《毕业设计(论文)基于ExchangeServer2003邮件系统的管理与安全性研究.doc》由会员分享,可在线阅读,更多相关《毕业设计(论文)基于ExchangeServer2003邮件系统的管理与安全性研究.doc(44页珍藏版)》请在三一办公上搜索。
1、基于Exchange Server 2003邮件系统的管理与安全性研究摘 要 为了能够提升企业的整体形象,更重要的是能为企业带来经济效益,企业能够拥有自己域名的邮件系统已成为不可扭转的必然趋势。一个类似于“Company_”这样特有的邮件地址不仅能够显示出企业对外的名称、品牌标识外,其中更能体现的是高效的企业运作模式与快速的市场响应机制。为企业能够在该行业立足,打下坚实的基础。本邮件系统的设计,是以中小型企业为背景,利用Windows Server 2003 Enterprise Edition,Microsoft Exchange Server 2003等软件,根据前后端的邮件服务器拓扑结构
2、,从企业的实际需求出发设计实施完成。成功部署了域控制器,Exchange的前后端服务器,活动目录等邮件系统的必要组成部分,具体实现了利用Web浏览器即可通过OWA的访问方式线上处理电子邮件,通过SSL和IPSec安全连接邮件服务器,电子邮件的自动转发,代理发送,自动归档等功能,并且还为特权用户设计了特殊的用户权限、邮箱权限及功能。关键词 企业邮件系统,Exchange Server 2003,安全管理ABSTRACTIn order to promote the whole image of the enterprise, more importantly, to bring economic
3、 benefit, having mail system of a corporation own domain name is becoming an irreversible and inevitable tendency. A special e-mail address like “Company_” not only presents the name of enterprise and band name, but also more embodies efficient enterprises operation pattern and a rapid mechanism of
4、respondence capacity of variable market. To provide a solid foundation for enterprise to gain a footing on this filed.The design of this mail system is based on the setting of the SMEs, used Windows Server 2003 Enterprise Edition, Microsoft Exchange Server 2003, etc. And depended on mail server topo
5、logy of Front-End and Back-End, designed and implemented from requirement of the company.Successfully deployed some necessary parts of the mail system, such as Domain controller, Front-End Server and Back-End Server of Exchange, Active Directory and so on. Use web browser to achieve the following fu
6、nctions, handling e-mail on line by the way of visiting OWA, linking the mail servers safely through SSL and IPSec, Forwarding, Send As, Automatic archiving, etc. And also designed special permission of the users, for instance, mailbox permissions and its function for the users with privileges.Key W
