当Exchange管理员正沉浸在使用最新版本Exchange的兴奋中时,活动目录(AD)管理员则不得不耐心等待Windows Server 2008(先前代号Longhorn)及其更新的活动目录支持。对于使用活动目录而又热心关注微软最新技术的人来说,好消息就是可以立即开始学习有关活动目录和Microsoft Exchange Server 2007的集成,实际上,将来你需要和管理Exchange的同事更加紧密配合。下面就让我们看看Exchange Server 2007为经常使用活动目录的IT专家提供的最常用的功能。
活动目录需求
同所有Exchange 5.5之后的版本一样,Exchange Server 2007需要活动目录的支持,不过,也并不是任何活动目录环境都可以安装Exchange Server 2007。首先,保存架构主机(Schema Master)角色的域控制器(DC)必须运行Windows Server 2003 SP1或更新版本的操作系统,其次,Exchange Server 2007的安装需要在活动目录站点中至少有一个域控制器作为可用的全局目录服务器,该全局目录服务器必须也运行Windows Server 2003 SP1或更新版本的操作系统。
对于围绕着Exchange Server 2007和64位架构的所有天花乱坠的宣传,虽然微软推荐使用64位的域控制器可以增强目录服务的性能,但是活动目录管理员会发现域控制器并不是必须运行64位的操作系统。实际上,很多案例显示,64位域控制器在系统强化和扩展性上表现更加突出。微软并不支持在Windows Server 2008上运行Exchange Server 2007,而必须等待Exchange Server 2007 SP1的推出。Exchange Server 2007也不支持在同一活动目录站点中运行RTM版本之前的Windows Server 2008域控制器。不过,运行Windows Server 2008的可写域控制器将能支持Exchange Server 2007,而对于Windows Server 2008的只读域控制器,则不支持任何版本的Exchange。
微软强调,不推荐在域控制器上安装Exchange Server 2007,这同之前版本的Exchange安装建议一致。安装Exchange Server 2007或者是将要托管Exchange Server 2007收件人的每个域,必须是Windows 2000纯模式域功能级别或更高级别,而对于特定的森林功能级别则没有类似的要求。
森林和域准备
同先前的Exchange Server 2003和Exchange 2000 Server一样,Exchange Server 2007是活动目录的重量级用户,为了支持Exchange Server 2007,同时需要在域和森林级别修改活动目录的许多地方。不足为奇,Exchange Server 2007需要活动目录模式的一个扩展,所有的修改都先在这个扩展模式中进行,在经过严格测试之后才可以部署到生产环境。如果你了解Exchange Server 2003和Exchange 2000 Server的ForestPrep及DomainPrep安装选项,也一定不难掌握Exchange Server 2007的同样设置,虽然它们在Exchange Server 2007中改了名称。
在Exchange Server 2007中一个新的安装参数是/PrepareLegacyExchangePermissions,用于为森林中已经运行了Exchange Server 2003或Exchange 2000 Server的组织准备Exchange Server 2007的安装环境,这个选项可以用于运行在森林中的所有域或指定的域。
森林和域的准备包括以多个命令行参数运行Exchange Server 2007的安装文件(setup.exe),在Exchange Server 2007安装介质的根目录可以找到setup.exe文件。
以下命令用于准备森林中的所有域:
setup /PrepareLegacyExchangePermissions
请注意,运行该命令的用户帐号必须是“企业管理员组”的成员。以下命令则用于准备森林中的一个独立域:
setup /PrepareLegacyExchangePermissions <Fully Qualified Domain Name—FQDN—of domain to prepare>
例如,如果域名称为eastern.com,则命令为:
setup /PrepareLegacyExchangePermissions eastern.com
对于这个选项,用户帐号在组织级别必须具有“Exchange完全管理员”权限,且属于准备对象域的“域管理员组”。
如果在运行其它Exchange安装选项前希望扩展森林模式,可以使用以下带有/PrepareSchema参数的setup.exe命令:
setup /PrepareSchema
如果还没有运行过/PrepareLegacyExchangePermissions参数命令,则可以结合使用。需要注意的是,运行该命令的用户必须是“模式管理员组”和“企业管理员组”的成员。
模式准备包括将多个(准确地说是99个).ldf文件导入活动目录,如果你想查看这些文件,可以在安装介质的<DriveLetter>:SetupData文件夹中找到它们。
