邮件系统设计方案-Exchange

第一章 系统设计方案

1.1 需求分析 1.1.1 邮件系统参数

考虑到邮件系统近一年的可扩展性，系统设计用户数为：总部总部为10000个用户、分支一和分支二各为1000个用户。

公司名称 北京 河北 河南 合计 员工邮箱数 10000 1000 2000 13000 管理邮箱数 1000 100 200 1300 合计 11000 1100 2200 14300 备注

根据上表并考虑一定的活跃用户数比例，确定本次建设的<客户名称><项目名称>支持用户邮箱数量为1.3万。

另外，假设用户按如下场景使用邮件系统：

项目 每日工作时间 每用户平均每日接收邮件数 每用户平均每日发送邮件数 来自和发送到组织内部的比例 来自和发送到组织外部的比例 来自和发送到分部内的比例 来自和发送到分部外的比例 平均每封邮件大小 并发访问率 高峰流量与平均流量的比例 使用Outlook收发邮件的用户比率 使用POP3收发邮件的用户比率 数值 8 40 10 70% 30% 70% 30% 50 60% 8 60% 30% 单位 小时 封 封 K字节 <客户名称><项目名称>建议书

使用Web方式收发邮件的用户比率 网络带宽利用率 10% 70%

1.1.2 网络流量分析

1.1.2.1 集中式的方案

由于分支机构的用户均须通过骨干网对总部的邮件服务器进行访问，因此对网络带宽的要求较高。这里的特征假设是针对集中式方案下远程用户的假设，而因为本地网络都是百兆或千兆网，无需作带宽的计算。远程的用户为节省带宽，将推荐用户在Outlook中配置RPC over Https。即Outlook客户端采用HTTPS协议去访问邮件服务器，这样可以给广域网环境下的用户节省带宽，又能克服不稳定的网络连接给用户性能的影响。

假设各站点的用户数为1000人，同时在线用户为60%。每用户平均每日发送10份邮件，接收40封邮件，邮件平均大小为30KB。则预计所需的带宽为：

POP3(IMAP4)/SMTP客户端：1000 * 60% * 30% * (10+40) * 50KB = 450 MB;按一小时内的峰值流量估算 450MB/60/60 = 125 KBps

MAPI客户端：1000*60%*60%*5 KBps = 1800 KBps

HTTP客户端：1000*60%*10%*(10+40)*50KB = 90MB；按一小时内的峰值流量估算 54MB/60/60 = 25KBps

总计所需的流量约为：

75 KBps + 1800 KBps + 15KBps = 1890 KBps = 1.8 Mbps 计算结果是：

公司 北京总部 河北 河南 合计 用户邮箱数量 10000 1000 1000 1200 实际带宽 6.12 10.89 11.67 84.31

1 <客户名称><项目名称>建议书

1.1.2.2 分布式方案

分布式方案中，由于客户端直接访问本地服务器，故总部与分部间所需的网络带宽仅为邮件服务器间收发邮件的流量：

? 每天发到外部邮件数 = 分部用户数*（每用户平均每日发送邮件数*来自

和发送到分部外的比例） = 1000 * 10 * 30% = 3000封

? 每天发送到外部的邮件字节数（M） = 每天发送到外部邮件数*平均每封

邮件大小/1000 = 3000 * 50 /1000 = 150 M

? 高峰时出省带宽(Mbps) =每天发送到外部的邮件字节数（M）/3600 =

150M / 3600 = 0.04M

? 每天收到外部邮件数 =高峰时出省带宽(Mbps) * 4 = 0.16 计算结果:

公司 北京 河北 河南 合计 用户邮箱数量 10000 1000 1000 高峰时（单位：Mbps） 出省带宽 0.4 0.04 0.04 入省带宽 1.6 0.16 0.16 实际带宽

1.2 总体设计

针对以上对<客户名称>现状和需求的分析，我们建议采用占全球企业邮件62％市场份额的邮件系统——微软Exchange Server 2007，采用集中部署的方式实施<客户名称>的电子邮件系统。。Exchange Server 2007 可以提供丰富的访问功能、内置安全防护以及企业级的管理平台。采用Exchange Server 2007电子邮件系统，既能满足<客户名称>在业务、应用、信息和基础设施建设方面的现状，也能满足<客户名称>在对管理方面对邮件系统的要求，实现面向<客户名称>最终用户的，易于管理维护，高可靠性和安全的电子邮件系统。

