分类: 系统运维
2011-09-06 15:45:33
资源林拓扑是一个具有一个专用Exchange 林和一个或多个用户帐户林的拓扑。
“Exchange 林”既资源林,不包含用户帐户。
“帐户林”包含组织的用户帐户。
测试目的:
测试在Exchange2010林中部署Exhcange2010,并对账户林提供邮件服务。
测试环境:
本次部署共涉及到3台虚拟机服务器
两个林:
林A为Exchange林
林B为账户林
由于测试条件所限,无法测试向Internet收发邮件,仅为b.com域内用户间收发邮件
1、计算机名:DC-A
角色:域控制器、DNS
域名:A.com
操作系统:Windows Server 2008 R2 企业版
IP:192.168.10.10/24
DNS: 192.168.10.10
2、计算机名:EX
角色:Exchange Server 2010 SP1
域名:A.com
操作系统:Windows Server 2008 R2 企业版
IP:192.168.10.20/24
DNS: 192.168.10.10
3、计算机名:DC-B
角色:域控制器、DNS
域名:B.com
操作系统:Windows Server 2008 R2 企业版
IP:192.168.10.30/24
DNS: 192.168.10.30
部署过程:
一、 部署DC-A操作系统,并建立域A.com;
部署EX操作系统,并加入域A.com,部署Exchange2010SP1三个角色CAS、HUB、MBX;
部署DC-B操作系统,并建立域B.com
全部部署过程略。
二、 建立A.com到B.com单向信任。A.com为信任域,B.com为被信任域。
1、 在DC-A上打开DNS控制台,右键点击DC-A服务器,打开“属性”,选择“转发器”,添加DC-B。同样操作,在DC-B上添加转发器DC-A
2、 在DC-A上打开Active Directory域和信任关系,右键点击a.com,打开“属性”,选择“信任”标签,点击“新建信任”,点击“下一步”。按下列图示建立单向信任。
3、 在信任域A.com中的EX属性里设置允许被信任域B.com的用户可以得到验证。
在创建信任时可以选择“全林性身份验证”和“选择性身份验证”两种身份验证级别。其中“全林性身份验证”是由系统自动对跨林的用户在访问本地林时进行身份验证,不须要管理员干预,一般用在两个林都属于同一个组织的情况下;但如果两个林分属不同的组织,那么最好不要选择“全林性身份验证”,而应使用“选择性身份验证”。
当使用了“选择性身份验证”的身份验证级别后,我们应手工指定被信任域的用户所能够访问信任域中的特定的资源。
要让被信任域的指定用户可以访问信任域的资源,要在信任域中的计算机属性里设置允许被信任域的用户可以得到验证。
具体做法:
Ø 设置“AD用户与计算机”管理工具,使其显示高级属性;
Ø 在信任域中,找到允许被信任域的用户能够访问的计算机对象,右击,选择属性并找到安全选项卡;
Ø 添加被信任域的指定用户,并勾选“允许身份验证”;
三、配置Exchange 2010支持 B.com邮件域
1、 建立接收域
在EX上打开Exchange管理控制台
组织配置——集线器传输——接受的域
按如下列图示新建接收域,
2、 建立电子邮件地址策略
组织配置——集线器传输——电子邮件地址策略
按如下列图示新建电子邮件地址策略,
点击“浏览”,选择组织单元“b”,组织单元b需要在A.com中建立,用于存放链接邮箱创建的本地禁用账户。
点击“指定的”
点击“添加”
四、创建链接邮箱
在b.com域中创建Kevin.dai及san.zhang两个用户账户
在EX打开Exchange控制台,导航到“收件人配置”。
按下列图示新建链接邮箱,创建过程类似,以创建Kevin.dai链接邮箱为例
注意:每个邮箱必须具有一个与其相关联的用户帐户。但是,在部署了 Exchange 的林中不存在将要访问链接邮箱的用户帐户。因此,必须创建与 Exchange 存在于相同林中的禁用的用户帐户,并将其与每个“链接邮箱”关联。
点击“浏览”,选择组织单元“b”,组织单元b需要在A.com中建立,用于存放链接邮箱创建的本地禁用账户。
点击三个“浏览”,选择如下图
创建完链接邮箱后,可以看到两个链接邮箱主SMTP地址后缀为@a.com
打开Kevin.dai及san.zhang链接邮箱“属性”,选择“组织”,在“公司”内填入“B”
此时可以看到两个链接邮箱主SMTP地址后缀为@b.com
如大批量创建链接邮箱,可以通过使用power shell脚本来创建。
五、测试结果
在DC-B安装outlook 2010配置Kevin.dai账户给san.zhang发送邮件并抄送给Kevin.dai,可以正常收发。
而且可以看到邮箱后缀显示为 @b.com
在DC-b.b.com的DNS服务器中建立ex.a.com的别名地址记录mail,如下图
则在b.com域中,可以通过网址访问邮箱
另外,考虑以下场景:
总部使用顶级域名,分公司使用二级域名情况下的实现,
例如:@c.com
@bj.c.com
@sh.c.com
@gz.c.com
只是在创建接收域、电子邮件策略、及创建链接邮箱时调整相应参数,也可实现在 Exchange 资源林拓扑中部署 Exchange 2010以支持多域名系统。