Active Directory 樹系拓撲

  • 發行項

 

適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上次修改主題的時間: 2007-08-01

Microsoft Windows Server 2003 與 Microsoft Exchange Server 2007 都靠 Active Directory 目錄服務提供目錄服務,因此您必須決定如何將 Exchange 2007 整合至 Active Directory 結構中。Active Directory 包含下列邏輯元素,結合起來可定義 Active Directory 拓撲:

  • 樹系
  • 一或多個網域
  • 一或多個 Active Directory 站台

Active Directory 樹系

「樹系」代表目錄服務的最外圍界限。樹系是在連續安全性範圍的範圍內運作,使樹系內的所有資源都隱含地彼此信任,不管其於樹系中所在位置為何。每個樹系內都有目錄服務的共同目錄架構與組態。樹系可由一或多個網域構成。樹系拓撲有兩種:單一樹系及多重樹系。

單一樹系拓撲

在單一樹系拓撲中,Exchange 安裝於橫跨整個組織的單一 Active Directory 樹系中。所有使用者與群組帳戶及所有 Exchange 組態資訊都位於相同樹系中。

如果組織具有單一 Active Directory 樹系,則可在該樹系中實作 Exchange 2007。建議使用單一樹系 Exchange 設計,因為它提供最豐富的電子郵件系統功能,也因為它具有最簡化的管理模式。由於所有資源都包含在單一樹系中,因此一個全域通訊清單 (GAL) 會包含樹系中的所有使用者。下圖說明此案例。

在單一樹系中部署 Exchange

單一樹系選項提供了以下優點:

  • 提供最豐富的一組電子郵件系統功能。
  • 提供簡化的管理模式。
  • 利用現有的 Active Directory 結構。
  • 使用現有的網域控制站和通用類別目錄伺服器。
  • 不需要 GAL 同步處理。

與單一樹系相關的主要缺點是系統管理員必須決定如何共同承擔或劃分 Active Directory 與 Exchange 物件的管理責任。

多重樹系拓撲

因為單一樹系拓撲所提供的郵件功能最豐富,所以建議使用單一樹系拓撲,然而有各種理由會讓您想要實作多重樹系。其原因包括:

  • 您擁有多個業務單位,其需要有獨立的郵件傳遞服務。
  • 您擁有多個業務單位,各自具有不同的架構需求。
  • 您將面臨合併收購或分割的情況。

不管什麼原因,在業務單位之間建立嚴格界限的唯一方法就是為每一個業務單位建立個別的 Active Directory 樹系。如果這是您的 Active Directory 組態,則實作 Exchange 的偏好方法就是建立 Exchange 資源樹系。如需 Exchange 資源樹系的相關資訊,請參閱本主題中稍後的<資源樹系拓撲>。

不過,有幾個案例可能不適合使用資源樹系 (例如,合併或收購,或多重樹系已在執行自己的 Exchange 執行個體時)。在這些情況中,可以實作跨樹系拓撲。

跨樹系拓撲

在跨樹系拓撲中,公司擁有多個 Active Directory 樹系,每個樹系都包含 Exchange 組織。不同於資源樹系拓撲,使用者帳戶與其信箱是不分開的。也就是說,使用者帳戶與其相關的信箱會位於相同的樹系中。

實作跨樹系拓撲的主要優點是可以維護 Exchange 組織間的資料獨立與安全性界限。與此拓撲相關的缺點包含:

  • 無法提供最豐富的郵件傳遞功能。
  • 除非目標樹系中的代理人有一個連絡人,或除非您同時移動代理人信箱,否則將信箱從某個樹系移到另一個樹系時,不會保留信箱代理人權限。
  • 雖然您可以在不同樹系間進行空閒/忙碌資訊的同步處理,並藉以排定會議,但您無法使用 Microsoft Office Outlook 中的 [開啟其他使用者的資料夾] 功能,來檢視其他樹系中使用者的行事曆詳細資料。
  • 來自於其他樹系的群組即代表連絡人,因此您無法檢視群組的成員。群組成員資格必須等到郵件傳送到包含以連絡人表示之群組的樹系後,才會擴大。
  • 需要跨樹系目錄物件的同步處理以及空閒/忙碌資料資訊的複寫。目錄同步處理最常用的解決方案是 Microsoft Identity Integration Server (MIIS) 2003 Service Pack 2 (SP2) 或 Identity Integration Feature Pack for Microsoft Windows Server Active Directory (含 SP2)。Exchange 2007 中的可用性服務可用來在不同樹系中 Exchange 組織間共用空閒/忙碌資訊及行事曆資訊。