7、ords:Enterprise mail system Exchange server 2003 Security management目 录摘 要I1 绪论11.1 课题研究的背景11.2 课题研究的意义12 邮件系统介绍及相关原理22.1 Lotus Notes22.2 Qmail22.3 Exchange22.4 POP3协议32.5 IMAP4协议32.6 SMTP协议33 邮件系统需求、可行性分析和总体设计43.1 邮件系统设计目标43.2 中小企业邮件系统要求43.2.1 基于自己的域名43.2.2 灵活的访问方式43.2.3 低维护成本且稳定,具有高可用性53.2.4 功能性强5
8、3.2.5 安全性高53.3 软件技术、硬件技术及经济可行性分析53.3.1 Windows Server 2003 Enterprise Edition53.3.2 活动目录(Active Directory)63.3.3 Microsoft Exchange Server 200363.3.4 域控制器63.3.5 Exchange服务器63.3.6 经济可行性73.4 邮件系统总体设计与规划73.4.1 物理结构设计73.4.2 采用该物理结构的优点83.4.3 逻辑结构设计94 邮件系统详细设计及具体部署方案124.1 域控制器的设计124.2 活动目录的设计134.3 Exchang
9、e服务器的设计154.3.1 安装必要的Windows组件并进行环境检测154.3.2 森林拓展154.3.3 域拓展164.3.4 Exchange后端服务器的设计174.3.5 Exchange前端服务器的设计214.3.6 OWA访问方式的设计224.3.7 OWA客户端与前端服务器之间SSL的设计234.3.8 前后端服务器之间IPSec的设计254.3.9 定制地址列表的设计264.3.10 限制用户邮箱的容量的设计264.3.11 限制用户在企业内部收发邮件大小的设计284.3.12 限制用户与企业外部收发邮件大小的设计294.3.13 存档邮件进行安全审查的设计304.4 特权用
10、户的用户权限、邮箱权限及功能的设计324.4.1 总经理324.4.2 副总经理344.4.3 人力资源部主管1365 总结38参考文献39答 谢401 绪论1.1 课题研究的背景当今时代,企业内外交换信息的必备工具之一就是邮件系统,据统计Internet上有超过30%的紧急业务是通过电子邮件实现的。邮件服务已经成为互联网上非常重要的服务之一,远远超过了功能强大的搜索引擎。同时,随着Internet的迅速发展以及企业自身在信息管理,办公自动化上的进展,一方面,专业邮件系统的拥有者再不是那些IT行业的高端,而是明显向中小型企业转变,另一方面,企业有必要利用Internet带来的强大功能提供更为优
11、质,便捷的商业服务。1.2 课题研究的意义邮件系统对于很多公司来说,已经是最关键的任务组件。但是,由于该组件的突然断电,管理员操作失误,组件本身存在的隐性故障和自然灾害等情况,从不同程度上都会影响到邮件系统的可用性。为了预防此类事情的发生,企业一定要提前规划并实施可靠的部署策略来保证并提升邮件系统的高可用性。本文就利用Exchange Server 2003自身携带的一些功能和操作系统的搭配来实现邮件系统的高可用性。2 邮件系统介绍及相关原理2.1 Lotus Notes1Lotus Notes是一个世界领先的企业级通讯、协同工作及Internet/Intranet平台;具有完善的工作流控制、
12、数据库复制技术和完善可靠的安全机制。但这些系统包含的协作功能和每客户端的许可证费用使它们的整体成本急剧上升。2.2 Qmail2作为Linux下面主流的邮件系统内核,大量著名的商业邮件系统都是在Qmail内核下开发,比如Hotmail等。Qmail具有安装方便、安全性高、邮件结构合理等强大的功能。但如果要使用这些邮件服务器系统为企业和ISP等提供良好的邮件服务,必须要有专业的维护人员。这样势必增加系统的维护费用及企业的额外开支。2.3 Exchange3Exchange 2003包含了众多新增和改进特性,这些特性让Exchange 2003成为了具有高度生产力和面向移动访问的理想消息和协作服务
13、器平台。Exchange 2003与Microsoft Office Outlook 2003提供了丰富的客户端功能协同工作能力,可提供具有一流安全性和隐私性的移动、远程和桌面电子邮件访问。2.4 POP3协议4全名为“Post Office Protocol - Version 3”,即“邮局协议版本3”。本协议主要用于支持使用客户端远程管理在服务器上的电子邮件。POP3协议支持“离线”邮件处理。其具体过程是:邮件发送到服务器上,电子邮件客户端调用邮件客户机程序以连接服务器,并下载所有未阅读的电子邮件。这种离线访问模式是一种存储转发服务,即将邮件从邮件服务器端送到个人终端机器上。2.5 IM
