)也對Outlook客戶端地址簿訪問提供支持。 5.2.3 活動目錄設計與安裝根據(jù)邏輯結構拓撲

38、表，分別為上?？偛恳约疤K州分部建立組織單元，并在組織單元下創(chuàng)建不同的部門，這樣可以區(qū)分不同部門的用戶以方便管理。打開“開始”-“管理工具”-“Active Directory用戶與計算機 ”，并在“”域下建立相應的組織單元,如圖5.7所示。圖5.7 活動目錄設計5.3 DNS設計由于 Exchange Server 2007 依賴 DNS 進行名稱解析來進行郵件的傳遞，因此 DNS 的設計在郵件系統(tǒng)的設計中起到了至關重要的作用。在郵件系統(tǒng)中，SMTP 依賴 DNS 來確定其下一個內部或外部目標服務器的 IP地址。通常，內部 DNS可以幫助郵件服務器實現(xiàn)內部郵件服務器的查找，但是內部DNS 名稱

39、不在 Internet 上發(fā)布。因此，SMTP 必須能夠聯(lián)系到可以解析外部 DNS 名稱以發(fā)送 Internet 郵件的 DNS 服務器，以及可以解析內部 DNS 名稱以實現(xiàn)組織內傳遞的 DNS 服務器5.3.1 DNS 在郵件系統(tǒng)中的作用l DNS在接收互聯(lián)網(wǎng)郵件時的作用要接收Internet 郵件，外部 DNS 服務器必須有一個 MX 記錄指向的郵件服務器的 IP 地址的 A 記錄。要確保 MX 記錄的配置正確，可以使用 Nslookup 工具。要驗證 Internet 上的其他服務器能否通過 25 端口訪問郵件服務器，可以使用 telnet。l DNS在發(fā)送互聯(lián)網(wǎng)郵件時的作用在發(fā)送Int

40、ernet 郵件的時候，最重要的一點是 DNS 搜索順序中的所有服務器必須有一臺能夠解析外部域，以進行外部郵件的發(fā)送。5.3.2 DNS設計與安裝當Radish公司內部郵件服務器收到一封非本地域的郵件時，首先會向公司內部的DNS提出對對方郵件服務器的域名解析請求，而這臺DNS服務器會將郵件服務器的解析請求轉發(fā)至電信機房DNS以幫忙解析。電信DNS經(jīng)過一番查詢后，將結果返回至Radish公司的內部DNS，然后又將查詢到的對方郵件服務器的IP信息返回給Radish內部的郵件服務器，這時郵件服務器有了對方的IP地址，便可以通過SMTP協(xié)議將這封互聯(lián)網(wǎng)郵件轉發(fā)至對方的郵件服務器上，反之亦然，如圖5.8

41、所示。圖5.8 DNS查詢以及郵件轉發(fā)過程（1）讓互聯(lián)網(wǎng)上的郵件服務器能夠發(fā)送郵件到本地郵件服務器，首先要保證互聯(lián)網(wǎng)上郵件服務器能夠解析到“”的域名，其次需要在DNS中配置MX記錄以提供本地關于郵件服務器的信息。打開“開始“-“管理工具”-“DNS”，針對主機“”新建一條郵件交換器（MX）記錄，如圖5.9,圖5.10所示。圖5.9 新建郵件交換器記錄5.10 DNS服務器資源記錄（2）為了能讓本地郵件服務器能夠發(fā)送郵件至互聯(lián)網(wǎng)上的郵件主機，需要保證DNS能解析到互聯(lián)網(wǎng)上的域名，需要把域名解析請求轉發(fā)至電信機房的DNS上。開“開始”-“管理工具”-“DNS”，配置轉發(fā)器，如圖5.11所示。圖5.

