Exchange邮件方案建议书
邮件方案建议书
微软(中国)有限公司
2009年12月
目 录
系统建设目标
某某集团于2004年12月26日正式在某挂牌成立,由长期分散经营的某地省某地、某地、某地、某地等四大国有重点某某企业联手打造。组建后的某某集团总资产达到130亿元,以股份公司为核心层,存续企业为紧密层,以地方某资源为松散层,某资源总产量有望逐步达到1亿吨,销售收入200亿元,利税20亿元。某某自2004底组建以来,经营形式日益好转,经济效益快速攀升,已成为某地经济增长的最大亮点。
随着信息技术的不断进步和某某集团及其下属各分公司自身业务的不断发展进步,企业消息系统服务作为员工对内和对外交流的一项重要的方式,其稳定性、可靠性、及时性、安全性越来越受到某某集团及其下属各分公司信息管理部门领导的关注。企业消息服务系统的稳定性、可靠性、及时性、安全性将直接关系到公司日常工作的正常开展。另外,随着某某集团及其下属各分公司信息化建设的不断深入,业务系统的数量以及处理能力,处理效率都在不断提高,内部员工对电子化信息的依赖程度越来越高,这就迫切需要一个能够很好地与某某集团及其下属各分公司现有的业务和办公系统集成的企业消息系统,通过实现与内部办公系统以及其他系统的良好整合来方便员工对分布于各种系统中的业务和办公数据的访问,从而及时方便地处理相关工作,提高工作效率。某某集团及其下属各分公司现有的邮件系统提供的简单的邮件收发功能已经不能很好地满足某某集团及其下属各分公司的办公需求,因此迫切需要对现有的系统进行升级改造。
中国某某集团(以下简称某某)邮件平台的建设目标是为企业内部员工建设一个集即时消息、语言集成、音视频会议和文件传输功能在内的即时沟通平台,通过这个平台提供的状态呈现功能实现与企业现有的门户系统以及其他办公应用的集成,为企业员工提供一个安全、方便、可靠、集成、协作的及时的办公通信平台,提高日常办公效率,降低企业办公通信成本。
系统建设原则
协议开放性
为了保证系统的开放性,某某邮件平台必须建立在相关标准协议的基础之上。系统需要提供对如SIP协议、XML, SOAP等工业标准的支持。同时也要制定并遵守必需的应用接口规范以利于各个业务系统与该平台的协作。基于工业标准的系统,反映了未来的发展趋势,同时也使得系统更容易与其他系统相整合。
安全性
某某邮件平台必须使用系统平台的相关安全设置以及应用系统的安全性实现,确保满足整个系统的安全性要求。作为企业员工日常办公所必不可少的沟通和协作工具,实时沟通系统必须要确保不被非授权用户侵入。用户在系统上传递的信息不丢失,传输时数据不会被非法获取、篡改;系统能够确认发送和接收者的身份,信息传输能够被保存以便有需要时对其进行审计等等。
实时沟通平台的使用,不应该对企业IT系统的整体安全性造成负面影响。系统必须提供很好的病毒控制和垃圾信息防范机制。
易用性
系统的操作应尽量简单,对操作提示、错误报告、监控信息反馈等要全面、详细,真正做到易学、易用、易培训,降低系统推广使用的成本。
可用性
在系统结构设计上要充分考虑到系统运行的可用性,系统平台方面要考虑各种系统配置对稳定性的影响、尽量减少单点失败的可能性。平台的配置必须能够支持集群架构。
易管理
某某邮件平台的管理要尽量简单,尽量少地让用户涉及到系统平台的管理工作,必要的管理任务也要提供相应的培训、帮助资料甚至操作引导界面来帮助用户顺利地完成必须管理任务。
为了简化管理和维护工作量,系统应能提供简单易用的管理工具供系统管理员进行维护管理使用。
易维护
系统的结构设计要易于维护,组成系统的功能元素要具有一定的独立性,可以根据用户的需要进行替换而不影响或很少影响其他功能元素,并能够与其他功能元素协作共同完成用户的功能。
易扩展
通信平台无论是在功能上,还是在通信协议规范上都应当易于扩展,以便适应今后各种通信业务的发展。一套好的通讯应用系统,应该不仅局限于内网使用,还应该允许用户从外网安全的使用。同时,它应该是一个可扩展,可开发的平台,能够与其他通讯系统互联。企业能够通过在此平台上开发出更多的应用,来最大化系统的价值。
该平台必须适应企业发展的需要,随着使用人员的增加而能方便地进行系统扩展。适应企业应用的可伸缩性和可扩展性。
邮件系统需求和建议解决方案
根据某某邮件平台的需求,微软公司提供了成熟的产品来支撑,企业级电子邮件 – Exchange Server 2010。
基于Exchange 2010的邮件系统,具有丰富的特性,满足企业的需求。
客户端的体验
邮件客户端
