企業(yè)Echange前后端集群郵件系統(tǒng)預案

1、21/21企業(yè)Exchange 前后端集群郵件系統(tǒng)方案目錄第1章 方案背景1.1 用戶需求1.2 設計原則和設計目標1.2.1 設計原則1.2.2 設計要求第2章 設計方案2.1 方案構(gòu)架2.1.1 Active Directory 目錄服務器2.1.2 Exchange 2007 郵件服務器2.1.3 靈活的客戶端訪問方式2.2 系統(tǒng)組成及規(guī)劃2.2.1 郵件服務系統(tǒng)2.2.2 Exchange 2007 前后端結(jié)構(gòu)2.2.3 郵件系統(tǒng)存儲設計2.2.4 域控制器DC2.2.5 客戶端2.2.6 垃圾郵件的處理2.2.7 防病毒規(guī)劃2.2.8 數(shù)據(jù)備份和恢復第3 章 建議Exchange 2

2、007 前后端架構(gòu)服務器軟硬件配置。3.1 服務器硬件配置建議3.2 郵件系統(tǒng)軟件需求上海市中山北路2020 號中星經(jīng)貿(mào)大廈19 樓 電話: (8621)52916000 傳真: (8621) 52949018方案背景1.1 用戶需求目前需要為中國地區(qū)員工（上海和沈陽兩地）架設郵件服務器，大約用戶人數(shù)在1000 人左右，用戶客戶端連接采用POP3 方式。1.2 郵件系統(tǒng)的設計原則和設計目標1.2.1 設計原則企業(yè)電子郵件及協(xié)作系統(tǒng)的建設對整個公司的信息化具有重要的意義，系統(tǒng)的選擇和設計對建成后的質(zhì)量和作用起到舉足輕重的影響，為保證系統(tǒng)的廣泛使用和穩(wěn)定運行，新系統(tǒng)的選擇和設計應遵循以下原則： 保

3、障信息傳遞的高效性 便于最終用戶使用，符合用戶習慣，方便與其他客戶端軟件集成 系統(tǒng)穩(wěn)定可靠 方便網(wǎng)絡和系統(tǒng)的管理、安全性控制和擴展 能提供完備的反病毒、反垃圾郵件和備份方案 方便與外部系統(tǒng)的連通 方便系統(tǒng)的開發(fā)應用及和企業(yè)其它系統(tǒng)的互聯(lián)和集成 便于系統(tǒng)的統(tǒng)一管理1.2.2 設計要求基于以上的設計原則，郵件系統(tǒng)的設計應達到以下目標： 現(xiàn)階段為公司中國區(qū)（上海、沈陽）人員提供郵件服務，大約 1000 人左右，每人100M 容量 高度可伸縮性的體系構(gòu)架。能方便地擴充容量，以滿足集團未來發(fā)展的需要。 開通 Web 方式收發(fā)郵件，Web Mail 界面能和公司內(nèi)部網(wǎng)集成，并能提供多語言界面 提供郵件帳號

4、別名，使一個帳號能有多個郵件地址 完備的反病毒和反垃圾郵件解決方案上海市中山北路2020 號中星經(jīng)貿(mào)大廈19 樓 電話: (8621)52916000 傳真: (8621) 52949018 為管理員提供方便高效的管理工具，減少日常維護工作量 對于移動用戶和設備的支持第2章 設計方案2.1 方案構(gòu)架根據(jù)中國區(qū)的現(xiàn)有情況和具體需求，建議郵件系統(tǒng)采用集中部署的方式，郵件系統(tǒng)的服務器上海公司機房內(nèi)，沈陽地區(qū)員工通過Internet POP3 方式連接上海機房內(nèi)的郵件服務器。方案采用了Windows Server 2003 平臺上Exchange 2007 集群部署的郵件系統(tǒng)，以前后端部署的方式實現(xiàn)系

