ExchangeServer2013

配置與規(guī)劃方案建議書

二零一六年八月

1.方案背景

2.目前由于集團(tuán)發(fā)展要求，擬構(gòu)筑一套自建的、功能完善的、

信息傳輸安全、專業(yè)級(jí)企業(yè)郵件系統(tǒng)，來(lái)改變目前員工郵件

使用混亂、組織架構(gòu)零散、無(wú)法集中管理的現(xiàn)狀，對(duì)于未來(lái)

規(guī)劃針對(duì)諸如SAP企業(yè)ERP、0A系統(tǒng)等統(tǒng)一集成到構(gòu)架后的

郵件系統(tǒng)中，從而實(shí)現(xiàn)協(xié)同、高效的辦公環(huán)境。

3.方案規(guī)劃

?自建郵箱系統(tǒng)對(duì)整個(gè)公司的信息化具有重要的意義，系統(tǒng)的選擇和設(shè)計(jì)對(duì)建成后

的質(zhì)量和作用起到舉足輕重的影響，為保證系統(tǒng)的廣泛使用和穩(wěn)定運(yùn)行，新系統(tǒng)的選擇和

設(shè)計(jì)應(yīng)遵循以下原則：

?保障信息傳遞的高效性

?便于最終用戶使用，符合用戶習(xí)慣，方便與其他客戶端軟件集成

?系統(tǒng)穩(wěn)定可靠

?方便網(wǎng)絡(luò)和系統(tǒng)的管理、安全性控制和擴(kuò)展

?能提供完備的反病毒、反垃圾郵件和備份方案

?便于系統(tǒng)的統(tǒng)一管理

?基于以上的設(shè)計(jì)原則，郵件系統(tǒng)的設(shè)計(jì)應(yīng)達(dá)到以下目標(biāo)：

?現(xiàn)階段為公司人員提供郵件服務(wù)，初期大約2000人左右，每人1G容量，每超信附

件最大30M,部門經(jīng)理級(jí)以上無(wú)限制。

?用戶工作流將圍繞Exchange進(jìn)行實(shí)施，采用Outlook和0WA方式連接Exchange

?高度可伸縮性的體系構(gòu)架。能方便地?cái)U(kuò)充容量，以滿足集團(tuán)未來(lái)發(fā)展的需要。

?完備的反病毒和反垃圾郵件解決方案

?為管理員提供方便高效的管理工具，減少日常維護(hù)工作量

?對(duì)于移動(dòng)用戶和設(shè)備的支持

4.根據(jù)公司用戶規(guī)模和具體需求，建議郵件系統(tǒng)采用集中部署

的方式，郵件系統(tǒng)的服務(wù)器在西安集團(tuán)總部機(jī)房?jī)?nèi)，采用光

纖100M接入互聯(lián)網(wǎng)，系統(tǒng)上線后可實(shí)現(xiàn)西安和外地員工（整

個(gè)集團(tuán)）通過Web方式收發(fā)郵件或Outlook方式收發(fā)郵件。

5.方案采用了WindowsServer2012平臺(tái)上Exchange2013集群部

署的郵件系統(tǒng)，以前、后端部署的方式實(shí)現(xiàn)系統(tǒng)的高性能和

高擴(kuò)展性。

6.工期規(guī)劃

對(duì)于整個(gè)Exchange郵件系統(tǒng)項(xiàng)目建議分為三個(gè)工期。第一期為郵件系統(tǒng)基礎(chǔ)架設(shè)；笫二期

為安全保障期；第三期為分支機(jī)構(gòu)郵件整合期。

1.1.一期

?外部DNS域名設(shè)定

?Exchange2013安裝及設(shè)置

?客戶端訪問方式及郵件傳輸規(guī)則配置（其中包含郵件外發(fā)審核）

?NTbackup備份設(shè)置

1.2.一期完成后能達(dá)到的目的是：內(nèi)部用戶及外部用戶都可以使用郵件系統(tǒng)進(jìn)

