Active Directory 林拓扑
适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上一次修改主题: 2007-08-01
由于 Microsoft Windows Server 2003 和 Microsoft Exchange Server 2007 均依赖于 Active Directory 目录服务来提供目录服务,所以,必须确定如何将 Exchange 2007 集成到您的 Active Directory 结构中。Active Directory 包含下列逻辑元素,可以组合起来定义 Active Directory 拓扑:
林
一个或多个域
一个或多个 Active Directory 站点
Active Directory 林
“林”代表目录服务最外面的边界。林在一个连续安全上下文的上下文中进行操作,这样林中的所有资源不管它们在林中的位置如何都毫无疑问地彼此信任。每个林中都有一个目录服务的公用目录架构和配置。一个林可以由一个或更多域组成。有两种类型的林拓扑:单林和多林。
单林拓扑
在单林拓扑中,Exchange 被安装到跨越整个组织的单个 Active Directory 林中。所有用户和组帐户以及所有 Exchange 配置信息都位于同一个林中。
如果您的组织具有单个 Active Directory 林,则可以在该林中实现 Exchange 2007。建议采用单林 Exchange 设计,因为它可提供最为丰富的电子邮件系统集,并且具有最完善的管理模型。由于所有资源均包含在一个林中,因此一个全局地址列表 (GAL) 中包含整个林中的所有用户。下图显示了此方案。
在单个 Active Directory 林中实现 Exchange 的两个示例
.gif "在单个林中部署 Exchange")
单林选项具有下列优点:
提供最为丰富的电子邮件系统功能集。
提供简化的管理模型。
利用现有的 Active Directory 结构。
使用现有的域控制器和全局编录服务器。
不需要 GAL 同步。
使用单林的主要缺点是,管理员必须确定如何分配或划分管理 Active Directory 和 Exchange 对象的职责。
多林拓扑
虽然建议采用单林拓扑(因为它可提供最为丰富的邮件功能集),但是在某些情况下,仍需要实现多林。这样做的原因包括:
您有多个要求隔离邮件服务的业务单位。
您有多个具有不同架构需求的业务单位。
您面临着合并、收购或资产剥离。
无论是哪一种原因,建立严格的业务单位边界的唯一方法是:为每个业务单位创建一个单独的 Active Directory 林。如果这是您的 Active Directory 配置,则实现 Exchange 的首选方法是创建 Exchange 资源林。有关 Exchange 资源林的详细信息,请参阅本主题后面的“资源林拓扑”。
但是,在一些方案中,资源林可能不可行,例如,对于合并或收购的情况或者当多个林已经在运行其自己的 Exchange 实例时。在这些情况下,可以实现跨林拓扑。
跨林拓扑
在跨林拓扑中,公司有多个 Active Directory 林,其中每个林都包含一个 Exchange 组织。与资源林拓扑不同,用户帐户并不与其邮箱分开,而是与其关联的邮箱位于同一个林中。
实现跨林拓扑的主要优点是,可以维护 Exchange 组织之间的数据隔离和安全边界。与此拓扑有关的缺点包括:
不能提供最为丰富的邮件功能集。
除非目标林中存在委派的联系人或者同时移动委派邮箱,否则将邮箱从一个林移动到另一个林时,不会保留邮箱委派权限。
虽然可以跨林同步忙/闲信息并使用该信息安排会议,但不能使用 Microsoft Office Outlook 中的“打开其他用户的文件夹”功能查看另一个林中用户的日历详细信息。
由于将另一个林中的组表示为联系人,因此无法查看该组的成员。将邮件发送给包含被表示为联系人的组的林之前,不会扩展组成员身份。
要求跨林同步目录对象,并复制忙/闲数据信息。目录同步最常用的解决方案是 Microsoft Identity Integration Server (MIIS) 2003 Service Pack 2 (SP2) 或 Identity Integration Feature Pack for Microsoft Windows Server Active Directory with SP2。Exchange 2007 中的可用性服务可以用于在不同林中的 Exchange 组织之间共享忙/闲信息和日历信息。
跨林拓扑中的 Exchange
.gif "具有多个林的复杂 Exchange 组织")
资源林拓扑
某些情况下,可能需要设置专门运行 Exchange 的独立 Active Directory 林。例如,您可能要保留现有的 Active Directory 林。或者,需要分割 Active Directory 对象和 Exchange 对象的管理。因此,可能需要设置专门运行 Exchange 的独立 Active Directory 林。独立专用的林是指 Exchange“资源林”。在资源林模型中,Exchange 安装在独立于安装用户、计算机和应用程序服务器的 Active Directory 林的 Active Directory 林中。要求 Active Directory 管理和 Exchange 管理之间存在安全边界的公司通常使用此选项。
Exchange 资源林专门用于运行 Exchange 和承载邮箱。用户帐户包含在称为“帐户林”的一个或多个林中。帐户林独立于 Exchange 资源林。在帐户林与 Exchange“资源林”之间建立单向信任,允许 Exchange 林信任帐户林,这样就会为帐户林中的用户授予对 Exchange 资源林中邮箱的访问权限。因为 Exchange 组织不能跨过 Active Directory 林边界,所以在 Exchange 资源林中创建的每个邮箱都必须在 Exchange 资源林中有相应的用户对象。用户绝不会登录到 Exchange 资源林中的用户对象,并且这些对象将处于禁用状态以防止被利用。用户通常甚至不知道存在重复的帐户。因为 Exchange 资源林中的帐户处于禁用状态,不能用于登录,所以必须为帐户林中用户的真实帐户授予可登录到邮箱的访问权限。访问权限的授予是通过在 Exchange 资源林中已禁用用户对象的msExchMasterAccountSID 属性中,包括帐户林用户对象的安全标识符 (SID) 来实现的。
使用 Exchange 资源林时,可能不要求目录同步。从 Exchange 和 Outlook 的角度,目录服务中列出的所有对象都来源于一个位置,在本例中为托管 Exchange 资源林的目录服务。但是,如果帐户林中存在与 GAL 有关的数据,则必须进行同步才能使数据进入 Exchange 资源林中以便 GAL 使用。此外,您可能需要设置一个过程,以便在帐户林中创建帐户时,在 Exchange 资源林中创建具有邮箱的禁用帐户。
帐户林中的已启用用户与属于资源林中的已禁用用户的邮箱相关联。通过这种配置,用户可以访问驻留在不同林中的邮箱。在该方案中,需要在资源林与帐户林之间配置信任关系。可能还需要设置一个供应进程,以便管理员每次在帐户林中创建一个用户时,都会在 Exchange 资源林中创建一个拥有邮箱的已禁用用户。
由于所有 Exchange 资源都包含在一个林中,因此一个 GAL 包含该林中的所有用户。专用 Exchange 林方案的主要优点是 Active Directory 和 Exchange 管理之间具有安全边界。
与此拓扑有关的缺点包括:
实现资源林虽然允许分离 Exchange 与 Active Directory 管理,但是,与部署资源林关联的成本可能超过对此分离的需要。
要求在运行 Exchange 的 Microsoft Windows 站点中安装额外的域控制器和全局编录服务器,从而增加了成本。
要求设置过程,以使 Active Directory 更新在 Exchange 中得到反映。在一个林中创建对象时,必须确保会在另一个林中创建相应的对象。例如,如果在一个林中创建了用户,则应确保会在另一个林中为该用户创建相应的占位符。可以手动创建相应的对象,也可以自动执行此过程。
资源林方案的另一种形式是,在多个林中只有一个林驻留 Exchange。如果有多个 Active Directory 林,则如何部署 Exchange 取决于需要在林之间保持的自主程度。如果公司因为由多个业务单位构成而要求目录对象具有安全(林)边界,但允许共享 Exchange 对象,则可以选择将 Exchange 部署在其中的一个林中,并用它来承载公司中其他林的邮箱。由于所有 Exchange 资源都包含在一个林中,因此一个 GAL 中包含所有林中的所有用户。
与此方案相关联的主要优点包括:
使用现有的 Active Directory 结构。
使用现有的域控制器和全局编录服务器。
在林之间提供严格的安全边界。
与此方案相关联的缺点包括:
要求供应过程,以使 Active Directory 更新在 Exchange 中得到反映。例如,可以创建一个脚本,以便在林 A 中新建 Active Directory 用户时会生成一个已启用邮箱的对象,该对象具有一定权限,并在林 B 中被禁用。
要求林管理员确定如何分配或划分管理 Active Directory 和 Exchange 对象的职责。
资源林拓扑中的 Exchange
.gif "具有资源林的复杂 Exchange 组织")
Active Directory 域
域是对共同接受管理的安全主体和其他对象的分组。域很灵活。域的组成的实现是开放的,并由管理员来决定。例如,域可以代表位于单个物理位置的一组用户和计算机,也可以代表跨很多位置或大范围地理地区的所有用户和计算机。随着管理和基础结构支持的加强,通常要部署跨大范围地理区域的域以降低支持成本。但是,随着目录服务作用域的增加,需要提高目录访问的效率,使其可以尽可能高效地访问到适当资源。
Active Directory 站点
Active Directory 站点代表在 Active Directory 中具有可靠连接的计算机的逻辑分组。通过 Active Directory 站点,可以对客户端计算机进行分区以使用特定目录资源集或组。Active Directory 站点是允许管理员配置 Active Directory 访问和复制的连接良好的一个或多个 TCP/IP 子网。这些子网可能与物理拓扑相对应,也可能不与其相对应。
下图显示了在 Active Directory 逻辑定义和物理位置之间一些较为常见的部署关系。
林、域、位置和站点
.gif "林、域、位置和站点")
Active Directory 部署方案
对于 Exchange 与 Active Directory 的集成,有四种主要方案:
单林
资源林
跨林
合并和收购
下表概述了每种方案的优点。
| Active Directory 方案 | 说明 | 为什么使用此方案 |
|---|---|---|
单林 |
用户及其邮箱包含在同一林中。 |
|
资源林 |
有一个林专用于运行 Exchange 和承载 Exchange 邮箱。与邮箱关联的用户帐户包含在一个或多个单独的林中。 |
|
跨林 |
尽管 Exchange 在独立的林中运行,但是可跨林使用电子邮件功能。 |
|
合并和收购 |
合并和收购通常涉及到各 Exchange 组织在合并之前相互之间的共存。规划时应考虑的因素与多林方案类似,但增加了迁移方面的考虑因素。 |
对于需要额外注意迁移问题的多林部署,合并和收购是一种特殊情况 |