Exchange電子郵件系統(tǒng)解決方案

Exchange電子郵件系統(tǒng)解決方案因考慮XXXX網(wǎng)絡(luò)處于改造階段，相關(guān)網(wǎng)絡(luò)情況不明了，該方案為建議性解決方案，如方案中需規(guī)模性改造企業(yè)網(wǎng)絡(luò)，我們會根據(jù)最終網(wǎng)絡(luò)拓撲和實際網(wǎng)絡(luò)情況進行相應(yīng)的方案改進，并最終形成可行性解決方案。XXXX需求如下：MicrosoftExchange郵件服務(wù)器；郵箱空間限制在100MB，當空間使用率達到80%，提醒用戶；郵件附件大小限制在30MB以內(nèi)；要求設(shè)置密碼策略，密碼使用周期小于3個月，密碼不能少于8位，并遵循密碼復(fù)雜度要求（必須包含數(shù)字、字母和特殊符號）；OWA模式郵件收發(fā)方式；繼續(xù)接受舊服務(wù)器郵件；建立全球通訊錄；使用HTTP連接到MicrosoftExchange；域管理：實現(xiàn)開發(fā)環(huán)境標準化、提高信息和網(wǎng)絡(luò)安全；未來域模式規(guī)劃；名詞解釋MicrosoftExchange2010：微軟新一代電子郵件服務(wù)系統(tǒng)。ActiveDirectory：ActiveDirectory（活動目錄）動目錄（ActiveDirectory）是面向WindowsStandardServer、WindowsEnterpriseServer以及WindowsDatacenterServer的目錄服務(wù)。（ActiveDirectory不能運行在WindowsWebServer上，但是可以通過它對運行WindowsWebServer的計算機進行管理。）ActiveDirectory存儲了有關(guān)網(wǎng)絡(luò)對象的信息，并且讓管理員和用戶能夠輕松地查找和使用這些信息。ActiveDirectory使用了一種結(jié)構(gòu)化的數(shù)據(jù)存儲方式，并以此作為基礎(chǔ)對目錄信息進行合乎邏輯的分層組織。反垃圾郵件網(wǎng)關(guān)：用于針對已有垃圾郵件進行過濾和阻斷的設(shè)備。備份系統(tǒng)：傳統(tǒng)機制的備份系統(tǒng)無法對現(xiàn)在使用的應(yīng)用平臺做完整細粒度備份，一旦應(yīng)用發(fā)生災(zāi)難性損壞，后果將不堪設(shè)想，我們利用專業(yè)備份系統(tǒng)來彌補這個問題的空白。方案拓撲建議方案1建議方案2方案推介分析XXXX的目前情況，綜合需求，我們認為XXXX的企業(yè)信息化實施應(yīng)該分為三個階段：基礎(chǔ)架構(gòu)實現(xiàn)階段；信息化實現(xiàn)階段；信息安全（包括端點安全、數(shù)據(jù)安全和服務(wù)安全）提升階段；基礎(chǔ)架構(gòu)實現(xiàn)階段是為后期XXXX的信息化建設(shè)做底層架構(gòu)策略，完善底層架構(gòu)將會完成企業(yè)信息化基礎(chǔ)架構(gòu)的標準，利用該標準來規(guī)劃以后的信息化方向；信息化實現(xiàn)階段是我們利用之前所創(chuàng)建的基礎(chǔ)架構(gòu)，來完善信息化，根據(jù)企業(yè)需求來實現(xiàn)實際應(yīng)用；當我們的信息化上升到一定規(guī)模，我們的信息安全將面臨考驗，我們需要采用切實可行的企業(yè)安全策略來保護我們企業(yè)的信息安全。本方案中我們將完成的是基礎(chǔ)架構(gòu)建設(shè)的起步，利用微軟公司提供的解決方案來規(guī)劃我們的企業(yè)信息架構(gòu)：本方案將利用的解決方案包括：MicrosoftActiveDirectory、MicrosoftExchange電子郵件及反垃圾郵件系統(tǒng)、Symantec數(shù)據(jù)備份系統(tǒng)。本次方案旨在定義企業(yè)基礎(chǔ)架構(gòu)模型，結(jié)合企業(yè)行政管理架構(gòu)來定義企業(yè)用戶在企業(yè)中的位置，并規(guī)劃相關(guān)權(quán)限，為后期客戶端以域管理模式進入企業(yè)網(wǎng)絡(luò)做準備。前期將規(guī)劃相關(guān)事項的定義（網(wǎng)絡(luò)定義需結(jié)合網(wǎng)絡(luò)產(chǎn)品供應(yīng)商），其中包括：服務(wù)器群組的計算機名定義、服務(wù)器管理組和用戶組權(quán)限定義、IP地址范圍定義、VLAN定義、DMZ區(qū)域定義等；客戶端群的計算機名定義、用戶名定義、IP定制定義、VLAN定義、VLAN互訪策略定義、客戶端實際使用權(quán)限定義等；郵件服務(wù)器的郵箱容量定義、又將收發(fā)規(guī)則定義、梭子魚反垃圾郵件策略、郵箱訪問方式等。MicrosoftActiveDirectory方案規(guī)劃XXXX采用單林單域方式，組織單元規(guī)劃根據(jù)企業(yè)實際行政規(guī)劃來設(shè)計。AD明細如下：地址分配地址分配即IP地址的分配和管理。目前公司的IP地址分配采用靜態(tài)方式，其添加和維護工作由IT人員在現(xiàn)場手工完成。如果某個用戶想要訪問Internet，需事先讓網(wǎng)絡(luò)管理員在防火墻上開啟對某個IP地址的路由，然后告知用戶該IP地址。我們可以根據(jù)實際情況來確定IP的獲取方式，根據(jù)部門來劃分靜態(tài)IP和DHCP的數(shù)量級和安全級別。名稱解析名稱解析是指在訪問網(wǎng)絡(luò)資源（包括文件服務(wù)器和打印機）時，如何將資源的名稱轉(zhuǎn)換成對應(yīng)的IP地址的服務(wù)。目前公司的內(nèi)部用戶在訪問網(wǎng)絡(luò)資源時通過直接的IP地址來定位資源，這樣帶來的問題時每個用戶必須記住要訪問資源的IP地址，使用效率不高而且管理成本較高。通過DNS和WINS的服務(wù)，相關(guān)的服務(wù)器會自動將某個名稱轉(zhuǎn)換成實際的IP地址，用戶只需記住容易辨識的資源名稱即可進行相應(yīng)的訪問。這樣網(wǎng)絡(luò)資源的共享和使用效率將得到很大程度的提高。DNS我們將在公司的DC1、DC2兩臺DNS服務(wù)器。該服務(wù)器同時也是域控制器。公司內(nèi)部網(wǎng)絡(luò)的域名為：或company.local(company是指公司名稱或其縮寫)DNS服務(wù)器包含兩個區(qū)域，以下是它們的技術(shù)參數(shù)：Name:_.Type:ActiveDirectory-IntegratedReplication:ToAllDNSserversintheActiveDirectoryforestDynamicupdates:NonsecureandsecureName:.Type:ActiveDirectory-IntegratedReplication:ToAllDNSserversintheActiveDirectorydomainDynamicupdates:NonsecureandsecureDNS服務(wù)器都將DNS數(shù)據(jù)放在本地的AD數(shù)據(jù)庫中，但是作為獨立的ApplicationPartition來參與域控制器之間的目錄復(fù)制(DirectoryReplication)從而同步DNS數(shù)據(jù)庫。所有域控制器都將主域控設(shè)為首選的DNS服務(wù)器外部(Internet)名稱解析在DC1，將本地ISP的DNS服務(wù)器設(shè)為轉(zhuǎn)發(fā)器。將所有非內(nèi)部網(wǎng)的域名解析請求轉(zhuǎn)發(fā)至Internet上所有公司內(nèi)的客戶端都將通過DNS來進行名稱解析。包括登入域和訪問文件服務(wù)器或其他客戶端。每一個加入域的客戶端都通過動態(tài)注冊在DNS服務(wù)器上注冊自己的主機紀錄(A)和指針紀錄(PTR)。管理員在服務(wù)器上可以輕松的了解所有客戶端的注冊情況。此外，在DC1的DNS服務(wù)出現(xiàn)暫時不可用的情況時，可以依靠其它額外DC(DNS服務(wù)器)來進行必要的名稱解析。