Exchange電子郵件系統解決方案因考慮XXXX網絡處于改造階段，相關網絡情況不明了，該方案為建議性解決方案，如方案中需規模性改造企業網絡，我們會根據最終網絡拓撲和實際網絡情況進行相應的方案改進，并最終形成可行性解決方案。XXXX需求如下：MicrosoftExchange郵件服務器；郵箱空間限制在100MB，當空間使用率達到80%，提醒用戶；郵件附件大小限制在30MB以內；要求設置密碼策略，密碼使用周期小于3個月，密碼不能少于8位，并遵循密碼復雜度要求（必須包含數字、字母和特殊符號）；OWA模式郵件收發方式；繼續接受舊服務器郵件；建立全球通訊錄；使用HTTP連接到MicrosoftExchange；域管理：實現開發環境標準化、提高信息和網絡安全；未來域模式規劃；名詞解釋MicrosoftExchange2010：微軟新一代電子郵件服務系統。ActiveDirectory：ActiveDirectory（活動目錄）動目錄（ActiveDirectory）是面向WindowsStandardServer、WindowsEnterpriseServer以及WindowsDatacenterServer的目錄服務。（ActiveDirectory不能運行在WindowsWebServer上，但是可以通過它對運行WindowsWebServer的計算機進行管理。）ActiveDirectory存儲了有關網絡對象的信息，并且讓管理員和用戶能夠輕松地查找和使用這些信息。ActiveDirectory使用了一種結構化的數據存儲方式，并以此作為基礎對目錄信息進行合乎邏輯的分層組織。反垃圾郵件網關：用于針對已有垃圾郵件進行過濾和阻斷的設備。備份系統：傳統機制的備份系統無法對現在使用的應用平臺做完整細粒度備份，一旦應用發生災難性損壞，后果將不堪設想，我們利用專業備份系統來彌補這個問題的空白。方案拓撲建議方案1建議方案2方案推介分析XXXX的目前情況，綜合需求，我們認為XXXX的企業信息化實施應該分為三個階段：基礎架構實現階段；信息化實現階段；信息安全（包括端點安全、數據安全和服務安全）提升階段；基礎架構實現階段是為后期XXXX的信息化建設做底層架構策略，完善底層架構將會完成企業信息化基礎架構的標準，利用該標準來規劃以后的信息化方向；信息化實現階段是我們利用之前所創建的基礎架構，來完善信息化，根據企業需求來實現實際應用；當我們的信息化上升到一定規模，我們的信息安全將面臨考驗，我們需要采用切實可行的企業安全策略來保護我們企業的信息安全。本方案中我們將完成的是基礎架構建設的起步，利用微軟公司提供的解決方案來規劃我們的企業信息架構：本方案將利用的解決方案包括：MicrosoftActiveDirectory、MicrosoftExchange電子郵件及反垃圾郵件系統、Symantec數據備份系統。本次方案旨在定義企業基礎架構模型，結合企業行政管理架構來定義企業用戶在企業中的位置，并規劃相關權限，為后期客戶端以域管理模式進入企業網絡做準備。前期將規劃相關事項的定義（網絡定義需結合網絡產品供應商），其中包括：服務器群組的計算機名定義、服務器管理組和用戶組權限定義、IP地址范圍定義、VLAN定義、DMZ區域定義等；客戶端群的計算機名定義、用戶名定義、IP定制定義、VLAN定義、VLAN互訪策略定義、客戶端實際使用權限定義等；郵件服務器的郵箱容量定義、又將收發規則定義、梭子魚反垃圾郵件策略、郵箱訪問方式等。MicrosoftActiveDirectory方案規劃XXXX采用單林單域方式，組織單元規劃根據企業實際行政規劃來設計。AD明細如下：地址分配地址分配即IP地址的分配和管理。目前公司的IP地址分配采用靜態方式，其添加和維護工作由IT人員在現場手工完成。如果某個用戶想要訪問Internet，需事先讓網絡管理員在防火墻上開啟對某個IP地址的路由，然后告知用戶該IP地址。我們可以根據實際情況來確定IP的獲取方式，根據部門來劃分靜態IP和DHCP的數量級和安全級別。名稱解析名稱解析是指在訪問網絡資源（包括文件服務器和打印機）時，如何將資源的名稱轉換成對應的IP地址的服務。目前公司的內部用戶在訪問網絡資源時通過直接的IP地址來定位資源，這樣帶來的問題時每個用戶必須記住要訪問資源的IP地址，使用效率不高而且管理成本較高。通過DNS和WINS的服務，相關的服務器會自動將某個名稱轉換成實際的IP地址，用戶只需記住容易辨識的資源名稱即可進行相應的訪問。這樣網絡資源的共享和使用效率將得到很大程度的提高。DNS我們將在公司的DC1、DC2兩臺DNS服務器。該服務器同時也是域控制器。公司內部網絡的域名為：或company.local(company是指公司名稱或其縮寫)DNS服務器包含兩個區域，以下是它們的技術參數：Name:_.Type:ActiveDirectory-IntegratedReplication:ToAllDNSserversintheActiveDirectoryforestDynamicupdates:NonsecureandsecureName:.Type:ActiveDirectory-IntegratedReplication:ToAllDNSserversintheActiveDirectorydomainDynamicupdates:NonsecureandsecureDNS服務器都將DNS數據放在本地的AD數據庫中，但是作為獨立的ApplicationPartition來參與域控制器之間的目錄復制(DirectoryReplication)從而同步DNS數據庫。所有域控制器都將主域控設為首選的DNS服務器外部(Internet)名稱解析在DC1，將本地ISP的DNS服務器設為轉發器。將所有非內部網的域名解析請求轉發至Internet上所有公司內的客戶端都將通過DNS來進行名稱解析。包括登入域和訪問文件服務器或其他客戶端。每一個加入域的客戶端都通過動態注冊在DNS服務器上注冊自己的主機紀錄(A)和指針紀錄(PTR)。管理員在服務器上可以輕松的了解所有客戶端的注冊情況。此外，在DC1的DNS服務出現暫時不可用的情況時，可以依靠其它額外DC(DNS服務器)來進行必要的名稱解析。域結構域結構設計是活動目錄中最重要，也是最基礎的工作，是多種因素權衡的結果，它既要盡可能貼近用戶的管理模式和組織結構，也要考慮網絡情況及今后的各種變化。目前山東外運超過60%的微機和超過55%的管理人員集中于青島總部地區，這意味著外地機構分布較廣而各地的人員和微機數量都比較少，并且各地區也有固定的專線線路連入總部。此外，山東外運IT部門的最終目標是能夠實現完全集中管理。因此此次在山東外運環境內采用單域結構。以下是單域結構相對于其他結構的優缺點：優點集中管理整個集團的安全策略。集中管理整個集團的組策略。完全利用組織單元反映集團的管理結構。當公司機構重組時可以非常靈活的進行調整。當資源和用戶需要在組織機構內遷移時可以非常靈活的調整。不需要GC服務器–因為所有的DC都擁有AD的全備份。相對其它方案，可以使用較少的域控制器。簡單的名字空間設計–只需要1個DNS名字后綴.用戶在查找AD內的信息時相對簡單。單一的組策略更容易實施。.缺點在IT系統管理權限相對分散的組織結構中，難以區分“管理權”。整個公司集團只能實行一種安全策略，例如統一的口令策略。.所有的域控制器(DC)都擁有整個AD的數據的備份，AD的任何更改也要反映到域內的所有DC上，這對每臺DC的硬件配置要提出更高的要求，同時對那些廣域網帶寬有限的區域會帶來效率上的問題。對于DC服務器本身的安全也提出更高的要求。組織單元結構組織單元的設計將遵循兩點原則：反映企業內部的組織結構有利于通過組策略進行細化的終端管理目前公司的組織結構簡圖如下：見附錄2由于用戶帳號（在這里包括用戶組賬號）和計算機賬號分數兩種不同的資源類型，所以也需要分開管理。因此，我們將組織單元設計成以下結構：第一級：資源類型第二級：地理位置第三級：事業部名稱第四級：部門名稱請參考下圖以了解這個結構的模型：賬號和口令管理賬號管理可以分為個人賬號管理、組賬號管理和機器賬號管理。個人賬號可以分為兩類：第一類為普通賬號，采用一人一號的方式，為每一位員工建立自己的賬號。當員工加入或者離開時，按照一定的規則增加或者刪除用戶的賬號。第二類為特殊賬號，通常不屬于某一位員工，而是為了滿足某些特殊的功能，比如系統管理、匿名訪問等等。特殊賬號有以下幾個：Administrator，系統管理員賬號，具有最高的權限，可以進行任何管理操作，該賬號不能被刪除，只能更改用戶名。為了提高系統的安全性，建議將管理員賬號的用戶名更改，比如hqadmin（僅僅是建議，系統管理員可以自行決定）。Guest，匿名登錄的賬號，為了提高系統的安全性，建議將Guest賬號禁止。服務的賬號，在Windows2008中，每一個服務都需要一個賬號，通常這些賬號采用系統賬號，我們無須關心，但有一些服務需要特殊的用戶賬號。每個個人賬號都有一個口令來保護，為了防止口令被盜用和攻擊，我們將在整個域中啟用相應的密碼策略以保證每個密碼都符合一定的復雜度，具體要求如下：長度不得小于8個字符必須包含大寫和小寫字母必須包含特殊字符（例如：~!@#$%^&*()_+）密碼有效期<=3個月個人賬號的命名規則用戶名稱將使用中文名，帳號名稱為:采用姓名的拼音全稱，如有重復則在末尾加用戶所在部門名稱的首字母，若仍有重復則在末尾加數字以示區別。例如：姓名 姓名拼音帳戶名

張剛(工程實際部) Gang.Zhang Gang.Zhang.SJ

張鋼(財務部) Gang.Zhang Gang.Zhang.CW計算機賬號管理所有加入到域中的計算機都需要一個計算機賬號，通過該帳號，我們可以對計算機的各種配置進行管理。公司目前的計算機命名規則為：事業部+部門+序號。例如：SJ-BMB-001（設計保密部第一臺計算機）。組賬號管理分組管理是重要而有效的管理策略。在Windows2008中有三種組帳戶：通用組（UniversalGroup）、全局組（globalgroup）和域本地組（Domainlocalgroup），全局組可以包括本域的用戶帳戶（useraccount），域本地組可以包括本域和資源域的用戶帳戶和全局組帳戶，通用組的使用則沒有任何限制。(公司如采用單域結構，則沒有使用Universal組的必要)良好的分組策略可以降低管理的復雜性，避免安全上的漏洞，大大提高管理的可靠性。我們采用這樣的分組策略：按照職位分組。按職能分組，例如所有的財務人員，所有的科技人員，所有的系統管理員等等。對員工分類，比如普通員工，臨時員工等等。按照部門分組.由于維護用戶和組賬號是一項日常的工作，這項工作將由公司的人員，依據管理的需求來創建。此次項目中，將為每一個部門創建一個管理員組，用來進行一些日常的管理工作，包括安裝額外的硬件，共享文件和打印機，等等。目前，公司的所有用戶都已被分到各個不同的組織單元(OU)下面。每個組織單元下還包含一個用戶組，該用戶組的成員即是該組織單元內的所有用戶，這樣可以較為輕松的管理用戶資源。MicrosoftExchange為企業安裝部署企業級郵件系統Exchange2007。配置Exchange2007的OWA功能，使之能夠讓用戶采用WEB方式訪問企業郵箱，以此我們可以通過HTTP方式來訪問郵件服務器收發郵件并處理相關信息；配置開放Exchange2007的POP3的協議解析功能，使之實現對Outlook和其它第三方郵件收發軟件的支持；定制防火墻對郵件系統的發布策略；發布郵件系統到INTERNET網絡；定制郵件系統的反垃圾郵件的策略（梭子魚策略）；定制郵件系統的反攻擊安全策略（梭子魚策略）；根據企業需要，定制郵箱大小策略，郵件大小策略，郵件發送策略等一系列郵箱設置策略；根據企業需要，定制全球通訊錄，部門通訊錄等各種脫機通訊錄；配置郵件系統，為郵件進行128位的SSL加密，保證郵件傳輸安全；規劃郵件系統，合理定制郵件的存放周期及備份周期。SymantecBackupExecForWindowsServer備份過程中要用到大量的存儲介質，隨著時間的推移，介質上備份數據的作用會越來越小，除非要特意恢復到某一歷史時刻的狀態，都會用最新的備份數據來進行恢復。所以在制定備份策略時，要根據數據的運作和使用情況，來確定數據的最長有效期、可容忍的數據丟失時間，從而確定執行備份的時間、每次備份的種類、使用空介質和重用老介質的方法。AD服務器作為重要的運營系統和寶貴的信息庫，承擔著日常的網絡與數據中樞的角色，其長期運行過程中積累下來的數據具有重要的價值。基于此，對于這些服務器的備份，應從整體、系統、長期的角度來制定備份策略，做到既能快速的進行日常備份，又能完備的保留一定歷史時期內的數據。備份策略對數據進行備份，是出于保證數據的安全性、對系統信息做歷史記錄、在災難發生時恢復系統等多方面考慮的。若要詳細、歷史的記錄數據，并在特定情況下恢復特定時期的數據，就要保證數據備份的頻率、以及備份介質上數據的保存時間符合預期設計的目標。