总之,AD的一个单一的“实例”由一个单一的AD森林。甲森林由AD树,这是在森林连续域命名空间。每个树由一个或多个结构域,如在示出的图3.1。
多树林设计。
在一个组织中使用AD不止一个森林存在一定的情况下:
政治限制- 某些组织有强制多个AD林创建特定的政治原因。例如,如果合并后的公司实体,需要独立的部门,以保持完全独立的信息技术(IT)基础设施,一个以上的森林是必要的。
安全问题-虽然AD域充当了事实上的安全边界,但“最终”安全边界实际上是森林。换句话说,一个林中某个域中的用户帐户可能会入侵同一林中的域。尽管这些类型的漏洞并不常见,而且很难实现,但是高度安全意识的组织应该实现单独的AD森林。
应用程序的功能-A单个AD林共享公共目录模式,这是目录的底层结构,并且必须在整个森林唯一的。在某些情况下,一个组织的单独的分支要求某些应用程序,这需要扩展的架构,可以安装。这也许是不可能的,也可能与其他分支机构的架构要求相冲突。这些情况可能需要一个单独的森林的创作。
Exchange特有的功能(资源林)在某些情况下,可能需要将Exchange Server 2007安装到单独的林中,以使Exchange驻留在单独的模式和林中实例中。此类设置的一个示例是具有两个现有AD林的组织,该组织创建了第三个专门用于Exchange的林,并使用跨林信任来分配邮箱权限。
最简单的设计往往效果最好。同样的原则也适用于广告设计。设计师应该先假设一个简单的森林和领域结构将适用于环境。但是,当诸如前面描述的那些因素造成约束时,可以建立多个森林来满足约束的要求。
了解AD域结构
AD林结构已被选择之后,域结构可以进行布局。如同森林结构,它往往是明智的考虑对Exchange 2007的目录单域模型。事实上,如果部署Exchange是唯一的考虑因素,这往往是最好的选择。
对于单一域模型有一个主要的例外:占位符域模型。占位符域模型有一个独立的域作为林中的根域。包含所有生产用户帐户的用户域将位于林中的一个单独域,如中所示图3.2。
占位符域模型。
占位符域结构通过将高级模式访问帐户隔离到与常规用户域完全独立的域中,从而提高了林中的安全性。可以审计和限制对占位符域的访问,以保持对关键模式的更严格控制。然而,此模型的缺点是,额外的域需要一组单独的域控制器,这增加了环境的基础设施成本。一般来说,这使得较小的组织不太希望使用这个领域模型,因为增加的成本和降低的安全性之间的权衡太大了。然而,较大的组织可以考虑此模型提供的增强安全性。
回顾AD基础设施组件
必须在组织内部安装AD的几个关键组件,以确保exchangeserver2007和AD功能正常。在较小的环境中,许多这些组件可以安装在一台机器上,但是所有这些组件都需要安装在一个环境中,以确保服务器的功能。
概述域名系统(DNS)对Exchange Server 2007设计的影响
除了与AD紧密集成外,Exchange Server 2007还与域名系统(DNS)结合在一起。DNS充当Exchange Server 2007、AD和大多数新的Microsoft应用程序和服务的查找代理。DNS将通用名称转换为计算机可识别的IP地址。例如,名字http://www.cco.com转换成的IP地址12.155.166.151。AD和Exchange Server 2007要求至少有一个DNS服务器可用,以便正确进行名称解析。
鉴于依赖这两个Exchange Server 2007和AD对DNS,它是一个极其重要的设计元素。对于在深入了解DNS和Exchange Server 2007中的作用,参见第6章,“了解网络服务和AD域控制器放置为Exchange Server 2007”
检查Exchange的DNS名称空间注意事项
鉴于Exchange Server 2007对DNS的依赖,必须为AD结构驻留选择一个公共的DNS名称空间。在多个树域模型中,这可能由几个DNS树组成,但在小型组织环境中,这通常意味着为AD域选择单个DNS名称空间。
在AD所在的DNS名称空间和邮件发送的电子邮件的DNS名称空间之间存在很大的混淆。尽管它们通常是相同的,但在许多情况下,这两个名称空间之间存在差异。例如,CompanyABC的AD结构由一个名为abc.internal和到邮件传递的电子邮件域companyabc.com。在这种情况下,创建单独的名称空间是为了减少在内部和外部(发布到Internet)维护相同的DNS名称空间时的安全漏洞。
为了简单起见,abc公司可以选择companyabc.com作为其AD名称空间。通过使广告登录用户主体名(UPN)和电子邮件地址相同,这种选择增加了环境的简单性。例如,用户Pete Handley是pete@companyabc.com登录,pete@companyabc.com电子邮件。此选项是许多组织的选择,因为需要用户的简单往往胜过更高的安全性。
最理想的定位全局编录服务器
由于所有Exchange目录查找使用AD,它是重要的基本AD全局编录信息提供给组织中的每个Exchange服务器。对于单个站点的许多小型办公室,这只是意味着它必须在主站点提供一个完整的全局编录服务器是很重要的。
全局目录是AD数据库的索引,其中包含其内容的部分副本。AD树中的所有对象都在全局目录中引用,这使用户能够搜索位于其他域中的对象。每个对象的每个属性都不会复制到全局目录中,只复制那些在搜索操作中常用的属性,比如名和姓。Exchange Server 2007使用全局目录来基于电子邮件查找名称、电子邮件地址和其他与邮件相关的属性。
由于完整的全局编录复制可能比标准的域控制器复制消耗更多带宽,因此设计一个反映可用WAN链路容量的站点结构非常重要。如果有足够的容量可用,就可以部署一个完整的全局编录服务器。但是,如果容量有限,可以启用通用组成员缓存来减少带宽负载。
使用microsoftidentity Integration Server (MIIS) 2003了解多个森林设计概念
Microsoft身份集成服务器2003使得两个单独的AD林间的对象外的开箱复制。这一概念成为与想要为公司共同的全球通讯簿多个Exchange实现组织的重要。MIIS以前的迭代需要的脚本的深入了解,能够给两个林之间同步的对象。MIIS 2003,在另一方面,包括内置的,可以两台Exchange Server 2007的AD林之间建立复制脚本,使森林更加容易的整合。
注意 -MIIS 2003中的内置脚本仅支持具有完整Exchange Server 2007或Exchange Server 2003模式的两个森林之间的同步。换句话说,如果需要在exchange2000林或exchange5.5目录之间同步,则必须开发自定义脚本。
确定Exchange Server 2007的位置
以前的Exchange版本基本上迫使许多组织在用户超过十几个的站点上部署服务器。然而,在exchangeserver2007中的站点合并概念中,可以为多个位置的客户机提供服务的Exchange服务器数量较少,即使它们被缓慢的WAN链接分隔开来。对于中小型组织,这本质上意味着一个或两个服务器应该能够满足组织的需求,很少有例外。较大的组织需要更多的Exchange服务器,这取决于站点和用户的数量。在设计exchangeserver2007布局时,必须同时考虑管理组和路由组的结构。此外,Exchange Server 2007引入了新的服务器角色概念,应该理解这些概念,以便将正确的服务器部署到正确的位置。
了解Exchange Server 2007的服务器角色
Exchange Server 2007引入了服务器角色的概念作为交换术语。在过去,服务器功能是松散的术语,例如将Exchange服务器称为OWA或前端服务器、桥头服务器或邮箱或后端服务器。事实上,没有集用于Exchange服务器角色的术语。另一方面,Exchange Server 2007清楚地定义了服务器可以扮演的特定角色。多个角色可以驻留在一台服务器上,或者多个服务器可以具有相同的角色。通过对这些角色进行标准化,可以更容易地为特定位置的服务器指定特定角色,从而设计交换环境。
包含在Exchange Server 2007中的服务器角色包括以下内容:
客户端访问服务器- CAS角色允许客户端连接通过非标准的方法,如Outlook Web Access (OWA), Exchange ActiveSync,邮局协议3 (POP3),和因特网消息访问协议(IMAP)。CAS服务器是exchange2000 /2003前端服务器的替代品,可以为冗余目的实现负载平衡。与其他服务器角色一样,对于具有单个服务器的较小组织,CAS角色可以与其他角色共存。
边缘传输服务器-The边缘传输服务器角色是唯一的Exchange 2007,并且由通常驻留在防火墙的非军事区(DMZ)的独立服务器。该服务器从互联网上的病毒和垃圾邮件过滤器的入站SMTP邮件流量,然后将其转发到内部集线器传输服务器。边缘传输服务器保持其经由称为EdgeSync的机制与内部AD结构同步的本地AD应用程序模式(ADAM)实例。这有助于减少外汇的表面面积的攻击。
集线器传输服务器-The集线器传输服务器角色充当邮件桥头堡邮件在一级广告的网站和邮件发送到其他AD网站服务器之间发送。需要有一个包含与邮箱角色的服务器上的AD网站内的至少一个集线器传输服务器,但也可以有多个集线器传输服务器,以提供冗余和负载均衡。
邮箱服务器-The邮箱服务器角色是直观;是否需要将其作为库在用户的邮箱和低级别的公用文件夹的邮件数据。这也直接与Outlook MAPI业务交互。所有其他接入方式都是通过CAS服务器代理。
统一消息服务器-统一消息服务器角色是Exchange 2007中的新角色,它允许用户的收件箱用于语音消息传递和传真功能。
这些角色中的任何一个或所有角色都可以安装在一台服务器或多台服务器上。对于较小的组织来说,一台服务器就足够容纳所有Exchange角色了。对于较大的组织,可能需要更复杂的配置。有关设计大型和复杂的Exchange实现的更多信息,请参见第4章。
了解环境规模调整注意事项
在一些非常小的组织中,用户数量小到足以保证在一台服务器上安装所有AD和Exchange Server 2007组件。只要所有必要的组件(dns、全球编录域控制器和Exchange Server 2007)都安装在相同的硬件上,这种场景是可能的。但是,通常最好尽可能将AD和Exchange分离到单独的硬件上。
识别客户端访问点
在其核心,Exchange Server 2007中基本上扮演的邮箱数据仓库。邮箱内访问邮件可以通过多种方式,其中一些可能是由特定的服务或应用程序环境中的需要发生。一个很好的理解是什么,这些服务和是否以及如何设计应该支持它们是必要的。