Как следует из названия, сложная организация Exchange представляет собой наиболее запутанную топологию развертывания Microsoft Exchange Server 2007. Из четырех определенных моделей организации для Exchange 2007 сложная организация Exchange — это единственная модель, предусматривающая использование нескольких лесов службы каталогов Active Directory или технологии синхронизации.

Развертывание нескольких лесов Active Directory, включающих серверы Exchange и учетные записи с включенной электронной почтой, становится обычной ситуацией. Основной движущей силой этих развертываний является необходимость разделить администрирование сред пользователей и доверенных контекстов безопасности. Так как лес представляет собой границу безопасности Active Directory в структурах, где основной проблемой являются безопасность и управление доступом к ресурсам, все чаще имеет место развертывание нескольких параллельных лесов Active Directory.

Примечание.
В топологиях с несколькими лесами в каждом лесу с операционной системой Windows Server 2003 с пакетом обновления 1 (SP1) или более поздней версии должен быть установлен сервер каталогов.

Примеры сложных организаций Exchange

Существует множество причин создания нескольких лесов Active Directory. Среди этих причин могут быть:

  • Наличие нескольких подразделений, для которых требуется изоляция данных и служб.

  • Наличие нескольких подразделений, использующих различные требования к схемам.

  • Поглощение, приобретение или продажа предприятий.

Топология лесов ресурсов Exchange

Единственным способом установить строгие границы между подразделениями является создание отдельного леса Active Directory для каждого подразделения. При наличии такой конфигурации Active Directory рекомендуется использовать лес ресурсов Exchange.

На рис. 1 приведен пример сложной организации Exchange, содержащей лес ресурсов Exchange.


Сложная организация Exchange с лесом ресурсов

На рис. 1 Лес B содержит серверы Exchange, а лес A содержит учетные записи пользователей. Лес B также содержит идентичные учетные записи пользователей, но эти учетные записи отключены, и пользователи со включенными почтовыми ящиками входят в Active Directory, используя свои учетные записи в лесу A.

При развертывании Exchange 2007 в лесу ресурсов администратор леса, содержащего только учетные записи пользователей, по умолчанию не обладает разрешениями на создание почтовых ящиков в лесу Exchange. Хотя администратор леса, содержащего учетные записи пользователей, может создавать учетные записи пользователей в топологии лесов ресурсов, этот администратор не может выполнять никаких задач управления почтовыми ящиками без делегирования специальных разрешений администратору учетных записей. Администратор леса Exchange должен вручную создавать почтовые ящики отдельно от учетных записей пользователей, а затем связывать их с существующими учетными записями пользователей. Кроме того, необходимо отдельно добавить дополнительные данные, например номер телефона или адрес офиса, в лес Exchange, даже если эти данные уже имеются в связанной учетной записи пользователя.

Топология с несколькими лесами Exchange

В случае слияний и поглощений вполне возможно появление нескольких лесов Active Directory и нескольких организаций Exchange. При запуске Exchange в среде с несколькими лесами системные архитекторы и администраторы Exchange обычно сталкиваются с теми же проблемами проектирования, что и в моделях простых, стандартных и больших организаций Exchange. Уникальной особенностью сложной организации Exchange является необходимость синхронизировать объекты каталогов между несколькими лесами и реплицировать сведения о занятости. Корпорация Microsoft предлагает два решения для синхронизации каталогов.

  • Пакет дополнительных компонентов Identity Integration Feature Pack для Microsoft Windows Server Active Directory (IIFP) с пакетом обновления 2 (SP2)

  • Microsoft Identity Integration Server (MIIS)

Оба решения строятся на базе MIIS. IIFP — это бесплатная упрощенная версия сервера MIIS. Сервер MIIS представляет собой решение с более широкой функциональностью, но и более дорогое.

Примечание.
Дополнительные сведения о пакете дополнительных компонентов IIFP см. в документе Пакет дополнительных компонентов Identity Integration Feature Pack для Microsoft Windows Server Active Directory с пакетом обновления 2 (SP2) (эта ссылка может указывать на содержимое полностью или частично на английском языке). Дополнительные сведения о сервере MIIS см. на веб-узле технического центра Microsoft Identity Integration Server 2003 (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Помимо синхронизации каталога, частым требованием является доступность сведений о занятости или общих папок между организациями Exchange, размещенными в каждом из лесов. В предыдущих версиях Exchange Server для этого требовалось использовать инструмент репликации между организациями Microsoft Exchange Server (IORepl), предусматривавший координацию собраний, встреч, контактов и данных общих папок между разъединенными организациями Exchange. Для совместного использования сведений о занятости и данных календаря организациями Exchange 2007, находящимися в различных лесах, можно выполнить следующие действия:

  • Если в обеих организациях используется Microsoft Office Outlook 2007, для обмена сведениями о достумности и данными календаря может применяться служба доступности Exchange 2007. Но это решение не обеспечивает для организаций обмен данными общих папок.