14、AP4协议5IMAP4协议同POP3协议相比更高级。IMAP4协议支持客户机在线或者离线访问并阅读服务器上的邮件,还能交互式的操作服务器上的邮件。IMAP4协议更人性化的地方是不需要像POP3协议那样把邮件下载到本地,用户可以通过客户端直接对服务器上的邮件进行操作。2.6 SMTP协议6SMTP是一种提供可靠且有效电子邮件传输的协议。SMTP是建立在FTP文件传输服务上的一种邮件服务,主要用于传输系统之间的邮件信息并提供来信有关的通知。SMTP重要特性之一是其能跨越网络传输邮件,即“SMTP邮件中继”。无论使用POP3还是IMAP4来获取消息,客户端都要使用SMTP协议来发送消息。邮件客户可能
15、是POP3客户端或者IMAP4客户端,但都会使用到SMTP。3 邮件系统需求、可行性分析和总体设计3.1 邮件系统设计目标与大型企业相比较而言,中小企业都多多少少存在着技术力量薄弱、储备性能不好,规模偏小,抵御系统灾难、风险能力弱等缺点;同时由于竞争环境和成本压力的限制,中小企业的IT状况也很难在短时间内得到很大提升。因此,要建立一个方便易用的邮件系统,使其易管理,易操作,稳定且具有高性能。3.2 中小企业邮件系统要求3.2.1 基于自己的域名为维护并提升公司统一品牌形象,对外提供带有企业标志的邮箱,可以向客户传达一个规范、正规的企业形象,利于企业销售的开展。其中更能体现的是高效的企业运作模式
16、与快速的市场响应机制。为企业能够在该行业立足,打下牢固的基础。3.2.2 灵活的访问方式利用任何一款Web浏览器即可在线处理电子邮件,电子邮件在线收信、发信功能,电子邮件的自动转发(Forwarding)。方便内部员工进行信息交换,提高沟通效率,使企业内部各部门的信息交流更加高效,特别适合两地办公的环境。3.2.3 低维护成本且稳定,具有高可用性企业级邮件系统,具有海量、高效、可靠等特点,能够满足企业级用户对邮件交换的需求,更能够作为企业电子商务的信息交换平台。在访问量非常大的情况下,仍然能够保持较高的邮件处理速度。3.2.4 功能性强支持POP3/IMAP4/SMTP等多种标准EMAIL协议
17、,能够与其它电子邮件系统直接交换数据。支持Outlook、Foxmail等大多数邮件客户端程序,满足用户不同的使用习惯。方便公司与客户、供货厂商、后勤厂商等进行大容量数据传输,提高商务协作效率。3.2.5 安全性高采用SSL技术和IPSec技术,保证邮件的安全性。加强内部信息安全管理,一方面对于内部下达的各项指令可根据邮件进行追踪,做到有案可查,另一方面,可以通过加密邮件的方式传输一些企业机密信息,防止信息在传输过程中被截获破译。3.3 软件技术、硬件技术及经济可行性分析3.3.1 Windows Server 2003 Enterprise EditionWindows Server 200
18、3 Enterprise Edition支持高性能服务器,并且可以群集服务器,以便处理更大的负荷。通过这些功能实现了可靠性,有助于确保系统即使在出现问题时仍可用。3.3.2 活动目录(Active Directory)活动目录服务是Windows Server 2003操作系统平台的中心组件之一。Active Directory存储了有关网络对象的所有信息,并且让管理员和用户能够轻松地查找和使用这些信息。Active Directory使用了一种结构化的数据存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织。3.3.3 Microsoft Exchange Server 2003Exch
19、ange是微软推出的一款功能强大的邮件系统软件,它具有易于管理、方便维护且稳定,并具有高性能的特点,拥有良好的用户接口与访问界面,在中小型企业的邮件系统软件中占有相当大的市场份额。因此,使用Exchange邮件系统作为中小企业的邮件平台是非常理想的选择。3.3.4 域控制器域控制器通过Active Directory 功能实现对用户帐户的管理,用户密码的验证等,同时也提供DNS服务。为确保 Active Directory 信息的安全,可以采用备份域控制器。3.3.5 Exchange服务器应用服务器,负责存储用户邮箱的数据信息,直接面对客户端访问,随着用户数量的增加,对服务器的要求也越来越高
20、。一般在企业邮箱较为重要的时候,需要采用双机或者两个以上节点的集群。3.3.6 经济可行性该系统架构较为简单、易行是其能够适用于中小企业最主要的方面,还有一点也是非常重要的一点是因为大部分软件已是免费的,企业只需投入较少的资金购置几台性能较好的服务器即可,所以说总设计的价格成本较低,易于实现。本邮件系统的架构在保证了系统的软硬件技术可行性的同时,还保证了系统的经济可行性。3.4 邮件系统总体设计与规划3.4.1 物理结构设计两台域控制器,一台作为主域控制器,用于用户帐户的管理以及DNS解析。一台作为辅助域控制器,根据复制拓扑,采用通知机制,实时复制主域控制器的信息,做到数据同步,实现备份域控制
