Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server Содержание Содержание ............................................................................................................ 0 Введение ................................................................................................................ 2 Точки интеграции .................................................................................................... 3 Каталог ............................................................................................................... 3 Глобальный каталог........................................................................................... 11 Просмотр адресной книги................................................................................... 12 Службы IIS ....................................................................................................... 13 Сайты Active Directory ........................................................................................ 15 Вопросы планирования службы Active Directory ...................................................... 16 Служба DNS и пространство имен ....................................................................... 16 Домены ............................................................................................................. 17 Деревья ............................................................................................................ 18 Леса ................................................................................................................. 18 Режим работы домена ........................................................................................ 21 Планирование контроллеров домена .................................................................. 22 Планирование глобального каталога .................................................................. 22 Обращение клиентов к службе Active Directory .................................................... 25 Схема ............................................................................................................... 26 Группы ............................................................................................................. 27 Безопасность .................................................................................................... 33 Администрирование ........................................................................................... 35 Программа Active Directory Connector...................................................................... 38 Инициализация службы Active Directory .............................................................. 38 Управление учетными записями Exchange ........................................................... 38 Резюме ................................................................................................................. 40 Информация, содержащаяся в настоящем документе, представляет текущую точку зрения корпорации Майкрософт по обсуждаемым вопросам на момент публикации. В условиях меняющейся рыночной конъюнктуры данную информацию не следует рассматривать в качестве какого бы то ни было обязательства со стороны Майкрософт; корпорация не может гарантировать точность информации, представленной после даты публикации. Данный документ имеет чисто информативный характер. КОРПОРАЦИЯ МАЙКРОСОФТ НЕ ПРЕДОСТАВЛЯЕТ НИКАКИХ ГАРАНТИЙ, НИ ЯВНО ВЫРАЖЕННЫХ, НИ ПОДРАЗУМЕВАЕМЫХ В СВЯЗИ С ИНФОРМАЦИЕЙ, СОДЕРЖАЩЕЙСЯ В ДАННОМ ДОКУМЕНТЕ. На пользователе лежит ответственность за соблюдение всех применимых в данном случае законов об авторском праве. В целях обеспечения авторских прав никакая часть настоящего руководства ни в каких целях не может быть воспроизведена или передана в какой бы то ни было форме и какими бы то ни было средствами (электронными или механическими, включая фотокопирование и запись на магнитный носитель), если на то нет письменного разрешения корпорации Майкрософт. Предмет данного руководства может быть защищен патентами, патентными заявками, товарными знаками, авторским правом или иным образом в пользу корпорации Майкрософт. Данный документ не дает разрешения на использование этих патентов, товарных знаков или авторского права, если таковое не оговорено явным образом в каком-либо лицензионном соглашении корпорации Майкрософт. ©Корпорация Майкрософт (Microsoft Corp.), 2000. Все права защищены. Microsoft, MS-DOS, Windows и Windows NT являются охраняемыми товарными знаками корпорации Майкрософт в США и других странах. Названия реальных компаний или продуктов, указанные здесь, могут быть товарными знаками соответствующих владельцев. Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server 1 Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server Информационный документ Самые последние сведения см. по Интернет-адресу http://www.microsoft.com/exchange Введение Непрерывные усовершенствования технологии приводят к тому, что применение систем информационных технологий становится неотъемлемой частью бизнеса. Сложность этих систем часто делает невозможным четкое разграничение между их компонентами. Обычно компоненты системы информационных технологий можно разбить на следующие три функциональные группы. Службы инфраструктуры. Базовые сетевые службы и службы операционной системы, позволяющие производить интеграцию дополнительных систем. Microsoft® Windows® 2000 и служба каталогов Active Directory попадают в эту группу. Сервер Microsoft Exchange 2000 Server также расширяет эти возможности служб Windows 2000 и Active Directory, и поэтому он тоже относится к службам инфраструктуры. Службы приложений. Сюда относятся основные бизнес-приложения, которые организации развертывают для удовлетворения потребностей бизнеса или для повышения эффективности работы пользователей и улучшения связи. Сервер Exchange 2000 Server попадает в эту категорию. Службы Интернета. Службы Интернета являются расширением служб приложений, обеспечивающим возможность использования трехуровневых приложений на основе веб-технологий. Сюда относятся традиционные технологии Интернета, а также передовые веб-технологии, такие как XML, IFS и HTTP-DAV. Система Windows 2000 обеспечивает основную инфрастуктуру для этих служб, однако с появлением сервера Exchange 2000 Server это направление расширяется благодаря реализации в нем множества передовых технологий. С позиции планирования система Windows 2000 обеспечивает службы инфраструктуры, которые, в свою очередь, делают возможным использование служб приложений и Интернета. Поэтому планирование службы Active Directory в значительной степени определяется требованием облегчить функционирование указанных служб. В данном документе речь пойдет о тех компонентах сервера Exchange 2000 Server, которые объединяют и используют службы инфраструктуры, что потенциально влияет на некоторые элементы планирования. Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server 2 Планирование и реализация этих компонентов информационных технологий часто производится необдуманно, без учета того воздействия, которое одна из систем оказывает на другую. Аналогичным образом, хорошее знание только одного из компонентов часто ведет к излишнему вниманию, которое при планировании уделяется этому компоненту в ущерб другим. Exchange 2000 Server оказывает существенное влияние на работу всех этих компонентов, что повышает и значение, и сложность планирования. Поэтому важно понимание всех аспектов влияния на работу других компонентов. Знание этих взаимодействий поможет в планировании интеграции компонентов и возникающих при этом взаимозависимостей. Данный документ состоит из двух основных разделов. В разделе «Точки интеграции» описывается взаимодействие различных компонентов системы Windows 2000 и сервера Exchange. Этими точками интеграции являются те области, в которых проявляется влияние сервера Exchange 2000 Server на планирование службы Active Directory. В разделе «Вопросы планирования службы Active Directory» обсуждаются конкретные вопросы, которые необходимо учитывать при планировании службы Active Directory. В этом разделе содержатся рекомендации по настройкам, которые, возможно, потребуется произвести, и описывается влияние, которое сервер Exchange 2000 Server потенциально оказывает на службу Active Directory и входящие в ее состав службы. При подготовке настоящего документа предполагалось, что читатель хорошо знаком с технологиями, используемыми службой Active Directory и сервером Exchange 2000 Server. Общие сведения о службе Active Directory и сервере Exchange 2000 Server содержатся в целом ряде материалов. В настоящем документе общие темы обсуждаются только с целью разъяснения конкретных вопросов. Точки интеграции Чтобы определить те аспекты планирования службы Active Directory, где проявляется влияние сервера Exchange 2000 Server, необходимо предварительно обсудить области, затрагиваемые интеграцией. Каталог Система Windows 2000 включает обычный каталог Exchange. На долю сервера Exchange остаются те функции, которые непосредственно относятся к обеспечению служб обмена сообщениями и совместной работы и администрированию этих служб. Однако эти службы используют Active Directory многими различными способами. Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server 3 Если сравнивать каталог Active Directory с каталогом Exchange 5.5, то интеграция каталога Exchange отражается в сдвиге класса объекта для некоторых объектов. Эти изменения описаны в следующей таблице. Объект каталога Exchange 5.x Почтовый ящик Эквивалентный объект каталога Active Directory Пользователь почтового ящика Специальный получатель Почтовый контакт Список рассылки Почтовая группа Общая папка Общая папка Примечания Этот тип пользователя имеет дополнительные страницы свойств в сравнении со стандартной учетной записью, а в контекстном меню, открывающемся при щелчке правой кнопкой мыши, содержится больше команд. Все почтовые контакты имеют адрес SMTP (Simple Mail Transfer Protocol), хотя пользователи более старых систем обмена сообщениями, например, Lotus cc:Mail и Lotus Notes, в службе Active Directory представлены как контакты. В службе Active Directory существуют два типа групп – группы безопасности и группы распространения. Кроме того, можно задавать область действия группы – локальная группа домена, глобальная и универсальная группы. Дополнительную информацию см. в дальнейших разделах настоящего документа. Эти типы объектов можно создавать только с помощью диспетчера системы, а не с помощью стандартной оснастки «Active Directory – пользователи и компьютеры». Каталог Active Directory содержит существенный объем данных, используемых сервером Exchange 2000 Server. Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server 4 Пользователи Объекты пользователей представляют один из трех типов участников безопасности в службе Active Directory. Объекты пользователей содержатся внутри контекстов именования доменов, и ссылка на них в каталоге производится по их ассоциированному контексту LDAP (Lightweight Directory Access Protocol), ссылка на который производится по различающемуся имени. Объекты пользователей в системе Windows 2000 могут также являться пользователями почтового ящика, что ведет к созданию почтового ящика сервера Exchange 2000 Server в хранилище сообщений. Хотя псевдонимы не создаются автоматически, для создания адресов электронной почты пользователей используется политика получателя Exchange. В дополнение к действиям с атрибутами, связанными с данным пользователем как с получателем Exchange, объект пользователя является единой точкой администрирования для специфичных для системы Windows 2000 действий с учетными записями. Хранение объектов пользователей, таких как почтовые ящики, и управление ими полностью объединено с оснасткой «Active Directory – пользователи и компьютеры». При установке диспетчера системы на компьютер с системой Windows 2000 к стандартной консоли добавляется набор расширений. Это позволяет создавать почтовый ящик Exchange одновременно с определением новой учетной записи пользователя. Группы Группы Windows 2000 являются одним из мощных средств управления службы Active Directory. Группы можно использовать для значительного уменьшения числа точек администрирования в каталоге, что снижает стоимость администрирования самой системы. В системе Windows 2000 группы используются для уменьшения числа объектов, требующих прямого администрирования; пользователи объединяются в группы, которые затем объединяются в другие группы, что позволяет производить массовое администрирование и ссылку из ресурсов. Сервер Exchange 2000 Server не только использует эту концепцию массового администрирования и предоставления разрешений, но и расширяет использование групп, используя их в качестве списков рассылки сообщений. Однако сколь бы гибкими ни были группы, при их использовании требуется учитывать определенные ограничения и принимать соответствующие меры предосторожности. В системе Windows 2000 понятие группы несколько расширено, что делает группы поистине действенным и мощным компонентом службы Active Directory. В системе Windows 2000 теперь имеются две следующие области действия групп, применяемые в сервере Exchange 2000 Server. Группы безопасности являются участниками безопасности в службе Active Directory. Они часто используются для объединения пользователей и компьютеров с целью уменьшения числа точек администрирования и предоставления разрешений на доступ к сетевым ресурсам. Группы распространения в точности соответствуют части списка рассылки, имеющегося в предыдущих версиях Exchange. Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server 5 Глобальные группы Глобальные группы могут включать пользователей и компьютеры только из того домена, в котором они содержатся, однако использовать их можно в любом домене. Глобальные группы могут включать пользователей, компьютеры и глобальные группы из локального домена. Глобальные группы могут быть членами групп любого другого типа. Обычно глобальные группы используются как основа для администрирования членства пользователей. Глобальные группы часто определяются и используются для объединения пользователей, имеющих одинаковые потребности, в относительно узкие категории, например, «Группа сбыта» и т. д. Благодаря тому, что область действия глобальных групп задается именно так, определение группы реплицируется как часть глобального каталога. Однако информация о членстве в глобальных группах не содержится в глобальном каталоге. Это связано с тем, что по соображениям безопасности идентификатор безопасности (SID) глобальной группы включен в маркер доступа пользователя. Далее в настоящем документе обсуждается, как эта особенность сказывается в среде Exchange. Примечание. Глобальные группы могут быть преобразованы в универсальные группы, если эти глобальные группы не содержат другие глобальные группы (и режим домена является основным). Это позволяет более гибко применять глобальные группы. Локальные группы домена Локальные группы домена могут включать членов из любого домена, однако использовать их можно только том домене, в котором они находятся. Локальные группы домена могут включать пользователей, компьютеры и группы любого типа, включая другие локальные группы домена. Из-за ограничения области, в которой могут использоваться локальные группы домена, в глобальный каталог реплицируются только определения локальных групп домена. Этот факт, а также то, что локальные группы домена могут содержать группы любого типа, делает их излюбленным средством администраторов службы Active Directory, помогающим им снизить трафик глобального каталога. Хотя группы этого типы также можно сделать почтовыми, прежде чем это делать, необходимо учесть, как это повлияет на работу сервера Exchange 2000 Server. Это также будет обсуждаться в следующем разделе, посвященном влиянию различных факторов на планирование. Примечание. Локальные группы домена, не содержащие другие локальные группы домена, можно преобразовать в универсальные группы. Универсальные группы Универсальные группы могут включать членов из любого домена, и их можно использовать в любом домене, что обуславливает гибкость групп этого типа в службе Active Directory. Использование универсальных групп тоже сопряжено с рядом особенностей. Членство в универсальной группе должно быть определено во время входа в систему. Поскольку область действия универсальных групп является всеохватывающей, распространение групп этого типа производится через глобальный каталог. Таким образом, не только сама универсальная группа реплицируется глобально, но и членство в этой группе также реплицируется. Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server 6 Универсальные группы с большим членством создают дополнительную непроизводительную нагрузку репликации при изменении членства в универсальной группе. Как и все остальные группы, универсальные группы могут быть группами безопасности или группами распространения; однако универсальные группы, являющиеся группами безопасности, доступны, только если режим домена основной. Обсуждение универсальных групп и рекомендации по их использованию см. в разделе «Использование универсальных групп». Использование групп в сервере Exchange 2000 Server В сервере Exchange 2000 Server группы Active Directory используются двумя способами. Обычно группы безопасности применяются для предоставления привилегий и прав администрирования для некоторых настроек и объектовсерверов, относящихся к серверу Exchange 2000 Server. Общие папки тоже являются объектами службы Active Directory, поэтому группам безопасности можно предоставлять разрешения на доступ к общим папкам. Это является существенным усовершенствованием в сравнении с предыдущими версиям сервера Exchange и демонстрирует степень его интеграции со службой Active Directory. Вторым способом применения групп службы Active Directory в сервере Exchange 2000 Server является их использование в качестве списков рассылки. Этот способ может применяться к группам всех типов, хотя некоторые группы работают в этом качестве лучше других. Когда группе посылается сообщение, служба SMTP должна раскрыть членство этой группы. В случае универсальных групп сервер Exchange может получить сведения о членстве с любого локального сервера глобального каталога. В случае сообщений, посланных локальным группам домена или глобальным группам, сервер Exchange должен получить сведения о членстве с контроллера домена в том домене, в котором были созданы эти группы. Этот механизм хорошо работает в тех случаях, когда группы-получатели находятся в одном и том же домене с отправителем. Однако если сообщения посланы локальной группе домена или глобальной группе, которые были созданы в другом домене, или универсальной группе, содержащей глобальные группы, находящиеся в других доменах, членство должно быть раскрыто локально или переслано локальным сервером Exchange конечному домену для раскрытия. В первом случае требуется наличие прямого IP-подключения между сервером Exchange, выполняющим развертывание, и контроллером домена конечного домена. Ниже перечисляются вопросы, которые следует рассмотреть при выборе типа группы для реализации массовой передачи сообщений электронной почты. Насколько стабильно членство в группах. Универсальные группы не очень хорошо подходят для групп с динамическим членством из-за влияния, оказываемого на глобальный каталог репликацией изменений членства. Количество доменов в службе Active Directory. Отдельные домены не требуют использования реплицируемого глобального каталога. Применимость. Членство в глобальной группе и локальной группе домена является невидимым для пользователей за границами локального домена. Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server 7 Группы в доменах, работающих в смешанном режиме Приведенное ранее описание групп является точным, но только в домене системы Windows 2000, работающем в основном режиме. Если домен работает в смешанном режиме, группы обладают теми же возможностями, которые они имеют в среде системы Windows NT 4.0. Фактически, ограничения на группы в смешанном режиме наложены потому, что в домене, работающем в смешанном режиме, могут присутствовать резервные контроллеры домена системы Windows NT 4.0. В этом случае репликация новых элементов, например, универсальных групп безопасности, является непрактичной и, как следствие, не разрешается. На группы в смешенном режиме накладываются следующие ограничения: группы могут содержать только объекты пользователей; универсальные группы могут быть только группами распространения; глобальные группы не могут быть вложены в другие глобальные группы. Контексты именования Данные сервера Exchange 2000 Server, содержащиеся в службе Active Directory, не ограничиваются только объектами, видимыми в оснастке «Active Directory – пользователи и компьютеры». Служба Active Directory состоит из трех разделов базы данных, которые называются контекстами именования. Сервер Exchange 2000 Server использует все контексты именования службы Active Directory. Сюда входят контексты именования доменов, контексты именования схемы и контексты именования конфигурации. В следующем разделе кратко описываются эти три контекста именования и их связь с сервером Exchange 2000 Server. Контекст именования домена Контекст именования домена содержит все объекты данного домена. Этот раздел определяет границы домена Windows 2000. При рассмотрении вопросов репликации следует учесть, что именно контекст именования домена содержит большую часть реплицируемых данных. Областью действия контекста именования домена является тот домен, в котором он содержится. Следовательно, контекст именования домена реплицируется только среди контроллеров локального домена. Сервер Exchange 2000 Server полностью использует контекст именования домена, который содержит все сведения, относящиеся к пользователям почтовых ящиков, почтовым группам и почтовым контактам. К этим сведениям относятся атрибуты безопасности, определяющие разрешения на доступ к некоторым объектам сервера Exchange 2000 Server, в дополнение к специальным сведениям относительно почтовых ящиков Exchange, связанных с пользователями. Помимо обычных сведений о пользователях почтовых ящиков и почтовых группах в контексте именования домена также хранятся и определения общих папок. Как и другие объекты службы Active Directory, общие папки являются прекрасным механизмом единого администрирования свойств, включая управление доступом. Необходимо, однако, принять во внимание, что изменения группы безопасности, произведенные с целью управления доступом к общей папке или членству в списке массовой рассылки, может повлиять на остальные таблицы ACL (Access Control List – таблица управления доступом), в которых содержится ссылка на эту группу. Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server 8 Контекст именования конфигурации Все данные по маршрутизации сообщений, включая сведения о группах маршрутизации и администрирования, а также серверах-плацдармах, содержатся в контексте именования настроек службы Active Directory. Чтобы принять решение о маршрутизации, сервер Exchange 2000 подключается к локальному контроллеру домена и извлекает эти сведения. В контексте именования конфигурации находится также множество данных о дополнительных настройках сервера Exchange 2000 Server, включая определения описателей экрана, управления доступом и соответствующих служб. В результате сервер Exchange 2000 Server использует службу Active Directory для получения почти всех данных настройки. Область действия контекста именования конфигурации является глобальной для леса системы Windows 2000. Копия контекста именования настроек имеется на каждом контроллере домена данного леса. Контекст именования схемы Контекст именования схемы содержит правила, определяющие, какие объекты могут находиться в данном каталоге, а также атрибуты, связанные с этими объектами. Схема, установленная по умолчанию со службой Active Directory, определяет большое количество классов и атрибутов, являющихся основой для определений всех объектов в этом каталоге. Схема Active Directory, не включает, однако, начальных определений, которые требуются для сервера Exchange 2000 Server. Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server 9 Поскольку сервер Exchange 2000 Server использует каталог Active Directory для получения общих сведений о нем и информации о его настройке, сервер Exchange 2000 Server расширяет эту схему службы Active Directory, включая в нее значительное число классов и атрибутов, специфичных для сервера Exchange. Обсуждение влияния этих модификаций на службу Active Directory см. в разделе Схема далее в настоящем документе. Проверка подлинности Когда сетевой клиент запрашивает выполнение проверки подлинности при входе в сеть, он использует свой IP-адрес и настройки системы DNS, которые являются статическими или назначаются с помощью протокола DHCP, для поиска соответствующего контроллера домена. Когда система DNS получает этот запрос, она пытается сопоставить IP-адрес клиента с сайтом службы Active Directory. Затем система DNS возвращает имена локальных контроллеров домена, которые могут произвести проверку подлинности клиента. Клиент случайным образом выбирает контроллер домена и перед попыткой входа в сеть посылает ему уведомление, чтобы убедиться в том, что этот контроллер работает. Если в течение определенного времени ответ не будет получен, клиент выбирает для входа в сеть другой контроллер домена. Если домен работает в основном режиме, можно использовать такие дополнительные возможности, как универсальные группы безопасности. В этом случае для каждого клиента, который входит в домен, проверяющий контроллер домена должен передавать учетные данные клиента в локальный глобальный каталог для перечисления права доступа универсальной группы безопасности. При оценке масштабируемости следует учесть и эту дополнительную нагрузку. Таким образом, во время проверки подлинности клиентам требуется доступ к системе DNS, контроллеру домена и глобальному каталогу. Доступ сервера Exchange Server к службе Active Directory В зависимости от типа запроса сервер Exchange 2000 Server для получения данных обращается к различным серверам Active Directory. Сервер Exchange 2000 Server обычно устанавливает ряд LDAP-подключений к близлежащим контроллерам домена и серверам глобального каталога. Двумя основными типами операций с каталогом, которые выполняет сервер Exchange 2000 server, являются просмотр адресной книги и просмотр данных настройки. Просмотр адресной книги выполняется всякий раз, когда сервер Exchange получает запрос для имени, которое требует разрешения посредством коммуникационного сервера или сервера службы хранения данных. Этот просмотр выполняется на сервере глобального каталога с использованием протокола LDAP через порт 3268. Для поиска глобального каталога сервер Exchange 2000 запрашивает свой сервер DNS, который возвращает список локальных серверов глобального каталога. Когда сервер Exchange должен прочитать данные настройки, например, сведения о маршрутизации, он, чтобы получить эти данные, подключается к контроллеру домена внутри локального домена. После подключения сервера Exchange к контроллеру домена службы Active Directory для получения указанных данных, сервер Exchange пытается использовать этот сервер службы Active Directory в последующих запросах. Такой запрос также выполняется с использованием протокола LDAP через порт 389. Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server 10 Сетевой транспорт При установке системы Windows 2000 стеки базовых протоколов Интернета, например, протоколов SMTP (Simple Mail Transport Protocol) и NNTP (Network News Transfer Protocol) (если таковые выбраны для установки) настраиваются как часть операционной системы. Операционная система и другие компоненты используют эти стеки для выполнения своих задач, например, в случае репликации определенной информации каталога имеется возможность репликации информации службы Active Directory с использованием протокола SMTP вместо использования удаленного вызова процедур (RPC – Remote Procedure Call). При установке сервера Exchange 2000 Server эти стеки расширяются дополнительными командами и компонентами маршрутизации, требующимися для поддержки функций службы сообщений. Эти расширения устанавливаются как набор приемников, регистрируемых с каждым протоколом. Разрешение имен Поскольку сервер Exchange 2000 Server является продуктом, ориентированным на использование в сети, при передаче данных он в значительной степени опирается на используемую инфраструктуру сети и протоколы. Клиентские компьютеры должны подключаться к серверам, чтобы получить доступ к данным для совместной работы, а серверы должны связываться с другими серверами для маршрутизации сообщений. Все продукты такого рода требуют надежного метода разрешения имен. В системе Windows NT 4.0 служба WINS (Windows Internet Name Service – служба межсетевой адресации в среде Windows) обеспечивает разрешение имен NetBIOS (Network Basic Input/Output System – сетевой базовой системы ввода-вывода) в среде TCP/IP (NetBT) и службу DNS для разрешения имен на основе Winsock. Фактически, все предыдущие версии программного обеспечения клиента Microsoft Outlook® и сервера Exchange по умолчанию использовали для связи уровень Winsock, так что служба DNS всегда являлась предпочитаемым методом разрешения имен. При использовании сервера Exchange 2000 Server клиенты продолжают использовать разрешение имен на основе Winsock; однако теперь все остальные компоненты системы Windows, например, проверка учетных данных при входе и проверка домена, используют службу DNS в качестве основного способа. Глобальный каталог Глобальный каталог представляет собой «белые страницы» службы Active Directory. Внутри леса существует единый глобальный каталог, состоящий из частичных реплик каждого объекта в каждом контексте именования домена. Именно этот глобальный каталог обеспечивает большинство служб каталога для серверов и клиентов Exchange 2000. Клиенты Windows 2000 и службы сообщений обычно запрашивают глобальный каталог при выполнении поиска конкретного объекта в каталоге. Глобальный каталог хорошо подходит для этих целей благодаря тому, что содержащиеся в нем данные являются глобальными, полностью индексированными и кэшированными, что обеспечивает быстрый его просмотр при выполнении запросов клиентов, использующих либо интерфейс MAPI, либо протокол LDAP через TCP-порт 3268. Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server 11 Первый контроллер домена в лесу автоматически устанавливается в качестве сервера глобального каталога. Последующие контроллеры домена даже в новых доменах не помечаются как серверы глобального каталога, если только не настроить их в этом качестве с помощью оснастки «Active Directory – пользователи и компьютеры». Строго говоря, сервер глобального каталога является частичной репликой прочих контекстов именования домена в этом лесу. Однако серверы глобального каталога являются также и контроллерами домена, поэтому любой глобальный каталог содержит, в дополнение к полной копии собственного контекста именования домена, частичную доступную только для чтения реплику всех остальных контекстов именования доменов в этом лесу. Чтобы лучше понять, чем является сервер глобального каталога, следует представить себе те элементы каталога, которые реплицируются в него. В глобальный каталог попадает любой атрибут с установленным значением специального свойства, например, telephonenumber. Это свойство называется IsMemberOfPartialAttributeSet. Если значением этого свойства является «истина», тогда данный атрибут реплицируется в глобальный каталог1. Таким образом, в качестве элементов, содержащихся в глобальном каталоге, определяются не объекты, а атрибуты, всегда содержащиеся в объектах. Для сервера Exchange 2000 Server глобальный каталог является тем компонентом службы Active Directory, обращение к которому производится намного чаще, чем к другим компонентам. Вопросы, относящиеся к его использованию, освещаются в разделе «Планирование глобального каталога» далее в настоящем документе. Просмотр адресной книги Компонент DSProxy упрощает процесс взаимодействия клиента Outlook со службой Active Directory. Это происходит в следующих двух случаях: трансляция клиентских запросов к каталогу в службу Active Directory (NSPI) (Outlook 97 и 98); перенаправление интеллектуальных клиентов MAPI непосредственно к службе Active Directory (RFR) (Outlook 2000). Для достижения максимальной эффективности компонент Exchange System Attendant разрешает имя контроллера домена, содержащего каталог Active Directory, в том же сайте, в котором находится сервер Exchange. Дальнейшее разрешение имени затем обрабатывается процессом DSProxy (DSPROXY.DLL)2. Компонент DSProxy работает со следующими протоколами: TCP/IP IPX AppleTalk Обратите внимание на то, что DSProxy не работает через NetBIOS, включая NetBIOS через TCP/IP. Как следствие, изменения членства атрибута в глобальном каталоге инициируют полную репликацию глобального каталога. При внесении изменений это необходимо учесть. 2 Для процесса это обозначается событием 2059. 1 Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server 12 Службы IIS Службы IIS (Microsoft Internet Information Services – информационные службы Интернета) теперь являются компонентом системы Windows 2000 и используются службой Active Directory во многих случаях. Основанный на сценариях механизм службы Active Directory и веб-интерфейсы являются общими. Фактически, вебинтерфейсы для управления принтером и печати с использованием протокола IPP (Internet Printing Protocol) стандарта IETF формируются автоматически, а создание подобных интерфейсов для почти всех остальных аспектов администрирования выполняется достаточно легко. В сервере Exchange 2000 Server эти протоколы удалены из банка сообщений и теперь выполняются как часть процесса IIS, который стал выполнять функции обработчика протоколов. Включение протоколов в процесс IIS позволяет администраторам размещать подсистемы Exchange (протокол, банк и каталог) на разных серверах, что делает возможным обслуживание миллионов пользователей. Например, можно спланировать топологию сервера Exchange 2000 Server так, чтобы она включала блок коммуникационных серверов и серверов хранения данных, что позволяет клиентам, не являющимся MAPIклиентами, подключаться к виртуальным IP-адресуемым коммуникационным серверам, сохраняя сообщения и данные для общей работы на отдельных серверах хранения данных. Интеграция служб сообщений и веб-служб является полной. В сервер Exchange 2000 Server включены следующие протоколы, использующие веб-службы, содержащиеся в службах IIS. Служба Outlook Web Access Служба Outlook Web Access содержит интерфейс на основе обозревателя, обеспечивающий выполнение основных функций передачи сообщений сервером Exchange 2000 Server. Службы IIS размещают виртуальные корневые папки и выполняют обработку, упрощающую клиенту Outlook Web Access доступ к серверу Exchange. Служба немедленных сообщений Служба немедленных сообщений (Instant Messaging) позволяет пользователям