<客户名称><项目名称>建议书
带有Forefront Security的边缘服务器同样的效益,但是对这些服务的管理是由微软来完成的。在信息到达您的组织之前会对它们进行垃圾邮件和病毒的清理。Exchange Hosted Filtering使用多重过滤为您的企业提供主动保护,使企业远离垃圾邮件、病毒、仿冒和违规的电子邮件的影响。
12. 消息传输和认证的安全性
? Exchange Server 2007使用SMTP在组织内部的Exchange服务器之间传输
信息。所有在Exchange Server 2007组织内传输的信息缺省就是加密的。服务器与服务器间的传输使用传输层安全协议(TLS),Outlook的连接使用加密的远程过程调用(RPC),客户端访问(Outlook Web Access,微软? Exchange ActiveSync?和Web服务)使用SSL协议。这种方法阻止了欺骗并保护了信息的机密性。
? Kerberos认证服务用来进行认证,简化的安全传输层协议用来进行加密。
TLS在Exchange Server 2007中进行了简化,因为它使用自身指定的SSL认证。因为每一台Exchange服务器都自动配置了SSL证书,内部的Exchange服务器不仅能用SSL对信息进行加密,而且可以加密发送给外部SMTP服务器的消息进行加密,只要接收邮件的外部SMTP服务器也被配置为可以使用TLS收发信息即可。
13. 简化Exchange的管理:Exchange Server 2007的一个主要目标是使Exchange
管理员的工作变得更简单和更高效。日复一日的维护,监控和故障排除工作在小型或大型组织中可能会成为一种负担。Exchange Server 2007提供了新的工具和特性,旨在简化Exchange的管理,以满足服务等级协议(Service Level Agreements)的要求,并通过预先维护和监控避免问题的产生。
? 改进管理方式的工具:Exchange Server 2007引入了一个基于模块服务器
角色的架构,以解决企业对于改变信息的需求。同样,Exchange Server 2007包含了一个新的图形化管理工具。Exchange 管理控制台是一个基于Microsoft 管理控制台 (MMC) 的工具,它反映了架构的变化,可以对服务器角色进行独立管理,可以实现新的管理模型,而无需管理组或路由组。 ? 强大的脚本工具——Exchange管理外壳程序:Exchange管理控制台使用
了一个功能强大的脚本技术,叫作Exchange 管理外壳程序。Exchange 管
10 <客户名称><项目名称>建议书
理外壳程序基于Windows PowerShellTM技术,它是一个命令行工具,您可以通过它操作功能强大的命令集,这些命令集由动词-名词对组成。通过PowerShell,您可以用最少的代码编写复杂的任务脚本或者在外壳程序提示符下交互式地执行任务。凭借外壳程序,您可以通过执行命令来访问并影响许多不同的资源,包括邮箱数据库,注册表以及Active Directory。 使用自动发现功能简化Outlook的配置:在过去,Outlook的profile设置比较困难,因为大多数用户都不知道用于解析他们profile的Exchange服务器的名字。有了新的自动发现功能,用户只需要记住他们的用户名,密码和电子邮件地址就可以配置Outlook profile。
1.5 活动目录设计
由于Microsoft Windows Server 2003 和Microsoft Exchange Server 2007 都依赖 Active Directory 实现目录服务,因此必须确定如何将 Exchange 集成到 Active Directory 结构中。
要部署 Exchange,需要从一个已建立的、处于稳定工作状态的 Active Directory 基础结构开始。
下面简要介绍在统一邮件项目中活动目录的设计。
1.5.1 活动目录简介
活动目录可以实现用户管理,提供对用户、应用程序和设备的单一、一致性的管理点;加强终端安全性。并且向用户提供单一的网络资源登录,为管理员提供强大、一致性的工具以使他们能够管理为内部计算机用户、远程拨号用户以及外部客户提供的安全服务。活动域管理是实施服务器管理、终端管理的基础,也为财务、人事、电子邮件、企业信息门户、办公自动化、防病毒系统等各种应用系统提供支持,是安全体系建设的基础。
活动目录(Active Directory)主要提供以下功能:
11 <客户名称><项目名称>建议书
? 基础网络服务:包括DNS、WINS、DHCP、证书服务等。
? 服务器及客户端计算机管理:管理服务器及客户端计算机帐户,所有服务
器及客户端计算机加入域管理并实施组策略。
? 用户服务:管理用户域帐户、用户信息、企业通讯录(与电子邮件系统集
成)、用户组管理、用户身份认证、用户授权管理等,按省实施组管理策略。
? 资源管理:管理打印机、文件共享服务等网络资源。
? 桌面配置:系统管理员可以集中的配置各种桌面配置策略,如:界面功能
的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。 ? 应用系统支撑:支持财务、人事、电子邮件、企业信息门户、办公自动化、
补丁管理、防病毒系统等各种应用系统。
12 <客户名称><项目名称>建议书
1.5.2 邮件系统与活动目录的关系
Exchange Server 2007邮件系统与活动目录紧密集成,并且依赖活动目录完成其目录操作。活动目录可以为邮件系统提供邮箱信息、地址列表服务以及其他跟收件人相关的信息,同时邮件系统的配置信息也存储在活动目录中。通过活动目录的复制功能,可以将这些收件人相关信息和配置信息复制到各个活动目录域和站点中的域服务器,以供邮件系统就近访问。
可以说活动目录是邮件系统的安全系统,活动目录的安全机制保证了只有认证通过的用户可以访问邮箱,并且只有认证通过的管理员才能更改邮件系统中的配置信息。
邮件系统内置活动目录访问模块,用于和活动目录通讯(LDAP请求)以及缓存活动目录的信息,通过共享访问和缓存机制,可以减少活动目录域控制器以及全局编目服务器的负载。邮件系统可以发现活动目录拓扑,确认域控制器和全局编目服务器,并且维持可用的域服务器列表。
地址簿信息存储在活动目录中,邮件系统也对Outlook客户端地址簿访问提供支持。
在消息传输过程中,邮件系统的SMTP Categorizer(SMTP分捡器)将根据消息头中包含的信息去查询活动目录,并且决定消息路由,即消息如何传递以及消息将被传递到何处。另外SMTP Categorizer通过查询活动目录,解析发件人、收件人,以及邮件组,并且将每个收件人和每个发件人的限制应用于消息。
1.5.3 活动目录域建设方案
活动目录提供用户信息存储和用户身份认证,是统一邮件系统的基础。建议使用按域划分管理模式,即采用一个森林根域,多个子账号域的模式,域间自动信任的访问方式,简化了域间关系,并考虑到域内自行管理账号的灵活性,保障组织统一的应用可访问性与安全性。
创建和管理各个子域:
13 <客户名称><项目名称>建议书
省分名称 北京 河南 河北 子域名称 域之间默认建立双向可传递的信任关系。
1.5.4 活动目录域的管理模式
目录权限分二级权限管理权限,总部授权分公司管理员进行分公司范围权限管理。目录系统实施“统一规划、分公司管理”模式,即通过总公司统一规划和制定管理方法的模式,并提供相应的管理工具、管理方法,各个分公司根据总部的要求和自身实际情况分别实施。
域内管理内容包括人员账号、计算机账号、按照组织和地域等信息建立不同的OU(组织单元)和用户组,对资源访问的权限控制、组策略等。
1.6 DNS设计
由于 Exchange Server 2007 依赖 DNS 进行名称解析来进行邮件的传递,因此 DNS 的设计在邮件系统的设计中起到了至关重要的作用。
在邮件系统中,SMTP 依赖 DNS 来确定其下一个内部或外部目标服务器的 IP地址。通常,内部 DNS可以帮助邮件服务器实现内部邮件服务器的查找,但是内部DNS 名称不在 Internet 上发布。因此,SMTP 必须能够联系到可以解析外部 DNS 名称以发送 Internet 邮件的 DNS 服务器,以及可以解析内部 DNS 名称以实现组织内传递的 DNS 服务器。
1.6.1 DNS在邮件系统中的作用
DNS有以下三方面的作用。
? DNS 在发送和接收内部邮件时的作用
14