使用專屬的 Exchange 樹系

發行項
10/27/2013

上次修改主題的時間： 2006-04-18

有些狀況下，您可能必須另外設定專門執行 Exchange 的 Active Directory 樹系。例如，您可能有要保留的 Windows NT 樹系。或者，您可能必須分別管理 Active Directory 物件和 Exchange 物件，因此要另外設定專門執行 Exchange 的 Active Directory 樹系。需要在 Active Directory 系統管理和 Exchange 系統管理之間保有一道安全性 (樹系) 界限的公司，可以選擇這個選項。

Exchange 樹系 (也稱為「資源樹系」) 專門用來執行 Exchange 和裝載信箱。使用者帳戶包含在一或多個樹系 (稱為「帳戶樹系」)，與資源樹系有所區隔。如需在多重樹系環境中部署 Exchange 的相關資訊，請參閱＜規劃在多重樹系環境中部署 Exchange＞。

來自帳戶樹系的已啟用使用者，都各與一個連接到資源樹系中之已停用使用者的信箱相關聯。這個組態可讓使用者存取位於不同樹系的信箱。在這個案例中，您會設定資源樹系和帳戶樹系之間的信任。您也可能必須設定佈建程序，讓系統管理員每次在 Active Directory 建立使用者時，就會在 Exchange 中建立具有信箱的已停用使用者。

附註：
如果使用者帳戶有安全性識別項 (SID) 歷程記錄，您必須關閉帳戶樹系和資源樹系間的 SID 篩選 (否則，使用者無法存取其信箱)。帳戶有兩個方法來取得 SID 歷程記錄： • 如果依照外部遷移路徑，從 Exchange 5.5 遷移至 Exchange 2003，則每個新帳戶會在 SIDHistory 屬性中保留它的舊 SID。 • 如果您使用 Active Directory 遷移工具 (ADMT) 從某個樹系移動帳戶至另一個樹系，每個新帳戶會在 SIDHistory 屬性中保留它的舊 SID。

如果使用者帳戶有安全性識別項 (SID) 歷程記錄，您必須關閉帳戶樹系和資源樹系間的 SID 篩選 (否則，使用者無法存取其信箱)。帳戶有兩個方法來取得 SID 歷程記錄：
• 如果依照外部遷移路徑，從 Exchange 5.5 遷移至 Exchange 2003，則每個新帳戶會在 SIDHistory 屬性中保留它的舊 SID。
• 如果您使用 Active Directory 遷移工具 (ADMT) 從某個樹系移動帳戶至另一個樹系，每個新帳戶會在 SIDHistory 屬性中保留它的舊 SID。

因為所有 Exchange 資源都是包含在單一樹系中，所以單一 GAL 包含了整個樹系的所有使用者。下圖將說明專屬的 Exchange 樹系案例。

b01795e0-b2c9-4c56-9938-4b5d064ba3fb

專用 Exchange 樹系案例的主要優點是，Active Directory 和 Exchange 系統管理之間有安全性界限。

這個案例的缺點包括：

無法運用 Exchange 和 Active Directory 整合式系統管理，增加更多系統管理負荷量。
必須在將要執行 Exchange 的 Microsoft Windows® 站台中，重複安裝網域控制站和通用類別目錄伺服器，這會提高成本。

需要佈建程序，讓 Active Directory 更新反映在 Exchange 中。(例如，在樹系 A 中建立新的 Active Directory 使用者時，會產生擁有信箱功能及權限的預留位置物件。)當您在一個樹系中建立物件時，必須確定另一個樹系中也會建立對應物件。例如，如果在一個樹系中建立使用者，請確定另一個樹系中也會建立該使用者的預留位置。您可以手動建立對應物件，也可以藉由建立指令碼或實作協力廠商軟體來自動執行該處理程序。

重要事項：
Microsoft Identity Integration Server 2003 (MIIS 2003) 中的 GAL 同步處理功能不適合用於資源樹系模型 (在這個模型中，使用者帳戶與其信箱位於不同的樹系)。雖然您無法使用 MIIS 2003 中的 GAL 同步處理功能，但可以設定 MIIS 2003 在資源樹系與帳戶樹系之間佈建物件。此外，您可以使用 GAL 同步處理功能，來同步處理資源樹系與其他 Exchange 樹系 (但帳戶樹系除外)。

Microsoft Identity Integration Server 2003 (MIIS 2003) 中的 GAL 同步處理功能不適合用於資源樹系模型 (在這個模型中，使用者帳戶與其信箱位於不同的樹系)。雖然您無法使用 MIIS 2003 中的 GAL 同步處理功能，但可以設定 MIIS 2003 在資源樹系與帳戶樹系之間佈建物件。此外，您可以使用 GAL 同步處理功能，來同步處理資源樹系與其他 Exchange 樹系 (但帳戶樹系除外)。

資源樹系案例的變異是多個樹系，而其中一個樹系裝載 Exchange。如果您有多個 Active Directory 樹系，Exchange 部署的方式取決於需在樹系間維持的自主程度。公司業務單位如需要替目錄物件建立安全性 (樹系) 界限，但可以共用 Exchange 物件，可選擇在其中一個樹系部署 Exchange，並使用該樹系裝載公司中其他樹系的信箱。因為所有 Exchange 資源都是包含在單一樹系中，所以單一 GAL 包含了所有樹系的所有使用者。下圖將說明這個案例。

6c2f5563-8abc-477b-a970-7804ab5fe1f3

這個案例的主要優點包括：

運用現有的 Active Directory 結構
使用現有的網域控制站和通用類別目錄伺服器
在樹系間提供嚴格的安全性界限

這個案例的缺點包括：

需要佈建程序，讓 Active Directory 更新反映在 Exchange 中。例如，在樹系 A 建立新的 Active Directory 使用者時，會在樹系 B 產生擁有信箱功能及權限的已停用物件。
樹系系統管理員必須決定如何共用或分割 Active Directory 和 Exchange 物件的管理職責。

共用方式為

使用專屬的 Exchange 樹系

其他資源