Pianificazione di un'organizzazione di Exchange complessa
Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Ultima modifica dell'argomento: 2009-09-15
Come indicato dal nome, un'organizzazione di Exchange complessa rappresenta la topologia più complicata in cui viene distribuito Microsoft Exchange Server 2007. Dei quattro modelli di organizzazione definiti per Exchange 2007, l'organizzazione di Exchange complessa è l'unico modello che comprende più foreste del servizio directory di Active Directory o l'utilizzo della tecnologia di sincronizzazione.
La distribuzione di più foreste di Active Directory che ospitano i server Exchange e gli account abilitati all'utilizzo delle cassette postali è uno scenario sempre più comune. La motivazione principale di tali distribuzioni è la necessità di separare l'amministrazione degli ambienti utente e i contesti di protezione attendibili. Poiché la foresta rappresenta il limite di protezione di Active Directory nelle distribuzioni in cui la protezione e il controllo dell'accesso alle risorse è il problema principale, è frequente trovare più foreste di Active Directory distribuite in parallelo.
Nota
Tutte le topologie di più foreste richiedono server di directory in ogni foresta su cui viene eseguito Windows Server 2003 con Service Pack 1 o versione successiva.
Esempi di organizzazioni di Exchange complesse
Esistono varie ragioni per implementare più foreste di Active Directory, ad esempio:
Sono presenti più unità aziendali che richiedono isolamento di dati e servizi.
Sono presenti più unità aziendali con requisiti di schema diversi.
È in corso una fusione, un'acquisizione o una dismissione.
Topologia della foresta di risorse di Exchange
L'unico modo per definire confini precisi tra le unità aziendali consiste nel creare una foresta di Active Directory separata per ogni unità aziendale. Se si sceglie questo tipo di configurazione di Active Directory, si consiglia di utilizzare la foresta di risorse di Exchange.
Nella figura 1 è illustrato un esempio di organizzazione di Exchange complessa che contiene una foresta di risorse di Exchange.
Figura 1 Esempio di un'organizzazione di Exchange complessa con una foresta di risorse di Exchange
.gif "Organizzazione di Exchange complessa con foresta di risorse")
Nella figura 1, la foresta B contiene i server Exchange e la foresta A contiene gli account utente. La foresta B contiene anche account utente identici che tuttavia sono disabilitati e gli utenti abilitati all'utilizzo delle cassette postali accedono a Active Directory utilizzando i propri account nella foresta A.
Se si distribuisce Exchange 2007 in una foresta di risorse, l'amministratore nella foresta che contiene solo gli account utente non dispone delle autorizzazione necessarie per creare le cassette postali nella foresta di Exchange per impostazione predefinita. Sebbene nella foresta che contiene gli account utente l'amministratore possa creare tali account, in una topologia della foresta di risorse l'amministratore non può eseguire alcuna attività di gestione delle cassette postali senza la delega delle autorizzazioni speciali all'amministratore degli account. Un amministratore nella foresta di Exchange deve creare manualmente le cassette postali in modo indipendente dagli account utente e quindi collegare le cassette postali agli account utente esistenti. È necessario inoltre aggiungere separatamente eventuali informazioni aggiuntive (ad esempio, il numero di telefono o l'ubicazione dell'ufficio) alla foresta di Exchange, anche se è possibile che tali informazioni siano già contenute nell'account utente associato.
Topologia a più foreste di Exchange
A seguito di fusioni e acquisizioni, non è raro disporre di più foreste di Active Directory e di più organizzazioni di Exchange. Quando si esegue Exchange in un ambiente a più foreste, gli architetti di sistema e gli amministratori di Exchange in genere sperimentano gli stessi problemi di progettazione riscontrati nei modelli delle organizzazioni di Exchange semplici, standard e di grandi dimensioni. Tuttavia, peculiare dell'organizzazione di Exchange complessa è la necessità di sincronizzare gli oggetti directory tra più foreste e di replicare i dati sulla disponibilità. Microsoft offre due soluzioni per la sincronizzazione delle directory:
Identity Integration Feature Pack per Microsoft Windows Server Active Directory (IIFP) con Service Pack 2 (SP2)
Microsoft Identity Integration Server (MIIS)
Entrambe le soluzioni si basano su Microsoft Identity Integration Server (MIIS). IIFP è una versione semplificata gratuita di MIIS. MIIS è una soluzione ricca di funzionalità, anche se più costosa.
Nota
Per ulteriori informazioni su IIFP, vedere Identity Integration Feature Pack per Active Directory di Microsoft Windows Server con Service Pack 2 (SP2) (informazioni in lingua inglese). Per ulteriori informazioni sulla distribuzione di MIIS, vedere Microsoft Identity Integration Server 2003 TechCenter (informazioni in lingua inglese).
Oltre alla sincronizzazione della directory, viene in genere richiesto di rendere accessibili i dati sulla disponibilità o le cartelle pubbliche tra le organizzazioni di Exchange ospitate in ciascuna foresta. Nelle versioni precedenti di Exchange Server tale richiesta implica l'utilizzo dello strumento di replica tra organizzazioni (IORepl) di Microsoft Exchange Server, che consente il coordinamento di riunioni, appuntamenti, contatti e informazioni sulle cartelle pubbliche tra organizzazioni disgiunte di Exchange. Per condividere le informazioni sulla disponibilità e di calendario tra le organizzazioni di Exchange 2007 ospitate in foreste separate, è possibile effettuare quanto segue:
Se entrambe le organizzazioni utilizzano Microsoft Office Outlook 2007, il Servizio Disponibilità in Exchange 2007 può essere utilizzato per condividere le informazioni sulla disponibilità e di calendario tra le organizzazioni. Tuttavia, questa soluzione non consente di condividere i dati delle cartelle pubbliche tra le organizzazioni.