21、器。采用两台Exchange服务器作为后端服务器,分别对应两个管理组,在两个管理组上各建立一个邮箱存储,存储所有用户的邮箱及配置信息,一台Exchange服务器作为前端服务器,负责接收由POP3、IMAP4和MAPI客户端传来的请求。两个硬件防火墙和一个ISA Server,主要防止从Internet发起的攻击。详细拓扑如图3.1所示:图3.1 企业邮件系统拓扑图3.4.2 采用该物理结构的优点性能的灵活扩展:能够让用户在访问其邮箱时使用单一的命名空间。利用单一命名空间,即使添加或删除服务器,或者将邮箱从一个服务器移到另一个服务器,用户仍然可以使用同一个网络地址或POP3和IMAP4客户端配置
22、,将对用户的影响减少到最小。负载的迁移:在没有前端服务器的情况下,当用户使用加密技术连接到Exchange服务器,Exchange服务器不但要处理与邮件相关的操作,还要再进行加密,解密的工作,这样会对Exchange服务器的性能产生很大影响。当有了前端服务器以后,这种加解密的工作就迁移到了前端,提高了Exchange服务器的性能。安全保障:在客户端与前端服务器之间使用SSL技术进行加密,在前端服务器和后端服务器之间使用IPSec技术进行加密。最大程度上的确保信息安全。而且采用这种拓扑后,前端服务器上不存储任何与用户有关的信息,即使发起攻击,也只会攻击前端服务器,而用户信息不会遭到任何破坏,并且
23、还给管理员留有充足的应急时间。3.4.3 逻辑结构设计该公司一共有100多人,总部设在北京,在上海设有办事处,每个部门都有经常需要到上海出差的员工。因此,整个Exchange组织中建立两个管理组,分别对应北京和上海,由于在上海办事处的人员比较少,所以大部分用户信息存储在北京的邮箱存储上。由于公司正处在发展阶段,规模还比较小,所以所有服务器均放在北京总部,在上海办事处的人员主要通过OWA的访问方式访问到位于公司总部的邮件服务器。等到公司规模扩大后可以考虑在上海也设置邮件服务器,建立不同的路由组以方便管理与维护。公司内主要部门有:总经理办公室,副总经理办公室,财务部,人力资源部,市场部,销售部,信
24、息技术部等。各部门人员个数从10人20人不等。关于人员的权限,邮箱策略等详细信息会在详细设计部分具体实施。详细人员分布如表3.1所示:表3.1 详细人员分布表组织单元用户显示名称用户登录名市/县总经理办公室(General Manager Office)总经理(General Manager)GM北京总经理秘书(General Manager Secretary)GMS北京副总经理办公室(Deputy General Manager Office)副总经理(Deputy General Manager)DGM北京副总经理秘书(Deputy General Manager Secretary)D
25、GMS北京信息技术部(IT Department)企业管理员(Enterprise Admin)EA北京域管理员(Domain Admin)DA北京Exchange服务器管理员(Exchange Server Admin)ESA北京企业审查员(Enterprise Censor)EC北京ECBAM北京ECSAM上海人力资源部(Human Resources Department)北京(beijing)人力资源部经理(HRD Manager)HRDM北京人力资源部经理秘书(HRD Manager Secretary)HRDMS北京人力资源部主管1(HRD Director 1)HRDD1北京人力
26、资源部主管2(HRD Director 2)HRDD2北京人力资源部主管3(HRD Director 3)HRDD3北京上海(shanghai)人力资源部主管4(HRD Director 4)HRDD4上海人力资源部主管5(HRD Director 5)HRDD5上海人力资源部主管6(HRD Director 6)HRDD6上海人力资源部通讯组(HRDC):主管1,主管2,主管3,主管4,人力资源部安全组(HRDS):主管1,主管2,主管3,主管4,财务部(Account Department)北京(beijing)财务部经理(AD Manager)ADM北京财务部经理秘书(AD Manage
