Службы каталогов - интеграция Exchange с Windows 2000 Active
advertisement
® Сервер Exchange Средство для совместной работы и обмена сообщениями клиент-сервер Интеграция каталога со службой Active Directory системы Windows®2000 Информационный документ Аннотация В этом информационном документе дается обзор возможностей интеграции сервера Microsoft® Exchange со службой каталогов Active Directory операционной системы Windows® 2000, а также описываются преимущества этой интеграции. Переход к использованию общего каталога снижает совокупную стоимость владения, обеспечивает единообразный способ отображения всех объектов, предоставляет единый пункт администрирования сетью всего предприятия. Кроме того, наличие агента репликации между службой каталогов Exchange и службой каталогов Active Directory обеспечивает синхронизацию всех объектов, благодаря чему достигается полная обратная совместимость для всех клиентов Exchange, а также предлагается унифицированная программа администрирования. Это весьма упрощает переход к использованию службы Active Directory и обеспечивает сосуществование с ней. © Корпорация Майкрософт (Microsoft Corporation), 1999. Все права защищены. Информация, содержащаяся в настоящем документе, представляет текущую точку зрения корпорации Майкрософт по обсуждаемым вопросам на момент публикации. В условиях меняющейся рыночной конъюнктуры данную информацию не следует рассматривать в качестве какого бы то ни было обязательства со стороны Майкрософт, корпорация не может гарантировать точность информации, представленной после даты публикации. Данный документ имеет чисто информативный характер. КОРПОРАЦИЯ МАЙКРОСОФТ НЕ ПРЕДОСТАВЛЯЕТ НИКАКИХ ГАРАНТИЙ, НИ ЯВНО ВЫРАЖЕННЫХ, НИ ПОДРАЗУМЕВАЕМЫХ В СВЯЗИ С ДАННЫМ ДОКУМЕНТОМ. Эмблема BackOffice, Microsoft, Outlook, Visual Basic, Windows и Windows NT, являются охраняемыми товарными знаками корпорации Майкрософт в США и других странах. Java является товарным знаком фирмы Sun Microsystems. Названия других продуктов или предприятий, указанные здесь, могут быть товарными знаками соответствующих владельцев. Microsoft Corporation • One Microsoft Way • Redmond, WA 98052-6399 • USA 0299 СОДЕРЖАНИЕ ВВЕДЕНИЕ .................................................................................. 1 ВВОДНАЯ ИНФОРМАЦИЯ ......................................................... 2 Служба каталогов Microsoft Exchange 2 Служба каталогов Active Directory операционной системы Windows 2000 3 ВЫГОДЫ ИНТЕГРАЦИИ ............................................................ 6 Снижение стоимости владения 6 Унифицированное хранение всех данных каталога 6 Гибкая архитектура 6 Улучшение репликации 6 Репликация и согласование по свойствам 6 Улучшенная топология репликации 7 Усиление безопасности 7 Разрешения для каждого свойства 7 Детализированная модель разрешений 7 Унифицированное управление 7 Улучшение масштабируемости 8 Расширяемая схема 8 Улучшение доступа к каталогу 8 Протокол LDAP 8 Интерфейс поставщика службы имен MAPI 1.0 9 Единый общий интерфейс программирования – ADSI 9 Резюме раздела 10 КАК СЛУЖБА ACTIVE DIRECTORY И ВЫПУСК «PLATINUM» СЕРВЕРА EXCHANGE РАБОТАЮТ СОВМЕСТНО ................... 11 Сведения о получателях 11 Данные о конфигурации 12 Службы 13 Сайты 13 Новый сайт в системе Windows 2000 14 Как взаимодействуют сайты 15 Управление 17 Доступ клиентов 18 Резюме раздела 19 МИГРАЦИЯ И СОСУЩЕСТВОВАНИЕ ...................................... 21 Агент репликации 21 Как работают агенты репликации 22 Начальная синхронизация 22 Добавочная синхронизация 22 Фаза I. Сосуществование с Windows 2000 23 Фаза II. Переход (обновление) к использованию сервера Exchange «Platinum» 23 Фаза III. Сосуществование сервера «Platinum» с прежними версиями серверов Exchange 24 Резюме раздела 25 СЦЕНАРИИ ................................................................................ 26 Новая установка сервера Exchange «Platinum» 26 Обновление многосерверного однодоменного одиночного сайта до сервера Exchange «Platinum» 26 Обновление последующих серверов Microsoft Exchange вызывает следующие действия программы установки. 28 Обновление последнего сервера Microsoft Exchange вызывает следующие действия программы установки. 28 Обновление многодоменной и многосайтовой организации 29 ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ (И ОТВЕТЫ НА НИХ) ...... 30 Необходимо ли при обновлении сервера Exchange до сервера выпуска «Platinum» обновлять и все клиенты почты? 30 Могут ли предыдущие версии сервера Exchange и сервер выпуска «Platinum» сосуществовать на одном сайте? 30 Какие данные из каталога будут потеряны при обновлении до сервера выпуска «Platinum»? 30 Каково отношение между сайтом Exchange и новым сайтом Active Directory? 30 Как будут маршрутизироваться сообщения между сайтами? 30 Будут ли общие папки использовать стандартные списки управления доступом системы Windows 2000? 31 Будут ли все существующие коннекторы и шлюзы работать совместно с сервером Exchange «Platinum»? 31 Будет ли в выпуске «Platinum» сервера Exchange поддерживаться интерфейс API каталога Exchange? 31 Будет ли программа администрирования Exchange версий 4.0 или 5.x работать со службой Active Directory? 31 Будут ли представления адресной книги и списки управления доступом перенесены в службу Active Directory? 31 ЗАКЛЮЧЕНИЕ .......................................................................... 32 Дополнительная информация 32 ВВЕДЕНИЕ В ближайшем будущем появятся два новых выпуска программного обеспечения корпорации Майкрософт, которые значительно расширят возможности налаживания и поддержания связей между предприятиями. Это – операционная система Microsoft Windows® 2000 и следующий основной выпуск сервера Microsoft Exchange, имеющий кодовое имя «Platinum». При работе с сервером Exchange «Platinum» клиенты и серверы будут использовать службу каталогов Active Directory системы Windows 2000 для получения универсального доступа ко всем пользователям и к данным конфигурации. Такая интеграция каталогов обеспечит еще большую масштабируемость, повышенную безопасность и встроенную поддержку протокола Интернета LDAP (Internet Lightweight Directory Access Protocol) версии 3.0, а также предоставит в распоряжение пользователей Exchange единый пункт администрирования. Мы понимаем, что любое обновление программного продукта требует дополнительных затрат. Поэтому главная цель проекта «Platinum» – обеспечение беспроблемного обновления продукта и возможность взаимодействия с предыдущими версиями серверов Exchange и клиентов Exchange. Сервер Exchange «Platinum» благодаря унификации соответствующих классов объектов и дерева каталога предоставляет в распоряжение администраторов Exchange и системы Windows адекватную согласованную модель администрирования. Кроме того, благодаря усовершенствованной схеме репликации между службами каталогов Active Directory и Exchange администрирование получателями для Exchange в масштабе всего предприятия, обслуживаемого сервером Exchange, может осуществляться с помощью консоли управления MMC (Microsoft Management Console) системы Windows 2000. Эти два новых выпуска позволяют существенно продвинуться в реализации нового подхода, разрабатываемого корпорацией Майкрософт, – «Нулевого администрирования для Windows®». Реализации этого подхода, целью которого является предоставление единого упрощенного пункта администрирования, мы уделяем самое серьезное внимание, в дальнейшем он станет неотъемлемой частью всех выпусков этих программных продуктов. В данном информационном документе обсуждаются преимущества перехода к использованию службы Active Directory, а также показывается, насколько просто это можно сделать. Интеграция каталога со службой Active Directory системы Windows 2000 1 ВВОДНАЯ ИНФОРМАЦИЯ Для читателя, не знакомого с сервером Microsoft Exchange и системой Windows 2000 Server, в этом разделе дается обзор службы каталогов Exchange и краткое описание новой службы каталогов Active Directory системы Windows 2000. Служба каталогов Microsoft Exchange Служба каталогов Exchange была представлена в первом выпуске приложения Exchange в марте 1996 года. После выпуска приложение Exchange было развернуто в нескольких тысячах организаций, размер каталогов варьировался от десяти до сотен тысяч элементов. Служба каталогов Exchange явилась первым распределенным реплицируемым каталогом для среды с несколькими основными репликами (в которой, к примеру, каждый сервер Exchange содержит полную, синхронно изменяемую копию каталога), используемым для обмена сообщениями. Служба каталогов Exchange обеспечивает следующие возможности. Полный набор функций для работы в среде с несколькими основными репликами, позволяющий использовать единый пункт администрирования. Репликация, основанная на вызове удаленных процедур (RPC – Remote Procedure Calling) в пределах сайта, и межсайтовая почтовая репликация. Эта возможность гарантирует, что все обновления каталогов быстро и эффективно переносятся на все серверы Exchange в организации. Для межсайтовой репликации можно определить график регулярного обновления данных с передачей необходимых сведений по электронной почте, что позволяет осуществлять репликацию как на подключенные, так и на неподключенные удаленные серверы. Клиент-серверное (RPC) взаимодействие, поддерживающее мощный, полностью индексированный поиск. Серверный поиск означает, что все запросы обрабатываются на уровне сервера. Поскольку ненужные данные отфильтровываются на уровне сервера, пользователь получает только существенную информацию, что экономит его время и уменьшает число передач данных, а это помогает поддерживать быстродействие сети. Масштабируемость и база данных на основе транзакций. Сервер Microsoft Exchange может масштабироваться до системы, состоящей из сотен тысяч пользователей, поэтому его возможности в этом смысле практически не ограничены. Наличие базы данных на основе транзакций означает, что имеются записи всех обновлений. Наличие записей последних обновлений упрощает и делает безопасным восстановление данных в случае отказа сервера. В Exchange версии 5.5 максимальный размер этой базы данных увеличен с 16 гигабайт до размера практически не ограниченного. Универсальный протокол каталогов LDAP с возможностью доступа только для чтения. Наша версия Exchange 5.5 будет включать в себя полный протокол LDAP версии 3.0 для обеспечения чтения и записи и поддержки программирования посредством интерфейса ADSI. 2 Интеграция каталога со службой Active Directory системы Windows 2000 Представления адресной книги. Эта возможность позволяет администратору предлагать пользователям на выбор несколько представлений адресной книги, которые могут использоваться для доступа к именам и адресам в подгруппах, например, в подгруппах «Маркетинг» или «Юго-запад», а не осуществлять поиск в полной адресной книге компании. Порядок сортировки с учетом языка. Эта возможность позволяет администратору определить языки, с учетом которых сервер Exchange будет сортировать ответы. Таким образом, когда клиент электронной почты подключается к серверу Exchange и указывает свой язык, например французский, сервер будет возвращать ему все списки, отсортированные соответствующим образом. Служба каталогов Active Directory операционной системы Windows 2000 Специалисты корпорации Майкрософт рассматривают службу каталогов Active Directory в качестве фундамента, на котором будет строиться здание распределенных вычислительных систем следующего поколения. Служба Active Directory, часть операционной системы Windows 2000, объединяет в себе лучшие черты службы поиска Интернета DNS (Domain Name Service) и стандарты именования X.500. Такое сочетание обеспечивает предприятиям возможности взаимодействия, которые нужны им для унификации и управления многочисленными пространствами имен, существующими в настоящее время в разнообразных аппаратных и программных средах корпоративных сетей. Служба Active Directory включает в качестве своего центрального протокола LDAP и потому может работать через границы различных операционных систем, объединяя различные пространства имен. Эта служба каталогов следующего поколения может быть включена в каталоги конкретных приложений и может управлять ими, так же как другими каталогами, используемыми в сетевых операционных системах. Такой широкий набор функций позволяет создать службу каталогов общего назначения, что уменьшает административную нагрузку и затраты, связанные с поддержанием нескольких пространств имен. Служба каталогов Active Directory обеспечивает единый пункт администрирования для всех опубликованных ресурсов, в том числе файлов, периферийных устройств, подключений узлов, баз данных, веб-подключений, пользователей, других произвольных объектов и служб. Эта служба каталогов следующего поколения поддерживает также иерархические пространства имен, что позволяет группировать объекты согласно структуре организации. Интеграция каталога со службой Active Directory системы Windows 2000 3 Служба Active Directory, обеспечивая поддержку нескольких хранилищ, в каждом из которых может размещаться более 10 миллионов объектов, предоставляет очень высокий уровень масштабируемости. В то же время она проста в использовании для предприятий меньших размеров. В сочетании с разработанной специалистами корпорации Майкрософт новой распределенной файловой системой, являющейся частью операционной системы Windows 2000, служба Active Directory еще больше приблизит достижение цели – создание единого глобального сетевого пространства имен. Служба Active Directory полностью интегрирована в систему Windows 2000 Server. Windows 2000 Server является наилучшим файловым сервером и сервером печати, которые требуются для обработки любой деловой информации, а также для обеспечения общего доступа к ресурсам. По этим характеристикам она превосходит любую другую из имеющихся в настоящее время операционных систем. Она также является лучшим из доступных на сегодня серверов приложений и обеспечивает наилучшее в отрасли соотношение масштабируемость/цена. Кроме того, система Windows 2000 Server является великолепной платформой связи, поскольку предлагает такие возможности, как службы удаленного доступа RAS (Remote Access Services), интерфейс TAPI (Telephony Application Programming Interface) и протокол PPTP (Point to Point Tunneling Protocol). Служба каталогов Active Directory обеспечивает возможность взаимодействия на базе X.500 без наличия в системе средств, обслуживающих X.500. Служба Active Directory реализует все протоколы, необходимые для обеспечения связи по стандарту X.500, в том числе подмножества протокола DAP (DAP – Directory Access Protocol) 1993 года, протокол DSP (Directory System Protocol), протокол DISP (Directory Information Shadowing Protocol) и, как уже отмечалось, протокола LDAP. Такой набор протоколов обеспечивает высокий уровень взаимодействия, необходимый для управления современными разнородными сетями. 4 Интеграция каталога со службой Active Directory системы Windows 2000 Службе каталогов Active Directory присущи следующие возможности и преимущества. Поддержка открытых стандартов, что облегчает межплатформное использование службы каталогов, в том числе поддержку протокола DNS и стандартных протоколов, таких как LDAP и HTTP. Поддержка стандартных форматов имен, что облегчает процесс миграции и упрощает использование службы каталогов. Наличие сервера глобального каталога, содержащего копию каждого объекта каталога в организации. Богатый набор интерфейсов API, которые могут легко использоваться как создателем сценариев, так и программистом, работающим с языками программирования C или C++. Несложное, интуитивно понятное управление при помощи простой иерархической структуры доменов и использования метода перетаскивания. Расширяемость объекта каталога за счет использования расширяемой схемы. Быстрый поиск и публикация в Интернете при помощи глобального каталога. Быстрота и удобство обновлений благодаря использованию репликации в среде с несколькими основными репликами. Поддержка служб с «коротким сроком жизни», таких как службы разговоров, телефония по протоколу IP и другие службы конференций. Обратная совместимость с предыдущими версиями операционной системы Windows NT. Взаимодействие со средой NetWare. Интеграция каталога со службой Active Directory системы Windows 2000 5 ВЫГОДЫ ИНТЕГРАЦИИ Корпорация Майкрософт привержена подходу «Нулевое администрирование для Windows». Действуя в этом направлении, специалисты корпорации разработали платформу для полной интеграции со службой каталогов Active Directory системы Windows 2000. При создании выпуска «Platinum» сервера Microsoft Exchange учитывалось требование обеспечения полной интеграции, благодаря чему удалось сделать переход к использованию службы Active Directory очень простым, сохранив при этом обратную совместимость с предыдущими версиями Exchange. Такая интеграция дает выгоды как нынешним, так и будущим пользователям Microsoft Exchange, обеспечивая применение согласованной стратегии использования каталогов, обладающей многочисленными преимуществами. Снижение стоимости владения Наиболее значительным преимуществом интеграции каталога является снижение стоимости владения по сравнению с поддержкой двух (или более) служб каталогов и наборов данных. Это преимущество обусловливается наличием следующих двух возможностей. Унифицированное хранение всех данных каталога Служба каталогов Active Directory будет служить единой универсальной базой данных для всех данных о пользователях и ресурсах. Сервер Exchange «Platinum» сервера Microsoft Exchange будет обращаться к этой базе, обеспечивая согласованное представление данных для операционной системы, приложения Exchange и других приложений. Гибкая архитектура Служба каталогов Active Directory обеспечивает гибкую архитектуру, которая позволяет перемещать пользователей (почтовые ящики) между сайтами и переименовывать их, не затрагивая нежелательным образом личные адресные книги или старые почтовые сообщения. К службе Active Directory придается также набор средств для переименования, слияния и разделения доменов, что еще больше повышает возможности настройки каталогов. Улучшение репликации Служба каталогов Active Directory операционной системы Windows 2000 привносит несколько существенных новых возможностей для расширения и обогащения набора средств репликации приложения Exchange, что приводит к снижению сетевого трафика и времени, затрачиваемого на обработку. Репликация и согласование по свойствам Служба каталогов Active Directory будет выполнять репликацию только для измененных свойств. Если, например, администратор меняет телефонный номер пользователя, то на другие серверы будет реплицирован лишь измененный номер, а не объект-пользователь целиком. Такое обновление по свойствам значительно снижает трафик репликации как внутри сайта, так и между сайтами. 6 Интеграция каталога со службой Active Directory системы Windows 2000 Улучшенная топология репликации Служба каталогов Active Directory для репликации внутри сайта и между сайтами использует более эффективную модель репликации. Служба Active Directory будет поддерживать любую топологию репликации, включая, например, кольцевую. Такая гибкость позволяет иметь несколько путей репликации к различным сайтам, и система становится менее чувствительной к отказу в каком-то одном пункте. Усиление безопасности Служба каталогов Active Directory заменяет модель безопасности системы Windows NT и добавляет две важных возможности. Разрешения для каждого свойства С помощью службы Active Directory администраторы могут устанавливать права на любое свойство любого объекта, предоставляя, например, возможность группе пользователей менять адрес своего офиса и номер телефона, не позволяя изменять адрес электронной почты. Детализированная модель разрешений Служба каталогов Active Directory применяет все права непосредственно к каждому объекту. Не нужно перемещаться по иерархии, проверяя, имеет ли пользователь права на те или иные данные – сам объект свидетельствует, имеет ли пользователь доступ к этим данным. Эта возможность не только резко увеличивает быстродействие, но также избавляет администраторов от необходимости учитывать далекие иерархические последствия, которые могут проявиться в результате предоставления пользователю разрешения на доступ к определенным данным. Унифицированное управление В службе каталогов Active Directory имеются некоторые усовершенствования, позволяющие упростить и унифицировать управление. Ранее в приложении Microsoft Exchange можно было изменить объект на сервере Exchange лишь на том сайте, на котором объект был создан. Служба Active Directory позволяет изменять любой объект на любом сервере, имеющем полную реплику этого сайта, что весьма повышает гибкость репликации. Консоль управления MMC представляет собой единое средство для выполнения всех операций в среде Windows и при работе с приложением Exchange. Консоль MMC предоставляет также средство вебадминистрирования, реализованное совместно с Active Server Pages и интерфейсом ADSI – что позволяет в полном объеме осуществлять управление в системе Windows 2000 при помощи любого обозревателя Интернета, например обозревателя Microsoft Internet Explorer. Интеграция каталога со службой Active Directory системы Windows 2000 7 Улучшение масштабируемости Данные свидетельствуют, что теперь каталог Exchange может обслужить больше запросов клиентов, чем в среднем генерируется на любом отдельном сервере Exchange. Если приложение Exchange использует службу Active Directory, то можно минимизировать число компьютеров, необходимых для работы службы каталогов. При уменьшении числа компьютеров, на которых работает служба каталогов, объем сетевого трафика репликации и уровень задержки репликации также снижаются. При меньшем числе серверов каталогов и более развитой модели репликации существенно улучшается масштабируемость – при этом не снижается эффективность работы сетевых служб и не требуется увеличение мощности серверов Exchange. Расширяемая схема Служба каталогов Active Directory может сама определять широкое разнообразие классов, таких как служба, сайт, компьютер и организационное подразделение. Кроме того, служба Active Directory обладает возможностью расширения благодаря применению интерфейса Active Directory API (ранее известного под названием OLE DS), что позволяет администраторам и приложениям гибче подходить к трактовке определений классов объектов (objectClasses) или к созданию новых классов объектов, таких как очереди сообщений, объекты-конфигурации и объекты-мониторы. Такая расширяемость дает администраторам такие возможности, как добавление новых атрибутов к представлениям адресной книги (например «Текущий проект»), или к множеству атрибутов, специфических для данной компании (например «Код сотрудника»), или к перечню для утверждения (например «Утверждение расходов»). Улучшение доступа к каталогу К службе Active Directory могут обращаться самые разные клиенты, в том числе Exchange, Outlook™, Outlook Express (через адресную книгу Windows), а также любой клиент протокола LDAP. Протокол LDAP LDAP является протоколом промышленного стандарта для доступа к службе каталогов и используется как основной протокол для доступа к службе каталогов Active Directory. Пользуясь протоколом LDAP, любой клиент, работающий на любой платформе, поддерживающей протокол LDAP версий 2.0 или 3.0, может производить поиск, чтение и запись любого объекта каталога. Этот протокол существенно увеличивает степень открытости выпуска «Platinum» сервера Microsoft Exchange. 8 Интеграция каталога со службой Active Directory системы Windows 2000 Интерфейс поставщика службы имен MAPI 1.0 Служба каталогов Active Directory для обеспечения полной обратной совместимости поддерживает также интерфейс поставщика службы имен NSPI (Name Service Provider Interface), используемый клиентами Exchange версий 4.0 и 5.x. В сочетании с агентом репликации (обсуждается ниже) эта возможность также гарантирует, что записи существующей личной адресной книги, автономной адресной книги, а также ответы на старые сообщения электронной почты будут по-прежнему правильно работать. Единый общий интерфейс программирования – ADSI Служба каталогов Active Directory обеспечивает единый общий интерфейс для обслуживания потребностей программирования. Службу Active Directory можно использовать для формирования запросов ресурсов, их учета и управления ими при работе с любой службой каталогов безотносительно к тому, какая сетевая среда связана с этими ресурсами. Служба Active Directory позволяет отвлечься от особенностей служб каталогов различных поставщиков сети, предоставляя единый набор интерфейсов служб каталогов для управления сетевыми ресурсами. Этот общий интерфейс программирования, ADSI, облегчает выполнение обычных задач администрирования, таких как добавление новых