行郵件收發(fā)，完成了一個(gè)基本的郵件系統(tǒng)架設(shè)。

1.3.二期

?備份設(shè)備及介質(zhì)采購(gòu)安裝

?Exchange備份軟件采購(gòu)安裝

?操作系統(tǒng)備份軟件采購(gòu)安裝

?防病毒及反垃圾產(chǎn)品采購(gòu)安裝

?備份計(jì)劃作業(yè)的規(guī)劃及設(shè)置

1.4.二期完成后能達(dá)到的目的是：保障郵件用戶不受垃圾及病毒郵件的困擾。

保障郵件系統(tǒng)安全可靠運(yùn)行。提高了系統(tǒng)在災(zāi)難性事件中的恢復(fù)能力。

1.5.三期

?整理文件安全（權(quán)限保護(hù)）

?將分支機(jī)構(gòu)三地郵件系統(tǒng)融合

?所有用戶賬戶和主要應(yīng)用系統(tǒng)統(tǒng)一到集團(tuán)組織架構(gòu)中管理

?多地郵件系統(tǒng)容災(zāi)

?整合現(xiàn)有0（Yice365（Exchange混合部署）

7.三期完成后達(dá)到的目的是：將新的郵件系統(tǒng)完全代替三地原

有零散郵件使用方式，完善整套系統(tǒng)的運(yùn)行時(shí)效性、數(shù)據(jù)安

全保障。

8.服務(wù)器規(guī)劃

在本方案中的架構(gòu)將至少用到8臺(tái)服務(wù)器。2臺(tái)作為AD域控，2臺(tái)Exchange2013前端服務(wù)

器采用1；5做負(fù)載均衡，4含Exchangc2013后端服務(wù)器采用DAG數(shù)據(jù)庫(kù)高可用（可使用虛抵服務(wù)

器）。

L1.服務(wù)器平臺(tái)必須是X64位，后端服務(wù)器MailBoxSvrOl、MailBoxSvr02.

MailBoxSvr03^MailBoxSvr04最好硬件配置相同。

1.2.在本次第一階段工作中（按照1000點(diǎn)），可先設(shè)計(jì)為兩臺(tái)域控制器（建議

物理服務(wù)器），兩臺(tái)郵件前端服務(wù)器（可采用虛擬機(jī)）、兩臺(tái)郵件后端服

務(wù)器（可采用虛擬機(jī)），一臺(tái)邊緣外發(fā)服務(wù)器（可采用虛擬機(jī)），共7臺(tái)。

1.3.高可用架構(gòu)設(shè)計(jì)

?DC01為主域控制器

?DC02為輔助域控制器起到對(duì)DC01的目錄服務(wù)備份作用

?選用自建證書實(shí)現(xiàn)內(nèi)外網(wǎng)郵件數(shù)據(jù)加密傳輸

?ExchSvrOl為Exchange的客戶端訪問服務(wù)器（前端CAS01）

?ExchSvrO2為Exchange的客戶端訪問服務(wù)器（前端CAS02）

?MaiIBoxSvrOl為Exchange的郵箱服務(wù)器（后端DAG01）

?MailBoxSvr02為Exchange的郵箱服務(wù)器（后端DAG02）

?郵件邊緣外發(fā)服務(wù)器〔互聯(lián)網(wǎng)）

9.方案說(shuō)明

1.1.Exchange服務(wù)器角色說(shuō)明

1.2.￡*（±211832013相比￡*（±&四。2010,角色從以前的5個(gè)，減少了只有2個(gè)，

分別是客戶端訪問服務(wù)器和郵箱服務(wù)器。

1.3.客戶端訪問角色：該角色處理所有??客戶端請(qǐng)求。角色包含的客戶端Outlook、0WA.

移動(dòng)設(shè)備和SMTP代理服務(wù)器連接，并接收郵件和郵件傳送到Internet上的其他郵件

主機(jī)?？蛻舳嗽L問服務(wù)器，可以組成客戶端訪問服務(wù)器陣列。

1.4.郵箱服務(wù)器：該角色存儲(chǔ)著可以被復(fù)制和集群化的用戶郵箱數(shù)據(jù)庫(kù)。郵箱服務(wù)器可以

使用到后端高可用性組集群（DAG）

1.5.架構(gòu)說(shuō)明

使用Exchange2013高可用性存儲(chǔ)組做為郵件服務(wù)器的基本部署架構(gòu)。這種群集信箱服務(wù)器

結(jié)合了Exchange2013的復(fù)制和重新顯示功能以及Microsoft群集服務(wù)的故障轉(zhuǎn)移功能。部署CCR

解決方案，可讓單一數(shù)據(jù)中心或兩個(gè)數(shù)據(jù)中之間沒有單一矢敗點(diǎn)。凡日前執(zhí)行「群集信箱服務(wù)器J

（以前稱為「Exchange虛擬服務(wù)器」）的節(jié)點(diǎn)，即是主動(dòng)節(jié)點(diǎn)，而群集中目前沒有執(zhí)行「群集信

箱服務(wù)器」的節(jié)點(diǎn)，即是被動(dòng)節(jié)點(diǎn)。

1.6.CCR會(huì)使用Exchange2013中的數(shù)據(jù)庫(kù)失敗復(fù)原功能，對(duì)第二份數(shù)據(jù)庫(kù)副本

執(zhí)行連續(xù)異步更新，使該副本更新成數(shù)據(jù)庫(kù)主動(dòng)副本中的變更。記錄文件

則在信箱服務(wù)器不再使用且關(guān)閉后才會(huì)予以復(fù)制。在CCR環(huán)境中進(jìn)行被動(dòng)

節(jié)點(diǎn)安裝時(shí)，每個(gè)儲(chǔ)存群組和其數(shù)據(jù)庫(kù)都會(huì)從主動(dòng)節(jié)點(diǎn)復(fù)制至被動(dòng)節(jié)點(diǎn)。

這個(gè)作業(yè)稱為「植入」，用以提供數(shù)據(jù)庫(kù)的復(fù)制基準(zhǔn)。在執(zhí)行初次植入后,

就會(huì)繼續(xù)執(zhí)行記錄復(fù)制和重新顯示作業(yè)。CCR會(huì)以被動(dòng)節(jié)點(diǎn)來(lái)復(fù)制和重新

顯示記錄文件，被動(dòng)節(jié)點(diǎn)則透過安全檔案共享存取這些記錄文件。

1.7.復(fù)制功能與群集服務(wù)的整合，使CCR環(huán)境能夠打造出高可用性解決方案。

CCR不僅可提供資料和服務(wù)可用性，還可以因應(yīng)排定的中斷作業(yè)。當(dāng)需要

安裝更新或執(zhí)行維護(hù)作業(yè)時(shí)，您可以手動(dòng)地將「群集信箱服務(wù)器」移動(dòng)到

被動(dòng)節(jié)點(diǎn)。移動(dòng)作業(yè)完成后，就可以執(zhí)行所需的維護(hù)作業(yè)。

1.8.Exchange2013群集連續(xù)復(fù)制系統(tǒng)及要求

1.1.1.硬件要求

?處理器：

基于x64體系結(jié)構(gòu)的計(jì)算機(jī)，具有支持Intel64位體系結(jié)構(gòu)的Intel處理器

建議至少2路8核心

■內(nèi)存配置：

■DC01內(nèi)存16GB或更大（域控制器,客戶端訪問）

■DC02內(nèi)存16GB或更大（域控制器，備份DC01）

■ExchSvr內(nèi)存32GB或更大（客戶端訪問）

■MailBoxSvr內(nèi)存32GB或更大（郵箱存儲(chǔ)）

■磁盤空間：

■郵箱服務(wù)器對(duì)初期2000用戶1G每用戶將要至少2T磁盤存儲(chǔ)空間

■郵箱服務(wù)器對(duì)后期10000用戶1G每用戶將要至少10T磁盤存儲(chǔ)空間

文件格式：

■格式化為NTFS文件系統(tǒng)的磁盤分區(qū)，這適用于下列分區(qū):

■系統(tǒng)分區(qū)

■存儲(chǔ)Exchange二進(jìn)制文件的分區(qū)

■包含存儲(chǔ)組文件（包括事務(wù)日志文件）的分區(qū)

■包含數(shù)據(jù)庫(kù)文件的分區(qū)

1.1.2.操作系統(tǒng)要求

■Exchange2013EnterpriseWithSP1的操作系統(tǒng)要求：

■WindowsServer2012Datacenterx64Edition

1.1.3.存儲(chǔ)系統(tǒng)要求

要求FC光通道存儲(chǔ)設(shè)備

總可用空間需求10T

總共I0PS需求15,360（按照2000客戶端并發(fā)計(jì)算）

合計(jì)讀取I0PS量12,288

合計(jì)寫入I0PSfi：3,072

總共吞吐量（Mb/scc）337

LL4.服務(wù)及組件要求

?版本

版更新

MicrosoftWindowsPowsrShell（適用于Exchange命令行管理程序）

網(wǎng)絡(luò)新聞傳輸協(xié)議（NNTP）服務(wù)［不得安裝］

簡(jiǎn)單郵件傳輸協(xié)議（SMTP）服務(wù)［不得安裝］

InternetInformationservices（IIS）

COM+訪問（組件）

萬(wàn)維網(wǎng)發(fā)布服務(wù)服3SVC）

RPC（遠(yuǎn)程過程調(diào)用）jverHTTP（超文本傳輸協(xié)議）ProxyWindows網(wǎng)絡(luò)組件

ASP。NET版本

分布式事務(wù)處理協(xié)調(diào)器服務(wù)

與NWLinklPX/SPX/NetB10S兼容的傳輸協(xié)議［不得安裝］

1.1.5.外網(wǎng)DNS域名要求

■外網(wǎng)注冊(cè)域名

■MX記錄

■固定IP

1.9.要使內(nèi)部Exchange服務(wù)能夠接收外部件，必須注冊(cè)DNS域名及MX記錄。

要求有固定IPo并指向公司防火墻外接口IP,防火墻再做IP或端口映射

到Exchange服務(wù)器。MX記錄變更建議在非工作進(jìn)行，因?yàn)镈NS全球同步

問題，會(huì)造成郵件發(fā)不進(jìn)來(lái)。

1.10.客戶端訪問

1.1.1.必要前提

要使外部用戶可以訪問內(nèi)部郵件服務(wù)器及內(nèi)部用戶可以接收來(lái)白外網(wǎng)的郵件，必須要有固

定IP及注冊(cè)外部DNS域名和MX記錄。否則將不能接收外網(wǎng)郵件,發(fā)送到外網(wǎng)的郵件可能會(huì)被認(rèn)

為是垃圾郵件而被接收服務(wù)器拒絕。

1.1.2.ExchangeServer2013支持Outlook,OWA,POP3,IMAP等客戶端訪問方式，默認(rèn)只開通

Outlookup,0WA訪問服務(wù)。

1.1.3.Outlook

1.1.4.OutlookAnywhere通過使用自動(dòng)發(fā)現(xiàn)功能以及RPC/HTTP,使用戶可以從任何一臺(tái)運(yùn)

行著Outlook并連接到Inteimet的計(jì)算機(jī)輕松地訪問他們的郵箱。

1.1.5.Out1ookWebAccess

1.1.6.OutlookWebAccess有著與0utlook2013類似的外觀與感覺。對(duì)搜索功能和地址簿的

改進(jìn)使您更容易獲取要找的信息。OutlookWebAccess還允許您訪問網(wǎng)絡(luò)資源，如

SharePoint站點(diǎn)和文件共享。使用OutlookWebAccess,可以無(wú)需VPN就能訪問郵箱

和網(wǎng)絡(luò)資源。

1.1.7.關(guān)于Outlook與OWA的差異

1.1.8.Outlook是緩存模式，沒有網(wǎng)絡(luò)是可以查看緩存下來(lái)的郵件。缺點(diǎn)就是同步起來(lái)比較慢,

及時(shí)性相對(duì)較差。0WA即為實(shí)時(shí)，但客戶機(jī)沒有網(wǎng)絡(luò)時(shí)將不給查看郵件。

1.1.9.關(guān)于客戶端訪問的安全性

1.1.10.可以架設(shè)內(nèi)部CA服務(wù)器或者公網(wǎng)證書機(jī)構(gòu)頒發(fā)的證書，給客戶端訪問服務(wù)器發(fā)放證

書。設(shè)置OutlookupAnywhere及OWA都使用內(nèi)部證書。做到客戶端和服務(wù)器通信加密。

1.1.11.客戶端限制設(shè)置

10.關(guān)于限制用戶郵箱大小及刪除保留：在Exchange管理工

具〉服務(wù)器配置》相應(yīng)的數(shù)據(jù)庫(kù)屬性。

11.關(guān)于找回已刪除郵件：通過OWA進(jìn)入郵箱》選項(xiàng)》已刪除郵

件。可找回最近刪除的郵件。

12.備份與還原

1.1.Exchange備份與還原

1.1.1.Exchange備份與還原主要分為兩類；一類是通過Windows自帶ServerBackup來(lái)進(jìn)行

實(shí)現(xiàn)，另一類是通過第三方軟件要實(shí)現(xiàn)(SymantecBackupExec)。

1.1.2.ServerBackup備份還原

ServerBackup是Windows自帶的備份工具?？梢詫?duì)ExchangeServer2013的存儲(chǔ)組進(jìn)行名份。

還原同樣通過NTBackup還原：

NTBackup備份還原的弱點(diǎn)。只能對(duì)數(shù)據(jù)庫(kù)備份還原。不能直接還原單個(gè)郵件。優(yōu)點(diǎn)是相對(duì)

