简而言之,一个AD的“实例”由一个AD森林组成。森林由AD树组成,它们是森林中相邻的域名称空间。每个树由一个或多个域组成,见图3.1。
Multitree森林设计。
在组织中使用多个AD森林的某些情况下存在:
政治限制-一些组织有特定的政治原因,迫使创建多个广告森林。例如,如果合并后的公司实体需要单独的部门来维护完全独立的信息技术(IT)基础设施,则需要多个forest。
安全问题- 虽然AD域作为事实上的安全边界,“最终”安全边界是有效的森林。换句话说,有可能用于在森林中的域用户帐户到相同的森林内侵入域。虽然这些类型的漏洞是不常见的,并且难以做到的,高度安全意识的组织应实行独立的AD森林。
应用程序功能-单个AD森林共享一个公共目录模式,该模式是目录的底层结构,在整个森林中必须是唯一的。在某些情况下,组织的独立分支需要安装某些应用程序,这些应用程序需要对模式进行扩展。这可能是不可能的,或者可能与其他分支的模式需求冲突。这些情况可能需要创建一个单独的林。
特定于交换的功能(资源林)- 在某些情况下,可能有必要到Exchange Server 2007安装到一个单独的森林,使交易所驻留在独立的架构和森林实例。这种类型的设置的一个例子是与特异性针对Exchange创建第三森林,并使用交叉林信任到分配邮箱权限两个现有的AD森林的组织。
最简单的设计往往最好的工作。同样的原则也适用于广告设计。设计者应与假设一个简单的林和域结构的环境中工作开始。然而,当因素如先前所描述的那些创建约束,多个森林可以建立满足约束条件的要求。
理解广告域结构
选择了AD森林结构后,就可以对域结构进行布局。与forest结构一样,通常明智的做法是考虑exchange2007目录的单一域模型。事实上,如果只考虑部署Exchange,那么这通常是最佳选择。
对于单一域模型有一个主要的例外:占位符域模型。占位符域模型有一个独立的域作为林中的根域。包含所有生产用户帐户的用户域将位于林中的一个单独域,如中所示图3.2。
占位符域模型。
占位符域结构通过将高级模式访问帐户隔离到与常规用户域完全独立的域中,从而提高了林中的安全性。可以审计和限制对占位符域的访问,以保持对关键模式的更严格控制。然而,此模型的缺点是,额外的域需要一组单独的域控制器,这增加了环境的基础设施成本。一般来说,这使得较小的组织不太希望使用这个领域模型,因为增加的成本和降低的安全性之间的权衡太大了。然而,较大的组织可以考虑此模型提供的增强安全性。
检查AD基础设施组件
AD的几个关键部件必须在一个组织内安装,以确保正确的Exchange Server 2007和广告功能。在较小的环境中,许多组件可以安装在一台机器上,但都需要定位的环境内,以确保服务器的功能。
大纲上的Exchange Server 2007设计的域名系统(DNS)的影响
除了与AD紧密集成外,Exchange Server 2007还与域名系统(DNS)结合在一起。DNS充当Exchange Server 2007、AD和大多数新的Microsoft应用程序和服务的查找代理。DNS将通用名称转换为计算机可识别的IP地址。例如,名字http://www.cco.com转换成IP地址12.155.166.151。AD和Exchange Server 2007需要至少一个DNS服务器可用,这样名称解析正确发生。
考虑到Exchange Server 2007和AD对DNS的依赖,它是一个极其重要的设计元素。要深入了解DNS和它在Exchange Server 2007中的角色,请参阅第6章,“理解Exchange Server 2007的网络服务和AD域控制器的放置。”
查看DNS命名空间的注意事项对于Exchange
鉴于Exchange Server 2007中对DNS的依赖,一个常见的DNS命名空间必须先选择的AD结构存在于在多个树域模型,这可能是由多个DNS树,但在小型组织环境中,这通常意味着选择单DNS命名空间的AD域。
还有在公元所在的DNS命名空间,并在邮件传递的电子邮件DNS命名空间的混淆很大。虽然他们往往是相同的,在很多情况下,有两个命名空间之间的差异。例如,CompanyABC的AD结构是由命名为单结构域的abc.internal,以及邮件要发送到的电子邮件域companyabc.com。在这种情况下,创建单独的名称空间是为了减少在内部和外部维护相同的DNS名称空间(发布到Internet)的安全漏洞。
为了简单起见,abc公司可以选择companyabc.com作为其AD命名空间。这种选择通过使AD登录用户主要名称(UPN)和电子邮件地址相同的增加了环境的简单性。例如,用户皮特汉德利是pete@companyabc.com登录,pete@companyabc.com电子邮件。这个选项是许多组织的选择,因为对用户简单性的需求常常胜过更高的安全性。
最佳定位全局编录服务器
因为所有Exchange目录查找都使用AD,所以必须让组织中的每个Exchange服务器都可以使用基本的AD全局目录信息。对于具有单个站点的许多小型办公室,这仅仅意味着在主站点中有一个完整的全局编录服务器是很重要的。
全局目录是一个包含其内容的部分副本AD数据库的索引。在AD树中的所有对象的全局编录,使用户能够搜索位于其他域中的对象内引用。每个对象的每个属性不会被复制到全局编录,只有那些经常在搜查行动中使用这些属性,如姓氏和名字。Exchange Server 2007使用的姓名,电子邮件地址,以及其他邮件相关的属性的基于电子邮件的查找全局编录。