域結(jié)構(gòu)域結(jié)構(gòu)設(shè)計是活動目錄中最重要，也是最基礎(chǔ)的工作，是多種因素權(quán)衡的結(jié)果，它既要盡可能貼近用戶的管理模式和組織結(jié)構(gòu)，也要考慮網(wǎng)絡(luò)情況及今后的各種變化。目前山東外運超過60%的微機和超過55%的管理人員集中于青島總部地區(qū)，這意味著外地機構(gòu)分布較廣而各地的人員和微機數(shù)量都比較少，并且各地區(qū)也有固定的專線線路連入總部。此外，山東外運IT部門的最終目標是能夠?qū)崿F(xiàn)完全集中管理。因此此次在山東外運環(huán)境內(nèi)采用單域結(jié)構(gòu)。以下是單域結(jié)構(gòu)相對于其他結(jié)構(gòu)的優(yōu)缺點：優(yōu)點集中管理整個集團的安全策略。集中管理整個集團的組策略。完全利用組織單元反映集團的管理結(jié)構(gòu)。當公司機構(gòu)重組時可以非常靈活的進行調(diào)整。當資源和用戶需要在組織機構(gòu)內(nèi)遷移時可以非常靈活的調(diào)整。不需要GC服務(wù)器–因為所有的DC都擁有AD的全備份。相對其它方案，可以使用較少的域控制器。簡單的名字空間設(shè)計–只需要1個DNS名字后綴.用戶在查找AD內(nèi)的信息時相對簡單。單一的組策略更容易實施。.缺點在IT系統(tǒng)管理權(quán)限相對分散的組織結(jié)構(gòu)中，難以區(qū)分“管理權(quán)”。整個公司集團只能實行一種安全策略，例如統(tǒng)一的口令策略。.所有的域控制器(DC)都擁有整個AD的數(shù)據(jù)的備份，AD的任何更改也要反映到域內(nèi)的所有DC上，這對每臺DC的硬件配置要提出更高的要求，同時對那些廣域網(wǎng)帶寬有限的區(qū)域會帶來效率上的問題。對于DC服務(wù)器本身的安全也提出更高的要求。組織單元結(jié)構(gòu)組織單元的設(shè)計將遵循兩點原則：反映企業(yè)內(nèi)部的組織結(jié)構(gòu)有利于通過組策略進行細化的終端管理目前公司的組織結(jié)構(gòu)簡圖如下：見附錄2由于用戶帳號（在這里包括用戶組賬號）和計算機賬號分數(shù)兩種不同的資源類型，所以也需要分開管理。因此，我們將組織單元設(shè)計成以下結(jié)構(gòu)：第一級：資源類型第二級：地理位置第三級：事業(yè)部名稱第四級：部門名稱請參考下圖以了解這個結(jié)構(gòu)的模型：賬號和口令管理賬號管理可以分為個人賬號管理、組賬號管理和機器賬號管理。個人賬號可以分為兩類：第一類為普通賬號，采用一人一號的方式，為每一位員工建立自己的賬號。當員工加入或者離開時，按照一定的規(guī)則增加或者刪除用戶的賬號。第二類為特殊賬號，通常不屬于某一位員工，而是為了滿足某些特殊的功能，比如系統(tǒng)管理、匿名訪問等等。特殊賬號有以下幾個：Administrator，系統(tǒng)管理員賬號，具有最高的權(quán)限，可以進行任何管理操作，該賬號不能被刪除，只能更改用戶名。為了提高系統(tǒng)的安全性，建議將管理員賬號的用戶名更改，比如hqadmin（僅僅是建議，系統(tǒng)管理員可以自行決定）。Guest，匿名登錄的賬號，為了提高系統(tǒng)的安全性，建議將Guest賬號禁止。服務(wù)的賬號，在Windows2008中，每一個服務(wù)都需要一個賬號，通常這些賬號采用系統(tǒng)賬號，我們無須關(guān)心，但有一些服務(wù)需要特殊的用戶賬號。每個個人賬號都有一個口令來保護，為了防止口令被盜用和攻擊，我們將在整個域中啟用相應(yīng)的密碼策略以保證每個密碼都符合一定的復(fù)雜度，具體要求如下：長度不得小于8個字符必須包含大寫和小寫字母必須包含特殊字符（例如：~!@#$%^&*()_+）密碼有效期<=3個月個人賬號的命名規(guī)則用戶名稱將使用中文名，帳號名稱為:采用姓名的拼音全稱，如有重復(fù)則在末尾加用戶所在部門名稱的首字母，若仍有重復(fù)則在末尾加數(shù)字以示區(qū)別。例如：姓名 姓名拼音帳戶名

張剛(工程實際部) Gang.Zhang Gang.Zhang.SJ

張鋼(財務(wù)部) Gang.Zhang Gang.Zhang.CW計算機賬號管理所有加入到域中的計算機都需要一個計算機賬號，通過該帳號，我們可以對計算機的各種配置進行管理。公司目前的計算機命名規(guī)則為：事業(yè)部+部門+序號。例如：SJ-BMB-001（設(shè)計保密部第一臺計算機）。組賬號管理分組管理是重要而有效的管理策略。在Windows2008中有三種組帳戶：通用組（UniversalGroup）、全局組（globalgroup）和域本地組（Domainlocalgroup），全局組可以包括本域的用戶帳戶（useraccount），域本地組可以包括本域和資源域的用戶帳戶和全局組帳戶，通用組的使用則沒有任何限制。(公司如采用單域結(jié)構(gòu)，則沒有使用Universal組的必要)良好的分組策略可以降低管理的復(fù)雜性，避免安全上的漏洞，大大提高管理的可靠性。我們采用這樣的分組策略：按照職位分組。按職能分組，例如所有的財務(wù)人員，所有的科技人員，所有的系統(tǒng)管理員等等。對員工分類，比如普通員工，臨時員工等等。按照部門分組.由于維護用戶和組賬號是一項日常的工作，這項工作將由公司的人員，依據(jù)管理的需求來創(chuàng)建。此次項目中，將為每一個部門創(chuàng)建一個管理員組，用來進行一些日常的管理工作，包括安裝額外的硬件，共享文件和打印機，等等。目前，公司的所有用戶都已被分到各個不同的組織單元(OU)下面。每個組織單元下還包含一個用戶組，該用戶組的成員即是該組織單元內(nèi)的所有用戶，這樣可以較為輕松的管理用戶資源。MicrosoftExchange為企業(yè)安裝部署企業(yè)級郵件系統(tǒng)Exchange2007。配置Exchange2007的OWA功能，使之能夠讓用戶采用WEB方式訪問企業(yè)郵箱，以此我們可以通過HTTP方式來訪問郵件服務(wù)器收發(fā)郵件并處理相關(guān)信息；配置開放Exchange2007的POP3的協(xié)議解析功能，使之實現(xiàn)對Outlook和其它第三方郵件收發(fā)軟件的支持；定制防火墻對郵件系統(tǒng)的發(fā)布策略；發(fā)布郵件系統(tǒng)到INTERNET網(wǎng)絡(luò)；定制郵件系統(tǒng)的反垃圾郵件的策略（梭子魚策略）；定制郵件系統(tǒng)的反攻擊安全策略（梭子魚策略）；根據(jù)企業(yè)需要，定制郵箱大小策略，郵件大小策略，郵件發(fā)送策略等一系列郵箱設(shè)置策略；根據(jù)企業(yè)需要，定制全球通訊錄，部門通訊錄等各種脫機通訊錄；配置郵件系統(tǒng)，為郵件進行128位的SSL加密，保證郵件傳輸安全；規(guī)劃郵件系統(tǒng)，合理定制郵件的存放周期及備份周期。SymantecBackupExecForWindowsServer備份過程中要用到大量的存儲介質(zhì)，隨著時間的推移，介質(zhì)上備份數(shù)據(jù)的作用會越來越小，除非要特意恢復(fù)到某一歷史時刻的狀態(tài)，都會用最新的備份數(shù)據(jù)來進行恢復(fù)。所以在制定備份策略時，要根據(jù)數(shù)據(jù)的運作和使用情況，來確定數(shù)據(jù)的最長有效期、可容忍的數(shù)據(jù)丟失時間，從而確定執(zhí)行備份的時間、每次備份的種類、使用空介質(zhì)和重用老介質(zhì)的方法。AD服務(wù)器作為重要的運營系統(tǒng)和寶貴的信息庫，承擔著日常的網(wǎng)絡(luò)與數(shù)據(jù)中樞的角色，其長期運行過程中積累下來的數(shù)據(jù)具有重要的價值?；诖?，對于這些服務(wù)器的備份，應(yīng)從整體、系統(tǒng)、長期的角度來制定備份策略，做到既能快速的進行日常備份，又能完備的保留一定歷史時期內(nèi)的數(shù)據(jù)。備份策略對數(shù)據(jù)進行備份，是出于保證數(shù)據(jù)的安全性、對系統(tǒng)信息做歷史記錄、在災(zāi)難發(fā)生時恢復(fù)系統(tǒng)等多方面考慮的。