Topologies de forêt Active Directory
S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Dernière rubrique modifiée : 2007-08-01
Comme Microsoft Windows Server 2003 et Microsoft Exchange Server 2007 reposent sur le service d'annuaire Active Directory pour les services d'annuaire, vous devez déterminer la manière d'intégrer Exchange 2007 dans votre structure Active Directory. Active Directory inclut trois éléments logiques qui se combinent pour définir une topologie Active Directory :
Forêt
Un ou plusieurs domaines
Un ou plusieurs sites Active Directory
Forêts Active Directory
Une forêt représente la limite extrême du service d'annuaire. Une forêt opère dans un contexte de sécurité continue tel que toutes les ressources à l'intérieur d'une forêt s'approuvent implicitement les unes les autres, quel que soit leur emplacement dans la forêt. Chaque forêt contient un schéma d'annuaire commun et une configuration du service d'annuaire. Une forêt peut se composer d'un ou plusieurs domaines. Il existe deux types de topologies de forêt : forêt unique et forêts multiples.
Topologie de forêt unique
Dans une topologie de forêt unique, Exchange est installé dans une forêt Active Directory unique qui s'étend à toute l'organisation. Tous les comptes d'utilisateur et de groupe, ainsi que toutes les informations de configuration Exchange se trouvent dans la même forêt.
Si votre organisation possède une forêt Active Directory unique, vous pouvez implémenter Exchange 2007 dans cette forêt. La structure Exchange à forêt unique est recommandée car elle offre le plus vaste éventail de fonctionnalités de système de messagerie et possède le modèle d'administration le plus rationnel. Comme toutes ces ressources sont contenues dans une forêt unique, une liste d'adresses globale unique (LAG) contient tous les utilisateurs opérant dans la forêt. La figure suivante illustre ce scénario.
Deux exemples d'implémentation d'Exchange dans une forêt Active Directory unique
.gif "Déploiement d'Exchange dans un environnement à forêt unique")
L'option de forêt unique présente les avantages suivants :
elle offre le plus vaste éventail de fonctionnalités de système de messagerie ;
elle offre un modèle d'administration rationalisé ;
elle tire parti d'une structure Active Directory existante ;
utilisation de contrôleurs de domaine et de serveurs de catalogue global existants ;
elle ne nécessite pas de synchronisation de liste d'adresses globale.
Le principal inconvénient associé à une forêt unique tient à la nécessité pour les administrateurs de déterminer la méthode de partage ou de répartition des responsabilités pour la gestion d'objets Active Directory et Exchange.
Topologie reposant sur plusieurs forêts
Même si une topologie de forêt unique est recommandée parce qu'elle offre le plus vaste éventail de fonctionnalités de messagerie, diverses raisons peuvent justifier l'implémentation de plusieurs forêts. Certaines de ces raisons sont répertoriées ci-dessous :
vous disposez de plusieurs divisions qui nécessitent une séparation des services de messagerie ;
vous disposez de plusieurs divisions qui ont des spécifications de schéma distinctes ;
vous êtes confronté à une fusion, un rachat ou une scission.
Quelle que soit la raison, le seul moyen d'établir des limites strictes entre les divisions consiste à créer une forêt Active Directory distincte pour chaque unité de gestion. S'il s'agit de votre configuration Active Directory, la meilleure manière d'implémenter Exchange consiste à créer une forêt ressource Exchange. Pour plus d'informations sur les forêts ressource Exchange, reportez-vous à la section « Topologie de forêt ressource » ci-après dans cette rubrique.
Toutefois, il existe des scénarios dans lesquels une forêt ressource n'est pas envisageable (par exemple, en cas de fusions ou de rachats ou lorsque plusieurs forêts exécutent déjà leurs propres instances d'Exchange). Dans ces cas, vous pouvez implémenter une topologie inter-forêts.