Exchange 2010支持多种访问方式,一致的使用体验,用户可以通过Outlook客户端、Web浏览器、手机、普通电话来访问和管理自己的邮件、日程安排、任务和联系人。所有这些客户端,无论从用户界面、操作方式还是从提供的功能来看都和Outlook非常接近,这不仅为用户提供了良好的使用体验,同时也减轻了企业的系统维护和管理人员的培训工作量,同时支持POP3或者IMAP4客户端。
- Outlook:使用Outlook可以获得最为强大和丰富的功能,包括本地缓存模式、本地的全球地址簿、共享日历、联系人等。无论在线还是脱机都可以正常工作。当用户在外出差时,还可使用Outlook无处不在功能在局域网外安全地连接Exchange服务器。
- Web 浏览器(Outlook Web Access):通过Web浏览器(如IE, FireFox, Safari)就可以直接访问Exchange服务器。Outlook Web Access提供了Outlook客户端的98%的功能,如收件人地址的自动完成功能、日程安排通过鼠标拖拽就可更改日程时间等。
- 智能掌上设备: 无须额外服务器和服务,Exchange Server 2010 默认支持手机(如智能手机、Pocket PC等)实时获取和更新用户邮件、日程安排和联系人的信息。服务器一有新邮件抵达,立刻推送至手机上。多种智能手机如Windows Phone, iPhone, Palm, Nokia, Motorola, Samsung, Sonyericson等可以直接与Exchange邮件,日历,联系人和任务同步或通过Push mail技术推送到智能手机
- 普通电话:通过Exchange Server 2010新增的强大的统一消息功能,用户既可以在邮箱中接收到自己的语音留言和传真,还可以通过普通电话来访问自己的邮箱,让Exchange Server 2010依据邮件的编码选择合适的语言将邮件内容由文字转换成语音的方式,通过电话读给用户听。
- POP3和IMAP4客户端:Exchange Server 2010支持传统的POP3和IMAP4客户端访问方式。
邮件搜索
在Outlook和OWA中,可以快速搜索邮箱的所有邮件,包括简单的关键字搜索和组合条件的搜索,也可以搜索本地个人文件中的邮件,方便使用者对信息的快速查找。
Web方式查看文档
包含在Outlook 2007 /Outlook Web Access 2010中,它能把多种文档格式——包括Microsoft Word,Microsoft Excel,Microsoft PowerPoint以及PDF文件——从它们原来的格式转换为HTML格式,这样即使客户端没有安装创建文档的应用软件,也可以在客户端浏览器中查看它们。这一功能使用户可以在几乎任何一台机器上获得高效的生产力并保证所查看文档的安全性,甚至是在公共计算机上,因为Outlook Web Access会在用户退出或会话超时时删除HTML文档。
日程管理功能
用户可以通过日程管理功能简化并自动化对人员与资源的日程安排。
- 日程助手:日程助手根据与会人员和资源的日程安排分析他们的忙闲状态,以颜色编码的用户界面显示全自动的为会议发起人建议举行会议的日期和时间。
- 日历助手运行在Exchange 2010服务器上,不需要任何最终用户的交互,它将收件人日历中的会议请求标记为临时请求,一直到用户提交该请求为止。同时,日历助手会删除同一个会议请求的历史版本,确保了您邮箱中的日历请求是最新版本的。
- 资源预定助手 也运行在Exchange 2010服务器上,不需要任何最终用户的交换,它管理着资源的可用性并允许使用资源策略,如可用的小时数和日程权限。
通讯录管理
Exchange 的通讯录包括企业通讯录和个人通讯录,个人通讯录可以和手机同步并支持联机查找,如果用户不在个人通讯录中时。
邮件服务器
用户管理
Exchange邮件系统通过稳定、开放、易于扩展的活动目录(Active Directory)提供目录服务和邮箱管理及验证。
活动目录可以实现用户管理,提供对用户、应用程序和设备的单一、一致性的管理点;加强终端安全性。并且向用户提供单一的网络资源登录,为管理员提供强大、一致性的工具以使他们能够管理为内部计算机用户、远程拨号用户以及外部客户提供的安全服务。活动域管理是实施服务器管理、终端管理的基础,也可以为企业内部的财务、人事、电子邮件、企业信息门户、办公自动化、防病毒系统等各种应用系统提供支持,是安全体系建设的基础。
