Active Directory 集成调整

  • 项目

 

上一次修改主题: 2005-06-28

所有 Exchange 服务器和用户都应该能快速访问全局编录服务器。全局编录服务器与 Exchange 服务器和客户端计算机的临近程度会直接影响客户端性能。在每个包含 Exchange 服务器的域中都必须至少安装一台全局编录服务器;若要在大型组织中获得最佳性能,还需要安装其他全局编录服务器。

在每个站点中,Exchange 处理器与全局编录服务器处理器的比例应该是 4:1(假设处理器的型号和速度类似)。不过,更高的全局编录服务器使用率、较大的 Active Directory 实现方案、更高的应用程序使用率或较大的通讯组列表会需要更多的全局编录服务器。Exchange 2003 可以使用最多安装八个处理器的全局编录服务器。

全局编录与 Exchange 的比率

规划 Exchange Server 2003 安装所需的全局编录服务器数可能是一项非常耗时的任务。应实现每四个 Exchange Server 2003 处理器使用一个全局编录处理器,然后根据需要进行优化。对于此规则,假定处理器的类别和速度相同。例如:

  • 一台单处理器全局编录服务器可以处理一台 4 处理器 Exchange 2003 服务器的负载。
  • 两台单处理器全局编录服务器可以处理一台 8 处理器 Exchange 2003 服务器的负载。
  • 四台 4 处理器全局编录服务器可以处理八台 8 处理器 Exchange 2003 服务器的负载。

Exchange Server 2003 可以使用最多安装 8 个处理器的全局编录服务器。但是,必须考虑 Active Directory 服务器的 4 到 8 个处理器之间 75% 的换算系数。因此,在计算全局编录与 Exchange 的比率时,应将 8 处理器全局编录服务器视为 7 处理器服务器。

Exchange 专用的 Active Directory 服务器

如果有很多 Exchange 2003 服务器,必须提供一组供 Exchange 专用的全局编录服务器。创建一个专用的 Active Directory 站点,包含 Exchange 2003 服务器和所有专用的全局编录服务器。这样做的优点在于:

  • 来自 Exchange Server 2003 以外的系统的通信将分发到组织中的其他 Active Directory 服务器。
  • 更容易对 Active Directory 进行性能分析和管理。
  • Exchange 管理员可以更好地控制 Exchange 专用的 Active Directory 服务器。

设置 PDC 回避

Exchange 以外的应用程序可以大量利用主域控制器 (PDC) 仿真器计算机。如果 Exchange Server 2003 也尝试使用 PDC 仿真器计算机处理请求,PDC 仿真器和 Exchange 的性能可能会降低。默认情况下,DSAccess 选择 PDC 仿真器计算机和本地 Active Directory 站点中的其他服务器一起处理请求。但是,可以通过添加 MinUserDC 注册表值来更改此行为。

有关详细说明,请参阅如何设置 MinUserDC 注册表值

在 Active Directory 服务器上使用 /3GB 开关

Active Directory 进程对数据库使用扩展存储引擎 (ESE)。默认情况下,ESE 缓存大小为 512 MB。不过,如果全局编录服务器使用 Windows 2000 Advanced Server 或 Windows Server 2003(任何版本),并且安装的物理 RAM 超过了 1 GB,则应该在这些服务器的 Boot.ini 文件中设置 /3GB 开关。此操作自动将 ESE 缓存增大到 1024 MB。在大多数情况下,增大缓存可以将磁盘读取次数减少 20-40%,明显缩短了 LDAP 的响应时间。

在物理内存为 1 GB 或更多的系统上,建议在 Boot.ini 文件中使用 /3GB 启动开关。这有助于减少 Active Directory 进程的虚拟地址空间中的内存碎片数量。

仅应在内存为 1 GB 或更多并运行下列操作系统之一的 Active Directory 服务器上使用 /3GB 开关:

  • Microsoft Windows Server 2003 标准版
  • Microsoft Windows Server 2003 企业版
  • Microsoft Windows Server 2003 Datacenter 版
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
important重要提示:
在 Windows 2000 Server 中不应该使用 /3GB 开关,因为它不受支持,并会导致应用程序或操作系统崩溃。而且,仅当在上述操作系统中安装了 1 GB 或更多物理内存时,这些操作系统才支持 /3GB 开关。

有关如何在 boot.ini 文件中设置此开关的详细说明,请参阅如何在 Windows 中设置 /3GB 启动开关

在 Active Directory 服务器上使用 Exchange Server 2003

为了实现最佳的可伸缩性和管理的灵活性,Exchange Server 2003 应安装在 Windows 成员服务器上,而不是域控制器或全局编录服务器上。尽管对后一种情况也提供支持,但是应注意下列后果:

Lsass.exe 进程中的线程运行的优先级要高于 Exchange 线程。Lsass.exe 进程的增大可能会对 Exchange 处理时间造成负面影响。

如果 Exchange 服务器还充当域控制器,服务器将需要资源来处理其他非 Exchange 请求,例如其他应用程序的用户身份验证和目录查询。这些额外的活动会影响 Exchange 2003 服务器的性能。

尽管 DSAccess 会检测到本地 Active Directory 站点中的所有域控制器和全局编录服务器,但是不会使用它们。所有目录请求均发送给本地目录服务。在这种情况下,不会进行负载平衡和故障转移。

若要管理 Exchange Server 2003 服务,必须将管理员定义为本地管理员。如果 Exchange Server 2003 在域控制器上运行,则 Exchange 管理员必须属于域中的 Administrators 组。成员身份明确授予 Exchange 管理员访问域中其他计算机的附加权限。

如果将 Exchange Server 作为 Microsoft Windows Small Business Server 2003 的一部分运行,则可以在域控制器上安装 Exchange Server。但是,如果没有将 Exchange Server 作为 Windows Small Business Server 的一部分运行,则建议不要在域控制器上运行 Exchange Server。

如果在没有 Small Business Server 的情况下在域控制器上运行 Exchange Server,请注意下列问题:

  • Exchange Server 和 Active Directory 都是非常耗费资源的应用程序。如果在同一台计算机上同时运行这两个应用程序,需要考虑性能影响问题。
  • 如果在域控制器上运行 Exchange Server,还必须让该域控制器充当全局编录服务器。
  • 多个 Exchange Server 目录组件,例如目录服务访问 (DSAccess)、目录服务代理 (DSProxy) 和邮件分类程序,将不会故障转移到其他任何域控制器或全局编录服务器。
  • 不应在 Windows 中使用 /3GB 启动开关,因为它会导致 Exchange Server 占用所有内存,从而使 Active Directory 的内存资源不足。
  • 如果在关闭或重新启动服务器之前没有停止 Exchange Server 服务,则系统关闭操作会花费相当长的时间。
  • 由于 Exchange 管理员将拥有对 Active Directory 的本地管理权限,进而提高他们自己的特权,所以此配置的安全性较低。此外,在 Exchange Server 或 Active Directory 中发现的任何安全漏洞都会致使另一方面临威胁。
  • 如果正在域控制器上运行 Exchange Server 2003,则不支持使用域控制器提升工具 (DCPromo) 更改计算机角色,并且已经知道它会中断 Outlook Mobile Access 等组件。
  • 不支持在同时充当 Active Directory 域控制器的群集节点上运行 Exchange Server 2003,并且绝不能进行此操作。这意味着,如果在同时充当域控制器的群集节点上运行 Exchange 2000 Server,那么在从 Exchange 2000 Server 升级到 Exchange Server 2003 之前,必须将服务器降级为成员服务器。

增大最大活动 LDAP 查询数

如果在包含基于 Windows 2000 的目录服务器的 Windows Active Directory 站点中有许多 Exchange 2003 服务器,那么 Active Directory 服务器会承受很大的 LDAP 负载。默认情况下,Active Directory 服务器配置为最多支持 20 个活动 LDAP 查询。如果达到此限制,Active Directory 将返回 LDAP_ADMIN_LIMIT_EXCEEDED 错误消息,并停止处理其他 LDAP 查询。对于大多数 Active Directory 服务器,设置为 20 通常就足够了,但是如果在八处理器服务器上运行 Exchange Server 2003,或记录了 LDAP_ADMIN_LIMIT_EXCEEDED 错误消息,则需要增大此值。

可以通过 MaxActiveQueries 属性配置最大 LDAP 查询数。此设置可以使用 Ntdsutil.exe 工具进行调整。如果增大此设置,会占用 Active Directory 服务器上 Lsass.exe 进程中更多的内存。因此,只应根据需要增大此值。

有关如何增大最大活动 LDAP 查询数的详细说明,请参阅如何设置 MaxActiveQueries 属性

note注意:
MaxActiveQueries 仅适用于运行 Windows 2000 Server 的目录服务器。在运行 Windows Server 2003 的目录服务器上不能设置 MaxActiveQueries

调整邮箱服务器上的 DSAccess

默认情况下,Exchange 中的 DSAccess 组件会缓存对象。缓存分为两个部分:一部分用于用户对象(即域命名上下文),另一部分用于配置数据,例如存储和路由对象。用户对象缓存 5 分钟,配置数据缓存 15 分钟。

在 Exchange 2000 Server 中,每个缓存池为 25 MB。为了获得更高的性能,已经更改了默认设置。默认情况下,Exchange Server 2003 中的配置数据缓存为 5 MB,用户对象缓存为 140 MB。

在很大的拓扑中,如果包含的管理组或路由组超过 100 个,可以手动调整 DSAccess 缓存部分,实现性能的提高。

有关如何调整 DSAccess 配置缓存的详细说明,请参阅如何配置 DSAccess 配置缓存

有关如何调整 DSAccess 用户缓存的详细说明,请参阅如何配置 DSAccess 用户缓存