深入理解exchange 2007依赖ad的关系

小风儿

转载：http://bbs.winos.cn/viewthread.p ... 26amp%3Btypeid%3D27 英文原文链接为： http://msexchangeteam.com/archive/2009/01/05/450355.aspx　　很多人都认为当exchange部署完成后，与ad的相关联系基本就可以中断了。可是实际工作中你会发现，很多时候exchange管理员都不得不与ad管理员打交道，除非他们是同一个人。那么exchange 2007究竟依赖哪些ad的服务呢？
　　------DNS
　　dns与ad是紧密集成的，这个观点相信大多数管理员都应该清楚。但是srv record有多少人清楚呢？请查看http://www.rfc-editor.org/rfc/rfc2782.txt
　　你需要确保dns中拥有所有的SRV记录，而且都是正确。
　　srv 记录优先级确定哪台服务器优先提供供服务（低优先级先提供），SRV权重确定负载均衡的服务器那个优先提供服务。 DC的SRV 优先级/权重默认为0/100。增加优先级或者降低权重都可以减少用户访问。 在dc上运行下面的命令去人这些记录都存在：
　　DCDiag /test: registerindns /dnsdomain: FQDN /v DC在dns上会注册如下srv记录：
_ldap._tcp.DnsDomainName　　_ldap._tcp.SiteName._sites.dc
　　_msdcs.DnsDomainName
　　_gc._tcp.DnsForestName
　　_gc._tcp.SiteName._sites.DnsForestName
　　_kerberos._tcp.DnsDomainName
　　_kerberos._tcp.SiteName
　　_sites.DnsDomainName
更详细的如下 https://t5jyjw.bay.livefilestore ... JEWnPHwrU-SGs/image　　可以使用下面两篇KB来排错
　　http://support.microsoft.com/kb/321045
　　http://support.microsoft.com/kb/321046
　　------DC
　　dc中存有数据，管理用户和域的交互，包括用户登录，验证，目录搜索。 exchange server 的组件需要dc。包括Directory Service Access (DSAccess or ADAccess), Directory Service Proxy (DSProxy), Offline Address Book (OAB)以及Message Categorizer。他们需要用到DC或者GC。
　　-----RODC
　　RODC是域的额外域控，只存放了ad数据库的部分数据，且为readonly。
　　RODC默认是无法写入的。但Exchange 需要一个可以写的DC,所以无法使用RODC 或者 Read-Only Global Catalog (ROGC).
　　----GC
　　GC存放域内所有的对象拷贝和森林中其他域中对象的部分拷贝。Exchange 2007 需要GC。所有的 distribution groups 应该被修改为Universal Groups。Universal Groups直接存储在GC上，可以在森林中复制。 -----DC应该是32位还是64位？ 随意吧，你爱用哪个都行。但是你得考虑到新os的好处，64bit带来的优势（内存可以超过3GB）
　　----exchange需要升级ad
　　schema ad管理员一般都只给你很少的时间来做schema升级。因为升级的时候，DC会停止所有的ad复制，直到schema升级完成，这会带来风险。 ---ad复制 域内所有的DC都维护一份ad数据库的拷贝。复制会让dc之间保持最新状态。
　　这篇文章介绍了在windows2003和2008上如何查看复制状态
　　http://technet.microsoft.com/en-us/library/cc742066.aspx
　　---ad站点
　　ad站点是一个非常重要的概念，但是常常被忽视。站点是所有物理设备和逻辑设备的合集，包括有线网络，网线，路由器，ad设置，ip子网等。一个站点可以跨越多个域。站点允许其下所有的域控可以同步其他服务器。客户端认为站点内的所有dc的服务都是相同的。 通常的配置错误包括
　　1、没有定义站点内子网，导致客户端无法查找到dc
　　2、没有足够的站点，或者站点链配置错误，导致桥头堡站点额外的复制开销
　　3、站点跨越的区域太大，导致复制的缓慢 exchange 使用ad站点来路由和发送邮件，此时它不会再管理自己的路由拓扑。这也使得ad站点对exchange2007的健康程度非常重要。
　　CAS也非常依靠AD站点，比如Autodiscover, calendar assistant服务。只有ad站点内有GC的时候，exchange2007才能正常安装。
　　------adaccess
　　adaccess是exchange的核心组件之一。adaccess执行自动发现的时候使用缓存来减少LDAP对ad的请求，这表示他只是定期与环境中的dc和GC交互。 ---exchange都在ad中存了哪些信息 exchange2003、2000使用了ad中40%的信息，而exchange2007使用了ad 70%的信息。具体信息请看下表
　　https://t5jyjw.bay.livefilestore ... /information%20inad
　　---ad优化设置

• MaxQueryDuration　　- Default is 120 seconds - too long in some cases, Microsoft IT is 45 seconds
  　　Reduced for better end user experience (response time)
  
• MaxActiveQuery　　- Default is 20, Microsoft IT is set to 32
  　　Allows for more concurrent LDAP queries
  
• DS Heuristics　　- ANR search behavior (among many others)
  　　- Forest wide settings
  

- Microsoft IT is set to 0001 - pre-emptive nickname resolution

------ad的排错 Registry

• HKLM\SYSTEM\CCS\services\ntds\diagnostics
  

- 24 diagnostics registry keys　　Verbosity 0-5 :: 0-Off, 1-Lowest Verbosity, 5-Highest Verbosity
　　- "3 ExDS Interface Events"
　　- "4 MAPI Interface Events"
　　- "6 Garbage Collection"
　　Set to 1 on all DC's - creates two added events every 24 hours
　　Event>　　- "9 Internal Processing"
　　- "15 Field Engineering"
　　Identifies expensive and inefficient queries
　　Thresholds can be managed via the registry

Server Performance Advisor (Download for Windows Server 2003, built into Windows Server 2008 - under Reliability and Performance Monitor - Data Collector Sets & Reports)

o Server performance Reports

o Resource utilization information

o>

o>

o Workload Stress

Replication

o Typically caused by DNS or network issues

o Replication latency depends on topology and settings

o Use Repadmin to>

o Increase Diagnostic keys to track significant events

Tools

o Repadmin.exe is the primary tool for>

o DCDiag provides overall "health" of a domain controller

o Risk Assessment Program for Active Directory (ADRAP) is an>