目前，國內外大型企業對資源數據的備份都是每天進行一次的，并且采用完全備份和差量備份結合的方式，給數恢復帶來便利。由于采用了先進的軟、硬件配置，這種日常備份操作都可以在晚間系統負載較輕時定時、自動、快速進行，對系統日間使用不會造成任何影響。考慮到本系統的具體情況，我們認為做每日備份是極為合理的方案。由于系統中的每臺服務器數據交換和信息更新都極為頻繁，每天都有大量的信息數據、那么做每日備份，記錄每日系統的最新信息是極為必要的。對系統做完全備份是出于恢復方便考慮，系統管理員不必使用任何其它歷史資料，就可以對系統進行完全恢復，簡單便捷。若是只對應用數據進行備份，那么一但系統崩潰，需要使用最近一次完全備份恢復系統，再使用最近一次應用備份恢復具體應用，操作及為不便。如果應用在系統配置文件中的一些信息較最近一次完全備份時有所不同，那么即使恢復了系統也難以正常運行，或者造成不可見的故障隱患備份策略的定義定義好備份資源以后，我們必須根據實際需要配置備份策略。定義備份策略，涉及到以下內容：在什么時間（備份時間，如下午6:00）、將什么數據（備份內容，數據庫數據）、以什么方式（備份方式，如全備份或增量備份）、通過哪組磁盤驅動器、備份到磁盤哪一個位置在我們對每一組數據、數據庫都根據需要定義好備份策略后，系統就會自動的按照我們定義的時間、方式、將需要備份的數據備份到我們指定的磁盤中去。而備份的方式可以分為三種：全備份、增量備份、累計增量備份。全備份每次備份定義的所有數據，優點是恢復快，缺點是備份數據量大，數據多時可能做一次全備份需很長時間增量備份備份自上一次備份以來更新的所有數據，其優點是每次備份的數據量少，缺點是恢復時需要全備份及多份增量備份差分備份備份自上一次全備份以來更新的所有數據。我們可以結合這三種方式，靈活應用。比如：數據量少時，我們可以每次都用全備份備份數據，這樣，恢復時，只需要指定一個數據源即可。數據量大時，如果每天作全備份，效率會很低。我們可以結合全備份和增量備份方式。比如每星期作一次全備份（如星期天），其它時間，每天作一個增量備份（如:星期一到星期六）。恢復時，只要依次恢復最多七個備份介質即可。（如：上周日、星期一、星期二...，直到出事前一天的數據。）數據量特別大時，每星期作全備份對系統的壓力也會很大。這時，我們可以結合全備份、累計增量備份、增量備份三種方式，提供相對效率高，恢復有快的備份手段。比如每個月作一次全備份（如每月初），然后每星期日作一次累計增量備份，其它時間，每天作一次增量備份。恢復時，先恢復月初的全備份，再恢復上周日的累計增量備份，在依次恢復以后每一天的增量備份，如星期一、星期二...，直到出事前一天的數據。（最多恢復8份數據，相對的如果不采用累計增量備份方式，恢復時最多可能需要恢復31份數據，恢復速度和復雜程度都會不理想）。由此我們認為，對系統進行每日備份是必要的，可以更好的提高系統的安全性和可靠性。災難恢復的備份策略安裝完所有服務器的VERITAS及其選件和代理后，對所有要進行災難恢復的服務器進行一次全備份。當WindowsNT系統出現依靠啟動軟盤無法恢復的系統損毀時，依靠系統全備份文件恢復整個系統，然后用最新的內容更新系統的內容。介質使用及命名規則為了更好的管理介質，我們對所有磁盤按統一的規則來命名：備份類型–集合名–日期備份類型：—F 完全備份—A 部分備份 集合名：—使用者指定的唯一性名字日期：—使用該介質進行備份的時間—MM/DD/YY格式如：某一磁帶可以命名為：F-ICBCOA-2/1/99產品推薦服務器產品用途產品編號產品數量產品描述電子郵件服務器HPDL388G7（E5620*1,32G內存，300GB*3RAID5）12顆物理CPU+4GB內存AD服務器HPDL160G6(E5506*1,2GB內存，146GB*2RAID1)21顆物理CPU+2GB內存備份服務器HPDL160G6(E5506*1,2GB內存，146GB*2RAID1)11顆物理CPU+2GB內存軟件產品類別產品名稱產品數量產品描述ServerWindowsServer2008簡體中文標準版3服務器操作系統ServerExchangeServer2010簡體中文標準版1電子郵件系統CALExchangeServerCAL待定電子郵件系統訪問許可RecoverySymantecBackupExec2010ForWindows主模塊1數據備份RecoverySymantecBackupExec2010AgentForExchangeServer1數據備份RecoverySymantecBackupExec2010AgentForMicrosoftActiveDirectory2數據備份其他產品類別產品名詞產品數量產品描述Gateway梭子魚郵件防火墻Model3001網關硬件設備產品簡介WindowsServer2008簡體中文標準版WindowsServer2008是微軟最新一個服務器操作系統的名稱，它繼承WindowsServer2008。WindowsServer2008在進行開發及測試時的代號為"WindowsServerLonghorn"。WindowsServer2008是一套相等于WindowsVista(代號為Longhorn)的服務器系統，兩者很可能將會擁有很多相同功能；Vista及Server2008與XP及Server2008間存在相似的關系。（XP和Server2008的代號分別為Whistler及WhistlerServer）MicrosoftWindowsServer2008代表了下一代WindowsServer。使用WindowsServer2008，IT專業人員對其服務器和網絡基礎結構的控制能力更強，從而可重點關注關鍵業務需求。WindowsServer2008通過加強操作系統和保護網絡環境提高了安全性。通過加快IT系統的部署與維護、使服務器和應用程序的合并與虛擬化更加簡單、提供直觀管理工具，WindowsServer2008還為IT專業人員提供了靈活性。WindowsServer2008為任何組織的服務器和網絡基礎結構奠定了最好的基礎。MicrosoftWindowsServer2008用于在虛擬化工作負載、支持應用程序和保護網絡方面向組織提供最高效的平臺。它為開發和可靠地承載Web應用程序和服務提供了一個安全、易于管理的平臺。從工作組到數據中心，WindowsServer2008都提供了令人興奮且很有價值的新功能，對基本操作系統做出了重大改進。更強的控制能力使用WindowsServer2008，IT專業人員能夠更好地控制服務器和網絡基礎結構，從而可以將精力集中在處理關鍵業務需求上。