5、統(tǒng)的高性能和高擴展性。下圖為系統(tǒng)構(gòu)架示意圖：上海市中山北路2020 號中星經(jīng)貿(mào)大廈19 樓 電話: (8621)52916000 傳真: (8621) 529490182.1.1 Active Directory 目錄服務器在上圖中Exchange 與上海公司Active Directory 域服務器整合、AD 服務器提供所有的人員帳戶和資源的管理，郵件服務器為這些用戶帳號提供郵件服務。2.1.2 Exchange 2007 郵件服務器郵件服務器在本機構(gòu)內(nèi)提供高效的郵件服務，同時自動與其他外接系統(tǒng)通訊。郵件系統(tǒng)的訪問，可通過 Outlook, OWA 等客戶端軟件。為了提高系統(tǒng)的性能，Exch

6、ange Server 會采用前后端部署的方式。前端郵件服務器專門負責和Internet 進行外部郵件收發(fā)和OWA，能夠提高系統(tǒng)總體性能。后端郵件服務器則專門為內(nèi)部用戶提供郵件、和其他協(xié)作服務。當內(nèi)部用戶有郵件發(fā)往Internet 或者Internet 上有郵件發(fā)往內(nèi)部用戶時，前后端郵件服務器之間能夠自動進行同步，因此用戶只會感覺到只有一個郵件服務器在工作，在提高性能的同時，不會影響易用性。如果需要提高系統(tǒng)的穩(wěn)定性和可用性，后端郵件服務器還可以采用Cluster 群集結(jié)構(gòu)，就是兩臺服務器相互備份和同步，當其中一臺服務器意外崩潰以后，另外一臺會馬上接替工作，不會引起服務中止。2.1.3 靈活的客

7、戶端訪問方式Exchange 2007 具有對多種客戶端靈活的支持能力。對于上海公司局域網(wǎng)內(nèi)的用戶，可以采用以下幾種方式訪問郵件服務： Outlook 作為客戶端，以MAPI 方式訪問Exchange 服務器。 Outlook 或者Outlook Express 為客戶端、以POP3 連接訪問Exchange 服務器 Outlook Web Access 方式，通過IE 瀏覽器來訪問Exchange 服務器對于沈陽和在外地出差的用戶，可以采用以下幾種方式： Outlook 或者Outlook Express 作為客戶端，采用POP3 方式訪問Exchange Server Outlook We

8、b Access 方式,通過IE 瀏覽器來訪問Exchange 服務器考慮到系統(tǒng)的性能和使用方便性，建議采用POP3 方式來接入Exchange 服務器2.2 系統(tǒng)組成及規(guī)劃2.2.1 郵件服務系統(tǒng)安裝在 Windows 2003 Enterprise Server 之上的 Exchange Server 2007 提供完善的電子郵件服務。上海市中山北路2020 號中星經(jīng)貿(mào)大廈19 樓 電話: (8621)52916000 傳真: (8621) 52949018Microsoft Exchange 2007 Server 與Microsoft Windows 2003 操作系統(tǒng)之間實現(xiàn)了無縫化

9、集成，其設計滿足各種規(guī)模的商務企業(yè)（從小型組織機構(gòu)到大型分布式企業(yè)）在消息和協(xié)作方面所提出的需求。其可靠性、伸縮性、企業(yè)消息和協(xié)作平臺性能以及為降低系統(tǒng)擁有成本而對操作系統(tǒng)功能得到進一步應用。 Web與工作流應用設計的集成以及為改善知識工作者效率而使其與消息、文檔及應用程序配合工作的單一基礎(chǔ)架構(gòu)和用戶模式。 通過對無線通訊、統(tǒng)一消息、手持設備及遠程會議等新興技術(shù)的應用來實現(xiàn)在任何時間、從任何地點提供信息訪問的通訊基礎(chǔ)架構(gòu)，這些功能將為近一步擴展應用提供基礎(chǔ)。2.2.2 Exchange 2007 前后端結(jié)構(gòu)Exchange 2007 Server 有一種新的應用程序體系結(jié)構(gòu)，它為 Intern

10、et 和 Intranet 郵件解決方案提供了一個功能豐富而強大的平臺，這種結(jié)構(gòu)就是前端/后端結(jié)構(gòu)（FE/BE）。由于 Exchange 2007 采用了前端/后端服務器拓撲，從而進一步提高了可伸縮性和可用性。FE/BE 服務器拓撲是真正多層的 Internet 應用程序體系結(jié)構(gòu)，采用專用的 Web 和數(shù)據(jù)庫服務器。在 Exchange 2007 中將協(xié)議和存儲服務分開，使設計者能夠使用多層 FE/BE 服務器拓撲，提高了可伸縮性、安全性和可用性等等。另外，處理HTTP、SMTP、POP 及IMAP（Internet 消息訪問協(xié)議）請求的一組IP 服務器可以容留在獨立于全部數(shù)據(jù)存儲的服務器上，

11、并且無需RAID（容錯磁盤陣列）控制器。這就減少了服務器成本，同時也可以防止SMTP 故障和意外的服務拒絕事件影響到通信存儲或目錄。Exchange 2007 Server 劃分了協(xié)議、存儲和目錄的核心服務，并分別與前端、后端和域控制器的服務器角色對應。 默認情況下，Exchange 2007 服務器存放公用存儲和專用存儲，并且以此角色履行后端或存儲服務器的職責。通過使用 HTTP 協(xié)議，Exchange 2007 前端協(xié)議服務器可以專用于與客戶端通信。無論是前端服務器還是后端服務器都不能運行目錄服務，現(xiàn)在專門由域控制器處理這些服務。當 FE/BE 服務器拓撲與 Internet 相連的環(huán)境集

12、成在一起時，它提高了安全性和設計靈活性。因為前端服務器不存放 Web 存儲系統(tǒng)或 Active Directory 數(shù)據(jù)庫，所以它們成為“黑客”攻擊對象的價值就會降低。可以配置前端服務器以便在最低限度的一組 Internet 端口上擴展郵件服務，因而它們最適于放在防火墻后面或者放在隔離區(qū) (DMZ)中。下圖反映了Exchange FE/BE 結(jié)構(gòu)在隔離區(qū)中的部署：上海市中山北路2020 號中星經(jīng)貿(mào)大廈19 樓 電話: (8621)52916000 傳真: (8621) 52949018規(guī)劃和調(diào)整 FE/BE 服務時要考慮的主要標準是： 用戶數(shù)要求（最大和并發(fā)客戶端連接） 可用性要求（針對應用程

13、序和數(shù)據(jù)） 數(shù)據(jù)恢復性（數(shù)據(jù)和/或服務恢復率）其中，用戶數(shù)要求（特別是最大和并發(fā)客戶端負載）決定了支持的 Exchange 服務器和域控制器的數(shù)目和大小。規(guī)模適當?shù)捏w系結(jié)構(gòu)必須能夠支持所有服務的估計最大用戶并發(fā)率：登錄/身份驗證、IIS（前端）會話、后端存儲性能、LDAP 查詢（Active Directory 和全局編錄GC）和公用文件夾應用程序。2.2.3 郵件系統(tǒng)存儲設計考慮因素 可靠性包括硬件軟件的可靠性，即使在部分數(shù)據(jù)庫受到以外破壞，盡可能少影響用戶的正常使用。對于不同的用戶的可靠性要求不同，對重點用戶可靠性要求較高。 性能能夠滿足系統(tǒng)中用戶的訪問需要，保證數(shù)據(jù)庫的日志文件操作不會影

14、響整體存儲訪問的性能。不同類型用戶對性能要求也會有所不同。 備份和恢復要求實現(xiàn)靈活的備份調(diào)度，不同種類用戶的郵箱要求不同的備份策略，對于重點用戶的郵箱需要每半個星期備份一次，普通用戶的郵箱只需要1 個星期備份一次。在災難恢復的時候，要求只要恢復受破壞的郵箱數(shù)據(jù)庫。上海市中山北路2020 號中星經(jīng)貿(mào)大廈19 樓 電話: (8621)52916000 傳真: (8621) 52949018 成本在考慮可靠性、性能的同時需要考慮成本。在成本預算范圍內(nèi)提供最可靠、穩(wěn)定和高效的存儲設計設計原則 用戶根據(jù)不同的可靠性和性能要求分成不同類型，不同類型的用戶設計不同的存儲策略。 每個卷盡量地使用單獨的數(shù)據(jù)總線