若要詳細、歷史的記錄數(shù)據(jù)，并在特定情況下恢復(fù)特定時期的數(shù)據(jù)，就要保證數(shù)據(jù)備份的頻率、以及備份介質(zhì)上數(shù)據(jù)的保存時間符合預(yù)期設(shè)計的目標。目前，國內(nèi)外大型企業(yè)對資源數(shù)據(jù)的備份都是每天進行一次的，并且采用完全備份和差量備份結(jié)合的方式，給數(shù)恢復(fù)帶來便利。由于采用了先進的軟、硬件配置，這種日常備份操作都可以在晚間系統(tǒng)負載較輕時定時、自動、快速進行，對系統(tǒng)日間使用不會造成任何影響?？紤]到本系統(tǒng)的具體情況，我們認為做每日備份是極為合理的方案。由于系統(tǒng)中的每臺服務(wù)器數(shù)據(jù)交換和信息更新都極為頻繁，每天都有大量的信息數(shù)據(jù)、那么做每日備份，記錄每日系統(tǒng)的最新信息是極為必要的。對系統(tǒng)做完全備份是出于恢復(fù)方便考慮，系統(tǒng)管理員不必使用任何其它歷史資料，就可以對系統(tǒng)進行完全恢復(fù)，簡單便捷。若是只對應(yīng)用數(shù)據(jù)進行備份，那么一但系統(tǒng)崩潰，需要使用最近一次完全備份恢復(fù)系統(tǒng)，再使用最近一次應(yīng)用備份恢復(fù)具體應(yīng)用，操作及為不便。如果應(yīng)用在系統(tǒng)配置文件中的一些信息較最近一次完全備份時有所不同，那么即使恢復(fù)了系統(tǒng)也難以正常運行，或者造成不可見的故障隱患備份策略的定義定義好備份資源以后，我們必須根據(jù)實際需要配置備份策略。定義備份策略，涉及到以下內(nèi)容：在什么時間（備份時間，如下午6:00）、將什么數(shù)據(jù)（備份內(nèi)容，數(shù)據(jù)庫數(shù)據(jù)）、以什么方式（備份方式，如全備份或增量備份）、通過哪組磁盤驅(qū)動器、備份到磁盤哪一個位置在我們對每一組數(shù)據(jù)、數(shù)據(jù)庫都根據(jù)需要定義好備份策略后，系統(tǒng)就會自動的按照我們定義的時間、方式、將需要備份的數(shù)據(jù)備份到我們指定的磁盤中去。而備份的方式可以分為三種：全備份、增量備份、累計增量備份。全備份每次備份定義的所有數(shù)據(jù)，優(yōu)點是恢復(fù)快，缺點是備份數(shù)據(jù)量大，數(shù)據(jù)多時可能做一次全備份需很長時間增量備份備份自上一次備份以來更新的所有數(shù)據(jù)，其優(yōu)點是每次備份的數(shù)據(jù)量少，缺點是恢復(fù)時需要全備份及多份增量備份差分備份備份自上一次全備份以來更新的所有數(shù)據(jù)。我們可以結(jié)合這三種方式，靈活應(yīng)用。比如：數(shù)據(jù)量少時，我們可以每次都用全備份備份數(shù)據(jù)，這樣，恢復(fù)時，只需要指定一個數(shù)據(jù)源即可。數(shù)據(jù)量大時，如果每天作全備份，效率會很低。我們可以結(jié)合全備份和增量備份方式。比如每星期作一次全備份（如星期天），其它時間，每天作一個增量備份（如:星期一到星期六）?；謴?fù)時，只要依次恢復(fù)最多七個備份介質(zhì)即可。（如：上周日、星期一、星期二...，直到出事前一天的數(shù)據(jù)。）數(shù)據(jù)量特別大時，每星期作全備份對系統(tǒng)的壓力也會很大。這時，我們可以結(jié)合全備份、累計增量備份、增量備份三種方式，提供相對效率高，恢復(fù)有快的備份手段。比如每個月作一次全備份（如每月初），然后每星期日作一次累計增量備份，其它時間，每天作一次增量備份。恢復(fù)時，先恢復(fù)月初的全備份，再恢復(fù)上周日的累計增量備份，在依次恢復(fù)以后每一天的增量備份，如星期一、星期二...，直到出事前一天的數(shù)據(jù)。（最多恢復(fù)8份數(shù)據(jù)，相對的如果不采用累計增量備份方式，恢復(fù)時最多可能需要恢復(fù)31份數(shù)據(jù)，恢復(fù)速度和復(fù)雜程度都會不理想）。由此我們認為，對系統(tǒng)進行每日備份是必要的，可以更好的提高系統(tǒng)的安全性和可靠性。災(zāi)難恢復(fù)的備份策略安裝完所有服務(wù)器的VERITAS及其選件和代理后，對所有要進行災(zāi)難恢復(fù)的服務(wù)器進行一次全備份。當WindowsNT系統(tǒng)出現(xiàn)依靠啟動軟盤無法恢復(fù)的系統(tǒng)損毀時，依靠系統(tǒng)全備份文件恢復(fù)整個系統(tǒng)，然后用最新的內(nèi)容更新系統(tǒng)的內(nèi)容。介質(zhì)使用及命名規(guī)則為了更好的管理介質(zhì)，我們對所有磁盤按統(tǒng)一的規(guī)則來命名：備份類型–集合名–日期備份類型：—F 完全備份—A 部分備份 集合名：—使用者指定的唯一性名字日期：—使用該介質(zhì)進行備份的時間—MM/DD/YY格式如：某一磁帶可以命名為：F-ICBCOA-2/1/99產(chǎn)品推薦服務(wù)器產(chǎn)品用途產(chǎn)品編號產(chǎn)品數(shù)量產(chǎn)品描述電子郵件服務(wù)器HPDL388G7（E5620*1,32G內(nèi)存，300GB*3RAID5）12顆物理CPU+4GB內(nèi)存AD服務(wù)器HPDL160G6(E5506*1,2GB內(nèi)存，146GB*2RAID1)21顆物理CPU+2GB內(nèi)存?zhèn)浞莘?wù)器HPDL160G6(E5506*1,2GB內(nèi)存，146GB*2RAID1)11顆物理CPU+2GB內(nèi)存軟件產(chǎn)品類別產(chǎn)品名稱產(chǎn)品數(shù)量產(chǎn)品描述ServerWindowsServer2008簡體中文標準版3服務(wù)器操作系統(tǒng)ServerExchangeServer2010簡體中文標準版1電子郵件系統(tǒng)CALExchangeServerCAL待定電子郵件系統(tǒng)訪問許可RecoverySymantecBackupExec2010ForWindows主模塊1數(shù)據(jù)備份RecoverySymantecBackupExec2010AgentForExchangeServer1數(shù)據(jù)備份RecoverySymantecBackupExec2010AgentForMicrosoftActiveDirectory2數(shù)據(jù)備份其他產(chǎn)品類別產(chǎn)品名詞產(chǎn)品數(shù)量產(chǎn)品描述Gateway梭子魚郵件防火墻Model3001網(wǎng)關(guān)硬件設(shè)備產(chǎn)品簡介WindowsServer2008簡體中文標準版WindowsServer2008是微軟最新一個服務(wù)器操作系統(tǒng)的名稱，它繼承WindowsServer2008。WindowsServer2008在進行開發(fā)及測試時的代號為"WindowsServerLonghorn"。WindowsServer2008是一套相等于WindowsVista(代號為Longhorn)的服務(wù)器系統(tǒng)，兩者很可能將會擁有很多相同功能；Vista及Server2008與XP及Server2008間存在相似的關(guān)系。（XP和Server2008的代號分別為Whistler及WhistlerServer）MicrosoftWindowsServer2008代表了下一代WindowsServer。使用WindowsServer2008，IT專業(yè)人員對其服務(wù)器和網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的控制能力更強，從而可重點關(guān)注關(guān)鍵業(yè)務(wù)需求。WindowsServer2008通過加強操作系統(tǒng)和保護網(wǎng)絡(luò)環(huán)境提高了安全性。通過加快IT系統(tǒng)的部署與維護、使服務(wù)器和應(yīng)用程序的合并與虛擬化更加簡單、提供直觀管理工具，WindowsServer2008還為IT專業(yè)人員提供了靈活性。