增強的腳本編寫功能和任務自動化功能（例如，WindowsPowerShell）可幫助IT專業人員自動執行常見IT任務。通過服務器管理器進行的基于角色的安裝和管理簡化了在企業中管理與保護多個服務器角色的任務。服務器的配置和系統信息是從新的服務器管理器控制臺這一集中位置來管理的。IT人員可以僅安裝需要的角色和功能，向導會自動完成許多費時的系統部署任務。增強的系統管理工具（例如，性能和可靠性監視器）提供有關系統的信息，在潛在問題發生之前向IT人員發出警告。增強的保護WindowsServer2008提供了一系列新的和改進的安全技術，這些技術增強了對操作系統的保護，為企業的運營和發展奠定了堅實的基礎。WindowsServer2008提供了減小內核攻擊面的安全創新（例如PatchGuard），因而使服務器環境更安全、更穩定。通過保護關鍵服務器服務使之免受文件系統、注冊表或網絡中異常活動的影響，Windows服務強化有助于提高系統的安全性。借助網絡訪問保護(NAP)、只讀域控制器(RODC)、公鑰基礎結構(PKI)增強功能、Windows服務強化、新的雙向Windows防火墻和新一代加密支持，WindowsServer2008操作系統中的安全性也得到了增強。NetworkAccessProtection(NAP)：這是一個新的框架，允許IT管理員為網絡定義健康要求，并限制不符合這些要求的計算機與網絡的通信。NAP強制執行管理員定義的、用于描述特定組織健康要求的策略。例如，健康要求可以定義為安裝操作系統的所有更新，或者安裝或更新反病毒或反間諜軟件。以這種方式，網絡管理員可以定義連接到網絡時計算機應具備的基準保護級別。MicrosoftBitLocker在多個驅動器上進行完整卷加密，為您的數據提供額外的安全保護，甚至當系統處于未經授權操作或運行不同的操作系統時間、數據和控制時也能提供安全保護。Read-OnlyDomainController(RODC)：這是WindowsServer2008操作系統中的一種新型域控制器配置，使組織能夠在域控制器安全性無法保證的位置輕松部署域控制器。RODC維護給定域中ActiveDirectory目錄服務數據庫的只讀副本。在此版本之前，當用戶必須使用域控制器進行身份驗證，但其所在的分支辦公室無法為域控制器提供足夠物理安全性時，必須通過廣域網(WAN)進行身份驗證。在很多情況下，這不是一個有效的解決方案。通過將只讀ActiveDirectory數據庫副本放置在更接近分支辦公室用戶的地方，這些用戶可以更快地登錄，并能更有效地訪問網絡上的身份驗證資源，即使身處沒有足夠物理安全性來部署傳統域控制器的環境。FailoverClustering：這些改進旨在更輕松地配置服務器群集，同時對數據和應用程序提供保護并保證其可用性。通過在故障轉移群集中使用新的驗證工具，您可以測試系統、存儲和網絡配置是否適用于群集。憑借WindowsServer2008中的故障轉移群集，管理員可以更輕松地執行安裝和遷移任務，以及管理和操作任務。群集基礎結構的改進可幫助管理員最大限度地提高提供給用戶的服務的可用性，可獲得更好的存儲和網絡性能，并能提高安全性。更大的靈活性WindowsServer2008的設計允許管理員修改其基礎結構來適應不斷變化的業務需求，同時保持了此操作的靈活性。它允許用戶從遠程位置（如遠程應用程序和終端服務網關）執行程序，這一技術為移動工作人員增強了靈活性。WindowsServer2008使用Windows部署服務(WDS)加速對IT系統的部署和維護，使用WindowsServer虛擬化(WSv)幫助合并服務器。對于需要在分支機構中使用域控制器的組織，WindowsServer2008提供了一個新配置選項：只讀域控制器(RODC)，它可以防止在域控制器出現安全問題時暴露用戶帳戶。自修復NTFS文件系統從DOS時代開始，文件系統出錯就意味著相應的卷必須下線修復，而在WS2K8中，一個新的系統服務會在后臺默默工作，檢測文件系統錯誤，并且可以在無需關閉服務器的狀態下自動將其修復。有了這一新服務，在文件系統發生錯誤的時候，服務器只會暫時停止無法訪問的部分數據，整體運行基本不受影響，所以CHKDSK基本就可以退休了。快速關機服務Windows的一大歷史問題就是關機過程緩慢。在WindowsXP里，一旦關機開始，系統就會開始一個20秒鐘的計時，之后提醒用戶是否需要手動關閉程序，而在WindowsServer里，這一問題的影響會更加明顯。到了WindowsServer2008，20秒鐘的倒計時被一種新服務取代，可以在應用程序需要被關閉的時候隨時、一直發出信號。開發人員開始懷疑這種新方法會不會過多地剝奪應用程序的權利，但現在他們已經接受了它，認為這是值得的。Windows硬件錯誤架構(WHEA)最終，微軟決定將錯誤規范化，確切地說是應用程序向系統匯報發現錯誤的協議要實現標準化了。目前錯誤報告的一大問題就是設備報錯的方式多種多樣，各種硬件系統之間沒有一種標準，因此編寫應用程序的時候很難集合所有的錯誤資源，并統一呈現，這就意味著要編寫許多特定代碼，針對各種特定情況。而在WindowsServer2008里，所有的硬件相關錯誤都使用同樣的界面匯報給系統，第三方軟件就能輕松管理、消除錯誤，管理工具的發展也會更輕松。MicrosoftExchangeServer2010為法規遵循和郵件保留所提供的郵件記錄功能安全，法規遵循和郵件保留是郵件系統規則管理的核心。郵件記錄是法規遵循的一個重要組成部分。某些管理規則需要具備對郵件組用戶所收到的郵件進行審計的功能，該功能對于組織的內部策略或審計非常有用。ExchangeServer2010記錄的郵件可以保存在Exchange數據庫中，SharePoint站點或者可以發送到任何由第三方郵件記錄公司使用的外部SMTP地址。在ExchangeServer2010中，可以通過設定記錄范圍來決定記錄哪些郵件。設定的范圍可以是單個郵箱、一個郵件分發組，一個數據庫或者整個組織。語音郵件信息和未接來電提醒可以排除在記錄之外。而且一份郵件記錄的詳細報告包括了諸如收件欄，發件欄，抄送欄，密送欄的信息和郵件組信息，以及其它元數據。最佳的可用性提高Exchange郵箱服務器可用性的一個方法（不再是唯一方法了）是使用Exchange群集技術。使用兩個或多個節點組成一個Windows群集，由Exchange提供冗余服務器，這樣如果一個節點或一個節點上的服務出現故障，其它節點可以進行接管并繼續提供Exchange服務。