下图是<客户名称>邮件系统部署结构：

2 <客户名称><项目名称>建议书

<客户名称>邮件系统部署结构

? 目录服务：目录服务主要实现用户信息的统一管理和身份的鉴定。在<客

户名称>部署2台目录服务器，两台服务器默认自动实现负载均衡，使得服务不存在单点故障。

? 中心传输服务器：中心传输服务器处理所有内部邮件流，并应用组织的邮

件路由、防病毒过滤、传输规则过滤和邮件日记等策略，还负责向收件人的邮箱传递邮件。在<客户名称>部署2台中心传输服务器，两台服务器默认自动实现负载均衡，使得服务不存在单点故障。

? 客户访问服务器：客户访问服务器负责处理客户端和 Microsoft Exchange

之间的通信。它为用户提供通过HTTP/HTTPS、POP3、IMAP4、ActiveSync等方式访问邮箱的服务。在<客户名称>部署两台客户访问服务器。客户访问服务器之间通过网络负载均衡方式实现负载均衡，使得服务不存在单点故障。

? 统一消息服务器：统一消息服务器使语音邮件、电子邮件和传真邮件可以

都存储在用户的邮箱中。用户可以通过普通电话方式访问其 Exchange

3 <客户名称><项目名称>建议书

Server 2007 邮箱。在<客户名称>部署两台统一消息服务器。统一消息服务器之间通过网络负载均衡方式实现负载均衡，使得服务不存在单点故障。

? 邮箱服务器：邮箱服务器主要实现与邮件存储交互。邮箱服务器通过对邮

件存储的操作，实现邮件用户的邮件收发、日历访问和邮件系统对邮件存储的日常管理维护。根据系统用户数及可靠性等方面的需求，在<客户名称>应部署2台服务器构成邮件服务器集群，配置1个虚拟服务器，构成1+1的服务器集群。当一台工作服务器出现故障无法继续提供服务时，后备服务器可以接管工作服务器的所有会话，继续给用户提供邮件服务。对于最终用户而言，整个切换过程是透明的。 ? 存储：建议采用SAN的存储方案。

? 互联网邮件网关：互联网邮件网关部署在DMZ 区。它是专用的SMTP邮件

路由及转发服务器，对系统每日需处理的大流量Internet邮件进行收发，并作防病毒、反垃圾邮件和特定传输规则处理等操作。在DMZ区<客户名称>应部署2台互联网邮件网关。互联网邮件网关之间通过DNS记录实现负载均衡，使得服务不存在单点故障。

? ISA防火墙：ISA防火墙主要实现让外网用户从外网通过HTTP/HTTPS、

ActiveSync、Outlook Anywhere等协议安全地访问其邮箱。在DMZ区<客户名称>应部署2台ISA防火墙。ISA防火墙之间通过网络负载均衡方式实现负载均衡，使得服务不存在单点故障。

1.3 系统建议特点

微软公司为<客户名称>设计的基于Exchange Server 2007的电子邮件系统规划建议具有如下特点和优势：

? 快速实施。能在较短的时间内部署完成，缩短系统升级和迁移过程周期，

更好地为<客户名称>的领导和业务人员提供服务。

? 灵活性/可伸缩性/可扩展性。能适应<客户名称>以后的发展变化，根据

用户规模的增加灵活进行扩充，系统具有突出的可扩展性能。

4

<客户名称><项目名称>建议书

? 高可管理性和可维护性，通过和Windows Server 2003的集成来提供方便

的维护和管理工具。 ? 极高的系统稳定性。

? 提供功能齐全的数据迁移规划，实现原有系统帐户信息到Exchange Server

2007邮件系统的迁移。

1.4 Exchange Server 2007主要特性

1. 手机直推邮件

无须额外服务器和服务，Exchange Server 2007 默认支持手机（如智能手机、Pocket PC等）实时获取和更新用户邮件、日程安排和联系人的信息。服务器一有新邮件抵达，立刻推送至手机上。结合移动办公解决方案，管理人员可以摆脱计算机的束缚，直接在手机上批复公文。 2. 统一消息

Exchange Server 2007不再只是存放邮件、日程信息和联系人，组织的语音留言和传真也都可以被Exchange Server 2007统一管理起来。用户只需要通过访问收件箱，就可以访问到邮件、日程安排、联系人、语音留言和传真。同时，Exchange Server 2007还是一个会听话并且能说话的邮件系统。用户可以通过普通电话来访问邮件系统，并语音控制它读取邮件或者日程安排。Exchange Server 2007会依据邮件的编码选择合适的语言将邮件内容由文字转换成语音的方式，通过电话读给用户听。

