Verwenden einer dedizierten Exchange-Gesamtstruktur
Letztes Änderungsdatum des Themas: 2006-04-18
In einigen Fällen kann es erforderlich sein, eine getrennte Active Directory-Gesamtstruktur einzurichten, die ausschließlich für Exchange reserviert ist. So kann es z. B. vorkommen, dass eine vorhandene Windows NT-Gesamtstruktur beibehalten werden soll. Oder Sie benötigen eine getrennte Verwaltung von Active Directory-Objekten und Exchange-Objekten. Daher möchten Sie eventuell eine getrennte Active Directory-Gesamtstruktur für das Ausführen von Exchange einrichten. Diese Variante empfiehlt sich z. B. bei Unternehmen, in denen Sicherheitsgrenzen zwischen der Active Directory- und Exchange-Verwaltung erforderlich sind.
Die Exchange-Gesamtstruktur (auch als Ressourcengesamtstruktur bezeichnet) ist ausschließlich dafür reserviert, Exchange auszuführen und Postfächer zu verwalten. Die Benutzerkonten sind in einer oder mehreren Gesamtstrukturen enthalten, die als Kontengesamtstrukturen bezeichnet werden und von der Ressourcengesamtstruktur getrennt sind. Weitere Informationen zum Bereitstellen von Exchange in einer Umgebung mit mehreren Gesamtstrukturen finden Sie in Planen der Bereitstellung von Exchange in einer Umgebung mit mehreren Gesamtstrukturen.
Der aktivierte Benutzer der Kontengesamtstruktur ist mit einem Postfach verbunden, das einem deaktivierten Benutzer der Ressourcengesamtstruktur zugeordnet ist. Durch diese Konfiguration wird Benutzern der Zugriff auf Postfächer ermöglicht, die sich in anderen Gesamtstrukturen befinden. In diesem Szenario können Sie eine Vertrauensstellung zwischen der Ressourcengesamtstruktur und der Kontengesamtstruktur einrichten. Unter Umständen müssen Sie außerdem einen Übermittlungsprozess einrichten, damit beim Erstellen eines Benutzers in Active Directory durch einen Administrator gleichzeitig ein deaktivierter Benutzer mit einer Mailbox in Exchange erstellt wird.
.gif "note") Anmerkung: |
|---|
| Wenn die Benutzerkonten einen SID-Verlauf (Security Identifier, Sicherheitserkennung) besitzen, müssen Sie die SID-Filterung zwischen der Kontengesamtstruktur und der Ressourcengesamtstruktur deaktivieren (andernfalls sind die Benutzer nicht in der Lage, auf ihre Postfächer zuzugreifen). In den beiden folgenden Fällen werden für Konten SID-Verläufe gespeichert: • Wenn Sie zum Migrieren von Exchange 5.5 zu Exchange 2003 dem externen Migrationspfad folgen, wird für jedes neue Konto die alte SID im Attribut SIDHistory gespeichert. • Wenn Sie mit dem Active Directory-Migrationstool (ADMT) Konten von einer Gesamtstruktur in eine andere verschieben, wird für jedes neue Konto die alte SID im Attribut SIDHistory gespeichert. |
Da alle Exchange-Ressourcen in einer einzelnen Gesamtstruktur vorhanden sind, enthält eine einzelne GAL alle Benutzer der kompletten Gesamtstruktur. In der folgenden Abbildung wird das Szenario einer dedizierten Exchange-Gesamtstruktur dargestellt.
.gif "b01795e0-b2c9-4c56-9938-4b5d064ba3fb")
Der Hauptvorteil bei der Variante mit einer dedizierten Exchange-Gesamtstruktur liegt darin, dass eine Sicherheitsgrenze zwischen der Active Directory- und der Exchange-Verwaltung besteht.
Bei diesem Szenario ergeben sich jedoch beispielsweise folgende Nachteile:
Die Vorteile einer Integration der Exchange- und Active Directory-Verwaltung werden nicht ausgenutzt, sodass sich ein Verwaltungsmehraufwand ergibt.