Exchange群集技術中Exchange服務是冗余的，但Exchange郵箱數據庫卻不是。因此，Exchange群集技術是通過對Exchange服務增加冗余來提高可用性；到目前為止，數據庫的冗余只能使用第三方的硬件或軟件解決方案。ExchangeServer2010提供了新的群集選項，它允許服務和數據庫在出現故障時都轉移到某個被動節點，因而同時提供了對服務和數據庫的備份。ExchangeServer2010使用了相同的群集技術在多個節點間復制數據庫，它也允許一臺單獨的服務器在本地復制其數據庫，提供了本地信息存儲的最新副本，如果主數據庫宕掉，可以用該副本進行安裝。內置多引擎的防病毒系統對于用戶自行管理和維護的病毒防護，反病毒軟件提供商和客戶可以從ExchangeServer2010提供的新的傳輸代理API中獲益。通過該API，軟件提供商可以編寫反病毒代理來與Exchange內建的傳輸代理直接交互。因為信息是通過邊緣傳輸服務器或中心傳輸服務器進入組織的，傳輸服務器可以調用反病毒代理來檢查信息并過濾那些包含病毒的信息。ExchangeServer2010還提供了一個全面的反病毒解決方案。ExchangeServer的ForefrontSecurity為Exchange邊緣傳輸角色、中心傳輸角色和郵箱角色提供了全面的病毒保護功能。ExchangeServer的ForefrontSecurity使用帶有內容過濾功能的多重掃描引擎，提供了層次化的保護來抵御帶有病毒的信息。內置豪華垃圾郵件過濾組件ExchangeServer2010擴展了早先版本Exchange的反垃圾郵件功能提供了多層保護措施，以多種不同的方式來阻止垃圾郵件。安全發件人集合：為了減少將合法郵件誤判為垃圾郵件的概率，Outlook用戶創建的安全發件人列表會傳送到中心傳輸服務器，然后再傳送到邊緣傳輸服務器（在DMZ區中），來自這些用戶的消息將會被直接路由進入組織。Outlook電子郵戳：Outlook2007可以為每一封郵件創建一個問題和答案，這稱為郵戳，它被附加到每一封要發出的郵件中。郵戳的創建和解密需要花費一定的CPU周期。垃圾郵件發送者通常沒有時間或計算資源來把每一個復雜的問題和答案附加到數千封要發出的郵件中，所以他們不會使用問題和答案。因此，當Exchange接收到一封帶有郵戳的郵件時，Exchange會通過驗證它的問題和答案來判斷郵件是否是垃圾郵件。郵戳越復雜，郵件是垃圾郵件的可能性就越小。垃圾郵件隔離：除了Outlook和OWA客戶端帶的Outlook垃圾郵件隔離功能外，現在管理員可以復查并隔離可疑的垃圾郵件。然后從隔離的郵件中刪除或釋放用戶的郵件。發件人的信譽：發件人的信譽是動態分析并更新的。當邊緣服務器偵測到來自某一域的相應趨勢時，它會采取具體的行動來處理，包括隔離信息或拒絕信息進入企業內網。邊緣服務器上的內容過濾：當垃圾郵件發送者改變策略并使用新的方法來避免被檢測時，這時垃圾郵件內容過濾器會自動更新來保持對垃圾郵件的控制，因此它可以保護用戶的組織，而不會增加用戶的工作量。MicrosoftForefrontforExchange：除了提供下述的全面的病毒保護功能，該服務每天都會會對病毒代碼，IP信譽服務和反垃圾過濾器進行數次更新。多種訪問方式，一致的使用體驗（可選擇開放）在ExchangeServer2010強大的移動特性的支持下，用戶可以通過Outlook客戶端、Web瀏覽器、手機、普通電話、POP3或者IMAP4客戶端來訪問和管理自己的郵件、日程安排、任務和聯系人。所有這些客戶端，無論從用戶界面、操作方式還是從提供的功能來看都和Outlook非常接近，這不僅為用戶提供了良好的使用體驗，同時也減輕了企業的系統維護和管理人員的培訓工作量。Outlook：使用Outlook可以獲得最為強大和豐富的功能，包括本地緩存模式、本地的全球地址簿、共享日歷、聯系人等。無論在線還是脫機都可以正常工作。當用戶在外出差時，還可使用Outlook無處不在功能在局域網外安全地連接Exchange服務器。Web瀏覽器（OutlookWebAccess）：通過Web瀏覽器（如IE）就可以直接訪問Exchange，OutlookWebAccess提供了Outlook客戶端的98％的功能，如收件人地址的自動完成功能、日程安排通過鼠標拖拽就可更改日程時間等。智能掌上設備：普通電話：通過ExchangeServer2010新增的強大的統一消息功能，用戶既可以在郵箱中接收到自己的語音留言和傳真，還可以通過普通電話來訪問自己的郵箱，讓ExchangeServer2010為用戶讀出你的新郵件、語音留言和日程安排，并可以用聲音控制ExchangeServer2010發語音留言、變更日程安排和撥打聯系人電話。POP3和IMAP4客戶端：ExchangeServer2010支持傳統的POP3和IMAP4客戶端訪問方式。保證復雜網絡環境下用戶的使用體驗優化的握手協議和數據壓縮能夠減小網絡數據流量，給窄帶環境下的用戶更流暢的使用體驗；Outlook的Exchange緩存模式能夠自動在離線/在線狀態間切換，減少對用戶工作的打斷；ExchangeServer2010獨有的Outlook無處不在功能使得企業不必部署VPN/RAS也能讓外網（例如在家或出差）的用戶能夠使用Outlook安全地連接到位于企業內網的Exchange郵件服務器，而開放的端口僅僅是80/443（HTTP/HTTPS）。強大的日程管理功能用戶可以通過日程管理功能簡化并自動化對人員與資源的日程安排。日程助手：日程助手根據與會人員和資源的日程安排分析他們的忙閑狀態，以顏色編碼的用戶界面顯示全自動的為會議發起人建議舉行會議的日期和時間。日歷助手運行在Exchange2010服務器上，不需要任何最終用戶的交互，它將收件人日歷中的會議請求標記為臨時請求，一直到用戶提交該請求為止。同時，日歷助手會刪除同一個會議請求的歷史版本，確保了用戶郵箱中的日歷請求是最新版本的。資源預定助手也運行在Exchange2010服務器上，不需要任何最終用戶的交換，它管理著資源的可用性并允許使用資源策略，如可用的小時數和日程權限。Web方式查看文檔包含在OutlookWebApp2010中，它能把多種文檔格式——包括MicrosoftWord，MicrosoftExcel，MicrosoftPowerPoint以及PDF文件——從它們原來的格式轉換為HTML格式，這樣即使客戶端沒有安裝創建文檔的應用軟件，也可以在客戶端瀏覽器中查看它們。