规划在多目录林环境中部署 Exchange

 

上一次修改主题: 2005-10-25

规划 Active Directory 和管理模型将讨论在多目录林环境中部署 Exchange 的下列方案:

  • 专用 Exchange 目录林(资源目录林)
  • 运行 Exchange 的多个目录林(标准多目录林)
  • 合并和收购

本主题集中讲述了在标准的多目录林方案中启用邮件功能的配置要求。但是,可以根据您的需求,将其中的部分或全部信息应用于资源目录林方案以及合并和收购方案。

大多数邮件功能最初都仅设计用于单个目录林。因此,为了确保这些功能可用于多目录林环境,必须克服许多设计上的限制。如果用户位于不同的目录林中,那么诸如委派邮箱访问权限和查看日历等部分高级功能将不可用。

多目录林环境中的功能

功能 是否可以跨目录林使用?

基本邮件流

可以。不要求目录林之间存在信任关系。

公用全局地址列表 (GAL)

可以。通过使用 Microsoft Identity Integration Server MIIS 2003 (MIIS 2003)。

忙/闲数据同步

可以。通过使用组织间复制工具。在 Microsoft Office Outlook® 中,会议组织者可将来自其他目录林的与会者添加到会议请求中,并且可以在“计划”选项卡上检查该与会者的可用性。

公用文件夹同步

可以。通过使用组织间复制工具。

会议请求转发

可以。如果已配置 GAL Synchronization 并设置了 SMTP 身份验证。

通讯组

可以。另一个目录林中的通讯组表示为联系人。可以向另一个目录林中的通讯组发送邮件,但是无法查询该组的成员身份。

安全/多用途 Internet 邮件扩展(Secure Multipurpose Internet Mail Extensions,简称 S/MIME)

可以。通过手动配置。默认情况下,用户证书不会跨目录林进行同步。必须配置 userCertificate 以启用 S/MIME。多目录林环境不支持 Exchange 2000 和 Exchange 5.5 中的密钥管理服务。

已送达/已读回执

可以。如果正确配置了全局设置。(有多个选项可供执行此操作;请参阅本主题后面的“配置目录林之间的邮件流”。)

跨目录林共享 SMTP 命名空间

可以。如果除共享的命名空间外,每个组织还有一个唯一的 SMTP 域命名空间。在每个目录林中添加可指定唯一 SMTP 代理地址的收件人策略。(如果目录林中运行的是 Exchange 5.5,那么,只要设置了双向连接协议,ADC 便会将第二个代理地址复制到 Exchange 5.5 目录中。)

公用文件夹权限

不可以。使用组织间复制工具复制公用文件夹时,每个目录林的管理员都必须在文件夹上设置权限。

规则

不可以。跨目录林移动过程中不保留规则。

邮箱委派

不可以。由于将另一个目录林中的用户或组表示为联系人,因此,无法将邮箱访问权限委派给另一个目录林中的某个人。在设置邮箱的访问权利时,不能指定联系人。此外,将邮箱从一个目录林移动到另一个目录林时,不保留邮箱委派权限。

查看日历

不可以。虽然可以跨目录林同步忙/闲信息,并使用该信息安排会议日程,但是,不能使用 Outlook 中的“打开其他用户的文件夹”功能查看另一个目录林中的用户的详细日历信息。

查看组成员身份

不可以。由于将另一个目录林中的组表示为联系人,因此无法查看该组的成员。在电子邮件送达相应源目录林之后,组成员身份才会展开

连接到外部邮件系统的连接器

可以。如果一个目录林连接到了外部邮件系统,并且您使用了 MIIS 2003,则可以将外部邮件系统的联系人复制到其他目录林。

代理发送

不可以。用户必须位于同一个目录林。

对多个目录林使用前端服务器

不可以。前端服务器无法代理发送到另一个目录林中的后端服务器的请求。如果您要对 Outlook Web Access 或 Outlook Mobile Access 使用前端服务器,将会受到这种限制的制约。

在多目录林环境中安装 Exchange 时,最低要求是通过启用邮件流和创建公用 GAL 来提供基本邮件功能。根据您的需要,可能还必须设置扩展的邮件功能,如忙/闲数据同步和公用文件夹同步。

