如其名稱所示,復(fù)雜 Exchange 組織代表要部署 Microsoft Exchange Server 2007 的最復(fù)雜的拓?fù)洹T跒?Exchange 2007 定義的四個(gè)組織模型中,復(fù)雜 Exchange 組織是唯一包含多個(gè) Active Directory 目錄服務(wù)林或使用同步技術(shù)的模型。
Exchange 服務(wù)器和已啟用郵箱帳戶所在的多個(gè) Active Directory 林已成為一種常見方案。需要使用這些部署的一個(gè)主要驅(qū)動(dòng)器來隔離用戶環(huán)境的管理和受信任安全環(huán)境的管理。在對(duì)資源的安全和控制訪問是主要關(guān)注問題的部署中,由于林代表 Active Directory 中的安全邊界,因此通常要查找并行部署的多個(gè) Active Directory 林。
一、復(fù)雜 Exchange 組織示例
實(shí)現(xiàn)多個(gè) Active Directory 林有各種原因。其中一些原因包括:
| • |
您有多個(gè)要求數(shù)據(jù)和服務(wù)隔離的業(yè)務(wù)單位。 |
| • |
您有多個(gè)具有不同架構(gòu)需求的業(yè)務(wù)單位。 |
| • |
您面臨著合并、收購或資產(chǎn)剝離。 |
無論是哪一種情況,建立嚴(yán)格的業(yè)務(wù)單位邊界的唯一方法是:為每個(gè)業(yè)務(wù)單位創(chuàng)建一個(gè)單獨(dú)的 Active Directory 林。如果這是您的 Active Directory 配置,建議您使用 Exchange 資源林。
圖 1 說明包含 Exchange 資源林的復(fù)雜 Exchange 組織的示例。
!["具有資源林的復(fù)雜]("http://sysapp.51cto.com/files/uploadimg/20070322/1341300.gif")
498)this.style.width=498;" border=0>圖 1 帶有 Exchange 資源林的復(fù)雜 Exchange 組織的示例
在圖 1 中,林 B 包含 Exchange 服務(wù)器,林 A 包含用戶帳戶。林 B 也包含相同的用戶帳戶,但是已禁用了這些帳戶,而且已啟用郵箱的用戶使用林 A 中的帳戶登錄 Active Directory。
如果在資源林中部署 Exchange 2007,則默認(rèn)情況下,在只包含用戶帳戶的林中的管理員沒有在 Exchange 林中創(chuàng)建郵箱的權(quán)限。盡管在只包含用戶帳戶的林中的管理員可以創(chuàng)建用戶帳戶,但是在資源林拓?fù)渲校跊]有對(duì)帳戶管理員委派特別權(quán)限的情況下,該管理員無法執(zhí)行任何郵箱管理任務(wù)。Exchange 林中的管理員必須分別手動(dòng)從用戶帳戶創(chuàng)建郵箱并將郵箱鏈接到現(xiàn)有用戶帳戶。此外,您還必須將任何附加信息(例如電話號(hào)碼或分支機(jī)構(gòu))分別添加到 Exchange 林中,即使關(guān)聯(lián)用戶帳戶的此類信息可能已存在。
三、多 Exchange 林拓?fù)?/STRONG>
在合并和收購的情況下,經(jīng)常有多個(gè) Active Directory 林和多個(gè) Exchange 組織。在多林環(huán)境中運(yùn)行 Exchange 時(shí),系統(tǒng)體系結(jié)構(gòu)設(shè)計(jì)師和 Exchange 管理員通常會(huì)遇到在簡(jiǎn)單、標(biāo)準(zhǔn)和大型 Exchange 組織模型中發(fā)現(xiàn)的相同設(shè)計(jì)問題。但是,復(fù)雜 Exchange 組織的獨(dú)特之處在于要同步完全不同的林中的目錄對(duì)象,并復(fù)制忙/閑數(shù)據(jù)。借助 Exchange Server 的以前版本,Microsoft 提供了目錄同步的兩個(gè)解決方案:
| • |
Identity Integration Feature Pack 1a for Microsoft Windows Server Active Directory (IIFP) |
| • |
Microsoft Identity Integration Server (MIIS) |
兩個(gè)解決方案都基于 MIIS。IIFP 是 MIIS 的簡(jiǎn)易版,很容易獲得,并且可作為 MIIS 功能包的一部分來獲得。MIIS 是成本較高的解決方案,但功能眾多。
除了同步目錄外,較頻繁的要求是在每個(gè)林中駐留的 Exchange 組織間可以使用忙/閑數(shù)據(jù)或公用文件夾。在 Exchange Server 的以前版本中,這要求使用 Microsoft Exchange Server 組織間復(fù)制 (IORepl) 工具,通過該工具可以在分散的 Exchange 組織間協(xié)調(diào)會(huì)議、約會(huì)、聯(lián)系人及公用文件夾信息。但是,由于沒有對(duì) Exchange 2007 測(cè)試 IORepl,因此該工具不受支持。若要共享駐留在單獨(dú)林中的 Exchange 2007 組織間的忙/閑信息和日歷信息,您可以執(zhí)行下列操作:
| • |
如果兩個(gè)組織都使用 Microsoft Office Outlook 2007,則 Exchange 2007 中的可用性服務(wù)可用來在組織間共享忙/閑信息和日歷信息。但是,該解決方案無法在組織間共享公用文件夾數(shù)據(jù)。 |
| • |
如果正在使用 Outlook 的早期版本,則可以使計(jì)算機(jī)始終在每個(gè)林中運(yùn)行 Exchange Server 2003,并且在這些計(jì)算機(jī)上使用 IORepl 可在組織間共享忙/閑信息和日歷信息。該解決方案還允許您在組織間共享公用文件夾數(shù)據(jù)。 |
圖 2 說明包含多 Exchange 林的復(fù)雜 Exchange 組織的示例。
!["具有多個(gè)林的復(fù)雜]("http://sysapp.51cto.com/files/uploadimg/20070322/1341301.gif")
498)this.style.width=498;" border=0>圖 2 帶有多 Exchange 林的復(fù)雜 Exchange 組織示例
在跨林環(huán)境中,Exchange Server 在單獨(dú) Active Directory 林中運(yùn)行,但是可在林之間使用郵件功能。在帶有目錄同步的跨林環(huán)境中部署 Exchange 2007 有下列限制:
| • |
如果成員在不同的林中有郵箱,則無法查看通訊組列表成員身份 |
| • |
無法將不同林中的用戶添加到通訊組列表 |
| • |
無法跨林嵌套通訊組列表 |
| • |
沒有將通訊組列表移動(dòng)到另一個(gè)林的工具 |
| • |
如果跨林移動(dòng)郵箱,則無法保留委派屬性 |
| • |
沒有將公用文件夾移動(dòng)到另一個(gè)林的工具 |
| • |
如果使用 Microsoft Windows 公鑰基礎(chǔ)結(jié)構(gòu) (PKI) 自行簽署式證書,則無法跨林發(fā)送經(jīng)過簽名和加密的郵件。 |
五、規(guī)劃復(fù)雜 Exchange 組織時(shí)的注意事項(xiàng)
在部署的規(guī)劃階段,以及在復(fù)雜 Exchange 組織中部署任何 Exchange 2007 服務(wù)器之前,建議您考慮下列事項(xiàng):
| • |
多 Exchange 組織共享公用全局地址列表 (GAL) 需要 GAL 同步的某些表單,以及需要跨林復(fù)制日歷資源。 |
| • |
復(fù)雜 Exchange 組織通常擁有多個(gè) Internet 接入點(diǎn)。隨著暴露于 Internet 的服務(wù)類型數(shù)量的增加,部署的防火墻系統(tǒng)也變得更加高級(jí)。Microsoft Internet Security and Acceleration (ISA) Server 是可以用來發(fā)布 Exchange 服務(wù)(例如 Outlook Web Access、郵局協(xié)議版本 3 (POP3)、Internet 郵件訪問協(xié)議版本 4 (IMAP4)、ActiveSync 和 Outlook Anywhere)的應(yīng)用程序級(jí)別的防火墻。建議您在外圍網(wǎng)絡(luò)和專用公司網(wǎng)絡(luò)之間的邊界部署 ISA Server,或者部署運(yùn)行 ISA Server 的服務(wù)器的陣列。 |
| • |
部署復(fù)雜 Exchange 組織時(shí),通常需要提供高可用性。在 Exchange 2007 中,可以使用多種解決方案為每個(gè)服務(wù)器角色提供高可用性。 |
| • |
使用多 Active Directory 林也意味著使用多個(gè)命名空間。在 Exchange 2007 中,客戶端訪問服務(wù)器要求在跨林環(huán)境的每個(gè)林內(nèi)使用唯一的 URL 命名空間。 |