Topologie inter-forêts
Dans une topologie inter-forêts, une société possède plusieurs forêts Active Directory contenant chacune une organisation Exchange. À la différence d'une topologie de forêt ressource, les comptes d'utilisateurs ne sont pas séparés de leurs boîtes aux lettres. Le compte d'utilisateur et sa boîte aux lettres associée se trouvent dans la même forêt.
Le principal avantage lié à l'implémentation d'une topologie inter-forêts réside dans le fait que vous pouvez maintenir la séparation des données et les limites de sécurité entre les organisations Exchange. Les inconvénients associés à cette topologie sont les suivants :
L'éventail des fonctionnalités de messagerie est plus restreint.
Les autorisations accordées aux délégués sur une boîte aux lettres ne sont pas conservées lorsque vous déplacez des boîtes aux lettres entre deux forêts, à moins qu’un contact correspondant au délégué n’existe dans la forêt cible ou que vous ne déplaciez en même temps la boîte aux lettres du délégué.
Même si vous pouvez synchroniser les informations de disponibilité entre les forêts et les utiliser pour planifier des réunions, vous ne pouvez pas utiliser la fonctionnalité Ouvrir le dossier d'un autre utilisateur dans Microsoft Office Outlook pour afficher les détails du calendrier d'un utilisateur opérant dans une autre forêt.
Dans la mesure où un groupe d'une autre forêt est représenté en tant que contact, vous ne pouvez pas afficher ses membres. L'appartenance au groupe n'est pas développée tant qu'un message électronique n'est pas envoyé à la forêt contenant le groupe représenté comme le contact.
Une synchronisation d'objets annuaire entre les forêts, de même qu'une réplication des informations de données de disponibilité sont requises. Les solutions les plus fréquemment utilisées pour la synchronisation d'annuaire sont Microsoft Identity Integration Server (MIIS) 2003 Service Pack 2 (SP2) ou Identity Integration Feature Pack for Microsoft Windows Server Active Directory avec SP2. Le service de disponibilité dans Exchange 2007 permet de partager des informations de disponibilité et de calendrier entre des organisations Exchange dans des forêts différentes.
Exchange dans une topologie inter-forêts
.gif "Organisation Exchange complexe avec plusieurs forêts")
Topologie de forêt ressource
Dans certains cas, vous devrez configurer séparément une forêt Active Directory dédiée à l'exécution d'Exchange. Par exemple, vous avez peut-être une forêt Active Directory existante que vous voulez conserver. Ou bien vous devez séparer l'administration d'objets Active Directory de celle d'objets Exchange. Pour ce faire, vous pouvez configurer une forêt Active Directory séparée dédiée à l'exécution d'Exchange. La forêt dédiée séparée est appelée forêt ressource Exchange. Dans le modèle de forêt ressource, Exchange est installé dans une forêt Active Directory qui est séparée de la forêt Active Directory dans laquelle les utilisateurs, les ordinateurs et les serveurs d'applications sont installés. Les sociétés qui requièrent des limites de sécurité entre l'administration Active Directory et l'administration Exchange utilisent généralement cette option.
La forêt ressource Exchange est dédiée à l'exécution d'Exchange et à l'hébergement de boîtes aux lettres. Les comptes d'utilisateurs sont contenus dans une ou plusieurs forêts nommées forêts de comptes. Les forêts de comptes sont séparées de la forêt ressource Exchange. Une approbation unidirectionnelle entre la forêt de comptes et la forêt ressource Exchange est créée et permet à la forêt Exchange d'approuver la forêt de comptes de façon à ce que les utilisateurs qui y opèrent aient accès aux boîtes aux lettres dans la forêt ressource Exchange. Comme une organisation Exchange ne peut pas traverser une limite de forêt Active Directory, chaque boîte aux lettres créée dans la forêt de ressource Exchange doit avoir un objet utilisateur correspondant dans la forêt ressource Exchange. Les objets utilisateur dans la forêt ressource Exchange sont inaccessibles aux utilisateurs et sont désactivés afin d'éviter qu'ils ne servent de point d'exploitation. Les utilisateurs ignorent généralement l'existence du compte dupliqué. Comme le compte dans la forêt ressource Exchange est désactivé et n'est pas utilisé à des fins d'ouverture de session, le compte réel d'un utilisateur dans la forêt de comptes doit pouvoir accéder afin de se connecter à la boîte aux lettres. L'accès est octroyé en incluant l'identificateur de sécurité (SID) de l'objet utilisateur de forêt de comptes dans l'attribut msExchMasterAccountSID sur l'objet utilisateur désactivé dans la forêt ressource Exchange.
Quand une forêt ressource Exchange est utilisée, il se peut qu'une synchronisation d'annuaire ne soit pas requise. Dans la perspective d'Exchange et d'Outlook, tous les objets répertoriés dans le service d'annuaire trouve leur source dans un emplacement unique, en l'occurrence le service d'annuaire qui héberge la forêt ressource Exchange. Toutefois, si des données relatives à la liste d'adresses globale sont présentes dans les forêts de comptes, une synchronisation doit être effectuée pour extraire les données vers la forêt ressource Exchange à l'usage de la liste d'adresses globale (LAG). Il se peut en outre que vous deviez configurer un processus tel que, lors de la création de comptes dans la forêt de comptes, un compte désactivé avec une boîte aux lettres soit créé dans la forêt ressource Exchange.
L'utilisateur activé de la forêt de comptes est associé à une boîte aux lettres liée à un utilisateur désactivé dans la forêt ressource. Cette configuration permet aux utilisateurs d'accéder à des boîtes aux lettres qui se trouvent dans des forêts différentes. Dans ce scénario, vous configurez une relation d'approbation entre la forêt ressource et la forêt de comptes. Il se peut également que vous deviez définir un processus de configuration de façon à ce que, chaque fois qu'un administrateur crée un utilisateur dans la forêt de comptes, un utilisateur désactivé avec une boîte aux lettres soit créé dans la forêt ressource Exchange.
Comme toutes les ressources Exchange sont contenues dans une forêt unique, une liste d'adresses globale unique contient tous les utilisateurs dans l'ensemble de la forêt. Le principal avantage du scénario de forêt Exchange dédiée est l'existence d'une limite de sécurité entre l'administration Active Directory et l'administration Exchange.
Les inconvénients associés à cette topologie sont les suivants :
L'implémentation d'une forêt ressource permet de séparer l'administration d'Exchange de l'administration d'Active Directory. Toutefois, le coût lié au déploiement d'une forêt ressource peut être disproportionné par rapport au bénéfice d'une telle séparation.
Une telle configuration requiert l'installation de contrôleurs de domaine et de serveurs de catalogue global supplémentaires dans les sites Microsoft Windows où s'exécute Exchange, ce qui augmente le coût.
Il requiert également un processus de configuration permettant de refléter les mises à jour d'Active Directory dans Exchange. Lorsque vous créez un objet dans une forêt, vous devez vous assurer que des objets correspondants sont créés dans l'autre forêt. Par exemple, si vous créez un utilisateur dans une forêt, vérifiez qu'un espace réservé est créé pour cet utilisateur dans l'autre forêt. Vous pouvez créer les objets correspondants manuellement ou automatiser le processus.
Une alternative au scénario de forêt ressource consiste à utiliser plusieurs forêts avec une forêt hébergeant Exchange. Si vous avez plusieurs forêts Active Directory, votre méthode de déploiement d'Exchange dépend du degré d'autonomie à maintenir entre les forêts. Les entreprises dont les divisions nécessitent des limites de sécurité (forêt) pour des objets annuaire, mais qui peuvent partager des objets Exchange, peuvent choisir de déployer Exchange dans l'une des forêts et d'utiliser celle-ci pour héberger des boîtes aux lettres pour les autres forêts de l'entreprise. Comme toutes les ressources Exchange sont contenues dans une forêt unique, une liste d'adresses globale unique contient tous les utilisateurs dans l'ensemble des forêts.