通过一些额外的部署步骤,可以配置您的环境以提供尽可能多的跨目录林邮件功能。在所有目录林中安装或升级 Exchange 后,可以通过下列步骤来完成部署:

  1. 若要允许用户搜索公用 GAL 以便发送邮件,应使用 MIIS 2003 中的 GAL Synchronization 功能。
  2. 配置目录林之间的邮件流。要实现目录林之间的邮件流,网络连接是唯一必不可少的要求。不要求建立信任关系,但必须在目录林之间设置 SMTP 连接器。此外,强烈建议您在目录林之间启用身份验证,这样可以提供诸如将用户的电子邮件地址解析为其 GAL 显示名等功能。
  3. 配置扩展的邮件功能(例如,共享的 SMTP 命名空间和全局设置)。
  4. 配置组织间复制工具来同步忙/闲数据和复制公用文件夹。如果不同目录林中的用户安排彼此之间的会议,则必须跨目录林同步忙/闲数据。同样,如果要跨目录林共享公用文件夹,则必须在每个目录林中设置副本。
  5. 必要时,在目录林之间移动邮箱和帐户。

前两个步骤对于实现基本的邮件功能是必需的。同步的全局 GAL 必须对所有目录林都可用,并且必须已设置好传输路由,以便允许邮件在目录林之间流动。其余步骤涉及扩展的邮件功能,可能需要实现其中某些功能,这取决于您的需求。

下面的部分概述了如何部署上述功能。

默认情况下,全局地址列表 (GAL) 包含来自单个目录林的邮件收件人。如果处于多目录林环境中,则可以使用 MIIS 2003 中的 GAL Synchronization,以确保任何给定目录林中的 GAL 都包含其他目录林中的邮件收件人。这项功能创建已启用邮件的联系人来表示其他目录林中的收件人,因此用户可以在 GAL 中查看这些收件人并发送邮件。例如,目录林 A 中的用户在目录林 B 中显示为联系人,目录林 B 中的用户在目录林 A 中也显示为联系人。然后,目标目录林中的用户可以选择用于表示另一个目录林中的收件人的联系人对象,以发送邮件。

如果每个目录林都至少包含一个 Exchange 2003 服务器,则可以使用 MIIS 2003 来同步运行 Exchange 5.5、Exchange 2000 和 Exchange 2003 的任意组合的目录林。(GAL Synchronization 在纯 Exchange 5.5 目录林中不起作用。)MIIS 2003 会同步 GAL,即使源目录林或目标目录林处于混合模式而且正在运行 ADC,也是如此。在源目录林中,ADC 将 Exchange 5.5 对象与 Active Directory 同步。然后,MIIS 2003 使用 Active Directory 中的对象来创建要与其他目录林同步的元目录对象。在目标目录林中,ADC 将联系人复制到 Exchange 5.5 目录中。

如果正在运行 ADC,则还需要进行其他的一些配置;具体地说,为了确保各目录林中的用户和联系人保持同步,必须配置 ADC 和 MIIS 2003 GAL Synchronization 使用共同的组织单位。

note注意:
ADC 并不是为实现跨目录林同步而设计的。ADC 将 Exchange 5.5 对象与 Active Directory 同步的目的是为了迁移到 Active Directory。要跨目录林同步 GAL,应使用 MIIS 2003。即使目录林处于混合模式而且正在运行 ADC,也可以使用 MIIS 2003。

要启用 GAL Synchronization,应创建管理代理,以便将已启用邮件的用户、联系人和组从指定的 Active Directory 服务导入到中心元目录。在元目录中,已启用邮件的对象表示为联系人。组表示为没有任何关联的成员身份的联系人。然后,管理代理将这些联系人导出到指定目标目录林中的组织单位。

源目录林提供给 MIIS 2003 的已启用邮件的对象由它自己控制。如果在目标目录林中对对象的属性进行了更改,则这些更改将不会重新传播到源目录林。

设置 GAL Synchronization 时应考虑下列因素:

  • 要求参与同步的每个目录林都具有单独的管理代理。
  • 为了确保管理代理可以将联系人导出到目标目录林,运行 MIIS 2003 的服务器必须能够连接到参与同步的每个目录林中的域控制器。管理代理可以管理多个域,但它们必须访问域控制器而不是全局编录服务器,因为全局编录服务器没有所有命名上下文的可写副本。
  • 设置管理代理时,必须指定具有适当权限的帐户。
  • 如果某个目录林包含连接到外部邮件系统的连接器,则默认情况下,联系人由该目录林控制;但是,可以更改此设置。有关详细信息,请参阅本主题后面的“配置目录林之间的邮件流”。
  • 用户不能从一个目录林向另一个目录林中的通讯组列表发送加密邮件。如果使用 SMTP 连接器建立目录林之间的连接,并使用 GAL Synchronization 同步这些目录林,则通讯组列表将在目标目录林中表示为联系人,并且无法展开其成员身份。

有关 MIIS 2003 GAL Synchronization 的完整信息,请参阅下列资源:

MIIS 2003 GAL Synchronization 文档指出,运行 MIIS 2003 的服务器和 Exchange 目录林必须采用网状或中心辐射型结构。此外,还支持这两种结构的组合。但是,不能将目录林连接成链状结构。

important重要提示:
MIIS 2003 GAL Synchronization 功能在资源目录林模型中不起作用,在该模型中,用户帐户与其邮箱位于不同的目录林。虽然可以配置 MIIS 以提供资源目录林和帐户目录林之间必需的对象,但无法使用 MIIS 2003 中的 GAL Synchronization 功能来实现此操作。但是,可以使用 GAL Synchronization 来同步资源目录林和其他 Exchange 目录林。
a820a785-ca35-47de-92ac-f529e8afd217

在中心辐射型拓扑中,单个服务器运行 MIIS 2003,读取有关所有目录林的所有数据,评估更改和冲突,并将更改传播到各目录林。建议采用这种拓扑,因为它采用集中式管理,并且是最容易部署的拓扑。

important重要提示:
为运行 MIIS 2003 的服务器所配置的帐户必须能够对所有目录林进行写入。对于某些组织,这可能会导致安全问题。
c66f2005-072b-4f2d-83f1-7e54d080916c

在网状拓扑中,每个目录林都包含一个运行 MIIS 2003 的服务器。每个目录林都负责设置从该目录林的运行 MIIS 2003 的服务器到其他每个目录林的连接。这种拓扑很复杂,在未进行全面的试验性测试的情况下,建议不要采用这种配置。选择此拓扑的主要原因是,目录林不必授予帐户对其目录的写入权限。但是,仍然要求读取权限;应配置管理代理以便读取其他所有目录林中的目录信息。

设置 GAL 同步后,必须确保邮件在组织与 Internet 之间可正确流动。对于基本的邮件流,唯一的要求是可以将路由解析给每个相邻的目录林。不要求目录林之间存在信任关系。

邮件流由目录林之间的网络连接以及配置 SMTP 代理地址的方式所决定。理想的配置是在目录林之间建立直接的网络连接,而不设置防火墙。(如果目录林之间存在防火墙,则必须打开相应的端口。)

note注意:
目录林之间不会共享任何链接状态信息或路由拓扑信息。

还必须在目录林之间设置 SMTP 连接器。而且,建议您启用跨目录林的身份验证。启用身份验证具有下列好处:

  • 目录林之间的用户名解析(ResolveP2 注册表项)是自动进行的,这意味着用户的电子邮件地址会解析为存储在 Active Directory 中的用户名。
  • 可以使用其他日历功能和邮件功能(如邮件转发)。

为了防止标识伪造(欺骗),Exchange 2003 要求进行身份验证,以便将发件人的名称解析为其在 GAL 中的显示名。在多目录林环境中,建议您配置身份验证,以便将从一个目录林向另一个目录林发送邮件的用户解析为其在 GAL 中的显示名,而不是解析为其 SMTP 地址。

要启用跨目录林的 SMTP 身份验证,必须在使用来自另一个目录林且已通过身份验证的帐户的每个目录林中创建连接器。启用身份验证后,通过已经过身份验证的 SMTP 连接在两个目录林之间发送的任何邮件都将解析为 GAL 中的相应显示名。有关详细信息,请参阅《Exchange Server 2003 部署指南》(http://go.microsoft.com/fwlink/?linkid=47569).

