在 Microsoft Exchange Server 2007 的四種已定義組織模型中，大型 Exchange 組織是可以部署在單個 Active Directory 目錄服務林環境中的最大組織模型……

　　隨著公司規模的發展，基礎結構通常也會隨之發展。這種發展通常會增加復雜性并帶來新的安全問題。在 Microsoft Exchange Server 2007 的四種已定義組織模型中，大型 Exchange 組織是可以部署在單個 Active Directory 目錄服務林環境中的最大組織模型。大型 Exchange 組織的可分辨特征包括：

　　•五個或更多路由組，或五個或更多至少部署了一臺 Exchange 服務器的 Active Directory 站點。多個位置和 Active Directory 站點引入了多站點路由協議和角色發現算法以及使用 IP 站點鏈接的要求。

　　 注意：

　　只有包含 Exchange 2007 以及 Exchange Server 2003 或 Exchange 2000 Server(或兩者都包含)的大型 Exchange 組織中存在多個路由組。在純 Exchange 2007 環境中，所有服務器均屬于一個路由組。

　　•一個 Active Directory 林。引入第二個林或后續林(或引入目錄同步工具，例如 Microsoft Identity Integration Server)后，會自動將拓撲重新定義為復雜 Exchange 組織。有關復雜 Exchange 組織的詳細信息，請參閱規劃復雜 Exchange 組織。

　　•服務傳遞位置 (SDL) 和客戶端服務位置 (CSL) 位于多個物理位置，它們之間通常存在較大的距離。

　　•盡管在此拓撲中，Exchange 組織包含多個接入點，但是，外部郵件和客戶端協議特定的命名空間對多數位置或所有是公用的。

　　具有所有列出的特征的 Exchange 組織被視為大型 Exchange 組織。

　　單個 Active Directory 域和多個 Active Directory 域

　　單域拓撲包括為所有用戶和計算機對象均部署一個 Active Directory 域的所有方案。在單域模型中，所有計算機對象均使用公用的域名后綴，域名后綴與 Active Directory 使用的域命名空間匹配。

　　大型 Exchange 組織通常包含多個 Active Directory 域。在 Active Directory 林內部，域的組織有很大的可變性。基于地理邊界而不是基于業務單位邊界的域模型通常擁有更長的壽命和更大的靈活性，因為地理邊界更改的頻率要小于業務單位。我們建議盡可能部署基于地理邊界的域，盡管多域環境并不要求這樣做。

　　最突出的多域模型是父域/子域關系。在此模型中，部署根域或父域主要是為林提供命名空間。同樣重要的一項功能是防止域的增多和林的擴展。若要在林中添加域，需要對根域具有管理訪問權限，通常只有很少的人對根域具有管理訪問權限。安裝父域之后，可以添加一個或多個子域。子域是指附屬于父域的域。通常在子域中安裝用戶帳戶、文件服務器和應用程序服務器。在普通的 Active Directory 拓撲中，域命名空間是連續的，反映所部署的域的層次結構。例如，如果根域名為 fabrikam.com，則子域名可能包括 us.fabrikam.com、eu.fabrikam.com 和 asia.fabrikam.com。

　　除了第一級子域之外，還可以部署層次結構的其他層。這些層通常稱為孫域。為了簡化 Exchange 環境，建議不要使用孫域承載 Exchange，并將 Exchange 服務器成員身份限于子域。此方法并不意味著孫域不能用于承載已啟用郵箱的用戶。林中所有域之間的信任是可傳遞的，只要林中的所有域都可以正常使用域名系統 (DNS)，則用戶和服務器的此配置就可以正常工作。

　　 注意：

　　若要正常使用孫域，可能需要對林中每臺主機上的 DNS 后綴搜索順序進行一些其他配置。

　　在一個位置部署所有域時，最容易實現多個父域/子域關系。此拓撲不常用，通常要在域之間分離管理職責。部署多個父域/子域關系，一種更常用的方案是沿著 SDL 邊界部署域。

　　專用 Active Directory 站點

　　在一個 SDL 中支持高度集中的 Exchange 服務器和客戶端，可能會產生大量目錄服務需求。除了 Exchange 之外，添加需要目錄服務、客戶端身份驗證或目錄復制的其他應用程序可能會明顯影響 Exchange 的運行狀況和性能。為了緩解目錄服務的擁塞，當前的最佳做法是創建專用的 Active Directory 站點，以使用專用的域控制器和全局編錄服務器承載 Exchange 服務器。通過將 SDL 劃分為多個 Active Directory 站點，可以將 Exchange 服務器和 Microsoft Outlook 客戶端生成的目錄通信與其他目錄服務通信分開。

　　 注意：

　　目前，Exchange 2007 正在對性能和可伸縮性進行測試和優化，包括測試帶有 64 位目錄服務器的系統的性能特征。此測試完成后，將審查此最佳做法，并提供輔助信息。

　　對于承載專用 Exchange Active Directory 站點的位置，如果兩個 Active Directory 站點之間存在直接 IP 站點鏈接，并跨 SDL 維護郵箱所有權分離，則外部域控制器可以位于用于常規客戶端身份驗證的相同 Active Directory 站點，而不是專用 Exchange Active Directory 站點。

　　大型 Exchange 組織示例

　　大型 Exchange 組織有多種類型。但是，大型 Exchange 組織通常具有公用的屬性。例如，Exchange 支持的物理位置數會增加，盡管并不是在所有位置都部署 Exchange。此外，許多大型 Exchange 組織擁有多個 Internet 接入點，通常使用多個 Internet 服務提供商 (ISP)，同時維護一個郵件和客戶端協議命名空間。

　　•圖 1 顯示了一個大型 Exchange 組織示例。

　　

　　圖 1 大型 Exchange 組織

　　規劃大型 Exchange 組織的考慮事項

　　•在部署的規劃階段，以及在大型 Exchange 組織中部署任何 Exchange 2007 服務器之前，建議您考慮下列事項：

　　•部署多域模型時，域控制器的放置應使作為 Exchange 對象上的安全主體的所有域都具有到承載許多 Exchange 資源的位置的高性能連接。這一點在 Exchange 服務器合并方案中尤其重要。

　　•當組織達到的規模需要對 Exchange 使用專用 Active Directory 站點時，通常會跨主要數據中心位置復制此配置。此操作將引入其他復制鏈接，必須在拓撲發現以及不存在任何 Exchange 的 Active Directory 站點中考慮這些鏈接。

　　•當域邊界基于業務單位邊界而不是基于地理邊界時，域和 SDL 的分布通常會大量重疊。發生這種情況時，單臺 Exchange 服務器或 Exchange 服務器組將不再承載出自公用 SDL 的多個域中的資源。這種基礎結構的共享增大了每個由于每個域的其他身份驗證要求而受影響的域對目錄資源和其他域控制器的需要，從 Outlook 客戶端管理通訊組列表的需要，以及對全局編錄服務器的客戶端引用的需要。相應域中必須有相應數目的全局編錄服務器可供客戶端使用，因為 Exchange 服務器會將全局編錄服務器引用發送到一個客戶端，該客戶端包含承載郵箱帳戶的域中的全局編錄服務器。對于專用 Exchange Active Directory 站點，這意味著 Exchange 服務器承載其資源的每個域中的域控制器必須包含在 Exchange Active Directory 站點中。

　　•在部署大型 Exchange 組織時，考慮提供高可用性的部署選項是非常重要的。在 Exchange 2007 中，可以使用多種解決方案為每個服務器角色提供高可用性。有關 Exchange 2007 的高可用性策略和功能的詳細信息，請參閱高可用性。