活動(dòng)目錄技術(shù)在大型郵件系統(tǒng)中的應(yīng)用

摘要:隨著各行業(yè)信息系統(tǒng)日益增長(zhǎng)，如何實(shí)現(xiàn)統(tǒng)一的用戶管理越來(lái)越受到業(yè)界的關(guān)注，鑒于此，本文通過(guò)對(duì)微軟公司活動(dòng)目錄技術(shù)的分析，提出了通過(guò)活動(dòng)目錄技術(shù)解決統(tǒng)一郵件系統(tǒng)的設(shè)計(jì)思想。

關(guān)鍵詞:活動(dòng)目錄 郵件系統(tǒng)

1 概述

活動(dòng)目錄可以實(shí)現(xiàn)用戶管理，提供對(duì)用戶、應(yīng)用程序和設(shè)備的單一、一致性的管理點(diǎn)；加強(qiáng)終端安全性。并且向用戶提供單一的網(wǎng)絡(luò)資源登錄，為管理員提供強(qiáng)大、一致性的工具以使他們能夠管理為內(nèi)部計(jì)算機(jī)用戶、遠(yuǎn)程撥號(hào)用戶以及外部客戶提供的安全服務(wù)。活動(dòng)域管理是實(shí)施服務(wù)器管理、終端管理的基礎(chǔ)，也為財(cái)務(wù)、人事、電子郵件、企業(yè)信息門(mén)戶、辦公自動(dòng)化、防病毒系統(tǒng)等各種應(yīng)用系統(tǒng)提供支持，是安全體系建設(shè)的基礎(chǔ)。

活動(dòng)目錄(Active Directory)主要提供以下功能：①基礎(chǔ)網(wǎng)絡(luò)服務(wù)：包括DNS、WINS、DHCP、證書(shū)服務(wù)等。②服務(wù)器及客戶端計(jì)算機(jī)管理：管理服務(wù)器及客戶端計(jì)算機(jī)賬戶，所有服務(wù)器及客戶端計(jì)算機(jī)加入域管理并實(shí)施組策略。③用戶服務(wù)：管理用戶域賬戶、用戶信息、企業(yè)通訊錄(與電子郵件系統(tǒng)集成)、用戶組管理、用戶身份認(rèn)證、用戶授權(quán)管理等，按省實(shí)施組管理策略。④資源管理：管理打印機(jī)、文件共享服務(wù)等網(wǎng)絡(luò)資源。⑤桌面配置：系統(tǒng)管理員可以集中的配置各種桌面配置策略，如：界面功能的限制、應(yīng)用程序執(zhí)行特征限制、網(wǎng)絡(luò)連接限制、安全配置限制等。⑥應(yīng)用系統(tǒng)支撐：支持財(cái)務(wù)、人事、電子郵件、企業(yè)信息門(mén)戶、辦公自動(dòng)化、補(bǔ)丁管理、防病毒系統(tǒng)等各種應(yīng)用系統(tǒng)。

2活動(dòng)目錄設(shè)計(jì)

由于Microsoft Windows Server和Microsoft Exchange都依賴(lài) Active Directory 實(shí)現(xiàn)目錄服務(wù)，因此必須確定如何將Exchange集成到Active Directory 結(jié)構(gòu)中。要部署Exchange，需要從一個(gè)已建立的、處于穩(wěn)定工作狀態(tài)的Active Directory基礎(chǔ)結(jié)構(gòu)開(kāi)始。下面簡(jiǎn)要介紹在統(tǒng)一郵件項(xiàng)目中活動(dòng)目錄的設(shè)計(jì)。

2.1 郵件系統(tǒng)與活動(dòng)目錄的關(guān)系 Exchange Server郵件系統(tǒng)與活動(dòng)目錄緊密集成，并且依賴(lài)活動(dòng)目錄完成其目錄操作。活動(dòng)目錄可以為郵件系統(tǒng)提供郵箱信息、地址列表服務(wù)以及其他跟收件人相關(guān)的信息，同時(shí)郵件系統(tǒng)的配置信息也存儲(chǔ)在活動(dòng)目錄中。通過(guò)活動(dòng)目錄的復(fù)制功能，可以將這些收件人相關(guān)信息和配置信息復(fù)制到各個(gè)活動(dòng)目錄域和站點(diǎn)中的域服務(wù)器，以供郵件系統(tǒng)就近訪問(wèn)。

可以說(shuō)活動(dòng)目錄是郵件系統(tǒng)的安全系統(tǒng)，活動(dòng)目錄的安全機(jī)制保證了只有認(rèn)證通過(guò)的用戶可以訪問(wèn)郵箱，并且只有認(rèn)證通過(guò)的管理員才能更改郵件系統(tǒng)中的配置信息。

郵件系統(tǒng)內(nèi)置活動(dòng)目錄訪問(wèn)模塊，用于和活動(dòng)目錄通訊(LDAP請(qǐng)求)以及緩存活動(dòng)目錄的信息，通過(guò)共享訪問(wèn)和緩存機(jī)制，可以減少活動(dòng)目錄域控制器以及全局編目服務(wù)器的負(fù)載。郵件系統(tǒng)可以發(fā)現(xiàn)活動(dòng)目錄拓?fù)洌_認(rèn)域控制器和全局編目服務(wù)器，并且維持可用的域服務(wù)器列表。

地址簿信息存儲(chǔ)在活動(dòng)目錄中，郵件系統(tǒng)也對(duì)Outlook客戶端地址簿訪問(wèn)提供支持。包括活動(dòng)目錄請(qǐng)求轉(zhuǎn)發(fā)和活動(dòng)目錄請(qǐng)求代理兩種方式。