Exchange Server 2010邮件系统与活动目录紧密集成,并且依赖活动目录完成其目录操作。活动目录可以为邮件系统提供邮箱信息、地址列表服务以及其他跟收件人相关的信息,同时邮件系统的配置信息也存储在活动目录中。通过活动目录的复制功能,可以将这些收件人相关信息和配置信息复制到各个活动目录域和站点中的域服务器,以供邮件系统就近访问。
可以说活动目录是邮件系统的安全系统,活动目录的安全机制保证了只有认证通过的用户才可以访问邮箱,并且只有认证通过的管理员才能更改邮件系统中他被授权可以更改的配置信息。
邮件系统内置活动目录访问模块,用于和活动目录通讯(LDAP请求)以及缓存活动目录的信息,通过共享访问和缓存机制,可以减少活动目录域控制器以及全局编目服务器的负载。邮件系统可以发现活动目录拓扑,确认域控制器和全局编目服务器,并且维持可用的域服务器列表。
地址簿信息存储在活动目录中,邮件系统也对Outlook客户端地址簿访问提供支持。
在消息传输过程中,邮件系统的SMTP Categorizer(SMTP分捡器)将根据消息头中包含的信息去查询活动目录,并且决定消息路由,即消息如何传递以及消息将被传递到何处。另外SMTP Categorizer通过查询活动目录,解析发件人、收件人,以及邮件组,并且将每个收件人和每个发件人的限制应用于消息。
邮件服务器
Exchange Server提供了一个全面的、可以运行在一台单独服务器上的企业消息系统,也可以安装到多台设备上的灵活的、模块化的系统可以在部署、管理和安全上获得重要的好处。
在Exchange Server 2010中,基于角色的部署功能进行了扩展,企业可以根据自身环境需求将预定义的角色指定给特定的服务器。这些预定义的角色使组织可以控制邮件流程,提高安全性以及在不同的服务器直接分配服务,如下图所示。
图1: Exchange Server 2010服务器角色
在Exchange Server 2010中,角色是预定义的并可以在安装过程中进行选择。安装过程中选择的角色确保了每台服务器上只安装必需的服务和组件。这一方法不仅简化了部署过程,也保证了随着时间的推移可以实现对Exchange的高效的管理和对硬件设备的高效利用。
- 客户端访问角色. 类似于早先版本的Exchange中的前端服务器,该服务器将Internet客户端的访问转到正确的邮箱服务器。
- 邮箱角色. 该角色存储着可以被复制和集群化的用户邮箱数据库。
- 中心传输角色. 该角色提供了对所有信息的内部路由——包括来自边缘服务器的信息,统一消息(UM)服务器的信息或在同一邮箱数据库上的两个用户之间的信息。中心传输角色也是对在组织内外传输的消息实施策略管理的地方。
- 统一消息角色. 该角色可以与交换机进行集成,以传输语音邮件和传真信息到Exchange邮箱中,并提供到Exchange Server的语音拨入功能。
- 边缘传输角色. 该服务器在您的内部网络之外,为Exchange提供企业自主管理的邮件安全,防病毒和反垃圾服务。企业外的过滤由Exchange Hosted Filtering提供,此部分内容稍后讨论。
邮件安全
统一的高可用性
提高Exchange邮箱服务器可用性的一个方法(不再是唯一方法了)是使用Exchange群集技术。使用两个或多个节点组成一个Windows群集,由Exchange提供冗余服务器,这样如果一个节点或一个节点上的服务出现故障,其它节点可以进行接管并继续提供Exchange服务。Exchange群集技术中Exchange服务是冗余的,但Exchange邮箱数据库却不是。因此,Exchange群集技术是通过对Exchange服务增加冗余来提高可用性;
建立在之前Exchange 2007连续复制技术的投资之上,针对高可用性和灾难恢复的简化方式结合增强的维护工具,可帮助您实现新一级的可靠性并降低提供业务连续性的复杂程度。Exchange 2010新的高可用性体系结构建立在Exchange Server 2007中推出的本机复制功能之上,为高可用性和灾难恢复提供了简化的统一框架-数据库可用性组,一组邮箱服务器,使用连续复制以提供各种故障(磁盘级、服务器级、数据中心级)的自动恢复能力。因而大大延长了最终用户的正常运行时间,提高了管理员的自由度,并且降低了组织的资产和运行成本。
为法规遵循和邮件保留所提供的邮件记录功能