3. 为法规遵循和邮件保留所提供的邮件记录功能

安全，法规遵循和邮件保留是邮件系统规则管理的核心。邮件记录是法规遵循的一个重要组成部分。某些管理规则需要具备对邮件组用户所收到的邮件进行审计的功能，该功能对于组织的内部策略或审计非常有用。Exchange Server 2007记录的邮件可以保存在Exchange数据库中，SharePoint站点或者可以发送到任何由第三方邮件记录公司使用的外部SMTP地址。在Exchange Server 2007中，可以通过设定记录范围来决定记录哪些邮件。设定的范围可以是单个邮箱、一个邮件分发组，一个数据库或者整个组织。语音邮件信息和未接来电提醒可以排除在记录之外。而且一份邮件记录的详细报告包括了诸如收件栏，发件栏，抄送栏，密送

5 <客户名称><项目名称>建议书

栏的信息和邮件组信息，以及其它元数据。 4. 最佳的可用性

提高Exchange邮箱服务器可用性的一个方法（不再是唯一方法了）是使用Exchange群集技术。使用两个或多个节点组成一个Windows群集，由Exchange提供冗余服务器，这样如果一个节点或一个节点上的服务出现故障，其它节点可以进行接管并继续提供Exchange服务。Exchange群集技术中Exchange服务是冗余的，但Exchange邮箱数据库却不是。因此，Exchange群集技术是通过对Exchange服务增加冗余来提高可用性；到目前为止，数据库的冗余只能使用第三方的硬件或软件解决方案。Exchange Server 2007提供了新的群集选项，它允许服务和数据库在出现故障时都转移到某个被动节点，因而同时提供了对服务和数据库的备份。Exchange Server 2007使用了相同的群集技术在多个节点间复制数据库，它也允许一台单独的服务器在本地复制其数据库，提供了本地信息存储的最新副本，如果主数据库宕掉，可以用该副本进行安装。

? 群集连续复制：Exchange Server 2007提供了群集连续复制 (以下简称CCR)

功能来为Exchange服务和信息存储提供冗余机制。与早期版本的Exchange中的群集解决方案类似，CCR使用Windows Clustering服务来提供虚拟服务器和故障转移功能。但是使用CCR，不再必需网络共享存储，每一个节点本身都有信息存储的一个拷贝。这种方式使客户可以实现多种存储选择，如直连式存储（Direct Attached Storage），串行连接SCSI（Serial Attached SCSI）以及存储区域网络（Storage Area Networks）。这种解决方案通过日志文件重演以实现连续复制，它与Microsoft? SQL Server?使用同样的连续复制机制。

? 本地连续复制：本地连续复制(以下简称LCR)借鉴了CCR的数据库复制

技术，将其应用于一台单独的Exchange Server 2007服务器。使用LCR，数据库可被复制到本地服务器的另一个位置。如果数据库损坏或磁盘出现故障，信息存储可以指向那个本地副本，从而可以邮件服务的连续性。

5. 内置多引擎的防病毒系统

? 对于用户自行管理和维护的病毒防护，反病毒软件提供商和客户可以从

Exchange Server 2007提供的新的传输代理API中获益。通过该API，软

6 <客户名称><项目名称>建议书

件提供商可以编写反病毒代理来与Exchange内建的传输代理直接交互。因为信息是通过边缘传输服务器或中心传输服务器进入组织的，传输服务器可以调用反病毒代理来检查信息并过滤那些包含病毒的信息。 ? Exchange Server 2007还提供了一个全面的反病毒解决方案。Exchange

Server的Forefront Security 为Exchange边缘传输角色、中心传输角色和邮箱角色提供了全面的病毒保护功能。Exchange Server的Forefront Security使用带有内容过滤功能的多重扫描引擎，提供了层次化的保护来抵御带有病毒的信息。

6. 内置豪华垃圾邮件过滤组件

Exchange Server 2007扩展了早先版本Exchange的反垃圾邮件功能提供了多层保护措施，以多种不同的方式来阻止垃圾邮件。

? 安全发件人集合：为了减少将合法邮件误判为垃圾邮件的概率，Outlook

用户创建的安全发件人列表会传送到中心传输服务器，然后再传送到边缘传输服务器（在DMZ区中），来自这些用户的消息将会被直接路由进入组织。

? Outlook电子邮戳：Outlook 2007可以为每一封邮件创建一个问题和答案，

这称为邮戳，它被附加到每一封要发出的邮件中。邮戳的创建和解密需要花费一定的CPU周期。垃圾邮件发送者通常没有时间或计算资源来把每一个复杂的问题和答案附加到数千封要发出的邮件中，所以他们不会使用问题和答案。因此，当Exchange接收到一封带有邮戳的邮件时，Exchange会通过验证它的问题和答案来判断邮件是否是垃圾邮件。邮戳越复杂，邮件是垃圾邮件的可能性就越小。

