Chinaunix首页 | 论坛 | 博客
  • 博客访问: 2391479
  • 博文数量: 208
  • 博客积分: 7288
  • 博客等级: 少将
  • 技术积分: 45837
  • 用 户 组: 普通用户
  • 注册时间: 2006-09-19 14:58
文章分类

全部博文(208)

文章存档

2017年(1)

2016年(1)

2015年(1)

2014年(31)

2013年(7)

2012年(34)

2011年(36)

2010年(24)

2009年(52)

2008年(3)

2007年(1)

2006年(17)

分类: WINDOWS

2010-05-20 12:02:59

ADMT v2 等用于实现域重建的工具可在无损伤的情况下将 Windows NT 4.0 源域的帐户克隆到 Windows Server 2003 Active Directory 目标域中。此外,借助 ADMT v2 帐户克隆功能,还可以在 Windows Server 2003 Active Directory 中创建新帐户和存储 Windows NT 4.0 源域帐户的安全标识符 (SID)。通过将 Windows NT 4.0 SID 存储在克隆后的 Windows Server 2003 帐户的 SIDHistory  属性中,可以在登录 Active Directory 时保持对 Windows NT 4.0 域的访问能力,这也为随着时间的推移而执行迁移过程创造了条件。

在以下情况中考虑进行域的重建可能比较适宜:

·     当前的域结构不符合迁移目标或机构的商业目标。

·     迁移的时间框架足够长,可以执行因为重建而导致的额外任务。

·     如果要在不升级先前 Windows NT 4.0 帐户的情况下考虑重建过程,必须购买额外的硬件才能构建纯粹的森林和域。

·     有足够的人力资源执行迁移。

·     在重建过程中,转换业务数据和共享资源的访问权限存在较高的复杂性和风险,对此您已经做好了准备。

与升级相比,域重建的优点是:

·     对最终的域结构具有更大的控制能力:在将现有域结构迁移到新建和新设计的域结构时,可以控制 Active Directory 的配置。

·     可保持迁移期间的访问能力:在执行分步迁移时,可以使用克隆的帐户以及 SIDHistory 属性保持访问能力。

同升级相比,域重建的不足之处在于:

·     时间框架较长:要克隆和迁移所有的帐户和资源可能需要更多的时间。

·     需要额外测试:所有驻留在源域中的服务器应用都需要进行测试,以验证它们在发生域变化后的效力。

·     迁移期间存在额外工作量:将服务器应用迁移到新的 Active Directory 域时,需要对域进行维护。

许多机构的迁移策略通常都组合了升级和重建两种方法:首先至少执行一个帐户域的升级,然后是 Windows NT 4.0 资源域的重建。通过采用这种迁移策略,机构不仅可以获得帐户域升级优点(比如时间短、风险小),并且还可以享受到重建的好处(域环境的简化)。

合并选项

非常重要的一点是,注意区分物理合并、应用程序合并和位置合并三种选项。所有这些选项类型都可以节省拥有总成本 (TCO),但原因各不相同。


选项 1:物理合并

通过合并服务器,可以减少用来提供服务的物理组件的数量,而这又可以降低成本和提高服务质量。企业用户发现,小型服务器资源的不断增长对商业是不利的,因为这些服务器需要经常性的维护成本,并且往往同商业活动无关。随着 Windows 服务器环境在支持技术上的进步,减少提供特定服务的系统的数量已变得正确且可行。

执行 Windows NT 4.0 域迁移时,服务器合并往往会通过将 Windows NT 4.0 资源域合并到 Active Directory 环境来实现。另外,由于 Windows Server 2003 Active Directory 域控制器的性能更高,因此它们可以处理更多数量的客户端身份验证,而这也为实现合并提供了机会。

选项 2:应用程序合并

本指南中,“应用合并”是指目录服务应用的合并。因此,此处的合并指得是将 Windows NT 4.0 域升级或重建为 Active Directory 森林。执行这种迁移过程后,Windows NT 4.0 域的数量将减少。例如,Windows NT 4.0 资源域可能被重建为 Active Directory 组织单位 (OU)。

选项 3:位置合并

在合并服务器时,可以选择是否减少用来提供服务器资源的站点的数量。位置合并提供了以下优点:

提高了物理意义上的安全性,降低了服务设备损坏的风险。

通过合并,减少了不值得配备支持人员的小型站点,从而降低了管理成本。

降低了与存储和备份要求对应的基础结构成本。

通过建立一个将支持人员和业务流程集成在一起的服务体系,促进了业务增长和商业灵活性。

位置合并包括重新设计目录服务体系(以减少物理站点的数量)和重新设计提供域控制器服务所需的数据线路。大多数同域有关的站点合并都包括转移域控制器及其支持体系(从地理上分散的位置转移到新位置或现有的区域性或全国性数据中心)。