WindowsServer2008為任何組織的服務(wù)器和網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)奠定了最好的基礎(chǔ)。MicrosoftWindowsServer2008用于在虛擬化工作負載、支持應(yīng)用程序和保護網(wǎng)絡(luò)方面向組織提供最高效的平臺。它為開發(fā)和可靠地承載Web應(yīng)用程序和服務(wù)提供了一個安全、易于管理的平臺。從工作組到數(shù)據(jù)中心，WindowsServer2008都提供了令人興奮且很有價值的新功能，對基本操作系統(tǒng)做出了重大改進。更強的控制能力使用WindowsServer2008，IT專業(yè)人員能夠更好地控制服務(wù)器和網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)，從而可以將精力集中在處理關(guān)鍵業(yè)務(wù)需求上。增強的腳本編寫功能和任務(wù)自動化功能（例如，WindowsPowerShell）可幫助IT專業(yè)人員自動執(zhí)行常見IT任務(wù)。通過服務(wù)器管理器進行的基于角色的安裝和管理簡化了在企業(yè)中管理與保護多個服務(wù)器角色的任務(wù)。服務(wù)器的配置和系統(tǒng)信息是從新的服務(wù)器管理器控制臺這一集中位置來管理的。IT人員可以僅安裝需要的角色和功能，向?qū)詣油瓿稍S多費時的系統(tǒng)部署任務(wù)。增強的系統(tǒng)管理工具（例如，性能和可靠性監(jiān)視器）提供有關(guān)系統(tǒng)的信息，在潛在問題發(fā)生之前向IT人員發(fā)出警告。增強的保護WindowsServer2008提供了一系列新的和改進的安全技術(shù)，這些技術(shù)增強了對操作系統(tǒng)的保護，為企業(yè)的運營和發(fā)展奠定了堅實的基礎(chǔ)。WindowsServer2008提供了減小內(nèi)核攻擊面的安全創(chuàng)新（例如PatchGuard），因而使服務(wù)器環(huán)境更安全、更穩(wěn)定。通過保護關(guān)鍵服務(wù)器服務(wù)使之免受文件系統(tǒng)、注冊表或網(wǎng)絡(luò)中異?；顒拥挠绊?，Windows服務(wù)強化有助于提高系統(tǒng)的安全性。借助網(wǎng)絡(luò)訪問保護(NAP)、只讀域控制器(RODC)、公鑰基礎(chǔ)結(jié)構(gòu)(PKI)增強功能、Windows服務(wù)強化、新的雙向Windows防火墻和新一代加密支持，WindowsServer2008操作系統(tǒng)中的安全性也得到了增強。NetworkAccessProtection(NAP)：這是一個新的框架，允許IT管理員為網(wǎng)絡(luò)定義健康要求，并限制不符合這些要求的計算機與網(wǎng)絡(luò)的通信。NAP強制執(zhí)行管理員定義的、用于描述特定組織健康要求的策略。例如，健康要求可以定義為安裝操作系統(tǒng)的所有更新，或者安裝或更新反病毒或反間諜軟件。以這種方式，網(wǎng)絡(luò)管理員可以定義連接到網(wǎng)絡(luò)時計算機應(yīng)具備的基準保護級別。MicrosoftBitLocker在多個驅(qū)動器上進行完整卷加密，為您的數(shù)據(jù)提供額外的安全保護，甚至當系統(tǒng)處于未經(jīng)授權(quán)操作或運行不同的操作系統(tǒng)時間、數(shù)據(jù)和控制時也能提供安全保護。Read-OnlyDomainController(RODC)：這是WindowsServer2008操作系統(tǒng)中的一種新型域控制器配置，使組織能夠在域控制器安全性無法保證的位置輕松部署域控制器。RODC維護給定域中ActiveDirectory目錄服務(wù)數(shù)據(jù)庫的只讀副本。在此版本之前，當用戶必須使用域控制器進行身份驗證，但其所在的分支辦公室無法為域控制器提供足夠物理安全性時，必須通過廣域網(wǎng)(WAN)進行身份驗證。在很多情況下，這不是一個有效的解決方案。通過將只讀ActiveDirectory數(shù)據(jù)庫副本放置在更接近分支辦公室用戶的地方，這些用戶可以更快地登錄，并能更有效地訪問網(wǎng)絡(luò)上的身份驗證資源，即使身處沒有足夠物理安全性來部署傳統(tǒng)域控制器的環(huán)境。FailoverClustering：這些改進旨在更輕松地配置服務(wù)器群集，同時對數(shù)據(jù)和應(yīng)用程序提供保護并保證其可用性。通過在故障轉(zhuǎn)移群集中使用新的驗證工具，您可以測試系統(tǒng)、存儲和網(wǎng)絡(luò)配置是否適用于群集。憑借WindowsServer2008中的故障轉(zhuǎn)移群集，管理員可以更輕松地執(zhí)行安裝和遷移任務(wù)，以及管理和操作任務(wù)。群集基礎(chǔ)結(jié)構(gòu)的改進可幫助管理員最大限度地提高提供給用戶的服務(wù)的可用性，可獲得更好的存儲和網(wǎng)絡(luò)性能，并能提高安全性。更大的靈活性WindowsServer2008的設(shè)計允許管理員修改其基礎(chǔ)結(jié)構(gòu)來適應(yīng)不斷變化的業(yè)務(wù)需求，同時保持了此操作的靈活性。它允許用戶從遠程位置（如遠程應(yīng)用程序和終端服務(wù)網(wǎng)關(guān)）執(zhí)行程序，這一技術(shù)為移動工作人員增強了靈活性。WindowsServer2008使用Windows部署服務(wù)(WDS)加速對IT系統(tǒng)的部署和維護，使用WindowsServer虛擬化(WSv)幫助合并服務(wù)器。對于需要在分支機構(gòu)中使用域控制器的組織，WindowsServer2008提供了一個新配置選項：只讀域控制器(RODC)，它可以防止在域控制器出現(xiàn)安全問題時暴露用戶帳戶。自修復(fù)NTFS文件系統(tǒng)從DOS時代開始，文件系統(tǒng)出錯就意味著相應(yīng)的卷必須下線修復(fù)，而在WS2K8中，一個新的系統(tǒng)服務(wù)會在后臺默默工作，檢測文件系統(tǒng)錯誤，并且可以在無需關(guān)閉服務(wù)器的狀態(tài)下自動將其修復(fù)。有了這一新服務(wù)，在文件系統(tǒng)發(fā)生錯誤的時候，服務(wù)器只會暫時停止無法訪問的部分數(shù)據(jù)，整體運行基本不受影響，所以CHKDSK基本就可以退休了。快速關(guān)機服務(wù)Windows的一大歷史問題就是關(guān)機過程緩慢。在WindowsXP里，一旦關(guān)機開始，系統(tǒng)就會開始一個20秒鐘的計時，之后提醒用戶是否需要手動關(guān)閉程序，而在WindowsServer里，這一問題的影響會更加明顯。到了WindowsServer2008，20秒鐘的倒計時被一種新服務(wù)取代，可以在應(yīng)用程序需要被關(guān)閉的時候隨時、一直發(fā)出信號。開發(fā)人員開始懷疑這種新方法會不會過多地剝奪應(yīng)用程序的權(quán)利，但現(xiàn)在他們已經(jīng)接受了它，認為這是值得的。Windows硬件錯誤架構(gòu)(WHEA)最終，微軟決定將錯誤規(guī)范化，確切地說是應(yīng)用程序向系統(tǒng)匯報發(fā)現(xiàn)錯誤的協(xié)議要實現(xiàn)標準化了。目前錯誤報告的一大問題就是設(shè)備報錯的方式多種多樣，各種硬件系統(tǒng)之間沒有一種標準，因此編寫應(yīng)用程序的時候很難集合所有的錯誤資源，并統(tǒng)一呈現(xiàn)，這就意味著要編寫許多特定代碼，針對各種特定情況。而在WindowsServer2008里，所有的硬件相關(guān)錯誤都使用同樣的界面匯報給系統(tǒng)，第三方軟件就能輕松管理、消除錯誤，管理工具的發(fā)展也會更輕松。MicrosoftExchangeServer2010為法規(guī)遵循和郵件保留所提供的郵件記錄功能安全，法規(guī)遵循和郵件保留是郵件系統(tǒng)規(guī)則管理的核心。