近期,需要给客户进行一次Exchange Server 的运维普及培训,在前期博文的基础上,准备再梳理一下运维管理的思路,发几篇和运维管理相关的博文。本文,就介绍一下Exchange Server 2010中的Active Directory有什么用?
很多朋友都知道,安装Exchange 肯定需要在域环境里,活动目录很重要,但到底起到了哪些作用?我们来看一下。针对Exchange Server来说,活动目录主要起到两大作用:一是 Exchange Server 使用 Active Directory 来存储目录信息;二是 Exchange Server 根据 Active Directory 站点拓扑确定如何在组织中传输邮件。
Exchange Server 使用 Active Directory 来存储目录信息
微软的很多产品都和活动目录有着紧密的联系,Exchange 也在活动目录中存储四种类型的信息:架构数据、配置数据、域数据。
架构数据:架构数据存储在架构分区内。活动目录中包含不同类型的对象,例如有计算机对象、有用户对象、有组对象、有文件夹、有打印机等等,每种类型的对象又包含不同的的属性。这些对象类型和属性就定义在架构分区里。当我们安装第一台Exchange服务器时,就需要各AD架构中添加一些对象类型和相应的属性,其目的是为了创建Exchange的专有对象和属性,像代理和连接器等。同时为了使用现有的用户对象和组对象能够发送和接收邮件,还需要对现有的用户和组对象的属性进行扩展。
上图显示的就是在对域进行扩展后,会创建Exchange相关对象。而下图左图就是修改后的用户属性:
配置数据:配置数据存储在配置分区,在活动目录中,配置数据包含了整个域环境的结构,包括所有的域、域树、森林,以及域控制器和全局的编录的位置。安装了Exchange之后,Exchange的配置信息也存储在配置分区,这些配置数据描述了整个Exchange的组织架构信息,如:地址列表、模板列表、全局设置、电子邮件地址策略等等。
域数据:域数据存储在域分区内。这里面存储的是AD自带的对象,也是大家最为熟悉的对象,像用户、组、计算机等。那可能有的朋友会比较奇怪:架构分区里不是已经存放有用户、组、计算机对象了?在架构分区里存储的是对象类型,只是说有哪些类型的数据。而域数据中存储的才是每种类型的数据所对应的实际值。如果大家学过数据库的,就比较好理解,架构分区就相当于是定义了一个表结构,而域分区里才是存储相应的字段值或者是属性值。在安装第一台Exchange服务器时,系统就会在当前域创建Exchange的对象,当管理员在创建、删除或者是修改对象的时候,Exchange就会在域分区中存储这些对象的信息。例如,在删除一个用户邮箱时,会记录到域分区;修改一个用户的属性时也会记录到域分区。
Exchange Server 根据AD站点拓扑路由邮件
Exchange 2010相对于Exchange2003来说,不再需要Exchange本身拥有路由功能,可以通过查询活动目录来确定邮件的路由。下面咱们描述一下:
就是此图中所显示的客户端访问服务器角色(CAS)来说,它只是接受用户连接的统一入口,不论是手机、Outlook、浏览器还是其他智能设备必须先连接到CAS服务器,然后再由CAS服务器再转到MBX服务器上,用户才能看到自己的邮件。这只是一个用户连接的过程,而不是发送和接收邮件的过程,因此没有邮件路由的问题。
只有在发送和接收邮件时才涉及到邮件路由的问题,不论是企业内部一个员工的邮件发送给另一个员工,还是内部邮件发送到外网(出站),还是外网邮件发送到企业内部(入站),都需要进行邮件路由。在邮件路由时,主要会使用到两个角色:Edge角色和集线器传输角色,Edge主要面向Internet邮件的路由和邮件安全过滤(垃圾邮件、病毒邮件),相当于是一个邮件防火墙;集线器传输角色主要提供组织内部不同的MBX之间的邮件路由和邮件安全过滤,如果没有部署Edge角色,也可以利用集线器传输创建发送连接器以及接收连接器来转发和接收Internet的邮件。现在为什么Edge的功能被弱化,主要是其功能还不够专业,如果有专业的硬件反垃圾邮件网关还是建议使用硬件设备,或者是可以由集线器传输角色来实现相关的功能。
当用户发送邮件时,集线器传输角色(以下简单HT角色),会运行分类程序,通过查询活动目录中的信息去确认这个邮件应该传输给哪台服务器。如果收件人的邮箱位于相同站点内的MBX服务器上,那么HT角色服务顺会直接将邮件投递到用户邮箱中。如果收件人的邮箱位于不同站点的MBX服务器上,此邮件会被传递到相应站点的HT角色服务器上,然后再由传递到用户邮箱。也就是下面所论述的过程:
在集线器传输服务器收到用户的邮件之后,会将邮件传递到提交队列中,然后由分类程序进行分类:
代理处理已提交的邮件:收到邮件后,集线器传输服务器如果安装有代理程序的话,例如Forefront的话,则由此类代理程序进行防病毒代理,进行连接筛选、内容筛选等。
收件人解析: 就是验证收件人是不是合法,是不是在本Exchange组织中拥有邮箱,或者是一个外部电子邮件地址;
邮件路由:解析了收件人信息后,分类程序的路由组件将确定邮件的最终目标以及通向该目标的路由,选择用于中继邮件的下一个网段。
内容转换:将邮件中继到下一个网段之前,会进行内容转换, 也就是将电子邮件从一种格式转移为另一种格式,以便于邮件流或者是存储,例如将MAPI转移为MIME,或者将UNENCODE转换为base64编码等,或者是为了正确地在特定电子邮件客户端显示,而转换为HTML、RTF或者是TXT等。
代理处理已路由的邮件: 做出特定邮件的路由决策之后,传输规则代理和日志代理就起作用了,通过记录入站和出站电子邮件通信,日记功能可以帮助组织对法律、法规和组织合规性要求做出响应。
邮件打包: 最终的分类邮件将组合在一起并移动到传递队列。系统会为每个网段(跃点)生成一个传递队列。
这样就完成了邮件路由的工作,由SMTP发送、传递代理或者是外部网关连接处理程序来处理邮件了。直到邮件到达最终目标。如果找不到收件人的路由,邮邮件将在“无法到达”队列中排队。
在这里就需要用到活动目录站点的概念,因为在AD站点中,每一个站点将关联一个或者是多个IP子网,但是站点不能有重叠的子网配置。因此Exchange服务器就可以通过匹配所分配的IP地址去确定所处的站点。AD站点又是通过IP站点链路进行链接,每一个站点都有调度、间隔和开销几个参数,调度和间隔决定了活动目录复制的频率,而开销则决定了IP站点链接所可能产生的成本。当有多条路径到达目的地时,活动目录就会选择使用开销成本最低的链接方式 ,这里面涉及到网络速率、可用带宽以及可靠性等。管理员也可以手动修改此开销值。在复杂IT架构中,邮件从源地址到目的地址可能会经过多个站点。HT角色就会去尝试使用开销值最低的站点。