本规划指南没有介绍域控制器的站点合并。有关域控制器布局的详细信息,请参阅 Windows Server 2003 虚拟会议:分支机构的部署,地址:

总结

通过本章,您了解了在规划 Windows NT 4.0 域的迁移时需要考虑的选项。在确定要使用的选项之前,您需要了解有关IT 基础结构的基本信息,包括网络架构、安全性、客户端和支持服务(支持服务包括备份和恢复服务、邮件、文件和打印服务)。一旦透彻了解了迁移的入手点,即可开始规划到 Windows Server 2003 域环境的迁移过程。

第 5 章 评估目录服务环境

评估当前部署的企业环境有助于迁移决策的制订。通过考察当前环境中的内容,项目规划团队可以更有效地利用现有硬件,并根据实际情况做出购买新硬件或附加硬件的决定。

评估当前环境

在开始详细规划迁移之前,您应该对多个环境进行评估和备案。这些环境包括:

目录服务基础结构。

网络基础结构。

安全性基础结构。

客户端环境。

备份和恢复的流程以及环境。

消息传递基础结构。

文件和打印基础结构。

商业和管理结构。

您可以用不同方式执行这种环境评估。一些供应商提供了自动化工具。借助这些工具,可以捕获现有网络及其相连系统的配置和安全设置信息。使用这些工具,并且同关键的 IT 人员交流,通常是非常有益的方法。本文稍后部分详细介绍了从不同方面评估当前环境的具体方法。您可以找到用于记录当前系统及其配置的检查清单。这些检查清单是 Windows Server 2003部署工具包的一个组件,地址


/details.aspx?FamilyID=edabb894-4290-406c-87d1-607a58fc81f0&DisplayLang=en

收集环境信息

为了对机构内的当前环境进行最准确地评估,需要通过不同手段获取最丰富的信息。这些过程将在评估期间执行,包括使用自动化工具、工作表、模板以及与员工沟通。

组织和管理

机构的文化和管理结构对 IT 体系的设计具有重大影响。您的迁移团队能否了解这些独特的约束条件,将直接决定迁移规划之前的环境评估结果。要调查的环节包括:

管理职权的归属模型:有些机构将所有 IT 管理职权集中在一个部门中,而有些将管理职权委派或授权给区域性环节或各个业务部门。最为常见的方法是以上两者的组合:对某些 IT 功能(比如网络储备和安全)集中管理,同时将其它功能(比如用户帐户管理和邮件管理)分配到以地理或业务加以划分的区域机构。这些管理模型将影响您配置新域的管理组的方法。

用户帐户的管理模型:同网络管理一样,负责创建和删除用户帐户、管理密码、分配帐户资源等常见任务的模型可能是集中、非集中或这两者的组合。借助迁移,您可以转移到能更轻松地适应变化的结构,从而保证商业体系始终能面对将来的挑战。

业务部门结构:虽然不必费尽心思地探究业务部门或机构分支机构之间的相互关系,但对这些关系的某些方面进行审视仍将是有益的。例如:

各个独立的业务部门或分支机构之间是否需要有安全界限?如果需要,则要求一个多森林的设计,这同时还意味着需要考虑目录同步和信息交换。

不同的业务部门之间是否需要沟通?例如,整个机构是否需要有一个统一的目录或地址列表?不同的业务部门之间是否需要安排会议或其它形式的协作?如果需要,新的 Active Directory 设计将必须考虑和规划将来如何迁移到 Exchange Server 2003。

如何控制跨部门的通讯?换言之,哪个组将负责查找和解决那些妨碍不同部门的用户和资源进行相互通讯的身份验证、网络或协议问题?

业务部门的应用系统是否需要自己的用户目录?它们如何处理跨部门的访问?谁将管理这些目录?在元目录或跨目录连接或者在协调帐户和密码方面是否有值得考虑的事项?


业务规划

在迁移规划期间,同任何技术性变动一样,您需要评估业务计划和安排,以便制订出能符合业务安排的项目时间表。在业务规划上需要收集和确认的信息包括:

在哪些业务时间段不能执行项目。除非重要的更新和变动,否则在这些时间中不能执行项目。例如,在一个财年的末尾。

其它已规划的技术或业务升级或变动。这包括影响技术环境的业务结构重大调整和重要的应用系统更新。

目录服务基础结构

在制订任何详细的迁移规划之前,您必须对 Windows NT 4.0 域环境的某些配置进行评估。这些配置包括:

当前 的Windows 域、名称、大小、用途(帐户域或资源域)以及所有者。

域之间存在的信任关系和信任目录。

当前域控制器的配置和位置;它们在各个域中发挥哪些作用;它们的实际位置,升级到 Windows Server 2003 所要求的硬件规格,服务器提供的服务,当前操作系统版本和修补程序级别,以及其它已安装的应用程序。

商业系统当前如何使用目录服务,当前的目录服务结构是否存在问题或限制?