пользователей, управление принтерами и нахождение ресурсов в распределенной вычислительной среде. Программируя запросы с использованием ADSI, пользователь не обязан больше заботиться о нюансах соответствующей службы каталогов. Интерфейс ADSI позволяет пользователям Exchange работать с известными им языками создания сценариев (например, с Visual Basic®, Scripting Edition [VBScript], Java™ и Perl) при чтении, записи или поиске в каталоге. Разработка сценариев на разных языках программирования поддерживается на клиентских компьютерах обозревателем Internet Explorer 3.0, а на сервере – страницами ASP (Active Server Pages) сервера IIS (Internet Information Server). Интерфейс ADSI предоставляет разработчикам приложений возможность полного доступа к каталогу при использовании языка C++ с помощью интерфейса COM. Интеграция каталога со службой Active Directory системы Windows 2000 9 Резюме раздела Благодаря выпуску «Platinum» сервера Microsoft Exchange пользователи этого приложения смогут воспользоваться всеми преимуществами интеграции каталогов (используя службу каталогов Active Directory операционной системы Windows 2000). Кроме того, учитывая, что сервер Exchange «Platinum» создавался с целью обеспечить максимальную простоту в реализации и использовании при сохранении обратной совместимости, пользователи смогут уверенно работать с ним. Полная интеграция со службой Active Directory существенно приближает к практической реализации подхода «Нулевого администрирования для Windows» и предоставляет администраторам следующие преимущества. Снижение стоимости владения, поскольку требуется поддерживать только один каталог. Улучшение репликации благодаря возможности репликации по свойствам и более совершенной топологии репликации. Повышение безопасности благодаря использованию разрешений на отдельные свойства и детализированной модели разрешений. Унификация администрирования, обеспечивающая упрощение управления каталогом. Улучшение масштабируемости за счет использования централизованной службы каталогов и более развитой модели репликации. Использование расширяемой схемы, предоставляющей широкий набор возможностей для настройки. Использование протоколов доступа клиента, в том числе LDAP и MAPI 1.0. Использование единого общего интерфейса программирования. Все эти богатые возможности работают совместно, обеспечивая широкие возможности управления и полную интеграцию со службой Active Directory. 10 Интеграция каталога со службой Active Directory системы Windows 2000 КАК СЛУЖБА ACTIVE DIRECTORY И ВЫПУСК «PLATINUM» СЕРВЕРА EXCHANGE РАБОТАЮТ СОВМЕСТНО При работе с сервером Exchange «Platinum» все данные, хранимые сейчас в службе каталогов Microsoft Exchange, будут представлены в службе Active Directory. Эти данные можно разделить на две части: получатели (почтовые ящики, списки рассылки, внешние получатели); данные о конфигурации (коннекторы, мониторы, протоколы и так далее). Сведения о получателях В службе Active Directory получатели Exchange хранятся в контейнере домена как объекты Windows 2000 одного из следующих основных видов. Почтовый ящик. В службе Active Directory почтовый ящик – это пользователь системы Windows, который «может работать с почтой», иначе говоря, пользователь, у которого имеется адрес электронной почты и указано какому серверу Exchange должна отправляться его почта и нужно ли пользователю подключаться для получения своей почты. Списки рассылки. Поскольку группы Windows используются прежде всего для обеспечения безопасности (например, группе может быть выдано разрешение на доступ к общим файлам), то для представления списков рассылки Exchange будет использоваться новый класс объектов – список рассылки. Кроме того, группа Windows также может работать с почтой, так что пользователи смогут посылать сообщения, адресуя его группе. Внешние получатели. Вообще говоря, внешний получатель будет представлен в качестве контакта службы Active Directory, который может работать с почтой; то есть контакт, у которого имеется адрес электронной почты и (необязательно) указаны сведения, позволяющие программе Exchange правильно маршрутизировать его почту.1 При интеграции приложения Exchange со службой каталогов Active Directory любому объекту в службе Active Directory можно легко предоставить возможность получения электронной почты. Чтобы объекты собственных классов Windows 2000 или объекты классов, создаваемых независимыми производителями, имели возможность получать почту, следует изменить определение схемы объекта, включив в него класс «Дополнительный получатель Exchange» (Exchange-Recipient Auxiliary) и установив для объекта почтовый атрибут LDAP. Такое изменение позволяет серверу Exchange «Platinum» узнать, каким образом следует маршрутизировать адресованную объекту почту. Например, объект Windows 2000 Server может получить возможность получать почту, и его атрибуту почта (mail) может быть придано значение server_admin@company.com. После этого пользователи смогут посылать сообщения непосредственно серверу (например, с просьбой предоставить дополнительное место на диске), и такие сообщения будут направляться администратору сервера. 1Внешний получатель, имеющий «первичную учетную запись Windows NT», представляет собой пользователей Windows NT. Интеграция каталога со службой Active Directory системы Windows 2000 11 Данные о конфигурации Все данные о конфигурации, хранимые в настоящий момент в каталоге и реестре Exchange, будут храниться в службе каталогов Active Directory. В службе Active Directory есть специальный контейнер (контекст именования) «Конфигурация», реплицируемый на каждый сервер Active Directory организации; в этом контейнере и хранится вся информация о конфигурации Exchange. Поскольку контейнер «Конфигурация» реплицируется на все серверы, он может быть изменен на любом сервере. Exchange Компания Acme Сайт главного офиса Конфигурация Компания Acme Дополнения Адресация Детальные шаблоны Генераторы адресов элект Шаблоны адресов One-Off Подключения Репликация каталога Мониторы Протоколы Серверы Сервер Exchange-1 Протоколы Сервер Exchange-2 Протоколы Контейнер получателя Схема Сайт филиала в Нью-Йорке Сайт филиала в Швейцарии O=Internet;DC=com;DC=Acme;DC=Corp Встроено Компьютеры Компьютер-1 Компьютер-2 Конфигурация Лицензирование Разделы Схема Службы Microsoft Exchange Windows NT Сайты Сайт главного офиса Конфигурация Microsoft Exchа Подключения Мониторы Протоколы Серверы Сервер Exchange-1 Протоколы Сервер Exchange-2 Протоколы Конфигурация NTDS Сайт филиала в Нью-Йорке Сайт филиала в Швейцарии Система Пользователи Рис. 1. Структуры приложения Exchange и служба каталогов Active Directory. 12 Интеграция каталога со службой Active Directory системы Windows 2000 В контейнере «Конфигурация» есть два вложенных контейнера, которые для приложения Exchange представляют особенный интерес: службы, куда серверные приложения могут помещать глобальные сведения о конфигурации, и сайты, где серверные приложения могут хранить данные о конфигурации конкретных сайтов. Отметим, что средства управления службы Active Directory, как и средства управления приложения Exchange, скрывают большую часть этих сложностей для облегчения работы. Службы В контейнере \Конфигурация\Службы приложение Exchange создаст контейнер «Microsoft Exchange» – контейнер, содержащий глобальные сведения по маршрутизации, данные о репликации каталогов для осуществления репликации между серверами Active Directory и расположенными на более низком уровне серверами Exchange, а также сведения о сайтах Exchange, расположенных на более низких уровнях. Эти сведения используются в процессе миграции и для обеспечения сосуществования с серверами Exchange предыдущих версий. Сайты В контейнере \Конфигурация\Сайт есть контейнер для каждого сайта Active Directory в организации (например «Лос-Анджелес», «Нью-Йорк», «Сиэтл»). По определению каждый сервер Exchange существует на одном из сайтов Active Directory. Приложение Exchange создаст вложенный контейнер «Конфигурация Microsoft Exchange» на сайте, где оно установлено, а в этом контейнере будут содержаться контейнеры для коннекторов, мониторов, протоколов, серверов и репликации каталогов (для системы Microsoft Mail и других систем) – аналоги контейнеров, существующих в настоящее время в службе каталогов Exchange в контейнере «Конфигурация». Интеграция каталога со службой Active Directory системы Windows 2000 13 Рис. 2. Унифицированное дерево DIT (Directory Information Tree). Новый сайт в системе Windows 2000 Сайт Exchange определяется как группа серверов, имеющих возможность поддерживать связь друг с другом при помощи постоянных синхронных подключений, обладающих высокой пропускной способностью. В службе Active Directory это определение выражается по-иному: в нем говорится, что сайтом является набор IP-подсетей. Разница между этими двумя вариантами определений состоит в том, что в службе Active Directory пользователи, или получатели, отображаются в домены, а не в сайты. 14 Интеграция каталога со службой Active Directory системы Windows 2000 После выхода в свет выпуска «Platinum» сервера Exchange (а также будущих версий продуктов семейства BackOffice) больше не будет деления на сайты Exchange или сайты SMS (Systems Management Server) – будет только единое определение сайта. При установке администратором сервера Exchange этот сервер будет автоматически включаться в состав сайта, на котором он физически расположен, на основе его IP-адреса. Механизм маршрутизации Exchange будет использовать этот сайт при автоматической генерации оптимальной топологии передачи сообщений. Служба Active Directory будет использовать сведения по топологии сайта для репликации каталогов. Программы администрирования Windows обеспечат широкие возможности для управления сайтами, что позволит администраторам осуществлять перемещение серверов между сайтами, разделять и объединять сайты. Как взаимодействуют сайты Домен Windows 2000, подобно домену Windows NT, является административной единицей службы каталогов, которая может содержать компьютеры, учетные записи пользователей, группы и контакты. Сайт Windows 2000, как упоминалось выше, это группа серверов Active Directory, которые могут поддерживать связь друг с другом при помощи обладающих высокой пропускной способностью постоянных синхронных подключений, определяющих, каким образом данные каталогов реплицируются в пределах организации. На практике прямого соответствия между доменами и сайтами Windows 2000 не существует. Несколько возможных видов организации Windows 2000 показаны на приведенных ниже схемах. Сайт в Лос-Анджелесе Сайт в Нью-Йорке Сайт в Сан-Диего Контроллер домена для домена Acme Рис. 3. На этой схеме показано, что у компании Acme в трех городах имеется три сайта, сетевые подключения между которыми являются относительно медленными. В настоящее время они входят в один домен, причем администрирование системы в целом выполняются на сайте в Лос-Анджелесе. Интеграция каталога со службой Active Directory системы Windows 2000 15 Сайт в Лос-Анджелесе Контроллер домена «Поддержка» Контроллер домена «Разработка» Контроллер домена «Продажи» Рис. 4. Компания расположена в едином центре с высокоскоростными подключениями между всеми пользователями и серверами, поэтому у нее имеется только один сайт. Однако для целей администрирования этой компанией выделено три разных домена для каждого из функциональных подразделений: «Поддержка», «Продажи» и «Разработка». Сайт на Гавайях Сайт в Германии Сайт в Европе Сайт в Северной Америке Сайт в Польше Сайт на Аляске Сайт в Мексике Сайт в Великобритании Контроллер домена «Поддержка» Контроллер домена «Продажи» Контроллер домена «Разработка» Рис. 5. Эта транснациональная корпорация имеет два «осевых» сайта: «Европа» и «Северная Америка». В каждом из этих двух сайтов имеются три небольших подчиненных сайта, которые используются для торговых представительств компании. Как и на рис. 4, для целей администрирования определены три различных домена для каждого из функциональных подразделений компании. 16 Интеграция каталога со службой Active Directory системы Windows 2000 В «чистой» среде сервера Exchange «Platinum» и Windows 2000 сайты Exchange видны не будут – будут видны только сайты Windows 2000, содержащие серверы Exchange, и домены Windows 2000, содержащие объекты, обладающие возможностью получения электронной почты (объектпользователь, объект-группа, объект-контакт и так далее). Однако при переходе к серверу Exchange «Platinum» с предыдущих версий Exchange получатели Exchange имеют прямые связи с объектами в домене Windows 2000 и большая часть данных конфигурации Exchange непосредственно сопоставлена с сайтами Windows 2000 для обеспечения перехода к использованию службы Active Directory. Интересно отметить, что в отличие от существующих версий приложения Exchange пользователи не привязаны к сайтам – объекты-пользователи находятся в доменах. Причем перемещение пользователей между сайтами (например, из Лос-Анджелеса в Нью-Йорк) совершается незаметно для пользователя. Связанные с этим операции могут состоять в следующем. Осуществляется перемещение хранилища сообщений электронной почты пользователя с сервера Exchange в Лос-Анджелесе на сервер Exchange в Нью-Йорке. Производится изменение соответствующей записи пользователя в каталоге, чтобы указать, что новые сообщения электронной почты должны направляться в Нью-Йорк. Теперь все новые почтовые сообщения будут направляться на сервер в НьюЙорке; кроме того, можно будет отвечать на все сообщения, которые пользователь рассылал из Лос-Анджелеса – ответы будут направляться на нью-йоркский сервер. Эта возможность позволяет сохранить актуальность прежних записей личной и автономной адресных книг. Управление Сейчас многие из задач управления системой Microsoft Exchange выполняются путем изменения записей в службе каталогов Exchange. При переходе к серверу Exchange «Platinum» возникает похожая модель, но значительно обогащенная за счет усиления безопасности, репликации по свойствам и реплик с глобальной записью. Как говорилось выше, все данные о конфигурации, хранимые в настоящее время в службе каталогов Exchange, будут перенесены в службу каталогов Active Directory, как и большинство нынешних установок реестра для приложения Exchange. Интеграция каталога со службой Active Directory системы Windows 2000 17 В составе Windows 2000 будет поставляться консоль управления MMC, которая является модулем, объединяющим все средства администрирования Windows, называемые «оснастками». Оснастка администрирования службы каталогов будет главным средством управления для всех объектов, расположенных в домене, в том числе таких, как объект-пользователь, объектгруппа, объект-контакт и объект-компьютер. Эта оснастка обеспечит выполнение основных функций по созданию, изменению и удалению объектов и организационных подразделений, а также перемещения объектов между организационными подразделениями. После установки сервера Exchange «Platinum» к схеме службы Active Directory будет добавлен новый набор атрибутов (таких, например, как предельный размер сообщения и ограничения по доставке) и классов объектов (например «Список рассылки» и «Общая папка»). Для управления этими специфическими для приложения Exchange элементами в приложении Exchange будет расширена оснастка администрирования службы каталогов с целью графического отображения новых атрибутов и классов, благодаря чему они станут доступны для просмотра и изменения. Кроме того, приложением Exchange предоставляется оснастка или набор оснасток для управления всеми специфическими для Exchange данными конфигурации, такими как коннекторы, мониторы и серверы. Доступ клиентов Сервер Exchange «Platinum» будет осуществлять поддержку всех существовавших ранее клиентов Microsoft Exchange и клиентов, пользующихся стандартами Интернета. Доступ к каталогам клиенты Интернета будут производить через доступ к службе Active Directory, используя для этого протокол LDAP. Клиенты Exchange 5.5, а также клиенты Exchange версий 4.0 или 5.0 с последним пакетом обновления, будут «перенаправлены» к серверу службы Active Directory. В этом сценарии при запуске клиента Exchange сервер Exchange оповещает клиента, что сервер каталогов, с которым ему следует налаживать связь, перемещен на другой сервер (в данном случае на сервер Active Directory) и сообщает имя нового сервера для связи. 