Topologie di foreste di Active Directory
Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Ultima modifica dell'argomento: 2007-08-01
Dal momento che Microsoft Windows Server 2003 e Microsoft Exchange Server 2007 utilizzano entrambi il servizio directory di Active Directory per i servizi directory, è necessario scegliere il modo in cui integrare Exchange 2007 nella struttura di Active Directory. Active Directory include i seguenti elementi logici che si combinano per definire una topologia di Active Directory:
Foresta
Uno o più domini
Uno o più siti di Active Directory
Foreste di Active Directory
Una foresta rappresenta il limite più estremo di un servizio directory. Opera all'interno di un contesto di sicurezza continua. In tal modo tutte le risorse di una foresta sono implicitamente attendibili le une rispetto alle altre, indipendentemente dalla posizione che ciascuna occupa nella foresta. All'interno di ciascuna foresta sono presenti uno schema di directory e una configurazione comune del servizio directory. Una foresta può essere composta da uno o più domini. Esistono due tipi di topologie di foreste: a foresta singola e a più foreste.
Topologia a foresta singola
In una topologia a foresta singola, Exchange è installato in una singola foresta Active Directory che comprende l'intera organizzazione. Tutti gli account utente o di gruppo e tutte le informazioni di configurazione di Exchange si trovano all'interno della stessa foresta.
Se l'organizzazione dispone di una singola foresta di Active Directory, è possibile implementare Exchange 2007 in tale foresta. È consigliabile utilizzare la struttura a foresta singola di Exchange in quanto consente di utilizzare l'insieme più completo di funzionalità del sistema di posta elettronica e di disporre del modello amministrativo più efficiente. Dal momento che tutte le risorse sono contenute in un unica foresta, tutti gli utenti nella foresta sono contenuti in un singolo elenco indirizzi globale (Global Address List, GAL). Questo scenario è illustrato nella seguente figura.
Due esempi di implementazione di Exchange in una foresta singola di Active Directory
.gif "Distribuzione di Exchange in una foresta singola")
L'opzione di implementazione in una singola foresta offre i seguenti vantaggi:
Offre l'insieme più completo di funzionalità del sistema di posta elettronica.
Fornisce un modello amministrativo efficiente.
Utilizza la struttura di Active Directory esistente.
Utilizza controller di dominio e server di catalogo globali esistenti.
Non richiede la sincronizzazione degli elenchi indirizzi globali.
Il maggiore svantaggio associato a una foresta singola è che gli amministratori devono determinare il modo in cui condividere o suddividere le responsabilità per la gestione degli oggetti di Active Directory e Exchange.
Topologia a più foreste
Benché sia preferibile utilizzare una topologia a foresta singola che offre l'insieme più completo di funzionalità di messaggistica, possono esistere varie ragioni per implementare una topologia a più foreste, ad esempio:
Sono presenti più unità aziendali che richiedono l'isolamento del servizio di messaggistica.
Sono presenti più unità aziendali con requisiti di schema diversi.
È in corso una fusione, un'acquisizione o una dismissione.
Qualunque sia la ragione, l'unico modo per definire confini precisi tra le unità aziendali consiste nel creare una foresta di Active Directory separata per ogni unità aziendale. Se si utilizza questo tipo di configurazione di Active Directory, la soluzione ideale per l'implementazione di Exchange consiste nel creare una foresta di risorse di Exchange. Per ulteriori informazioni sulle foreste di risorse di Exchange, vedere "Topologia della foresta di risorse" più avanti in questo argomento.
Tuttavia, esistono scenari in cui non è possibile utilizzare una foresta di risorse (ad esempio, a seguito di fusioni e acquisizioni oppure quando in più foreste sono già in esecuzione istanze proprie di Exchange). In tali casi, è possibile implementare una topologia con più foreste.
Topologia con più foreste
In una topologia con più foreste un'azienda dispone di più foreste di Active Directory, ciascuna contenente un'organizzazione di Exchange. Diversamente dalla topologia della foresta di risorse, in questo caso gli account utente non sono separati dalle rispettive cassette postali. Gli account utente e le cassette postali associate si trovano nella stessa foresta.
Il principale vantaggio dell'implementazione di una topologia con più foreste è la possibilità di garantire l'isolamento dei dati e i limiti di protezione tra le organizzazioni di Exchange. Di seguito sono elencati alcuni svantaggi di questa topologia.
Non viene fornito un insieme completo di funzionalità di messaggistica.
Quando si sposta una cassetta postale da una foresta all'altra le autorizzazioni delegate relative alla cassetta postale non vengono mantenute a meno che non vi sia un contatto per la delega nella foresta di destinazione o a meno che non si sposti contemporaneamente la cassetta postale con delega.
Anche se le informazioni sulla disponibilità possono essere sincronizzate tra le foreste e utilizzate per pianificare riunioni, non è possibile utilizzare la funzionalità Apri cartella di altro utente di Microsoft Office Outlook per visualizzare i dettagli del calendario di utenti di altre foreste.
Poiché i gruppi appartenenti ad altre foreste sono rappresentati come contatti, non è possibile visualizzarne i membri. L'appartenenza ai gruppi non viene estesa prima dell'invio della posta alla foresta contenente il gruppo rappresentato come contatto.
La sincronizzazione degli oggetti directory tra le foreste e la replica delle informazioni dei dati sulla disponibilità sono obbligatorie. Le soluzioni più comunemente utilizzate per la sincronizzazione delle directory sono Microsoft Identity Integration Server (MIIS) 2003 Service Pack 2 (SP2) o Identity Integration Feature Pack per Microsoft Windows Server Active Directory con SP2. Il Servizio Disponibilità in Exchange 2007 può essere utilizzato per condividere le informazioni sulla disponibilità e sul calendario tra le organizzazioni di Exchange in diverse foreste.
Exchange in una topologia a più foreste
.gif "Organizzazione di Exchange complessa con più foreste")
Topologia della foresta di risorse
Esistono situazioni in cui può essere necessario impostare una foresta di Active Directory separata dedicata all'esecuzione di Exchange. Ad esempio, nel caso in cui si desideri conservare una foresta di Active Directory esistente oppure qualora sia necessario separare l'amministrazione di oggetti Active Directory da quella di oggetti Exchange, è possibile impostare una foresta di Active Directory separata dedicata all'esecuzione di Exchange. La foresta dedicata separata viene indicata come una foresta di risorse di Exchange. Nel modello della foresta di risorse, Exchange è installato in una foresta di Active Directory separata dalla foresta di Active Directory in cui sono installati gli utenti, i computer e i server delle applicazioni. Questa opzione viene normalmente utilizzata dalle aziende che richiedono limiti di protezione tra l'amministrazione di Active Directory e l'amministrazione di Exchange.
La foresta di risorse di Exchange è dedicata all'esecuzione di Exchange e all'hosting delle cassette postali. Gli account utente si trovano in una o più foreste denominate foreste di account. Le foreste di account sono separate dalla foresta di risorse di Exchange. Tra la foresta di account e la foresta di risorse di Exchange * * viene creato un trust unidirezionale che consente alla foresta di Exchange di considerare attendibile la foresta di account e quindi di garantire agli utenti nella foresta di account l'accesso alle cassette postali nella foresta di risorse di Exchange. Poiché un'organizzazione di Exchange non può superare il limite di una foresta di Active Directory, ciascuna cassetta postale creata nella foresta di risorse di Exchange deve disporre di un oggetto utente corrispondente nella foresta di risorse di Exchange. Gli utenti non possono collegarsi agli oggetti utente nella foresta di risorse di Exchange e tali oggetti vengono disabilitati per evitare che diventino un punto di accesso. Di solito gli utenti non rilevano la presenza di account duplicati. Poiché l'account nella foresta di risorse di Exchange è disabilitato e non viene utilizzato per l'accesso, è necessario consentire al vero account reale di un utente della foresta di account l'accesso alla cassetta postale. Per garantire l'accesso, viene incluso un identificatore di protezione (SID, Security Identifier) dell'oggetto utente della foresta di account nell'attributo msExchMasterAccountSID nell'oggetto utente disabilitato della foresta di risorse di Exchange.