  • Если используются более ранние версии Outlook, для обмена сведениями о занятости и данными календаря между организациями можно применять средство IORepl. Средство IORepl можно установить на компьютер, на котором установлены средства управления Exchange 2007 и не установлены никакие другие роли сервера Exchange 2007, либо на компьютер с сервером Exchange Server 2003 или Exchange 2000 Server. Это решение также обеспечивает обмен данными общих папок между организациями. Если средство устанавливается на компьютер со средствами управления Exchange 2007, необходимо также установить клиентские библиотеки MAPI Exchange. Дополнительные сведения о средстве репликации между организациями см. в статье Репликация между организациями Microsoft Exchange Server (на английском языке). Дополнительные сведения о загрузке клиентских библиотек MAPI сервера Exchange см. в статье MAPI-клиент сервера Microsoft Exchange Server и объекты данных совместной работы 1.2.1 (на английском языке).

Примечание.
Возможно отсутствие функциональности, необходимой для средства IORepl. По умолчанию базовая установка Exchange Server 2007 и более поздних версий не включает клиентские библиотеки Messaging API (MAPI) или объекты данных совместной работы (CDO) версии 1.2.1. Чтобы обеспечить доступ к содержимому хранилищ MAPI, следует установить Microsoft Exchange MAPI и объекты данных совместной работы версии 1.2.1. В случае установки Office Outlook на сервере перед установкой Exchange MAPI и CDO 1.2.1 следует удалить Microsoft Outlook.

Дополнительные сведения об использовании средства IORepl с Exchange 2007 см. в разделе Использование версии средства репликации между организациями для сервера Exchange Server 2003 на сервере Exchange Server 2007.

На рис. 2 показан пример сложной организации Exchange, содержащей несколько лесов Exchange.


Сложная организация Exchange с несколькими лесами

Топология перекрестного леса Exchange

В среде перекрестного леса Exchange Server работает в отдельных лесах Active Directory, но функция почты доступна во всех лесах. Развертывание Exchange 2007 в среде перекрестного леса с синхронизацией каталогов приводит к следующим ограничениям:

  • Невозможность просмотра членства в списке рассылки, если у членов есть почтовые ящики в разных лесах

  • Невозможность добавления пользователей из другого леса в список рассылки

  • Невозможность создания вложенных списков рассылки между лесами

  • Отсутствие средств перемещения списков рассылки в другой лес

  • Невозможность сохранить свойства делегирования при перемещении почтового ящика между лесами

  • Отсутствие средств перемещения общих папок в другой лес

  • Невозможность передачи подписанных или шифрованных сообщений между лесами при использовании самозаверенного сертификата инфраструктуры открытых ключей (PKI) Microsoft Windows

Вопросы планирования сложной организации Exchange

На стадии планирования развертывания и перед развертыванием любых серверов Exchange 2007 в сложной организации Exchange рекомендуется проанализировать следующие моменты:

  • Использование несколькими организациями Exchange общего глобального списка адресов приводит к необходимости определенной синхронизации этого списка и репликации ресурсов календаря между лесами.

  • В сложных организациях Exchange часто используется несколько точек входа и выхода в Интернет. С ростом количества служб, доступных из Интернета, увеличивается и сложность развернутых систем брандмауэров. Сервер Microsoft ISA (Internet Security and Acceleration) представляет собой брандмауэр уровня приложений, который может использоваться для публикации служб Exchange, таких как Outlook Web Access, POP3 и IMAP4, ActiveSync и мобильный Outlook. Рекомендуется развертывать сервер ISA или группу серверов ISA на границе между периметром сети и частной корпоративной сетью.

  • При развертывании сложной организации Exchange часто необходимо обеспечить высокую доступность. В Exchange 2007 существуют несколько решений, которые стоит использовать для обеспечения высокого уровня доступности каждой роли сервера. Для получения дополнительных сведений о стратегиях и возможностях высокой доступности в Exchange 2007 см. раздел Высокая доступность.

  • Использование нескольких лесов Active Directory также приводит к использованию нескольких пространств имен. В Exchange 2007 сервер клиентского доступа требует использования уникального пространства имен адресов внутри каждого леса в среде перекрестного леса.

Переход к сложной организации Exchange

Необходимо учитывать, что при переходе от существующей организации Exchange Server 2003 или Exchange 2000 Server к организации Exchange 2007 обновление серверов на месте выполнить невозможно. Необходимо добавить в существующую организацию один или несколько серверов Exchange 2007, переместить почтовые ящики и другие данные на сервер Exchange 2007, а затем удалить из организации сервер Exchange 2003 или Exchange 2000.

Дополнительные сведения о развертывании и переходе к сложной организации Exchange 2007 см. в разделе Развертывание сложной организации Exchange.



Рис. 2.   Пример сложной организации Exchange с несколькими лесами Exchange
Рис. 1.   Пример сложной организации Exchange с лесом ресурсов Exchange