Utilisation d'une forêt Exchange dédiée

Article
10/25/2013

Dernière rubrique modifiée : 2006-04-18

Dans certains cas, vous devrez configurer séparément une forêt Active Directory chargée d'exécuter Exchange. Par exemple, vous avez peut-être une forêt Windows NT que vous voulez conserver. Ou bien, vous devez peut-être séparer l'administration des objets Active Directory et des objets Exchange ; par conséquent, vous pouvez configurer une forêt Active Directory séparée chargée d'exécuter Exchange. Les entreprises qui nécessitent des limites (forêt) de sécurité entre l'administration Active Directory et l'administration Exchange peuvent choisir cette option.

La forêt Exchange (également appelée forêt ressource) est chargée de l'exécution d'Exchange et de l'hébergement des boîtes aux lettres. Les comptes d'utilisateurs sont contenus dans une ou plusieurs forêts, désignées sous le nom de forêts de comptes, qui sont distinctes de la forêt ressource. Pour plus d'informations sur le déploiement d'Exchange dans un environnement à plusieurs forêts, voir la rubrique sur la Planification du déploiement d'Exchange dans un environnement à plusieurs forêts.

L'utilisateur activé de la forêt de comptes est associé à une boîte aux lettres liée à un utilisateur désactivé de la forêt ressource. Cette configuration permet aux utilisateurs d'accéder à des boîtes aux lettres qui se trouvent dans des forêts différentes. Dans ce scénario, vous configurez une relation d'approbation entre la forêt ressource et la forêt de comptes. Vous aurez peut-être besoin de définir un processus de configuration de sorte qu'à chaque création par un administrateur d'un utilisateur dans Active Directory, un utilisateur désactivé avec une boîte aux lettres soit créé dans Exchange.

Remarque :
Si les comptes d'utilisateurs disposent d'un historique de l'identificateur de sécurité (SID), vous devez désactiver le filtrage SID entre la forêt ressource et la forêt de comptes (sinon, les utilisateurs ne pourront pas accéder à leurs boîtes aux lettres). Il existe deux façons pour les comptes d'obtenir un historique SID : • Si vous suivez le chemin de migration externe pour effectuer la migration d'Exchange 5.5 vers Exchange 2003, chaque nouveau compte conserve son ancien SID dans l'attribut SIDHistory. • Si vous utilisez l'outil de migration Active Directory pour déplacer les comptes d'une forêt à l'autre, chaque nouveau compte conserve son ancien SID dans l'attribut SIDHistory.

Si les comptes d'utilisateurs disposent d'un historique de l'identificateur de sécurité (SID), vous devez désactiver le filtrage SID entre la forêt ressource et la forêt de comptes (sinon, les utilisateurs ne pourront pas accéder à leurs boîtes aux lettres). Il existe deux façons pour les comptes d'obtenir un historique SID :
• Si vous suivez le chemin de migration externe pour effectuer la migration d'Exchange 5.5 vers Exchange 2003, chaque nouveau compte conserve son ancien SID dans l'attribut SIDHistory.
• Si vous utilisez l'outil de migration Active Directory pour déplacer les comptes d'une forêt à l'autre, chaque nouveau compte conserve son ancien SID dans l'attribut SIDHistory.

Comme toutes les ressources Exchange sont contenues dans une forêt unique, une liste d'adresses globale unique contient tous les utilisateurs de l'ensemble de la forêt. La figure suivante illustre un scénario de forêt Exchange dédiée.

b01795e0-b2c9-4c56-9938-4b5d064ba3fb

Le principal avantage du scénario de forêt Exchange dédiée est une limite en termes de sécurité entre l'administration Active Directory et l'administration Exchange.

Les inconvénients associés à ce scénario sont les suivants :

Il n'est pas possible de tirer parti des avantages liés à l'intégration de l'administration Active Directory et de l'administration Exchange, ce qui accroît les tâches administratives.
Il est nécessaire d'installer des contrôleurs de domaine et des serveurs de catalogue global dupliqués sur les sites Microsoft Windows® où s'exécute Exchange, ce qui augmente le coût.

