Planejando o acesso ao Active Directory

  • Artigo

 

Aplica-se a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Tópico modificado em: 2016-11-28

O Microsoft Exchange Server 2010 armazena todas as informações de destinatários e configurações no banco de dados de serviço de diretório do Active Directory. Quando um computador que está executando o Exchange 2010 precisa de informações sobre destinatários e sobre a configuração da organização do Exchange, ele deve consultar o Active Directory para acessar as informações. Os servidores do Active Directory devem estar disponíveis para que o Exchange 2010 funcione corretamente.

Este tópico explica como o Exchange 2010 armazena e recupera informações no Active Directory para que você possa planejar o acesso ao Active Directory. Este tópico também discute os problemas de que você deve estar ciente caso tente recuperar objetos excluídos do Exchange 2010 Active Directory.

Informações do Exchange armazenadas no Active Directory

O banco de dados do Active Directory armazena informações em três tipos de partições lógicas descritas nas seguintes seções:

  • A partição de esquema

  • A partição de configuração

  • A partição de domínio

A partição de esquema

A partição de esquema armazena dois tipos de informações: classes de esquema e atributos de esquema. As classes de esquema definem todos os tipos de objetos que podem ser criados e armazenados no Active Directory. Os atributos de esquema definem todas as propriedades que podem ser usadas para descrever os objetos armazenados no Active Directory.

Quando você instala a primeira função de servidor do Exchange 2010 na floresta ou executa o processo de preparação do Active Directory, o processo de preparação do Active Directory adiciona muitas classes e atributos ao esquema do Active Directory. As classes adicionadas ao esquema são usadas para criar objetos específicos do Exchange, como agentes e conectores. Os atributos adicionados ao esquema são usados para configurar os objetos específicos do Exchange e os usuários e os grupos habilitados para email. Esses atributos incluem propriedades, como as configurações do Microsoft Office Outlook Web Access e as configurações de Unificação de Mensagens (UM) do Microsoft Exchange. Cada controlador de domínio e servidor de catálogo global da floresta contém uma réplica completa da partição de esquema.

Para obter mais informações sobre modificações de esquema no Exchange 2010, consulte Alterações no esquema do Active Directory do Exchange 2010.

A partição de configuração

A partição de configuração armazena informações sobre a configuração de toda a floresta. Essas informações incluem a configuração de sites do Active Directory, bem como configurações globais, configurações de transporte, diretivas de caixa de correio e planos de discagem do UM do Exchange. Cada tipo de informação de configuração é armazenado em um contêiner na partição de configuração. As informações de configuração do Exchange são armazenadas em uma subpasta no contêiner de serviços da partição de configuração. As informações armazenadas nesse contêiner incluem:

  • Listas de endereços

  • Modelos de exibição e endereço

  • Grupos administrativos

  • Configurações de acesso para cliente

  • Conexões

  • Gerenciamento de registros de mensagens, mobilidade e diretivas de caixa de correio do UM

  • Configurações globais

  • Diretivas de endereço de email

  • Diretivas do sistema

  • Configurações de transporte

Cada controlador de domínio e servidor de catálogo global da floresta contém uma réplica completa da partição de configuração.

A partição de domínio

A partição de domínio armazena informações em contêineres padrão e em unidades organizacionais criadas pelo administrador do Active Directory. Esses contêineres armazenam os objetos específicos do domínio. Esses dados incluem objetos do sistema Exchange e informações sobre computadores, usuários e grupos desse domínio. Quando o Exchange 2010 é instalado, o Exchange atualiza os objetos dessa partição para aceitar a funcionalidade do Exchange. Essa funcionalidade afeta o modo como as informações do destinatário são armazenadas e acessadas.

Cada controlador de domínio contém uma réplica completa da partição do domínio para o qual ele está autorizado. Cada servidor de catálogo global da floresta contém um subconjunto das informações de cada partição de domínio da floresta.

Como o Exchange 2010 acessa informações no Active Directory

O Exchange 2010 usa uma API do Active Directory para acessar as informações armazenadas no Active Directory. O serviço de topologia do Active Directory é executado em todas as funções de servidor do Exchange 2010. Esse serviço lê informações em todas as partições do Active Directory. Os dados recuperados são armazenados em cache e usados pelos servidores do Exchange 2010 para descobrir o site do Active Directory de todos os serviços do Exchange na organização. Para obter mais informações sobre topologia e descoberta de serviços, consulte Planejando usar os sites do Active Directory para roteamento de emails.

O Exchange 2010 é um aplicativo de reconhecimento de sites do Active Directory que prefere se comunicar com os servidores de diretório localizados no mesmo site do servidor Exchange para otimizar o tráfego de rede. Cada função de servidor organizacional do Exchange 2010 deve se comunicar com o Active Directory para recuperar informações sobre destinatários e sobre as demais funções de servidor do Exchange 2010. Os dados obtidos por cada função de servidor são descritos nas seções a seguir.

Por padrão, sempre que um servidor Exchange 2010 for iniciado, ele se liga a um controlador de domínio e um servidor de catálogo global selecionados aleatoriamente em seu próprio site. É possível exibir os servidores de diretório selecionados visualizando as propriedades do servidor Exchange 2010 no Console de Gerenciamento do Exchange ou usando o cmdlet Get-ExchangeServer do Shell de Gerenciamento do Exchange. Também é possível usar o cmdlet Set-ExchangeServer para configurar uma lista estática de controladores de domínio ao qual um servidor Exchange 2010 deve se ligar ou uma lista de controladores de domínio que devem ser excluídos.

Importante

Um controlador de domínio do Windows Server 2008 pode ser configurado como um servidor de diretório somente leitura. Essa configuração é útil quando você deseja implantar um controlador de domínio ou um servidor de catálogo global em um site remoto para fins de autenticação e de autorização, mas não deseja permitir que os administradores desse site gravem alterações no Active Directory. Entretanto, não é possível implantar um servidor do Exchange 2010 em qualquer site que contenha apenas servidores de diretório somente leitura.

Função de servidor de Transporte de Hub

A função de servidor de Transporte de Hub entra em contato com o Active Directory ao executar a categorização de mensagens. O categorizador deve consultar o Active Directory para executar a pesquisa de destinatário e a resolução de roteamento. As informações recuperadas pelo categorizador durante a pesquisa de destinatário incluem o local da caixa de correio do destinatário e todas as restrições ou permissões que podem ser aplicadas ao destinatário. O categorizador também deve consultar o Active Directory para expandir a associação de listas de distribuição e executar o processamento de consulta LDAP necessário ao enviar emails para uma lista de distribuição dinâmica.

Durante a resolução de roteamento, o categorizador usa as informações de topologia armazenadas em cache pelo serviço de topologia do Active Directory para descobrir o caminho de roteamento de uma mensagem. O servidor de Transporte de Hub usa as informações de configuração de site do Active Directory para determinar o local de outros servidores e conectores na topologia.

Quando o servidor de Transporte de Hub tiver resolvido o local da caixa de correio do destinatário, ele usará as informações do site do Active Directory para localizar o repositório de caixa de correio. Se o repositório de caixa de correio estiver no mesmo site do Active Directory do servidor de Transporte de Hub, a mensagem será entregue pelo servidor de Transporte de Hub diretamente na caixa de correio do usuário. Se esse repositório estiver em um site diferente do Active Directory, a mensagem será entregue em um servidor de Transporte de Hub no site remoto do Active Directory.

O servidor de Transporte de Hub armazena todas as informações de configuração no Active Directory e acessa o Active Directory para recuperar essas informações. As informações de configuração incluem os detalhes de todas as regras de transporte, regras de registro no diário e conectores.

Função de servidor de Acesso para Cliente

A função de servidor de Acesso para Cliente recebe conexões da Internet para usuários que acessam suas caixas de correio usando o Outlook Web App (POP3, IMAP4 ou Microsoft Exchange ActiveSync). Quando uma conexão de usuário é recebida, o servidor de Acesso para Cliente entra em contato com o Active Directory para autenticar o usuário e determinar o local do servidor de caixa de correio do usuário. Se a caixa de correio do usuário estiver no mesmo site do Active Directory do servidor de Acesso para Cliente, o usuário será conectado diretamente à sua caixa de correio. Se a caixa de correio do usuário não estiver no mesmo site do Active Directory do servidor de Acesso para Cliente que recebeu a conexão inicial, a conexão será redirecionada a um servidor de Acesso para Cliente no site remoto do Active Directory.

Função de servidor de Unificação de Mensagens

A função de servidor de Unificação de Mensagens acessa o Active Directory para recuperar informações de configuração global, como planos de discagem, gateways IP e grupos de busca. Quando uma mensagem é recebida pelo servidor de Unificação de Mensagens, ele pesquisa destinatários do Active Directory para fazer a correspondência entre o número de telefone e um endereço de destinatário. Quando essas informações forem resolvidas, o servidor de Unificação de Mensagens poderá determinar o local do repositório de caixa de correio do destinatário e, em seguida, enviar a mensagem a um servidor de Transporte de Hub para que ela seja roteada para a caixa de correio.