Les principaux avantages associés à ce scénario sont les suivants :
utilisation d'une structure Active Directory existante ;
utilisation de contrôleurs de domaine et de serveurs de catalogue global existants ;
existence de limites de sécurité strictes entre les forêts.
Les inconvénients associés à ce scénario sont les suivants :
Il requiert également un processus de configuration permettant de refléter les mises à jour d'Active Directory dans Exchange. Par exemple, vous pouvez créer un script de façon à ce que la création d'un utilisateur Active Directory dans la forêt A génère un objet doté d'une boîte aux lettres disposant d'autorisations qui est désactivé dans la Forêt B.
Il requiert que les administrateurs de forêt déterminent la méthode de partage ou de répartition des responsabilités pour la gestion d'objets Active Directory et Exchange.
Exchange dans une topologie de forêt ressource
.gif "Organisation Exchange complexe avec forêt de ressources")
Domaines Active Directory
Un domaine est un regroupement d'entités de sécurité et d'autres objets administrés collectivement. Les domaines sont flexibles. L'implémentation de ce qui compose un domaine est ouverte et sujette au choix de l'administrateur. Par exemple, un domaine peut représenter un groupe d'utilisateurs et d'ordinateurs situés dans un emplacement physique unique ou l'ensemble des utilisateurs et des ordinateurs situés dans plusieurs emplacements ou une zone géographique de taille importante. Comme une consolidation du support de l'administration et de l'infrastructure a lieu, il est fréquent que des domaines soient déployés dans des zones géographiques de grande taille afin de réduire le coût du support. Toutefois, à mesure que la portée d'un service d'annuaire augmente, il est nécessaire de pouvoir cibler, le plus efficacement possible, l'accès à l'annuaire sur les ressources appropriées.
Sites Active Directory
Les sites Active Directory sont un regroupement logique d'ordinateurs dans Active Directory qui disposent d'une connectivité fiable. Un site Active Directory permet de partitionner des ordinateurs clients afin d'utiliser un ensemble ou groupe particulier de ressources d'annuaire. Un site Active Directory se compose d'un ou plusieurs sous-réseaux TCP/IP correctement connectés, qui permettent aux administrateurs de configurer un accès et une réplication Active Directory. Ces sous-réseaux peuvent correspondre ou non à la topologie physique.
La figure suivante illustre certaines des relations les plus couramment déployées entre des définitions logiques et des emplacements physiques Active Directory.
Forêts, domaines, emplacements et sites
.gif "Forêts, domaines, emplacements et sites")
Scénarios de déploiement d'Active Directory
Vous disposez de quatre scénarios principaux pour intégrer Exchange avec Active Directory :
Forêt unique
Forêt ressource
Inter-forêts
Fusions et rachats
Le tableau suivant récapitule les avantages de chaque scénario.
| Scénario Active Directory | Description | Pourquoi utiliser ce scénario ? |
|---|---|---|
Forêt unique |
Les utilisateurs et leurs boîtes aux lettres sont contenus dans la même forêt. |
|
Forêt ressource |
Une seule forêt dédiée à l'exécution d'Exchange et à l'hébergement des boîtes aux lettres Exchange. Les comptes d'utilisateurs associés aux boîtes aux lettres sont contenus dans une ou plusieurs forêts séparées. |
|
Inter-forêts |
Exécution d'Exchange dans des forêts distinctes, tandis que la fonctionnalité de messagerie est disponible dans toutes les forêts. |
|
Fusions et rachats |
Les fusions et rachats impliquent souvent la coexistence temporaire d'organisations Exchange jusqu'à ce qu'elles soient abouties. Les considérations relatives à la planification sont similaires à celles du scénario de forêts multiples, auxquelles s'ajoutent des problèmes liés à la migration. |
Les fusions et rachats représentent un cas particulier pour un déploiement dans plusieurs forêts, qui nécessite plus d'attention par rapport aux questions de migration. |