42、11 DNS轉發(fā)器配置5.4 Exchange下的Outlook Web Access設計5.4.1 Outlook Web Access簡介Outlook Web Access是Exchange Server提供的可從任意 Web 瀏覽器訪問 Exchange 郵箱的功能。Exchange 2007 中有兩個 Outlook Web Access 版本：高級版本和基本版本。Outlook Web Access 高級版本提供對所有 Exchange 2007 郵箱數(shù)據(jù)的訪問功能。用戶還可以查看和管理移動設備，設置“外出”選項，對郵件進行分組、排序和標記等。Outlook Web Access

43、提供了強大的新的協(xié)作能力。Outlook Web Access 還包括同 Outlook 一樣的日程安排助理、對豐富的統(tǒng)一消息通信控制的支持、顯著提高的搜索功能、以及新的安全和一致性能力。Exchange 2007 中的 Outlook Web Access 還包括將文檔轉變?yōu)?HTML 的 WebReady 文檔瀏覽功能。 因此，即便是沒有安裝閱讀軟件，同樣可以瀏覽附件，同時還確保不會將文檔的拷貝遺留在這些不安全的機器上。最重要的是，即使用戶離開公司或在出差情況下，也可以通過瀏覽器訪問電子郵箱，提高了工作效率。5.4.2 Exchange設計與安裝由于Exchange Server是提供OW

44、A的基礎，首先需要在服務器上安裝Exchange Server 2007來建立基礎結構。（1）Exchange服務器既可以通過PowerShell的命令行界面管理，也可以通過MMC使用可視化界面管理，所以首先需要為Exchange安裝管理組件。在“”服務器上為Exchange Server 2007 安裝補?。篗icrosoft .NET Framework 2.0、Microsoft Management Console(MMC)3.0、Microsoft Windows PowerShell，如圖5.12,圖5.13所示。圖5.12 .NET 2.0 安裝程序 圖5.13 Windows

45、PowerShell安裝程序（2）由于OWA要使用WEB方式訪問，所以還需要安裝IIS來發(fā)布OWA網(wǎng)站，以供用戶訪問，且還需要啟動ASP.NET。打開“開始”-“控制面板”-“刪除或添加程序”-“添加/刪除Windows組件”，安裝“應用程序服務器”并安裝ASP.NET，如圖5.14所示。圖5.14 IIS安裝（3）為Exchange準備活動目錄、組織和域，插入Exchange Server2007光盤，執(zhí)行setup /PrepareSchema以擴展活動目錄架構（見圖5.15），執(zhí)行執(zhí)行setup /PrepareAD /OrganizationName: radish以擴展活動目錄架構及

46、準備組織（見圖5.16），最后執(zhí)行setup /PrepareAllDomains以擴展活動目錄架構及準備所有域（見圖5.17）。圖5.15 活動目錄架構擴展 圖5.16 準備組織圖5.17 準備所有域（4）通過Exchange，我們需要使用郵箱、應用郵箱策略并通過OWA訪問郵箱系統(tǒng)，由于Exchange是以角色為基礎進行部署的，所以要為服務器安裝郵箱角色、客戶端訪問角色以及集線器傳輸角色。通過Exchange角色部署，可以幫助我們靈活得管理服務器。從光盤安裝Exchange Server 2007，如圖5.18所示。圖5.18 Exchange 選擇角色安裝（5）Exchange Serve

47、r 2007安裝完成后，隨即便會打開“Exchange管理控制臺”，表示Exchange安裝成功，如圖5.19所示。圖5.19 Exchange管理控制臺5.4.3 Outlook Web Access設計與安裝在上節(jié)中，我們已經(jīng)安裝好了Exchange服務器并安裝了客戶端訪問角色，其實這個時候服務器已經(jīng)簡單地配置好了OWA功能，并且在IIS中建立好了OWA 虛擬目錄結構，Exchange的OWA有下列目錄：l /owa:Outlook Web Access 在訪問 Exchange 2007 郵箱服務器上的郵箱時使用此虛擬目錄。 l /Public :此虛擬目錄用于通過使用位于運行 Exch