Função de servidor de Caixa de Correio

A função de servidor de Caixa de Correio armazena informações de configuração sobre usuários e repositórios de caixa de correio no Active Directory. Além disso, a configuração de agentes, listas de endereços e diretivas é armazenada no Active Directory. O servidor de Caixa de Correio recupera essas informações para impor diretivas de caixa de correio e configurações globais.

Função de servidor de Transporte de Borda

A função de servidor de Transporte de Borda é implantada na rede de perímetro e não é um membro do domínio. O servidor de Transporte de Borda não tem acesso ao Active Directory e usa Active Directory Lightweight Directory Services (AD LDS, antes conhecido como Active Directory Application Mode ou ADAM) para armazenar informações de esquema e configuração. Você pode criar uma Inscrição de Borda para registrar o servidor de Transporte de Borda em um site do Active Directory. Os servidores de Transporte de Hub nesse site do Active Directory usam o serviço EdgeSync do Microsoft Exchange para sincronizar os dados do Active Directory com o AD LDS.

É recomendável criar uma Inscrição de Borda para cada servidor de Transporte de Borda. Esse processo configurará automaticamente os conectores de envio exigidos no fluxo de mensagens ponto a ponto. Crie uma Inscrição de Borda se você for usar a pesquisa de destinatário ou os recursos anti-spam de agregação de lista segura.

Recuperação de objetos excluídos do Exchange

Active Directory A Lixeira ajuda a minimizar o tempo de inatividade do serviço de diretório, melhorando a capacidade de preservar e recuperar objetos excluídos do Active Directory sem restaurar dados do Active Directory dos backups, reiniciando o Active Directory Domain Services (AD DS) ou reinicializando os controles de domínio.

A coisa mais importante a entender sobre a recuperação de objetos excluídos do Exchange relacionados ao Active Directory é que os objetos do Exchange não existem isoladamente. Por exemplo, quando você habilita para email um usuário, várias diretivas e vários links diferentes são calculados para o usuário com base na configuração atual do Exchange. Dois problemas que podem surgir quando você restaurar um objeto de destinatário ou uma configuração excluída do Exchange são:

  • Colisões   Alguns atributos do Exchange devem ser exclusivos em uma floresta. Por exemplo, endereços proxy (de email) não devem ser o mesmo para dois usuários diferentes. O Active Directory não aplica exclusividade de endereço proxy (as ferramentas administrativas do Exchange verificam a exclusividade). As diretivas de endereço de email do Exchange também resolvem automaticamente possíveis conflitos na atribuição de endereço proxy com base em regras determinísticas. Por isso, é possível restaurar um objeto de usuário do Exchange e, como resultado, criar uma colisão com endereços proxy ou outros atributos que devem ser exclusivos.

  • Erros de Configuração   O Exchange automatizou as regras que atribuem várias diretivas ou configurações. Se você excluir um destinatário e alterar as regras ou as diretivas, a restauração de um objeto de usuário do Exchange poderá resultar em um usuário sendo atribuído à diretiva incorreta (ou até mesmo a uma diretiva que não existe mais).

As seguintes diretrizes o ajudarão a minimizar problemas ou questões quando você recuperar objetos relacionados ao Exchange:

  • Se você tiver excluído um objeto de configuração do Exchange usando as ferramentas de gerenciamento do Exchange, não restaure o objeto. Em vez disso, crie novamente o objeto usando as ferramentas de gerenciamento do Exchange (Console de Gerenciamento do Exchange ou Shell de Gerenciamento do Exchange).

  • Se você tiver excluído um objeto de configuração do Exchange sem usar o gerenciamento do Exchange, recupere-os o quanto antes. Quanto mais alterações administrativas e de configuração tiverem sido feitas no sistema desde a exclusão, maior será a probabilidade de a restauração dos objetos resultar em configuração incorreta.

  • Se você recuperar destinatários excluídos do Exchange (contatos, usuários ou grupos de distribuição), monitore de perto as colisões e os erros relacionados aos objetos recuperados. Se as diretivas do Exchange ou outra configuração relacionada a destinatários puderem ter sido modificadas desde a exclusão, reaplique as diretivas atuais aos destinatários restaurados para garantir que eles sejam configurados corretamente.

Para mais informações sobre como usar a Lixeira do Active Directory, consulte Guia passo a passo da Lixeira do Active Directory.

 © 2010 Microsoft Corporation. Todos os direitos reservados.