第三个安装选项是/PrepareAD,如果还没有运行其它参数,可以用于配合/PrepareLegacyExchangePermissions和/PrepareSchema使用,/PrepareAD必须在处于同一个活动目录站点和域中并担当“架构主机域控制器”角色的计算机上运行,运行该命令的用户帐号必须是“企业管理员组”(以及没有运行过/PrepareSchema之前的“模式管理员组”)成员,如果是在现有Exchange Server 2003或Exchange 2000 Server的组织中准备活动目录环境,还必须具有“Exchange完全管理员”权限。以下命令用于运行/PrepareAD:
setup /PrepareAD [/OrganizationName: <organization name> ]
例如,如果希望Exchange组织名称为Eastern,则运行以下命令:
setup /PrepareAD /OrganizationName: Eastern
请注意,如果森林中已有Exchange Server 2003或Exchange 2000 Server,这里可以不需要包含/OrganizationName参数。
/PrepareAD可以完成许多任务,包括设置Exchange相关的权限,在活动目录设置分区中设置全局Exchange对象,创建Exchange通用组,以及准备本地域。该命令还创建一个管理组,称为“Exchange管理组(Exchange Administrative Group,FYDIBOHF23SPDLT)”和一个路由组,称为“Exchange路由组(Exchange Routing Group,DWBGZMFD01QNBJR)”。
第四个安装选项是使用/PrepareDomain或者/PrepareAllDomains参数准备森林中剩下的域。请记住,如果只有一个域森林,可以不必如此,因为/PrepareAD包含了这些任务。对于运行/PrepareDomain,用户帐号必须是准备对象域的“域管理员组”的成员,对于运行/PrepareAllDomains,用户帐号必须是“企业管理员组”的成员。此外,如果已经运行过/PrepareAD准备域,用户帐号还必须是“Exchange组织管理员组”的成员。以下命令用于准备剩下的域:
setup /PrepareDomain <FQDN of domain to prepare>
setup /PrepareAllDomains
运行/PrepareDomain和/PrepareAllDomains进行域准备完成的任务包括在域容器中设置恰当的权限,如果不存在就创建和设置“微软Exchange系统对象(Microsoft Exchange System Objects)”容器的权限,在当前域中创建新的域全局组“Exchange安装域服务器(Exchange Install Domain Servers)”,并将“域服务器(Domain Servers)组”加入到根域中的“Exchange服务器通用组(Exchange Servers Universal Group)”中。由于我前面所说的所有安装命令行选项都会修改活动目录,因此,你需要在继续进行安装步骤前为域信息复制留下时间。我建议在Exchange服务器上运行安装命令,而不是在域控制器上运行,因为运行安装程序需要完成许多环境准备要求的任务,包括.NET Framework 2.0、Microsoft Management Console(MMC)3.0(如果操作系统不是Windows Server 2003 R2)以及PowerShell 1.0,这些任务并不适合在域控制器上安装。
全局目录可用性
Exchange Server 2007服务器在同一活动目录站点中仍然需要可用的全局目录服务器。在Exchange Server 2003中推荐的比例是每四个Exchange服务器处理器需要一个全局目录服务器(即同一活动目录站点中的比例是1:4)。例如,可以使用两台独立处理器的全局目录服务器为8台独立处理器的Exchange Server 2003服务器服务,或者使用一台双处理器全局目录服务器为4台双处理器Exchange Server 2003服务器服务。而Exchange Server 2007带来的好消息是可以使用较少的“全局目录(Global Catalogs,GCs)”。例如设想这样一种极限情况:只要全局目录服务器有足够的内存用于缓存全部的活动目录数据库(例如ntds.dit文件),就使用8:1这个比例。由于本身的内存限制,运行32位操作系统的全局目录服务器一般是不能够达到这个比例的——除非是在活动目录数据库非常小的情况下。但是,64位的全局目录服务器可以处理更大容量的物理内存,因此缓存活动目录数据库更加可行。
不过在你打算让一些全局目录服务器成功退役之前,需要记住,Exchange Server 2007的很多新组件和新功能增加了对全局目录的要求。微软的建议比例只是一个设计参考,给出了当时Exchange Server 2007部署时相对较少的数值,这个建议是否可靠还言之过早,你应该监视域控制器的性能,以确保它们能满足要求。
活动目录站点和Exchange路由