48、ange 2007、Exchange Server 2003 或 Exchange 2000 Server 的計算機上的郵箱的 Outlook Web Access 應用程序來訪問公用文件夾。l /Exchweb :此虛擬目錄用于運行 Exchange 2003 或 Exchange 2000 的計算機上的郵箱的 Outlook Web Access 應用程序。 l /Exchange :此虛擬目錄由 Outlook Web Access 在訪問運行 Exchange 2003 或 Exchange 2000 的計算機上的郵箱時使用。如果除了 Exchange 2007 郵箱之外，組織中還包含

49、 Exchange 2000 或 Exchange 2003 郵箱，則所有用戶均可以通過 /Exchange 虛擬目錄訪問 Outlook Web Access?？蛻舳嗽L問服務器會自動將 Exchange 2007 郵箱用戶重定向到 /owa 虛擬目錄。l /Exadmin :此虛擬目錄可以訪問通過其他虛擬目錄可訪問的相同文件夾，還可以用于更改管理設置和屬性。只有具有管理權限的用戶可以訪問 /exadmin 虛擬目錄。其中最常用的是通過/owa。(1)打開“開始”-“管理工具”-“Internet信息服務管理器”，便可以找到Exchange為我們建立好的OWA虛擬目錄，如圖5.20所示。圖5.

50、20 OWA虛擬目錄（2）在“Exchange管理控制臺”下的“服務器配置”中，通過“客戶端訪問”功能，可以對Outlook Web Access進行訪問配置，如圖5.21、圖5.22所示。圖5.21 客戶端訪問配置 圖5.22 OWA屬性配置（3）如果要讓用戶可以使用Outlook Web Access訪問Exchange2007上的郵件以及其他用戶資源，就必須啟用客戶端的OWA功能。在“收件人配置”的“郵箱”中，我們可以針對個別用戶啟用/禁用OWA功能，如圖5.23所示。圖5.23 啟用/禁用OWA功能（4）為了防止用戶在郵箱系統(tǒng)中存儲過多的郵件耗盡服務器的存儲資源，可以通過為每個用戶分配

51、存儲配額來限制用戶郵箱的大小。我們限制Administrator賬戶可用的郵箱存儲空間為2GB，如圖5.24所示。圖5.24 用戶存儲配額設定（5）在設置好了OWA訪問以后，便可以通過客戶端的WEB瀏覽器訪問Exchange郵箱了。這時OWA會自動對默認網(wǎng)站啟用了SSL加密連接，所以需要在用戶瀏覽器中輸入“”來訪問exchange郵箱，如圖5.25所示。由于默認的SSL連接使用的是自簽名證書，使用時，會有“此網(wǎng)站的證書有問題”的提示，這是由此計算機當前還沒有信任證書的頒發(fā)機構引起的，我們可以點擊“繼續(xù)瀏覽此網(wǎng)站”跳過，便可以繼續(xù)訪問。在OWA的登陸框中我們可以發(fā)現(xiàn)，可以使用Outlook We

52、b Access基礎客戶端，基本客戶端提供的功能較少，但有時速度會更快。如果我們使用的是基于低速連接，或使用的計算機具有異常嚴格的瀏覽器安全設置時，就可以勾選它了。如果使用的瀏覽器不是 Internet Explorer 6 或更高版本，則只能使用基本客戶端，如圖5.25所示。圖5.25 OWA登陸界面（6）使用管理員賬戶登錄，即可使用OWA發(fā)送郵件了，如圖5.26所示。圖5.26 OWA用戶使用界面5.4.4 設計使用SSL訪問OWA安全套接字層是用來加密客戶端和服務器之間通訊的一種方法。對于一臺安裝了客戶端訪問服務器角色的Exchange 2007 計算機，SSL被用來保護服務器和客戶端之