這一功能使用戶可以在幾乎任何一臺機器上獲得高效的生產力并保證所查看文檔的安全性，甚至是在公共計算機上，因為OutlookWebAccess會在用戶退出或會話超時時刪除HTML文檔。在垃圾郵件和病毒到達用戶的組織之前進行防護微軟還可以通過微軟ExchangeHostedFiltering服務為用戶的組織提供反垃圾和反電子郵件病毒保護。該服務是微軟ExchangeHostedServices服務套件的一部分，通過ExchangeHostedFiltering服務，用戶可以獲得與使用了帶有ForefrontSecurity的邊緣服務器同樣的效益，但是對這些服務的管理是由微軟來完成的。在信息到達用戶的組織之前會對它們進行垃圾郵件和病毒的清理。ExchangeHostedFiltering使用多重過濾為用戶的企業提供主動保護，使企業遠離垃圾郵件、病毒、仿冒和違規的電子郵件的影響。消息傳輸和認證的安全性ExchangeServer2010使用SMTP在組織內部的Exchange服務器之間傳輸信息。所有在ExchangeServer2010組織內傳輸的信息缺省就是加密的。服務器與服務器間的傳輸使用傳輸層安全協議（TLS），Outlook的連接使用加密的遠程過程調用（RPC），客戶端訪問（OutlookWebApp，微軟?ExchangeActiveSync?和Web服務）使用SSL協議。這種方法阻止了欺騙并保護了信息的機密性。Kerberos認證服務用來進行認證，簡化的安全傳輸層協議用來進行加密。TLS在ExchangeServer2010中進行了簡化，因為它使用自身指定的SSL認證。因為每一臺Exchange服務器都自動配置了SSL證書，內部的Exchange服務器不僅能用SSL對信息進行加密，而且可以加密發送給外部SMTP服務器的消息進行加密，只要接收郵件的外部SMTP服務器也被配置為可以使用TLS收發信息即可。簡化Exchange的管理ExchangeServer2010的一個主要目標是使Exchange管理員的工作變得更簡單和更高效。日復一日的維護，監控和故障排除工作在小型或大型組織中可能會成為一種負擔。ExchangeServer2010提供了新的工具和特性，旨在簡化Exchange的管理，以滿足服務等級協議（ServiceLevelAgreements）的要求，并通過預先維護和監控避免問題的產生。改進管理方式的工具：ExchangeServer2010引入了一個基于模塊服務器角色的架構，以解決企業對于改變信息的需求。同樣，ExchangeServer2010包含了一個新的圖形化管理工具。Exchange管理控制臺是一個基于Microsoft管理控制臺(MMC)的工具，它反映了架構的變化，可以對服務器角色進行獨立管理，可以實現新的管理模型，而無需管理組或路由組。強大的腳本工具——Exchange管理外殼程序：Exchange管理控制臺使用了一個功能強大的腳本技術，叫作Exchange管理外殼程序。Exchange管理外殼程序基于WindowsPowerShellTM技術，它是一個命令行工具，用戶可以通過它操作功能強大的命令集，這些命令集由動詞-名詞對組成。通過PowerShell，用戶可以用最少的代碼編寫復雜的任務腳本或者在外殼程序提示符下交互式地執行任務。憑借外殼程序，用戶可以通過執行命令來訪問并影響許多不同的資源，包括郵箱數據庫，注冊表以及ActiveDirectory。使用自動發現功能簡化Outlook的配置：在過去，Outlook的profile設置比較困難，因為大多數用戶都不知道用于解析他們profile的Exchange服務器的名字。有了新的自動發現功能，用戶只需要記住他們的用戶名，密碼和電子郵件地址就可以配置Outlookprofile。手機直推郵件（可選功能）無須額外服務器和服務，ExchangeServer2010默認支持手機（如智能手機、PocketPC等）實時獲取和更新用戶郵件、日程安排和聯系人的信息。服務器一有新郵件抵達，立刻推送至手機上。結合移動辦公解決方案，管理人員可以擺脫計算機的束縛，直接在手機上批復公文。統一消息（可選功能）ExchangeServer2010不再只是存放郵件、日程信息和聯系人，組織的語音留言和傳真也都可以被ExchangeServer2010統一管理起來。用戶只需要通過訪問收件箱，就可以訪問到郵件、日程安排、聯系人、語音留言和傳真。同時，ExchangeServer2010還是一個會聽話并且能說話的郵件系統。用戶可以通過普通電話來訪問郵件系統，并語音控制它讀取郵件或者日程安排。ExchangeServer2010會依據郵件的編碼選擇合適的語言將郵件內容由文字轉換成語音的方式，通過電話讀給用戶聽。梭子魚郵件防火墻強大的、企業級解決方案單臺梭子魚垃圾郵件防火墻能支持25000個活躍的電子郵件帳戶，每天處理兩千五百萬封電子郵件。梭子魚垃圾郵件防火墻是強大的企業級解決方案。產品支持多臺堆疊，達到更高性能及高可靠性。梭子魚垃圾郵件防火墻采用了強大的十二層防護的技術:拒絕服務攻擊防護IP阻斷清單速率控制DNSMX記錄查找兩層病毒過濾圖片識別(OCR)關鍵字阻斷垃圾郵件指紋識別郵件意圖分析發件人識別及收件人認證貝葉斯數據庫分析基于規則評分系統梭子魚垃圾郵件防火墻的十二層過濾架構優化了每封電子郵件的處理，使產品處理能力達到每天百萬封以上郵件。相對于軟件來說，梭子魚垃圾郵件防火墻能夠極大地減少病毒和垃圾郵件對郵件服務器帶來的負荷。除此之外，梭子魚垃圾郵件防火墻還包括附件掃描，病毒過濾，比率控制等技術，保證接收郵件都是合法無毒的。易于使用因為不需要安裝軟件也不需要對即有的郵件系統進行任何修改，所以梭子魚垃圾郵件防火墻安裝極其簡單，通常只需要5分鐘時間。一旦安裝完成，系統管理員采用一個易于學習的WEB管理界面進行監控和維護。產品維護也是及其簡便的，梭子魚垃圾郵件防火墻通過高級的技術運行中心自動動態更新產品。在不增加成本的情況下最大限度的防護垃圾郵件和病毒。在該中心，工程師日以繼夜的監控互聯網，查看最新的病毒及垃圾郵件信息。在不增加成本的情況下最大限度的防護垃圾郵件和病毒。可承受梭子魚垃圾郵件防火墻系列適用于各種類型的企業機構，規模從小到大，在經濟上都能夠承受。產品不以用戶數量收費，使他成為目前成本效益最高的企業級垃圾郵件及病毒防護解決方案。產品型號SymantecBackupExec2010ForWindowsSymantecBackupExec2010是旨在滿足企業發展需求的可靠備份和恢復解決方案。