使用专用 Exchange 目录林

 

上一次修改主题: 2006-04-18

某些情况下,可能需要设置专门运行 Exchange 的独立 Active Directory 目录林。例如,您可能需要保留某个 Windows NT 目录林。或者,需要将 Active Directory 对象和 Exchange 对象的管理分开;因此,可以设置专门运行 Exchange 的独立 Active Directory 目录林。要求 Active Directory 管理和 Exchange 管理之间存在安全(目录林)边界的公司可以选择此选项。

Exchange 目录林(也称为“资源目录林”)专门用于运行 Exchange 和存放邮箱。用户帐户包含在一个或多个称为“帐户目录林”的目录林中,独立于资源目录林。有关在多目录林环境中部署 Exchange 的详细信息,请参阅规划在多目录林环境中部署 Exchange

帐户目录林中的已启用用户与依附于资源目录林中的被禁用用户的邮箱相关联。通过这种配置,用户可以访问驻留在不同目录林中的邮箱。在这种方案中,必须在资源目录林与帐户目录林之间配置信任关系。您可能还需要设置供应过程,以便管理员每次在 Active Directory 中创建一个用户,都会在 Exchange 中创建一个拥有邮箱的被禁用用户。

note注意:
如果用户具有安全标识符 (SID) 历史记录,则必须关闭帐户目录林和资源目录林之间的 SID 筛选(否则,用户将无法访问其邮箱)。在下面两种情况下,帐户将获得 SID 历史记录:
•   如果遵循外部迁移路径从 Exchange 5.5 迁移到 Exchange 2003,则每个新帐户都将在 SIDHistory 属性中保留其旧的 SID。
•   如果使用 Active Directory 迁移工具 (ADMT) 将帐户从一个目录林移到另一个目录林,则每个新帐户都将在 SIDHistory 属性中保留其旧的 SID。

由于所有 Exchange 资源都包含在一个目录林中,因此一个 GAL 即包含了整个目录林中的所有用户。下图说明了专用 Exchange 目录林方案。

b01795e0-b2c9-4c56-9938-4b5d064ba3fb

专用 Exchange 目录林方案的主要优点是 Active Directory 和 Exchange 管理之间具有安全边界。

与此方案相关联的缺点包括下列方面:

  • 未利用集成 Exchange 和 Active Directory 管理的好处,从而带来了更多的管理开销。
  • 需要在要运行 Exchange 的 Microsoft Windows® 站点中安装重复的域控制器和全局编录服务器,从而增加了成本。
  • 要求供应过程,以使 Active Directory 更新在 Exchange 中得到反映。(例如,在目录林 A 中创建新的 Active Directory 用户会生成具有一定权限的、已启用邮箱的占位符对象。)在一个目录林中创建对象时,必须确保在另一个目录林中创建了相应的对象。例如,如果在一个目录林中创建了用户,应确保在另一个目录林中为该用户创建了相应的占位符对象。可以手动创建相应的对象,也可以通过创建脚本或实现第三方软件来使这个过程自动进行。
    important重要提示:
    Microsoft Identity Integration Server 2003 (MIIS 2003) 的 GAL Synchronization 功能的设计目的不是为了在资源目录林模型(在这种模型中,用户帐户与其邮箱位于不同的目录林)中使用。虽然您无法使用 MIIS 2003 中的 GAL Synchronization 功能,但是可以配置 MIIS 2003 提供资源目录林和帐户目录林之间必需的对象。此外,还可以使用 GAL Synchronization 来将资源目录林与其他 Exchange 目录林(但不包括帐户目录林)同步。

资源目录林方案的另一种形式是,在多个目录林中只有一个目录林驻留 Exchange。如果具有多个 Active Directory 目录林,则部署 Exchange 的方法取决于需要在目录林之间维持的自治程度。如果公司因为由多个业务单位构成而要求目录对象具有安全(目录林)边界,但允许共享 Exchange 对象,则可以选择将 Exchange 部署在其中的一个目录林中,并用它来存放公司中其他目录林的邮箱。由于所有 Exchange 资源都包含在一个目录林中,因此一个 GAL 中包含所有目录林中的所有用户。下图对此方案进行了说明。

6c2f5563-8abc-477b-a970-7804ab5fe1f3

与此方案相关联的主要优点包括下列方面:

  • 利用现有的 Active Directory 结构
  • 使用现有的域控制器和全局编录服务器
  • 在目录林之间提供严格的安全边界

与此方案相关联的缺点包括下列方面:

  • 要求供应过程,以使 Active Directory 更新在 Exchange 中得到反映。例如,在目录林 A 中创建新的 Active Directory 用户会生成具有一定权限的、已启用邮箱的对象,该对象在目录林 B 中被禁用。
  • 要求目录林管理员确定如何分配或划分 Active Directory 和 Exchange 对象管理职责。
 
显示: