大型 Exchange 組織的規劃
適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上次修改主題的時間: 2011-06-21
隨著業務量的成長,其基礎結構也會跟著增大。這樣的成長通常伴隨著複雜度的增加以及安全性方面的新挑戰。Microsoft Exchange Server 2007 中有四種已定義的組織模型,大型 Exchange 組織是可在單一 Active Directory 目錄服務樹系環境中部署的最大組織模型。大型 Exchange 組織的不同特點包含:
五個以上的路由群組,或五個以上的 Active Directory 站台,站台中至少具有一部已部署的 Exchange 伺服器。多個位置及 Active Directory 站台導入多站台路由通訊協定、角色搜索演算法以及使用 IP 站台連結的需求。
.gif "note")
附註:多個路由群組只存在於大型 Exchange 組織中,該組織包含 Exchange 2007 以及 Exchange Server 2003 或 Exchange 2000 Server 其中之一 (或兩者)。在純 Exchange 2007 環境中,所有伺服器都屬於單一路由群組。 單一 Active Directory 樹系。採用第二個或後續樹系,或採用目錄同步化工具 (如 Microsoft Identity Integration Server),可自動將拓撲重新定義為複雜 Exchange 組織。如需複雜 Exchange 組織的相關資訊,請參閱複雜 Exchange 組織的規劃。
服務傳遞位置 (SDL) 及用戶端服務位置 (CSL) 位在多個實體位置上,而且彼此間通常有較大的區隔。
雖然在此拓撲中,Exchange 組織包含多個存在點,但外部訊息及用戶端通訊協定特定的名稱空間對於大部份或所有位置都是通用的。
具有上述所列之所有特點的 Exchange 組織即視為大型 Exchange 組織。
單一及多個 Active Directory 網域
單一網域拓撲包含所有案例,可針對所有使用者和電腦物件於該拓撲中部署單一 Active Directory 網域。在單一網域模型下,所有電腦物件都會使用通用網域名稱尾碼,而網域名稱尾碼與 Active Directory 所使用的網域名稱空間相符。
大型 Exchange 組織通常含有多個 Active Directory 網域。在 Active Directory 樹系內,網域的組織結構有極大的變異性。一般而言,由於地理界限不像業務單位變動頻繁,因此以地理界限為基礎的網域模型比以業務單位界限為基礎的網域模型具有更長的使用期限且更具彈性。雖然不是多個網域環境的需求,還是建議您盡可能部署以地理為基礎的網域。
最重要的多個網域模型為父系/子系網域關係。在此模型中,會先部署根或父系網域,以提供樹系的名稱空間。另外同樣重要的功能為避免網域的增加以及樹系的擴張。新增網域到樹系中需要有根網域的管理存取權,而一般只有極少數的人員具有根網域的管理存取權。安裝父系網域之後,可以新增一或多個子系網域。子系網域為隸屬於父系網域的網域。通常會在子系網域安裝使用者帳戶、檔案伺服器,以及應用程式伺服器。在一般的 Active Directory 拓撲中,網域的名稱空間是連續的,並且會反映已部署之網域的階層。例如,如果根網域的名稱為 abrikam.com,則子系網域名稱可以包含 us.fabrikam.com、eu.fabrikam.com 及 asia.fabrikam.com。
在第一層子系網域後,還可以部署其他階層。這些階層通常稱為孫系網域。若要簡化 Exchange 環境,建議您不要使用孫系網域來主控 Exchange,且 Exchange 伺服器成員資格限制為子系網域。這個方法不表示不能使用孫系網域來主控擁有信箱功能的使用者。所有樹系中的使用者彼此間都具有轉移信任,只要樹系中所有網域的網域名稱系統 (DNS) 能正確運作,這個使用者及伺服器的設定應該就能正常運行。
| 附註: |
|---|
| 使用孫系網域時,可能需要在樹系中的每台主機上額外設定 DNS 尾碼搜尋順序,才能正常運作。 |
對於多個父系/子系網域關係而言,最簡單的執行方式是將所有網域部署在單一位置上。這種拓撲並不常見,而且它通常包含網域間之管理責任的區隔。父系/子系網域關係中比較常見的部署實例為依照 SDL 界限部署網域。
專用的 Active Directory 站台
