如其名稱所示,復雜 Exchange 組織代表要部署 Microsoft Exchange Server 2007 的最復雜的拓撲。在為 Exchange 2007 定義的四個組織模型中,復雜 Exchange 組織是唯一包含多個 Active Directory 目錄服務林或使用同步技術的模型。
Exchange 服務器和已啟用郵箱帳戶所在的多個 Active Directory 林已成為一種常見方案。需要使用這些部署的一個主要驅動器來隔離用戶環境的管理和受信任安全環境的管理。在對資源的安全和控制訪問是主要關注問題的部署中,由于林代表 Active Directory 中的安全邊界,因此通常要查找并行部署的多個 Active Directory 林。
一、復雜 Exchange 組織示例
實現多個 Active Directory 林有各種原因。其中一些原因包括:
| • |
您有多個要求數據和服務隔離的業務單位。 |
| • |
您有多個具有不同架構需求的業務單位。 |
| • |
您面臨著合并、收購或資產剝離。 |
無論是哪一種情況,建立嚴格的業務單位邊界的唯一方法是:為每個業務單位創建一個單獨的 Active Directory 林。如果這是您的 Active Directory 配置,建議您使用 Exchange 資源林。
圖 1 說明包含 Exchange 資源林的復雜 Exchange 組織的示例。
!["具有資源林的復雜]("http://sysapp.51cto.com/files/uploadimg/20070322/1341300.gif")
498)this.style.width=498;" border=0>圖 1 帶有 Exchange 資源林的復雜 Exchange 組織的示例
在圖 1 中,林 B 包含 Exchange 服務器,林 A 包含用戶帳戶。林 B 也包含相同的用戶帳戶,但是已禁用了這些帳戶,而且已啟用郵箱的用戶使用林 A 中的帳戶登錄 Active Directory。
如果在資源林中部署 Exchange 2007,則默認情況下,在只包含用戶帳戶的林中的管理員沒有在 Exchange 林中創建郵箱的權限。盡管在只包含用戶帳戶的林中的管理員可以創建用戶帳戶,但是在資源林拓撲中,在沒有對帳戶管理員委派特別權限的情況下,該管理員無法執行任何郵箱管理任務。Exchange 林中的管理員必須分別手動從用戶帳戶創建郵箱并將郵箱鏈接到現有用戶帳戶。此外,您還必須將任何附加信息(例如電話號碼或分支機構)分別添加到 Exchange 林中,即使關聯用戶帳戶的此類信息可能已存在。
三、多 Exchange 林拓撲
在合并和收購的情況下,經常有多個 Active Directory 林和多個 Exchange 組織。在多林環境中運行 Exchange 時,系統體系結構設計師和 Exchange 管理員通常會遇到在簡單、標準和大型 Exchange 組織模型中發現的相同設計問題。但是,復雜 Exchange 組織的獨特之處在于要同步完全不同的林中的目錄對象,并復制忙/閑數據。借助 Exchange Server 的以前版本,Microsoft 提供了目錄同步的兩個解決方案:
| • |
Identity Integration Feature Pack 1a for Microsoft Windows Server Active Directory (IIFP) |
| • |
Microsoft Identity Integration Server (MIIS) |
兩個解決方案都基于 MIIS。IIFP 是 MIIS 的簡易版,很容易獲得,并且可作為 MIIS 功能包的一部分來獲得。MIIS 是成本較高的解決方案,但功能眾多。
除了同步目錄外,較頻繁的要求是在每個林中駐留的 Exchange 組織間可以使用忙/閑數據或公用文件夾。在 Exchange Server 的以前版本中,這要求使用 Microsoft Exchange Server 組織間復制 (IORepl) 工具,通過該工具可以在分散的 Exchange 組織間協調會議、約會、聯系人及公用文件夾信息。但是,由于沒有對 Exchange 2007 測試 IORepl,因此該工具不受支持。若要共享駐留在單獨林中的 Exchange 2007 組織間的忙/閑信息和日歷信息,您可以執行下列操作:
| • |
如果兩個組織都使用 Microsoft Office Outlook 2007,則 Exchange 2007 中的可用性服務可用來在組織間共享忙/閑信息和日歷信息。但是,該解決方案無法在組織間共享公用文件夾數據。 |
| • |
如果正在使用 Outlook 的早期版本,則可以使計算機始終在每個林中運行 Exchange Server 2003,并且在這些計算機上使用 IORepl 可在組織間共享忙/閑信息和日歷信息。該解決方案還允許您在組織間共享公用文件夾數據。 |
圖 2 說明包含多 Exchange 林的復雜 Exchange 組織的示例。
!["具有多個林的復雜]("http://sysapp.51cto.com/files/uploadimg/20070322/1341301.gif")
498)this.style.width=498;" border=0>圖 2 帶有多 Exchange 林的復雜 Exchange 組織示例
在跨林環境中,Exchange Server 在單獨 Active Directory 林中運行,但是可在林之間使用郵件功能。在帶有目錄同步的跨林環境中部署 Exchange 2007 有下列限制:
| • |
如果成員在不同的林中有郵箱,則無法查看通訊組列表成員身份 |
| • |
無法將不同林中的用戶添加到通訊組列表 |
| • |
無法跨林嵌套通訊組列表 |
| • |
沒有將通訊組列表移動到另一個林的工具 |
| • |
如果跨林移動郵箱,則無法保留委派屬性 |
| • |
沒有將公用文件夾移動到另一個林的工具 |
| • |
如果使用 Microsoft Windows 公鑰基礎結構 (PKI) 自行簽署式證書,則無法跨林發送經過簽名和加密的郵件。 |
五、規劃復雜 Exchange 組織時的注意事項
在部署的規劃階段,以及在復雜 Exchange 組織中部署任何 Exchange 2007 服務器之前,建議您考慮下列事項:
| • |
多 Exchange 組織共享公用全局地址列表 (GAL) 需要 GAL 同步的某些表單,以及需要跨林復制日歷資源。 |
| • |
復雜 Exchange 組織通常擁有多個 Internet 接入點。隨著暴露于 Internet 的服務類型數量的增加,部署的防火墻系統也變得更加高級。Microsoft Internet Security and Acceleration (ISA) Server 是可以用來發布 Exchange 服務(例如 Outlook Web Access、郵局協議版本 3 (POP3)、Internet 郵件訪問協議版本 4 (IMAP4)、ActiveSync 和 Outlook Anywhere)的應用程序級別的防火墻。建議您在外圍網絡和專用公司網絡之間的邊界部署 ISA Server,或者部署運行 ISA Server 的服務器的陣列。 |
| • |
部署復雜 Exchange 組織時,通常需要提供高可用性。在 Exchange 2007 中,可以使用多種解決方案為每個服務器角色提供高可用性。 |
| • |
使用多 Active Directory 林也意味著使用多個命名空間。在 Exchange 2007 中,客戶端訪問服務器要求在跨林環境的每個林內使用唯一的 URL 命名空間。 |
