规划复杂 Exchange 组织

项目
08/07/2014

适用于： Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上一次修改主题： 2009-09-15

如其名称所示，复杂 Exchange 组织代表要部署 Microsoft Exchange Server 2007 的最复杂的拓扑。在为 Exchange 2007 定义的四个组织模型中，复杂 Exchange 组织是唯一包含多个 Active Directory 目录服务林或使用同步技术的模型。

Exchange 服务器和已启用邮箱帐户所在的多个 Active Directory 林已成为一种常见方案。需要使用这些部署的一个主要驱动器来隔离用户环境的管理和受信任安全环境的管理。在对资源的安全和控制访问是主要关注问题的部署中，由于林代表 Active Directory 中的安全边界，因此通常要查找并行部署的多个 Active Directory 林。

注意：
所有多林拓扑需要每个林中都有运行 Windows Server 2003 Service Pack 1 或更高版本的目录服务器。

复杂 Exchange 组织示例

实现多个 Active Directory 林有各种原因。其中一些原因包括：

您有多个要求数据和服务隔离的业务单位。
您有多个具有不同架构需求的业务单位。
您面临着合并、收购或资产剥离。

Exchange 资源林拓扑

要在各个业务单位之间建立严格的边界，唯一的方法是为每个业务单位分别创建一个单独的 Active Directory 林。如果这是您的 Active Directory 配置，建议您使用 Exchange 资源林。

图 1 说明包含 Exchange 资源林的复杂 Exchange 组织的示例。

图 1 带有 Exchange 资源林的复杂 Exchange 组织的示例

具有资源林的复杂 Exchange 组织

在图 1 中，林 B 包含 Exchange 服务器，林 A 包含用户帐户。林 B 也包含相同的用户帐户，但是已禁用了这些帐户，而且已启用邮箱的用户使用林 A 中的帐户登录 Active Directory。

如果在资源林中部署 Exchange 2007，则默认情况下，在只包含用户帐户的林中的管理员没有在 Exchange 林中创建邮箱的权限。尽管在只包含用户帐户的林中的管理员可以创建用户帐户，但是在资源林拓扑中，在没有对帐户管理员委派特别权限的情况下，该管理员无法执行任何邮箱管理任务。Exchange 林中的管理员必须分别手动从用户帐户创建邮箱并将邮箱链接到现有用户帐户。此外，您还必须将任何附加信息（例如电话号码或分支机构）分别添加到 Exchange 林中，即使关联用户帐户的此类信息可能已存在。

多 Exchange 林拓扑

在合并和收购的情况下，经常有多个 Active Directory 林和多个 Exchange 组织。在多林环境中运行 Exchange 时，系统体系结构设计师和 Exchange 管理员通常会遇到在简单、标准和大型 Exchange 组织模型中发现的相同设计问题。但是，复杂 Exchange 组织的独特之处在于需要同步完全不同的林中的目录对象，并复制忙/闲数据。Microsoft 提供了目录同步的两个解决方案：

Microsoft Windows Server Active Directory (IIFP) Service Pack 2 (SP2) 身份集成功能包
Microsoft Identity Integration Server (MIIS)

两个解决方案都基于 MIIS。IIFP 是 MIIS 的简易版，很容易获得。MIIS 是成本较高的解决方案，但功能丰富。

注意：
有关 IIFP 的详细信息，请参阅 Identity Integration Feature Pack for Microsoft Windows Server Active Directory with Service Pack 2 (SP2)（英文网页）。有关 MIIS 的详细信息，请参阅 Microsoft Identity Integration Server 2003 TechCenter（英文网页）。

除了同步目录外，较频繁的要求是在每个林中驻留的 Exchange 组织间可以使用忙/闲数据或公用文件夹。在 Exchange Server 的以前版本中，这要求使用 Microsoft Exchange Server 组织间复制 (IORepl) 工具，通过该工具可以在分散的 Exchange 组织间协调会议、约会、联系人及公用文件夹信息。若要共享驻留在单独林中的 Exchange 2007 组织间的忙/闲信息和日历信息，您可以执行下列操作：

如果两个组织都使用 Microsoft Office Outlook 2007，则 Exchange 2007 中的可用性服务可用来在组织间共享忙/闲信息和日历信息。但是，该解决方案无法在组织间共享公用文件夹数据。
如果正在使用早期的 Outlook 版本，您可以使用 IORepl 在组织之间共享忙/闲信息和日历信息。系统支持在安装了 Exchange 2007 管理工具而没有任何其他 Exchange 2007 服务器角色的计算机上，或在运行 Exchange Server 2003 或 Exchange 2000 Server 的服务器上安装 IORepl。该解决方案还允许您在组织间共享公用文件夹数据。如果在安装了 Exchange 2007 管理工具的计算机上安装该工具，还必须安装 Exchange MAPI 客户端库。有关组织间复制工具的详细信息，请参阅 Microsoft Exchange Server Inter-Organization Replication（英文网页）。有关下载 Exchange MAPI 客户端库的详细信息，请参阅 Microsoft Exchange Server MAPI Client and Collaboration Data Objects 1.2.1（英文网页）。

注意：
IORepl 所需的功能可能已丢失。默认情况下，Exchange Server 2007 以及更高版本未将 Messaging API (MAPI) 客户端库或协作数据对象 (CDO) 版本 1.2.1 作为基础产品安装的一部分。必须安装 Microsoft Exchange MAPI 和 CDO 1.2.1，才能访问 MAPI 存储内容。如果服务器中已安装 Office Outlook，则必须先卸载 Outlook，然后才能安装 Exchange MAPI 和 CDO 1.2.1。

IORepl 所需的功能可能已丢失。默认情况下，Exchange Server 2007 以及更高版本未将 Messaging API (MAPI) 客户端库或协作数据对象 (CDO) 版本 1.2.1 作为基础产品安装的一部分。必须安装 Microsoft Exchange MAPI 和 CDO 1.2.1，才能访问 MAPI 存储内容。如果服务器中已安装 Office Outlook，则必须先卸载 Outlook，然后才能安装 Exchange MAPI 和 CDO 1.2.1。

有关如何将 IORepl 用于 Exchange 2007 的详细信息，请参阅 Exchange 帮助中的 Inter-Organization Replication Tool（英文网页）主题。

图 2 说明包含多 Exchange 林的复杂 Exchange 组织的示例。

图 2 带有多 Exchange 林的复杂 Exchange 组织示例

具有多个林的复杂 Exchange 组织

Exchange 跨林拓扑

在跨林环境中，Exchange Server 在单独 Active Directory 林中运行，但是可在林之间使用邮件功能。在带有目录同步的跨林环境中部署 Exchange 2007 有下列限制：

如果成员在不同的林中有邮箱，则无法查看通讯组列表成员身份
无法将不同林中的用户添加到通讯组列表
无法跨林嵌套通讯组列表
没有将通讯组列表移动到另一个林的工具
如果跨林移动邮箱，则无法保留委派属性
没有将公用文件夹移动到另一个林的工具
如果使用 Microsoft Windows 公钥基础结构 (PKI) 自行签署式证书，则无法跨林发送经过签名和加密的邮件。