27、r Secretary)ADMS北京财务部主管1(AD Director 1)ADD1北京财务部主管2(AD Director 2)ADD2北京财务部主管3(AD Director 3)ADD3北京上海(shanghai)财务部主管4(AD Director 4)ADD4上海财务部主管5(AD Director 5)ADD5上海财务部主管6(AD Director 6)ADD6上海财务部通讯组(ADC):主管1,主管2,主管3,主管4,财务部安全组(ADS):主管1,主管2,主管3,主管4,市场部(Market Department)北京(beijing)市场部经理(MD Manager)MD
28、M北京市场部经理秘书(MD Manager Secretary)MDMS北京市场部主管1(MD Director 1)MDD1北京市场部主管2(MD Director 2)MDD2北京续表3.1市场部主管3(MD Director 3)MDD3北京上海(shanghai)市场部主管4(MD Director 4)MDD4上海市场部主管5(MD Director 5)MDD5上海市场部主管6(MD Director 6)MDD6上海市场部通讯组(MDC):主管1,主管2,主管3,主管4,市场部安全组(MDS):主管1,主管2,主管3,主管4,销售部(Sales Department)北京(bei
29、jing)销售部经理(SD Manager)SDM北京销售部经理秘书(SD Manager Secretary)SDMS北京销售部主管1(SD Director 1)SDD1北京销售部主管2(SD Director 2)SDD2北京销售部主管3(SD Director 3)SDD3北京上海(shanghai)销售部主管4(SD Director 4)SDD4上海销售部主管5(SD Director 5)SDD5上海销售部主管6(SD Director 6)SDD6上海销售部通讯组(SDC):主管1,主管2,主管3,主管4,销售部安全组(SDS):主管1,主管2,主管3,主管4,4 邮件系统详细
30、设计及具体部署方案4.1 域控制器的设计根据企业的需求分析,按照企业邮件系统拓扑图,应先架设两台域控制器,一台作为主DC,计算机名为PDC,IP地址为192.168.1.4,子网掩码为255.255.255.0,默认网关为192.168.1.1,DNS服务器为192.168.1.4。一台作为辅助DC,计算机名为ADC,IP地址为192.168.1.5,子网掩码为255.255.255.0,默认网关为192.168.1.1,DNS服务器为192.168.1.4。为企业指定自己的域名为 。指定活动目录数据库和日志文件放在默认目录“C:WINDOWSNTDS”下,并指定SYSVOL文件夹的位置为“C
31、:WINDOWSSYSVOL”。在单域模型中,第一台DC默认拥有五种操作主机角色,如表4.1所示:表4.1 操作主机表操作主机角色主机名架构主机PDC域命名主机PDCPDC主机PDCRID主机PDC结构主机PDC分别为两台DC提升域功能级别和林功能级别到“Windows Server 2003”模式,如图4.1,4.2所示:图4.1 域功能级别图4.2 林功能级别通过replmon命令,查看该域的复制拓扑已经建立,如图4.3所示:图4.3 复制拓扑图4.2 活动目录的设计按照企业的管理模式在活动目录中分别建立每个部门的组织单元,用户,安全组和通讯组,如图4.4所示:图4.4 活动目录设计4.3
32、 Exchange服务器的设计4.3.1 安装必要的Windows组件并进行环境检测在部署Exchange Server 2003之前应先完成以下准备工作:安装NNTP,SMTP,ASP.NET和万维网服务,并确认都能正常启动,如图4.5,4.6所示:图4.5 NNTP,SMTP,和万维网服务图4.6 ASP.NET在DC上用dcdiag /v命令,进行对域控制器,网络连接,DNS解析的检测。在Exchange服务器上用netdiag /v命令,进行对成员服务器与DC之间网络连接的检测。4.3.2 森林拓展森林拓展主要是扩展活动目录架构,在活动目录中加入一些与Exchange有关的属性信息,并
33、且森林拓展只需要在森林中运行一次。森林拓展的最佳方案是让企业管理员(属于企业管理员组和架构管理员组)拿着Exchange的安装光盘到域内的架构主机上进行森林拓展。还要保证Remote Registry 服务是已启动状态。为了验证森林拓展已经成功完成,可以使用ADSI Edit查看Schema下CN=ms-Exch-Schema-Version-Pt 项的属性如图4.7所示:图4.7 CN=ms-Exch-Schema-Version-Pt项的属性4.3.3 域拓展域拓展主要是创建Exchange Domain Servers 和Exchange Enterprise Servers组,在域的根
34、位置设置Exchange Enterprise Servers组的权限,使收件人更新服务有正确的权限来处理收件人对象,并且域拓展需要在安装Exchange的每个域中各运行一次。为了验证域拓展已经成功完成,可以运行安装光盘上 SUPPORTEXDEPLOY目录下的POLICYTEST.EXE,得到拥有安全特权的提示,如图4.8所示:图4.8 Exchange Enterprise Servers组已拥有安全特权4.3.4 Exchange后端服务器的设计以上准备工作都顺利完成以后,就可以在Exchange服务器上部署Exchange了。根据企业邮件系统拓扑图,应架设两台Exchange后端服务器
35、,一台计算机名为BES1,IP地址为192.168.1.10,子网掩码为255.255.255.0,默认网关为192.168.1.1,DNS 服务器为192.168.1.4。一台计算机名为BES2, IP地址为192.168.1.11,子网掩码为255.255.255.0,默认网关为192.168.1.1,DNS 服务器为192.168.1.4。并应保证两台Exchange后端服务器都已经加入域中,如图4.9,4.10所示:图4.9 BES1加入域图4.10 BES2加入域为企业的Exchange组织指定组织名称为doudou,建立第一个管理组,命名为beijing,安装到默认路径。为了确认E
36、xchange成功安装,可以查看位于C盘下的Exchange安装日志文件如图4.11所示:图4.11 Exchange安装日志文件Exchange成功安装以后应该做好两件事情,一是更改Exchange的操作模式为“纯模式”,并打上SP2,以提升Exchange整体的性能和管理功能,如图4.12,4.13所示:图4.12 Exchange的操作模式为“纯模式”图4.13 Exchange打上SP2图4.14 组织容器的安全属性页二是通过在注册表的HKEY_CURRENT_USERSoftwareMicrosoftExchangeEXAdmin下新建一个DWORD值,数值名称为“ShowSecur
37、ityPage”,数值数据为“1”,从而显示组织容器的安全属性页,如图4.14所示:部署第二台Exchange后端服务器时,需要特别特别注意的是:在安装第二台Exchange后端服务器之前,应先在第一台Exchange后端服务器上建立第二个管理组,命名为shanghai,并在安装第二台Exchange后端服务器时,一定要选择加入shanghai管理组。因为,如果不先在第一台Exchange后端服务器建立shanghai管理组,安装第二台Exchange后端服务器时会默认加入beijing管理组,而等第二台Exchange后端服务器安装好后,服务器是不能在管理组之间移动的。此设计的目的主要是为了
38、方便管理,有利于后期的维护工作。部署完两台后端服务器之后的Exchange组织结构如图4.15所示:图4.15 部署完两台后端服务器之后的Exchange组织结构4.3.5 Exchange前端服务器的设计为Exchange前端服务器指定计算机名为FES,IP地址为192.168.1.12,子网掩码为255.255.255.0,默认网关为192.168.1.1,DNS 服务器为192.168.1.4,并确保Exchange前端服务器已经加入域中。部署Exchange前端服务器时的部署方案和Exchange后端服务器的类似,因为部署完成的Exchange服务器,默认就配制成后端服务器使用,所以要
39、想成功部署Exchange前端服务器,只需要在部署完成Exchange服务器后,在服务器属性的“常规”选项卡中,勾选“这是前端服务器”即可,如图4.16所示:图4.16 部署FES为Exchange前端服务器但应需要特别注意的是,在部署Exchange前端服务器之前,不能在该服务器上建立任何用户邮箱,因为配置成Exchange前端服务器后,其中的用户邮箱将再也无法访问。而且,不能因为不存储用户邮箱就把存储组删掉,删掉存储组后的Exchange前端服务器将不能正常运行。4.3.6 OWA访问方式的设计由于企业内有一部分用户经常到上海出差,需要常常使用公共计算机登陆位于企业内部的邮件服务器,为满足
40、企业快速高效的运营方式,以及对于安全因素的考虑,需要特别为这些用户设计OWA的访问方式,以满足企业安全、便捷的管理模式。首先,为了方便的表示他们的工作地点,需要为这些用户设计特定的域后缀,如图4.17所示:图4.17 上海用户的域后缀再在前后端服务器上分别建立为他们特别设计的虚目录,名称为:shanghai,并修改域后缀为:,如图4.18所示:图4.18 shanghai虚目录4.3.7 OWA客户端与前端服务器之间SSL的设计为了使出差的用户能够安全的连接到前端服务器,需要设计客户端与前端服务器之间实现SSL通讯。首先,在前端服务器上安装证书服务,选择安装“企业根证书”。安装完成后,打开II