安全,法规遵循和邮件保留是邮件系统规则管理的核心。邮件记录是法规遵循的一个重要组成部分。某些管理规则需要具备对邮件组用户所收到的邮件进行审计的功能,该功能对于组织的内部策略或审计非常有用。Exchange Server 2010记录的邮件可以保存在Exchange数据库中,SharePoint站点或者可以发送到任何由第三方邮件记录公司使用的外部SMTP地址。在Exchange Server 2010中,可以通过设定记录范围来决定记录哪些邮件。设定的范围可以是单个邮箱、一个邮件分发组,一个数据库或者整个组织。语音邮件信息和未接来电提醒可以排除在记录之外。而且一份邮件记录的详细报告包括了诸如收件栏,发件栏,抄送栏,密送栏的信息和邮件组信息,以及其它元数据。
内置多引擎的反病毒防垃圾系统
- 对于用户自行管理和维护的病毒防护,反病毒软件提供商和客户可以从Exchange Server 2010提供的新的传输代理API中获益。通过该API,软件提供商可以编写反病毒代理来与Exchange内建的传输代理直接交互。因为信息是通过边缘传输服务器或中心传输服务器进入组织的,传输服务器可以调用反病毒代理来检查信息并过滤那些包含病毒的信息。
- Exchange Server 2010还提供了一个全面的反病毒解决方案。Exchange Server的Forefront Security为Exchange边缘传输角色、中心传输角色和邮箱角色提供了全面的病毒保护功能。Exchange Server的Forefront Security使用带有内容过滤功能的多重扫描引擎,提供了层次化的保护来抵御带有病毒的信息。
支持Exchange Server 2010的防病毒厂家
- Symantec
- Trend Micro
- Kasperksy Lab
- GFI Software
- McAfee
- Exchange Server 2010的反垃圾邮件功能提供了多层保护措施,以多种不同的方式来阻止垃圾邮件。
- 连接筛选 通过在Exchange管理控制台中显示每个元素,改进了IP阻止列表、IP 允许列表、IP阻止列表提供程序和IP允许列表提供程序的配置和管理。
- 内容筛选 使用Microsoft SmartScreen机器学习专利技术的Exchange智能邮件筛选器是内容筛选器的基本技术,它可评估入站邮件并确定邮件是否是合法、欺骗或垃圾邮件的可能性。
除了扫描邮件内容,智能邮件筛选器合并从连接筛选、发件人筛选、收件人筛选、发件人信誉、发件人ID验证和Microsoft Office Outlook 2007电子邮戳验证中收集的数据,以便对给定邮件应用垃圾邮件可信度 (SCL)分级。您可以基于该SCL分级配置对邮件的操作。这些操作包括:- 传递到Outlook用户收件箱或垃圾邮件文件夹
- 传递到垃圾邮件隔离邮箱
- 拒绝邮件和不传递
- 接受和删除邮件。服务器接受邮件并将其删除,而不是转发到收件人邮箱。
- Outlook 2007支持Outlook电子邮戳验证,其中涉及预解决计算问题的创建。将 Outlook电子邮戳验证和Exchange 2007/2010内容筛选一起使用时,可以帮助改进对不熟悉的发件人的邮件传递能力。垃圾邮件隔离 垃圾邮件隔离为被标识为垃圾邮件的邮件和不应传递到组织内用户邮箱的邮件提供临时存储位置。垃圾邮件隔离功能在内容筛选处理期间是可用的。被标识为垃圾邮件的邮件在未送达报告 (NDR)中反转,并在组织内传递到垃圾邮件隔离邮箱。Exchange管理员可以管理传递到垃圾邮件隔离邮箱的邮件,也可以采取适当的操作,例如,删除邮件,或在反垃圾邮件筛选中允许标记为误判的邮件路由到他们的预期收件人。
Exchange 2007/2010环境启用两层反垃圾邮件隔离功能。首先,管理员可以访问垃圾邮件隔离邮箱。通过使用Outlook,管理员可以访问垃圾邮件隔离邮箱来搜索邮件、将邮件发送到预期收件人或拒绝并删除邮件。具有管理员定义为边界线的 SCL分级的邮件可以被发送到Outlook中用户的垃圾邮件文件夹。将边界线邮件转换为纯文本以便获得额外保护,然后再将其发送到用户的垃圾邮件文件夹。 - 收件人筛选 使用Microsoft Exchange EdgeSync服务,现在可以在边缘传输服务器角色中将收件人数据从企业 Active Directory 复制到 Exchange Active Directory 应用程序模式 (ADAM) 实例。这将为入站邮件启用收件人筛选代理来执行收件人查询,从而可以阻止发送到不存在的用户或仅内部通讯组列表的邮件。另外,在Exchange 2007/2010中,系统管理员可以在每个入站接收连接器上配置Tarpit间隔。