通過集重復數據刪除和歸檔功能于一體的技術，它可以在幫您輕松保護更多數據的同時，降低存儲成本和管理成本。此外，它還可以減少業務中斷情況，確保虛擬或物理系統上的重要信息始終受到保護，并可在幾秒鐘內進行恢復。主要功能為物理和虛擬服務器環境（從臺式機到服務器）提供市場領先的數據保護功能適應性強的集成式重復數據刪除功能（采用NetBackupPureDisk技術）統一的歸檔功能（由EnterpriseVault提供支持）率先上市的虛擬應用程序全面恢復功能正在申請專利的全面恢復技術(GRT)可以在幾秒之內恢復關鍵Microsoft應用程序數據集中的3層設置、報告和補丁程序管理通過遠程代理和選件提供可伸縮的異構支持。為Exchange、文件服務器、SQLServer服務器和臺式機數據提供持續的數據保護采用市場領先的技術實現創新的多產品集成主要優勢保護更多數據的同時，降低存儲成本和管理成本借助集成的重復數據刪除技術，最大限度提高物理和虛擬環境的網絡利用率借助有效的歸檔和備份功能，通過單一控制臺輕松實現存儲和管理自動化，從而節省成本通過集成式的VMware和Hyper-V防護功能消除虛擬環境中MicrosoftExchange、ActiveDirectory和SQL的冗余備份通過一次性備份恢復單個Exchange郵件、SharePoint站點內容或文檔以及ActiveDirectory用戶首選項通過單一控制臺輕松管理本地或分布式備份環境通過持續備份保護功能，消除備份時間，同時確保輕松滿足恢復點目標.新功能集成的重復數據刪除功能（使用VeritasNetBackupPureDisk技術）BackupExec的新DeduplicationOption提供了以下集成的可定制重復數據刪除功能，可以優化任何備份戰略：客戶端重復數據刪除功能（刪除源或遠程服務器上的重復數據），介質服務器重復數據刪除功能（刪除介質服務器上的重復數據）,硬件設備重復數據刪除功能（與OpenStorage重復數據刪除硬件設備相集成）或已經過重復數據刪除的備份集副本（對遠程辦公室到總部的重復數據進行刪除）。節省時間和存儲成本最大限度縮短備份時間全面簡化了BackupExec操作可輕松適應您的環境統一的歸檔功能（由SymantecEnterpriseVault提供支持）BackupExec新的ArchiveOptions專用于從備份副本中歸檔數據，而不是從數據源中單獨提取數據，為文件和Exchange環境提供統一的備份和歸檔功能。該ArchiveOption可以使管理員減少Exchange或文件服務器源中的冗余數據，從而釋放存儲空間。總的說來，管理員可以輕松編制數據索引，設置保留期限，從而有效管理數據生命周期。輕松實現自動化，節省成本整合數據減少備份管理資源縮短備份與恢復時間優化Exchange和文件服務器性能保持存儲可預測增強的VMwarevSphere4.0支持集成了針對聯機和脫機VMwareESX3.5Update2和vSphere4.0的備份與重復數據刪除支持，此外還為MicrosoftExchange、SQL和ActiveDirectory提供了率先上市的新型虛擬應用程序防護功能。現在通過一次性備份，管理員可以實現虛擬機應用程序日志的自動截斷。通過該一次性備份，管理員還可以輕松恢復虛擬機，或全面恢復應用程序數據，如Exchange郵箱、消息、日歷項或單個ActiveDirectory用戶帳戶或對象率先上市的應用程序全面恢復功能快速的Exchange和ActiveDirectory備份與恢復消除冗余備份，并在幾分鐘內恢復數據保護最新的VMwarevSphere環境刪除虛擬服務器備份中的重復數據減少和整合存儲增強的MicrosoftHyper-V2008R2支持集成了針對聯機和脫機MicrosoftHyper-V2008和Hyper-V2008R2環境的備份與重復數據刪除支持，此外還為MicrosoftExchange、SQL和ActiveDirectory提供了率先上市的新型虛擬應用程序防護功能。現在通過一次性備份，管理員可以實現虛擬機應用程序日志的自動截斷。通過該一次性備份，管理員還可以輕松恢復虛擬機，或全面恢復應用程序數據，如Exchange郵箱、消息、日歷項或單個ActiveDirectory用戶帳戶或對象。率先上市的應用程序全面恢復功能快速的Exchange和ActiveDirectory備份與恢復消除冗余備份，并在幾分鐘內恢復數據保護最新的Hyper-V和Hyper-VR2環境，包括LiveMigration刪除訪客計算機備份中的重復數據減少和整合存儲提供Windows7、Exchange2010和WindowsServer2008R2支持可為最新的Windows臺式機、電子郵件和服務器環境提供全面的保護。為Windows7和Server2008R2（包括VSSExpressWriter）提供最新的備份支持，另外還提供了對.VHD文件的間接恢復支持，從而在保護傳統物理磁盤數據的同時可以為虛擬磁盤數據提供簡單的保護。集成了對Exchange2010中新的數據可用性組(DAG)的Exchange2010支持，而且提供了增強的全面恢復支持，可以快速恢復單封電子郵件和單個郵箱，而無需執行額外的郵箱級備份。輕松備份最新的Windows臺式機、服務器和電子郵件應用程序環境借助無與倫比的備份技術輕松滿足您的Exchange恢復點目標要求降低Exchange2010的備份要求通過單一控制臺管理臺式機和服務器備份用于EnterpriseVault的增強代理可以自動備份和恢復EnterpriseVault8SP2（以及更高版本）基礎架構，而且配置單個作業即可保護整個EnterpriseVault基礎架構并輕松恢復EnterpriseVault站點或單個索引。用于EnterpriseVault的代理還可以與EnterpriseVaultMigrator相集成，從而可將歸檔的數據遷移到BackupExec磁帶上，這樣便可通過EnterpriseVault管理界面輕松對這些數據加以管理和控制。為某些或所有EnterpriseVault基礎框架提供了簡單而又靈活的備份保護從整個安裝到單個索引文件,恢復EnterpriseVault基礎架構的方方面面再次簡化了將EnterpriseVault數據遷移到磁帶或B2D文件夾以實現長期保留的遷移過程自動恢復已遷移到磁帶的數據提供LotusDomino8.5支持支持最新的LotusDomino8.5電子郵件環境，其中包括對以下對象的支持：DominoAttachmentandObjectStore(DAOS)可以從數據庫級備份恢復單個DominoNLO（DAOS附件）可在64位Windows環境中安裝32位Domino，以便實現更為靈活的Domino環境此外，還改進了恢復瀏覽視圖，包括新增LotusDomino的具體節點，這就簡化了備份選擇過程。