许多公司具有 Internet 连接以及一个或多个已公布的域名。如果每个 Exchange 组织都维持一个单独的命名空间,那么,在组织之间同步的联系人将只需要一个 SMTP 地址即可进行正确的路由。不过,您可能有若干个 Exchange 组织,但在 Internet 上只有一个表示您公司的命名空间(如 contoso.com)。这种情况下,为了在保留多个不同目录林命名空间的同时仍然能将邮件正确地路由到各个目录林,必须区分不同的目录林。

此外,要启用或禁用外出答复、自动答复、传递报告等邮件功能,可能必须配置全局设置。

当 GAL Synchronization 根据源目录林中的邮件收件人创建联系人时,将使用 SMTP 地址为每个联系人创建一个 TargetAddress 属性。因此,当目录林中的用户向某个联系人发送邮件时,该邮件将传递到该联系人的 TargetAddress 属性所指向的地址,即使用户手动输入了主答复地址,也是如此。为确定应将哪个 TargetAddress 分配给联系人,GAL Synchronization 会将收件人的 ProxyAddresses 属性与 Exchange 组织负责的 SMTP 地址进行比较。每个组织都必须具有唯一的 SMTP 域命名空间,以便联系人收到唯一的 TargetAddress。如果您的目录林没有唯一的命名空间,则对于包含要跨目录林进行复制的用户的每个 Exchange 组织,可以在相应的收件人策略中添加唯一的 SMTP 地址。完成此操作后,发送到联系人的邮件将直接路由到源目录林,由它负责将目标地址解析为实际的邮箱并传递邮件。

还可以在每个目录林的基础上路由联系人。当为 GAL synchronization 设置管理代理时,可以选择是否应将发送到已导入目录林的联系人的邮件通过源目录林重新路由回来。如果有连接到外部邮件系统的连接器,则默认情况下,原定于发送给某个联系人的邮件将路由到源目录林(即管理该连接器的目录林);但是,目录林管理员可以更改此路由配置。

note注意:
如果目录林中正运行 Exchange 5.5,则只要设置了双向连接协议,ADC 就会将第二个代理地址复制到 Exchange 5.5 目录中。

为了举例说明多目录林环境中的 SMTP 路由,请考虑这样两个目录林:每个目录林都有一个默认收件人策略,指定其 SMTP 代理地址为 contoso.com。要设置唯一的命名空间,应在每个 Exchange 组织中执行下列操作:

  • 在组织 1 中,将 SMTP 代理地址 Org1.contoso.com 添加到其默认收件人策略中。
  • 在组织 2 中,将 SMTP 代理地址 Org2.contoso.com 添加到其默认收件人策略中。

在这两种情况下,添加代理地址时,均应选中“此 Exchange 组织负责处理传递到此地址的所有邮件”复选框。此外,应保留 contoso.com 代理地址作为主地址,以便当用户发送邮件时,其答复地址为 user@contoso.com(而不是 user@Org1.contoso.com 或 user@Org2.contoso.com)。

另一个示例说明了中心辐射型拓扑中的邮件流。在该示例中,有多个 Exchange 组织,但所有用户的邮件地址都可以位于一个域空间(如 @example.com)中。在本例中,发送到 @example.com 的所有外部邮件都流入到名为 OrgA 的中心集线器组织。OrgA 配置了一些辅助的 SMTP 代理地址,用以表示中心以外的每个组织。其中之一是 @OrgB.example.com。当发送到 UserB@example.com 的邮件到达 OrgA 时,邮件将解析给联系人,并且邮件将重定向到 OrgB。当邮件离开 OrgA 时,“收件人”行会更改为 TargetAddress 属性指向的地址以便进行路由,但是“答复”地址仍保留为 UserB@example.com。

由于下列原因,将收件人从一个组织移动到另一个组织不会导致用户无法答复旧的电子邮件:

  • 邮件将保留 legacyExchangeDN 属性,以便收件人可以答复该邮件。
  • GAL Synchronization 为已移动的用户创建辅助的 X.500 代理地址,以便可以基于“legacyExchangeDN”属性将旧邮件正确路由到用户的新邮箱中。

例如,UserA 将邮件发送到同一个组织中的 UserB。之后,UserA 移动到了另一个组织。最初由 UserA 发送的邮件仍会指定 UserA 的“legacyExchangeDN”属性。GAL Synchronization 在原组织中为 UserA 创建联系人,并分配具有旧的“legacyExchangeDN”属性的 X.500 地址。通过此操作,UserB 可以答复旧邮件,而旧邮件反过来又会被正确路由到 UserA 的“TargetAddress”属性所指向的地址。如果邮箱移动多次,则辅助代理地址列表可能会变得很大。

如果要使用 SMTP 中继服务器将所有邮件从 Internet 路由到正确的目录林,则建议您设置 SMTP 中继服务器。在 SMTP 中继服务器上,创建用于连接到其他所有目录林的 SMTP 连接器,以便将邮件直接路由到每个目录林。通过这种配置,您可以根据负载平衡需求来添加 SMTP 服务器。还可以添加 SMTP 连接器,以便通过新的目录林路由所有出站 Internet 邮件。

要启用或禁用外出答复、自动答复以及传递报告等邮件功能,必须为相应的域配置 Internet 邮件格式。配置 Internet 邮件格式有三种方法可供选择:

  • 配置默认域 (*),以便所有域都具有相同设置。
  • 为每个 SMTP 命名空间添加单独的 Internet 邮件格式域(如 @OrgA.contoso.com),然后分别配置每个域。
  • 添加一个 Internet 邮件格式域来表示多个具有相同后缀的域(如 @*.contoso.com),然后分别配置每个条目。

“Internet 邮件格式”位于 Exchange 系统管理器中的“全局设置”下。

在有多个 Exchange 组织的公司中,通常要求能够协调不同 Exchange 组织中的用户的会议、约会和联系人信息。因此,要在目录林之间复制这些忙/闲系统文件夹,可以使用组织间复制工具。如果您的公司使用公用文件夹,则还可以使用组织间复制工具来跨 Exchange 组织共享公用文件夹数据。

note注意:
可以从 Exchange Server 2003 工具和更新网站 (http://go.microsoft.com/fwlink/?LinkId=21316) 下载组织间复制工具。

组织间复制工具由两个程序组成:Exchange 复制配置工具 (Exscfg.exe) 和 Exchange 复制服务 (Exssrv.exe)。Exscfg.exe 创建一个配置文件,Exssrv.exe 将使用该文件不间断地将一个服务器中的信息更新到另一个服务器。发送更新的服务器是发布者,接收更新的服务器是订阅者。所有复制都通过 MAPI 会话进行,而 MAPI 会话建立在组织中的服务器之间。

组织间复制工具将已启用邮箱的用户对象和联系人对象的忙/闲数据发布到其他组织(只要目标组织中存在由 GAL Synchronization 创建的对等联系人对象)。匹配联系人时所依据的是其 SMTP 地址。(设置组织间复制工具时,请使用“发布自定义收件人忙/闲数据”选项。)然后,可以将所有或部分忙/闲数据从一个组织复制到另一个组织。但是,忙/闲数据复制仅在一个方向上进行。因此,要双向更新忙/闲数据,必须配置两个会话。

不能使用组织间复制工具来修改通讯簿或目录。通讯簿的任何更改都不会传播到其他组织,而是必须在各个组织中分别进行这些更改。

与忙/闲数据类似,可以将所有或部分公用文件夹数据从一个组织复制到另一个组织。但是,与忙/闲数据不同的是,公用文件夹可以从发布者复制到订阅者,或同时在两个方向上进行,因此需要的会话较少。此外,组织间复制工具的单个实例最多可支持 15 个会话,这意味着一个公用文件夹可向多个发布者服务器进行订阅。既可以指定多个独立的文件夹,也可以同时指定文件夹和子文件夹。此外,可以配置复制频率、邮件和文件夹复制日志以及希望分配给复制过程的处理器资源。