在消息傳輸過(guò)程中，郵件系統(tǒng)的SMTP Categorizer(SMTP分撿器)將根據(jù)消息頭中包含的信息去查詢(xún)活動(dòng)目錄，并且決定消息路由，即消息如何傳遞以及消息將被傳遞到何處。另外SMTP Categorizer通過(guò)查詢(xún)活動(dòng)目錄，解析發(fā)件人、收件人，以及郵件組，并且將每個(gè)收件人和每個(gè)發(fā)件人的限制應(yīng)用于消息。

2.2 活動(dòng)目錄域建設(shè)方案 活動(dòng)目錄提供用戶信息存儲(chǔ)和用戶身份認(rèn)證，是統(tǒng)一郵件系統(tǒng)的基礎(chǔ)。根據(jù)信息化統(tǒng)一戰(zhàn)略，在DCN安全建設(shè)完成后，將實(shí)現(xiàn)按域劃分管理模式，即采用一個(gè)森林根域，多個(gè)子賬號(hào)域的模式，域間自動(dòng)信任的訪問(wèn)方式，簡(jiǎn)化了域間關(guān)系，并考慮到域內(nèi)自行管理賬號(hào)的靈活性，保障網(wǎng)通統(tǒng)一的應(yīng)用可訪問(wèn)性與安全性。

2.3 DNS設(shè)計(jì) 由于Exchange依賴(lài)DNS進(jìn)行名稱(chēng)解析來(lái)進(jìn)行郵件的傳遞，因此DNS的設(shè)計(jì)在郵件系統(tǒng)的設(shè)計(jì)中起到了至關(guān)重要的作用。

在郵件系統(tǒng)中，SMTP依賴(lài)DNS來(lái)確定其下一個(gè)內(nèi)部或外部目標(biāo)服務(wù)器的IP地址。通常，內(nèi)部DNS可以幫助郵件服務(wù)器實(shí)現(xiàn)內(nèi)部郵件服務(wù)器的查找，但是內(nèi)部DNS名稱(chēng)不在Internet上發(fā)布。因此，SMTP必須能夠聯(lián)系到可以解析外部DNS名稱(chēng)以發(fā)送Internet 郵件的DNS服務(wù)器，以及可以解析內(nèi)部DNS名稱(chēng)以實(shí)現(xiàn)組織內(nèi)傳遞的DNS服務(wù)器。

2.4 DNS在郵件系統(tǒng)中的作用 DNS有以下三方面的作用：①DNS在發(fā)送和接收內(nèi)部郵件時(shí)的作用②DNS在接收Internet 郵件時(shí)的作用③DNS在發(fā)送Internet 郵件時(shí)的作用。

2.5 DNS設(shè)計(jì)舉例 基于以上要求，對(duì)DNS進(jìn)行如下設(shè)計(jì)：

2.5.1 入站Internet 郵件：郵件以下列方式流入Exchange 組織：①來(lái)自Internet的郵件使用Internet IP地址向china.com域中的收件人發(fā)送郵件。②虛擬服務(wù)器2監(jiān)視此Internet IP地址以偵聽(tīng)郵件，由于未配置虛擬服務(wù)器2中繼郵件，因此它拒絕目標(biāo)地址非公司域的郵件。③當(dāng)虛擬服務(wù)器2收到從Internet發(fā)往本地域內(nèi)部的主機(jī)的郵件時(shí)，通過(guò)內(nèi)部NIC與Active Directory服務(wù)聯(lián)系，以確定郵件要發(fā)往的目的地。④雖然虛擬服務(wù)器2監(jiān)視外部IP地址以偵聽(tīng)傳入的郵件，但是它基于路由表中的條目來(lái)使用適于路由郵件的任意IP地址。虛擬服務(wù)器2僅使用內(nèi)部DNS服務(wù)來(lái)進(jìn)行名稱(chēng)解析。虛擬服務(wù)器2未配置外部DNS 服務(wù)器列表，因此不解析外部地址。它拒絕發(fā)往公司域以外的域的所有郵件。

2.5.2 出站Internet郵件：郵件以下列方式流出Exchange組織：①用戶向外部收件人發(fā)送郵件。②由于此郵件是出站郵件，因此它使用駐留在虛擬服務(wù)器1上的SMTP連接器。③當(dāng)虛擬服務(wù)器 1 收到發(fā)往遠(yuǎn)程域的郵件時(shí)，使用外部DNS服務(wù)器列表來(lái)查找郵件收件人的IP地址，然后使用外部NIC來(lái)傳遞外部郵件。④雖然將虛擬服務(wù)器1配置為監(jiān)視Intranet IP地址，但是它對(duì)外部郵件使用 Internet NIC。

3結(jié)論

3.1 目錄服務(wù)技術(shù)是解決信息系統(tǒng)中用戶資料統(tǒng)一的有效手段

3.2 微軟的活動(dòng)目錄技術(shù)及其群件系統(tǒng)結(jié)合能夠提供完整的郵件解決方案。

參考文獻(xiàn)：

[1]Abraham Silberschatz，Henry E Korth，S.Sudarshan.Database System Concepts，F(xiàn)ourth Edition McGraw-Hill 2003.

[2]劉曉輝，王淑江。Windows Server 2003高級(jí)網(wǎng)絡(luò)服務(wù)實(shí)戰(zhàn)指南.人民郵電出版社.2003.