第三方軟件來(lái)說(shuō)是免費(fèi)。

1.2.SymantecBackupExecforExchange備份還原

SymantecBackupExec是Windows平臺(tái)下優(yōu)秀的備份軟件。

SymantecBackupExecforExchange優(yōu)點(diǎn)。可以做到還原到單個(gè)郵件級(jí)別。并且有強(qiáng)大備份設(shè)

備管理能力及詳細(xì)的報(bào)表功能。

L3.建議備份方式

1.1.1.ExchangeServer

1.1.2.SymantecBackupExec+EMC存儲(chǔ)。通過SymantecBackupExec可以對(duì)存儲(chǔ)文件進(jìn)行分類，

定義保護(hù)周期。設(shè)定安排計(jì)劃及發(fā)送操作記錄到管理者或用戶。這樣管理者只要查看郵

件就知道詳細(xì)的備份情況。

1.L3.操作系統(tǒng)

13.憑借可以自動(dòng)進(jìn)行物理到虛擬轉(zhuǎn)換，以實(shí)現(xiàn)即時(shí)系統(tǒng)恢

復(fù)的新功能，

SymantecBackupExecSystemRecoveryServerEdition能夠在

幾分鐘之內(nèi)恢復(fù)整個(gè)Windows系統(tǒng)，甚至可以恢復(fù)到不同的

硬件或虛擬環(huán)境。并且管理員可以設(shè)置備份計(jì)劃對(duì)系統(tǒng)進(jìn)行

備份而不必關(guān)機(jī)。

14.防病毒與反垃圾建議

1.1.Exchange防病毒與反垃圾

SymantecMailSecurityforMicrosoftExchange

1.2.SymantecMaiISecurityforMicrosoftExchange提供了高性能的集成郵件

防護(hù)功能，可以保護(hù)MicrosoftExchange2013服務(wù)器免遭病毒威脅、垃圾

郵件和安全風(fēng)險(xiǎn)的侵?jǐn)_，同時(shí)確保在這些服務(wù)器上實(shí)施內(nèi)部策略。從而在

初始設(shè)置后無(wú)需進(jìn)行額外的后續(xù)管理，即可提供一流的垃圾郵件防御能

力。

1.3.Windows防病毒

建議使用網(wǎng)絡(luò)版的防毒軟件。全網(wǎng)防毒才是真正的防毒。建議選擇產(chǎn)品：

SymantecEndpointProtcction

15.SymantecEndpointProtection無(wú)縫集成了一些基本技術(shù),

如防病毒、反間諜軟件、防火墻、入侵防御、設(shè)備和應(yīng)用程

序控制。只需要一個(gè)代理，通過一個(gè)管理控制臺(tái)即可進(jìn)行管

理。

16.方案實(shí)施

實(shí)施任務(wù)：

實(shí)施時(shí)間備注

任務(wù)名稱

操作系統(tǒng)安裝1個(gè)工作日安裝完成后進(jìn)行補(bǔ)丁更新

防毒軟件安裝個(gè)工作日安裝操作系統(tǒng)防毒軟件

域名確認(rèn)

活動(dòng)目錄架設(shè)1個(gè)工作日主域控制器與備份域控制器安裝

成員服務(wù)器加入域

角色安裝

郵件系統(tǒng)安裝5個(gè)工作日

高可用

OutLook

客戶端訪問方式及規(guī)則個(gè)工作日OWA

設(shè)置郵件傳輸規(guī)則

開啟Exchange2013自帶垃圾郵件

反垃圾郵件功能配置個(gè)工作日功能，更新反垃圾庫(kù)

設(shè)置垃圾規(guī)則

防火墻端口映射

端口映射及外部域名設(shè)置個(gè)工作日MX記錄變更（建議在非工作時(shí)間

完成）

在NSlookup查詢MX記錄變更正常

外部及內(nèi)部訪問測(cè)式1個(gè)工作日后才可做外部測(cè)式