18 Интеграция каталога со службой Active Directory системы Windows 2000 Рис 6. После обновления клиент Exchange использует интерфейс MAPI RPC для обеспечения прямой связи со службой Active Directory при осуществлении поиска в каталоге, а также с сервером Exchange «Platinum» (например, для чтения и отправки электронной почты). Переадресовка существующего клиента к службе Active Directory дает возможность консолидировать компьютеры, на которых должна работать служба каталогов, что позволяет снизить затраты на оборудование и уменьшить нагрузку на сеть, связанную с необходимостью репликации изменений каталогов. Другой вариант – служба каталогов Active Directory, работающая в качестве сервера глобального каталога, может быть запущена непосредственно на сервере Exchange; в этом случае клиент будет обращаться непосредственно к одному и тому же компьютеру как для работы с каталогом, так и для работы с сообщениями. Резюме раздела Благодаря явному определению взаимосвязи между сайтами Windows 2000 и спецификациями нового выпуска «Platinum» сервера Microsoft Exchange оказалось возможным разработать простой и эффективный план осуществления миграции. Информация, хранимая в настоящее время в каталоге Microsoft Exchange – в том числе сведения о получателях (их почтовых ящиках, списках рассылки и внешних получателях) и конфигурации (коннекторы, мониторы, протоколы и т. п.), – будет теперь храниться в службе Active Directory. В результате появления сервера Exchange «Platinum» останется только одно определение сайта, и программы администрирования Windows обеспечат широкие возможности для управления сайтами, что позволит администраторам осуществлять перемещение серверов между сайтами, разделять и объединять их. Интеграция каталога со службой Active Directory системы Windows 2000 19 В составе Windows 2000 будет поставляться консоль управления MMC, которая является модулем, объединяющим все средства администрирования Windows, включая Exchange. Кроме того, выпуск «Platinum» сервера Microsoft Exchange будет осуществлять поддержку существовавших ранее клиентов Microsoft Exchange и клиентов, пользующихся стандартами Интернета. Сервер Exchange «Platinum», обладающий этими возможностями, разрабатывался, чтобы обеспечить простоту и эффективность работы с новым сервером Active Directory. 20 Интеграция каталога со службой Active Directory системы Windows 2000 МИГРАЦИЯ И СОСУЩЕСТВОВАНИЕ В данном разделе рассматривается роль агента репликации Exchange в процессе миграции, описываются шаги, необходимы для осуществления перехода с имеющейся версии Exchange на выпуск «Platinum» с сервером Active Directory системы Windows 2000, а также рассказывается, как существующий сервер Exchange будет взаимодействовать с сервером Exchange «Platinum». Агент репликации Агент репликации Exchange, который будет доступен вскоре после выпуска системы Windows 2000, играет важную роль в процессе перехода к использованию службы Active Directory и обеспечении сосуществовании с ней. Агент репликации поддерживает соответствие обновлений между каталогами, обеспечивая единый пункт управления для всех получателей Exchange в службе Active Directory. Он также достаточно гибок, чтобы работать на любом компьютере сети. Агент репликации Exchange обладает следующими возможностями и особенностями. Двунаправленная репликация. Агент репликации может передавать в службу Active Directory изменения, внесенные в службе каталогов Exchange, и наоборот. Такая двунаправленность репликации означает, что администратор для обеспечения большей гибкости может управлять изменениями из любого каталога. Полная достоверность объектов-получателей. Объекты, такие как почтовый ящик, список рассылки и внешний получатель, реплицируются в службу Active Directory. В процессе репликации все данные адресной книги передаются без потерь. Настраиваемые сопоставления атрибутов. Агент репликации предоставляет администраторам механизм для определения соответствия между атрибутами Exchange и атрибутами Active Directory, включая 10 атрибутов Exchange. Репликация только изменений. На уровне объектов репликация выполняется только для изменений. Например, если из 100 000 пользователей были изменены только 20, то только для этих 20 пользователей и будет выполнена репликация – это снижает время дублирования и передачи, а также сетевой трафик. Почтовая репликация на удаленные и отключенные сайты (когда на таких сайтах запущен агент репликации). Изменения, внесенные на сайте, могут быть реплицированы на внесетевой сайт (на котором запущен агент репликации). Обновления могут быть скомпонованы и переданы как сообщение электронной почты и посланы на удаленный сайт для репликации. Интеграция каталога со службой Active Directory системы Windows 2000 21 Как работают агенты репликации Агент репликации работает на двух уровнях: начальная синхронизация и последующая добавочная синхронизация. Начальная синхронизация В процессе начальной синхронизации агент репликации выполняет следующие действия. Обновляет схему службы Active Directory, включая в нее все атрибуты и классы объектов Exchange. Сопоставляет почтовые ящики Exchange пользователям Windows, сопоставляет внешних получателей контактам, а списки рассылки – спискам рассылки Exchange Distribution. Проставляет на всех объектах штамп различающего имени Exchange DN (Distinguished Name). Этот штамп отмечает объект как имеющий сопоставление. Имя DN также позволяет сохранять обратную совместимость объекта с существующими записями личных и автономных адресных книг. Сопоставляет пользователей Windows, не имеющих почтовых ящиков, но имеющих адреса электронной почты, внешним получателям в Exchange и сопоставляет контакты, не имеющие почтовых ящиков, но имеющие адреса электронной почты, внешним получателям в Exchange. Последнее действие гарантирует, что пользователи, имеющие адрес электронной почты, будут представлены в списке глобальных адресов Exchange. Добавочная синхронизация Уникальный номер синхронизации USN (Unique Synchronization Number) – это монотонно возрастающее значение. После каждого обновления каталога измененный объект штампуется текущим значением USN (это выполняется службой каталогов), а затем значение USN увеличивается. В последующих добавочных синхронизациях агент репликации выполняет следующие действия. Запрашивает все объекты Exchange с номером USN, большим, чем номер последней синхронизации. Если этот объект Exchange существует в службе Active Directory, агент репликации его обновляет. Если нет, он создает этот объект в службе Active Directory. Выполняет аналогичный запрос для всех объектов Active Directory с номером USN большим, чем номер последней синхронизации. Если этот объект существует на сервере каталогов Exchange, агент репликации его обновляет. Если нет, он создает этот объект. Как будет показано в следующих разделах, такая двунаправленная репликация между службами каталогов Exchange и Active Directory является важнейшим компонентом любого способа проведения миграции и обеспечения сосуществования. 22 Интеграция каталога со службой Active Directory системы Windows 2000 Фаза I. Сосуществование с Windows 2000 При обновлении до Windows 2000 существующие серверы Exchange будут работать точно так же, как работали с серверами Windows NT 4.0. Серверы Exchange продолжат проверку пользователей посредством стандартных интерфейсов прикладного программирования Windows (которые Windows 2000 будет по-прежнему поддерживать). После обновления сервера, на котором работает Exchange, до Windows 2000 сразу же станут заметными некоторые преимущества Windows 2000: более высокое быстродействие, поддержка самонастраивающихся устройств «plug and play», возможность использования нового набора средств управления Windows (для службы каталогов, серверов, мониторинга и т.д.). Однако до проведения обновления до сервера Exchange «Platinum» единого каталога у вас не будет. Фаза II. Переход (обновление) к использованию сервера Exchange «Platinum» Перед обновлением сервера Microsoft Exchange до сервера выпуска «Platinum» важно отметить, что основной пользователь Windows для всех почтовых ящиков и внешних получателей должен быть пользователем (или группой) Windows 2000. Это связано с тем, что все атрибуты Exchange (имя, фамилия и т. п.), которые должны быть перенесены, у пользователя Windows NT 4.0 не существуют. Обновление до сервера Exchange «Platinum» производится также просто, как выполнение обычной программы установки, которая предлагает пользователю ответить на несколько основных вопросов. В процессе установки будут осуществлены следующие операции высокого уровня. Будет обновлена схема службы Active Directory. Схема службы Active Directory будет расширена и включит в себя все классы объектов, например коннектор, и атрибуты, например квоту сообщений, связанные с Exchange. Обновленный сервер Exchange будет установлен на сайте Active Directory, где он в настоящий момент существует (на основании его адреса IP). Объекты будут скопированы в службу Active Directory. Каждый объект, имеющий основную учетную запись Windows (объект-почтовый ящик и объекты-внешние получатели) будет синхронизирован со своей учетной записью пользователя Windows. Все прочие объекты будут созданы как новые объекты в службе Active Directory. Если в организации есть другие серверы Exchange, будет установлен агент репликации для синхронизации всех будущих изменений либо с каталогом Exchange, либо с каталогом Active Directory. Интеграция каталога со службой Active Directory системы Windows 2000 23 После обновления сервера будет иметь место следующая ситуация: Службы сервера Exchange «Platinum» будут непосредственно взаимодействовать со службой Active Directory для чтения сведений о пользователях и конфигурации. В многосерверной среде все объекты получателей и конфигурации Exchange могут управляться из службы Active Directory (посредством оснастки Exchange MMC), а все изменения могут быть реплицированы на серверы Exchange, предшествовавшие выпуску «Platinum». В многосерверной среде все объекты получателей и конфигурации Exchange с обновленного сервера будут также доступны другим серверам Exchange того же сайта и могут управляться прежней программой администрирования Exchange на сервере Exchange, предшествовавшем выпуску «Platinum». Все клиенты Интернета при поиске получателя, выполняемом с использованием протокола LDAP, будут взаимодействовать непосредственно со службой Active Directory. Все существующие клиенты Exchange версий 4.0 и 5.x на обновленном сервере будут взаимодействовать со службой Active Directory, используя существующий протокол RPC, подразумевая, что: (а) на них работает соответствующий пакет обновления2 или (б) на этом сервере Exchange работает служба Active Directory. Такие «унаследованные» клиенты могут со временем быть обновлены до новых, более эффективных клиентов сервера Exchange «Platinum». Фаза III. Сосуществование сервера «Platinum» с прежними версиями серверов Exchange Способность сервера Exchange «Platinum» сосуществовать с уже имеющимися серверами и сайтами Microsoft Exchange является важнейшим условием для осуществления процесса миграции. При разработке системы было предусмотрено, что значительная часть процесса миграции будет выполняться автоматически и будет осуществляться непосредственно в процессе установки. Обновленный сервер Exchange будет отображаться существующим и на старом сайте Exchange, и на новом сайте Active Directory. Изменения каталогов при помощи агента репликации будут распространяться на оба каталога. Сервер Exchange «Platinum» может обслуживать как клиентов Exchange MAPI, так и клиентов Интернета. Сервер Exchange «Platinum» при помощи службы Active Directory обеспечивает единый пункт администрирования всех получателей во всей организации, обслуживаемой приложением Exchange. Прежде чем начнется поставка выпуска «Platinum» сервера Exchange, пользователям будет поставлен пакет обновления для каждой версии клиента Exchange; в этот пакет войдет программа перенаправления клиента, о которой говорилось выше. 2 24 Интеграция каталога со службой Active Directory системы Windows 2000 Резюме раздела Агент репликации Microsoft Exchange станет доступен вскоре после выпуска операционной системы Windows 2000. Этот агент поддерживает соответствие обновлений и обеспечивает единый пункт администрирования. Агент репликации выполняет начальную синхронизацию, отображая каталог Exchange в каталог Active Directory, после чего производит добавочные синхронизации – через определенные администратором интервалы – регулярно обновляя данные между каталогами. При обновлении существующего сервера Exchange до сервера выпуска «Platinum» можно заметить, что большинство способов миграции были встроены непосредственно в процедуру установки сервера Exchange «Platinum». Такое простое и эффективное обновление позволяет воспользоваться многочисленными ресурсами, доступными в службе Active Directory, при гарантированном выполнении требования обратной совместимость. Интеграция каталога со службой Active Directory системы Windows 2000 25 СЦЕНАРИИ Ниже приводятся три сценария, иллюстрирующие процесс установки и обновления для некоторых типичных конфигураций. Новая установка сервера Exchange «Platinum». Обновление до многосерверного одиночного сайта. Обновление многодоменной и многосайтовой организации до сервера Exchange «Platinum». Новая установка сервера Exchange «Platinum» При проведении новой установки сервера Exchange «Platinum» основной контроллер доменов должен работать под управлением Windows 2000. После запуска программа установки автоматически выполняет следующие действия. 1. Обновляет схему службы Active Directory до сервера Exchange «Platinum». 2. Добавляет сервер Exchange «Platinum» в сайт службы Active Directory. 3. Устанавливает и запускает службы сервера Exchange «Platinum». После окончания установки будет иметь место следующая ситуация. Службы сервера Exchange «Platinum» непосредственно взаимодействуют со службой Active Directory для чтения сведений о пользователях и конфигурации. Все управление сервером Exchange «Platinum» выполняется через оснастку MMC для сервера «Platinum»; Все вновь установленные клиенты сервера Exchange «Platinum» при поиске получателя с использованием протокола LDAP взаимодействуют непосредственно со службой Active Directory. Обновление многосерверного однодоменного одиночного сайта до сервера Exchange «Platinum» При обновлении существующего сервера Exchange до сервера выпуска «Platinum» основной контроллер доменов должен работать под управлением Windows 2000. После запуска программа установки автоматически выполняет следующие действия. 1. Обновляет схему службы Active Directory до сервера Exchange «Platinum». 2. Добавляет сервер Exchange «Platinum» в сайт службы Active Directory. 3. Переносит объекты получателя Exchange в службу Active Directory. 4. Переносит оставшиеся объекты Active Directory в Exchange. 5. Переносит данные конфигурации сайта Exchange, которые будут использоваться сервером Exchange «Platinum». 6. Устанавливает и запускает агент репликации. 7. Устанавливает и запускает службы и компоненты администрирования сервера Exchange «Platinum». 26 Интеграция каталога со службой Active Directory системы Windows 2000 В момент обновления службы сервера Exchange «Platinum» взаимодействуют со службой Active Directory и новые клиенты взаимодействуют непосредственно со службой Active Directory с использованием протокола LDAP. Кроме того, выполняется следующее. Все объекты получателей и объекты конфигурации Exchange могут управляться из службы Active Directory (посредством консоли управления MMC для сервера «Platinum»); потом все изменения реплицируются на серверы Exchange, предшествовавшие выпуску «Platinum». Все объекты получателей и конфигурации Exchange с обновленного сервера доступны также другим серверам Exchange того же сайта и могут управляться прежней программой администрирования Exchange на сервере, предшествовавшие выпуску «Platinum»; далее изменения реплицируются в службу Active Directory. Все клиенты Exchange версий 4.0 и 5.x на обновленном сервере взаимодействуют со службой Active Directory. Подразумевается, что (а) на них работает соответствующий пакет обновления или (б) на этом сервере Exchange работает служба Active Directory. Такие «унаследованные» клиенты могут со временем быть обновлены до новых и более эффективных клиентов сервера Exchange «Platinum». Визуально результаты миграции можно представить в виде следующей схемы. Контроллер домена Windows NT 5.0 Агент репликации Exchange 5.0 Platinum Exchange 5.0 Сайт Exchange компании Acme Рис. 7. После обновления первого сервера на сайте агент репликации гарантирует синхронность объектов в обоих каталогах. Интеграция каталога со службой Active Directory системы Windows 2000 27 Обновление последующих серверов Microsoft Exchange вызывает следующие действия программы установки. Добавление сервера Exchange «Platinum» к сайту службы Active Directory; Перенос «глобальных» данных и данных конфигурации сайта, которые будут использоваться сервером Exchange «Platinum». Удаление обновленной службы каталогов сервера Exchange «Platinum» из списка внутрисайтовых репликаций существующего сайта Exchange. Обновление последнего сервера Microsoft Exchange вызывает следующие действия программы установки. Добавление сервера Exchange «Platinum» к сайту службы Active Directory. Удаление всей информации о конфигурации в службе Active Directory, которая использовалась для обеспечения сосуществования с серверами Exchange предыдущих версий. Удаление агента репликации. Установка и запуск служб и компонентов администрирования сервера Exchange «Platinum». На этом завершается обновление всех серверов Exchange до сервера «Platinum». Контроллер домена Windows NT 5.0 Platinum Platinum Platinum Сайт Exchange компании Acme Рис. 8. После обновления всех серверов Exchange на сайте до сервера «Platinum» агент репликации более не нужен и автоматически удаляется. 