隨著公司規(guī)模的發(fā)展,基礎(chǔ)結(jié)構(gòu)通常也會隨之發(fā)展。這種發(fā)展通常會增加復(fù)雜性并帶來新的安全問題。在 Microsoft Exchange Server 2007 的四種已定義組織模型中,大型 Exchange 組織是可以部署在單個 Active Directory 目錄服務(wù)林環(huán)境中的最大組織模型。大型 Exchange 組織的可分辨特征包括:
•五個或更多路由組,或五個或更多至少部署了一臺 Exchange 服務(wù)器的 Active Directory 站點。多個位置和 Active Directory 站點引入了多站點路由協(xié)議和角色發(fā)現(xiàn)算法以及使用 IP 站點鏈接的要求。
![""]("http://www.microsoft.com/library/gallery/templates/MNP2.Common/images/note.gif"){kind=small}
注意:
只有包含 Exchange 2007 以及 Exchange Server 2003 或 Exchange 2000 Server(或兩者都包含)的大型 Exchange 組織中存在多個路由組。在純 Exchange 2007 環(huán)境中,所有服務(wù)器均屬于一個路由組。
•一個 Active Directory 林。引入第二個林或后續(xù)林(或引入目錄同步工具,例如 Microsoft Identity Integration Server)后,會自動將拓撲重新定義為復(fù)雜 Exchange 組織。有關(guān)復(fù)雜 Exchange 組織的詳細信息,請參閱規(guī)劃復(fù)雜 Exchange 組織。
•服務(wù)傳遞位置 (SDL) 和客戶端服務(wù)位置 (CSL) 位于多個物理位置,它們之間通常存在較大的距離。
•盡管在此拓撲中,Exchange 組織包含多個接入點,但是,外部郵件和客戶端協(xié)議特定的命名空間對多數(shù)位置或所有是公用的。
具有所有列出的特征的 Exchange 組織被視為大型 Exchange 組織。
單個 Active Directory 域和多個 Active Directory 域
單域拓撲包括為所有用戶和計算機對象均部署一個 Active Directory 域的所有方案。在單域模型中,所有計算機對象均使用公用的域名后綴,域名后綴與 Active Directory 使用的域命名空間匹配。
大型 Exchange 組織通常包含多個 Active Directory 域。在 Active Directory 林內(nèi)部,域的組織有很大的可變性。基于地理邊界而不是基于業(yè)務(wù)單位邊界的域模型通常擁有更長的壽命和更大的靈活性,因為地理邊界更改的頻率要小于業(yè)務(wù)單位。我們建議盡可能部署基于地理邊界的域,盡管多域環(huán)境并不要求這樣做。
最突出的多域模型是父域/子域關(guān)系。在此模型中,部署根域或父域主要是為林提供命名空間。同樣重要的一項功能是防止域的增多和林的擴展。若要在林中添加域,需要對根域具有管理訪問權(quán)限,通常只有很少的人對根域具有管理訪問權(quán)限。安裝父域之后,可以添加一個或多個子域。子域是指附屬于父域的域。通常在子域中安裝用戶帳戶、文件服務(wù)器和應(yīng)用程序服務(wù)器。在普通的 Active Directory 拓撲中,域命名空間是連續(xù)的,反映所部署的域的層次結(jié)構(gòu)。例如,如果根域名為 fabrikam.com,則子域名可能包括 us.fabrikam.com、eu.fabrikam.com 和 asia.fabrikam.com。
除了第一級子域之外,還可以部署層次結(jié)構(gòu)的其他層。這些層通常稱為孫域。為了簡化 Exchange 環(huán)境,建議不要使用孫域承載 Exchange,并將 Exchange 服務(wù)器成員身份限于子域。此方法并不意味著孫域不能用于承載已啟用郵箱的用戶。林中所有域之間的信任是可傳遞的,只要林中的所有域都可以正常使用域名系統(tǒng) (DNS),則用戶和服務(wù)器的此配置就可以正常工作。
注意:
若要正常使用孫域,可能需要對林中每臺主機上的 DNS 后綴搜索順序進行一些其他配置。
在一個位置部署所有域時,最容易實現(xiàn)多個父域/子域關(guān)系。此拓撲不常用,通常要在域之間分離管理職責(zé)。部署多個父域/子域關(guān)系,一種更常用的方案是沿著 SDL 邊界部署域。
專用 Active Directory 站點