41、S,找到“默认网站”,在属性中,找到“目录安全性”选项卡,选择“服务器证书”,开始配置IIS证书。选择将此证书请求立即发送到证书颁发机构,之后的选项按默认配置即可。再到“shanghai虚目录”的属性中,找到“目录安全性”选项卡,在“安全通信”中,选择“编辑”,勾选“要求安全通道(SSL)”即可,如图4.19所示:图4.19 要求SSL安全通道然后,再打开ESM,找到前端服务器FES下的“Exchange虚拟服务器”,选择属性中的“设置”选项卡,勾选“启用基于表单的身份验证”,即可成功部署使用SSL进行安全通讯的设计。这样,出差的用户就可以通过OWA客户端,利用HTTPS,使用基于表单的身份验
42、证安全的连接到前端服务器,如图4.20所示:图4.20 基于表单的身份验证4.3.8 前后端服务器之间IPSec的设计为了能实现在企业内部网络中进行安全的通信,需要在前端服务器与后端服务器之间设计IPSec通讯。在前端服务器上,打开MMC,添加“IP安全策略”和“IP安全监视器”管理单元,先创建一个名称为IPSec的IP筛选器列表,选择源地址为本机地址,目标地址为后端服务器地址,选择协议类型为TCP。再创建一个名称为IPSec的IP安全策略,添加之前创建好的IPSec筛选器列表,选择筛选器操作为请求安全,身份验证方法为Active Directory默认值(Kerberos V5 协议)。最后
43、指派该策略。在后端服务器上,同样打开MMC,添加“IP安全策略”和“IP安全监视器”管理单元,指派客户端(仅响应)策略即可。当客户端访问时,就可以通过“IP安全监视器”查看到建立的IPSec安全通讯,如图4.21所示:图4.21 IPSec安全通讯4.3.9 定制地址列表的设计为了快速,动态的定位到邮件的收件人,需要定制企业内部所有部门,不同工作地点用户的地址列表。找到组织中位于收件人下的“所有地址列表”,新建地址列表,添加不同的筛选规则即可定制不同部门,不同工作地点用户的地址列表,如图4.22所示:图4.22 定制地址列表4.3.10 限制用户邮箱的容量的设计出于对服务器磁盘空间的考虑,应在
44、邮箱存储上绑定限制策略,从而限制用户邮箱的存储大小。首先,在beijing管理组上,新建“系统策略”容器,然后新建“邮箱存储策略”,选择“限制”属性页,名称为MS PL1,在“限制(策略)”选项卡中设计策略,如图4.23所示:图4.23 邮箱存储策略再将该策略应用到两个邮箱存储上,即可实现限制用户邮箱容量的设计。通过查看邮箱存储的属性,可以看到“限制”属性页已经应用了策略,无法再通过手动操作进行修改了,如图4.24所示:图4.24 应用限制策略到邮箱存储4.3.11 限制用户在企业内部收发邮件大小的设计在“全局设置”下找到“邮件传递”,打开属性中的“默认设置”选项卡,设计用户在企业内部能够收发
45、邮件的大小为10MB,如图4.25所示:图4.25 企业内部收发邮件的大小4.3.12 限制用户与企业外部收发邮件大小的设计分别找到两个管理组下的“默认SMTP虚拟服务器”,打开属性中的“邮件”选项卡,设计用户可以接收从Internet上发来的邮件大小最大为6MB,如图4.26所示:图4.26 用户接收外部邮件的大小再找到SMTP连接器,打开属性中的“内容限制”选项卡,设计用户可以发到Internet上的邮件要小于9MB,如图4.27所示:图4.27 用户发送外部邮件的大小4.3.13 存档邮件进行安全审查的设计由于企业对于安全性要求较高,所以需要定期对所有用户的电子邮件进行审查,防止用户泄漏
46、企业内部关于产品,知识产权等信息。为满足此安全需求,特别为企业审查员(Enterprise Censor)设计两个专门用于登录存档邮箱的用户账号,用户登录名分别为:ECBAM,ECSAM。分别对应北京和上海的邮箱存储,此目的主要是为了减小邮箱存储数据库的大小,以及便于后期对邮箱进行迁移。分别找到位于BES1的北京邮箱存储和位于BES2的上海邮箱存储,在属性中,勾选“存档由此存储中的邮箱发送或接收的所有邮件”,并把Enterprise Censor BAM用户和Enterprise Censor SAM用户添加到对应的邮箱存储上,如图4.28,4.29所示:图4.28 北京存档邮箱图4.29 上海存档邮箱4.4 特权用户的用户权限、邮箱权限及功能的设计4.4.1 总经理由于总经理日常事务较多,没有时间查收,处理邮箱中的邮件,所以委托秘书对自己的邮件进行查收,再把重要事务一一向总经理汇报。这时就