具有多個樹系的複雜 Exchange 組織

資源樹系拓撲

在某些情況中,您可能必須設定專用於執行 Exchange 的獨立 Active Directory 樹系。例如,您可能有想要保留的現有 Active Directory 樹系。或者,您可能必須劃分 Active Directory 物件與 Exchange 物件的管理。因此,您可能會想要設定專用於執行 Exchange 的獨立 Active Directory 樹系。獨立的專用樹系稱為 Exchange 資源樹系。在資源樹系模型中,安裝 Exchange 的 Active Directory 樹系與安裝使用者、電腦及應用程式伺服器的 Active Directory 樹系是不同的。需要 Active Directory 管理與 Exchange 管理間之安全性界限的公司通常會使用此選項。

Exchange 資源樹系專用於執行 Exchange 及主控信箱。包含使用者帳戶的一或多個樹系稱為「帳戶樹系」。帳戶樹系與 Exchange 資源樹系是不同的。會在帳戶樹系與 Exchange 資源樹系間建立單向信任,允許 Exchange 樹系信任帳戶樹系,讓帳戶樹系中的使用者獲得 Exchange 資源樹系中信箱的存取權。因為 Exchange 組織無法跨越 Active Directory 樹系界限,所以在 Exchange 資源樹系中建立的每個信箱都必須在 Exchange 資源樹系中具有對應的使用者物件。Exchange 資源樹系中的使用者物件絕不會有使用者登入,且會停用以避免成為受攻擊點。通常使用者甚至不會注意有重複的帳戶存在。Exchange 資源樹系中的帳戶已停用且不會用於登入用途,因此來自帳戶樹系的使用者真實帳戶必須獲得登入信箱的存取權。存取權的授與方法是在 Exchange 資源樹系已停用之使用者物件的 msExchMasterAccountSID 屬性中加入帳戶樹系使用者物件的安全性識別碼 (SID)。

使用 Exchange 資源樹系時,有可能不需要進行目錄同步處理。從 Exchange 和 Outlook 的角度來看,列於目錄服務中的所有物件都出自單一位置 (在本例中即為主控 Exchange 資源樹系的目錄服務)。不過,如果帳戶樹系中有 GAL 相關資料,則必須進行同步處理,將資料送入 Exchange 資源樹系供 GAL 使用。此外,您可能需要設定處理程序,以便在帳戶樹系中建立帳戶時,於 Exchange 資源樹系中建立停用的帳戶與信箱。

來自帳戶樹系的已啟用使用者會與附加到資源樹系中已停用使用者的信箱關聯。此組態可讓使用者存取位於不同樹系中的信箱。在此案例中,您會設定資源樹系與帳戶樹系間的信任關係。您可能也必須設定提供處理程序,讓管理員每一次在帳戶樹系中建立使用者時,都會在 Exchange 資源樹系中建立停用的使用者與信箱。

由於所有 Exchange 資源都包含在單一樹系中,因此單一 GAL 會包含樹系中的所有使用者。專用 Exchange 樹系案例的主要優點是 Active Directory 與 Exchange 管理間的安全性界限。

與此拓撲相關的缺點包含:

  • 實作資源樹系以隔離 Exchange 與 Active Directory 管理,不過,與部署資源樹系相關的成本可能會超過此隔離的需要。
  • 需要在執行 Exchange 的 Microsoft Windows 站台中安裝其他網域控制站及通用類別目錄伺服器,因而增加成本。
  • 需要提供處理程序,以便 Active Directory 更新能反映在 Exchange 中。在一個樹系中建立物件時,必須確定會在其他樹系中建立對應的物件。例如,若在一個樹系中建立使用者,請確定會在其他樹系中為該使用者建立預留位置。您可以手動建立對應的物件,也可以自動進行此處理程序。