在單一的 SDL 外支援高度集中的 Exchange 伺服器及用戶端,會需要大量的目錄服務。除了 Exchange 之外,增加需要目錄服務、用戶端驗證或目錄複寫的其他應用程式會導致 Exchange 的性能及效能明顯降低。若要減輕目錄服務擁擠的狀況,目前最好的作法是建立專用的 Active Directory 站台,使用專用的網域控制站及通用類別目錄伺服器來主控 Exchange 伺服器。藉由將 SDL 區段化為多個 Active Directory 站台,便可區隔 Exchange 伺服器及 Microsoft Outlook 用戶端所產生的目錄流量與其它的目錄服務流量。
| 附註: |
|---|
| 此時,Exchange 2007 正在進行效能及延展性的測試及調整,包括測試含 64 位元目錄伺服器之系統的效能特性。完成此項測試之後,將會再次複查這個最佳作法,然後提供補充資訊。 |
若是主控專用 Exchange Active Directory 站台的位置,則可以將外部網域控制站置於相同的 Active Directory 站台中 (該站台將用於一般用戶端驗證,而不是專用的 Exchange Active Directory 站台),但前提是兩個 Active Directory 站台間有一個直接的 IP 站台連結,並且是透過 SDL 來維護信箱擁有權的區隔。
大型 Exchange 組織的範例
大型 Exchange 組織具有多樣性。然而,大型 Exchange 組織一般具有通用屬性。例如,即使沒有在所有位置上部署 Exchange,Exchange 所支援的實體位置數也會增加。此外,許多大型的 Exchange 組織具有多個連接網際網路的出口點,通常在維護單一傳訊及用戶端通訊協定名稱空間的同時,也會使用多個網際網路服務提供者 (ISP)。
- 圖 1 說明大型 Exchange 組織的範例。
圖 1 大型 Exchange 組織
.gif "大型 Exchange 組織拓撲")
大型 Exchange 組織的規劃考量
在部署的規劃階段期間,以及在大型 Exchange 組織中部署任何 Exchange 2007 伺服器之前,建議您考量以下幾點:
部署多個網域模型後,網域控制站取代應該如此:在 Exchange 物件上作為安全性原則的所有網域應該對主控許多 Exchange 資源的位置具有極佳的連線能力。這在 Exchange 伺服器彙總案例中尤其重要。
當組織逹到一定大小,足以要求專用的 Active Directory 站台供 Exchange 使用時,跨主要資料中心位置複寫是常見的設定。這個做法將會引進必須計入拓撲搜索的額外複寫連結,以及不具任何 Exchange 的 Active Directory 站台。
當網域界限是以業務單位界限為基礎,而不是以地理界限為基礎時,網域及 SDL 發佈可能會常常明顯出現重疊的情形。發生此狀況時,單一 Exchange 伺服器或 Exchange 伺服器群組最後會從通用 SDL 之外的多個網域主控資源。由於對每個網域、對來自 Outlook 用戶端的通訊群組清單管理,以及對通用類別目錄伺服器之用戶端轉介的額外驗證需求,這種基礎架構的共用對於目錄資源的需求以及對於每個受影響網域之額外網域控制站的需求會增加。因為 Exchange 伺服器會傳送通用類別目錄伺服器轉介至用戶端 (該用戶端會從主控信箱帳戶的網域併入通用類別目錄伺服器),所以適當網域中必須有一定比例的通用類別目錄伺服器可供用戶端使用。若是在使用專用 Exchange Active Directory 站台的情況下,這表示必須將每個網域 (Exchange 伺服器會為其主控資源) 的網域控制站併入 Exchange Active Directory 站台。
部署大型 Exchange 組織時,需要慎重考慮可提供高可用性的部署選項。在 Exchange 2007 中,有多個解決方案可用來提供每個伺服器角色的高可用性。如需 Exchange 2007 之高可用性策略及功能的相關資訊,請參閱高可用性。
轉換大型的 Exchange 組織
如果您要從現有的 Exchange Server 2003 或 Exchange 2000 Server 組織轉換至 Exchange 2007 組織,請注意,您無法執行伺服器的就地升級。您必須將一或多部 Exchange 2007 伺服器新增至現有組織、將信箱與其他資料移至 Exchange 2007,然後將 Exchange 2003 或 Exchange 2000 伺服器從組織中移除。
如需部署及轉換至大型 Exchange 2007 組織的相關資訊,請參閱部署大型 Exchange 組織。