网络基础结构和服务

对网络基础结构和服务做出精确的评估将至关重要,因为您的商业部门要求目录服务和网络都能有效为客户端提供服务。

在网络基础结构方面要捕获的重要信息将包括:

机构物理站点的位置和数量。

各个位置的计算机和服务器的分布以及域成员关系

每个远程站点的用户数量和该站点通往企业网络中其余站点的链路速度。

物理站点同这些站点中所使用的IP 子网之间的拓扑映射,这在规划 Active Directory 站点设计时非常有用。

在更改或更新站点之间的网络链路方面是否存在非技术性的限制(包括地理、政策或成本上的限制)。

公司网络中是否使用了虚拟局域网 (VLAN)?如果是这样,这些 VLAN 的配置方式如何?

网络服务

网络服务用于提供名称解析和 IP 配置信息,从而保证应用系统和基础结构能够正常工作。对任何目录服务升级或迁移项目都极为重要的网络服务包括 DNS、WINS 和 DHCP。为了提供名称解析服务,机构内普遍部署了 DNS 和 WINS。对 DNS 和 WINS 重要的评估信息包括:

谁负责名称解析服务?尤其是由谁来维护和管理机构的 DNS 服务器?

当前使用了是哪种类型的 DNS 软件?它是否可以处理 SRV 记录(这是 Windows 2000 Active Directory 以及更高版本所必需的)?

谁负责分配机构内的 DNS 名称和域?是否有一个统一部门专门负责 DNS 命名空间的规划和控制?

DNS 和 WINS 主机位于网络的什么位置?

是否存在任何终止使用 WINS 的计划?

哪些 DNS 服务器是客户端所使用的?

DHCP 是一种从中央服务器为客户端提供 IP 地址的服务。DHCP 主要用于机构内的工作站,作为服务器时则使用静态 IP 地址信息进行配置。在评估 DHCP 环境时应该考虑以下的配置项目:

DHCP 服务器的数量和位置。

通过 DHCP 分配的是何种名称解析模式(如果有的话)?

是否有子作用域?如果有,它们的位置如何,它们是在哪些 DHCP 服务器上配置的?

安全性基础结构

信息安全是个复杂的话题。您可能发现,确定当前环境的哪些安全信息有助于规划域的迁移或重建往往非常困难。您可以像 Microsoft 那样使用三种类别来分析安全问题:人员、过程和技术。基于这三个类别,可以对现有安全体系进行评估。


人员

以下关于用户的问题有助于您组织您的安全体系:

当前使用的是哪种密码策略或限制?

是否在适当的地方使用了“两人负责制”的管理控制手段来防止单个管理员非法访问关键数据?

对于高价值资产是否提供了充分的物理性安全控制?

网络中是否使用了两种身份验证系统(例如,标准身份验证系统和 RSA SecurID)?如果是这样,则它们是仅局限于少部分群体还是普遍适用?

过程

安全章程包括您用来实施或审核密码策略以确保一致性应用的安全步骤。您可能发现这些步骤和过程是通过多种方式(包括技术方式和管理方式)应用的。以下问题有助于您确定这些安全过程:

用于监视、检测和对入侵企图做出响应的系统都有哪些?谁负责监视这些系统?

是否存在补丁程序管理和分发系统?如果没有,关键级系统是否在补丁程序发行后的合理期限内应用了补丁程序?

是否使用 Windows NT 4.0 策略来应用安全策略?

机构是否需要遵守行业(如美国银行协会)或政府(如通用情况)的安全标准?如果需要,则已经对域体系进行了哪些修改来确保这种遵从性?

在变动成员身份之前,是否存在让服务的所有者批准特权组(管理员组)成员的过程?

技术

在技术安全性上,您的主要关注的区域是域控制器(以及 DNS 服务器等目录服务基础结构服务器)。您应该考虑以下问题:

各个域中实施的是哪种 Windows NT 4.0 帐户策略?

哪些客户端设置是由 Windows 策略控制的?

为确保域控制器基础操作系统的安全,都采取了哪些措施?补丁程序和升级管理以及有效的配置跟踪将非常重要。详细信息,请访问以下地址:

www.microsoft.com/technet/security

要了解同服务器基线安全性相关的检查表,请访问以下地址:

www.microsoft.com/technet/security/tools/tools.asp

当前的信任关系如何?是否都是必需的?是否有任何信任关系削弱了 Windows NT 4.0 域模型的安全?

采取了哪些措施来防止域管理员以外的用户访问域控制器?

