Exchange 服务器和已启用邮箱帐户所在的多个 Active Directory 林已成为一种常见方案。需要使用这些部署的一个主要驱动器来隔离用户环境的管理和受信任安全环境的管理。在对资源的安全和控制访问是主要关注问题的部署中,由于林代表 Active Directory 中的安全边界,因此通常要查找并行部署的多个 Active Directory 林。
一、复杂 Exchange 组织示例
实现多个 Active Directory 林有各种原因。其中一些原因包括:
•您有多个要求数据和服务隔离的业务单位。
•您有多个具有不同架构需求的业务单位。
•您面临着合并、收购或资产剥离。
二、Exchange 资源林拓扑
无论是哪一种情况,建立严格的业务单位边界的唯一方法是:为每个业务单位创建一个单独的 Active Directory 林。如果这是您的 Active Directory 配置,建议您使用 Exchange 资源林。
图 1 说明包含 Exchange 资源林的复杂 Exchange 组织的示例。
图 1 带有 Exchange 资源林的复杂 Exchange 组织的示例
在图 1 中,林 B 包含 Exchange 服务器,林 A 包含用户帐户。林 B 也包含相同的用户帐户,但是已禁用了这些帐户,而且已启用邮箱的用户使用林 A 中的帐户登录 Active Directory。
如果在资源林中部署 Exchange 2007,则默认情况下,在只包含用户帐户的林中的管理员没有在 Exchange 林中创建邮箱的权限。尽管在只包含用户帐户的林中的管理员可以创建用户帐户,但是在资源林拓扑中,在没有对帐户管理员委派特别权限的情况下,该管理员无法执行任何邮箱管理任务。Exchange 林中的管理员必须分别手动从用户帐户创建邮箱并将邮箱链接到现有用户帐户。此外,您还必须将任何附加信息(例如电话号码或分支机构)分别添加到 Exchange 林中,即使关联用户帐户的此类信息可能已存在。
三、多 Exchange 林拓扑
在合并和收购的情况下,经常有多个 Active Directory 林和多个 Exchange 组织。在多林环境中运行 Exchange 时,系统体系结构设计师和 Exchange 管理员通常会遇到在简单、标准和大型 Exchange 组织模型中发现的相同设计问题。但是,复杂 Exchange 组织的独特之处在于要同步完全不同的林中的目录对象,并复制忙/闲数据。借助 Exchange Server 的以前版本,Microsoft 提供了目录同步的两个解决方案:
•Identity Integration Feature Pack 1a for Microsoft Windows Server Active Directory (IIFP)
•Microsoft Identity Integration Server (MIIS)
两个解决方案都基于 MIIS。IIFP 是 MIIS 的简易版,很容易获得,并且可作为 MIIS 功能包的一部分来获得。MIIS 是成本较高的解决方案,但功能众多。
除了同步目录外,较频繁的要求是在每个林中驻留的 Exchange 组织间可以使用忙/闲数据或公用文件夹。在 Exchange Server 的以前版本中,这要求使用 Microsoft Exchange Server 组织间复制 (IORepl) 工具,通过该工具可以在分散的 Exchange 组织间协调会议、约会、联系人及公用文件夹信息。但是,由于没有对 Exchange 2007 测试 IORepl,因此该工具不受支持。若要共享驻留在单独林中的 Exchange 2007 组织间的忙/闲信息和日历信息,您可以执行下列操作:
•如果两个组织都使用 Microsoft Office Outlook 2007,则 Exchange 2007 中的可用性服务可用来在组织间共享忙/闲信息和日历信息。但是,该解决方案无法在组织间共享公用文件夹数据。
•如果正在使用 Outlook 的早期版本,则可以使计算机始终在每个林中运行 Exchange Server 2003,并且在这些计算机上使用 IORepl 可在组织间共享忙/闲信息和日历信息。该解决方案还允许您在组织间共享公用文件夹数据。
图 2 说明包含多 Exchange 林的复杂 Exchange 组织的示例。
图 2 带有多 Exchange 林的复杂 Exchange 组织示例
四、Exchange 跨林拓扑
在跨林环境中,Exchange Server 在单独 Active Directory 林中运行,但是可在林之间使用邮件功能。在带有目录同步的跨林环境中部署 Exchange 2007 有下列限制:
•如果成员在不同的林中有邮箱,则无法查看通讯组列表成员身份
•无法将不同林中的用户添加到通讯组列表
•无法跨林嵌套通讯组列表
•没有将通讯组列表移动到另一个林的工具
•如果跨林移动邮箱,则无法保留委派属性
•没有将公用文件夹移动到另一个林的工具
•如果使用 Microsoft Windows 公钥基础结构 (PKI) 自行签署式证书,则无法跨林发送经过签名和加密的邮件。
五、规划复杂 Exchange 组织时的注意事项
在部署的规划阶段,以及在复杂 Exchange 组织中部署任何 Exchange 2007 服务器之前,建议您考虑下列事项:
•多 Exchange 组织共享公用全局地址列表 (GAL) 需要 GAL 同步的某些表单,以及需要跨林复制日历资源。
•复杂 Exchange 组织通常拥有多个 Internet 接入点。随着暴露于 Internet 的服务类型数量的增加,部署的防火墙系统也变得更加高级。Microsoft Internet Security and Acceleration (ISA) Server 是可以用来发布 Exchange 服务(例如 Outlook Web Access、邮局协议版本 3 (POP3)、Internet 邮件访问协议版本 4 (IMAP4)、ActiveSync 和 Outlook Anywhere)的应用程序级别的防火墙。建议您在外围网络和专用公司网络之间的边界部署 ISA Server,或者部署运行 ISA Server 的服务器的阵列。
•部署复杂 Exchange 组织时,通常需要提供高可用性。在 Exchange 2007 中,可以使用多种解决方案为每个服务器角色提供高可用性。
•使用多 Active Directory 林也意味着使用多个命名空间。在 Exchange 2007 中,客户端访问服务器要求在跨林环境的每个林内使用唯一的 URL 命名空间。
声明: 此文观点不代表本站立场;转载须要保留原文链接;版权疑问请联系我们。