活動目錄技術在大型郵件系統(tǒng)中的應用

蔡　蕙　范　軍

摘要:隨著各行業(yè)信息系統(tǒng)日益增長，如何實現統(tǒng)一的用戶管理越來越受到業(yè)界的關注，鑒于此，本文通過對微軟公司活動目錄技術的分析，提出了通過活動目錄技術解決統(tǒng)一郵件系統(tǒng)的設計思想。

關鍵詞:活動目錄 郵件系統(tǒng)

1 概述

活動目錄可以實現用戶管理，提供對用戶、應用程序和設備的單一、一致性的管理點；加強終端安全性。并且向用戶提供單一的網絡資源登錄，為管理員提供強大、一致性的工具以使他們能夠管理為內部計算機用戶、遠程撥號用戶以及外部客戶提供的安全服務。活動域管理是實施服務器管理、終端管理的基礎，也為財務、人事、電子郵件、企業(yè)信息門戶、辦公自動化、防病毒系統(tǒng)等各種應用系統(tǒng)提供支持，是安全體系建設的基礎。

活動目錄(Active Directory)主要提供以下功能：①基礎網絡服務：包括DNS、WINS、DHCP、證書服務等。②服務器及客戶端計算機管理：管理服務器及客戶端計算機賬戶，所有服務器及客戶端計算機加入域管理并實施組策略。③用戶服務：管理用戶域賬戶、用戶信息、企業(yè)通訊錄(與電子郵件系統(tǒng)集成)、用戶組管理、用戶身份認證、用戶授權管理等，按省實施組管理策略。④資源管理：管理打印機、文件共享服務等網絡資源。⑤桌面配置：系統(tǒng)管理員可以集中的配置各種桌面配置策略，如：界面功能的限制、應用程序執(zhí)行特征限制、網絡連接限制、安全配置限制等。⑥應用系統(tǒng)支撐：支持財務、人事、電子郵件、企業(yè)信息門戶、辦公自動化、補丁管理、防病毒系統(tǒng)等各種應用系統(tǒng)。

2活動目錄設計

由于Microsoft Windows Server和Microsoft Exchange都依賴 Active Directory 實現目錄服務，因此必須確定如何將Exchange集成到Active Directory 結構中。要部署Exchange，需要從一個已建立的、處于穩(wěn)定工作狀態(tài)的Active Directory基礎結構開始。下面簡要介紹在統(tǒng)一郵件項目中活動目錄的設計。

2.1 郵件系統(tǒng)與活動目錄的關系 Exchange Server郵件系統(tǒng)與活動目錄緊密集成，并且依賴活動目錄完成其目錄操作?；顒幽夸浛梢詾猷]件系統(tǒng)提供郵箱信息、地址列表服務以及其他跟收件人相關的信息，同時郵件系統(tǒng)的配置信息也存儲在活動目錄中。通過活動目錄的復制功能，可以將這些收件人相關信息和配置信息復制到各個活動目錄域和站點中的域服務器，以供郵件系統(tǒng)就近訪問。

可以說活動目錄是郵件系統(tǒng)的安全系統(tǒng)，活動目錄的安全機制保證了只有認證通過的用戶可以訪問郵箱，并且只有認證通過的管理員才能更改郵件系統(tǒng)中的配置信息。

郵件系統(tǒng)內置活動目錄訪問模塊，用于和活動目錄通訊(LDAP請求)以及緩存活動目錄的信息，通過共享訪問和緩存機制，可以減少活動目錄域控制器以及全局編目服務器的負載。郵件系統(tǒng)可以發(fā)現活動目錄拓撲，確認域控制器和全局編目服務器，并且維持可用的域服務器列表。

地址簿信息存儲在活動目錄中，郵件系統(tǒng)也對Outlook客戶端地址簿訪問提供支持。包括活動目錄請求轉發(fā)和活動目錄請求代理兩種方式。

在消息傳輸過程中，郵件系統(tǒng)的SMTP Categorizer(SMTP分撿器)將根據消息頭中包含的信息去查詢活動目錄，并且決定消息路由，即消息如何傳遞以及消息將被傳遞到何處。另外SMTP Categorizer通過查詢活動目錄，解析發(fā)件人、收件人，以及郵件組，并且將每個收件人和每個發(fā)件人的限制應用于消息。

2.2 活動目錄域建設方案 活動目錄提供用戶信息存儲和用戶身份認證，是統(tǒng)一郵件系統(tǒng)的基礎。根據信息化統(tǒng)一戰(zhàn)略，在DCN安全建設完成后，將實現按域劃分管理模式，即采用一個森林根域，多個子賬號域的模式，域間自動信任的訪問方式，簡化了域間關系，并考慮到域內自行管理賬號的靈活性，保障網通統(tǒng)一的應用可訪問性與安全性。

2.3 DNS設計 由于Exchange依賴DNS進行名稱解析來進行郵件的傳遞，因此DNS的設計在郵件系統(tǒng)的設計中起到了至關重要的作用。

在郵件系統(tǒng)中，SMTP依賴DNS來確定其下一個內部或外部目標服務器的IP地址。通常，內部DNS可以幫助郵件服務器實現內部郵件服務器的查找，但是內部DNS名稱不在Internet上發(fā)布。因此，SMTP必須能夠聯(lián)系到可以解析外部DNS名稱以發(fā)送Internet 郵件的DNS服務器，以及可以解析內部DNS名稱以實現組織內傳遞的DNS服務器。

2.4 DNS在郵件系統(tǒng)中的作用 DNS有以下三方面的作用：①DNS在發(fā)送和接收內部郵件時的作用②DNS在接收Internet 郵件時的作用③DNS在發(fā)送Internet 郵件時的作用。

2.5 DNS設計舉例 基于以上要求，對DNS進行如下設計：

2.5.1 入站Internet 郵件：郵件以下列方式流入Exchange 組織：①來自Internet的郵件使用Internet IP地址向china.com域中的收件人發(fā)送郵件。②虛擬服務器2監(jiān)視此Internet IP地址以偵聽郵件，由于未配置虛擬服務器2中繼郵件，因此它拒絕目標地址非公司域的郵件。③當虛擬服務器2收到從Internet發(fā)往本地域內部的主機的郵件時，通過內部NIC與Active Directory服務聯(lián)系，以確定郵件要發(fā)往的目的地。④雖然虛擬服務器2監(jiān)視外部IP地址以偵聽傳入的郵件，但是它基于路由表中的條目來使用適于路由郵件的任意IP地址。虛擬服務器2僅使用內部DNS服務來進行名稱解析。虛擬服務器2未配置外部DNS 服務器列表，因此不解析外部地址。它拒絕發(fā)往公司域以外的域的所有郵件。

2.5.2 出站Internet郵件：郵件以下列方式流出Exchange組織：①用戶向外部收件人發(fā)送郵件。②由于此郵件是出站郵件，因此它使用駐留在虛擬服務器1上的SMTP連接器。③當虛擬服務器 1 收到發(fā)往遠程域的郵件時，使用外部DNS服務器列表來查找郵件收件人的IP地址，然后使用外部NIC來傳遞外部郵件。④雖然將虛擬服務器1配置為監(jiān)視Intranet IP地址，但是它對外部郵件使用 Internet NIC。

3結論

3.1 目錄服務技術是解決信息系統(tǒng)中用戶資料統(tǒng)一的有效手段

3.2 微軟的活動目錄技術及其群件系統(tǒng)結合能夠提供完整的郵件解決方案。

參考文獻：

[1]Abraham Silberschatz，Henry E Korth，S.Sudarshan.Database System Concepts，Fourth Edition McGraw-Hill 2003.

[2]劉曉輝，王淑江。Windows Server 2003高級網絡服務實戰(zhàn)指南.人民郵電出版社.2003.