- 发件人 ID 发件人ID通过检查发件人IP地址并将该IP地址与发件人公共域名系统 (DNS) 服务器中的发件人ID记录进行比较,验证是否每个电子邮件都来自邮件声称来自的Internet域。发件人的公共DNS服务器上的发件人ID记录是发送方策略框架 (SPF) 记录。SPF定义IP地址,该IP地址被授权可为SPF记录驻留的域发送邮件。接收系统查询SPF记录并返回"Pass"状态时,接收系统有不会被合法发件人欺骗的更高保证。
可以指定发件人ID代理如何处理临时错误,例如,执行SPF查询时出现的DNS故障。 - 发件人信誉 发件人信誉使用专利Microsoft技术来计算未知发件人的可信度。发件人信誉从简单邮件传输协议(SMTP)会话、邮件内容、发件人ID验证和一般发件人行为收集分析数据,并创建发件人特征的历史记录。发件人信誉使用该知识来确定是否应该将发件人临时添加到阻止发件人列表中。
- IP 信誉服务 由Microsoft提供的服务是仅为Exchange 2007(及其更高版本)客户提供的IP阻止列表。除了其他实时阻止列表服务,管理员可以选择实现并使用 IP信誉服务。
- Outlook垃圾邮件筛选器列表聚合 该功能通过将Outlook 2003和Outlook 2007垃圾邮件筛选器列表传播到邮箱服务器和边缘传输服务器,可以帮助减少反垃圾邮件筛选的误报。
消息传输和认证的安全性
- Exchange Server 2010使用SMTP在组织内部的Exchange服务器之间传输信息。所有在Exchange Server 2010组织内传输的信息缺省就是加密的。服务器与服务器间的传输使用传输层安全协议(TLS),Outlook的连接使用加密的远程过程调用(RPC),客户端访问(Outlook Web Access,微软® Exchange ActiveSync®和Web服务)使用SSL协议。这种方法阻止了欺骗并保护了信息的机密性。
- Kerberos认证服务用来进行认证,简化的安全传输层协议用来进行加密。TLS在Exchange Server 2010中进行了简化,因为它使用自身指定的SSL认证。因为每一台Exchange服务器都自动配置了SSL证书,内部的Exchange服务器不仅能用SSL对信息进行加密,而且可以加密发送给外部SMTP服务器的消息进行加密,只要接收邮件的外部SMTP服务器也被配置为可以使用TLS收发信息即可。
邮件系统的管理
Exchange Server 2010的一个主要目标是使Exchange管理员的工作变得更简单和更高效。日复一日的维护,监控和故障排除工作在小型或大型组织中可能会成为一种负担。
管理工具
Exchange Server 2010提供了新的工具和特性,旨在简化Exchange的管理,以满足服务等级协议(Service Level Agreements)的要求,并通过预先维护和监控避免问题的产生。
- 改进管理方式的工具:Exchange Server 2010引入了一个基于模块服务器角色的架构,以解决企业对于改变信息的需求。同样,Exchange Server 2010包含了一个新的图形化管理工具。Exchange管理控制台是一个基于Microsoft管理控制台(MMC)的工具,它反映了架构的变化,可以对服务器角色进行独立管理,可以实现新的管理模型,而无需管理组或路由组。
- 强大的脚本工具——Exchange管理外壳程序:Exchange管理控制台使用了一个功能强大的脚本技术,叫作Exchange管理外壳程序。Exchange管理外壳程序基于Windows PowerShellTM技术,它是一个命令行工具,您可以通过它操作功能强大的命令集,这些命令集由动词-名词对组成。通过PowerShell,您可以用最少的代码编写复杂的任务脚本或者在外壳程序提示符下交互式地执行任务。凭借外壳程序,您可以通过执行命令来访问并影响许多不同的资源,包括邮箱数据库,注册表以及Active Directory。
- 使用自动发现功能简化Outlook的配置:在过去,Outlook的profile设置比较困难,因为大多数用户都不知道用于解析他们profile的Exchange服务器的名字。有了新的自动发现功能,用户只需要记住他们的用户名,密码和电子邮件地址就可以配置Outlook profile。
角色管理
Exchange 2010的管理控制台利用远程PowerShell,管理员能够以受控的方式将任务委派给负责的用户,以满足组织的需求。统一消息经理、服务台人员或Exchange服务器管理员等特殊角色易于创建和管理,大大简化了Exchange的管理。
