蔡　蕙　范　军

摘要:随着各行业信息系统日益增长，如何实现统一的用户管理越来越受到业界的关注，鉴于此，本文通过对微软公司活动目录技术的分析，提出了通过活动目录技术解决统一邮件系统的设计思想。

关键词:活动目录 邮件系统

1 概述

活动目录可以实现用户管理，提供对用户、应用程序和设备的单一、一致性的管理点；加强终端安全性。并且向用户提供单一的网络资源登录，为管理员提供强大、一致性的工具以使他们能够管理为内部计算机用户、远程拨号用户以及外部客户提供的安全服务。活动域管理是实施服务器管理、终端管理的基础，也为财务、人事、电子邮件、企业信息门户、办公自动化、防病毒系统等各种应用系统提供支持，是安全体系建设的基础。

活动目录(Active Directory)主要提供以下功能：①基础网络服务：包括DNS、WINS、DHCP、证书服务等。②服务器及客户端计算机管理：管理服务器及客户端计算机账户，所有服务器及客户端计算机加入域管理并实施组策略。③用户服务：管理用户域账户、用户信息、企业通讯录(与电子邮件系统集成)、用户组管理、用户身份认证、用户授权管理等，按省实施组管理策略。④资源管理：管理打印机、文件共享服务等网络资源。⑤桌面配置：系统管理员可以集中的配置各种桌面配置策略，如：界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。⑥应用系统支撑：支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。

2活动目录设计

由于Microsoft Windows Server和Microsoft Exchange都依赖 Active Directory 实现目录服务，因此必须确定如何将Exchange集成到Active Directory 结构中。要部署Exchange，需要从一个已建立的、处于稳定工作状态的Active Directory基础结构开始。下面简要介绍在统一邮件项目中活动目录的设计。

2.1 邮件系统与活动目录的关系 Exchange Server邮件系统与活动目录紧密集成，并且依赖活动目录完成其目录操作。活动目录可以为邮件系统提供邮箱信息、地址列表服务以及其他跟收件人相关的信息，同时邮件系统的配置信息也存储在活动目录中。通过活动目录的复制功能，可以将这些收件人相关信息和配置信息复制到各个活动目录域和站点中的域服务器，以供邮件系统就近访问。

可以说活动目录是邮件系统的安全系统，活动目录的安全机制保证了只有认证通过的用户可以访问邮箱，并且只有认证通过的管理员才能更改邮件系统中的配置信息。

邮件系统内置活动目录访问模块，用于和活动目录通讯(LDAP请求)以及缓存活动目录的信息，通过共享访问和缓存机制，可以减少活动目录域控制器以及全局编目服务器的负载。邮件系统可以发现活动目录拓扑，确认域控制器和全局编目服务器，并且维持可用的域服务器列表。

地址簿信息存储在活动目录中，邮件系统也对Outlook客户端地址簿访问提供支持。包括活动目录请求转发和活动目录请求代理两种方式。

在消息传输过程中，邮件系统的SMTP Categorizer(SMTP分捡器)将根据消息头中包含的信息去查询活动目录，并且决定消息路由，即消息如何传递以及消息将被传递到何处。另外SMTP Categorizer通过查询活动目录，解析发件人、收件人，以及邮件组，并且将每个收件人和每个发件人的限制应用于消息。

2.2 活动目录域建设方案 活动目录提供用户信息存储和用户身份认证，是统一邮件系统的基础。根据信息化统一战略，在DCN安全建设完成后，将实现按域划分管理模式，即采用一个森林根域，多个子账号域的模式，域间自动信任的访问方式，简化了域间关系，并考虑到域内自行管理账号的灵活性，保障网通统一的应用可访问性与安全性。

2.3 DNS设计 由于Exchange依赖DNS进行名称解析来进行邮件的传递，因此DNS的设计在邮件系统的设计中起到了至关重要的作用。

在邮件系统中，SMTP依赖DNS来确定其下一个内部或外部目标服务器的IP地址。通常，内部DNS可以帮助邮件服务器实现内部邮件服务器的查找，但是内部DNS名称不在Internet上发布。因此，SMTP必须能够联系到可以解析外部DNS名称以发送Internet 邮件的DNS服务器，以及可以解析内部DNS名称以实现组织内传递的DNS服务器。

2.4 DNS在邮件系统中的作用 DNS有以下三方面的作用：①DNS在发送和接收内部邮件时的作用②DNS在接收Internet 邮件时的作用③DNS在发送Internet 邮件时的作用。

2.5 DNS设计举例 基于以上要求，对DNS进行如下设计：

2.5.1 入站Internet 邮件：邮件以下列方式流入Exchange 组织：①来自Internet的邮件使用Internet IP地址向china.com域中的收件人发送邮件。②虚拟服务器2监视此Internet IP地址以侦听邮件，由于未配置虚拟服务器2中继邮件，因此它拒绝目标地址非公司域的邮件。③当虚拟服务器2收到从Internet发往本地域内部的主机的邮件时，通过内部NIC与Active Directory服务联系，以确定邮件要发往的目的地。④虽然虚拟服务器2监视外部IP地址以侦听传入的邮件，但是它基于路由表中的条目来使用适于路由邮件的任意IP地址。虚拟服务器2仅使用内部DNS服务来进行名称解析。虚拟服务器2未配置外部DNS 服务器列表，因此不解析外部地址。它拒绝发往公司域以外的域的所有邮件。

2.5.2 出站Internet邮件：邮件以下列方式流出Exchange组织：①用户向外部收件人发送邮件。②由于此邮件是出站邮件，因此它使用驻留在虚拟服务器1上的SMTP连接器。③当虚拟服务器 1 收到发往远程域的邮件时，使用外部DNS服务器列表来查找邮件收件人的IP地址，然后使用外部NIC来传递外部邮件。④虽然将虚拟服务器1配置为监视Intranet IP地址，但是它对外部邮件使用 Internet NIC。

3结论

3.1 目录服务技术是解决信息系统中用户资料统一的有效手段

3.2 微软的活动目录技术及其群件系统结合能够提供完整的邮件解决方案。

参考文献：

[1]Abraham Silberschatz，Henry E Korth，S.Sudarshan.Database System Concepts，Fourth Edition McGraw-Hill 2003.

[2]刘晓辉，王淑江。Windows Server 2003高级网络服务实战指南.人民邮电出版社.2003.