15、和磁盤控制器 為了保證最大的可靠性，數(shù)據(jù)庫和日志文件應該分開存放在不同的卷。 數(shù)據(jù)庫所在的卷，可以由多個硬盤組成。 如果需要對郵箱和公共文件夾建立索引，需要預留 25%至30%的額外磁盤空間 索引文件應該在分開在單獨的卷里 一臺 Exchange 2007 企業(yè)版服務器最多可容納50 個存儲組，無軟件存儲容量限制。2.2.4 域控制器DCExchange 2007 Server 利用Windows 2003 Server 的Active Directory 活動目錄服務完成目錄服務的職能。所有Exchange 2007 目錄信息（包括關(guān)于用戶、郵箱、服務器、站點、自定義收件人等）存放于Acti

16、ve Directory 中。目錄服務器提供全局的人員賬戶和資源的管理，并提供郵件服務器必須的服務功能。如果郵件系統(tǒng)的AD 與公司的AD 集成的話，可以利用AD 來實現(xiàn)更方便的管理，新建郵箱和修改郵箱屬性等操作，只要連接到公司內(nèi)部的AD 的域控制器就可以完成。Active Directory 會自動進行同步?；顒幽夸浭荳indows 2003 網(wǎng)絡體系結(jié)構(gòu)中一個基本且不可分割的部分。并提供了一套為分布式網(wǎng)絡環(huán)境設計的目錄服務?；顒幽夸浭沟媒M織機構(gòu)可以有效地對有關(guān)網(wǎng)絡資源和用戶的信息進行共享和管理。另外，目錄服務在網(wǎng)絡安全方面也扮演著中心授權(quán)機構(gòu)的角色，從而使操作系統(tǒng)可以輕松地驗證用戶身份并控制

17、其對網(wǎng)絡資源的訪問。同等重要的是，活動目錄還擔當著系統(tǒng)集成和鞏固管理任務的集合點。2.2.5 客戶端對于Exchange2007 服務器，可以使用以下客戶端應用程序?qū)xchange 服務進行訪問：o Outlook Express可以為使用 POP3 或IMAP4 協(xié)議訪問運行Exchange 的服務器而對OutlookExpress 進行配置；當然，Outlook Express 需將上述協(xié)議與基本驗證一并使用。o Outlook Web Access(OWA) 訪問你可以配置 Outlook Web 訪問并使用HTTP 或HTTPS 訪問Exchange 服務。Outlook Web 訪

18、問以缺省方式使用基本驗證；而如果你需要更為安全的連接，則上海市中山北路2020 號中星經(jīng)貿(mào)大廈19 樓 電話: (8621)52916000 傳真: (8621) 52949018可在SSL 上使用基本驗證。o Outlook 你可以將 Outlook 配置為Internet 客戶或MAPI 客戶。將Outlook 配置為Internet客戶時，它便開始使用POP3 或IMAP4 協(xié)議與基本驗證方式?？梢酝ㄟ^建立一個VPN 而將Outlook配置為MAPI 客戶。MAPI 的使用僅限于與工作組或VPN 配合工作的遠程過程調(diào)用（RPC）進行通信。由于VPN 使用可透過防火墻的專用連接，因此，可以

19、使用集成Windows 驗證。o Outlook Mobile Access (OMA)，與用于桌面瀏覽器的 Outlook Web Access 類似，Outlook MobileAccess 是專門為從移動設備瀏覽器更安全地進行訪問而設計的。通過 Exchange 2007，用戶可以使用帶有基于 HTML、XHTML (WAP 2.x) 和 CHTML 的微瀏覽器的移動設備訪問他們的郵箱。為了使用戶更為有效地管理自己的郵件，設置郵件的各種規(guī)則，方便地使用日程、任務、會議安排等功能，建議有條件的客戶端盡量采用Outlook，同時Web 訪問的手段作為一種有效的補充。圖：IE 方式下的 OWA

20、 郵件客戶2.2.6 垃圾郵件的處理郵件拒收（Message Block）上海市中山北路2020 號中星經(jīng)貿(mào)大廈19 樓 電話: (8621)52916000 傳真: (8621) 52949018郵件拒收是在SMTP 協(xié)議實現(xiàn)時的擴展選項。拒收的對象是雖然具有正確的本地收件人地址，但卻是來自不受歡迎的網(wǎng)絡或個人的電子郵件。郵件拒收執(zhí)行的時機是MTA 正在按照SMTP 協(xié)議接收郵件時，操作是對郵件頭部信息進行的。要求可以設置以下規(guī)則： 拒收來自指定 IP 或子網(wǎng)的郵件； 拒收來自指定 E-mail 地址的郵件； 拒收來自指定域的郵件； 拒收來自指定用戶名的郵件； 超出系統(tǒng)管理員設定大小的郵件；

21、 收件人個數(shù)超出系統(tǒng)管理員設定標準的郵件； 收件人特征符合系統(tǒng)管理員設定為標準的垃圾郵件； 拒收在一個時間段某地址針對單一用戶發(fā)出超過設定數(shù)量的郵件 拒收在一個時間段某地址針對郵件系統(tǒng)發(fā)出超過設定數(shù)量的郵件 每一個被拒收的郵件都會產(chǎn)生可統(tǒng)計的日志記錄。轉(zhuǎn)發(fā)限制（Relay Restriction）轉(zhuǎn)發(fā)限制也是在SMTP 協(xié)議實現(xiàn)時的擴展選項。轉(zhuǎn)發(fā)限制的對象是那些雖然具有正確的非本域目標收件人地址，但卻來自不受歡迎的網(wǎng)絡或個人電子郵件，或者目標收件人或網(wǎng)絡不愿意接受來自本域轉(zhuǎn)發(fā)的E-mail。轉(zhuǎn)發(fā)限制的操作實際是MTA 正在按照SMTP 協(xié)議接受郵件時，操作是對郵件頭部信息進行的。要求可以設置以

22、下規(guī)則： 拒絕轉(zhuǎn)發(fā)或僅轉(zhuǎn)發(fā)來自指定 IP 或子網(wǎng)的郵件； 拒絕轉(zhuǎn)發(fā)來自指定 E-mail 地址的郵件； 拒絕轉(zhuǎn)發(fā)或僅轉(zhuǎn)發(fā)來自指定域的郵件； 拒絕轉(zhuǎn)發(fā)來自指定用戶名的郵件； 拒絕轉(zhuǎn)發(fā)或僅轉(zhuǎn)發(fā)目標為指定子網(wǎng)或指定域的郵件； 除特定用戶外，限制本地電子郵件用戶一次性發(fā)送指定數(shù)量（如 25 封）以上電子郵件 每一個被拒絕轉(zhuǎn)發(fā)的郵件都會產(chǎn)生可統(tǒng)計的日志記錄。上海市中山北路2020 號中星經(jīng)貿(mào)大廈19 樓 電話: (8621)52916000 傳真: (8621) 52949018郵件過濾 （Mail Filter）要求可以實現(xiàn)系統(tǒng)級與用戶級的過濾處理功能，對符合過濾規(guī)則的郵件可選擇拒收、丟棄、轉(zhuǎn)發(fā)、投遞

23、、等待、延時等動作； 過濾規(guī)則數(shù)量不限，可對包括郵件頭部信息在內(nèi)的整個郵件通過郵件大小進行過濾分析。 能夠?qū)﹄娮余]件信頭主題、收發(fā)件人、抄送人等內(nèi)容進行基于特征字符串的過濾； 能夠?qū)﹄娮余]件信體內(nèi)容進行特征字符串的過濾； 能夠?qū)﹄娮余]件附件標題、文件類型和長度進行基于特征字符串的過濾； 支持過濾規(guī)則動態(tài)導入和維護，并立即生效； 對電子郵件信件頭、信體進行掃描之前，支持 BASE64 和QuotedPrintable 解碼； 對有害垃圾電子郵件過濾和阻斷數(shù)量可以進行統(tǒng)計，對公安機關(guān)所要求的過濾信息可以向公安機關(guān)遠程傳送；系統(tǒng)級的過濾規(guī)則對所有用戶起作用，用戶級的過濾規(guī)則只對用戶自己的郵箱起作用。2.2.7 防病毒規(guī)劃病毒防范的病毒防范體系應該包括：病毒防范制度、防病毒軟件和技術(shù)防范措施。病毒防范制度是防范體系中每個主體都必須遵守的行為規(guī)程。沒有制度，防范體系就不可能很好地運作。應專門針對病毒防范制定相應的制度。對于基于網(wǎng)絡的計算機病毒防護，主要的病毒防范點有：Internet 接入口、大容量電子郵件系統(tǒng)的關(guān)鍵服務器及工作站、內(nèi)部信息網(wǎng)絡的中心