论重命名AD及Exchange组织

早在16年前,Exchange的2000版本就与AD开始紧密联系,也是自打那时起,由于Exchange的太多对象存储在AD中,AD一旦集成了Exchange,就根本不用想重新定义域名了。

在上个世纪的1999年,那是我们中的很多人第一次接触并部署活动目录的时候,当时由于微软将Exchange5.5的独立Exchange目录存储更换为Exchange 2000的集成活动目录存储,很多公司才有了大量的部署活动目录的需求。Exchange的目录存储与活动目录非常相似,两者都继承了X.500目录标准,两者都是用Jet数据库作为底层存储。事实上,个人认为Exchange目录存储在活动目录诞生之前为其提供了卓越的测试平台。

由于Exchange的目录存储发生了变化,新一代号称“铂金版”的Exchange需要部署Windows 2000以替代早先的Windows NT 4,这样才能创建从目录存储到活动目录的AD连接器。这个改变还巧妙地避开了千年虫病毒,呵呵。

之后的16年,活动目录就一直是Exchange的关键组件。随着网络和软件业的发展,我们几乎不用再为早年的AD复制问题担忧,哪怕是再复杂的Schema。众所周知,要安装Exchange之类的应用必须拓展AD的Schema,以适应新的对象和属性。我认为这主要是因为在Exchange刚刚需要集成AD的时候,AD的复制还非常不可靠,经常发生这样那样的问题,所以官方在那时尽量精简内容,而不直接将Exchange等应用所需的对象和属性绑定到AD的Schema中。所以导致现在我们每升级一个版本的Exchange,哪怕是一个小小的CU,也需要做一次Schema的扩展,好在我们也习惯了。。。

AD对Exchange的重要性体现在以下两个方面。第一,Exchange的主要配置数据都存在AD中,这里我为什么说“主要”的配置数据呢?因为出于访问速度的考量,产品组坚持将Exchange的一些信息存放在服务器的注册表里。

在小编看来,将所有配置信息放在AD里更加合理一点,毕竟AD的多主机复制机制提供了强大的可用性,当然毕竟有一些配置稍微“私密”一点,比如代表着Exchange安装状态的WaterMark(HKLM\Software\Microsoft\Exchange\v8.0\MailboxRole,应用案例可参看上海理工大学复兴路校区CCR项目综述)。作为微软来说,他们希望将越来越多的基于AD的应用的配置信息存放在AD里,并且随着应用的升级,实际情况也确是如此。

除了将配置信息存放在AD里之外,Exchange还需要从AD中读取用户,组以及联系人信息。这是从Exchange独立目录存储转变到AD存储之后最大的变化。也正是这个原因,企业IT在设计AD的时候需要非常谨慎,如果你在装完Exchange之后再妄想更改AD域名(比如将Exchangecn.com改成alliedbiz.com)或者更改Exchange组织名就行不通了。道理也很简单,每一个AD对象都有唯一的DN,每一个DN(Distinguished Name)都包含了组织名或域名,所以修改域名或组织名势必造成整个AD数据库大乱。

微软以前有一个官方工具LegacyDN,可以用来修改DN,但是链接中的注意事项相信大家也看得很清楚:“注意我们支持使用 Legacydn.exe 工具仅在实验室环境中。该工具只在使用单个域控制器的环境中工作。”也就是说,对于小型企业(单台DC),并且在部署Exchange后不久可以用此工具更改组织名。官方还有一款叫“Domain Rename Fixup”的工具可以修改Exchange2003的组织名,不过官方同样声明“在上生产系统之前,请在实验环境中充分测试”云云。当然了,即便这些官方工具可以完成重命名且对AD与Exchange没有影响,但保不齐其他应用尤其是第三方应用不受影响。而且,这些工具并不适用于Exchange 2007,2010,2013及最新的2016。

写到这里,小编想谁会无聊到想去重命名AD和Exchange呢,即便公司重组了并购了,AD始终是底层的东西,并不直接面向用户,即便AD域名非常奇怪,但用户只在意可以通过验证登录到AD,可以通过邮件策略用代表公司的邮箱收发邮件就OK了。不是么?

发布于: 浏览:15834 次

现有 3 条评论

  1. 游客 2020年7月27日 下午5:12

    学习了

  2. 游客 2018年4月3日 下午4:58

    同感!同感!

  3. 游客 2017年9月16日 下午9:51

    我以为会有一个好的解决方案呢?结果给我看个这!!!

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据