邮件企业Exchange前后端集群邮件系统方案(doc 9页)

企业Exchange前后端集群邮件系统方案

目录

第1章方案背景

1 . 1用户需求

1 .2设计原则和设计目标

1 .2. 1设计原则

1 .2.2设计要求

第2章设计方案

2. 1方案构架

2. 1 . 1 Active Di rectory 目录服务器

2. 1 .2 Exchange 2007邮件服务器

2. 1 .3灵活的客户端访问方式

2.2系统组成及规划

2.2. 1邮件服务系统

2.2.2 Exchange 2007前后端结构

2.2.3邮件系统存储设计

2.2.4域控制器DC

2.2.5客户端

2.2.6垃圾邮件的处理

2.2. 7防病毒规划

2.2.8数据备份和恢复

第3章建议Exchange 2007前后端架构服务器软硬件配置。

3. 1服务器硬件配置建议

3.2邮件系统软件需求

上海市中山北路2020号中星经贸大厦19楼电话: (8621)52916000传真: (8621)52949018

方案背景

1. 1用户需求

目前需要为中国地区员工上海和沈阳两地架设邮件服务器大约用户人数在1000人左右用户客户端连接采用POP3方式。

1.2邮件系统的设计原则和设计目标

1.2. 1设计原则

企业电子邮件及协作系统的建设对整个公司的信息化具有重要的意义系统的选择和设计对建成后的质量和作用起到举足轻重的影响为保证系统的广泛使用和稳定运行新系统的选择和设计应遵循以下原则

保障信息传递的高效性

便于最终用户使用符合用户习惯方便与其他客户端软件集成

系统稳定可靠

方便网络和系统的管理、安全性控制和扩展

能提供完备的反病毒、反垃圾邮件和备份方案

方便与外部系统的连通

方便系统的开发应用及和企业其它系统的互联和集成

便于系统的统一管理

1.2.2设计要求

基于以上的设计原则 邮件系统的设计应达到以下目标

现阶段为公司中国区上海、沈阳人员提供邮件服务大约1000人左右每人100M容量

高度可伸缩性的体系构架。能方便地扩充容量 以满足集团未来发展的需要。

开通Web方式收发邮件 Web Mail界面能和公司内部网集成并能提供多语言界面

提供邮件帐号别名使一个帐号能有多个邮件地址

完备的反病毒和反垃圾邮件解决方案

上海市中山北路2020号中星经贸大厦19楼电话: (8621)52916000传真: (8621)52949018

为管理员提供方便高效的管理工具减少日常维护工作量

对于移动用户和设备的支持

第2章设计方案

2. 1方案构架

根据中国区的现有情况和具体需求建议邮件系统采用集中部署的方式 邮件系统的服务器上海公司机房内沈阳地区员工通过Internet POP3方式连接上海机房内的邮件服务器。

方案采用了Windows Server 2003平台上Exchange 2007集群部署的邮件系统 以前后端部署的方式实现系统的高性能和高扩展性。

下图为系统构架示意图

上海市中山北路2020号中星经贸大厦19楼电话: (8621)52916000传真: (8621)52949018

2. 1. 1 Active Directory 目录服务器

在上图中Exchange与上海公司Active Directory域服务器整合、 AD服务器提供所有的人员帐户和资源的管理 邮件服务器为这些用户帐号提供邮件服务。

2. 1.2 Exchange 2007邮件服务器

邮件服务器在本机构内提供高效的邮件服务 同时自动与其他外接系统通讯。邮件系统的访问可通过Outlook, OWA等客户端软件。为了提高系统的性能 Exchange Server会采用前后端部署的方式。前端邮件服务器专门负责和Internet进行外部邮件收发和OWA能够提高系统总体性能。后端邮件服务器则专门为内部用户提供邮件、和其他协作服务。当内部用户有邮件发往Internet或者Internet上有邮件发往内部用户时前后端邮件服务器之间能够自动进行同步 因此用户只会感觉到只有一个邮件服务器在工作在提高性能的同时不会影响易用性。如果需要提高系统的稳定性和可用性后端邮件服务器还可以采用Cluster群集结构就是两台服务器相互备份和同步 当其中一台服务器意外崩溃以后另外一台会马上接替工作不会引起服务中止。