An Microsoft Windows®-Standorten, an denen Exchange ausgeführt werden soll, müssen alle Domänencontroller und globalen Katalogserver jeweils doppelt vorhanden sein, wodurch erhöhte Kosten entstehen.
Es muss ein Übermittlungsprozess vorhanden sein, damit Active Directory-Aktualisierungen in Exchange übernommen werden. (So muss z. B. beim Erstellen eines neuen Active Directory-Benutzers in Gesamtstruktur A ein postfachaktiviertes Platzhalterobjekt mit entsprechenden Berechtigungen erzeugt werden.) Wenn Sie in einer Gesamtstruktur ein Objekt erstellen, müssen Sie darauf achten, in der anderen Gesamtstruktur ebenfalls entsprechende Objekte zu erstellen. Wenn Sie beispielsweise in einer Gesamtstruktur einen Benutzer erstellen, stellen Sie sicher, dass in der anderen Gesamtstruktur ein Platzhalter für diesen Benutzer erstellt wird. Sie können die entsprechenden Objekte manuell erstellen, diesen Vorgang durch Skripts automatisieren oder dafür Software von Drittanbietern einsetzen.
Wichtig
Die GAL-Synchronisierungsfunktion von Microsoft Identity Integration Server 2003 (MIIS 2003) wurde nicht für das Modell mit einer Ressourcengesamtstruktur entwickelt. (Bei diesem Modell befindet sich das Benutzerkonto in einer anderen Gesamtstruktur als das dazugehörige Postfach.) Obwohl Sie die GAL-Synchronisierung von MIIS 2003 nicht verwenden können, können Sie MIIS 2003 so konfigurieren, dass Objekte zwischen einer Ressourcengesamtstruktur und einer Kontengesamtstruktur übermittelt werden. Darüber hinaus können Sie mit der GAL-Synchronisierung die Ressourcengesamtstruktur mit anderen Exchange-Gesamtstrukturen synchronisieren (mit Ausnahme der Kontengesamtstruktur).
Eine andere Variante der Ressourcengesamtstruktur sind mehrere Gesamtstrukturen, bei denen in einer Gesamtstruktur Exchange ausgeführt wird. Wenn mehrere Active Directory-Gesamtstrukturen vorhanden sind, hängt die optimale Bereitstellungsmethode für Exchange vom Grad der Autonomie ab, der zwischen den einzelnen Gesamtstrukturen erforderlich ist. In Unternehmen, in denen Sicherheitsgrenzen (getrennte Gesamtstrukturen) für Verzeichnisobjekte erforderlich sind, Exchange-Objekte jedoch freigegeben werden dürfen, kann es empfehlenswert sein, Exchange in einer der Gesamtstrukturen bereitzustellen und dort auch die Postfächer für die anderen Gesamtstrukturen im Unternehmen einzurichten. Da alle Exchange-Ressourcen in einer einzelnen Gesamtstruktur enthalten sind, enthält eine einzelne GAL alle Benutzer in allen Gesamtstrukturen. Die folgende Abbildung zeigt dieses Szenario.
.gif "6c2f5563-8abc-477b-a970-7804ab5fe1f3")
Bei diesem Szenario ergeben sich folgende Vorteile:
- Bestehende Active Directory-Struktur wird genutzt
- Vorhandene Domänencontroller und globale Katalogserver können verwendet werden
- Einhaltung strenger Sicherheitsgrenzen zwischen Gesamtstrukturen
Bei diesem Szenario ergeben sich jedoch beispielsweise folgende Nachteile:
- Es muss ein Übermittlungsprozess vorhanden sein, damit Active Directory-Aktualisierungen in Exchange übernommen werden. So muss z. B. beim Erstellen eines neuen Active Directory-Benutzers in Gesamtstruktur A ein postfachaktiviertes Objekt mit entsprechenden Berechtigungen erzeugt werden, das in Gesamtstruktur B deaktiviert ist.
- Gesamtstrukturadministratoren müssen festlegen, wie die Verantwortlichkeiten für die Verwaltung der Active Directory- und Exchange-Objekte aufgeteilt werden sollen.