28 Интеграция каталога со службой Active Directory системы Windows 2000 Обновление многодоменной и многосайтовой организации Обновление многодоменной и многосайтовой организации выполняется подобно обновлению односайтовой многосерверной организации (описанному в предыдущем сценарии), но с учетом следующих особенностей. Учетная запись основного пользователя Windows для всех почтовых ящиков на сервере, который подвергается обновлению, должна находиться в домене, который уже обновлен до Windows 2000. Может быть установлен агент репликации для выполнения репликации непосредственно на все сайты Exchange, с которыми у него есть связь по сети (необязательный вариант). Чтобы обеспечить возможность двунаправленной репликации на удаленные сайты Exchange, по крайней мере, один сервер на этом удаленном сайте должен быть обновлен с использованием последнего пакета обновления. Серверы Exchange организации могут быть обновлены до сервера «Platinum» в любом порядке. Получатели Exchange на удаленных сайтах Exchange, работающих в доменах NT 4.0, будут представлены в службе Active Directory как «Удаленные получатели Exchange» и показаны в глобальном каталоге службы Active Directory. Интеграция каталога со службой Active Directory системы Windows 2000 29 ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ (И ОТВЕТЫ НА НИХ) Необходимо ли при обновлении сервера Exchange до сервера выпуска «Platinum» обновлять и все клиенты почты? Нет. Сначала можно обновить сервер Exchange, а клиенты обновить через некоторое время. Клиент Exchange 5.5 будет автоматически перенаправлен к «ближайшей» службе Active Directory; клиенты Exchange версий 4.0 и 5.0 (с последним пакетом обновления) также будут перенаправлены к «ближайшей» службе Active Directory. Альтернативный способ: при установке службы Active Directory непосредственно на сервер Exchange «Platinum» клиенты Exchange версий 4.0 и 5.0 без пакета обновления будут продолжать работу без изменений. Могут ли предыдущие версии сервера Exchange и сервер выпуска «Platinum» сосуществовать на одном сайте? Да. Более подробно об этом рассказано в разделе «Миграция и сосуществование». Какие данные из каталога будут потеряны при обновлении до сервера выпуска «Platinum»? При обновлении до сервера Exchange «Platinum» никакие данные не теряются. Все записи и атрибуты каталога будут скопированы в каталог Active Directory. Каково отношение между сайтом Exchange и новым сайтом Active Directory? С концептуальной точки зрения оба сайта определяют набор серверов, связь между которыми характеризуется высокой пропускной способностью. Программа Exchange для маршрутизации сообщений использует то же определение сайта, что и служба Active Directory. В процессе миграции «устаревшие» сайты Exchange будут сосуществовать с сайтами Active Directory и использоваться для маршрутизации сообщений. Как будут маршрутизироваться сообщения между сайтами? В настоящее время программа Exchange маршрутизирует все почтовые сообщения на основе различающегося имени (DN) получателя – это одна из причин, которая затрудняет перемещение пользователя между контейнерами и сайтами. В выпуске «Platinum» сервера Exchange почта будет направляться по новому атрибуту почтовый пункт (mail-drop), который указывает сервер Exchange (и опосредованно – сайт), с которого получатели и получают свою почту. 30 Интеграция каталога со службой Active Directory системы Windows 2000 Будут ли общие папки использовать стандартные списки управления доступом системы Windows 2000? Да. Доступ к общим папкам (и личным папкам) будет основан на модели безопасности доступа системы Windows 2000. Более подробные сведения о безопасности в операционной системе Windows 2000 можно найти в информационном документе Windows 2000 Distributed Security («Распределенная безопасность в операционной системе Windows 2000»). Будут ли все существующие коннекторы и шлюзы работать совместно с сервером Exchange «Platinum»? Да. Будет ли в выпуске «Platinum» сервера Exchange поддерживаться интерфейс API каталога Exchange? Интерфейс DAPI будет поддерживаться только для обеспечения обратной совместимости. Интерфейсом к службе каталогов в выпуске «Platinum» сервера Exchange является интерфейс ADSI службы каталогов Active Directory (Active Directory Service Interface). Будет ли программа администрирования Exchange версий 4.0 или 5.x работать со службой Active Directory? Нет. Все администрирование Active Directory будет осуществляться с помощью новой консоли управления (MMC) для Windows и Exchange. Все изменения, сделанные с помощью программы администрирования Exchange на сервере Exchange версий 4.0 или 5.x, будут распространены на службу Active Directory посредством агента репликации Exchange. Будут ли представления адресной книги и списки управления доступом перенесены в службу Active Directory? Да. Интеграция каталога со службой Active Directory системы Windows 2000 31 ЗАКЛЮЧЕНИЕ В готовящихся выпусках Windows 2000 и сервера Exchange «Platinum» все данные о пользователях и конфигурации будут доступны из одного объединенного каталога. Интеграция служб каталога Exchange и Active Directory существенно приближает к реализации подхода «Нулевого администрирования для Windows». Выпуск «Platinum» сервера Microsoft Exchange разрабатывался для выполнения простого и эффективного перехода к использованию службы каталогов Active Directory при обеспечении полной обратной совместимости. Эта последовательная стратегия построения службы каталогов обладает многими преимуществами, среди которых следующие: снижение стоимости владения, улучшением репликации, усиление безопасности и улучшение масштабируемости, единое управление, наличие расширяемой схемы, а также использование протоколов доступа клиента и единый общий интерфейс программирования. Поскольку выпуск «Platinum» сервера Microsoft Exchange разработан для совместной работы со службой Active Directory, то простота миграции и обеспечения сосуществования с серверами Exchange предыдущих версий являются неотъемлемыми свойствами данного выпуска. Агент репликации, который станет доступен вскоре после выпуска Windows 2000, гарантирует соответствие обновлений в службах каталога Exchange и Active Directory, а также эффективную обратную совместимость. А поскольку выпуск «Platinum» сервера Microsoft Exchange рассчитан на переход к использованию службы Active Directory, способ миграции встроен в процессе установки, благодаря чему процедура миграции выполняется просто, логично и эффективно. Имея в своем распоряжении сервер Exchange «Platinum», администраторы вправе ожидать, что переход к использованию службы Active Directory окажется достаточно простым, обеспечив в результате создание единственного объединенного каталога. Дополнительная информация Последние сведения о сервере Microsoft Exchange можно найти на нашем вебузле по адресу http://www.microsoft.com/exchange. Последние сведения об операционной системе Microsoft Windows 2000 можно найти на нашем вебузле по адресу http://www.microsoft.com/ntserver. 32 Интеграция каталога со службой Active Directory системы Windows 2000