Quando viene utilizzata una foresta di risorse di Exchange, è possibile che non sia necessario eseguire la sincronizzazione delle directory. Dalla prospettiva di Exchange e Outlook, tutti gli oggetti elencati nel servizio directory provengono da un'unica posizione, in questo caso il servizio directory che ospita la foresta di risorse di Exchange. Tuttavia, se nelle foreste di account sono presenti dati relativi agli elenchi di indirizzi globali, è necessario eseguire una sincronizzazione per includere tali dati nella foresta di risorse di Exchange e utilizzarli per gli elenchi indirizzi globali. Inoltre, potrebbe essere necessario creare un processo in base al quale, quando vengono creati account nella foresta di account, viene creato un account disabilitato con cassetta postale nella foresta di risorse di Exchange.
Ogni utente abilitato nella foresta di account viene associato a una cassetta postale collegata a un utente disabilitato nella foresta di risorse. Questa configurazione consente agli utenti di accedere a cassette postali che risiedono in foreste differenti. In questo scenario è possibile configurare una relazione di trust tra la foresta di risorse e quella di account. Può inoltre essere necessario impostare un processo di provisioning in modo tale che, ogni volta che un amministratore crea un utente nella foresta di account, viene creato un utente disabilitato con cassetta postale nella foresta di risorse di Exchange.
Dal momento che tutte le risorse di Exchange sono contenute in una singola foresta, tutti gli utenti della foresta sono contenuti in un singolo elenco indirizzi globale. Il principale vantaggio dello scenario con foresta dedicata di Exchange è la presenza di un limite di protezione tra l'amministrazione di Active Directory e quella di Exchange.
Di seguito sono elencati alcuni svantaggi di questa topologia.
L'implementazione di una foresta di risorse consente la separazione dell'amministrazione di Exchange e di Active Directory. Tuttavia, il costo associato alla distribuzione di una foresta di risorse può essere eccessivo rispetto alla necessità di tale separazione.
È necessario installare controller di dominio e server di catalogo globale aggiuntivi nei siti di Microsoft Windows in cui verrà eseguito Exchange, con un conseguente incremento dei costi.
È necessario impostare un processo di provisioning in modo che gli aggiornamenti di Active Directory siano riflessi in Exchange. Quando si crea un oggetto in una foresta, è necessario assicurarsi che nell'altra foresta vengano creati gli oggetti corrispondenti. Se ad esempio si crea un utente in una foresta, è necessario assicurarsi che nell'altra foresta venga creato un segnaposto per tale utente. Gli oggetti corrispondenti possono essere creati manualmente oppure con un processo automatico.
Una variante dello scenario della foresta di risorse è una foresta multipla in cui una foresta ospita Exchange. Se si dispone di più foreste di Active Directory, la modalità di distribuzione di Exchange dipende dal livello di autonomia che si desidera mantenere tra le diverse foreste. Le aziende con unità aziendali che richiedono limiti di protezione per gli oggetti directory ma sono in grado di condividere oggetti di Exchange possono scegliere di distribuire Exchange in una delle foreste e di utilizzare tale foresta per ospitare le cassette postali delle altre foreste dell'azienda. Dal momento che tutte le risorse di Exchange sono contenute in una singola foresta, tutti gli utenti di tutte le foreste sono contenuti in un singolo elenco indirizzi globale.
Di seguito sono riportati i principali vantaggi di questo scenario:
Utilizza una struttura di Active Directory esistente.
Utilizza controller di dominio e server di catalogo globali esistenti.
Offre limiti rigorosi di protezione tra le foreste.
Di seguito sono elencati alcuni degli svantaggi di questo scenario:
È necessario impostare un processo di provisioning in modo che gli aggiornamenti di Active Directory siano riflessi in Exchange. Ad esempio, è possibile creare uno script in modo tale che quando si crea un nuovo utente di Active Directory in una Foresta A venga generato anche un oggetto con autorizzazioni abilitato per la cassetta postale e disabilitato nella Foresta B.
È necessario che gli amministratori della foresta determinino le modalità di condivisione o suddivisione delle responsabilità per la gestione di oggetti di Active Directory e Exchange.
Exchange in una topologia di foresta di risorse
.gif "Organizzazione di Exchange complessa con foresta di risorse")
Domini di Active Directory
Un dominio è un raggruppamento di identità di protezione e altri oggetti amministrati collettivamente. I domini sono flessibili. L'implementazione di ciò che è compreso in un dominio è facoltativa e a discrezione dell'amministratore. Ad esempio, un dominio può rappresentare un gruppo di utenti e computer che si trovano in un'unica posizione fisica oppure può rappresentare tutti gli utenti e i computer in più posizioni o distribuiti in un'ampia area geografica. Poiché viene fornito il supporto per il consolidamento dell'amministrazione e dell'infrastruttura, spesso è normale che i domini vengano distribuiti in ampie aree geografiche per ridurre i costi di supporto. Tuttavia, con l'aumentare dell'ambito di un servizio directory, è necessario poter garantire alle risorse appropriate un corretto accesso alle directory.
Siti di Active Directory
I siti di Active Directory rappresentano un raggruppamento logico di computer all'interno di Active Directory che dispongono di una connessione affidabile. Con un sito di Active Directory, è possibile dividere in partizioni i client per utilizzare un determinato insieme o gruppo di risorse di directory. Un sito di Active Directory è composto da una o più subnet TCP/IP correttamente collegate che consentono agli amministratori di configurare l'accesso e la replica di Active Directory. Tali subnet possono corrispondere o non corrispondere alla topologia fisica.
Nella seguente figura vengono illustrate alcune delle relazioni più comunemente distribuite tra le definizioni logiche e le posizioni fisiche di Active Directory.
Foreste, domini, posizioni e siti
.gif "Foreste, domini, posizioni e siti")
Scenari di distribuzione di Active Directory
Per l'integrazione tra Exchange e Active Directory sono disponibili quattro scenari principali:
Foresta singola
Foresta di risorse
Più foreste
Fusioni e acquisizioni
Nella seguente tabella sono riepilogati tutti i vantaggi di ciascuno scenario.
| Scenario Active Directory | Descrizione | Motivi per utilizzare questo scenario |
|---|---|---|
Foresta singola |
Gli utenti e le cassette postali risiedono nella stessa foresta. |
|
Foresta di risorse |
Una foresta è dedicata all'esecuzione di Exchange e all'hosting delle cassette postali di Exchange. Gli account utente associati alle cassette postali si trovano in una o più foreste separate. |
|
Più foreste |
Exchange viene eseguito in foreste separate ma le funzionalità di posta elettronica sono disponibili per tutte le foreste |
|
Fusioni e acquisizioni |
In caso di fusione o acquisizione è spesso necessaria la coesistenza tra più organizzazioni di Exchange, finché la fusione non viene completata. Le considerazioni sulla pianificazione sono analoghe a quelle relative allo scenario con più foreste, ma è necessario tenere conto anche dei problemi riguardanti la migrazione. |
Fusioni e acquisizioni rappresentano un caso speciale per la distribuzione in un ambiente con più foreste che richiede particolare attenzione ai problemi riguardanti la migrazione. |