important重要提示:
组织间复制工具不会复制公用文件夹的权限。公用文件夹复制到另一个目录林后,该目录林的管理员必须在公用文件夹上设置权限。

应该以网状配置还是中心辐射型配置方式来配置组织间复制工具,很大程度上取决于环境中组织的数目。网状配置最多支持 4 个组织。但是,如果有 4 个以上的组织,那么以中心辐射型配置方式来管理组织间复制工具可能更容易。

note注意:
对于组织间复制,建议不要使用环形拓扑。由于环形拓扑中可能存在很高的复制延迟,用户可能会在尚未收到复制更新的目录林中更新信息。因此,最新的更新将被复制的更新覆盖。环形拓扑的另一个问题是,如果一个连接中断,环路将断开。

要了解有关组织间复制工具的详细配置信息,请下载该工具。有关组织间复制工具的详细信息,请参阅下面的 Microsoft 知识库文章:

要将帐户和邮箱从一个 Exchange 2000 或 Exchange 2003 组织迁移到另一个单独的 Exchange 2000 或 Exchange 2003 组织中,建议首先使用 Active Directory 迁移工具 (ADMT),然后再使用 Exchange 迁移向导。

首先,运行 ADMT 以便在 Active Directory 中创建活动的用户帐户。建议选择迁移 SID 的选项,以便 ADMT 将源帐户的 SID 添加到新目标帐户的 SID 历史记录属性中。(在下一步中,迁移向导将使用 SID 使邮箱与帐户匹配。)

note注意:
要迁移 SID,目标 Windows 域必须处于纯模式下。

迁移帐户后,使用迁移向导迁移邮箱。如果在运行 ADMT 后迁移了 SID,则迁移向导将使用 SID 使邮箱与新的帐户相匹配,然后将该帐户转换为已启用邮箱的用户帐户。如果在第一步中未迁移 SID,则迁移向导将无法使邮箱与帐户匹配,而会创建禁用的用户帐户来与邮箱相关联。

某些情况下,可能必须在迁移帐户之前迁移邮箱。在这些情况下,迁移向导将创建禁用的用户帐户以便保留邮箱,然后使新邮箱与外部 Windows NT 帐户相关联。之后,当您使用 ADMT 迁移帐户时,将在 Active Directory 中创建新帐户。因此,Active Directory 中包含与同一个用户有关的两个对象。要合并这些重复的对象,应使用 Active Directory 帐户清理向导 (Adclean.exe)。Adclean.exe 与 Exchange 一起安装,可以从 Exchange 系统管理器中对其进行访问(单击“开始”,依次指向“程序”、“Microsoft Exchange”和“部署”,然后单击“Active Directory 帐户清理向导”)。

下面列举了跨目录林移动邮箱的局限性。请在规划时考虑这些因素,并告诉用户移动前后必须执行的操作:

  • Outlook 配置文件无法解析跨目录林移动过的用户。用户移动后,必须使用用户已移动到的新服务器名更新配置文件。Exchange 配置文件更新工具 (Exprofre.exe) 是运行在客户端计算机上、用来自动更新用户的 Outlook 配置文件的命令行工具。Exprofre.exe 将修改默认的 Outlook 配置文件,以便用户可以在邮箱移动后成功地登录到其邮箱。可从 Exchange Server 2003 工具和更新网站 (http://go.microsoft.com/fwlink/?linkid=21316). 上获取此工具。
  • 如果在 Outlook 中使用了缓存 Exchange 模式功能,请确保在迁移帐户后,将新的配置文件与用户计算机上的正确 .ost 文件相关联。这样,便无需重新同步 .ost 文件。此外,在移动用户之前,确保用户已将其所有的脱机文件与 Exchange 服务器同步。
  • 跨目录林移动的过程中不保留邮箱访问控制列表 (ACL) 或委派权限。
  • 移动过程中不迁移已发布的证书。此外,移动后您将无法恢复密钥管理服务证书。只有包含域名的证书才能够恢复。
  • 跨目录林移动的过程中不会保留规则。

有关使用 Exchange 迁移向导的详细信息,请参阅《Exchange Server 2003 部署指南》(http://go.microsoft.com/fwlink/?linkid=47569).

 
显示: