规划对 Active Directory 的访问
**适用于:**Exchange Server 2010
**上一次修改主题:**2010-02-01
Microsoft Exchange Server 2010 将所有配置和收件人信息存储在 Active Directory 目录服务数据库中。如果运行 Exchange 2010 的计算机需要有关收件人的信息以及 Exchange 组织的配置信息,则其必须查询 Active Directory 才能访问所需信息。要使 Exchange 2010 正确运行,必须有 Active Directory 服务器。
本主题说明了 Exchange 2010 如何在 Active Directory 中存储和检索信息,以便您可以规划对 Active Directory 的访问。另外,本主题还讨论了当尝试恢复已删除的 Exchange 2010 Active Directory 对象时应当注意的问题。
存储在 Active Directory 中的 Exchange 信息
Active Directory 数据库将信息存储在下面几节描述的三种类型的逻辑分区中:
- 架构分区
- 配置分区
- 域分区
架构分区
架构分区存储两种类型的信息:架构类和架构属性。架构类定义可在 Active Directory 中创建和存储的对象的所有类型。架构属性定义可用于描述存储在 Active Directory 中的对象的所有属性。
在林中安装第一个 Exchange 2010 服务器角色或运行 Active Directory 准备过程时,Active Directory 准备过程会将多个类和属性添加到 Active Directory 架构中。添加到架构中的类用于创建特定于 Exchange 的对象,比如代理和连接器。添加到架构中的属性用于配置特定于 Exchange 的对象和已启用邮件的用户和组。这些属性包括诸如 Microsoft Office Outlook Web Access 设置和 Microsoft Exchange 统一消息 (UM) 设置这样的属性。林中的每个域控制器和全局编录服务器都包含架构分区的完整副本。
有关 Exchange 2010 中的架构修改的详细信息,请参阅 Exchange 2010 Active Directory 架构更改。
配置分区
配置分区存储有关林范围内的配置信息。此配置信息包括 Active Directory 站点的配置、Exchange 全局设置、传输设置、邮箱策略和 UM 拨号计划。每种类型的配置信息都存储在配置分区的容器中。Exchange 的配置信息存储在配置分区的服务容器下面的子文件夹中。存储在此容器中的信息包含以下内容:
- 地址列表
- 地址和显示模板
- 管理组
- 客户端访问设置
- 连接
- 邮件记录管理、移动和 UM 邮箱策略
- 全局设置
- 电子邮件地址策略
- 系统策略
- 传输设置
林中的每个域控制器和全局编录服务器都包含配置分区的完整副本。
域分区
域分区将信息存储在默认容器以及由 Active Directory 管理员创建的组织单位中。这些容器包含特定于域的对象。这些数据包括 Exchange 系统对象以及有关域中的计算机、用户和组的信息。安装 Exchange 2010 后,Exchange 将更新此分区中的对象,以支持 Exchange 功能。此功能会影响收件人信息的存储和访问方式。
每个域控制器都包含有其已获授权的域的域分区完整副本。林中的每个全局编录服务器都包含林中每个域分区中的信息子集。
Exchange 2010 如何访问 Active Directory 中的信息
Exchange 2010 利用 Active Directory API 来访问存储在 Active Directory 中的信息。Active Directory 拓扑服务可针对所有 Exchange 2010 服务器角色运行。此服务将从所有 Active Directory 分区中读取信息。检索到的数据将被缓存并由 Exchange 2010 服务器用于发现组织中所有 Exchange 服务的 Active Directory 站点位置。有关拓扑和服务发现的详细信息,请参阅规划使用 Active Directory 站点路由邮件。
Exchange 2010 是一种具有 Active Directory 站点感知功能的应用程序,它会优先与位于 Exchange 服务器所在相同站点中的目录服务器进行通信,以优化网络通信。每个 Exchange 2010 组织服务器角色必须与 Active Directory 进行通信以检索有关收件人的信息以及有关其他 Exchange 2010 服务器角色的信息。下面几节将说明每个服务器角色获取的数据。
默认情况下,只要 Exchange 2010 服务器启动,它就会绑定到其所属站点中随机选择的域控制器和全局编录服务器。通过在 Exchange 管理控制台中查看 Exchange 2010 服务器的属性,或者通过在 Exchange 命令行管理程序中使用 Get-ExchangeServer cmdlet,您可以查看所选的目录服务器。您还可以使用 Set-ExchangeServer cmdlet 来配置 Exchange 2010 服务器应绑定到的域控制器的静态列表或者应被排除的域控制器的列表。
重要
可以将 Windows Server 2008 域控制器配置为只读目录服务器。如果希望在远程站点中部署域控制器或全局编录服务器来进行身份验证和授权,但又不希望允许该站点的管理员将更改写入 Active Directory,此项配置将十分有用。但是,不能在仅包含只读目录服务器的任何站点中部署 Exchange 2010 服务器。
集线器传输服务器角色