授予特定角色的人只能执行相应权限的任务,可以有效做到权利分派和控制。
备份功能
Exchange支持下列的数据库备份方法:
- 卷影复制服务:卷影复制服务可以在分钟级备份和恢复邮件数据。卷影复制服务是通过快照的技术实现快速备份和恢复数据。卷影复制时会建立不同时间点的副本。卷影复制备份操作其实备份的是该时间点的文件簇,因此可以在分钟内即可实现数据备份。邮件系统支持卷影复制备份和恢复。
Exchange支持下列的数据备份类型:
- 完全备份:完全备份是存档每个所选数据库和所有必需日志文件的完整备份。完成备份后,会删除早于启动备份时检查点的日志文件。
- 副本备份:副本备份是一种完整备份,且除了在备份完成时不删除日志文件外与完全备份完全相同。如果要在特定时间点保存邮件数据库的副本,则可以执行副本备份。
- 增量备份:增量备份是一种更改备份,它只存档自上次完全备份或增量备份以来的事务日志文件。完成备份后会删除早于检查点的日志文件。
- 差异备份:差异备份是一种更改备份,它只存档自上次完全备份或增量备份以来的事务日志文件。不删除事务日志。
Exchange Server备份和恢复的数据内容包括:
- 程序文件:程序文件包括操作系统和应用程序的程序文件。
- 系统状态:系统状态包括注册表、启动文件和COM+注册数据库。
- 目录存储数据:目录存储数据包括所有的组织对象、密码和属性信息。
- 邮件存储数据:邮件存储数据包括所有的邮件内容、索引、日志等内容。应支持对邮件系统特定数据库备份和恢复。如管理员可以按照时间设定不同的备份任务,如周一备份数据库一,周二备份数据库二等。
数据恢复
操作系统数据恢复:
- 当操作系统出现故障时,管理员可以从程序文件和系统状态数据最近的一次备份点恢复,将服务器的操作系统和应用程序快速恢复到备份时的状态。
目录服务数据恢复:
- 当目录服务出现故障时,管理员可以从目录服务数据最近的一次备份点恢复,将目录服务快速恢复到备份时的状态。
邮件数据恢复:
- 支持已删除项目保留:设置已删除项目的保留时间后,如14天,则在彻底删除邮件项目14天之内,用户可以通过Outlook客户端或者Outlook Web Access操作界面自行恢复已删除项目而无须管理员支持和干预。
- 支持已删除用户保留:设置已删除用户的保留时间后,如14天,则在彻底删除邮箱用户14天之内,管理员可以恢复该用户所有用户属性和邮箱,无须通过备份来恢复。
- 支持在多个邮箱数据库中分摊用户:通过将用户分布到更多的邮箱数据库中,可以降低单个数据库丢失产生的影响,并且在需要还原时可以更快地还原。
- 支持在不影响其他数据库用户的前提下,恢复数据库中单个用户的邮箱:当一个用户需要恢复其邮件时,可以在邮件服务持续提供服务的情况下,为单个用户恢复邮件数据,而不影响其它用户同时使用邮件服务。
- 支持通过备份数据恢复一个数据库中所有用户的数据。
系统配置建议
基于Exchange 2010构建的系统可以满足某某对邮件的众多要求,切实帮助某某提高员工的工作效率。与此同时,Exchange 2010还提供非常灵活的架构支持,不同企业可以针对自身需求采取不同的配置,包括支持高可用性的架构、支持灵活扩展的架构或者选择简单的架构,以最少的投入来获得最大的回报。
高可用性的配置屏蔽了单点故障,使得当一个服务器节点失效时,另外的可用的节点能够进行服务的接管。可伸缩性的配置可以保证当即时沟通平台的使用用户增加时,该平台应该具有良好的可伸缩性,能非常方便地进行扩展。
Exchange 2010 支持高可用配置,可以做到各个角色的高可用。如邮箱通过DAG群集,其它角色通过NLB 实现多台服务器的负载均衡。
配置架构图
考录到某某用户规模,前期设计架构图如下:
下面对此配置架构进行简单的描述和说明:
目录服务器
部署Windows sever 2008;Exchange 2010的用户帐号信息是存储在活动目录中的,因此部署Exchange 2010首先要部署活动目录服务。
邮箱服务器
部署Exchange 2010 ; 实现邮件,日程安排,联系人管理等功能。
客户端访问服务器
部署Exchange 2010, 实现客户端访问,邮件传输控制功能
邮件边缘服务器
部署Exchange 2010;实现反病毒,防垃圾邮件功能,同时转发内部和外部网络的邮件信息。
反向代理服务器
实现内部网络的发布,如Exchange 的移动访问,部署的服务器是微软的ISA 2006 版本.
