RSS

ad 与exchange 2007的关系知多少

10 Feb

英文版原文http://msexchangeteam.com/archive/2009/01/05/450355.aspx

很多人都认为当exchange部署完成后,与ad的相关联系基本就可以中断了。可是实际工作中你会发现,很多时候exchange管理员都不得不与ad管理员打交道,除非他们是同一个人。我们需要关心如下几个问题:

——DNS

dns与ad是紧密集成的,这个观点相信大多数管理员都应该清楚。但是srv record有多少人清楚呢?请查看http://www.rfc-editor.org/rfc/rfc2782.txt
你需要确保dns中拥有所有的SRV记录,而且都是正确。
srv 记录优先级确定哪台服务器优先提供供服务(低优先级先提供),SRV权重确定负载均衡的服务器那个优先提供服务。 DC的SRV 优先级/权重默认为0/100。增加优先级或者降低权重都可以减少用户访问。

在dc上运行下面的命令去人这些记录都存在:
DCDiag /test: registerindns /dnsdomain: FQDN /v

DC在dns上会注册如下srv记录:

_ldap._tcp.DnsDomainName
_ldap._tcp.SiteName._sites.dc
_msdcs.DnsDomainName
_gc._tcp.DnsForestName
_gc._tcp.SiteName._sites.DnsForestName
_kerberos._tcp.DnsDomainName
_kerberos._tcp.SiteName
_sites.DnsDomainName

更详细的如下

可以使用下面两篇KB来排错
http://support.microsoft.com/kb/321045
http://support.microsoft.com/kb/321046

——DC
dc中存有数据,管理用户和域的交互,包括用户登录,验证,目录搜索。

exchange server 的组件需要dc。包括Directory Service Access (DSAccess or ADAccess), Directory Service Proxy (DSProxy), Offline Address Book (OAB)以及Message Categorizer。他们需要用到DC或者GC。

—–RODC
RODC是域的额外域控,只存放了ad数据库的部分数据,且为readonly。
RODC默认是无法写入的。但Exchange 需要一个可以写的DC,所以无法使用RODC 或者 Read-Only Global Catalog (ROGC).

—-GC

GC存放域内所有的对象拷贝和森林中其他域中对象的部分拷贝。Exchange 2007 需要GC。所有的 distribution groups 应该被修改为Universal Groups。Universal Groups直接存储在GC上,可以在森林中复制。

—–DC应该是32位还是64位?

随意吧,你爱用哪个都行。但是你得考虑到新os的好处,64bit带来的优势(内存可以超过3GB)

—-exchange升级ad schema

ad管理员一般都只给你很少的时间来做schema升级。因为升级的时候,DC会停止所有的ad复制,直到schema升级完成,这会带来风险。

—ad复制

域内所有的DC都维护一份ad数据库的拷贝。复制会让dc之间保持最新状态。

这篇文章介绍了在windows2003和2008上如何查看复制状态
http://technet.microsoft.com/en-us/library/cc742066.aspx

—ad站点

ad站点是一个非常重要的概念,但是常常被忽视。站点是所有物理设备和逻辑设备的合集,包括有线网络,网线,路由器,ad设置,ip子网等。一个站点可以跨越多个域。站点允许其下所有的域控可以同步其他服务器。客户端认为站点内的所有dc的服务都是相同的。

通常的配置错误包括

1、没有定义站点内子网,导致客户端无法查找到dc
2、没有足够的站点,或者站点链配置错误,导致桥头堡站点额外的复制开销
3、站点跨越的区域太大,导致复制的缓慢

exchange 使用ad站点来路由和发送邮件,此时它不会再管理自己的路由拓扑。这也使得ad站点对exchange2007的健康程度非常重要。CAS也非常依靠AD站点,比如Autodiscover, calendar assistant服务。只有ad站点内有GC的时候,exchange2007才能正常安装。

——adaccess

adaccess是exchange的核心组件之一。adaccess执行自动发现的时候使用缓存来减少LDAP对ad的请求,这表示他只是定期与环境中的dc和GC交互。

—exchange都在ad中存了哪些信息

exchange2003、2000使用了ad中40%的信息,而exchange2007使用了ad 70%的信息。具体信息请看下表

—ad优化设置

  • MaxQueryDuration
    – Default is 120 seconds – too long in some cases, Microsoft IT is 45 seconds
    Reduced for better end user experience (response time)
  • MaxActiveQuery
    – Default is 20, Microsoft IT is set to 32
    Allows for more concurrent LDAP queries
  • DS Heuristics
    – ANR search behavior (among many others)
    – Forest wide settings

– Microsoft IT is set to 0001 – pre-emptive nickname resolution

——ad的排错

Registry

  • HKLM\SYSTEM\CCS\services\ntds\diagnostics

– 24 diagnostics registry keys
Verbosity 0-5 :: 0-Off, 1-Lowest Verbosity, 5-Highest Verbosity
– "3 ExDS Interface Events"
– "4 MAPI Interface Events"
– "6 Garbage Collection"
Set to 1 on all DC’s – creates two added events every 24 hours
Event ID 1646 displays available white space recoverable with offline defrag
– "9 Internal Processing"
– "15 Field Engineering"
Identifies expensive and inefficient queries
Thresholds can be managed via the registry

 

Server Performance Advisor (Download for Windows Server 2003, built into Windows Server 2008 – under Reliability and Performance Monitor – Data Collector Sets & Reports)

o Server performance Reports

o Resource utilization information

o Identify offending clients

o Identify bottlenecks

o Workload Stress

Replication

o Typically caused by DNS or network issues

o Replication latency depends on topology and settings

o Use Repadmin to identify the source of the problem

o Increase Diagnostic keys to track significant events

Tools

o Repadmin.exe is the primary tool for identifying and resolving all replication issues

o DCDiag provides overall "health" of a domain controller

o Risk Assessment Program for Active Directory (ADRAP) is an ideal delivery for identifying current issues

Advertisements
 
Leave a comment

Posted by on February 10, 2009 in Exchange Server

 

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

 
%d bloggers like this: