Microsoft Exchange Server 2010: Exchange Server и Active Directory

Использование Active Directory в качестве критического компонента среды Microsoft Exchange Server дает дополнительные возможности и позволяет повысить производительность.

Выдержка из книги «Exchange 2010 - A Practical Approach» (Red Gate Books, 2009).

Джепп Весселиус

Exchange Server и Active Directory отлично интегрированы и хорошо подходят для совместной работы. Функциональный уровень Active Directory должен быть не ниже Windows Server 2003. Это касается функциональных уровней как домена, так и леса. Это не всегда очевидно, потому что Exchange Server 2010 работает только на Windows Server 2008 или Windows Server 2008 R2. Однако речь идет о конкретном сервере, на котором работает Exchange Server 2010.

Мастер схемы леса должен работать под управлением Windows Server 2003 SP2 (Standard или Enterprise) или более поздней версии. Аналогично в каждом сайте Active Directory, в котором планируется установить Exchange Server 2010, должен быть установлен как минимум один сервер глобального каталога с Windows Server 2003 SP2 (Standard или Enterprise) или более поздней версией.

С точки зрения производительности в отношении к Exchange Server 2010 продолжает действовать правило «4 к 1» процессоров Exchange-сервера процессорам сервера глобального каталога. (Такое же отношение в Exchange Server 2007.) Повысить производительность можно также за счет использования 64-разрядной версии Windows Server на сервере Active Directory.

Exchange Server 2010 можно установить на контроллере домена Active Directory. Но из соображений производительности и безопасности этого делать не рекомендуется. Exchange Server 2010 лучше устанавливать на рядовом сервере домена.

Прогулка по лесу

Windows Server Active Directory состоит из одного леса, одного или нескольких доменов и одного или более сайтов. Exchange Server 2010 привязан к лесу, поэтому одна организация Exchange Server 2010 связана с одним лесом Active Directory. Информация леса Active Directory хранится в трех местах, которые называются разделами:

• Раздел схемы: Здесь хранятся шаблоны всех объектов и свойств Active Directory. В программировании это называлось бы классом. Объекты, например пользователь, создаются по шаблонам, определенным в схеме Active Directory.
• Раздел конфигурации: Здесь хранится информация о лесе. Независимо от числа доменов в Active Directory, все контроллеры содержат одинаковый раздел конфигурации леса Active Directory. Этот раздел реплицируется в рамках леса. Все изменения в этом разделе реплицируются на все контроллеры доменов. Вся информация Exchange Server 2010 хранится в разделе конфигурации.
• Раздел домена: Здесь хранится информация о доменах Active Directory. У каждого домена собственный раздел домена, поэтому если в лесу 60 доменов, то есть также 60 различных разделов доменов. В разделе домена хранится информация о пользователях, в том числе сведения о почтовом ящике.

Для делегирования прав между различными группами администраторов в Exchange Server 2003 сначала использовалось понятие административных групп. В процесс установки по умолчанию создавалась первая административная группа. В дальнейшем при установке дополнительных серверов Exchange 2003 можно было создавать дополнительные административные группы и делегировать им права управления этими серверами. Административные группы хранились в разделе конфигурации, поэтому все домены — контроллеры доменов и Exchange-серверы — «видели» их.

В Exchange Server 2007 для делегирования прав используются группы безопасности Active Directory. При установке Exchange Server 2007 создается одна административная группа. Она называется Exchange Administrative Group — FYDIBOHF23SPDLT. Все серверы в организации устанавливаются этой административной группой. Разрешения назначаются группам безопасности, а администраторы Exchange являются членами этих групп.

В Exchange Server 2010 используются такие же административные группы, но делегировать права посредством групп безопасности Active Directory нельзя. В этой версии Microsoft ввела понятие управления доступом на основе ролей, или RBAC (Role-Based Access Control).

В случае разбиения сети на несколько физических областей, соединенных «медленными» связями, и разнесенными в разные подсети, создают так называемые «сайты Active Directory». Например, главный офис размещен в Амстердаме в IP-подсети 10.10.0.0/16, а дополнительный офис — в Лондоне в подсети 10.11.0.0/16. У обоих офисов есть собственный контроллер домена Active Directory DC, обслуживающий запросы клиентов на проверку подлинности в своей подсети. Связи сайтов Active Directory управляют трафиком репликации между сайтами. Для поиска служб, таких как контроллеры доменов, клиенты используют DNS в своем сайте, что предотвращает использование служб по WAN-связям.

Exchange Server 2010 использует сайты Active Directory для маршрутизации сообщений между сайтами. В нашем примере с транспортным сервером-концентратором Exchange Server 2010 в Амстердаме и таким же сервером в Лондоне связи сайтов Active Directory будут использоваться для маршрутизации сообщений между Амстердамом и Лондоном. Этот принцип был впервые задействован в Exchange Server 2007, а в Exchange Server 2010 ничего не изменилось.