郵件記錄是法規(guī)遵循的一個重要組成部分。某些管理規(guī)則需要具備對郵件組用戶所收到的郵件進行審計的功能，該功能對于組織的內(nèi)部策略或?qū)徲嫹浅Ｓ杏?。ExchangeServer2010記錄的郵件可以保存在Exchange數(shù)據(jù)庫中，SharePoint站點或者可以發(fā)送到任何由第三方郵件記錄公司使用的外部SMTP地址。在ExchangeServer2010中，可以通過設(shè)定記錄范圍來決定記錄哪些郵件。設(shè)定的范圍可以是單個郵箱、一個郵件分發(fā)組，一個數(shù)據(jù)庫或者整個組織。語音郵件信息和未接來電提醒可以排除在記錄之外。而且一份郵件記錄的詳細報告包括了諸如收件欄，發(fā)件欄，抄送欄，密送欄的信息和郵件組信息，以及其它元數(shù)據(jù)。最佳的可用性提高Exchange郵箱服務(wù)器可用性的一個方法（不再是唯一方法了）是使用Exchange群集技術(shù)。使用兩個或多個節(jié)點組成一個Windows群集，由Exchange提供冗余服務(wù)器，這樣如果一個節(jié)點或一個節(jié)點上的服務(wù)出現(xiàn)故障，其它節(jié)點可以進行接管并繼續(xù)提供Exchange服務(wù)。Exchange群集技術(shù)中Exchange服務(wù)是冗余的，但Exchange郵箱數(shù)據(jù)庫卻不是。因此，Exchange群集技術(shù)是通過對Exchange服務(wù)增加冗余來提高可用性；到目前為止，數(shù)據(jù)庫的冗余只能使用第三方的硬件或軟件解決方案。ExchangeServer2010提供了新的群集選項，它允許服務(wù)和數(shù)據(jù)庫在出現(xiàn)故障時都轉(zhuǎn)移到某個被動節(jié)點，因而同時提供了對服務(wù)和數(shù)據(jù)庫的備份。ExchangeServer2010使用了相同的群集技術(shù)在多個節(jié)點間復(fù)制數(shù)據(jù)庫，它也允許一臺單獨的服務(wù)器在本地復(fù)制其數(shù)據(jù)庫，提供了本地信息存儲的最新副本，如果主數(shù)據(jù)庫宕掉，可以用該副本進行安裝。內(nèi)置多引擎的防病毒系統(tǒng)對于用戶自行管理和維護的病毒防護，反病毒軟件提供商和客戶可以從ExchangeServer2010提供的新的傳輸代理API中獲益。通過該API，軟件提供商可以編寫反病毒代理來與Exchange內(nèi)建的傳輸代理直接交互。因為信息是通過邊緣傳輸服務(wù)器或中心傳輸服務(wù)器進入組織的，傳輸服務(wù)器可以調(diào)用反病毒代理來檢查信息并過濾那些包含病毒的信息。ExchangeServer2010還提供了一個全面的反病毒解決方案。ExchangeServer的ForefrontSecurity為Exchange邊緣傳輸角色、中心傳輸角色和郵箱角色提供了全面的病毒保護功能。ExchangeServer的ForefrontSecurity使用帶有內(nèi)容過濾功能的多重掃描引擎，提供了層次化的保護來抵御帶有病毒的信息。內(nèi)置豪華垃圾郵件過濾組件ExchangeServer2010擴展了早先版本Exchange的反垃圾郵件功能提供了多層保護措施，以多種不同的方式來阻止垃圾郵件。安全發(fā)件人集合：為了減少將合法郵件誤判為垃圾郵件的概率，Outlook用戶創(chuàng)建的安全發(fā)件人列表會傳送到中心傳輸服務(wù)器，然后再傳送到邊緣傳輸服務(wù)器（在DMZ區(qū)中），來自這些用戶的消息將會被直接路由進入組織。Outlook電子郵戳：Outlook2007可以為每一封郵件創(chuàng)建一個問題和答案，這稱為郵戳，它被附加到每一封要發(fā)出的郵件中。郵戳的創(chuàng)建和解密需要花費一定的CPU周期。垃圾郵件發(fā)送者通常沒有時間或計算資源來把每一個復(fù)雜的問題和答案附加到數(shù)千封要發(fā)出的郵件中，所以他們不會使用問題和答案。因此，當Exchange接收到一封帶有郵戳的郵件時，Exchange會通過驗證它的問題和答案來判斷郵件是否是垃圾郵件。郵戳越復(fù)雜，郵件是垃圾郵件的可能性就越小。垃圾郵件隔離：除了Outlook和OWA客戶端帶的Outlook垃圾郵件隔離功能外，現(xiàn)在管理員可以復(fù)查并隔離可疑的垃圾郵件。然后從隔離的郵件中刪除或釋放用戶的郵件。發(fā)件人的信譽：發(fā)件人的信譽是動態(tài)分析并更新的。當邊緣服務(wù)器偵測到來自某一域的相應(yīng)趨勢時，它會采取具體的行動來處理，包括隔離信息或拒絕信息進入企業(yè)內(nèi)網(wǎng)。邊緣服務(wù)器上的內(nèi)容過濾：當垃圾郵件發(fā)送者改變策略并使用新的方法來避免被檢測時，這時垃圾郵件內(nèi)容過濾器會自動更新來保持對垃圾郵件的控制，因此它可以保護用戶的組織，而不會增加用戶的工作量。MicrosoftForefrontforExchange：除了提供下述的全面的病毒保護功能，該服務(wù)每天都會會對病毒代碼，IP信譽服務(wù)和反垃圾過濾器進行數(shù)次更新。多種訪問方式，一致的使用體驗（可選擇開放）在ExchangeServer2010強大的移動特性的支持下，用戶可以通過Outlook客戶端、Web瀏覽器、手機、普通電話、POP3或者IMAP4客戶端來訪問和管理自己的郵件、日程安排、任務(wù)和聯(lián)系人。所有這些客戶端，無論從用戶界面、操作方式還是從提供的功能來看都和Outlook非常接近，這不僅為用戶提供了良好的使用體驗，同時也減輕了企業(yè)的系統(tǒng)維護和管理人員的培訓工作量。Outlook：使用Outlook可以獲得最為強大和豐富的功能，包括本地緩存模式、本地的全球地址簿、共享日歷、聯(lián)系人等。無論在線還是脫機都可以正常工作。當用戶在外出差時，還可使用Outlook無處不在功能在局域網(wǎng)外安全地連接Exchange服務(wù)器。Web瀏覽器（OutlookWebAccess）：通過Web瀏覽器（如IE）就可以直接訪問Exchange，OutlookWebAccess提供了Outlook客戶端的98％的功能，如收件人地址的自動完成功能、日程安排通過鼠標拖拽就可更改日程時間等。智能掌上設(shè)備：普通電話：通過ExchangeServer2010新增的強大的統(tǒng)一消息功能，用戶既可以在郵箱中接收到自己的語音留言和傳真，還可以通過普通電話來訪問自己的郵箱，讓ExchangeServer2010為用戶讀出你的新郵件、語音留言和日程安排，并可以用聲音控制ExchangeServer2010發(fā)語音留言、變更日程安排和撥打聯(lián)系人電話。POP3和IMAP4客戶端：ExchangeServer2010支持傳統(tǒng)的POP3和IMAP4客戶端訪問方式。保證復(fù)雜網(wǎng)絡(luò)環(huán)境下用戶的使用體驗優(yōu)化的握手協(xié)議和數(shù)據(jù)壓縮能夠減小網(wǎng)絡(luò)數(shù)據(jù)流量，給窄帶環(huán)境下的用戶更流暢的使用體驗；Outlook的Exchange緩存模式能夠自動在離線/在線狀態(tài)間切換，減少對用戶工作的打斷；ExchangeServer2010獨有的Outlook無處不在功能使得企業(yè)不必部署VPN/RAS也能讓外網(wǎng)（例如在家或出差）的用戶能夠使用Outlook安全地連接到位于企業(yè)內(nèi)網(wǎng)的Exchange郵件服務(wù)器，而開放的端口僅僅是80/443（HTTP/HTTPS）。強大的日程管理功能用戶可以通過日程管理功能簡化并自動化對人員與資源的日程安排。日程助手：日程助手根據(jù)與會人員和資源的日程安排分析他們的忙閑狀態(tài)，以顏色編碼的用戶界面顯示全自動的為會議發(fā)起人建議舉行會議的日期和時間。日歷助手運行在Exchange2010服務(wù)器上，不需要任何最終用戶的交互，它將收件人日歷中的會議請求標記為臨時請求，一直到用戶提交該請求為止。同時，日歷助手會刪除同一個會議請求的歷史版本，確保了用戶郵箱中的日歷請求是最新版本的。