Топології лісів active directory

  • Один або декілька доменів
  • Один або кілька сайтів Active Directory

    Ліс являє собою саму зовнішню кордон служби каталогів. Ліс працює в контексті безперервної безпеки, так щоб всі ресурси всередині лісу явно довіряли один одному незалежно від свого місцезнаходження в лісі. Усередині кожного лісу використовується загальна структура каталогів і настройка служби каталогів. Ліс може складатися з одного або декількох доменів. Існує два типи топологій лісу: єдиний ліс і кілька лісів.

    Топологія з єдиним лісом

    У топології з одним лісом Exchange встановлюється в одному лісі Active Directory, що охоплює всю організацію. Усі облікові записи користувачів і груп, а також всі дані Exchange конфігурацій знаходяться в одному і тому ж лісі.

    Варіант з єдиним лісом пропонує наступні переваги:

    • Найбагатший набір можливостей системи електронної пошти.
  • Проста модель адміністрування.
  • Використання переваг існуючої структури Active Directory.
  • Використання існуючих контролерів доменів і серверів глобальних каталогів.

    Основним недоліком, пов'язаним з єдиним лісом, є те, що адміністратори повинні визначити, як узагальнити або розділити відповідальність за управління об'єктами Active Directory і Exchange.

    Топологія з декількома лісами

    Хоча рекомендується використовувати топологію з єдиним лісом, так як вона забезпечує найбільший набір можливостей обміну повідомленнями, існують різні причини, за якими може знадобитися реалізувати кілька лісів. Серед цих причин можуть бути, наприклад такі:

    • Наявність декількох підрозділів, для яких необхідна ізоляція служб обміну повідомленнями.
  • Наявність декількох підрозділів з різними вимогами до схеми.
  • Те, що відбулося злиття, поглинання або розподіл.

    У будь-якому випадку, єдиним способом встановити строгі межі між підрозділами є створення окремого лісу Active Directory для кожного підрозділу. При використанні цієї конфігурації Active Directory кращим способом реалізації Exchange є створення лісу ресурсів Exchange. Для отримання додаткових відомостей про ліси ресурсів Exchange см. Пункті «Топологія лісу ресурсів» нижче в даному розділі.

    Але існують сценарії, в яких ліс ресурсів може бути неможливий (наприклад, при злитті або поглинанні, або коли в кількох лісах вже працюють власні екземпляри Exchange). У цих випадках можна реалізувати топологію перехресних лісів.

    Топологія перехресних лісів

    Основною перевагою реалізації топології перехресних лісів є можливість ізоляції даних і кордонів безпеки між організаціями Exchange. Але ця топологія має наступні недоліки:

    • Недоступний багатющий набір функцій обміну повідомленнями.
  • При переміщенні поштових скриньок з одного лісу в інший не зберігаються делеговані дозволу, якщо в цільовому лісі немає контакту для делегування, або якщо ви одночасно переміщує делегата поштової скриньки.

    Топологія лісу ресурсів

    У деяких випадках для роботи Exchange може знадобитися створити окремий, виділений ліс Active Directory. Наприклад, можлива ситуація, коли потрібно зберегти існуючий ліс Active Directory. Або може знадобитися розділити адміністрування об'єктів Active Directory і об'єктів Exchange. Отже, можлива необхідність створення окремого лісу Active Directory, виділеного для роботи Exchange. Цей окремий виділений ліс називається лісом ресурсів Exchange. У моделі лісу ресурсів Exchange встановлюється в ліс Active Directory, окремий від лісу Active Directory, в якому знаходяться користувачі, комп'ютери і сервери додатків. Цей варіант зазвичай використовують компанії, яким необхідні кордону безпеки між адмініструванням Active Directory і адмініструванням Exchange.

    Включений користувач з лісу ресурсів зв'язується з поштовою скринькою, приєднаним до відключеному користувачеві в лісі ресурсів. Ця конфігурація надає користувачам доступ до поштових скриньок, які знаходяться в інших лісах. У даному сценарії налаштовується довірче відношення між лісом ресурсів і лісом облікових записів. Може також знадобитися налаштувати процес ініціалізації так, щоб кожен раз, коли адміністратор створює користувача в лісі облікових записів, в лісі ресурсів Exchange створювався б відключений користувач з поштовою скринькою.

    З цієї топологією пов'язаний ряд недоліків, включаючи наступні:

    • Впровадження лісу ресурсів забезпечує поділ адміністрування Exchange і Active Directory, але вартість, пов'язана з розгортанням лісу ресурсів, може переважити необхідність подібного поділу.
  • Для вузлів Microsoft Windows, на яких буде працювати Exchange, потрібно встановлювати додаткові контролери доменів і сервери глобальних каталогів, що призведе до збільшення вартості.
  • Необхідний процес ініціалізації, що відображає зміни Active Directory в Exchange. При створенні об'єкта в одному лісі необхідно бути впевненим, що відповідні об'єкти створені і в іншому лісі. Наприклад, при створенні користувача в одному лісі, переконайтеся, що для цього користувача в іншому лісі створений заповнювач в іншому лісі. Відповідні об'єкти можна створити вручну, або цей процес можна автоматизувати.

    Цей сценарій має такими основними перевагами:

    • Використання існуючої структури Active Directory.
  • Використання існуючих контролерів доменів і серверів глобальних каталогів.
  • Забезпечення строгих меж безпеки між лісами.

    До недоліків цього сценарію можна віднести наступні особливості:

    • Необхідність процесу ініціалізації, що відображає зміни Active Directory в Exchange. Наприклад, можна створити сценарій, який при створенні нового користувача Active Directory в лісі A створював би в лісі B відключений об'єкт з дозволами, які надають доступ до поштової скриньки.
  • Необхідність для адміністраторів лісу визначити, як узагальнити або розділити відповідальність за управління об'єктами Active Directory і Exchange.

    Домен - це об'єднання учасників безпеки і спільно адмініструються інших об'єктів. Домени є гнучкими структурами. Вибір того, що буде входити в домен, залишається відкритим і залишається на розсуд адміністратора. Наприклад, домен може являти собою групу користувачів і комп'ютерів, фізично знаходяться в одному місці, або він може представляти всіх користувачів і всі комп'ютери в багатьох місцях великого географічного регіону. Завдяки консолідації адміністрування та інфраструктури домени, як правило, поширюються на великі географічні регіони для зниження вартості підтримки. Але, так як обсяг служби каталогів зростає, для цільового каталогу повинна бути передбачена можливість максимально ефективного доступу до відповідних ресурсів.

    Сайти Active Directory є логічне об'єднання надійно пов'язаних комп'ютерів в Active Directory. В межах сайту Active Directory можна розділити клієнтські комп'ютери, щоб використовувати конкретні набори або групи ресурсів каталогу. Сайт Active Directory - це одна або кілька добре пов'язаних підмереж TCP / IP, що дозволяють адміністраторам налаштувати доступ до Active Directory і необхідну реплікацію. Ці підмережі можуть як відповідати, так і не відповідати фізичної топології.

    На наведеному нижче малюнку показано кілька найбільш типових відносин між логічними визначеннями Active Directory і фізичними настроями.

    Існує чотири основні сценарії інтеграції Exchange з Active Directory:

  • Злиття та поглинання