Utilizzo di un insieme di strutture dedicato di Exchange

 

Ultima modifica dell'argomento: 2006-04-18

Esistono situazioni in cui può essere necessario impostare un insieme di strutture di Active Directory separato e dedicato all'esecuzione di Exchange, ad esempio nel caso di un insieme di strutture di Windows NT che si desidera conservare, oppure può rendersi necessario separare l'amministrazione degli oggetti di Active Directory e di quelli di Exchange: in questo caso può essere utile impostare un insieme di strutture di Active Directory separato, dedicato all'esecuzione di Exchange. Questa opzione può risultare vantaggiosa per le aziende che richiedono un confine di elevata protezione tra l'amministrazione di Active Directory e quella di Exchange.

L'insieme di strutture di Exchange (definito anche insieme di strutture delle risorse) è dedicato all'esecuzione di Exchange e ad ospitare le cassette postali. Gli account utente risiedono in uno o più insiemi di strutture, definiti anche insiemi di strutture degli account, separati dall'insieme di strutture delle risorse. Per ulteriori informazioni sulla distribuzione di Exchange in un ambiente con più insiemi di strutture, vedere Pianificazione della distribuzione di Exchange in un ambiente con più insiemi di strutture.

Ogni utente abilitato nell'insieme di strutture degli account viene associato a una cassetta postale collegata a un utente disabilitato nell'insieme di strutture delle risorse. Questa configurazione consente agli utenti di accedere a cassette postali che risiedono in insiemi di strutture differenti. In questo scenario è possibile configurare una relazione di trust tra l'insieme di strutture delle risorse e quello degli account. Può inoltre essere necessario impostare un processo di provisioning in modo tale che ogni volta che un amministratore crea un utente in Active Directory, in Exchange venga creato un utente disabilitato con una cassetta postale.

Nota

Se per gli account utente è presente una cronologia degli identificatori di protezione (SID), è necessario disattivare il filtro SID tra l'insieme di strutture degli account e quello delle risorse, poiché altrimenti gli utenti non potrebbero accedere alle proprie cassette postali. Gli account possono acquisire una cronologia degli identificatori di protezione nei due modi seguenti:
•  Se per la migrazione da Exchange 5.5 a Exchange 2003 si segue la procedura di migrazione esterna, i nuovi account conservano il SID precedente nell'attributo SIDHistory.
•  Se per spostare gli account da un insieme di strutture all'altro si utilizza l'Utilità di migrazione ad Active Directory, i nuovi account conservano il SID precedente nell'attributo SIDHistory.

Dal momento che tutte le risorse di Exchange sono contenute in un unico insieme di strutture, tutti gli utenti dell'insieme di strutture sono contenuti in un singolo elenco indirizzi globale (elenco indirizzi globale, Global Address List). Nella figura seguente è illustrato uno scenario con un insieme di strutture di Exchange dedicato.

Il principale vantaggio dello scenario con un insieme di strutture dedicato di Exchange è la presenza di un limite di protezione tra l'amministrazione di Active Directory e quella di Exchange.

Gli svantaggi associati a questo scenario includono:

• Impossibilità di utilizzare i vantaggi dell'integrazione dell'amministrazione di Exchange e di Active Directory, che si traduce in un maggiore carico amministrativo.

• Necessità di installare controller di dominio e server di catalogo globale duplicati nei siti Microsoft Windows® in cui verrà eseguito Exchange, con un conseguente incremento dei costi.

• Necessità di impostazione di un processo di provisioning in modo che gli aggiornamenti di Active Directory siano riflessi in Exchange (ad esempio, la creazione di un nuovo utente di Active Directory nell'insieme di strutture A genera un oggetto segnaposto abilitato all'utilizzo di cassette postali con autorizzazioni). Quando si crea un oggetto in un insieme di strutture, occorre assicurarsi che nell'altro insieme di strutture vengano creati gli oggetti corrispondenti. Se ad esempio si crea un utente in un insieme di strutture, occorre assicurarsi che nell'altro insieme di strutture venga creato un segnaposto per tale utente. È possibile creare gli oggetti corrispondenti manualmente o automatizzare il processo creando script appositi o implementando software di terze parti.

  Importante

  La funzionalità di sincronizzazione degli elenchi indirizzi globali di Microsoft Identity Integration Server 2003 (MIIS 2003) non è progettata per essere utilizzata con modelli che prevedono l'utilizzo di un insieme di strutture delle risorse nel quale gli account utente si trovano in un insieme di strutture separato da quello delle rispettive cassette postali. Anche se non è possibile utilizzare la funzionalità di sincronizzazione degli elenchi indirizzi globali di MIIS 2003, è tuttavia possibile configurare MIIS 2003 in modo da eseguire il provisioning degli oggetti dall'insieme di strutture delle risorse a quello degli account. La funzionalità di sincronizzazione degli elenchi indirizzi globali può essere inoltre utilizzata per sincronizzare l'insieme di strutture delle risorse con altri insiemi di strutture di Exchange, purché diversi dall'insieme di strutture degli account.

Una variante dello scenario con un insieme di strutture delle risorse è rappresentata da più insiemi di strutture con un insieme di strutture che ospita Exchange. Se si dispone di più insiemi di strutture di Active Directory, la modalità di distribuzione di Exchange dipende dal livello di autonomia che è necessario mantenere tra i diversi insiemi di strutture. Le organizzazioni con unità aziendali che richiedono confini di elevata protezione per gli oggetti di directory, ma sono in grado di condividere oggetti di Exchange, possono scegliere di distribuire Exchange in uno degli insiemi di strutture e di utilizzare tale insieme per ospitare le cassette postali degli altri insiemi di strutture all'interno dell'azienda. Dal momento che tutte le risorse di Exchange sono contenute in un unico insieme di strutture, tutti gli utenti nell'insieme di strutture sono contenuti in un singolo elenco indirizzi globale (elenco indirizzi globale, Global Address List). Nella figura seguente è illustrato questo scenario.

I principali vantaggi associati a questo scenario includono:

• Utilizzo di una struttura di Active Directory esistente
• Utilizzo di controller di dominio e server di catalogo globale esistenti
• Presenza di confini di elevata protezione tra insiemi di strutture

Gli svantaggi associati a questo scenario includono:

• Necessità di impostazione di un processo di provisioning in modo che gli aggiornamenti di Active Directory siano riflessi in Exchange (ad esempio la creazione di un nuovo utente di Active Directory nell'insieme di strutture A genera un oggetto abilitato all'utilizzo di cassette postali con autorizzazioni che è disabilitato nell'insieme di strutture B).
• Necessità per gli amministratori dell'insieme di strutture di determinare le modalità di condivisione o suddivisione delle responsabilità per la gestione di oggetti di Active Directory e di Exchange.