資源預(yù)定助手也運行在Exchange2010服務(wù)器上，不需要任何最終用戶的交換，它管理著資源的可用性并允許使用資源策略，如可用的小時數(shù)和日程權(quán)限。Web方式查看文檔包含在OutlookWebApp2010中，它能把多種文檔格式——包括MicrosoftWord，MicrosoftExcel，MicrosoftPowerPoint以及PDF文件——從它們原來的格式轉(zhuǎn)換為HTML格式，這樣即使客戶端沒有安裝創(chuàng)建文檔的應(yīng)用軟件，也可以在客戶端瀏覽器中查看它們。這一功能使用戶可以在幾乎任何一臺機器上獲得高效的生產(chǎn)力并保證所查看文檔的安全性，甚至是在公共計算機上，因為OutlookWebAccess會在用戶退出或會話超時時刪除HTML文檔。在垃圾郵件和病毒到達用戶的組織之前進行防護微軟還可以通過微軟ExchangeHostedFiltering服務(wù)為用戶的組織提供反垃圾和反電子郵件病毒保護。該服務(wù)是微軟ExchangeHostedServices服務(wù)套件的一部分，通過ExchangeHostedFiltering服務(wù)，用戶可以獲得與使用了帶有ForefrontSecurity的邊緣服務(wù)器同樣的效益，但是對這些服務(wù)的管理是由微軟來完成的。在信息到達用戶的組織之前會對它們進行垃圾郵件和病毒的清理。ExchangeHostedFiltering使用多重過濾為用戶的企業(yè)提供主動保護，使企業(yè)遠離垃圾郵件、病毒、仿冒和違規(guī)的電子郵件的影響。消息傳輸和認證的安全性ExchangeServer2010使用SMTP在組織內(nèi)部的Exchange服務(wù)器之間傳輸信息。所有在ExchangeServer2010組織內(nèi)傳輸?shù)男畔⑷笔【褪羌用艿摹７?wù)器與服務(wù)器間的傳輸使用傳輸層安全協(xié)議（TLS），Outlook的連接使用加密的遠程過程調(diào)用（RPC），客戶端訪問（OutlookWebApp，微軟?ExchangeActiveSync?和Web服務(wù)）使用SSL協(xié)議。這種方法阻止了欺騙并保護了信息的機密性。Kerberos認證服務(wù)用來進行認證，簡化的安全傳輸層協(xié)議用來進行加密。TLS在ExchangeServer2010中進行了簡化，因為它使用自身指定的SSL認證。因為每一臺Exchange服務(wù)器都自動配置了SSL證書，內(nèi)部的Exchange服務(wù)器不僅能用SSL對信息進行加密，而且可以加密發(fā)送給外部SMTP服務(wù)器的消息進行加密，只要接收郵件的外部SMTP服務(wù)器也被配置為可以使用TLS收發(fā)信息即可。簡化Exchange的管理ExchangeServer2010的一個主要目標是使Exchange管理員的工作變得更簡單和更高效。日復(fù)一日的維護，監(jiān)控和故障排除工作在小型或大型組織中可能會成為一種負擔。ExchangeServer2010提供了新的工具和特性，旨在簡化Exchange的管理，以滿足服務(wù)等級協(xié)議（ServiceLevelAgreements）的要求，并通過預(yù)先維護和監(jiān)控避免問題的產(chǎn)生。改進管理方式的工具：ExchangeServer2010引入了一個基于模塊服務(wù)器角色的架構(gòu)，以解決企業(yè)對于改變信息的需求。同樣，ExchangeServer2010包含了一個新的圖形化管理工具。Exchange管理控制臺是一個基于Microsoft管理控制臺(MMC)的工具，它反映了架構(gòu)的變化，可以對服務(wù)器角色進行獨立管理，可以實現(xiàn)新的管理模型，而無需管理組或路由組。強大的腳本工具——Exchange管理外殼程序：Exchange管理控制臺使用了一個功能強大的腳本技術(shù)，叫作Exchange管理外殼程序。Exchange管理外殼程序基于WindowsPowerShellTM技術(shù)，它是一個命令行工具，用戶可以通過它操作功能強大的命令集，這些命令集由動詞-名詞對組成。通過PowerShell，用戶可以用最少的代碼編寫復(fù)雜的任務(wù)腳本或者在外殼程序提示符下交互式地執(zhí)行任務(wù)。憑借外殼程序，用戶可以通過執(zhí)行命令來訪問并影響許多不同的資源，包括郵箱數(shù)據(jù)庫，注冊表以及ActiveDirectory。使用自動發(fā)現(xiàn)功能簡化Outlook的配置：在過去，Outlook的profile設(shè)置比較困難，因為大多數(shù)用戶都不知道用于解析他們profile的Exchange服務(wù)器的名字。有了新的自動發(fā)現(xiàn)功能，用戶只需要記住他們的用戶名，密碼和電子郵件地址就可以配置Outlookprofile。手機直推郵件（可選功能）無須額外服務(wù)器和服務(wù)，ExchangeServer2010默認支持手機（如智能手機、PocketPC等）實時獲取和更新用戶郵件、日程安排和聯(lián)系人的信息。服務(wù)器一有新郵件抵達，立刻推送至手機上。結(jié)合移動辦公解決方案，管理人員可以擺脫計算機的束縛，直接在手機上批復(fù)公文。統(tǒng)一消息（可選功能）ExchangeServer2010不再只是存放郵件、日程信息和聯(lián)系人，組織的語音留言和傳真也都可以被ExchangeServer2010統(tǒng)一管理起來。用戶只需要通過訪問收件箱，就可以訪問到郵件、日程安排、聯(lián)系人、語音留言和傳真。同時，ExchangeServer2010還是一個會聽話并且能說話的郵件系統(tǒng)。用戶可以通過普通電話來訪問郵件系統(tǒng)，并語音控制它讀取郵件或者日程安排。ExchangeServer2010會依據(jù)郵件的編碼選擇合適的語言將郵件內(nèi)容由文字轉(zhuǎn)換成語音的方式，通過電話讀給用戶聽。梭子魚郵件防火墻強大的、企業(yè)級解決方案單臺梭子魚垃圾郵件防火墻能支持25000個活躍的電子郵件帳戶，每天處理兩千五百萬封電子郵件。梭子魚垃圾郵件防火墻是強大的企業(yè)級解決方案。產(chǎn)品支持多臺堆疊，達到更高性能及高可靠性。梭子魚垃圾郵件防火墻采用了強大的十二層防護的技術(shù):拒絕服務(wù)攻擊防護IP阻斷清單速率控制DNSMX記錄查找兩層病毒過濾圖片識別(OCR)關(guān)鍵字阻斷垃圾郵件指紋識別郵件意圖分析發(fā)件人識別及收件人認證貝葉斯數(shù)據(jù)庫分析基于規(guī)則評分系統(tǒng)梭子魚垃圾郵件防火墻的十二層過濾架構(gòu)優(yōu)化了每封電子郵件的處理，使產(chǎn)品處理能力達到每天百萬封以上郵件。相對于軟件來說，梭子魚垃圾郵件防火墻能夠極大地減少病毒和垃圾郵件對郵件服務(wù)器帶來的負荷。除此之外，梭子魚垃圾郵件防火墻還包括附件掃描，病毒過濾，比率控制等技術(shù)，保證接收郵件都是合法無毒的。易于使用因為不需要安裝軟件也不需要對即有的郵件系統(tǒng)進行任何修改，所以梭子魚垃圾郵件防火墻安裝極其簡單，通常只需要5分鐘時間。一旦安裝完成，系統(tǒng)管理員采用一個易于學習的WEB管理界面進行監(jiān)控和維護。產(chǎn)品維護也是及其簡便的，梭子魚垃圾郵件防火墻通過高級的技術(shù)運行中心自動動態(tài)更新產(chǎn)品。在不增加成本的情況下最大限度的防護垃圾郵件和病毒。在該中心，工程師日以繼夜的監(jiān)控互聯(lián)網(wǎng)，查看最新的病毒及垃圾郵件信息。在不增加成本的情況下最大限度的防護垃圾郵件和病毒。可承受梭子魚垃圾郵件防火墻系列適用于各種類型的企業(yè)機構(gòu)，規(guī)模從小到大，在經(jīng)濟上都能夠承受。產(chǎn)品不以用戶數(shù)量收費，使他成為目前成本效益最高的企業(yè)級垃圾郵件及病毒防護解決方案。產(chǎn)品型號SymantecBackupExec2010ForWindowsSymantecBackupExec2010是旨在滿足企業(yè)發(fā)展需求的可靠備份和恢復(fù)解決方案。通過集重復(fù)數(shù)據(jù)刪除和歸檔功能于一體的技術(shù)，它可以在幫您輕松保護更多數(shù)據(jù)的同時，降低存儲成本和管理成本。此外，它還可以減少業(yè)務(wù)中斷情況，確保虛擬或物理系統(tǒng)上的重要信息始終受到保護，并可在幾秒鐘內(nèi)進行恢復(fù)。主要功能為物理和虛擬服務(wù)器環(huán)境（從臺式機到服務(wù)器）提供市場領(lǐng)先的數(shù)據(jù)保護功能適應(yīng)性強的集成式重復(fù)數(shù)據(jù)刪除功能（采用NetBackupPureDisk技術(shù)）統(tǒng)一的歸檔功能（由EnterpriseVault提供支持）率先上市的虛擬應(yīng)用程序全面恢復(fù)功能正在申請專利的全面恢復(fù)技術(shù)(GRT)可以在幾秒之內(nèi)恢復(fù)關(guān)鍵Microsoft應(yīng)用程序數(shù)據(jù)集中的3層設(shè)置、報告和補丁程序管理通過遠程代理和選件提供可伸縮的異構(gòu)支持。為Exchange、文件服務(wù)器、SQLServer服務(wù)器和臺式機數(shù)據(jù)提供持續(xù)的數(shù)據(jù)保護采用市場領(lǐng)先的技術(shù)實現(xiàn)創(chuàng)新的多產(chǎn)品集成主要優(yōu)勢保護更多數(shù)據(jù)的同時，降低存儲成本和管理成本借助集成的重復(fù)數(shù)據(jù)刪除技術(shù)，最大限度提高物理和虛擬環(huán)境的網(wǎng)絡(luò)利用率借助有效的歸檔和備份功能，通過單一控制臺輕松實現(xiàn)存儲和管理自動化，從而節(jié)省成本通過集成式的VMware和Hyper-V防護功能消除虛擬環(huán)境中MicrosoftExchange、ActiveDirectory和SQL的冗余備份通過一次性備份恢復(fù)單個Exchange郵件、SharePoint站點內(nèi)容或文檔以及ActiveDirectory用戶首選項通過單一控制臺輕松管理本地或分布式備份環(huán)境通過持續(xù)備份保護功能，消除備份時間，同時確保輕松滿足恢復(fù)點目標.新功能集成的重復(fù)數(shù)據(jù)刪除功能（使用VeritasNetBackupPureDisk技術(shù)）BackupExec的新DeduplicationOption提供了以下集成的可定制重復(fù)數(shù)據(jù)刪除功能，可以優(yōu)化任何備份戰(zhàn)略：客戶端重復(fù)數(shù)據(jù)刪除功能（刪除源或遠程服務(wù)器上的重復(fù)數(shù)據(jù)），介質(zhì)服務(wù)器重復(fù)數(shù)據(jù)刪除功能（刪除介質(zhì)服務(wù)器上的重復(fù)數(shù)據(jù)）,硬件設(shè)備重復(fù)數(shù)據(jù)刪除功能（與OpenStorage重復(fù)數(shù)據(jù)刪除硬件設(shè)備相集成）或已經(jīng)過重復(fù)數(shù)據(jù)刪除的備份集副本（對遠程辦公室到總部的重復(fù)數(shù)據(jù)進行刪除）。節(jié)省時間和存儲成本最大限度縮短備份時間全面簡化了BackupExec操作可輕松適應(yīng)您的環(huán)境統(tǒng)一的歸檔功能（由SymantecEnterpriseVault提供支持）BackupExec新的ArchiveOptions專用于從備份副本中歸檔數(shù)據(jù)，而不是從數(shù)據(jù)源中單獨提取數(shù)據(jù)，為文件和Exchange環(huán)境提供統(tǒng)一的備份和歸檔功能。該ArchiveOption可以使管理員減少Exchange或文件服務(wù)器源中的冗余數(shù)據(jù)，從而釋放存儲空間。總的說來，管理員可以輕松編制數(shù)據(jù)索引，設(shè)置保留期限，從而有效管理數(shù)據(jù)生命周期。輕松實現(xiàn)自動化，節(jié)省成本整合數(shù)據(jù)減少備份管理資源縮短備份與恢復(fù)時間優(yōu)化Exchange和文件服務(wù)器性能保持存儲可預(yù)測增強的VMwarevSphere4.0支持集成了針對聯(lián)機和脫機VMwareESX3.5Update2和vSphere4.0的備份與重復(fù)數(shù)據(jù)刪除支持，此外還為MicrosoftExchange、SQL和ActiveDirectory提供了率先上市的新型虛擬應(yīng)用程序防護功能。現(xiàn)在通過一次性備份，管理員可以實現(xiàn)虛擬機應(yīng)用程序日志的自動截斷。通過該一次性備份，管理員還可以輕松恢復(fù)虛擬機，或全面恢復(fù)應(yīng)用程序數(shù)據(jù)，如Exchange郵箱、消息、日歷項或單個ActiveDirectory用戶帳戶或?qū)ο舐氏壬鲜械膽?yīng)用程序全面恢復(fù)功能快速的Exchange和ActiveDirectory備份與恢復(fù)消除冗余備份，并在幾分鐘內(nèi)恢復(fù)數(shù)據(jù)保護最新的VMwarevSphere環(huán)境刪除虛擬服務(wù)器備份中的重復(fù)數(shù)據(jù)減少和整合存儲增強的MicrosoftHyper-V2008R2支持集成了針對聯(lián)機和脫機MicrosoftHyper-V2008和Hyper-V2008R2環(huán)境的備份與重復(fù)數(shù)據(jù)刪除支持，此外還為MicrosoftExchange、SQL和ActiveDirectory提供了率先上市的新型虛擬應(yīng)用程序防護功能?，F(xiàn)在通過一次性備份，管理員可以實現(xiàn)虛擬機應(yīng)用程序日志的自動截斷。通過該一次性備份，管理員還可以輕松恢復(fù)虛擬機，或全面恢復(fù)應(yīng)用程序數(shù)據(jù)，如Exchange郵箱、消息、日歷項或單個ActiveDirectory用戶帳戶或?qū)ο蟆Ｂ氏壬鲜械膽?yīng)用程序全面恢復(fù)功能快速的Exchange和ActiveDirectory備份與恢復(fù)消除冗余備份，并在幾分鐘內(nèi)恢復(fù)數(shù)據(jù)保護最新的Hyper-V和Hyper-VR2環(huán)境，包括LiveMigration刪除訪客計算機備份中的重復(fù)數(shù)據(jù)減少和整合存儲提供Windows7、Exchange2010和WindowsServer2008R2支持可為最新的Windows臺式機、電子郵件和服務(wù)器環(huán)境提供全面的保護。為Windows7和Server2008R2（包括VSSExpressWriter）提供最新的備份支持，另外還提供了對.VHD文件的間接恢復(fù)支持，從而在保護傳統(tǒng)物理磁盤數(shù)據(jù)的同時可以為虛擬磁盤數(shù)據(jù)提供簡單的保護。集成了對Exchange2010中新的數(shù)據(jù)可用性組(DAG)的Exchange2010支持，而且提供了增強的全面恢復(fù)支持，可以快速恢復(fù)單封電子郵件和單個郵箱，而無需執(zhí)行額外的郵箱級備份。輕松備份最新的Windows臺式機、服務(wù)器和電子郵件應(yīng)用程序環(huán)境借助無與倫比的備份技術(shù)輕松滿足您的Exchange恢復(fù)點目標要求降低Exchange2010的備份要求通過單一控制臺管理臺式機和服務(wù)器備份用于EnterpriseVault的增強代理可以自動備份和恢復(fù)EnterpriseVault8SP2（以及更高版本）基礎(chǔ)架構(gòu)，而且配置單個作業(yè)即可保護整個EnterpriseVault基礎(chǔ)架構(gòu)并輕松恢復(fù)EnterpriseVault站點或單個索引。用于EnterpriseVault的代理還可以與EnterpriseVaultMigrator相集成，從而可將歸檔的數(shù)據(jù)遷移到BackupExec磁帶上，這樣便可通過EnterpriseVault管理界面輕松對這些數(shù)據(jù)加以管理和控制。