Exchange 平台优势
技术优势
信息传输的安全控制
严格的信息传输的安全控制需要从实时传输控制和事后安全审计两部分实现。实时传输控制要求邮件在传输到用户邮箱之前就能管理控制,使其满足行业或者机构的法规和政策。事后安全审计要求无论用户对其邮箱做了什么操作,其历史来往邮件应该都是可查的,而且必须有良好的方式查询多个用户的来往邮件是否有违反公司安全策略的记录。
- Exchange的实时传输控制功能包括邮件传输加密、邮件传输规则控制、邮件关键词过滤、防病毒和反垃圾邮件。
- Exchange的事后安全审计功能包括邮件记录留存、邮件记录管理和邮件归档。
邮件传输加密
邮件在机构内部传输过程中都是默认加密传输。无论是客户端到服务器,还是服务器之间的传输,都是通过加密的方式进行传输。管理员无需配置即可实现默认加密传输,邮件在传输过程中无需担心邮件内容被窥探。
- Exchange Server 2010使用SMTP协议在组织内部的Exchange服务器之间传输信息。所有在Exchange Server 2010组织内传输的信息缺省就是加密的。服务器与服务器间的传输使用传输层安全协议(TLS),Outlook的连接使用加密的远程过程调用(RPC),客户端访问(Outlook Web Access,微软® Exchange ActiveSync®和Web服务)使用SSL协议。这种方法阻止了欺骗并保护了信息的机密性。
- Kerberos认证服务用来进行认证,简化的安全传输层协议用来进行加密。
邮件传输规则控制
很多机构都会有如下的一些邮件传输策略:
- 防止不适当的内容进入或离开组织
- 筛选机密组织信息
- 控制不同部门或者不同用户之间的邮件来往
- 对特定个人发送或接收的邮件抄送给特定人员审计
- 在传递之前重定向入站和出站邮件以便进行检查
- 对通过组织的邮件应用免责声明
Exchange提供了邮件传输规则控制的功能,使得管理员可以设定特定的传输规则,便于在组织内部更好的控制邮件传输安全。
关键词过滤
Forefront Security for Exchange可以很容易地实现对特定关键词的筛选。当包含特定关键词时,执行特定的操作。关键词的过滤范围包括邮件标题、邮件正文和附件标题、附件正文。对于ZIP等文件,可以自动解压查看里面的文件,检查完后自动压缩成新的ZIP文件。
防病毒
建议采用Microsoft Forefront Security做为保护 Exchange 环境的解决方案。
Forefront Security 使用 Exchange VSAPI 与 Exchange 服务器紧密集成,以提供无缝的保护。它支持八个厂家的防病毒引擎在一个整合的环境中工作。通过使用多引擎,在新的病毒爆发时用户可得到多个病毒实验室的支持而不必只依靠一个实验室。Forefront Security支持9个防病毒引擎,可在单个服务器上可同时启用5个防病毒引擎。
反垃圾邮件
Microsoft Exchange Server 2010 默认提供的9个反垃圾邮件筛选器是按以下顺序进行应用: 连接筛选,发件人筛选, 收件人筛选, 发件人 ID,内容筛选, 发件人信誉,附件筛选。
邮件记录留存和归档
邮件记录是法规遵循的一个重要组成部分。某些管理规则需要具备对邮件组用户所收到的邮件进行审计的功能,该功能对于组织的内部策略或审计非常有用。丰富的信息展现方式
多种访问方式,一致的使用体验
在Exchange Server 2010强大的移动特性的支持下,用户可以通过Outlook客户端、Web浏览器、手机、普通电话、POP3或者IMAP4客户端来访问和管理自己的邮件、日程安排、任务和联系人。所有这些客户端,无论从用户界面、操作方式还是从提供的功能来看都和Outlook非常接近,这不仅为用户提供了良好的使用体验,同时也减轻了企业的系统维护和管理人员的培训工作量。
保证复杂网络环境下用户的使用体验
优化的握手协议和数据压缩能够减小网络数据流量,给窄带环境下的用户更流畅的使用体验;Outlook的Exchange缓存模式能够自动在离线/在线状态间切换,减少对用户工作的打断;Exchange Server 2010独有的Outlook无处不在功能使得企业不必部署VPN/RAS也能让外网(例如在家或出差)的用户能够使用Outlook安全地连接到位于企业内网的Exchange邮件服务器,而开放的端口仅仅是80/443(HTTP/HTTPS)。
手机直推邮件
无须额外服务器和服务,Exchange Server 2010默认支持手机(如智能手机、Pocket PC等)实时获取和更新用户邮件、日程安排和联系人的信息。服务器一有新邮件抵达,立刻推送至手机上。结合移动办公解决方案,管理人员可以摆脱计算机的束缚,直接在手机上批复公文。
统一消息
Exchange Server 2010不再只是存放邮件、日程信息和联系人,组织的语音留言和传真也都可以被Exchange Server 2010统一管理起来。用户只需要通过访问收件箱,就可以访问到邮件、日程安排、联系人、语音留言和传真。同时,Exchange Server 2010还是一个会听话并且能说话的邮件系统。用户可以通过普通电话来访问邮件系统,并语音控制它读取邮件或者日程安排。Exchange Server 2010会依据邮件的编码选择合适的语言将邮件内容由文字转换成语音的方式,通过电话读给用户听。
开放的集成平台