除上述问题外,MSA 实现工具箱 中的 MSA 2.0规划指南 还将与安全有关的企业服务分为了多种类别。目录服务类别是这些类别中最值得关注的。详细信息,请访问以下地址:

Microsoft 的“企业安全最佳实践”文档集包括几个白皮书。在评估机构现有的技术安全状态时,您可以利用这些白皮书所介绍的内容作为参考。详细信息,请访问以下地址:

www.microsoft.com/technet/security/bestprac/bpent/bpentsec.asp

客户端基础结构

您可能发现往往很难准确了解网络中使用的客户端的情况。对于管理严密的网络,往往使用 Microsoft Systems Management Server (SMS) 等清单和控制工具或脚本以及 Windows Management Instrumentation (WMI) 来了解现有系统的运行情况,以及这些系统的硬件和配置。对于管理较差的环境,其配置数据的更新情况可能不够精确或不够及时。客户端的情况是否精确,通常与域迁移的关系不大,但也有例外。这些例外包括:

现有多少台客户端计算机,它们在网络的什么位置?这两个因素会影响客户端计算机的迁移安排以及将客户端计算机迁移到 Windows Server 2003 Active Directory 环境使用的具体方法。

客户端正在运行哪些操作系统?某些较早版本的 Windows(比如 Windows 95 和 SP2 之前的 Windows NT 4.0)需要安装额外组件才能加入 Windows Server 2003 域。

是否存在重新部署、更新或更换客户端的计划?您的 IT 机构在域迁移之前、之中或之后可能有这样的计划。了解您将针对哪种情况做出部署规划是非常重要的。

是否有商业数据或用户数据存储在客户端计算机中?如果有,是哪些类型的数据?哪些客户端计算机使用本地存储?


备份和恢复基础结构

对于该评估过程,应关注包括与现有域和支持设备的备份和恢复有关的系统和流程信息。您的备份系统可能是集中式的高级自动化系统或者本地管理的简单系统。高级系统可能是一个中央备份系统,可将多个服务器自动备份(通常借助 SAN 或专用于备份的局域网)到磁带设备上;而非集中式的本地管理系统可能是由技术型的最终用户操作的本地磁带驱动器。备份过程的差别也很大,具体情况取决于是进行详细、面面俱到的备份还是进行参考性的备份。MSA 参考架构工具箱 的“备份和恢复服务设计”介绍了备份系统的设计细节,但是如果需要更多地着眼于目录服务来进行评估,则要求研究以下主题:

需要备份哪些服务器?备份是集中的还是非集中的?

对于域控制器,需要备份哪些方面的系统数据?备份步骤、备份计划和备份类型(完全、仅系统数据、增量式)又该如何?

如何备份DNS、WINS 和 DHCP 服务器?是集中备份还是非集中备份?

保证备份成功的步骤是什么?谁执行这些步骤?换言之,由谁来对备份进行测试?按照何种计划执行?

消息传递基础结构

如果存在消息环境,对其功能的评估将非常重要。本节之前的评估项目同消息传递系统所依赖的下级支持系统有关。这些项目包括:

当前服务器的配置和位置如何?服务器的物理位置如何?各个邮箱位于哪些服务器上,服务器之间如何联系?

如何同 Internet 交换邮件?

邮件服务器是否为 Windows NT 4.0 域的成员?服务帐户驻留在何处,它们要求怎样的权限?

对邮箱和服务器应用了何种级别的安全性?

文件和打印服务

随着目录服务的变化,您需要透彻了解文件和打印基础结构,以确保对业务数据的访问不会受到损害。您应该评估和备案的文件和打印服务信息包括:

现有文件和打印服务器的名称和位置如何?这些文件和打印服务器的域成员身份怎样?

文件和打印服务器的共享目录是什么?

共享目录、其它目录、文件和打印机的访问控制列表 (ACL) 如何?

评估目标状态

目标状态评估必须立足于迁移的商业目标和 IT 目标。如果您的主要目标是合并,则这会驱使您对整个 Windows NT 4.0 域进行合并停止其使命。当成功达到目标状态时,即表明迁移或合并项目的结束。项目的作用范围决定了目标状态。您的目标状态可能同原始状态拥有相同数目的域。而另一方面,您也可能决定在该项目中合并若干数量的域。无论如何,您的目标状态都将由您的项目规划来确定。

但在迁移规划中,您需要致力于目标环境的设计、构建和测试事宜。这将包括新服务的设计、硬件选择和规划,以及测试标准。本指南没有对目标状态环境的设计、构建或测试加以介绍。有关设计、实现和配置目标状态的方法,请参阅 MSA 2.0 文档。MSA 2.0 文档为设计 Active Directory 森林和域模型、配置域控制器和网络服务以及它们的易管理性提供了指南。详细信息,请访问以下地址:

目录服务的目标状态设计

迁移到 Windows Server 2003 Active Directory 时,您需要规划如何放置来自 Windows NT 4.0 域的对象。此外还需要就管理和安全要求做出规划。Active Directory 的设计和用户、组和计算机的放置情况将影响 Windows NT 4.0 域的迁移过程。这种迁移过程还必须符合机构的商业目标。