為LotusDomino的最新發售版本提供保護備份和恢復DAOS存儲及相關的NLO文件支持32位版本和64位版本的LotusDomino增強的虛擬磁帶庫(VTL)支持和授權許可新的VTL增強功能可以將每個VTL存儲環境集成為一個獨一無二的設備，并僅顯示對VTL有效的磁帶功能（例如無保留）。還可以對VTL介質進行修改，以刪除已達到其到期日期的數據，從而回收存儲空間，用于存儲更關鍵的數據。此外，BackupExec還引入了新的VTLUnlimitedDriveOption，從而可以為每個VTL設備提供無限個LibraryExpansionOption。方案介紹建議方案一如圖，本方案計劃采用1臺Exchange郵件服務器+2臺AD服務器，方案設計AD服務器兩臺并行，互備結構信息，當其中1臺AD服務器發生故障，另外一臺會繼續為企業提供賬戶驗證、組策略等服務。因考慮單臺Exchange服務器運行，Exchange中的客戶端訪問服務器角色、邊緣傳輸服務器角色、中心傳輸服務器角色、郵箱服務器角色和統一消息服務器角色在同一臺服務器上，而Exchange服務器需要對外公開發布，考慮到企業其他內部服務器的安全性，我們建議將Exchange服務器安放在企業的DMZ區域中。同時，多種角色存在于同一臺服務器，反垃圾郵件系統不可以在該服務器上運行，原因是反垃圾郵件服務器（邊緣傳輸服務器角色）會占用大量的系統物理資源，影響Exchange主服務（郵件服務）正常提供服務，因此，我們建議在郵件服務器和企業防火墻之間加設反垃圾郵件網關（也就是梭子魚郵件防火墻系統）。建議方案二如圖，本方案建議采用2臺服務器提供Exchange郵件服務，也就是將Exchange邊緣傳輸服務器角色分出，單列一臺服務器，提供郵件收發過程中的過濾功能，也就是替代方案一中的梭子魚郵件防火墻。Exchange服務器角色簡介1.客戶端訪問服務器角色：客戶端訪問服務器角色支持MicrosoftOutlookWebAccess和MicrosoftExchangeActiveSync客戶端應用程序以及郵局協議版本3(POP3)和Internet郵件訪問協議版本4rev1(IMAP4)協議。客戶端訪問服務器角色還支持一些服務，例如Autodiscover服務和Web服務。客戶端訪問服務器角色支持各種不同客戶端與Exchange2007服務器連接。MicrosoftOutlookExpress和Eudora等軟件客戶端使用POP3或IMAP4連接與Exchange服務器進行通信。移動設備等硬件客戶端使用ActiveSync、POP3或IMAP4與Exchange服務器進行通信。如果用戶使用任何非MicrosoftOutlook客戶端訪問其收件箱，則必須在Exchange組織中安裝客戶端訪問服務器角色。2.邊緣傳輸服務器角色：注意：在MicrosoftExchangeServer2007的預發布版本中，邊緣傳輸服務器角色稱為網關服務器角色。在Exchange2007中，邊緣傳輸服務器角色在組織的外圍網絡中作為獨立的服務器進行部署。邊緣傳輸服務器旨在最小化攻擊面，并可處理所有面向Internet的郵件流，這樣可以為Exchange組織提供簡單郵件傳輸協議(SMTP)中繼和智能主機服務。運行在邊緣傳輸服務器上的系列代理提供其他的郵件保護和安全層，當郵件傳輸組件處理郵件時，這一系列代理將作用于這些郵件。這些代理支持的功能可提供病毒和垃圾郵件防范措施，以及應用傳輸規則來控制郵件流。安裝了邊緣傳輸服務器角色的計算機不能訪問ActiveDirectory目錄服務。所有配置和收件人信息都存儲在ActiveDirectory應用程序模式(ADAM)目錄服務中。若要執行收件人查找任務，邊緣傳輸服務器需要駐留在ActiveDirectory中的數據。EdgeSync是一組進程，運行于安裝了中心傳輸服務器角色的計算機上，可建立將收件人和配置信息從ActiveDirectory復制到邊緣傳輸服務器上的ADAM實例的單向復制。MicrosoftExchangeEdgeSync服務僅復制邊緣傳輸服務器執行反垃圾郵件配置任務時所需的信息，以及啟用端到端郵件流所需的有關連接器配置的信息。MicrosoftExchangeEdgeSync服務執行安排的更新，以使ADAM中的信息保持最新。可以在外圍網絡中安裝多個邊緣傳輸服務器。通過部署多個邊緣傳輸服務器，可以在服務器失敗時提供冗余。可以使用域名系統(DNS)“輪循機制”（這是一種DNS服務器用來共享和分散網絡資源負載的簡單機制），在邊緣傳輸服務器之間實現組織的SMTP通信負載平衡。可以使用克隆的配置腳本實現多個邊緣傳輸服務器之間的配置一致性。此外，還提供了一個邊緣傳輸服務器模板，與MicrosoftWindowsServer2008ServicePack1安全配置向導配合使用，以幫助在基于角色的相應安全級別配置WindowsServer2008。下列各部分介紹了可以使用邊緣傳輸服務器角色管理的郵件處理方案。Internet郵件流運行邊緣傳輸服務器角色的服務器接受通過Internet進入Exchange2007組織的郵件。邊緣傳輸服務器對郵件進行處理之后，會將它們路由到組織內部的中心傳輸服務器。中心傳輸服務器對郵件進行處理之后，會將從組織發送到Internet的所有郵件路由到邊緣傳輸服務器。可以將邊緣傳輸服務器配置為使用DNS解析外部SMTP域的郵件交換器(MX)資源記錄，也可以將邊緣傳輸服務器配置為將郵件轉發到智能主機以進行DNS解析。反垃圾郵件和防病毒保護在Exchange2007中，反垃圾郵件和防病毒功能提供的服務可以阻止網絡外圍的病毒和垃圾郵件或商業垃圾郵件。大多數病毒都使用類似垃圾郵件的策略來嘗試訪問組織，并誘使用戶打開電子郵件。如果可以篩選出大多數垃圾郵件，就更有可能在病毒進入組織之前將其捕獲。垃圾郵件制造者使用多種技術向組織發送垃圾郵件。運行邊緣傳輸服務器角色的服務器通過提供一組協同工作以提供不同垃圾郵件篩選層和保護層的代理，以幫助防止組織中的用戶接收垃圾郵件。在連接器上建立緩送技術?間隔會使收集電子郵件嘗試無效。邊緣傳輸規