集线器传输服务器角色在执行邮件分类时将与 Active Directory 联系。分类程序必须查询 Active Directory 才能执行收件人查找和路由解析。分类程序在收件人查找期间检索的信息包括收件人邮箱的位置以及可能应用于收件人的任何限制或权限。分类程序还必须查询 Active Directory 才能展开通讯组列表的成员身份,并执行将邮件发送到动态通讯组列表时必须执行的轻型目录访问协议 (LDAP) 查询处理。
在路由解析期间,分类程序使用由 Active Directory 拓扑服务缓存的拓扑信息来发现邮件的路由路径。集线器传输服务器使用 Active Directory 站点配置信息来确定拓扑中的其他服务器和连接器的位置。
在集线器传输服务器解析了收件人邮箱的位置后,它将使用 Active Directory 站点信息来定位邮箱存储。如果邮箱存储位于与集线器传输服务器所在的 Active Directory 站点相同的站点中,则集线器传输服务器会将邮件直接传递到用户的邮箱中。如果邮箱存储与集线器传输服务器不在相同 Active Directory 站点中,则集线器传输服务器会将邮件传递到远程 Active Directory 站点中的集线器传输服务器。
集线器传输服务器将所有配置信息存储在 Active Directory 中,并通过访问 Active Directory 来检索这些信息。这些配置信息包括所有传输规则、日记规则和连接器的详细信息。
客户端访问服务器角色
客户端访问服务器角色接收访问自己邮箱的用户通过使用 Outlook Web App(POP3、IMAP4 或 Microsoft Exchange ActiveSync)发出的 Internet 连接。收到用户连接后,客户端访问服务器将与 Active Directory 联系以验证用户身份并确定用户邮箱服务器的位置。如果用户的邮箱与客户端访问服务器位于相同 Active Directory 站点中,则用户可直接连接到其邮箱。如果用户的邮箱与收到初始连接的客户端访问服务器位于不同的 Active Directory 站点中,则连接会重定向到远程 Active Directory 站点中的客户端访问服务器。
统一消息服务器角色
统一消息服务器角色访问 Active Directory 以检索全局配置信息,如拨号计划、IP 网关和智能寻线。当统一消息服务器收到邮件时,将搜索 Active Directory 收件人,以便将电话号码与收件人地址进行匹配。在解析此信息后,统一消息服务器即可确定收件人邮箱存储的位置,然后将邮件提交到集线器传输服务器,以便路由到邮箱。
邮箱服务器角色
邮箱服务器角色将有关邮箱用户和存储的配置信息存储在 Active Directory 中。此外,代理、地址列表和策略的配置也存储在 Active Directory 中。邮箱服务器将检索这些信息以强制执行邮箱策略和全局设置。
边缘传输服务器角色
边缘传输服务器角色部署在外围网络中,不是域成员。边缘传输服务器对 Active Directory 没有访问权限,使用 Active Directory 轻型目录服务(AD LDS,以前称为 Active Directory 应用程序模式或 ADAM)来存储架构和配置信息。您可以创建边缘订阅,以将边缘传输服务器订阅到 Active Directory 站点。此 Active Directory 站点中的集线器传输服务器会使用 Microsoft Exchange EdgeSync 服务将 Active Directory 数据同步到 AD LDS。
建议您为每个边缘传输服务器创建一个边缘订阅。此过程将自动设置端到端邮件流所需的发送连接器。如果要使用收件人查找或安全列表聚合反垃圾邮件功能,则必须创建边缘订阅。
恢复已删除的 Exchange 对象
Active Directory 回收站可在不从备份还原 Active Directory 数据、不重新启动 Active Directory 域服务 (AD DS) 或域控制器的情况下,增强保留和恢复意外删除的 Active Directory 对象的能力,从而有效减少目录服务的停机时间。
对于恢复已删除的与 Exchange 相关的 Active Directory 对象,最需要了解的一点是 Exchange 对象不是孤立存在的。例如,对用户启用邮件时,将根据您当前的 Exchange 配置为此用户计算多个不同的策略和链接。还原已删除的 Exchange 配置或收件人对象时,可能会出现两个问题:
- 冲突 某些 Exchange 属性必须在林中唯一。例如,两个不同用户的代理(电子邮件)地址不能相同。Active Directory 不强制要求代理地址的唯一性,但 Exchange 管理工具会进行检查。另外,Exchange 电子邮件地址策略还会根据确定的规则自动解决代理地址分配中可能存在的冲突。因此,可以还原 Exchange 用户对象,并从而创建代理地址或其他应唯一的属性的冲突。
- 错误配置 Exchange 具有可分配各种策略或设置的自动规则。如果删除了收件人,然后更改了规则或策略,则还原 Exchange 用户对象可能会导致用户被分配到错误的策略(或者甚至不复存在的策略)。
以下准则可最大限度地减少恢复已删除的与 Exchange 相关的对象时遇到的困难或问题。
- 如果您使用 Exchange 管理工具删除了某个 Exchange 配置对象,则不要还原该对象。而请使用 Exchange 管理工具(Exchange 管理控制台或 Exchange 命令行管理程序)重新创建该对象。
- 如果未使用 Exchange 管理来删除 Exchange 配置对象,请尽快将其恢复。删除后在系统中所做的管理和配置更改越多,还原对象所造成错误配置的可能性就越大。
- 如果您恢复了已删除的 Exchange 收件人(联系人、用户或通讯组),请密切监视是否存在与已恢复的对象相关的冲突和错误。如果在删除后可能已修改 Exchange 策略或其他与收件人相关的配置,请将当前策略重新应用到已还原的收件人,以确保正确配置这些收件人。
有关使用 Active Directory 回收站的详细信息,请参阅 Active Directory 回收站分步指南。