? 垃圾邮件隔离：除了Outlook和OWA客户端带的Outlook垃圾邮件隔离

功能外，现在管理员可以复查并隔离可疑的垃圾邮件。然后从隔离的邮件中删除或释放用户的邮件。

? 发件人的信誉：发件人的信誉是动态分析并更新的。当边缘服务器侦测到

来自某一域的相应趋势时，它会采取具体的行动来处理，包括隔离信息或拒绝信息进入企业内网。

7 <客户名称><项目名称>建议书

? 边缘服务器上的内容过滤：当垃圾邮件发送者改变策略并使用新的方法来

避免被检测时，这时垃圾邮件内容过滤器会自动更新来保持对垃圾邮件的控制，因此它可以保护您的组织，而不会增加您的工作量。

? Microsoft Forefront for Exchange：除了提供下述的全面的病毒保护功能，

该服务每天都会会对病毒代码，IP信誉服务和反垃圾过滤器进行数次更新。

7. 多种访问方式，一致的使用体验

在Exchange Server 2007强大的移动特性的支持下，用户可以通过Outlook客户端、Web浏览器、手机、普通电话、POP3或者IMAP4客户端来访问和管理自己的邮件、日程安排、任务和联系人。所有这些客户端，无论从用户界面、操作方式还是从提供的功能来看都和Outlook非常接近，这不仅为用户提供了良好的使用体验，同时也减轻了企业的系统维护和管理人员的培训工作量。

? Outlook：使用Outlook可以获得最为强大和丰富的功能，包括本地缓存模

式、本地的全球地址簿、共享日历、联系人等。无论在线还是脱机都可以正常工作。当用户在外出差时，还可使用Outlook无处不在功能在局域网外安全地连接Exchange服务器。

? Web 浏览器（Outlook Web Access）：通过Web浏览器（如IE）就可以直

接访问Exchange，Outlook Web Access提供了Outlook客户端的98％的功能，如收件人地址的自动完成功能、日程安排通过鼠标拖拽就可更改日程时间等。 ? 智能掌上设备：

? 普通电话：通过Exchange Server 2007新增的强大的统一消息功能，用户

既可以在邮箱中接收到自己的语音留言和传真，还可以通过普通电话来访问自己的邮箱，让Exchange Server 2007为您读出你的新邮件、语音留言和日程安排，并可以用声音控制Exchange Server 2007发语音留言、变更日程安排和拨打联系人电话。

? POP3和IMAP4客户端：Exchange Server 2007支持传统的POP3和IMAP4

客户端访问方式。

8. 保证复杂网络环境下用户的使用体验

8 <客户名称><项目名称>建议书

优化的握手协议和数据压缩能够减小网络数据流量，给窄带环境下的用户更流畅的使用体验；Outlook的Exchange缓存模式能够自动在离线/在线状态间切换，减少对用户工作的打断；Exchange Server 2007独有的Outlook无处不在功能使得企业不必部署VPN/RAS也能让外网（例如在家或出差）的用户能够使用Outlook安全地连接到位于企业内网的Exchange邮件服务器，而开放的端口仅仅是80/443（HTTP/HTTPS）。 9. 强大的日程管理功能

用户可以通过日程管理功能简化并自动化对人员与资源的日程安排。 ? 日程助手：日程助手根据与会人员和资源的日程安排分析他们的忙闲状

态，以颜色编码的用户界面显示全自动的为会议发起人建议举行会议的日期和时间。

? 日历助手运行在Exchange 2007服务器上，不需要任何最终用户的交互，

它将收件人日历中的会议请求标记为临时请求，一直到用户提交该请求为止。同时，日历助手会删除同一个会议请求的历史版本，确保了您邮箱中的日历请求是最新版本的。

? 资源预定助手 也运行在Exchange 2007服务器上，不需要任何最终用户的

交换，它管理着资源的可用性并允许使用资源策略，如可用的小时数和日程权限。

10. Web方式查看文档

包含在 Outlook Web Access 2007中，它能把多种文档格式——包括Microsoft Word，Microsoft Excel，Microsoft PowerPoint以及PDF文件——从它们原来的格式转换为HTML格式，这样即使客户端没有安装创建文档的应用软件，也可以在客户端浏览器中查看它们。这一功能使用户可以在几乎任何一台机器上获得高效的生产力并保证所查看文档的安全性，甚至是在公共计算机上，因为Outlook Web Access会在用户退出或会话超时时删除HTML文档。 11. 在垃圾邮件和病毒到达您的组织之前进行防护