знать о наличии информации для других пользователей и дает пользователям возможность оперативно отправлять сообщения, если требуется немедленный ответ. Интерфейс пользователя рассчитан на простоту применения и обмена сообщениями специального вида между двумя пользователями. Служба немедленных сообщений работает вместе с сервером Exchange 2000 Server и использует службы DNS и Active Directory для поиска основного сервера немедленных сообщений. Служба немедленных сообщений также поддерживает архитектуру коммуникационного сервера и сервера хранения данных, в которой коммуникационные серверы действуют в качестве точки подключения клиента. Однако в этом случае коммуникационные серверы играют роль плацдармов и переадресуют клиентов на соответствующий основной сервер. Размещение службы немедленных сообщений производится путем определения виртуальных серверов и сфер. Виртуальные серверы группируют пользователей по адресам электронной почты, а для обеспечения масштабируемости можно использовать несколько виртуальных серверов. Сферы позволяют эффективно формировать пространство имен, которое отображает адрес электронной Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server 13 почты (например, @Microsoft.com) на конкретный виртуальный сервер, назначаемый путем использования URL-адреса (http://im.microsoft.com). С точки зрения пользователя сервер Exchange 2000 Server поддерживает более понятный адрес, например, адрес juser@im.microsoft.com транслируется в URL-адрес, например, http://im.microsoft.com/aliases/juser. Поскольку клиент использует службу DNS для поиска основного сервера, для указания на полное имя домена основного сервера необходимо создать псевдоним CNAME. Служба конференций Служба конференций сервера Exchange 2000 Server (Data Conferencing) позволяет пользователям проводить виртуальные конференции, в которых объединяются данные, звук, видеоинформация и разговор. Служба конференция, предназначенная для передачи сообщений в режиме реального времени, является одним из наиболее сложных компонентов сервера Exchange 2000 Server. Для управления сеансом конференции и его координации служба конференций одновременно использует несколько серверных компонентов. Клиенты могут планировать сетевые встречи и резервировать сетевые ресурсы, используя приложение Outlook 2000. Клиент использует протокол T.120, который встроен в такие продукты, как Microsoft NetMeeting. Сервер выступает в роли сервера службы конференций H.323. Чтобы можно было использовать службу конференций, сервер Exchange 2000 Server устанавливает две службы системы Windows 2000. Служба Microsoft Exchange Conferencing Management. Служба Conference Management Service (Служба управления конференциями) управляет почтовыми ящиками и профилями конференций, использующими виртуальные ресурсы, и осуществляет маршрутизацию клиентов, когда те присоединяются к конференции. Диспетчеры конференции используют область действия сайтов системы Windows 2000 для направления клиентов в ближайшую службу конференций. Служба Microsoft Exchange Data Conference. Служба Data Conference Service (Служба конференций) фактически реализует сеанс конференции T.120. Служба Data Conference Service является мостом конференции на основе стандарта T.120 (MCU). Каждый сервер Exchange 2000 может поддерживать только один мост MCU. По этой причине для обеспечения возможностей размещения большого числа пользователей можно создать несколько мостов MCU. Для организации конференций используется концепция виртуальных конференц-залов, создаваемых на сервере Exchange 2000. Каждый виртуальный конференц-зал создается в службе Active Directory как стандартный пользователь почтового ящика. Присоединение к конференции производится путем установления начального подключения к URL-адресу конференции. Часть этого URL-адреса указывает динамические параметры конференции, например, код конференции и пароль (если используются). Эти параметры передаются в службы IIS. Если эти параметры являются правильными, клиент переадресуется на соответствующий мост MCU и присоединяется к конференции. После этого службы IIS больше не участвуют в процессе конференции. Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server 14 Протокол SMTP Для осуществления транспорта SMTP сервер Exchange 2000 Server полностью полагается на службы IIS системы Windows 2000. Этот протокол используется для передачи Интернет-сообщений и в качестве используемого по умолчанию транспорта всего обмена сообщениями между серверами. Во время установки сервер Exchange расширяет службу транспорта SMTP служб IIS для поддержки некоторых усовершенствованных компонентов; однако эти расширения не заменяют тех, которые существуют в службах IIS во время установки. Эти расширения включают следующие компоненты. Дополнительные команды SMTP, обеспечивающие отказоустойчивость маршрутизации. Сервер Exchange 2000 Server следит за информацией о состоянии связи, которая передается всем серверами, уведомляя их в случае разрыва подключения. Эта информация передается между группами маршрутизации с использованием протокола SMTP. Усовершенствованный обработчик очередей. Усовершенствованный агент классификации сообщений. Протокол NNTP Протокол NNTP, как и протокол SMTP, также является собственным компонентом служб IIS системы Windows 2000. Сервер Exchange 2000 Server использует эти службы для обеспечения новых служб, определенных в диспетчере служб сервера Exchange. Как протокол SMTP, так и протокол NNTP выполняются в ходе процесса Inetinfo.exe, который содержится в службах IIS системы Windows 2000. Сайты Active Directory Сайты Active Directory определяются как одна или несколько IP-подсетей с постоянными, надежными подключениями. В отличие от сайтов, реализованных в предыдущих версиях сервера Exchange, сайт Active Directory не включает блок пространства имен и не является частью иерархии Active Directory. Например, в одном домене может существовать несколько сайтов, и наоборот, один сайт может охватывать несколько доменов. Поскольку для репликации контекста именования имен в домене используется синхронный удаленный вызов процедур (RPC), сайты можно использовать для определения топологии, определяющей сайты, где происходит RPC-репликация. Таким образом, сайты помогают снизить то отрицательное воздействие, которое могли бы в противном случае оказывать сообщения RPC, не настроенные в соответствии с топологией. Администратор определяет сайты и создает связи сайтов, а проверка KCC (Knowledge Consistency Checker – проверка согласованности знаний), основываясь на качестве связи, автоматически создает подключения для создания эффективной, надежной топологии репликации. Понятие сайта осталось от каталога сервера Exchange Server 5.x, хотя важно понимать, что сайт Active Directory определяется исключительно зоной используемой сети, обладающей высокой пропускной способностью. Понятие сайта в каталоге сервера Exchange определяет также единицу администрирования и пространства имен и диктует маршрутизацию передачи сообщений. Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server 15 Сайты Active Directory и компоненты сервера Exchange 2000 Server интегрированы в очень небольшой степени. Сервер Exchange использует отдельные группы маршрутизации для улучшения трафика потока обмена сообщениями, в то время как сайты Active Directory используются для формирования топологии репликации. Сервер Exchange 2000 Server использует сайты Active Directory, чтобы найти локальный контроллер домена или сервер глобального каталога для просмотра адресной книги или для доступа к сведениям о настройке. Сайты также используются диспетчером конференций при переадресации клиентов на сервер конференции. Вопросы планирования службы Active Directory Если знать, как служба Active Directory и сервер Exchange 2000 Server взаимодействуют друг с другом, несложно определить, какое влияние оказывает сервер Exchange 2000 Server на службы инфраструктуры системы Windows 2000. Сервер Exchange 2000 Server в значительной степени опирается на компоненты службы каталогов и сетевые компоненты, содержащиеся в системе Windows 2000, в результате чего возникают следующие два типа воздействия. Логическое воздействие. Существуют предварительные требования по доступности и размещению некоторых служб, предусмотренных в службе Active Directory. Эти вопросы можно решить, внеся соответствующие изменения в логическую схему службы Active Directory. Физическое воздействие. Сервер Exchange 2000 Server может оказывать существенное воздействие на работу некоторых служб, обеспечиваемых службой Active Directory. Для предотвращения возникновения в системе «узких мест» необходимо знать, как сервер Exchange 2000 Server использует эти службы. Служба DNS и пространство имен Служба DNS является неотделимым компонентом службы Active Directory. Служба DNS используется для обычного разрешения имен и для поиска служб с использованием записей SRV-RR (Service Resource Record – записи ресурса службы). Кроме того, служба DNS тесно связана с пространством имен службы Active Directory, которое непосредственно взаимодействует с пространством имен сервера Exchange 2000 Server. Сервер Exchange 2000 Server использует несколько дополнительных служб DNS. Записи адреса. Сервер Exchange 2000 Server использует службу DNS для запросов разрешения имен серверов. Для всех серверов Exchange в любом данном домене должны существовать записи адреса. Записи MX. Сервер Exchange 2000 Server использует записи MX (Mail Exchanger – почтовый обменник) таким же образом, как и сервер Exchange 5.5. Записи MX должны существовать для указания почтовых серверов, обслуживающих пространство имен конкретного домена. Подключатель протокола SMTP использует эти записи для определения предпочтительных почтовых серверов протокола SMTP. Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server 16 Записи SRV. Записи SRV-RR (Service Resource Records – записи ресурса службы) используются для публикации широко используемых служб с использованием службы DNS. Хотя сервер Exchange 2000 Server не регистрирует никаких записей SRV-RR, сервер Exchange использует эти записи для поиска контроллеров домена, серверов глобального каталога и сайтов. Виртуальное пространство имен. Некоторые компоненты сервера Exchange 2000 Server используют веб-службы IIS. Такие службы как служба Outlook Web Access, служба немедленных сообщений и служба конференций, связанны с соответствующим типом пространства имен. Чтобы дать пользователям более понятное представление пространства имен, во многих случаях создаются псевдонимы DNS. Домены На разработку топологии доменов в системе Windows 2000 сильно влияют факторы, не связанные с сервером Exchange 2000 Server. Привлекательной отличительной чертой сервера Exchange 2000 Server является то, что он хорошо работает со службой Active Directory почти независимо от ее планирования. Однако необходимо учесть несколько соображений. В системе Windows 2000 домены связаны с явным пространством имен DNS. Это пространство имен часто связано с пространством понятных имен, которое пользователи используют для входа в сеть, например, имя juser@redmond.microsoft.com используется для входа в домен Redmond. Это пространство имен, в свою очередь, часто совпадает с адресом электронной почты пользователя, хотя временами этого не происходит. Рассмотрим, например, имя пользователя juser@redmond.microsoft.com. Принимаемое по умолчанию имя этого пользователя для входа в систему, определенное доменом и пространством имен DNS, возможно, не будет совпадать с используемым им адресом электронной почты, например, juser@microsoft.com. Использование имен UPN (User Principle Name - основное имя пользователя) смягчает возможную путаницу, созданную несовпадением пространства имен домена и пространства имен адресов электронной почты.3 Имена UPN определяются в административном порядке и назначаются конкретным доменам или пользователям. Обычно для леса существует одно имя UPN, однако можно использовать и несколько таких имен. В этом случае можно создать UPN-имя @Microsoft.com и назначить его в качестве принимаемого по умолчанию для всех пользователей. Это предоставляет пользователям единое пространство имен (@Microsoft.com), которое можно использовать для входа в систему и для электронной почты. Существуют случаи, в которых организации может требоваться явное отделение имен UPN от пространства имен, используемого для электронной почты. Отделение имен UPN от адресов электронной почты Интернета повышает безопасность сети благодаря тому, что имена пользователей явно не присоединены к общеизвестным адресам электронной почты. Некоторые организации не хотят, чтобы имена UPN совпадали с псевдонимами электронной почты, поскольку злоумышленник может легко узнать псевдоним входа пользователя, просто зная адрес электронной почты этого пользователя. Поэтому некоторые организации намеренно избегают использовать имена UPN, одинаковые с псевдонимами пользователей. Соответствующее решение определяется соображениями бизнеса и принимается на стадии планирования службы Active Directory. 