為某些或所有EnterpriseVault基礎(chǔ)框架提供了簡單而又靈活的備份保護從整個安裝到單個索引文件,恢復(fù)EnterpriseVault基礎(chǔ)架構(gòu)的方方面面再次簡化了將EnterpriseVault數(shù)據(jù)遷移到磁帶或B2D文件夾以實現(xiàn)長期保留的遷移過程自動恢復(fù)已遷移到磁帶的數(shù)據(jù)提供LotusDomino8.5支持支持最新的LotusDomino8.5電子郵件環(huán)境，其中包括對以下對象的支持：DominoAttachmentandObjectStore(DAOS)可以從數(shù)據(jù)庫級備份恢復(fù)單個DominoNLO（DAOS附件）可在64位Windows環(huán)境中安裝32位Domino，以便實現(xiàn)更為靈活的Domino環(huán)境此外，還改進了恢復(fù)瀏覽視圖，包括新增LotusDomino的具體節(jié)點，這就簡化了備份選擇過程。為LotusDomino的最新發(fā)售版本提供保護備份和恢復(fù)DAOS存儲及相關(guān)的NLO文件支持32位版本和64位版本的LotusDomino增強的虛擬磁帶庫(VTL)支持和授權(quán)許可新的VTL增強功能可以將每個VTL存儲環(huán)境集成為一個獨一無二的設(shè)備，并僅顯示對VTL有效的磁帶功能（例如無保留）。還可以對VTL介質(zhì)進行修改，以刪除已達到其到期日期的數(shù)據(jù)，從而回收存儲空間，用于存儲更關(guān)鍵的數(shù)據(jù)。此外，BackupExec還引入了新的VTLUnlimitedDriveOption，從而可以為每個VTL設(shè)備提供無限個LibraryExpansionOption。方案介紹建議方案一如圖，本方案計劃采用1臺Exchange郵件服務(wù)器+2臺AD服務(wù)器，方案設(shè)計AD服務(wù)器兩臺并行，互備結(jié)構(gòu)信息，當其中1臺AD服務(wù)器發(fā)生故障，另外一臺會繼續(xù)為企業(yè)提供賬戶驗證、組策略等服務(wù)。因考慮單臺Exchange服務(wù)器運行，Exchange中的客戶端訪問服務(wù)器角色、邊緣傳輸服務(wù)器角色、中心傳輸服務(wù)器角色、郵箱服務(wù)器角色和統(tǒng)一消息服務(wù)器角色在同一臺服務(wù)器上，而Exchange服務(wù)器需要對外公開發(fā)布，考慮到企業(yè)其他內(nèi)部服務(wù)器的安全性，我們建議將Exchange服務(wù)器安放在企業(yè)的DMZ區(qū)域中。同時，多種角色存在于同一臺服務(wù)器，反垃圾郵件系統(tǒng)不可以在該服務(wù)器上運行，原因是反垃圾郵件服務(wù)器（邊緣傳輸服務(wù)器角色）會占用大量的系統(tǒng)物理資源，影響Exchange主服務(wù)（郵件服務(wù)）正常提供服務(wù)，因此，我們建議在郵件服務(wù)器和企業(yè)防火墻之間加設(shè)反垃圾郵件網(wǎng)關(guān)（也就是梭子魚郵件防火墻系統(tǒng)）。建議方案二如圖，本方案建議采用2臺服務(wù)器提供Exchange郵件服務(wù)，也就是將Exchange邊緣傳輸服務(wù)器角色分出，單列一臺服務(wù)器，提供郵件收發(fā)過程中的過濾功能，也就是替代方案一中的梭子魚郵件防火墻。Exchange服務(wù)器角色簡介1.客戶端訪問服務(wù)器角色：客戶端訪問服務(wù)器角色支持MicrosoftOutlookWebAccess和MicrosoftExchangeActiveSync客戶端應(yīng)用程序以及郵局協(xié)議版本3(POP3)和Internet郵件訪問協(xié)議版本4rev1(IMAP4)協(xié)議。客戶端訪問服務(wù)器角色還支持一些服務(wù)，例如Autodiscover服務(wù)和Web服務(wù)。客戶端訪問服務(wù)器角色支持各種不同客戶端與Exchange2007服務(wù)器連接。MicrosoftOutlookExpress和Eudora等軟件客戶端使用POP3或IMAP4連接與Exchange服務(wù)器進行通信。移動設(shè)備等硬件客戶端使用ActiveSync、POP3或IMAP4與Exchange服務(wù)器進行通信。如果用戶使用任何非MicrosoftOutlook客戶端訪問其收件箱，則必須在Exchange組織中安裝客戶端訪問服務(wù)器角色。2.邊緣傳輸服務(wù)器角色：注意：在MicrosoftExchangeServer2007的預(yù)發(fā)布版本中，邊緣傳輸服務(wù)器角色稱為網(wǎng)關(guān)服務(wù)器角色。在Exchange2007中，邊緣傳輸服務(wù)器角色在組織的外圍網(wǎng)絡(luò)中作為獨立的服務(wù)器進行部署。邊緣傳輸服務(wù)器旨在最小化攻擊面，并可處理所有面向Internet的郵件流，這樣可以為Exchange組織提供簡單郵件傳輸協(xié)議(SMTP)中繼和智能主機服務(wù)。運行在邊緣傳輸服務(wù)器上的系列代理提供其他的郵件保護和安全層，當郵件傳輸組件處理郵件時，這一系列代理將作用于這些郵件。這些代理支持的功能可提供病毒和垃圾郵件防范措施，以及應(yīng)用傳輸規(guī)則來控制郵件流。安裝了邊緣傳輸服務(wù)器角色的計算機不能訪問ActiveDirectory目錄服務(wù)。所有配置和收件人信息都存儲在ActiveDirectory應(yīng)用程序模式(ADAM)目錄服務(wù)中。若要執(zhí)行收件人查找任務(wù)，邊緣傳輸服務(wù)器需要駐留在ActiveDirectory中的數(shù)據(jù)。EdgeSync是一組進程，運行于安裝了中心傳輸服務(wù)器角色的計算機上，可建立將收件人和配置信息從ActiveDirectory復(fù)制到邊緣傳輸服務(wù)器上的ADAM實例的單向復(fù)制。MicrosoftExchangeEdgeSync服務(wù)僅復(fù)制邊緣傳輸服務(wù)器執(zhí)行反垃圾郵件配置任務(wù)時所需的信息，以及啟用端到端郵件流所需的有關(guān)連接器配置的信息。MicrosoftExchangeEdgeSync服務(wù)執(zhí)行安排的更新，以使ADAM中的信息保持最新?？梢栽谕鈬W(wǎng)絡(luò)中安裝多個邊緣傳輸服務(wù)器。通過部署多個邊緣傳輸服務(wù)器，可以在服務(wù)器失敗時提供冗余?？梢允褂糜蛎到y(tǒng)(DNS)“輪循機制”（這是一種DNS服務(wù)器用來共享和分散網(wǎng)絡(luò)資源負載的簡單機制），在邊緣傳輸服務(wù)器之間實現(xiàn)組織的SMTP通信負載平衡?？梢允褂每寺〉呐渲媚_本實現(xiàn)多個邊緣傳輸服務(wù)器之間的配置一致性。此外，還提供了一個邊緣傳輸服務(wù)器模板，與MicrosoftWindowsServer2008ServicePack1安全配置向?qū)浜鲜褂茫詭椭诨诮巧南鄳?yīng)安全級別配置WindowsServer2008。下列各部分介紹了可以使用邊緣傳輸服務(wù)器角色管理的郵件處理方案。Internet郵件流運行邊緣傳輸服務(wù)器角色的服務(wù)器接受通過Internet進入Exchange2007組織的郵件。邊緣傳輸服務(wù)器對郵件進行處理之后，會將它們路由到組織內(nèi)部的中心傳輸服務(wù)器。中心傳輸服務(wù)器對郵件進行處理之后，會將從組織發(fā)送到Internet的所有郵件路由到邊緣傳輸服務(wù)器?？梢詫⑦吘墏鬏敺?wù)器配置為使用DNS解析外部SMTP域的郵件交換器(MX)資源記錄，也可以將邊緣傳輸服務(wù)器配置為將郵件轉(zhuǎn)發(fā)到智能主機以進行DNS解析。反垃圾郵件和防病毒保護在Exchange2007中，反垃圾郵件和防病毒功能提供的服務(wù)可以阻止網(wǎng)絡(luò)外圍的病毒和垃圾郵件或商業(yè)垃圾郵件。大多數(shù)病毒都使用類似垃圾郵件的策略來嘗試訪問組織，并誘使用戶打開電子郵件。如果可以篩選出大多數(shù)垃圾郵件，就更有可能在病毒進入組織之前將其捕獲。垃圾郵件制造者使用多種技術(shù)向組織發(fā)送垃圾郵件。運行邊緣傳輸服務(wù)器角色的服務(wù)器通過提供一組協(xié)同工作以提供不同垃圾郵件篩選層和保護層的代理，以幫助防止組織中的用戶接收垃圾郵件。在連接器上建立緩送技術(shù)?間隔會使收集電子郵件嘗試無效。邊緣傳輸規(guī)