? 微软还可以通过微软?Exchange Hosted Filtering服务为您的组织提供反垃

圾和反电子邮件病毒保护。该服务是微软?Exchange Hosted Services服务套件的一部分，通过Exchange Hosted Filtering服务，您可以获得与使用了

9

<客户名称><项目名称>建议书

带有Forefront Security的边缘服务器同样的效益，但是对这些服务的管理是由微软来完成的。在信息到达您的组织之前会对它们进行垃圾邮件和病毒的清理。Exchange Hosted Filtering使用多重过滤为您的企业提供主动保护，使企业远离垃圾邮件、病毒、仿冒和违规的电子邮件的影响。

12. 消息传输和认证的安全性

? Exchange Server 2007使用SMTP在组织内部的Exchange服务器之间传输

信息。所有在Exchange Server 2007组织内传输的信息缺省就是加密的。服务器与服务器间的传输使用传输层安全协议（TLS），Outlook的连接使用加密的远程过程调用（RPC），客户端访问（Outlook Web Access，微软? Exchange ActiveSync?和Web服务）使用SSL协议。这种方法阻止了欺骗并保护了信息的机密性。

? Kerberos认证服务用来进行认证，简化的安全传输层协议用来进行加密。

TLS在Exchange Server 2007中进行了简化，因为它使用自身指定的SSL认证。因为每一台Exchange服务器都自动配置了SSL证书，内部的Exchange服务器不仅能用SSL对信息进行加密，而且可以加密发送给外部SMTP服务器的消息进行加密，只要接收邮件的外部SMTP服务器也被配置为可以使用TLS收发信息即可。

13. 简化Exchange的管理：Exchange Server 2007的一个主要目标是使Exchange

管理员的工作变得更简单和更高效。日复一日的维护，监控和故障排除工作在小型或大型组织中可能会成为一种负担。Exchange Server 2007提供了新的工具和特性，旨在简化Exchange的管理，以满足服务等级协议（Service Level Agreements）的要求，并通过预先维护和监控避免问题的产生。

? 改进管理方式的工具：Exchange Server 2007引入了一个基于模块服务器

角色的架构，以解决企业对于改变信息的需求。同样，Exchange Server 2007包含了一个新的图形化管理工具。Exchange 管理控制台是一个基于Microsoft 管理控制台 (MMC) 的工具，它反映了架构的变化，可以对服务器角色进行独立管理，可以实现新的管理模型，而无需管理组或路由组。 ? 强大的脚本工具——Exchange管理外壳程序：Exchange管理控制台使用

了一个功能强大的脚本技术，叫作Exchange 管理外壳程序。Exchange 管

10 <客户名称><项目名称>建议书

理外壳程序基于Windows PowerShellTM技术，它是一个命令行工具，您可以通过它操作功能强大的命令集，这些命令集由动词-名词对组成。通过PowerShell，您可以用最少的代码编写复杂的任务脚本或者在外壳程序提示符下交互式地执行任务。凭借外壳程序，您可以通过执行命令来访问并影响许多不同的资源，包括邮箱数据库，注册表以及Active Directory。 使用自动发现功能简化Outlook的配置：在过去，Outlook的profile设置比较困难，因为大多数用户都不知道用于解析他们profile的Exchange服务器的名字。有了新的自动发现功能，用户只需要记住他们的用户名，密码和电子邮件地址就可以配置Outlook profile。

1.5 活动目录设计

由于Microsoft Windows Server 2003 和Microsoft Exchange Server 2007 都依赖 Active Directory 实现目录服务，因此必须确定如何将 Exchange 集成到 Active Directory 结构中。

要部署 Exchange，需要从一个已建立的、处于稳定工作状态的 Active Directory 基础结构开始。

下面简要介绍在统一邮件项目中活动目录的设计。

1.5.1 活动目录简介

活动目录可以实现用户管理，提供对用户、应用程序和设备的单一、一致性的管理点；加强终端安全性。并且向用户提供单一的网络资源登录，为管理员提供强大、一致性的工具以使他们能够管理为内部计算机用户、远程拨号用户以及外部客户提供的安全服务。活动域管理是实施服务器管理、终端管理的基础，也为财务、人事、电子邮件、企业信息门户、办公自动化、防病毒系统等各种应用系统提供支持，是安全体系建设的基础。