利用迁移或合并项目提供的机会,您可以实施更为严格的安全策略(以创建和实现新的名称约定)和委派机构内的管理任务,前提是这些能改进对商业部门的服务。

规划目标状态的设计时应包括下列任务:

规划可将哪些 Windows NT 4.0 域升级或重建为 Active Directory 森林。

根据各个 Windows NT 4.0 域的角色,规划其迁移过程。

根据要支持的预期负载,规划域控制器硬件的容量。

规划网络服务的迁移过程,以支持 Windows Server 2003 平台。

为采用安全策略、委派管理和服务管理等事宜进行规划。

对该环境中的低层次工作站进行处理规划。

确定域迁移任务的角色和职责。

目标状态测试标准

设计了目标状态后,您要确定目标状态是否符合迁移项目结束时应达到的目标。您将要:

确定目标状态是否符合在规划过程中制订的可用性目标。

确保目标状态能够按照客户端的需要提供相应的身份验证功能。

确保网络服务可为客户端提供对目标状态的访问能力。

确保资源的安全主体得到维护并且已同 Active Directory 关联。

确保已保留了对未迁移域的访问能力。

总结

对 IT 体系当前状态的评估关系到能否正确规划迁移或合并项目。在确定所希望实现的最终迁移目标之前,您需要这方面的评估信息。您可能会发现,由于某些商业需求的存在,一些域必须保留,这意味着您需要执行就地升级。而在另外的情况中,您可以断定,通过更改目录服务结构的设计可以满足商业需求,而这将影响在迁移过程中采取的措施。评估的一个重点是,不仅要审视您当前的状态,而且还要评估“您希望在项目结束时达到何种状态”。为保证实际的迁移过程能够平稳和按时进行,可以在测试环境中执行各个迁移步骤,从而让您的 IT 团队和商业管理层有更大的把握。

第 6 章 合并和迁移规划

在项目启动前需要进行适当的规划。这包括了解目录服务、消息服务、网络服务和客户端配置等环境的最终状态。除了基础结构的设计问题外,您还需要做出其它决定,包括使用何种工具、确定一个服务何时迁移以及整个项目所可能面临的风险。

目录服务设计

目录服务是一个机构的技术基础结构中最重要的组件之一。目录是一种信息源,用于存储机构所关注的对象的信息。这些对象包括打印机、应用程序服务器、数据库、用户和组等。通过目录,可向那些希望查找和使用上述对象的用户提供信息,并且为管理员管理这些对象创造了条件。目录服务由目录和提供该目录信息的服务构成。目录服务可以:

实施管理员定义的安全水平,以保证入侵者不会损害信息的安全。

将目录分发到网络中的多个计算机。

复制目录,以便更多的用户能使用,并且防范故障。

将目录拆分成多个存储位置,以存储庞大数量的对象。

Window Server 2003 使用Active Directory作为它的目录服务。在机构中,Active Directory 的部署范围通常都非常广泛,因为它要包括众多对象的信息:机构内的用户和组(以实现业务数据和应用程序的安全)、待访问的计算机甚至应用数据(例如,邮件系统、商业应用系统的数据)。

机构的 Active Directory 设计必须着眼于下列环节:

规划森林和域的设计。

规划组织单位(OU)的结构。

规划 Active Directory 站点结构。

规划 DNS 环境来支持 Active Directory。

规划 Active Directory 域控制器的分布。


确定目录服务的目标

在执行任何目录服务设计项目之前,都必须首先确定目录服务的目标。这些目标必须源自商业和 IT 部门的要求,比如提供 Active Directory 服务的时间框架以及长期目标(如“使用管理委派增强安全性”)。

规划 Active Directory 命名空间

在 Windows Server 2003 环境中部署 Active Directory 之前,您必须根据您的环境来规划和设计 Active Directory 逻辑结构。Active Directory 逻辑结构确定了目录对象的组织方式,并且为管理网络帐户和共享资源提供了有效方法。对 Active Directory 逻辑结构的设计将是您定义机构的网络基础结构的重要组成部分。要设计 Active Directory 的逻辑结构,首先需要确定机构所要求的森林数目,随后是制订域、DNS 和组织单位的设计。

设计了 Active Directory 体系的逻辑结构之后,您必须设计网络的站点拓扑。站点拓扑是物理性网络的逻辑表示,它将被存储在 Active Directory 中。站点拓扑含有以下对象的信息:Active Directory 站点的位置、各个站点内的 Active Directory 域控制器以及支持在站点之间复制 Active Directory 的站点链路。

为了获得高效的 Active Directory 性能,您必须为每个站点确定适宜的域控制器数目,并且检查它们是否符合 Windows Server 2003 的硬件要求。对域控制器的容量进行周密规划,可以保证您不会低估硬件要求,否则可能导致域控制器的性能和应用响应时间不尽人意。

