随着公司规模的发展,基础结构通常也会随之发展。这种发展通常会增加复杂性并带来新的安全问题。在 Microsoft Exchange Server 2007 的四种已定义组织模型中,大型 Exchange 组织是可以部署在单个 Active Directory 目录服务林环境中的最大组织模型。大型 Exchange 组织的可分辨特征包括:
•五个或更多路由组,或五个或更多至少部署了一台 Exchange 服务器的 Active Directory 站点。多个位置和 Active Directory 站点引入了多站点路由协议和角色发现算法以及使用 IP 站点链接的要求。
注意:只有包含 Exchange 2007 以及 Exchange Server 2003 或 Exchange 2000 Server(或两者都包含)的大型 Exchange 组织中存在多个路由组。在纯 Exchange 2007 环境中,所有服务器均属于一个路由组。
•一个 Active Directory 林。引入第二个林或后续林(或引入目录同步工具,例如 Microsoft Identity Integration Server)后,会自动将拓扑重新定义为复杂 Exchange 组织。
•服务传递位置 (SDL) 和客户端服务位置 (CSL) 位于多个物理位置,它们之间通常存在较大的距离。
•尽管在此拓扑中,Exchange 组织包含多个接入点,但是,外部邮件和客户端协议特定的命名空间对多数位置或所有是公用的。
具有所有列出的特征的 Exchange 组织被视为大型 Exchange 组织。
一、单个 Active Directory 域和多个 Active Directory 域
单域拓扑包括为所有用户和计算机对象均部署一个 Active Directory 域的所有方案。在单域模型中,所有计算机对象均使用公用的域名后缀,域名后缀与 Active Directory 使用的域命名空间匹配。
大型 Exchange 组织通常包含多个 Active Directory 域。在 Active Directory 林内部,域的组织有很大的可变性。基于地理边界而不是基于业务单位边界的域模型通常拥有更长的寿命和更大的灵活性,因为地理边界更改的频率要小于业务单位。我们建议尽可能部署基于地理边界的域,尽管多域环境并不要求这样做。
最突出的多域模型是父域/子域关系。在此模型中,部署根域或父域主要是为林提供命名空间。同样重要的一项功能是防止域的增多和林的扩展。若要在林中添加域,需要对根域具有管理访问权限,通常只有很少的人对根域具有管理访问权限。安装父域之后,可以添加一个或多个子域。子域是指附属于父域的域。通常在子域中安装用户帐户、文件服务器和应用程序服务器。在普通的 Active Directory 拓扑中,域命名空间是连续的,反映所部署的域的层次结构。例如,如果根域名为 fabrikam.com,则子域名可能包括 us.fabrikam.com、eu.fabrikam.com 和 asia.fabrikam.com。
除了第一级子域之外,还可以部署层次结构的其他层。这些层通常称为孙域。为了简化 Exchange 环境,建议不要使用孙域承载 Exchange,并将 Exchange 服务器成员身份限于子域。此方法并不意味着孙域不能用于承载已启用邮箱的用户。林中所有域之间的信任是可传递的,只要林中的所有域都可以正常使用域名系统 (DNS),则用户和服务器的此配置就可以正常工作。
注意:若要正常使用孙域,可能需要对林中每台主机上的 DNS 后缀搜索顺序进行一些其他配置。
在一个位置部署所有域时,最容易实现多个父域/子域关系。此拓扑不常用,通常要在域之间分离管理职责。部署多个父域/子域关系,一种更常用的方案是沿着 SDL 边界部署域。
二、专用 Active Directory 站点
在一个 SDL 中支持高度集中的 Exchange 服务器和客户端,可能会产生大量目录服务需求。除了 Exchange 之外,添加需要目录服务、客户端身份验证或目录复制的其他应用程序可能会明显影响 Exchange 的运行状况和性能。为了缓解目录服务的拥塞,当前的最佳做法是创建专用的 Active Directory 站点,以使用专用的域控制器和全局编录服务器承载 Exchange 服务器。通过将 SDL 划分为多个 Active Directory 站点,可以将 Exchange 服务器和 Microsoft Outlook 客户端生成的目录通信与其他目录服务通信分开。
注意:目前,Exchange 2007 正在对性能和可伸缩性进行测试和优化,包括测试带有 64 位目录服务器的系统的性能特征。此测试完成后,将审查此最佳做法,并提供辅助信息。
对于承载专用 Exchange Active Directory 站点的位置,如果两个 Active Directory 站点之间存在直接 IP 站点链接,并跨 SDL 维护邮箱所有权分离,则外部域控制器可以位于用于常规客户端身份验证的相同 Active Directory 站点,而不是专用 Exchange Active Directory 站点。
三、大型 Exchange 组织示例
大型 Exchange 组织有多种类型。但是,大型 Exchange 组织通常具有公用的属性。例如,Exchange 支持的物理位置数会增加,尽管并不是在所有位置都部署 Exchange。此外,许多大型 Exchange 组织拥有多个 Internet 接入点,通常使用多个 Internet 服务提供商 (ISP),同时维护一个邮件和客户端协议命名空间。
•图 1 显示了一个大型 Exchange 组织示例。
图 1 大型 Exchange 组织
四、规划大型 Exchange 组织的考虑事项 在部署的规划阶段,以及在大型 Exchange 组织中部署任何 Exchange 2007 服务器之前,建议您考虑下列事项:
•部署多域模型时,域控制器的放置应使作为 Exchange 对象上的安全主体的所有域都具有到承载许多 Exchange 资源的位置的高性能连接。这一点在 Exchange 服务器合并方案中尤其重要。
•当组织达到的规模需要对 Exchange 使用专用 Active Directory 站点时,通常会跨主要数据中心位置复制此配置。此操作将引入其他复制链接,必须在拓扑发现以及不存在任何 Exchange 的 Active Directory 站点中考虑这些链接。
•当域边界基于业务单位边界而不是基于地理边界时,域和 SDL 的分布通常会大量重叠。发生这种情况时,单台 Exchange 服务器或 Exchange 服务器组将不再承载出自公用 SDL 的多个域中的资源。这种基础结构的共享增大了每个由于每个域的其他身份验证要求而受影响的域对目录资源和其他域控制器的需要,从 Outlook 客户端管理通讯组列表的需要,以及对全局编录服务器的客户端引用的需要。相应域中必须有相应数目的全局编录服务器可供客户端使用,因为 Exchange 服务器会将全局编录服务器引用发送到一个客户端,该客户端包含承载邮箱帐户的域中的全局编录服务器。对于专用 Exchange Active Directory 站点,这意味着 Exchange 服务器承载其资源的每个域中的域控制器必须包含在 Exchange Active Directory 站点中。
•在部署大型 Exchange 组织时,考虑提供高可用性的部署选项是非常重要的。在 Exchange 2007 中,可以使用多种解决方案为每个服务器角色提供高可用性。