活动目录(Active Directory)主要提供以下功能：

11 <客户名称><项目名称>建议书

? 基础网络服务：包括DNS、WINS、DHCP、证书服务等。

? 服务器及客户端计算机管理：管理服务器及客户端计算机帐户，所有服务

器及客户端计算机加入域管理并实施组策略。

? 用户服务：管理用户域帐户、用户信息、企业通讯录（与电子邮件系统集

成）、用户组管理、用户身份认证、用户授权管理等，按省实施组管理策略。

? 资源管理：管理打印机、文件共享服务等网络资源。

? 桌面配置：系统管理员可以集中的配置各种桌面配置策略，如：界面功能

的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。 ? 应用系统支撑：支持财务、人事、电子邮件、企业信息门户、办公自动化、

补丁管理、防病毒系统等各种应用系统。

12 <客户名称><项目名称>建议书

1.5.2 邮件系统与活动目录的关系

Exchange Server 2007邮件系统与活动目录紧密集成，并且依赖活动目录完成其目录操作。活动目录可以为邮件系统提供邮箱信息、地址列表服务以及其他跟收件人相关的信息，同时邮件系统的配置信息也存储在活动目录中。通过活动目录的复制功能，可以将这些收件人相关信息和配置信息复制到各个活动目录域和站点中的域服务器，以供邮件系统就近访问。

可以说活动目录是邮件系统的安全系统，活动目录的安全机制保证了只有认证通过的用户可以访问邮箱，并且只有认证通过的管理员才能更改邮件系统中的配置信息。

邮件系统内置活动目录访问模块，用于和活动目录通讯(LDAP请求)以及缓存活动目录的信息，通过共享访问和缓存机制，可以减少活动目录域控制器以及全局编目服务器的负载。邮件系统可以发现活动目录拓扑，确认域控制器和全局编目服务器，并且维持可用的域服务器列表。

地址簿信息存储在活动目录中，邮件系统也对Outlook客户端地址簿访问提供支持。

在消息传输过程中，邮件系统的SMTP Categorizer（SMTP分捡器）将根据消息头中包含的信息去查询活动目录，并且决定消息路由，即消息如何传递以及消息将被传递到何处。另外SMTP Categorizer通过查询活动目录，解析发件人、收件人，以及邮件组，并且将每个收件人和每个发件人的限制应用于消息。

1.5.3 活动目录域建设方案

活动目录提供用户信息存储和用户身份认证，是统一邮件系统的基础。建议使用按域划分管理模式，即采用一个森林根域，多个子账号域的模式，域间自动信任的访问方式，简化了域间关系，并考虑到域内自行管理账号的灵活性，保障组织统一的应用可访问性与安全性。

创建和管理各个子域：

13 <客户名称><项目名称>建议书

省分名称 北京 河南 河北 子域名称 域之间默认建立双向可传递的信任关系。

1.5.4 活动目录域的管理模式

目录权限分二级权限管理权限，总部授权分公司管理员进行分公司范围权限管理。目录系统实施“统一规划、分公司管理”模式，即通过总公司统一规划和制定管理方法的模式，并提供相应的管理工具、管理方法，各个分公司根据总部的要求和自身实际情况分别实施。

域内管理内容包括人员账号、计算机账号、按照组织和地域等信息建立不同的OU（组织单元）和用户组，对资源访问的权限控制、组策略等。

1.6 DNS设计

由于 Exchange Server 2007 依赖 DNS 进行名称解析来进行邮件的传递，因此 DNS 的设计在邮件系统的设计中起到了至关重要的作用。

在邮件系统中，SMTP 依赖 DNS 来确定其下一个内部或外部目标服务器的 IP地址。通常，内部 DNS可以帮助邮件服务器实现内部邮件服务器的查找，但是内部DNS 名称不在 Internet 上发布。因此，SMTP 必须能够联系到可以解析外部 DNS 名称以发送 Internet 邮件的 DNS 服务器，以及可以解析内部 DNS 名称以实现组织内传递的 DNS 服务器。

1.6.1 DNS在邮件系统中的作用

DNS有以下三方面的作用。

? DNS 在发送和接收内部邮件时的作用

14

本文来源：https://www.bwwdw.com/article/tun.html