Windows Server 2003 Active Directory 的功能级别允许您实现新功能,比如在要求所有加入域或森林的域控制器都运行 Windows Server 2003 的架构和森林信任关系中,改进对组成员关系的属性和类进行的复制、停用和重新定义功能。Active Directory 设计过程的一部分是确定机构要求哪种水平的域(和森林)功能。要在机构中实现这些 Windows Server 2003 Active Directory 功能,您必须首先部署 Windows Server 2003 Active Directory,然后再将森林和域提升到相应的功能级别。

为  Exchange Server 2003 规划目录服务

上一节介绍了设计 Active Directory 环境的基本准则。如果已经部署了 Active Directory,则需要了解现有的 Active Directory 结构以及 Exchange 将如何适应这种结构。如果尚未部署 Active Directory,您可以在考虑 Exchange 的前提下更好地设计 Active Directory 体系。

同早期版本的 Exchange 和 Windows NT 不同,Active Directory 仅含有一个具有默认用户属性和 Exchange 特定属性的对象。如果机构内包含早期版本的 Exchang,则在将该机构的用户对象添加到 Active Directory 中时,它们在 Active Directory 中将不包含特定于 Exchange 的属性。如果安装 Exchange Server 2003,Exchange 会扩展 Active Directory 中的用户对象,从而让其包括特定于 Exchange 的属性。

由于 Exchange 5.5 有自己的目录服务(默认情况下,该服务无法同 Active Directory 和 Exchange Server 2003 通讯),因此您还将需要引入 Active Directory Connector (ADC)。借助 Exchange Server 2003 ADC,可以在 Exchange 5.5 目录和 Active Directory 之间执行同步和通讯。ADC 可以用来自 Exchange 5.5 的邮箱、自定义收件人、分发列表和公共文件夹信息填充 Active Directory,并且保持这些信息的同步。同样道理,ADC 也可以用来自 Active Directory 的用户、联系人和组信息填充 Exchange 5.5 目录,并且保持信息的同步。

Active Directory 森林可能仅包括一个 Exchange 组织。原因是,所有身份验证都是在森林的边界执行的,并且全局地址列表 (GAL) 是根据 Global Catalog(全局编目)的内容构建的。该森林中的所有 Exchange 服务器都共享公共的安全上下文和 GAL。

各个 Active Directory 森林都可以包含一定数量的域。Exchange 配置数据的存储将作为森林的配置名称上下文的一部分进行,因此,Exchange 服务器可以位于任何域中,就如同用户帐户那样。借助 Global Catalog,Exchange 等支持目录的应用程序可以访问关于森林中所有域的信息。

要部署 Exchange,您首先需要有一个稳定工作的 Active Directory 体系。如果将从 Windows NT 4.0 环境升级,部署 Exchange 的最好时机是当所有 Windows NT 帐户和资源都已迁移到 Active Directory 时。当然,即使您正在将 Windows NT 对象迁移到 Active Directory,或者您需要保留 Windows NT 域以保持若干资源对象,您也可以部署 Exchange。

对当前使用 Exchange 5.5 的机构而言,最好不要基于现有的 Exchange 5.5 站点构建 Active Directory 结构。此时您应该根据所要求的管理模型来规划您的 Active Directory 环境。

实现 Exchange 同 Active Directory 的集成时,主要有四个选项:

单个森林用户及其邮箱包含在同一个森林中。

专用的 Exchange 森林(资源森林)专门使用一个森林来运行 Exchange 和寄存 Exchange 邮箱。同各个邮箱对应的用户帐户可以包含在一个或多个不同的森林中。

多个运行 Exchange 的森林(传统的多森林)Exchange 在不同的森林中运行,但邮件功能可跨森林使用。

合并和获取合并和获取(Mergers and acquisitions)通常是指 Exchange 组织并存,直到将它们合并。这种规划选项类似于多森林的情形,在迁移时都需要额外关注。

您可以参阅 Exchange 2000 的 Active Directory 设计最佳实践技术白皮书,地址:

go.microsoft.com/fwlink/?LinkId=17837

该白皮书针对 Exchange 2000,但其中的信息对 Exchange Server 2003 同样适用。

Exchange Server 2003 迁移要求

在迁移到 Exchange Server 2003 之前,请确保您的网络和服务器的系统符合下列要求:

拥有 Windows 2000 Server Service Pack 3 (SP3) Active Directory 或 Windows Server 2003 Active Directory。

可以通过网络访问 Active Directory 全局编录服务器,该服务器包括了所有的 Active Directory 站点。

在 Windows 2000 或 Windows Server 2003 站点中正确配置了 DNS 和 WINS。

已在 Exchange 5.5 组织和 Active Directory 域控制器之间建立了 NetBIOS、Remote Procedure Call (RPC) 和 TCP/IP 连接。

