交换资源林和 Office 365 – 第一部分

Exchange 中完全支持的方案是所谓的资源林模型。在此方案中，有一个 Active Directory 帐户林，其中存在所有用户帐户和常规服务，并且有一个 Active Directory 资源林，其中安装了 Exchange。 Exchange 2010、Exchange 2013 和 Exchange 2016 支持这种情况，我已经在多个使用多个 Exchange 版本的客户处多次看到过这种情况。

因此，Exchange 安装在资源林中，并且此 Exchange 实现中的邮箱是所谓的链接邮箱。此处的邮箱链接到帐户林中的用户帐户。资源林中有一个链接邮箱的用户帐户，但根据设计，这是一个已禁用的帐户。

配置邮箱时，会在帐户林中创建一个用户帐户，在资源林中创建一个相同（但已禁用）的用户帐户，并创建一个链接邮箱。可以使用 Microsoft Identity Manager (MIM) 等 Microsoft 工具、Quest 等第三方工具或使用纯 PowerShell 脚本来完成配置。流程如下图所示：

如果您有多个帐户林需要使用一个 Exchange 组织，这可能会很有用，我在多个客户中都见过这种情况。你最终会遇到这样的场景：

我必须同意，事情可能很快就会变得复杂，但这是一个完全受支持的场景，在某些情况下，它可能很有用。我的一位客户由于多次收购而实施了这种方案。

在我的实验室环境中，我正在处理第一个场景。我已经安装了帐户林 (accounts.local) 和资源林 (resources.local)。安装的 Exchange 版本是 Exchange 2010，有一台多角色 Exchange 2010 服务器和一台 Exchange 2010 边缘传输服务器。两台服务器都运行带有汇总更新 20 的 Service Pack 3。在帐户林中创建帐户，并在资源林中创建链接邮箱。

每个邮箱都有一个名为 msExchangeRecipientTypeDetails 的属性，这表明它是什么类型的邮箱。当此属性的值为“2”时，它是链接邮箱，如果它的值为“1”，则它是常规邮箱。有关此属性及其值的概述可以在 TechNet 上 John Baily 的博客中找到。

邮箱的第二个重要属性是 msExchMasterAccountSID。对于链接邮箱，msExchMasterAccountSID 属性将使用帐户林中相应用户的 objectSID 值进行填充。使用 ADSI Edit 并检查用户帐户的 objectSID 和两个帐户的 msExchMasterAccountSID 时，您会发现它们具有相同的值。对于帐户林中名为 Don Drop 的测试用户，您可以看到以下 objectSID：

对于资源林中相应的禁用帐户，我们可以看到以下 msExchMasterAccountSID：

或者，如果您更喜欢使用 PowerShell，请在 PowerShell 窗口（在 Exchange 林中）中执行以下命令来检索 msExchMasterAccountSID：

Import-Module ActiveDirectory
$MBXUser = Get-ADUser -Identity Don -Properties *
$MBXUser.msExchMasterAccountSID | fl

要从帐户域检索用户的 objectSID，请执行以下 PowerShell 命令：

$AccountsCred = Get-Credential "accounts\administrator"
Get-ADUser -Filter {ObjectSID -eq $MBXUser.msExchMasterAccountSid} -Properties * -Server accdc01.accounts.local -Credential $AccountsCred | fl Name,ObjectSID

注意。在这种情况下，您将在有关 Azure AD Connect 的下一篇博客中再次看到此 objectSID 和 MSExchMasterAccountSid。

要检查邮箱的权限，您可以针对 Get-Mailbox 命令的输出使用 Get-ADPermission 命令：

Get-Mailbox -Identity Don | Get-ADPermission -User Accounts\Don | fl *

如您所见，Don 对他的邮箱具有适当的权限。

注意。要将链接邮箱转换为常规邮箱，您可以使用 Set-User 命令删除 msExchMasterAccountSID 的值：

Set-User -Identity Don -LinkedMasterAccount $NULL

这将重置 msExchMasterAccountSID，但同时将 msExchRecipientTypeDetails 的值从“2”（链接邮箱）更改为“1”（普通邮箱）。

概括

现在，您应该对 Exchange 资源林模型有了更多的了解。它比安装了 Exchange 的单林、单域模型稍微复杂一些，但它是一个完全受支持的方案。这是我经常在客户身上看到的一个场景。

在我的下一篇博客中，我将详细讨论此资源林模型中的 Azure AD Connect。