2. 1.3灵活的客户端访问方式

Exchange 2007具有对多种客户端灵活的支持能力。

对于上海公司局域网内的用户可以采用以下几种方式访问邮件服务

Outlook作为客户端 以MAPI方式访问Exchange服务器。

Outlook或者Outlook Express为客户端、 以POP3连接访问Exchange服务器

Outlook Web Access方式通过IE浏览器来访问Exchange服务器

对于沈阳和在外地出差的用户可以采用以下几种方式

Outlook或者Outlook Express作为客户端采用POP3方式访问Exchange Server

Outlook Web Access方式,通过IE浏览器来访问Exchange服务器

考虑到系统的性能和使用方便性建议采用POP3方式来接入Exchange服务器

2.2系统组成及规划

2.2. 1邮件服务系统

安装在Windows 2003 Enterprise Server之上的Exchange Server 2007提供完善的电子邮件服务。

上海市中山北路2020号中星经贸大厦19楼电话: (8621)52916000传真: (8621)52949018

Microsoft Exchange 2007 Server与Microsoft Windows 2003操作系统之间实现了无缝化集成其设计满足各种规模的商务企业从小型组织机构到大型分布式企业在消息和协作方面所提出的需求。其可靠性、伸缩性、企业消息和协作平台性能以及为降低系统拥有成本而对操作系统功能得到进一步应用。 Web与工作流应用设计的集成以及为改善知识工作者效率而使其与消息、文档及应用程序配合工作的单一基础架构和用户模式。 通过对无线通讯、统一消息、手持设备及远程会议等新兴技术的应用来实现在任何时间、从任何地点提供信息访问的通讯基础架构这些功能将为近一步扩展应用提供基础。

2.2.2 Exchange 2007前后端结构

Exchange 2007 Server有一种新的应用程序体系结构它为Internet和Intranet邮件解决方案提供了一个功能丰富而强大的平台这种结构就是前端/后端结构FE/BE 。 由于Exchange 2007采用了前端/后端服务器拓扑从而进一步提高了可伸缩性和可用性。 FE/BE服务器拓扑是真正多层的Internet应用程序体系结构采用专用的Web和数据库服务器。在Exchange 2007中将协议和存储服务分开使设计者能够使用多层FE/BE服务器拓扑提高了可伸缩性、安全性和可用性等等。另外处理HTTP、 SMTP、POP及IMAP Internet消息访问协议请求的一组IP服务器可以容留在独立于全部数据存储的服务器上并且无需RAID 容错磁盘阵列控制器。这就减少了服务器成本 同时也可以防止SMTP故障和意外的服务拒绝事件影响到通信存储或目录。

Exchange 2007 Server划分了协议、存储和目录的核心服务并分别与前端、后端和域控制器的服务器角色对应。 默认情况下 Exchange 2007服务器存放公用存储和专用存储并且以此角色履行后端或存储服务器的职责。通过使用HTTP协议 Exchange 2007前端协议服务器可以专用于与客户端通信。无论是前端服务器还是后端服务器都不能运行目录服务现在专门由域控制器处理这些服务。

当FE/BE服务器拓扑与Internet相连的环境集成在一起时它提高了安全性和设计灵活性。因为前端服务器不存放Web存储系统或ActiveDirectory数据库所以它们成为“黑客”攻击对象的价值就会降低。可以配置前端服务器以便在最低限度的一组Internet端口上扩展邮件服务 因而它们最适于放在防火墙后面或者放在隔离区(DMZ)中。

下图反映了Exchange FE/BE结构在隔离区中的部署

上海市中山北路2020号中星经贸大厦19楼电话: (8621)52916000传真: (8621)52949018

规划和调整FE/BE服务时要考虑的主要标准是

用户数要求最大和并发客户端连接

可用性要求针对应用程序和数据

数据恢复性数据和/或服务恢复率

其中用户数要求特别是最大和并发客户端负载决定了支持的Exchange服务器和域控制器的数目和大小。规模适当的体系结构必须能够支持所有服务的估计最大用户并发率登录/身份验证、 IIS 前

端会话、后端存储性能、 LDAP查询Active Directory和全局编录[GC] 和公用文件夹应用程序。

2.2.3邮件系统存储设计

考虑因素

可靠性

包括硬件软件的可靠性 即使在部分数据库受到以外破坏尽可能少影响用户的正常使用。对于不同的用户的可靠性要求不同对重点用户可靠性要求较高。

性能

能够满足系统中用户的访问需要保证数据库的日志文件操作不会影响整体存储访问的性能。不同类型用户对性能要求也会有所不同。

备份和恢复

要求实现灵活的备份调度不同种类用户的邮箱要求不同的备份策略对于重点用户的邮箱需要每半个星期备份一次普通用户的邮箱只需要1个星期备份一次。在灾难恢复的时候要求只要恢复受破坏的邮箱数据库。