在一個 SDL 中支持高度集中的 Exchange 服務(wù)器和客戶端,可能會產(chǎn)生大量目錄服務(wù)需求。除了 Exchange 之外,添加需要目錄服務(wù)、客戶端身份驗證或目錄復(fù)制的其他應(yīng)用程序可能會明顯影響 Exchange 的運行狀況和性能。為了緩解目錄服務(wù)的擁塞,當(dāng)前的最佳做法是創(chuàng)建專用的 Active Directory 站點,以使用專用的域控制器和全局編錄服務(wù)器承載 Exchange 服務(wù)器。通過將 SDL 劃分為多個 Active Directory 站點,可以將 Exchange 服務(wù)器和 Microsoft Outlook 客戶端生成的目錄通信與其他目錄服務(wù)通信分開。
注意:
目前,Exchange 2007 正在對性能和可伸縮性進行測試和優(yōu)化,包括測試帶有 64 位目錄服務(wù)器的系統(tǒng)的性能特征。此測試完成后,將審查此最佳做法,并提供輔助信息。
對于承載專用 Exchange Active Directory 站點的位置,如果兩個 Active Directory 站點之間存在直接 IP 站點鏈接,并跨 SDL 維護郵箱所有權(quán)分離,則外部域控制器可以位于用于常規(guī)客戶端身份驗證的相同 Active Directory 站點,而不是專用 Exchange Active Directory 站點。
大型 Exchange 組織示例
大型 Exchange 組織有多種類型。但是,大型 Exchange 組織通常具有公用的屬性。例如,Exchange 支持的物理位置數(shù)會增加,盡管并不是在所有位置都部署 Exchange。此外,許多大型 Exchange 組織擁有多個 Internet 接入點,通常使用多個 Internet 服務(wù)提供商 (ISP),同時維護一個郵件和客戶端協(xié)議命名空間。
•圖 1 顯示了一個大型 Exchange 組織示例。
!["大型]("http://www.microsoft.com/technet/prodtechnol/exchange/E2k7/ZH-CN/Help/ExchHelp/images/ExPlanningArchitect_LgOrg_01.gif")
圖 1 大型 Exchange 組織
規(guī)劃大型 Exchange 組織的考慮事項
•在部署的規(guī)劃階段,以及在大型 Exchange 組織中部署任何 Exchange 2007 服務(wù)器之前,建議您考慮下列事項:
•部署多域模型時,域控制器的放置應(yīng)使作為 Exchange 對象上的安全主體的所有域都具有到承載許多 Exchange 資源的位置的高性能連接。這一點在 Exchange 服務(wù)器合并方案中尤其重要。
•當(dāng)組織達到的規(guī)模需要對 Exchange 使用專用 Active Directory 站點時,通常會跨主要數(shù)據(jù)中心位置復(fù)制此配置。此操作將引入其他復(fù)制鏈接,必須在拓撲發(fā)現(xiàn)以及不存在任何 Exchange 的 Active Directory 站點中考慮這些鏈接。
•當(dāng)域邊界基于業(yè)務(wù)單位邊界而不是基于地理邊界時,域和 SDL 的分布通常會大量重疊。發(fā)生這種情況時,單臺 Exchange 服務(wù)器或 Exchange 服務(wù)器組將不再承載出自公用 SDL 的多個域中的資源。這種基礎(chǔ)結(jié)構(gòu)的共享增大了每個由于每個域的其他身份驗證要求而受影響的域?qū)δ夸涃Y源和其他域控制器的需要,從 Outlook 客戶端管理通訊組列表的需要,以及對全局編錄服務(wù)器的客戶端引用的需要。相應(yīng)域中必須有相應(yīng)數(shù)目的全局編錄服務(wù)器可供客戶端使用,因為 Exchange 服務(wù)器會將全局編錄服務(wù)器引用發(fā)送到一個客戶端,該客戶端包含承載郵箱帳戶的域中的全局編錄服務(wù)器。對于專用 Exchange Active Directory 站點,這意味著 Exchange 服務(wù)器承載其資源的每個域中的域控制器必須包含在 Exchange Active Directory 站點中。
•在部署大型 Exchange 組織時,考慮提供高可用性的部署選項是非常重要的。在 Exchange 2007 中,可以使用多種解決方案為每個服務(wù)器角色提供高可用性。有關(guān) Exchange 2007 的高可用性策略和功能的詳細信息,請參閱高可用性。