資源樹系案例的變形是多重樹系,其中有一個樹系主控 Exchange。如果您有多個 Active Directory 樹系,Exchange 的部署方式取決於您要維護的樹系間自治程度。擁有需要目錄物件之安全性 (樹系) 界限的業務單位,但可共用 Exchange 物件的公司,可能會選擇在其中一個樹系中部署 Exchange,並使用它來主控公司其他樹系的信箱。由於所有 Exchange 資源都包含在單一樹系中,因此一個 GAL 會包含所有樹系中的所有使用者。

與此案例相關的主要缺點包含:

  • 使用現有的 Active Directory 結構。
  • 使用現有的網域控制站和通用類別目錄伺服器。
  • 提供樹系間的嚴格安全性界限。

與此案例相關的缺點包含:

  • 需要提供處理程式,以便 Active Directory 更新能反映在 Exchange 中。例如,您可以建立指令碼,使得在樹系 A 中建立新 Active Directory 使用者時會在樹系 B 中產生擁有信箱功能而權限停用的物件。
  • 需要樹系管理員決定如何共同承擔或劃分 Active Directory 與 Exchange 物件的管理責任。

具有資源樹系的複雜 Exchange 組織

Active Directory 網域

網域是共同管理的一群安全性主體與其他物件。網域具有彈性。網域構成的實作部份可由系統管理員自行斟酌。例如,網域可代表位於單一實體位置的一群使用者和電腦,也可代表跨許多位置或廣大地理區的所有使用者和電腦。隨著管理與基礎結構支援合併的發生,跨廣大地理區部署網域以降低支援成本變得相當常見。不過,隨著目錄服務範圍的增加,必須能夠盡可能有效率地使目錄存取對準適當的資源。

Active Directory 站台

Active Directory 站台代表 Active Directory 內具有可靠連線之電腦的邏輯群組。有了 Active Directory 站台,即可分割用戶端電腦以使用一組或一群特定的目錄資源。Active Directory 站台是一或多個連線良好的 TCP/IP 子網路,可讓系統管理員設定 Active Directory 存取與複寫。這些子網路或許會與實體拓撲對應。

下圖說明一些較常部署的 Active Directory 邏輯定義與實體位置間關係。

樹系、網域、位置及站台

Active Directory 部署案例

將 Exchange 與 Active Directory 整合的主要案例有四個:

  • 單一樹系
  • 資源樹系
  • 跨樹系
  • 合併和收購

下表摘錄每個案例的優點。

Active Directory 案例 描述 為何使用此案例

單一樹系

使用者及其信箱包含於同一樹系中。
  • 最豐富的郵件系統功能
  • 簡化的管理
  • 使用現有的 Active Directory 結構
  • 不需要與其他樹系進行同步處理

資源樹系

一個樹系專用於執行 Exchange 及主控 Exchange 信箱。與信箱關聯的使用者帳戶包含於一或多個不同的樹系中。
  • Active Directory 與 Exchange 管理間的安全性界限
  • 更容易在多重樹系環境中部署 Exchange
  • 有限控制網路及使用者帳戶基礎結構

跨樹系

Exchange 會在不同樹系中執行,但電子郵件功能可跨樹系使用。
  • 多個業務單位需要資料與服務隔離
  • 多個業務單位具有個別的架構需求
  • 合併、收購或分割

合併和收購

合併與收購常涉及 Exchange 組織合併前的共存。其規劃考量與多重樹系案例的規劃考量類似,但還要加上額外的遷移考量。

合併與收購是多重樹系部署的特例,需要額外注意遷移問題

若要確保您目前閱讀的是最新資訊,並尋找其他的 Exchange Server 2007 說明文件,請造訪 Exchange Server 技術資源中心.