由于完整的全局编录复制可能比标准的域控制器复制消耗更多带宽,因此设计一个反映可用WAN链路容量的站点结构非常重要。如果有足够的容量可用,就可以部署完整的全局编录服务器。但是,如果容量有限,可以启用通用组成员缓存来减少带宽负载。
了解使用Microsoft身份集成服务器(MIIS)2003多个林的设计概念
microsoftidentity Integration Server 2003支持在两个独立的AD森林之间对对象进行开箱即用的复制。对于拥有多个Exchange实现、希望为公司提供公共全局地址列表的组织来说,这个概念非常重要。MIIS的前几次迭代需要深入了解脚本,以便能够在两个森林之间同步对象。另一方面,MIIS 2003包含内置脚本,可以在两个Exchange Server 2007 AD森林之间建立复制,从而使森林之间的集成更加容易。
注意:MIIS 2003中的内置脚本仅支持具有完整Exchange Server 2007或Exchange Server 2003模式的两个森林之间的同步。换句话说,如果需要在exchange2000林或exchange5.5目录之间同步,则必须开发自定义脚本。
确定Exchange Server 2007的布局
以前的Exchange版本基本上迫使许多组织在用户超过十几个的站点上部署服务器。然而,在exchangeserver2007中的站点合并概念中,可以为多个位置的客户机提供服务的Exchange服务器数量较少,即使它们被缓慢的WAN链接分隔开来。对于中小型组织,这本质上意味着一个或两个服务器应该满足组织的需求,很少有例外。较大的组织需要更多的Exchange服务器,这取决于站点和用户的数量。在设计exchangeserver2007布局时,必须同时考虑管理组和路由组的结构。此外,Exchange Server 2007引入了新的服务器角色概念,应该理解这些概念,以便将正确的服务器部署到正确的位置。
理解Exchange Server 2007服务器角色
Exchange Server 2007中引入了服务器角色的概念到Exchange术语。在过去,服务器功能被称为松散,例如指的是一个交换服务器作为OWA或前端服务器,桥头服务器,或邮箱或后端服务器。在现实中,没有集这是用于Exchange服务器角色的术语。Exchange Server 2007中,在另一方面,明确定义了特定角色的服务器可以容纳。多个角色可以驻留在一台服务器上,或者多个服务器可以有同样的作用。通过对这些角色的规范,它变得更容易通过指定特定角色在特定地点的服务器设计Exchange环境。
Exchange server 2007中包含的服务器角色包括以下内容:
客户端访问服务器- CAS角色允许客户端连接通过非标准的方法,如Outlook Web Access (OWA), Exchange ActiveSync,邮局协议3 (POP3),和因特网消息访问协议(IMAP)。CAS服务器是Exchange 2000/2003前端服务器的替代品,可以为冗余目的实现负载平衡。与其他服务器角色一样,对于具有单个服务器的较小组织,CAS角色可以与其他角色共存。
边缘传输服务器-边缘传输服务器角色是exchange2007所特有的,由一个通常位于防火墙的非军事区(DMZ)的独立服务器组成。此服务器过滤来自Internet的入站SMTP邮件流量,以防止病毒和垃圾邮件,然后将其转发到内部集线器传输服务器。边缘传输服务器保持一个本地AD应用程序模式(ADAM)实例,该实例通过一种名为EdgeSync的机制与内部AD结构同步。这有助于减少交换的表面攻击区域。
集线器传输服务器Hub Transport server角色充当邮件桥头堡,用于在一个广告站点的服务器之间发送邮件和发送到其他广告站点的邮件。在包含具有邮箱角色的服务器的AD站点中,需要至少有一个集线器传输服务器,但也可以有多个集线器传输服务器来提供冗余和负载平衡。
邮箱服务器-邮箱服务器角色直观;如果需要,它充当用户邮箱和低级公共文件夹中的邮件数据仓库。它还直接与Outlook MAPI流量交互。所有其他访问方法都通过CAS服务器代理。
统一消息服务器-统一消息服务器角色是Exchange 2007中的新角色,允许用户的收件箱用于语音消息传递和传真功能。
任何或所有这些角色可以安装在一台服务器上或在多个服务器上。对于规模较小的组织,在一台服务器保存所有Exchange角色就足够了。对于较大的组织,可能需要一个更复杂的配置。有关设计大型和复杂的交易实现的更多信息,请参阅第4章。
了解环境规模调整注意事项
在一些非常小的组织中,用户数量小到足以保证在一台服务器上安装所有AD和Exchange Server 2007组件。只要所有必要的组件(dns、全球编录域控制器和Exchange Server 2007)都安装在相同的硬件上,这种场景是可能的。但是,通常最好尽可能将AD和Exchange分离到单独的硬件上。
识别客户端访问点
在其核心上,Exchange Server 2007实质上充当邮箱数据的存储库。可以通过多种方式访问邮箱中的邮件,其中一些可能是环境中的特定服务或应用程序所需要的。必须很好地理解这些服务是什么,以及您的设计是否以及如何支持它们。