В Exchange Server 2003 использовались группы машрутизации. В Active Directory уже существовали сайты Active Directory. Сайты Active Directory и группы маршрутизации Exchange несовместимы. Чтобы Exchange Server 2003 и Exchange Server 2010 могли сосуществовать в одной организации Exchange, нужно создать специальный соединитель, который называется Interop Routing Group Connector.

Управление правами Active Directory

Система управления правами Active Directory (AD RMS) позволяет контролировать, что пользователям разрешается делать с электронной почтой и другими отправленными им документами. Можно, к примеру, отключить возможность пересылки, чтобы конфиденциальные сообщения не вышли за пределы компании.

С Exchange Server 2010 в AD RMS появились новые функции, такие как:

• Интеграция с правилами траспорта Это шаблон, который использует AD RMS для защиты сообщений, пересылаемых по Интернету.
• Защита AD RMS для сообщений голосовой почты, поступающей с сервера единой системы управления сообщениями.

Транспорт и маршрутизация

Exchange Server 2010 позволяет реализовать маршрутизацию сообщений между офисами. В смешанной среде Exchange Server 2010 может маршрутизировать сообщения из центра данных в корпоративную среду, обеспечивая при этом полную прозрачность.

Exchange Server 2010 также поддерживает расширенные заявления об ограничении ответственности. Эту функциональность можно использовать для добавления в заявления об ограничении ответственности HTML, изображения, гиперссылки и т. п. Можно даже использовать атрибуты Active Directory (из личного набора свойств пользователя) для создания персонифицированного заявления об ограничении ответственности.

Для создания высокодоступной и надежной модели маршрутизации в транспортных серверах-концентраторах Exchange Server 2010 теперь есть избыточность теневого копирования. Вот как она работает. Сообщение обычно хранится в базе данных транспортного сервера-концентратора. В Exchange Server 2007 сообщение удалялось сразу после пересылки на следующий узел. В Exchange Server 2010 сообщение удаляется, только если следующий узел сообщил об успешной доставке сообщения. Если такое сообщение не приходит, транспортный сервер-концентратор пытается повторно отправить сообщение.

Для обеспечения большей доступности сообщения остаются в корзине транспортного сервера-концентратора. Они удаляются только после успешно репликации во все копии базы данных. База данных транспортного сервера-концентратора была также улучшена на уровне расширенного обработчика хранилищ (Extensible Storage Engine), что позволило ускорить пересылку сообщений на транспортном уровне.

Разрешения

В предыдущих версиях Exchange Server управление делегированием осуществлялось через множественные административные группы (особенно на Exchange Server 2000 и Exchange Server 2003) или членство в группах. В Exchange Server 2010 представлена модель RBAC, реализующая мощные и гибкие механизмы управления.

Политики обмена сообщениями и соблюдение стандартов

В качестве общего механизма обеспечения соблюдения стандартов Microsoft представила в Exchange Server 2007 концепцию управляемых папок. Эта функциональность была расширена в Exchange Server 2010 за счет создания новых интерфейсов, таких как возможность метить сообщения тегами и выполнять поиск в других почтовых ящиках, новые правила и действия транспорта, а также новые политики хранения.

Архив почтового ящика

В Exchange Server 2010 теперь есть личный архив. Это дополнительный почтовый ящик, присоединенный к основному почтовому ящику пользователя. Фактически он находится в той же базе данных почтовых ящиков, что и основной ящик. Exchange Server 2010 теперь поддерживает конфигурацию «просто набор дисков» (JBOD), это не создает проблем. Архив почтового ящика является замечательной заменой PST-файлов, которые хранились локально.

Единая система обмена сообщениями

Роль «единая система обмена сообщениями» в Exchange Server 2010 позволяет интегрировать телефонную систему, например офисную, со средой обмена сообщениями Exchange Server. Это позволяет предоставить доступ из Outlook к голосовым сообщениям.

Взаимодействовать с системой можно несколькими способами: передавать и получать голосовые сообщения или прослушивать текстовые сообщения. Exchange Server 2010 предоставляет ряд новых функций, таких как предварительное прослушивание голосовых сообщений, индикатор ожидающих сообщений, интеграция с текстовыми сообщениями (SMS), дополнительная поддержка языков и многие другие.

Ясно, что интеграция Active Directory в инфраструктуру Exchange дает заметные преимущества и гибкость, потому что Active Directory и Exchange отлично работают в связке.

Джепп Весселиус (Japp Wesselius) — основатель компании DM Consultants, занимающейся решениями обмена сообщениями и совместной работы. После работы в компании Microsoft в течение восьми лет Весселиус решил посвятить себя работе в сообществе Exchange в Нидерландах, по результатам которой в 2007 году ему было присвоено звание MVP в области Exchange Server. Он также регулярно участвует в работе группы пользователей Dutch Unified Communications User Group и является постоянным автором блога Simple-Talk.