53、間的安全可靠的通訊。SSL協(xié)議通過數(shù)字證書保護數(shù)據(jù)安全。SSL協(xié)議提供的服務主要有：l 認證用戶和服務器，確保數(shù)據(jù)發(fā)送到正確的客戶機和服務器；l 加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊??；l 維護數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過程中不被改變。當安裝Exchange 2007 客戶端訪問服務器角色的時候，會創(chuàng)建一張自簽名的證書。自簽名證書增強了組織內部Exchange 2007服務器之間的安全通訊，另外也為加密客戶端通訊提供了一種臨時方法直到獲得并安裝一張備用的證書。這張自簽名證書有兩個主題備用名稱：一個是客戶端訪問服務器的NetBIOS名稱，另一個是客戶端訪問服務器的FQDN。盡管此自簽名的證書能夠被用來加

54、密客戶端訪問服務器和其他Exchange 2007 服務器角色之間的通訊，但是不應將它用在客戶端應用程序和設備上。因為自簽名證書有過期時間等種種限制，我們應該使用企業(yè)內部CA為Exchange服務器頒發(fā)SSL證書。（1）為了能夠在企業(yè)內部為服務器頒發(fā)證書，首先應在服務器上安裝“證書服務”以提供證書頒發(fā)功能。由于企業(yè)證書服務在用戶初次獲取證書后，使用頻率較小，我們可以將證書服務與主域控制器（PDC）安裝在一起以節(jié)省服務器資源。安裝證書服務時，我們使用“企業(yè)根CA”，提高安全性，同時還需要安裝IIS服務，因為Exchange郵件服務器需要通過“Microsoft證書服務”網(wǎng)站申請證書。使用打開“開

55、始”-“控制面板”-“刪除或添加程序”-“添加/刪除Windows組件”，點擊安裝“應用程序服務器”以及“證書服務”，如圖5.27,圖5.28所示。圖5.27 安裝“證書服務”組件 圖5.28 CA類型選擇（2）由于Exchange自動生成的自簽名證書有各種限制，現(xiàn)在可以使用證書服務頒發(fā)新的服務器證書，以替換自簽名證書，加強OWA網(wǎng)站的安全性。首先可通過使用“web服務器證書向導”在本地生成證書申請文本，再通過“Microsoft證書服務”網(wǎng)站（）提交證書申請，最后將證書導入至服務器中即可，如圖5.29，圖5.30所示。圖5.29 WEB服務器證書向導 圖5.30 證書申請網(wǎng)站（3）查看證書是

56、否已經(jīng)生效（見圖5.31），并確認網(wǎng)站已經(jīng)啟用SSL安全通信（見圖5.32）。圖5.31 WEB證書圖 5.32 啟動SSL安全通信5.4.5 設計使用OWA發(fā)送加密郵件用戶在Exchange Server中可以使用S/MIME協(xié)議對郵件進行加密和數(shù)字簽名。其中數(shù)字簽名提供3項安全功能：1）身份驗證：通過簽名來驗證身份，并證明發(fā)送人的唯一性。2）不可否認：簽名的唯一性可防止簽名的所有者否認簽名。3）數(shù)據(jù)完整性：保證了數(shù)據(jù)在傳輸過程中沒有發(fā)生篡改。S/MIME通過數(shù)字證書實現(xiàn)郵件的加密和簽名。當數(shù)字證書用于數(shù)字簽名時，公鑰與用戶私鑰的關系使得收件人可以識別并驗證發(fā)件人的郵件。發(fā)件人對郵件進行簽名時，將提供與數(shù)字證書上可用的公鑰關聯(lián)的私鑰（見圖5.33）。反過來，當收件人驗證郵件上的數(shù)字簽名時，將從發(fā)件人的數(shù)字證書中獲取公鑰以執(zhí)行驗證（見圖5.34）。圖5.33 電子郵件的數(shù)字簽名圖5.34 驗證電子郵件的數(shù)字簽名當數(shù)字證書用于加密時，數(shù)字證書還通過使公鑰可用于加密過程來支持郵件加密。發(fā)件人可以訪問收件人的公鑰，這使得發(fā)件人可以加密郵件，從而確保只有收件人能夠解密該郵件，如圖5.35、5.36所示。圖5.35