已备份了 Exchange 5.5 数据库,并且服务器运行的是 Windows 2000 或 Windows Server 2003。

为实现 Exchange 5.5 目录和 Active Directory 之间的同步,每个 Exchange 站点中至少有一台运行 Exchange 5.5 SP3 的服务器。

将 Exchange 对象放置到 Active Directory 中

组织单位 (OU) 为基于策略和管理方面的考虑而将相关的资源和帐户分组提供了简单途径。在引入 Exchange Server 2003 或 Active Directory Connector 之前,必须首先考虑 Active Directory 中的对象放置。对象类型(比如邮件用户列表、邮件安全列表和分发列表以及联系人)应位于 OU 中,这样可以方便地进行管理和应用组策略。

为了管理 Exchange 对象和用户(这是 Active Directory 管理员和 Exchange 管理员共同要求的),可能应该考虑创建额外的组织单位。在 Exchange 5.5 中,用户管理以站点为界限,在 Active Directory 中,用户管理的委派通常在组织单位的级别进行。您可以在各个森林中将管理 Windows Server 2003 和 Exchange 的资源组合在一起,也可以分别管理这些资源。Exchange 与 Windows Server 2003 的集成为上述组合提供了可能。

为支持 Exchange,请创建用来包含下述各个对象类型的组织单位:

Exchange 特定对象。

因为不匹配的 Active Directory Connector 复制而被禁用的对象

联系人

分发列表

隐藏的 Exchange 对象

Exchange 服务器的计算机帐户

架构扩展

许多机构会在开始部署 Active Directory 之后即决定扩展其 Active Directory 森林架构。如果您的机构正在计划部署扩展 Active Directory 架构的软件产品,比如 Exchange、SMS 和 Office Live Communications Server,您可能希望在一开始就扩展 Active Directory 架构,因为这样可以降低架构复制流量所带来的影响。

Exchange Server 2003 扩展

Exchange Server 2003 架构扩展可定义若干新的对象类型和属性。这些 Exchange 属性的数量、种类、数据类型和许可值由 Active Directory 架构定义(随其它的目录属性一起)。一个森林中有一个架构,后者由拥有特殊角色(架构主控)的域控制器维护。在安装 Exchange 的过程中,可通过添加与 Exchange 有关的属性来扩展 Active Directory 架构。Exchange Server 2003 部署指南 对这种森林的准备过程进行了更为详细的介绍。该指南位于 TechNet 的以下地址:


/DepGuide.asp

这种扩展过程会永久性地更改架构,并且新的架构定义会被复制到 Exchange 组织中的其它全局编录服务器。基于这些原因,许多机构都将架构主控放在单独的 Active Directory 站点中,并且使用较长的复制周期。可以首先对变动进行测试,如果它们对其它系统造成了影响时能够恢复。

确定目录服务客户端的要求

在 Windows 2000/XP Professional 提供的Active Directory 功能中,许多都是基于 Windows 95/98 和 Windows NT 4.0 的客户端所不具备的。Directory Services Client (目录服务客户端)是为 Windows® 95、Windows® 98 和 Windows NT 4.0 准备的升级或修补程序。您应该评估 Directory Services Client 软件包提供的功能,并且确定您所在机构的要求。Directory Services Client 软件包支持下述 Active Directory 功能:

站点感知。功能包括:可以登录到网络中离客户端最近的域控制器;可以在任何基于 Windows Server 2003 的域控制器(而不是 PDC 仿真设备)上更改密码。为了享受这种新功能,安装了该客户端扩展程序的计算机对象必须位于 Windows 2000 或 Windows Server 2003 域中。

Active Directory 服务接口 (ADSI)ADSI 允许使用 Active Directory 脚本,并且为 Active Directory 编程人员提供了共同的应用编程接口 (API)。

分布式文件系统 (DFS) 容错客户端提供了根据 Active Directory 指定的内容访问 Windows 2000 和 Windows Server 2003 DFS 容错和故障转移文件共享的能力。为了享受这种新功能,安装了该客户端扩展程序的计算机对象必须位于 Windows 2000 或 Windows Server 2003 域中。

Active Directory Windows 地址簿(WAB)属性页允许具有相应权限的用户通过用户对象页更改用户对象的属性(比如,电话号码和地址)。单击“开始”菜单,然后指向“搜索用户”,可以访问用户对象页。其中还包括了对显示说明符(允许呈现在 Active Directory 中存储的与用户对象有关的新架构元素)的支持。

NTLM 版本 2 身份验证该客户端扩展程序利用了 NTLM 版本 2 提供的增强身份验证功能。

规划网络服务

规划 Active Directory 命名空间时,应同时做出 DNS 名称的规划。Active Directory 直接依赖于 DNS,因此规划不当的 DNS 体系可能对它造成负面影响。此外,所创建的 Active Directory 专用分区不应允许公共访问。如果规划不当,DNS 服务可能会将这些分区暴露给外界。

要实现有效的 DNS 服务,必须对以下问题做出选择:

命名空间的设计。

DNS 主机的位置。

一旦解决了这些问题,即可进行更详细的规划,尤其是在命名空间较为复杂时,比如企业所要求的命名空间。其它的设计问题还包括:

如何托管内部和外部的命名空间?