Se si utilizzano versioni precedenti di Outlook, è possibile utilizzare IORepl per condividere le informazioni sulla disponibilità e di calendario tra le organizzazioni. È supportata l'installazione di IORepl in un computer in cui sono installati gli strumenti di gestione di Exchange 2007 senza altri ruoli del server Exchange 2007 oppure in un server su cui è in esecuzione Exchange Server 2003 o Exchange 2000 Server. Questa soluzione consentirebbe anche di condividere i dati delle cartelle pubbliche tra le organizzazioni. Se lo strumento viene installato in un computer in cui sono installati gli strumenti di gestione di Exchange 2007, è necessario installare anche le librerie client MAPI di Exchange. Per ulteriori informazioni sullo strumento di replica tra organizzazioni, vedere Replica tra organizzazioni di Microsoft Exchange Server (informazioni in lingua inglese). Per ulteriori informazioni sul download delle librerie client MAPI di Exchange, vedere Client MAPI di Microsoft Exchange Server e Collaboration Data Objects 1.2.1 (informazioni in lingua inglese).
Nota
Una funzionalità richiesta da IORepl potrebbe risultare mancante. Per impostazione predefinita, le librerie client MAPI (Messaging API) e Collaboration Data Objects (CDO) versione 1.2.1 non sono inclusi nell'installazione di base di Exchange Server 2007 e versioni successive. Per garantire l'accesso ai contenuti degli archivi MAPI è necessario installare Microsoft Exchange MAPI e CDO 1.2.1. Se Office Outlook è installato nel server, è necessario disinstallare Outlook prima di installare Exchange MAPI e CDO 1.2.1.
Per ulteriori informazioni su come utilizzare IORepl con Exchange 2007, vedere l'argomento Strumento di replica tra organizzazioni nella Guida di Exchange.
Nella figura 2 è illustrato un esempio di organizzazione di Exchange complessa che contiene più foreste di Exchange.
Figura 2 Esempio di un'organizzazione di Exchange complessa con più foreste di Exchange
.gif "Organizzazione di Exchange complessa con più foreste")
Topologia con più foreste di Exchange
In un ambiente con più foreste, Exchange Server viene eseguito in foreste di Active Directory separate, ma la funzionalità della posta è disponibile tra le varie foreste. La distribuzione di Exchange 2007 in un ambiente con più foreste e con sincronizzazione delle directory presenta le seguenti limitazioni:
Impossibilità di visualizzare i membri delle liste di distribuzione se le cassette postali dei membri si trovano in una foresta diversa
Impossibilità di aggiungere utenti di una foresta diversa a una lista di distribuzione
Impossibilità di nidificare le liste di distribuzione nelle varie foreste
Nessuno strumento a disposizione per spostare le liste di distribuzione in un'altra foresta
Impossibilità di mantenere le proprietà di delega se si sposta una cassetta postale da una foresta all'altra
Nessuno strumento a disposizione per spostare le cartelle pubbliche in un'altra foresta
Impossibilità di inviare messaggi firmati o crittografati da una foresta all'altra, se si utilizza un certificato autofirmato dell'infrastruttura a chiave pubblica di Microsoft Windows (PKI, Public Key Infrastructure)
Considerazioni sulla pianificazione di organizzazioni di Exchange complesse
Durante la fase di pianificazione della distribuzione e prima di distribuire i server Exchange 2007 in un'organizzazione di Exchange complessa, si consiglia di valutare i seguenti punti:
Dato che più organizzazioni di Exchange condividono un elenco indirizzi globale comune (GAL, Common Global Address List), è necessario sincronizzare in qualche modo l'elenco indirizzi globale e replicare le risorse di calendario tra le varie foreste.
Le organizzazioni di Exchange complesse spesso dispongono di più punti di ingresso e di uscita da Internet. Aumentando il numero dei tipi di servizi esposti a Internet, anche i sistemi firewall distribuiti diventano sempre più avanzati. Microsoft Internet Security and Acceleration (ISA) Server è un firewall a livello di applicazione che può essere utilizzato per pubblicare servizi di Exchange quali Outlook Web Access, Post Office Protocol 3 (POP3) e Internet Message Access Protocol 4 (IMAP4), ActiveSync e Outlook via Internet. Si consiglia di distribuire ISA Server o un array di server che eseguono ISA Server nell'area di confine tra la rete perimetrale e la rete aziendale privata.
Quando si distribuisce un'organizzazione di Exchange complessa, è spesso necessario garantire un'elevata disponibilità. In Exchange 2007 sono disponibili diverse soluzioni utilizzabili per fornire un'elevata disponibilità per ogni ruolo del server. Per ulteriori informazioni sulle strategie di elevata disponibilità e le funzionalità di Exchange 2007, vedere Disponibilità elevata.
L'utilizzo di più foreste di Active Directory implica anche l'utilizzo di più spazi dei nomi. In Exchange 2007, il server Accesso client richiede uno spazio dei nomi URL univoco in ogni foresta di un ambiente con più foreste.
Transizione di un'organizzazione di Exchange complessa
Se si sta eseguendo la transizione da un'organizzazione esistente di Exchange Server 2003 o Exchange 2000 Server a un'organizzazione di Exchange 2007, tenere presente che non è possibile eseguire un aggiornamento sul posto dei server. È necessario aggiungere uno o più server Exchange 2007 alla propria organizzazione, spostare le cassette postali e altri dati in Exchange 2007, quindi rimuovere il server Exchange 2003 o Exchange 2000 dall'organizzazione.
Per ulteriori informazioni sulla distribuzione e la transizione di un'organizzazione complessa di Exchange 2007, vedere Distribuzione di un'organizzazione di Exchange complessa.