Il est nécessaire d'utiliser un processus de configuration afin de refléter les mises à jour d'Active Directory dans Exchange. (Par exemple, la création d'un nouvel utilisateur Active Directory dans la forêt A génère un objet d'espace réservé avec boîte aux lettres et autorisations.) Lorsque vous créez un objet dans une forêt, vous devez vous assurer que des objets correspondants sont créés dans l'autre forêt. Par exemple, si vous créez un utilisateur dans une forêt, vérifiez qu'un espace réservé est créé pour cet utilisateur dans l'autre forêt. Vous pouvez créer les objets correspondants manuellement ou automatiser le processus en créant des scripts ou en implémentant un logiciel tiers.

Important :
La fonctionnalité de synchronisation des listes d'adresses globales de Microsoft Identity Integration Server 2003 (MIIS 2003) n'est pas conçue pour fonctionner dans un modèle de forêt ressource (où un compte d'utilisateur figure dans une forêt distincte de celle de sa boîte aux lettres). Même si vous ne pouvez pas utiliser la fonctionnalité de synchronisation des listes d'adresses globales de MIIS 2003, vous pouvez configurer MIIS 2003 de façon à fournir des objets entre une forêt ressource et une forêt de comptes. En outre, la synchronisation des listes d'adresses globales permet de synchroniser la forêt ressource et d'autres forêts Exchange (mais pas la forêt de comptes).

La fonctionnalité de synchronisation des listes d'adresses globales de Microsoft Identity Integration Server 2003 (MIIS 2003) n'est pas conçue pour fonctionner dans un modèle de forêt ressource (où un compte d'utilisateur figure dans une forêt distincte de celle de sa boîte aux lettres). Même si vous ne pouvez pas utiliser la fonctionnalité de synchronisation des listes d'adresses globales de MIIS 2003, vous pouvez configurer MIIS 2003 de façon à fournir des objets entre une forêt ressource et une forêt de comptes. En outre, la synchronisation des listes d'adresses globales permet de synchroniser la forêt ressource et d'autres forêts Exchange (mais pas la forêt de comptes).

Une alternative à l'utilisation du scénario de forêt ressource consiste à utiliser plusieurs forêts avec une forêt hébergeant Exchange. Si vous avez plusieurs forêts Active Directory, votre méthode de déploiement d'Exchange dépend du degré d'autonomie à maintenir entre les forêts. Les entreprises dont les unités de gestion nécessitent des limites (forêt) de sécurité pour des objets d'annuaire, mais qui ne peuvent pas partager des objets Exchange, peuvent choisir de déployer Exchange dans l'une des forêts et de l'utiliser pour héberger des boîtes aux lettres pour les autres forêts de l'entreprise. Comme toutes les ressources Exchange sont contenues dans une forêt unique, une liste d'adresses globale unique contient tous les utilisateurs dans l'ensemble des forêts. La figure suivante illustre ce scénario.

6c2f5563-8abc-477b-a970-7804ab5fe1f3

Les principaux avantages associés à ce scénario sont les suivants :

Il exploite une structure Active Directory existante.
Il utilise des contrôleurs de domaine et des serveurs de catalogue global existants.
Il fournit des limites de sécurité strictes entre les forêts.

Les inconvénients associés à ce scénario sont les suivants :

Il est nécessaire d'utiliser un processus de configuration afin de refléter les mises à jour d'Active Directory dans Exchange. Par exemple, la création d'un nouvel utilisateur Active Directory dans la forêt A génère un objet avec boîte aux lettres et autorisations qui est désactivé dans la Forêt B.
Il est nécessaire que les administrateurs de forêt déterminent la méthode de partage ou de répartition des responsabilités pour la gestion d'Active Directory et des objets Exchange.

Partager via

Utilisation d'une forêt Exchange dédiée

Ressources supplémentaires