Exchange 2007 为什么只能创建通用组?
也许你会发现,在 Exchange 2003 和 Exchange 2007 共存的环境中,或者 Exchange 2003 迁移到 Exchange 2007 后,有些通讯组在 2007 的控制台中灰掉了,并且显示非通用组,我们要管理这些组,要先转换成通用组。
【图:灰掉的通讯组】
【图:转换成通用组才能管理】
我们在 Exchange 2003 中创建通讯组的时候,会让我们选择 “域本地组,全局组,和通用组”,Exchange 2007 中创建的组为什么没有这个选项了呢?
【图:Exchange 2003中创建组默认选择 全局组】
【图:2007 中创建组】
因为 Exchange 2007 中创建组的时候默认就是通用组,虽然在域本地组和全局组也可以使用,但是 Exchange 2007 的管理控制台无法管理他们。
这是为什么呢?
首先,我们来回顾一下这三个组:
注:不同的组在2000 混合模式和纯模式下特性是不同的,因为混合模式下没有通用组,我们来讨论纯模式下的情况:
域本地组:
成员:可以是森林中的任何用户,全局组,通讯组,也可以是其它森林的信任域的成员
作用:域本地组是用来给本地域的资源赋访问权限的,
只能在本域中使用。比如 sun 域中有个域本地组 sunDomainLocal,在父域 coda 中,你想赋予sunDomainLocal 对文件的权限,会发现找不到这个组
【图:找不到别的域的域本地组,无法赋权限】
域本地组会复制到GC上的,别的域可以看到,但是它的成员信息不存在GC上
子域Sun建了一个域本地组sunDomainLocal,这个组里面包含了用户1,但是我们在父域GC上查看信息时,会看到这个组,但是成员信息却不会被看到。
【图:域本地组成员信息不在GC上】
全局组:
成员:本域的成员
作用:账户组 (Account Group),一般用来存放具有相同功能的用户和计算机,比如全部的正式员工,可以存放在这个组中。
全局组可以被任何信任的域赋予访问对象的权限,比如域coda 就可以对子域的全局组 sunGlobal 赋访问权限。
对象会复制到GC上,但是成员信息是不会复制到GC上,这个和域本地组一样。
通用组:
成员:可以包含森林中任何域的成员
作用:可以包含不同域用户,比如森林中,不同域中有些相同功能的用户,你可以把他们放在通用组中来管理。
GC 中会包含通用组和它成员的信息,如果包含大量成员,那么成员信息的变动可能带来大流量的复制。
【图:通用组的成员会复制到GC上】
Exchange 2003 中的 问题在 Exchange 2003 中创建组的时候,你可以选择域本地组或者全局组,但是当为这个组创建 E-mail 地址的时候,会有一个提示:
警告信息说:如果你真的想使用 有邮箱地址的域本地组或全局组,你要确定你懂得XXX,最后建议你使用通用组。
看到问题在哪了吗?这些组要被放到全球地址簿中的,这也就意味着森林中的任何域中任何用户都可以向这些组发信,从上面的三个组的介绍中可以看到只有通用组的成员是复制到GC上的,如果是单域的环境,这当然没有什么问题,但是多域的环境下,一个域中 Outlook 用户是不能展开其它域中 mail-enable 组的成员,因为它本地GC上根本没有这些成员的信息,这就造成了不能发信的问题。
DL 是另外一个域的域本地组(Domain Local Group)
G 是另外一个域的域全局组 (Global Group)
点击前面的加号去展开这两个组
展开的时候遇到错误,因为本域没有外域组用户的信息。
【图:Outlook 中不能展开 全局组 和 域本地组】
在实验的过程中,发信给另外一个域的域本地组,发现竟然没有NDR产生,在Message Pending Submission 队列里直接消失掉了,也许它认为这个组是空的,根本没有人吧
当然,Exchange 2003 中也是有解决问题的方法的,这里忍不住推荐一篇KB,写的很详细。
http://support.microsoft.com/kb/839949
总结Exchange 2007 为了避免2003 中出现的问题,所以直接要求建立通用组。但是这有一个问题,就是复制流量。如果通用组的成员有变动的话,它就会把整个通用组复制到所有的GC上,如果一个通用组有5000个用户,经常产生变动,那么网络的复制流量是个重要的考虑因素。
在 Windows 2003 Interim 和 Windows Server 2003 的域功能级别中有个新的功能 Linked Value Replication,这项功能帮助我们减少网络复制的流量,当一个组成员发生改变的时候,不在需要复制所有的对象信息,所有的组成员信息,只需要复制改动的那些值就OK了。