采用哪种 DNS 技术?

如何设计 DNS 分区?

如何确定对企业适宜的 DNS 服务器数量?

如何优化客户端的 DNS 查询,包括如何将名称解析查询转发给其它的名称服务器?

如何配置 DNS 同其它名称解析系统(如 WINS 和 DHCP 等其它技术)的互操作?

回答了这些问题后,您可以进入下述的设计决定环节并且选择对应的选项:

设计决策

设计选项

名称解析服务技术

1.  静态 HOSTS 文件

2.  DNS 服务

命名空间设计

1.  使用单一的企业命名空间

2.  使用内部域作为子域

3.  内部和外部名称无关联

4.  内部和外部名称相同

DNS 托管

1.  外部根

2.  内部根

托管内部和外部命名空间

1.  完整 DNS

2.  拆分 DNS

3.  拆分 DNS 和拆分 DNS

DNS 技术

1.  标准 DNS

2.  动态 DNS

3.  同 Active Directory 集成的 DNS

4.  同 Active Directory 集成的主分区和基于文件的辅助分区

要部署的 DNS 服务器数量

1.  一个分区一个 DNS 服务器

2.  一个 DNS 服务器,带有网络负载均衡功能

3.  每分区两个 DNS 服务器

4.  每分区多个 DNS 服务器

优化 DNS 查询 - 服务器配置

1.  委派

2.  转发

3.  辅助分区

DNS 安全策略

1.  低级 DNS 安全策略

2.  中级 DNS 安全策略

3.  高级 DNS 安全策略

表 1. DNS 设计决策和选项

确立了 NetBIOS 名称解析的要求之后,应该考虑若干会对设计造成影响的因素。要根据给定情况确定相应的配置,您应该考虑下列事项:

网络基础结构应满足何种可用性和伸缩性要求?

网络服务的哪些用户配置文件需要 NetBIOS 支持?例如,用户是否只是在上班时间访问资源?

哪些服务需要使用 NetBIOS?例如,是否只是为了支持文件和打印服务而需要 NetBIOS?

为IT 架构的管理使用何种基础结构?例如,是集中的还是分布式的?

通过上述信息可以定义相应的 NetBIOS 名称解析技术。如果选择了 WINS,则需要选择 WINS 复制方法。

设计决策

设计选项

NetBIOS 名称解析

1.  广播

2.  LMHOSTS 文件

3.  HOSTS 文件

4.  DNS

5.  WINS

WINS 复制

1.  Push 复制

2.  Pull 复制

3.  Push/Pull 复制

WINS 拓扑

1.  集中式 WINS

2.  全网格拓扑

3.  环形拓扑

4.  中心辐射式拓扑

可用性

1.  WINS 群集

2.  冗余的 WINS 服务器

表 2. WINS 设计决定和选项

对特殊 的IP 地址分配和管理服务(比如 DHCP)的选择不能凭空进行。这应该是确定企业网络架构过程中的一个步骤。通常而言,DHCP 是大多数机构最适合的选项;然而,它不是唯一的。因此,首要步骤是确定最适宜的 IP 地址分配方法。

有关网络架构设计及其遵循的决定步骤的详细信息,请参考架构设计 指南的“MSA 网络架构”章节。地址:

确定了 IP 地址分配和管理要求后,可通过以下问题确定相应的配置:

网络基础结构必须满足何种可用性和伸缩性标准?

从要管理的 IP 地址来看,该环境的范围有多大?

可以使用哪些管理资源来管理选择的选项?

IT 架构的现有管理体系如何?例如,是集中式的还是分布式的?

通过这些信息可以定义相应的 IP 地址选项组合。

设计决策

设计选项

IP 地址管理

1.  手工配置 IP 地址

2.  Bootstrap 协议 (BOOTP)

3.  DHCP

DHCP 可用性和容错

1.  拆分作用域

2.  DHCP 群集

3.  备用服务器

可路由网络上的 DHCP

1.  多个 DHCP 服务器

2.  路由器上的 BOOTP/DHCP 转发

3.  BOOTP/DHCP 中继代理

4.  多宿主 DHCP 服务器

静态 IP 地址

1.  手工配置的静态地址

2.  DHCP/BOOTP 保留

表 3. DHCP 设计决策和选项

阅读(2736) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~