3 Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server 17 Вторым вопросом, который может влиять на планирование домена, является вопрос использования почтовых групп. Членство в глобальной группе или в локальной группе домена не переносится в глобальный каталог. Как следствие, такие группы должны развертываться на контроллере домена в несущем домене, или просмотр должен производиться по проводной связи с сервера Exchange, который находится в другом домене. По этой причине интенсивно используемые почтовые группы могут создавать большую нагрузку на сеть. Однако вместо настройки структуры домена можно сделать эти группы универсальными, а не глобальными группами или локальными группами домена. Для определения групп службы Active Directory руководствуйтесь следующими рекомендациями. Определите, какие группы безопасности требуются для реализации выбранной модели администрирования. Определите, какие из этих групп должны быть почтовыми группами. Определите требующиеся дополнительные списки рассылки и определите соответствующие группы распространения. Еще одним соображением, учитываемым при планировании групп, является членство в группах безопасности. Если создается группа безопасности, которая является почтовой, пользователи, включенные в такую группу, будут также иметь доступ к ресурсам, разрешение на доступ к которым предоставлено этой группе. Если пользователь включается в почтовую группу безопасности для того, чтобы дать этому пользователю возможность получать сообщения, посланные этой группе, следует помнить, что этот пользователь будет также иметь доступ к ресурсам этой группы. Деревья Дерево службы Active Directory определяется как один или несколько доменов, расположенных в иерархическом порядке и имеющих общее связанное пространство DNS-имен и двухстороннее доверие Kerberos. Вообще говоря, оптимальным выбором является единственное дерево. Использование нескольких деревьев имеет несколько незначительных недостатков, например, необходимость управления дополнительными пространствами имен и уменьшение возможностей запросов от клиентов, которые не используют глобальный каталог; однако ни один из этих недостатков, возможно, исключая недостатки, связанные с пространством имен, не влияет на реализацию сервера Exchange 2000 Server. Леса Леса службы Active Directory состоят из одного или нескольких деревьев, которые совместно используют общий контекст именования настроек и присвоения имен схемы и единый глобальный каталог. Первый домен, вошедший в состав леса, является корневым доменом леса. Этот домен нельзя переименовать иди удалить, кроме того, нельзя слить два леса. Между всеми доменами леса установлены явные доверительные отношения, что является результатом транзитивных доверительных отношений Kerberos, установленных между доменами в каждом дереве. В обычных обстоятельствах правилом является использование единственного леса для каждой организации. Однако могут существовать причины, по которым после развертывания в компании может быть несколько лесов: Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server 18 слияние нескольких компаний, при котором в обеих компаниях уже развернуты службы Active Directory; по юридическим причинам, которые требуют полной изоляции каталогов друг от друга; для каждого подразделения требуется выполнение собственной установки; отсутствие планирования и связи между подразделениями; два подразделения организации имеют разные политики управления изменениями. В общем случае, наличие нескольких лесов отрицательно сказывается на инфраструктуре, поэтому этого следует избегать. Существуют некоторые неустранимые ограничения связи между лесами. Самым очевидным является отсутствие единого глобального каталога и нетранзитивные доверительные отношения. Результатом этого является топология, весьма сходная с топологией системы Windows NT. Хотя это, очевидно, не является проблемой при использовании системы Exchange 5.x, это мешает созданию однородной организационной структуры сервера Exchange 2000 Server. В предыдущих версиях сервера Exchange организационная структура сервера Exchange могла охватывать несколько не связанных доверенными отношениями доменов системы Windows NT. Данные сервера Exchange реплицировались по инфраструктуре обмена сообщениями независимо от топологии системы Windows NT. В сервере Exchange 2000 Server организационная структура Exchange является лесом службы Active Directory. Поэтому одна организационная структура сервера Exchange 2000 Server не может охватывать более чем один лес. Рассмотрим пример, показанный на следующей диаграмме. WINGTIP.COM Exchange 2000 A SUB1.WINGTIP.COM Exchange 2000 B SUB2.WINGTIP.COM Exchange 2000 C Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server 19 В этом примере организационная структура сервера Exchange называется WINGTIP.COM. Серверы Exchange 2000 могут находиться в одной или нескольких группах маршрутизации и администрирования, и все серверы ссылаются на единственный глобальный каталог и хранят свои сведения о настройках в одном и том же контексте именования настроек в этом лесу. Рассмотрим следующий пример и положим, что домен sub1.wingtip.com установлен как отдельный лес. Теперь имеется лес, называемый WINGTIP.COM, и еще один лес, называемый SUB1.WINGTIP.COM, что показано на следующей диаграмме. Это наиболее типичный пример организации с несколькими лесами, в которой подразделение автономно установило систему Windows 2000, что привело к созданию двух лесов. Если рассматривать ситуацию в аспекте пространства имен, это не создает трудностей, поскольку технически SUB1.WINGTIP.COM по-прежнему попадает внутрь связанного пространства имен WINGTIP.COM. Однако на этом интеграция заканчивается. Начнем с того, что существуют две организационные структуры сервера Exchange: WINGTIP.COM и SUB1.WINGTIP.COM. Это сразу же запрещает включение всех серверов Exchange 2000 в одни и те же группы администрирования или маршрутизации. Второй проблемой, связанной с двумя лесами в этом примере, является глобальный каталог и получившиеся в результате адресные книги. Хотя имеется возможность синхронизировать два леса с использованием программы Active Directory Connector (ADC), каждый из лесов будет видеть другой лес как почтовый контакт. Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server 20 Дополнительные негативные последствия такой ситуации связаны с маршрутизацией сообщений. Одной из лучших характеристик сервера Exchange 2000 Server считаются имеющиеся в нем возможности маршрутизации. В дополнение к автоматической репликации в рамках единственной группы маршрутизации, сервер Exchange 2000 Server также передает сведения о состоянии связи коннекторам группы маршрутизации. Эта информация позволяет серверу Exchange интеллектуально обходить сбойные участки связи и восстанавливать соответствующие логические связи, когда они становятся доступными. Последней проблемой, связанной с двумя лесами, является календарная информация. Хотя имеется возможность слияния представления единого списка адресов и общих папок, репликация календарной информации между лесами является невозможной. Режим работы домена Домен системы Windows 2000 может работать в двух режимах. В смешанном режиме контроллер домена системы 2000 для всех резервных контроллеров системы Windows NT 4.0 выглядит как основной контроллер домена Windows NT 4.0. При работе в смешанном режиме контроллер домена системы Windows 2000 реплицируется на контроллеры доменов нижнего уровня как обычно. Все контроллеры доменов системы Windows 2000 исходно находятся в смешанном режиме. Для того чтобы домен мог работать в основном режиме, необходимо, чтобы в сети отсутствовали контроллеры доменов системы Windows NT 4.0. В основном режиме нет необходимости реплицировать данные на резервный контроллер Windows NT 4.0 в формате, который может интерпретировать система Windows NT 4.0. Между этими двумя режимами существует незначительная разница. В смешанном режиме все данные должны предоставляться в систему Windows NT 4.0 в том виде, который эта система может интерпретировать. Из-за этого в смешанном режиме существуют определенные ограничения для групп, не допускающие использования универсальных групп безопасности, а также членства в группах и вложенных функций, отсутствующих в системе Windows NT 4.0. Второй эффект связан с размером и масштабированием базы данных SAM (Security Accounts Manager – диспетчер учетных записей безопасности). Очевидно, что в систему Windows NT 4.0 невозможно реплицировать базу данных SAM, размер которой больше того, который может обработать эта система. Это означает, что в смешанном режиме применяются те же самые ограничения размера домена, которые существуют в системе Windows NT 4.0. По этим соображениям рекомендуется как можно быстрее переходить на работу в основном режиме. Каждый домен в лесу может быть переведен в основной режим независимо от остальных. Следует иметь в виду, что домены, работающие в основном режиме, по-прежнему поддерживают членство рабочих станций и серверов нижнего уровня, а также проверку подлинности нижнего уровня. Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server 21 Планирование контроллеров домена В системе Windows 2000 контроллеры домена содержат копию своего контекста именования домена и копию контекстов именования конфигурации и схемы. Контроллеры домена также обеспечивают службы проверки подлинности как для системы Kerberos, так и для клиентов нижнего уровня. С помощью служебной программы dcpromo можно повысить роль серверов системы Windows 2000 до контроллера домена. Эту же служебную программу можно использовать для понижения роли контроллера домена до рядового сервера. Количество контроллеров домена, требующихся для каждого домена и для каждого сайта системы Windows 2000, является весьма спорным вопросом. Как минимум, в домене должно быть два контроллера домена, что снижает риск «исчезновения» домена в случае неисправности единственного контроллера домена. Помимо этих контроллеров, следует иметь еще, по меньшей мере, один контроллер домена для каждого сайта, чтобы обеспечить доступ как клиентам для проверки подлинности, так и приложениям, таким как Exchange 2000 Server. Однако существуют еще два дополнительных вопроса, влияющих на число контроллеров домена в любом данном сайте. Может оказаться так, что число мест, в которых размещается организация, столь велико, что нельзя поместить хотя бы по одному контроллеру домена в каждом сайте системы Windows 2000. В этом случае местонахождение, определенное как отдельный сайт, должно, вероятно, содержаться внутри другого определенного сайта, непосредственного обслуживаемого контроллерами домена. В противном случае, алгоритм охвата сайтов должен обеспечивать назначение контроллеров домена таким образом, чтобы они включали себя в определенные сайты, которые сами не содержат контроллеров домена. Этот механизм работает аналогично охвату сайтов серверами глобального каталога. Теперь рассмотрим, в каких случаях сервер Exchange 2000 должен играть роль контроллера домена. Эмпирическое правило для контроллеров домена состоит в следующем: если приложение, находящееся на этом сервере, интенсивно использует каталог или обслуживает множество клиентов нижнего уровня, следует повысить роль этого сервера до контроллера домена. Сервер Exchange 2000 Server часто попадает в эту категорию, за исключением тех случаев, когда используется топология с коммуникационными серверами и серверами хранения данных. В топологии с коммуникационными серверами и серверами хранения данных коммуникационный сервер обрабатывает проверку подлинности учетных данных клиента службой Active Directory. Следовательно, повышение роли коммуникационных серверов, обслуживающих большое количество пользователей, до контроллеров домена системы Windows 2000 дает очевидные преимущества. Планирование глобального каталога Если знать функции глобального каталога, его планирование становится легким делом. Благодаря тому, что настройка и репликация выполняются автоматически, при планировании глобального каталога требуется учесть всего несколько соображений. Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server 22 Самым простым является вопрос о числе серверов глобального каталога, требующихся для конкретного местонахождения. Именно здесь окупается высокий уровень интеграции со службой Active Directory. Ссылка на серверы глобального каталога производится с использованием записи DNS, в особенности тех элементов записи _GC SRV, которые относятся к конкретному сайту. В этом случае сайты Active Directory используются по существу, так как они связаны с глобальным каталогом. Этот механизм обсуждается в разделе «Сайты Active Directory». Серверы глобального каталога обычно интенсивно используются, и доступность глобального каталога имеет большое значение. Чтобы уменьшить нагрузку на глобальный каталог, каждый сервер Exchange 2000 имеет кэш обращений к каталогу, именуемый DSAccess. Это позволяет на определенный промежуток времени кэшировать просмотры каталога, выполняемые банком сообщений и другими процессами, например, агентом MTA (Message Transfer Agent – агент передачи сообщений), что избавляет от повторной посылки того же самого запроса в глобальный каталог. Все обращения к каталогу, кроме просмотра адресной книги клиентами MAPI и некоторой части входящей и исходящей SMTP-маршрутизации, проходят через процесс DSAccess. Такая возможность повышает быстродействие и сети, и серверов службы Active Directory. Для каждого сайта должны быть доступны, по меньшей мере, два сервера глобального каталога. Это обеспечивает доступность глобального каталога для клиентов и приложений. Организации, имеющие много сайтов, возможно, не смогут разместить два глобальных каталога в каждом сайте. Можно встретить такие случаи, когда в некоторых сайтах невозможно разместить даже один глобальный каталог. Хотя настоятельно рекомендуется, чтобы в каждом сайте был доступен, по крайней мере, один (предпочтительнее, два) глобальный каталог, служба Active Directory компенсирует те случаи, когда это невозможно, с помощью алгоритма охвата сайтов. Говоря вкратце, служба Active Directory автоматически присоединяет контроллеры домена и серверы глобального каталога к тем сайтам, в которых они отсутствуют. Это делается с использованием критерия наименьшей стоимости, определенного в топологии связи сайтов. Помимо атрибутов, принимаемых по умолчанию, для репликации в глобальный каталог применяется еще несколько атрибутов. Кроме них можно также использовать для репликации дополнительные атрибуты, перечисленные в следующей таблице. После установки Exchange 2000 Server В глобальном В глобальном Индекс Индекс каталоге каталоге Имя givenName Да Нет Да Да Инициалы initials Нет Нет Нет Нет Фамилия sn Да Нет Да Да Выводимое имя displayName Да Нет Да Да Не Не Псевдоним mailNickname Да Да применимо применимо Почтовый адрес streetAddress Нет Нет Нет Нет Город l Да Нет Да Да Область st Нет Нет Нет Да Почтовый код postalCode Нет Нет Нет Нет Атрибут Имя атрибута LDAP Стандарт Active Directory Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server 23 Атрибут Имя атрибута LDAP Индекс Страна Должность Компания Подразделение Офис Телефон Факс После установки Exchange 2000 Server В глобальном В глобальном Индекс каталоге каталоге Нет Нет Да Нет Нет Да Нет Нет Да Нет Нет Нет Стандарт Active Directory c Нет title Нет company Нет department Нет PhysicalDeliver y Да OfficeName telephoneNum Нет ber Facsimile TelephoneNumНет ber Домашний homePhone Нет телефон Руководитель manager Нет SMTP-адрес mail Да Специализирова нextensionAttrib Не ные атрибуты ute-xx применимо (все) Нет Да Да Нет Нет Да Нет Нет Нет Нет Нет Нет Да Нет Нет Да Да Да Не Нет применимо Нет Выбор дополнительных атрибутов для репликации в глобальный каталог необходимо хорошо спланировать. Возможно, потребуется включить следующие атрибуты. Функциональные атрибуты, которые в настоящее время доступны для пользователей почты. Возможно, потребуется использовать атрибуты, включенные в предыдущую систему Exchange, если они еще не включены. Дополнительные атрибуты, на которые должен ссылаться клиент. Сервер Exchange 2000 Server использует наиболее широко используемые атрибуты для репликации в глобальный каталог, однако специализированные приложения могут ссылаться на отсутствующие атрибуты. Процесс выявления атрибутов должен включать сводку атрибутов, употребляемых пользователями приложения Outlook. Возможно, еще важнее определить, требуют ли специализированные объекты CDO (Collaboration Data Objects) или приложения, использующие интерфейс ADSI, наличия в каталоге определенных данных. Например, приложение по учету наряд-заказов может требовать обращения к специализированному атрибуту, содержащему предел суммы расходов, утверждаемый менеджером. Во время установки сервер Exchange 2000 Server автоматически включает многие атрибуты, которые обычно требуются пользователям. Однако имеется ряд прочих важных атрибутов (например, подразделение) относительно включения которых требуется принять решение. Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server 24 Обращение клиентов к службе Active Directory Обращение через интерфейс MAPI На сервер Exchange 2000 может ложиться значительная непроизводительная нагрузка, поскольку, когда клиент запрашивает имя, DSProxy NSPI пересылает запросы MAPI DS из приложения Outlook 97 на сервер глобального каталога независимо от фактического содержимого запроса. Клиенты Outlook 2000 отсылаются непосредственно на сервер глобального каталога. Для каждого поддерживаемого сетевого протокола (IP, IPX и AppleTalk) и обработчика создается поток команд прослушивания. Поскольку каждый поток может прослушивать запросы от 512 параллельных клиентских подключений, по мере необходимости потоки добавляются. Ссылки на клиентские и серверные подключения осуществляются при помощи таблицы сопоставления сокетов, что гарантирует соответствующий ответ службы Active Directory клиенту, инициировавшему данный запрос. Если DSProxy не может подключиться к контроллеру домена, который был передан ему компонентом System Attendant (MAD), DSProxy инициирует обратный вызов компонент System Attendant. Затем System Attendant передает имя нового или другого контроллера домена в домене для использования процессом DSProxy; это называется перенацеливанием. Следует отметить, что инициировать процесс перенацеливания должен DSProxy, и передача этих данных не происходит, когда контроллер домена отключен от сети или удален из домена; иными словами, для начала процесса перенацеливания должен произойти отказ. Трафик и нагрузка, создаваемые процессом DSProxy Когда клиент пытается найти имя, происходит передача следующих сообщений. 1. Клиент MAPI посылает один сетевой пакет серверу почтового ящика Exchange 2000. Этот пакет содержит искомое имя в текстовом формате. 2. Сервер почтового ящика Exchange 2000 транслирует запрос и посылает его локальному глобальному каталогу. 3. Локальный глобальный каталог возвращает результат серверу почтового ящика Exchange 2000. 4. Сервер почтового ящика Exchange 2000 возвращает результат клиенту MAPI. 5. Клиент MAPI возвращает серверу почтового ящика Exchange 2000 подтверждение. 6. Сервер почтового ящика Exchange 2000 транслирует подтверждение локальному глобальному каталогу. Эти шесть этапов соответствуют шести кадрам, которые в процессе поиска в каталоге помещаются в сеть. Даже когда в каталоге производится поиск нескольких имен, фрагменты имени передаются в одном пакете запроса. Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server 25 Приложение Outlook 2000 Для обеспечения большей эффективности просмотра приложение Outlook 2000 использует при обращении к адресной книге другой метод. Клиент Outlook подключается к серверу Exchange, потому что по умолчанию здесь должна находиться служба каталогов, и для осуществления доступа проходит через процесс подключения к службе DSProxy. Однако после окончания начального этапа работы службы DSProxy клиенту посылается ссылка, сообщающая ему, что в будущем запросы к каталогу должны посылаться непосредственно контроллеру домена системы Windows 2000, содержащему глобальный каталог. Затем приложение Outlook вводит эту ссылку в профиль MAPI: HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows Messaging Subsystem \ Profiles \ profile name \ dca740…2fe182 Value Name: 001e6602 Value type: String Value data: \\DirectoryServer.domain (Пример. \\CHOOSY.catfood.microsoft.com) Механизм ссылок снижает нагрузку на сервер Exchange 2000 и уменьшает время просмотра адресной книги. Если сервер службы Active Directory, указанный в ссылке, неисправен или сменился, клиенту потребуется записать новую ссылку, для чего пользователь должен будет перезапустить приложение Outlook. В этом случае сервер Exchange 2000 передаст приложению Outlook новую ссылку. Для некоторых рабочих сред может потребоваться настройка, запрещающая серверу Exchange передавать ссылку. Такая настройка реализуется с помощью следующего параметра реестра: HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ MSExchangeSA \ Parameters Value Name: No RFR Service Value type: DWORD Value data: 0x1 Схема Служба Active Directory по умолчанию содержит свыше 120 классов и 800 атрибутов. Во время установки сервера Exchange 2000 Server к этой схеме добавляются еще 155 классов и 818 атрибутов. Кроме того, 270 атрибутов отмечаются для репликации в глобальный каталог. Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server 26 Во время установки в организации первого сервера Exchange 2000 используются несколько файлов LDIF, содержащих дополнения к схеме. Поэтому неудивительно, что для выполнения этих изменений требуется 30 минут. В течение всего этого времени должен быть доступен хозяин схемы для леса Active Directory. Кроме того, контекст безопасности, выполняющий установку сервера Exchange 2000 Server, должен быть членом группы «Администраторы схемы». Схема службы Active Directory расширена путем добавления новых атрибутов, большинство из которых имеет названия, начинающиеся с ms-Exch…. Кроме того, существующие атрибуты Active Directory также модифицированы, что может повлиять на представление информации пользователю приложения Outlook. По мере роста организации схема Active Directory может разместить эти изменения с помощью дополнительных расширений и модификаций. Следует, однако, отметить, что модификации схемы Active Directory, относящиеся к атрибутам глобального каталога, вызывают не просто изменение атрибута, а полную репликацию глобального каталога. Компаниям, развертывающим службу Active Directory и планирующим в будущем установить сервер Exchange 2000, имеет смысл импортировать специфичные для сервера Exchange изменения схемы до того, как размер службы Active Directory станет большим. Это можно сделать одним из следующих способов: выполнить программу установки сервера Exchange 2000 с ключом /SchemaOnly; вручную импортировать файлы LDIF, находящиеся на установочном компакт-диске сервера Exchange 2000 Server. Ручной импорт модификаций схемы, определенных в файлах LDIF, можно выполнить с помощью служебной программы LDIFDE, используя следующий синтаксис: LDFIDE –I –f <имя_файла> Примечание. Запускаемая из командной строки служебная программа LDIFDE.EXE входит в состав системы Windows 2000. Для получения дополнительных сведений о программе LDIFDE просто введите имя исполняемого файла или обратитесь к справочной системе Windows 2000. Группы Используемые типы и области действия групп в значительной степени определяются конкретными бизнес-потребностями. Однако разные типы групп оказывают различное влияние на работу службы Active Directory и сервера Exchange 2000 Server, и при сопоставлении групп следует рассмотреть эти вопросы. Использование универсальных групп может оказать весьма существенное влияние, поскольку изменение членства в универсальной группе приводит к репликации в глобальный каталог всех сведений о членстве. Хотя служба Active Directory поддерживает репликацию на уровне атрибутов, сведения о членстве в группе содержатся в многозначном атрибуте объекта группы, Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server 27 который реплицируется полностью. Следовательно, если группа большая, существенно повысится объем трафика репликации. Чтобы уменьшить риск значительного роста объема трафика, можно помещать объекты пользователей в глобальные группы, а затем вкладывать эти группы в универсальную группу. Когда членство пользователя в глобальной группе изменяется, объект универсальной группы остается неизменным, поэтому никакого трафика репликации не создается. Недостатком такого способа настройки является то, что глобальные группы не публикуют сведения о членстве непосредственно на серверах глобального каталога, и это не позволяет клиенту Outlook просматривать сведения о членстве на уровне получателя. Служба SMTP должна развертывать группы, которым предназначены сообщения. Сведения о членстве в локальных группах домена и глобальных группах, находящихся в локальном домене, могут быть получены с локальных контроллеров домена. Однако сведения о членстве в универсальных группах можно получить путем запроса к локальному серверу глобального каталога. Если сообщение послано локальной группе домена или глобальной группе, созданной в другом домене, или если универсальная группа содержит глобальные группы, находящиеся в других доменах, существуют два варианта развертывания. Переслать сообщение удаленному домену для развертывания в этом домене. Развернуть локально, однако произвести непосредственный LDAP-вызов контроллера домена в удаленном домене для получения сведений о членстве в группе. При этом подразумевается, что между развертывающим сервером и контроллером удаленного домена существует прямое IP-подключение. Единственный недостаток локального развертывания групп состоит в том, что процесс удаленного получения сведений о членстве в группе может замедлить доставку сообщения и создать больший сетевой трафик, чем требовалось бы для отправления сообщения в локальный домен для последующего развертывания. Группы также используются для управления доступом к общим папкам. В отличие от предыдущих версий сервера Exchange, банку сообщений не требуется развертывать группу (т. е. список рассылки), когда пользователь осуществляет доступ к общей папке. Поскольку все таблицы доступа (ACL) к общим папкам размещаются вне службы Active Directory, сведения о членстве в группе передаются в маркерах доступа пользователей и предоставляются серверу Exchange при подключении к ресурсу. Число членов в группе не должно превышать 5000 независимо от того, являются ли группы группами безопасности или группами распространения. Хотя это ограничение не устанавливается принудительно, его следует рассматривать как строгий предел. Спецификация структуры службы Active Directory гарантирует репликацию вплоть до 5000 членов, но не более. В тех случаях, когда в группах требуется иметь свыше 5000 членов, следует использовать вложенные группы, чтобы уменьшить число объектов в одной группе. Материалы следующих разделов помогут принять решение о наиболее подходящей реализации групп. Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server 28 Использование глобальных групп Ранее в этом документе обсуждалось определение глобальных групп, и затрагивался вопрос их использования. Вопрос о влиянии глобальных групп в среде сервера Exchange 2000 Server остается открытым. Следует вспомнить, что в глобальный каталог реплицируется только определение глобальной группы (но не сведения о членстве в группе). На репликацию этот фактор влияет положительно, поскольку определение группы занимает в глобальном каталоге очень мало места (~180 байт). Рассмотрим, однако, что происходит, когда сервер Exchange 2000 Server должно определить членство в группе, основываясь на получении сообщения. Это зависит конкретного сервера развертывания (Expansion server), который задан в самой группе. Выбор сервера развертывания указывает, где сервер Exchange запрашивает службу Active Directory для определения членства в группе. Хотя в реализациях предыдущих версий сервера Exchange это часто опускалось, в многодоменной среде всегда следует настраивать этот параметр. Очевидной рекомендацией является выбор того сервера Exchange 2000, который находится в том же домене, что и эта группа. Кроме того, следует также рассмотреть возможность выбора такого сервера Exchange, который одновременно является контроллером домена службы Active Directory. Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server 29 Использование локальных групп домена Основной административной функцией локальных групп домена является объединение точек ссылок, требующихся для установления разрешений на доступ к сетевым ресурсам. Поэтому локальная группа домена обычно содержит вложенные глобальные группы. Локальные группы домена являются ссылкой для таблиц управления доступом (ACL) конкретного ресурса. Областью действия этого типа групп является локальный домен. В глобальном каталоге хранится только само определение, поэтому, как и в случае глобальных групп, развертывание должно производиться на локальном контроллере домена. Использование универсальных групп Универсальные группы являются наиболее гибким типом групп службы Active Directory. Если домены организации работают в основном режиме, универсальные группы могут являться либо группами распространения, либо группами безопасности. Если домены организации работают в смешанном режиме, универсальные группы могут быть только группами распространения. Универсальные группы следует использовать, когда необходимо как глобальное членство, так и глобальное использование; в противном случае следует использовать глобальные группы или локальные группы домена. Это делается по следующим двум соображениям. Универсальные группы и сведения о членстве в этих группах реплицируются в глобальный каталог. Теоретически членами универсальной группы могут быть глобальные группы, что уменьшает влияние на глобальный каталог. Однако на практике круг членства в универсальной группе имеет тенденцию к расширению и содержит множество учетных записей пользователей. В этом случае влияние на репликацию и объем реплицируемых данных существенно возрастают. Второе соображение связано с вопросами безопасности. Универсальные группы могут быть вложены глобальным образом. Поэтому легко непреднамеренно довести вложение универсальных групп до такого уровня, когда они будут содержать непредусмотренных членов. Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server 30 Обзор использования групп Следующая таблица поможет определить характеристики и использование типов и областей действия групп. Группы безопасности Преимущества Назначив адрес SMTP, можно сделать такую группу почтовой; таким образом, эта группа может играть роль списка рассылки. Могут использоваться для предоставления разрешений на доступ к общим папкам в сервере Exchange 2000 Server. Полезны, если требуется одновременно назначить сетевые разрешения для членов этой группы. Благодаря тому, что эти группы могут действовать в качестве псевдогрупп распространения, уменьшается число групп в службе Active Directory и системе обмена сообщениями, а также время, необходимое для их обслуживания. Недостатки Случайное предоставление членства в этой группе может привести к несанкционированному доступу к сетевым ресурсам. Маркер пользователя содержит сведения о членстве в группе. Членство в большом числе групп увеличивает размер маркера доступа. Группы распространения Преимущества Могут использоваться для массовой передачи почтовых сообщений. Могут использоваться как универсальные группы даже в доменах, работающих в смешанном режиме. Недостатки Нельзя предоставлять разрешения на доступ к сетевым ресурсам. Нельзя предоставлять разрешения на доступ к общим папкам. Локальные группы домена Преимущества Сведения о членстве не публикуются на сервере глобального каталога; следовательно, изменение членства в этих группах не вызывает репликацию глобального каталога. Клиенты Outlook могут просматривать полные сведения о членстве пользователей, если они находятся в том же домене, что и данная группа. Членами группы могут быть пользователи из любого домена. Недостатки Нельзя предоставлять разрешения на доступ к сетевым ресурсам и общим папкам в других доменах. Пользователи приложения Outlook в других доменах не могут просматривать полные сведения о членстве пользователей. Если развертывание производится в удаленном домене, сведения о членстве можно получить только по требованию. Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server 31 Глобальные группы Преимущества Сведения о членстве не публикуются на сервере глобального каталога; следовательно, изменение членства в этих группах не вызывает репликацию глобального каталога. Клиенты Outlook, которые размещаются в том же домене, в котором находится данная группа, могут просматривать полные сведения о членстве пользователей. Можно предоставлять разрешения на доступ к сетевым ресурсами и общим папкам, находящимся в любом домене. Недостатки Могут содержать объектыполучатели только из того же домена. Пользователи приложения Outlook в других доменах не могут просматривать полные сведения о членстве пользователей. Если развертывание производится в удаленном домене, сведения о членстве можно получить только по требованию. Универсальные группы Преимущества Членами группы могут быть любые объекты данного леса. Пользователи приложения Outlook в любом домене могут просматривать полные сведения о членстве пользователей. Никогда не требуется получать сведения о членстве с контроллеров удаленных доменов. Недостатки Изменения сведений о членстве в группах вызывают репликацию глобального каталога. Универсальные группы безопасности могут быть созданы только в том случае, если домен работает в основном режиме. Широкие возможности универсальных групп могут вызывать проблемы безопасности из-за непреднамеренного вложения объектов. Группы распространения можно использовать в доменах, работающих в смешанном режиме. При реализации различных типов групп и областей действия возникают компромиссы. Возможно, наилучшей стратегией является использование различных типов групп в зависимости от требований, предъявляемых к списку рассылки. При планировании групп следует придерживаться логического подхода, что не дает запутаться пользователям и администраторам. Группы необходимо определять в следующем порядке. Сначала определяются группы безопасности, удовлетворяющие требованиям принятой модели администрирования. Сюда относятся группы, требующиеся для управления доступом к общим папкам. Далее определяется, какие из этих групп должны быть почтовыми. Не рекомендуется использовать все группы для массовой передачи почтовых сообщений. Затем определяются требующиеся дополнительные списки рассылки, и эти списки определяются как группы распространения. Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server 32 Безопасность Управление доступом Сервер Exchange 2000 Server использует все преимущества обеспечения безопасности каталога и системы, предоставляемые службой Active Directory и базовой системой безопасности Windows 2000. Основой всей системы безопасности в Windows 2000 является таблица ACL (Access Control List – таблица управления доступом). Управление доступом в системе Windows 2000 работает почти так же, как управление доступом в системе Windows NT 4.0. Существует, однако, одно существенное различие. Управление доступом в системе Windows NT осуществляется весьма прямолинейно и основано на уровне объекта. Служба Active Directory поддерживает систему безопасности, как на уровне объектов, так и на уровне атрибутов, что позволяет реализовать очень высокий уровень административной детализации для всех аспектов системы. Следует особо отметить следующие аспекты службы Active Directory. Доступ к общим папкам. Определения общих папок становятся объектами в службе Active Directory, поэтому для достижения требуемого уровня доступа можно настроить различные атрибуты безопасности. Доступ к почтовому ящику. Единое определение для пользователей применяется также к правам доступа, связанным с почтовым ящиком пользователя. Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server 33 Для каждого пользователя почтового ящика имеется ряд страниц свойств, которые определяют специфические для Exchange настройки. Эти настройки применяются также и к правам доступа к почтовому ящику. Администратор осуществляет доступ к правам доступа к почтовому ящику (Mailbox Rights) из страницы настроек дополнительных свойств. Другим преимуществом интеграции с системой Windows 2000 является единый интерфейс для настройки параметров безопасности. В этом случае специфичные для сервера Exchange свойства безопасности выводятся в стандартном диалоговом окне редактора безопасности. Параметры настроек сервера Exchange 2000 Server также хранятся в службе Active Directory. Это означает, что можно делегировать любой компонент сервера Exchange 2000 Server. Такой уровень делегированного доступа позволяет развертывать сервер Exchange 2000 Server в соответствии с требованиями бизнеса независимо от реализованной модели администрирования. Характеристики безопасности, связанные с данными настройки, можно распространить на серверы Exchange 2000, целые группы администрирования или маршрутизации, или любое подмножество таких группировок. Можно делегировать даже некоторые протоколы и виртуальные серверы. Учитывая детализацию администрирования, возможную в системе Windows 2000, можно сказать, что сценариев администрирования, которые нельзя было бы реализовать, просто не существует. Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server 34 Администрирование При работе в основном режиме сервер Exchange 2000 Server дает администраторам возможность разделить операции администрирования и маршрутизации, используя группы администрирования и группы маршрутизации. Эта ситуация вполне аналогична принятой в системе Windows 2000 концепции использования пространства имен для задач администрирования почти независимо от существующей структуры сети, которая учитывается в топологии сайта. Членство в группах администрирования сервера Exchange 2000 Server определяется исключительно требованиями администрирования без учета физической топологии сети или размещения серверов. У сервера Exchange и службы Active Directory имеется много общих компонентов, которые по своей природе являются единственными и администрируются как таковые. Однако прочие компоненты сервера Exchange 2000 Server являются специфичными для него и требуют отдельного интерфейса администрирования. Администрирование всех компонентов производится в рамках единой системы, представленной консолью управления (MMC – Microsoft Management Console). Администрирование учетных записей пользователей выполняется исключительно при помощи оснастки «Active Directory – пользователи и компьютеры». После установки сервера Exchange 2000 Server становятся доступными дополнительные страницы свойств для пользователей почтовых ящиков и объектов-почтовых групп. Страница свойств сервера Exchange определяет псевдоним почтового ящика пользователя и свойства хранилища почтовых ящиков, специфичные для этого пользователя. Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server 35 Пространство имен адресов электронной почты можно первоначально определить с помощью свойств. На этой странице можно увидеть сгенерированные адреса электронной почты и внести дополнения и изменения в эти адреса. На вкладке Exchange Features (Компоненты Exchange) первоначально отображаются параметры администрирования службы Instant Messaging Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server 36 (Служба оперативных сообщений) и службы Voice Messaging (Служба голосовых сообщений) для определенного пользователя. Показанная ранее страница свойств Advanced Feature (Дополнительные возможности) содержит ряд параметров администрирования на уровне пользователя, например, права доступа к почтовому ящику, основной сервер службы ILS и индивидуальные настройки протокола. Все остальное администрирование производится в основном с помощью диспетчера системы. Даже в этом случае администрирование компонентов, таких как общие папки, может производиться как с помощью диспетчера системы, так и с помощью диспетчера пользователей и компьютеров. Сервер Exchange 2000 Server полностью полагается на сетевые службы системы Windows 2000, администрируемые с помощью средств этой системы. Однако такие службы как служба IIS, администрируются как из диспетчера служб Интернета, так и из диспетчера системы. Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server 37 На предыдущей иллюстрации в левой и правой панелях показаны соответственно Exchange System Administrator (Администратор системы обмена сообщениями) и диспетчер служб Интернета. Как можно видеть в интерфейсах администрирования, многие из виртуальных каталогов, определенных в службе IIS, присутствуют также и в администраторе Exchange System Administrator. Фактически эти виртуальные каталоги порождаются самим сервером Exchange. Во время установки и настройки сервера Exchange 2000 Server создается несколько виртуальных серверов. В службе IIS эти виртуальные серверы реализуются как виртуальные каталоги. Администрирование виртуальных серверов и виртуальных каталогов службы IIS производится с помощью обоих интерфейсов. Основной контроль разрешений и состояния служб и выполняется сервером Exchange. Некоторые функции, специфичные для связанных с Вебом аспектов этих служб, могут администрироваться с помощью диспетчера служб Интернета. К таким функциям относится обычное веб-администрирование, например, указание URL-адресов, разрешения на доступ к каталогам и включение документов. Программа Active Directory Connector Программа Active Directory Connector (ADC) состоит из модуля репликации и сопоставления, а также из служб доступа как для сервера Exchange 5.5, так и для службы Active Directory. Программа ADC обеспечивает прекрасный механизм репликации каталога Exchange 5.5 совместно с каталогом Active Directory. Программа ADC функционирует через административно задаваемые соглашения репликации, которые определяют направление репликации, расписание репликации и размещение реплицированных объектов. Эта программа особенно хорошо подходит для использования в следующих случаях. Инициализация службы Active Directory С точки зрения администратора реализация сервера Exchange 5.5 представляет собой полный периодически обновляемый корпоративный каталог. В этом случае программа ADC используется, чтобы обеспечить начальную синхронизацию при заполнении службы Active Directory. Для этого устанавливается одностороннее соглашение, в котором почтовые ящики Exchange реплицируются в службу Active Directory. Управление учетными записями Exchange Программа ADC является отличным средством для переноса управления из традиционно используемой среды Exchange в службу Active Directory. После того, как начальная синхронизация между сервером Exchange и службой Active Directory выполнена, соглашение подключения изменяется так, что с сервером Exchange синхронизируются только данные, содержащиеся в службе Active Directory. Это позволяет производить полное администрирование учетных записей пользователей и соответствующих почтовых ящиков из системы Windows 2000. Использование такого подхода позволяет избавиться от совместного администрирования, часто существующего в организациях. Организации, в которых в настоящее время обязанности по администрированию сайта выполняются совместно несколькими подразделениями, оценят возможность разделения административных полномочий в рамках службы Active Directory. Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server 38 После репликации объектов пользователей в службу Active Directory, можно использовать службу Active Directory для администрирования как учетных записей пользователей Windows 2000, так и почтовых ящиков Exchange. При установке программа ADC производит ряд добавлений в схему службы Active Directory, чтобы отразить выявленные дополнительные атрибуты пользователей. Кроме того, устанавливаются дополнительные мастера администрирования и описатели экрана. Эти изменения оказывают на службу Active Directory символическое воздействие. Имеется множество дополнительных материалов, посвященных программе ADC. Конкретные сведения относительно развертывания и использования программы см. по адресу http://www.microsoft.com/exchange/prodinfo/2000/ActiveDirectory.htm. Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server 39 Резюме В системе Windows 2000 и службе Active Directory введен ряд новых понятий и технологий, которые повышают функциональные возможности инфраструктуры сети. Сервер Exchange 2000 Server является первым приложением, полностью использующим все аспекты службы Active Directory. Сервер Exchange 2000 Server поддерживает большинство структур службы Active Directory, не накладывая на них дополнительных ограничений. По-видимому, управление доступом и использование групп являются теми областями, которые требуют особого внимания при планировании. Поскольку группы Active Directory используются и для управления доступом, и для массового обмена почтовыми сообщениями, чтобы не допустить непреднамеренного изменения членства в группах, отрицательно воздействующего на безопасность системы, требуется тщательное планирование. Планирование службы Active Directory системы Windows 2000 с учетом будущей установки сервера Exchange 2000 Server 40