近期,需要給客戶進行一次Exchange Server 的運維普及培訓,在前期博文的基礎上,準備再梳理一下運維管理的思路,發幾篇和運維管理相關的博文。本文,就介紹一下Exchange Server 2010中的Active Directory有什麼用?
很多朋友都知道,安裝Exchange 肯定需要在域環境裏,活動目錄很重要,但到底起到了哪些作用?我們來看一下。針對Exchange Server來說,活動目錄主要起到兩大作用:一是 Exchange Server 使用 Active Directory 來存儲目錄信息;二是 Exchange Server 根據 Active Directory 站點拓撲確定如何在組織中傳輸郵件。
Exchange Server 使用 Active Directory 來存儲目錄信息
微軟的很多產品都和活動目錄有着緊密的聯繫,Exchange 也在活動目錄中存儲四種類型的信息:架構數據、配置數據、域數據。
架構數據:架構數據存儲在架構分區內。活動目錄中包含不同類型的對象,例如有計算機對象、有用戶對象、有組對象、有文件夾、有打印機等等,每種類型的對象又包含不同的的屬性。這些對象類型和屬性就定義在架構分區裏。當我們安裝第一臺Exchange服務器時,就需要各AD架構中添加一些對象類型和相應的屬性,其目的是爲了創建Exchange的專有對象和屬性,像代理和連接器等。同時爲了使用現有的用戶對象和組對象能夠發送和接收郵件,還需要對現有的用戶和組對象的屬性進行擴展。
上圖顯示的就是在對域進行擴展後,會創建Exchange相關對象。而下圖左圖就是修改後的用戶屬性:
配置數據:配置數據存儲在配置分區,在活動目錄中,配置數據包含了整個域環境的結構,包括所有的域、域樹、森林,以及域控制器和全局的編錄的位置。安裝了Exchange之後,Exchange的配置信息也存儲在配置分區,這些配置數據描述了整個Exchange的組織架構信息,如:地址列表、模板列表、全局設置、電子郵件地址策略等等。
域數據:域數據存儲在域分區內。這裏面存儲的是AD自帶的對象,也是大家最爲熟悉的對象,像用戶、組、計算機等。那可能有的朋友會比較奇怪:架構分區裏不是已經存放有用戶、組、計算機對象了?在架構分區裏存儲的是對象類型,只是說有哪些類型的數據。而域數據中存儲的纔是每種類型的數據所對應的實際值。如果大家學過數據庫的,就比較好理解,架構分區就相當於是定義了一個表結構,而域分區裏纔是存儲相應的字段值或者是屬性值。在安裝第一臺Exchange服務器時,系統就會在當前域創建Exchange的對象,當管理員在創建、刪除或者是修改對象的時候,Exchange就會在域分區中存儲這些對象的信息。例如,在刪除一個用戶郵箱時,會記錄到域分區;修改一個用戶的屬性時也會記錄到域分區。
Exchange Server 根據AD站點拓撲路由郵件
Exchange 2010相對於Exchange2003來說,不再需要Exchange本身擁有路由功能,可以通過查詢活動目錄來確定郵件的路由。下面咱們描述一下:
就是此圖中所顯示的客戶端訪問服務器角色(CAS)來說,它只是接受用戶連接的統一入口,不論是手機、Outlook、瀏覽器還是其他智能設備必須先連接到CAS服務器,然後再由CAS服務器再轉到MBX服務器上,用戶才能看到自己的郵件。這只是一個用戶連接的過程,而不是發送和接收郵件的過程,因此沒有郵件路由的問題。
只有在發送和接收郵件時才涉及到郵件路由的問題,不論是企業內部一個員工的郵件發送給另一個員工,還是內部郵件發送到外網(出站),還是外網郵件發送到企業內部(入站),都需要進行郵件路由。在郵件路由時,主要會使用到兩個角色:Edge角色和集線器傳輸角色,Edge主要面向Internet郵件的路由和郵件安全過濾(垃圾郵件、病毒郵件),相當於是一個郵件防火牆;集線器傳輸角色主要提供組織內部不同的MBX之間的郵件路由和郵件安全過濾,如果沒有部署Edge角色,也可以利用集線器傳輸創建發送連接器以及接收連接器來轉發和接收Internet的郵件。現在爲什麼Edge的功能被弱化,主要是其功能還不夠專業,如果有專業的硬件反垃圾郵件網關還是建議使用硬件設備,或者是可以由集線器傳輸角色來實現相關的功能。
當用戶發送郵件時,集線器傳輸角色(以下簡單HT角色),會運行分類程序,通過查詢活動目錄中的信息去確認這個郵件應該傳輸給哪臺服務器。如果收件人的郵箱位於相同站點內的MBX服務器上,那麼HT角色服務順會直接將郵件投遞到用戶郵箱中。如果收件人的郵箱位於不同站點的MBX服務器上,此郵件會被傳遞到相應站點的HT角色服務器上,然後再由傳遞到用戶郵箱。也就是下面所論述的過程:
在集線器傳輸服務器收到用戶的郵件之後,會將郵件傳遞到提交隊列中,然後由分類程序進行分類:
代理處理已提交的郵件:收到郵件後,集線器傳輸服務器如果安裝有代理程序的話,例如Forefront的話,則由此類代理程序進行防病毒代理,進行連接篩選、內容篩選等。
收件人解析: 就是驗證收件人是不是合法,是不是在本Exchange組織中擁有郵箱,或者是一個外部電子郵件地址;
郵件路由:解析了收件人信息後,分類程序的路由組件將確定郵件的最終目標以及通向該目標的路由,選擇用於中繼郵件的下一個網段。
內容轉換:將郵件中繼到下一個網段之前,會進行內容轉換, 也就是將電子郵件從一種格式轉移爲另一種格式,以便於郵件流或者是存儲,例如將MAPI轉移爲MIME,或者將UNENCODE轉換爲base64編碼等,或者是爲了正確地在特定電子郵件客戶端顯示,而轉換爲HTML、RTF或者是TXT等。
代理處理已路由的郵件: 做出特定郵件的路由決策之後,傳輸規則代理和日誌代理就起作用了,通過記錄入站和出站電子郵件通信,日記功能可以幫助組織對法律、法規和組織合規性要求做出響應。
郵件打包: 最終的分類郵件將組合在一起並移動到傳遞隊列。系統會爲每個網段(躍點)生成一個傳遞隊列。
這樣就完成了郵件路由的工作,由SMTP發送、傳遞代理或者是外部網關連接處理程序來處理郵件了。直到郵件到達最終目標。如果找不到收件人的路由,郵郵件將在“無法到達”隊列中排隊。
在這裏就需要用到活動目錄站點的概念,因爲在AD站點中,每一個站點將關聯一個或者是多個IP子網,但是站點不能有重疊的子網配置。因此Exchange服務器就可以通過匹配所分配的IP地址去確定所處的站點。AD站點又是通過IP站點鏈路進行鏈接,每一個站點都有調度、間隔和開銷幾個參數,調度和間隔決定了活動目錄複製的頻率,而開銷則決定了IP站點鏈接所可能產生的成本。當有多條路徑到達目的地時,活動目錄就會選擇使用開銷成本最低的鏈接方式 ,這裏面涉及到網絡速率、可用帶寬以及可靠性等。管理員也可以手動修改此開銷值。在複雜IT架構中,郵件從源地址到目的地址可能會經過多個站點。HT角色就會去嘗試使用開銷值最低的站點。