上海市中山北路2020号中星经贸大厦19楼电话: (8621)52916000传真: (8621)52949018

成本

在考虑可靠性、性能的同时需要考虑成本。在成本预算范围内提供最可靠、稳定和高效的存储设计设计原则

用户根据不同的可靠性和性能要求分成不同类型不同类型的用户设计不同的存储策略。

每个卷尽量地使用单独的数据总线和磁盘控制器

为了保证最大的可靠性数据库和日志文件应该分开存放在不同的卷。

数据库所在的卷可以由多个硬盘组成。

如果需要对邮箱和公共文件夹建立索引需要预留25%至30%的额外磁盘空间

索引文件应该在分开在单独的卷里

一台Exchange 2007企业版服务器最多可容纳50个存储组无软件存储容量限制。

2.2.4域控制器DC

Exchange 2007 Server利用Windows 2003 Server的Active Directory活动目录服务完成目录服务的职能。所有Exchange 2007 目录信息包括关于用户、邮箱、服务器、站点、 自定义收件人等存放于ActiveDirectory中。目录服务器提供全局的人员账户和资源的管理并提供邮件服务器必须的服务功能。如果邮件系统的AD与公司的AD集成的话可以利用AD来实现更方便的管理新建邮箱和修改邮箱属性等操作只要连接到公司内部的AD的域控制器就可以完成。 Active Directory会自动进行同步。活动目录是Windows 2003网络体系结构中一个基本且不可分割的部分。并提供了一套为分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外 目录服务在网络安全方面也扮演着中心授权机构的角色从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。 同等重要的是活动目录还担当着系统集成和巩固管理任务的集合点。

2.2.5客户端

对于Exchange2007服务器可以使用以下客户端应用程序对Exchange服务进行访问o Outlook Express——可以为使用POP3或IMAP4协议访问运行Exchange的服务器而对OutlookExpress进行配置 当然 Outlook Express需将上述协议与基本验证一并使用。o Outlook Web Access(OWA)访问——你可以配置Outlook Web访问并使用HTTP或HTTPS访问Exchange服务。 Outlook Web访问以缺省方式使用基本验证而如果你需要更为安全的连接则上海市中山北路2020号中星经贸大厦19楼电话: (8621)52916000传真: (8621)52949018

可在SSL上使用基本验证。o Outlook—你可以将Outlook配置为Internet客户或MAPI客户。将Outlook配置为Internet客户时它便开始使用POP3或IMAP4协议与基本验证方式。可以通过建立一个VPN而将Outlook

配置为MAP I客户。 MAP I的使用仅限于与工作组或VPN配合工作的远程过程调用RPC进行通信。由于VPN使用可透过防火墙的专用连接 因此可以使用集成Windows验证。o Outlook Mobile Access (OMA) 与用于桌面浏览器的Outlook Web Access类似 Outlook MobileAccess是专门为从移动设备浏览器更安全地进行访问而设计的。通过Exchange 2007用户可以使用带有基于HTML、 XHTML (WAP 2.x)和CHTML的微浏览器的移动设备访问他们的邮箱。

为了使用户更为有效地管理自己的邮件设置邮件的各种规则方便地使用日程、任务、会议安排等功能建议有条件的客户端尽量采用Outlook 同时Web访问的手段作为一种有效的补充。

图 I E方式下的OWA邮件客户

2.2.6垃圾邮件的处理

邮件拒收Message Block

上海市中山北路2020号中星经贸大厦19楼电话: (8621)52916000传真: (8621)52949018

邮件拒收是在SMTP协议实现时的扩展选项。拒收的对象是虽然具有正确的本地收件人地址但却是来自不受欢迎的网络或个人的电子邮件。邮件拒收执行的时机是MTA正在按照SMTP协议接收邮件时操作是对邮件头部信息进行的。

要求可以设置以下规则

拒收来自指定IP或子网的邮件

拒收来自指定E-mai l地址的邮件

拒收来自指定域的邮件

拒收来自指定用户名的邮件

超出系统管理员设定大小的邮件

收件人个数超出系统管理员设定标准的邮件

收件人特征符合系统管理员设定为标准的垃圾邮件

拒收在一个时间段某地址针对单一用户发出超过设定数量的邮件

拒收在一个时间段某地址针对邮件系统发出超过设定数量的邮件

每一个被拒收的邮件都会产生可统计的日志记录。

转发限制Relay Restriction

转发限制也是在SMTP协议实现时的扩展选项。转发限制的对象是那些虽然具有正确的非本域目标收件人地址但却来自不受欢迎的网络或个人电子邮件或者目标收件人或网络不愿意接受来自本域转发的E-mai l。转发限制的操作实际是MTA正在按照SMTP协议接受邮件时操作是对邮件头部信息进行的。要求可以设置以下规则

拒绝转发或仅转发来自指定IP或子网的邮件

拒绝转发来自指定E-mail地址的邮件

拒绝转发或仅转发来自指定域的邮件

拒绝转发来自指定用户名的邮件

拒绝转发或仅转发目标为指定子网或指定域的邮件

除特定用户外 限制本地电子邮件用户一次性发送指定数量如25封以上电子邮件

每一个被拒绝转发的邮件都会产生可统计的日志记录。

上海市中山北路2020号中星经贸大厦19楼电话: (8621)52916000传真: (8621)52949018

邮件过滤 Mail Filter

要求可以实现系统级与用户级的过滤处理功能对符合过滤规则的邮件可选择拒收、丢弃、转发、投递、等待、延时等动作

过滤规则数量不限可对包括邮件头部信息在内的整个邮件通过邮件大小进行过滤分析。

能够对电子邮件信头主题、收发件人、抄送人等内容进行基于特征字符串的过滤

能够对电子邮件信体内容进行特征字符串的过滤

能够对电子邮件附件标题、文件类型和长度进行基于特征字符串的过滤

支持过滤规则动态导入和维护并立即生效

对电子邮件信件头、信体进行扫描之前支持BASE64和QuotedPrintable解码

对有害垃圾电子邮件过滤和阻断数量可以进行统计对公安机关所要求的过滤信息可以向公安机关远程传送

系统级的过滤规则对所有用户起作用用户级的过滤规则只对用户自己的邮箱起作用。

2.2.7防病毒规划

病毒防范的病毒防范体系应该包括病毒防范制度、防病毒软件和技术防范措施。

病毒防范制度是防范体系中每个主体都必须遵守的行为规程。没有制度防范体系就不可能很好地运作。应专门针对病毒防范制定相应的制度。

对于基于网络的计算机病毒防护主要的病毒防范点有 Internet接入口、大容量电子邮件系统的关键服务器及工作站、 内部信息网络的中心服务器等。

Exchange 2007带有支持病毒检测的开发接口可以通过开发实现实时的邮件检测删除带有病毒的邮件和附件。建议采用Symantec或者Mcafee提供的专业邮件防毒软件进行邮件服务器防毒。

2.2.8数据备份和恢复

邮件系统应配置高速的备份设备建立完备的日志增量备份、累计备份、定期全备份等的数据安全制度。邮件服务器的完整备份的周期为一周具体备份策略如下周六晚8点-早8点实施邮件服务器的完全备份而在每周其它天的晚12点-早六点采用增量备份这样可以备份和恢复例如如果周四邮件服务器崩溃需要恢复则首先恢复周六的完全备份然后依次恢复周日、周一、周二和周三的增量备份。由于Exchange 2007对于多存储组和数据库的支持还可以针对不同的存储组设定不同的备份策略上海市中山北路2020号中星经贸大厦19楼电话: (8621)52916000传真: (8621)52949018

从而实现对VIP用户邮箱数据的更高级别的保护。

第3章建议Exchange 2007前后端架构服务器软硬件配置。

Exchange 2007邮件服务器软件采用X64位架构 因此需要使用支持X64的服务器和操作系统

3. 1服务器硬件建议配置

前端服务器采用IBM X3550服务器(双CPU、 4G内存)

后端服务器作为邮箱存储数据库需要较高的性能和稳定性建议采用IBM X3650服务器双CPU、 4G内存

3.2邮件系统软件需求

前端服务器建议 Windows 2003 X64企业版+Exchange 2007企业版

后端服务器建议: Windows 2003 X64企业版+Exchange 2007企业版

邮件防毒和垃圾邮件防护建议 Symantec Mail security for Exchange