Exchange Server 2003的路由组是Exchange特有的,其设置完全独立于活动目录站点拓扑。现在微软进行了简化,Exchange Server 2007用户可以使用当前的活动目录站点拓扑用于路由。Exchange Server 2007的Mailbox服务器使用同一站点内的Hub Transport服务器提交电子邮件,分发到接收方信箱,如果接收方信箱处于同一站点内,Hub Transport服务器直接将电子邮件发送到本地Mailbox服务器;如果接收方信箱处于不同的站点,Hub Transport服务器将电子邮件直接中继发送到远程站点的Hub Transport服务器,从而将电子邮件发送给正确的目标Mailbox服务器。Hub Transport服务器之间默认的直接中继行为并不是最理想的路由,Exchange管理员可以进行修改以满足需要。例如,Exchange管理员能够使用Set-AdSite PowerShell命令工具设置一个活动目录站点作为路由中心,从而取消不同站点Hub Transport服务器之间的默认直接中继行为。好消息是,Set-AdSite命令工具不需要运行用户是活动目录“企业管理员组”的成员,因此不会具有修改活动目录站点拓扑的权限。
对于活动目录管理员来说,这有什么意义呢?如果你很好地定义了活动目录站点并正确注册了子网,这个意义并不大;但是在任何环境中,特别是在依靠正确设置才能进行路由的Exchange场景中,任何丢失的子网注册都会引发现实的问题。
Exchange Server 2003中有一个大受欢迎的设计方式,就是为Exchange创建一个独立的活动目录站点,其原理就是为Exchange提供独立的活动目录域控制器和全局目录服务器,这个设计的好处是能保证Exchange不会和其它使用活动目录的服务相竞争——从而满足一定级别的性能要求,而缺点是增加了用于提供和支持额外域控制器的成本。Exchange Server 2007路由现在能直接映射活动目录站点拓扑,因此用于路由的独立站点概念不再适用,如果你确实需要为Exchange指定独立的域控制器,可以修改DNS SRV记录的权重和优先级,将Exchange调用从客户端登录中分离出来。
DSAccess和DSProxy的改进
在Exchange Server 2003中,DSAccess作为System Attendant服务的一个组件运行,提供的功能包括建立Exchange服务器使用的域控制器和全局目录服务器拓扑,查询活动目录和维护查询信息的缓存。除了DSProxy(稍后将提到)之外,从Exchange服务器发起的所有对活动目录的查询都通过DSAccess被路由。在Exchange Server 2007中改变了DSAccess的角色,不必再维护缓存,而是通过DSAccess请求活动目录信息的独立组件维护自己的缓存。Exchange Server 2007还从System Attendant服务中移除了活动目录拓扑功能,并创建了新的服务,称为“微软Exchange活动目录拓扑(Microsoft Exchange Active Directory Topology)”服务,对于Exchange组件使用的这个新服务,需要了解现有的活动目录拓扑。
Exchange Server 2003的DSProxy功能提供了具有附近全局目录名称的Messaging API(MAPI)客户端用于地址簿查询,如果不能直接和全局目录通讯,DSProxy还提供了传统的地址簿查询服务MAPI客户端。Exchange Server 2007的DSProxy同Exchange Server 2003 SP2中的基本一样,但是Exchange Server 2007现在包含了活动目录集成的Autodiscover服务,为Outlook 2007客户端扩展了功能,可以通过“客户端访问服务器(Client Access Server)”角色利用其提供的URL访问Exchange Server 2007中新的Web服务。
Edge Transport服务器角色
活动目录管理员应当注意到,Exchange Server 2007的Edge Transport服务器角色位于域环境之外,即该角色是安装在独立的服务器上,而不是一个域成员服务器。Edge Transport服务器是Exchange Server 2007的可选组件,通常位于外围网络,用于处理内部Exchange服务器和Internet接收方之间的电子邮件通讯。企业如果已经具有处理Exchange服务器和外部之间电子邮件发送的基础架构,可以不需要Edge Transport服务器。对于所有的Exchange服务器来说,Edge Transport服务器需要从活动目录获得路由和设置信息,为了尽可能保护活动目录架构,Edge Transport服务器在内部网络中并不能直接连接到域控制器,而是使用作为Hub Transport角色的Exchange Server 2007服务器上的一个组件EdgeSync,提供从活动目录到Edge Transport服务器中的Active Directory in Application Mode(ADAM)进程的单向接收人和设置信息复制,EdgeSync按照可设置的计划任务更新信息。
与活动目录紧密集成
Exchange Server 2007与活动目录紧密集成,更新活动目录的模式、设置和域分区。在安装Exchange Server 2007之前,你需要确保能满足所有的活动目录预准备环境,按照推荐准备森林和域。对于全局目录的可用性需求虽然有所降低,但是前提条件是全局目录服务器必须运行64位的操作系统。
声明: 此文观点不代表本站立场;转载须要保留原文链接;版权疑问请联系我们。