Exchange是一个开放的集成平台。Exchange可以和微软活动目录服务器无缝集成,直接使用微软活动目录的用户管理和用户验证功能。Exchange可以和SharePoint紧密集成,通过SharePoint的Web Parts功能,可以在SharePoint门户中通过简单的配置来访问邮件列表、日程和联系人等信息。另外,Exchange提供了丰富的Web Services接口,便于其它应用调用Exchange接口发送邮件或者阅读邮件。
与SharePoint门户集成
对于已经部署或者将要部署SharePoint门户的用户,无需开发,使用SharePoint门户自带的Web Parts组件就可以直接在SharePoint门户中内嵌邮件列表、日程和联系人等。Exchange和SharePoint门户实现了单点登录,即登录了SharePoint门户,无需再次输入密码,就可以访问SharePoint门户中内嵌邮件列表、日程和联系人等信息。
丰富的Web Services接口
从Exchange 2007起,Exchange服务器拥有一个新的服务集(也称为 Exchange Web服务),使开发人员能够使用标准HTTP与Exchange邮箱及内容进行交互。通过Exchange Web服务可以访问已通过身份验证用户的邮箱及其邮箱中的项目。
高级的容灾功能
Exchange提供了丰富的容灾功能。包括实时的服务切换和高级的备份恢复功能,尽可能的减少因为硬件故障而无法提供服务所造成的损失。
已彻底删除邮件恢复
Exchange支持已彻底删除项目的保留:设置已删除项目的保留时间后,如14天,则在彻底删除邮件项目14天之内,用户可以通过Outlook客户端自行恢复已删除项目,而无须管理员干预。
管理员可以针对不同级别的用户,设定不同的保留时间。如机构领导,可以设定较长的保留时间,如60天。领导彻底删除的邮件在60天之内,都可以直接通过客户端直接恢复,而无需管理员干预。对普通用户,可以只设定7天或者更短。
高级备份和恢复功能
Exchange支持高级的备份和联机恢复功能。备份方式包括:卷影复制服务:卷影复制服务可以在分钟级备份和恢复邮件数据。卷影复制服务是通过快照的技术实现快速备份和恢复数据。
高性能和可扩展平台
多服务器角色,易于扩展
Exchange使用模块化多服务器角色。各个服务器角色可以合并安装,也可以单独安装。各服务器角色安装后,自动优化配置。同时,使用多服务器角色的部署架构,易于对架构进行扩展。
高性能的64位环境
通过64位环境的高内存,Exchange比32位环境性能提升4倍。
优化的路由算法
通过优化的路由算法,Exchange提高了邮件的传输速度。
易管理性
改进管理方式的工具
Exchange Server 2010引入了一个基于模块服务器角色的架构,以解决企业对于改变信息的需求。同样,Exchange Server 2010包含了一个新的图形化管理工具。Exchange 管理控制台是一个基于Microsoft 管理控制台 (MMC) 的工具,它反映了架构的变化,可以对服务器角色进行独立管理,可以实现新的管理模型,而无需管理组或路由组。
强大的脚本工具——Exchange管理外壳程序
Exchange管理控制台使用了一个功能强大的脚本技术,叫作Exchange 管理外壳程序。Exchange 管理外壳程序基于Windows PowerShellTM技术,它是一个命令行工具,您可以通过它操作功能强大的命令集,这些命令集由动词-名词对组成。通过PowerShell,您可以用最少的代码编写复杂的任务脚本或者在外壳程序提示符下交互式地执行任务。凭借外壳程序,您可以通过执行命令来访问并影响许多不同的资源,包括邮箱数据库,注册表以及Active Directory。
内置多个管理工具
Exchange内置多个管理工具,如性能调优工具、队列查看器、邮件跟踪工具、最佳实践分析工具等,便于管理员管理系统。
客户端自动发现服务器
以往的Outlook客户端配置都需要知道服务器名称,造成管理员花费大量时间帮助用户安装客户端。有了新的自动发现功能,用户只需要记住他们的用户名,密码和电子邮件地址就可以自动配置Outlook。
其它优势
广泛的市场认可
Exchange在全球企业邮件市场中已经占有62%的市场份额(Gartner 2007年评估报告)。Exchange Server 2010于2009年11月份推出,它是被Gartner誉为设定企业邮件市场技术未来的高端产品。
Exchange在全球拥有近2亿的席位。全球财富500强企业中,80%以上的公司采用的是微软的Exchange服务器,如GE,西门子,中石油和中石化等。Korea.com共有300万用户在使用Exchange的邮箱。
清晰的产品路线图
作为微软最重要的的企业应用产品之一,微软对Exchange企业消息系统有着长期的承诺,Exchange产品线有着清晰明确的产品路线图,可以很好地保护用户投资。从96年的Exchange 4.0到今天的Exchange Server 2010,微软在持续不断的对Exchange产品进行改进。
成熟的技术社区
微软拥有大量的专业技术人员和众多的合作伙伴技术专家,可以为Exchange用户提供最为专业和有针对性的技术支持和服务咨询,确保用户无后顾之忧。
完善的客户支持体系
微软已经建立了完善的客户支持体系,从金牌合作伙伴,到微软售前支持部门,从微软咨询服务到全球技术支持中心。微软提供了完善的解决方案帮助客户建立和运维邮件系统。微软在全球众多Exchange用户的成功实施经验,可以更好的帮助客户规划整个邮件系统的建设,并为其良好运营提供中肯的建议。
