Поделиться через

Планирование доступа к Active Directory

  • Статья

Применимо к: Exchange Server 2010

Последнее изменение раздела: 2010-02-01

Сервер Microsoft Exchange Server 2010 хранит все данные о конфигурации и получателях в базе данных службы каталогов Active Directory. Когда компьютеру под управлением Exchange 2010 требуются сведения о получателях и конфигурации организации Exchange, он должен отправить в Active Directory запрос на доступ к этим сведениям. Серверы Active Directory должны быть доступны для правильной работы Exchange 2010.

В этом разделе описывается, как Exchange 2010 хранит и получает сведения в Active Directory, и как можно планировать доступ к Active Directory. Здесь также рассматриваются неполадки, которые необходимо учитывать при попытке восстановить удаленные объекты Exchange 2010 Active Directory.

Данные Exchange, хранящиеся в службе Active Directory

База данных Active Directory хранит информацию в логических разделах трех типов, описанных далее:

  • Раздел схемы
  • Раздел конфигурации
  • Раздел домена

Раздел схемы

Раздел схемы используется для хранения двух типов сведений: классов схемы и атрибутов схемы. Классы схемы определяют все типы объектов, которые могут создаваться и храниться в Active Directory. Атрибуты схемы определяют все свойства, которые могут использоваться для описания объектов, хранящихся в Active Directory.

При установке первой роли сервера Exchange 2010 в лесу или запуске процесса подготовки Active Directory этот процесс подготовки Active Directory добавляет различные классы и атрибуты в схему Active Directory. Добавляемые в схему классы используются для создания объектов Exchange, таких как агенты и соединители. Добавляемые в схему атрибуты используются для настройки объектов Exchange, а также пользователей и групп с поддержкой электронной почты. Эти атрибуты включают свойства, в том числе параметры Microsoft Office Outlook Web Access и параметры единой системы обмена сообщениями Microsoft Exchange. Каждый контроллер домена и сервер глобального каталога в лесу содержит полную реплику раздела схемы. 

Дополнительные сведения об изменении схемы в Exchange 2010 см. в разделе Изменения схемы Active Directory для Exchange 2010.

Раздел конфигурации

Раздел конфигурации используется для хранения сведений о конфигурации в масштабах леса. Эти сведения о конфигурации включают конфигурацию сайтов Active Directory, глобальные параметры Exchange, параметры транспорта, политики почтовых ящиков и телефонные группы единой системы обмена сообщениями. Каждый тип сведений о конфигурации хранится в контейнере раздела конфигурации. Сведения о конфигурации Exchange хранятся в подпапке внутри контейнера «Службы» раздела конфигурации. В этом контейнере хранятся следующие сведения:

  • Списки адресов
  • Шаблоны адресов и отображения
  • Административные группы
  • Параметры клиентского доступа
  • Подключения
  • Политики управления записями обмена сообщениями, мобильных почтовых ящиков и почтовых ящиков единой системы обмена сообщениями
  • Глобальные параметры
  • Политики адресов электронной почты
  • Системные политики
  • Параметры транспорта

Каждый контроллер домена и сервер глобального каталога в лесу содержит полную реплику раздела конфигурации.

Раздел домена

Раздел домена используется для хранения информации в контейнерах по умолчанию и в подразделениях, создаваемых администратором Active Directory. В этих контейнерах содержатся объекты, относящиеся к домену. Эти данные включают объекты системы Exchange и сведения о компьютерах, пользователях и группах в домене. При установке Exchange 2010 сервер Exchange обновляет объекты в этом разделе, чтобы обеспечить поддержку функций Exchange. Эта функциональность влияет на хранение и использование сведений о получателях.

Каждый контроллер домена содержит полную реплику раздела домена, для которого он является удостоверяющим. Каждый сервер глобального каталога в лесу содержит подмножество сведений каждого раздела домена в лесу.

Доступ Exchange 2010 к данным в службе Active Directory

Для доступа к сведениям, хранящимся в Active Directory, сервер Exchange 2010 использует интерфейс API Active Directory. Служба топологии Active Directory выполняется во всех ролях сервера Exchange 2010. Эта служба считывает сведения из всех разделов Active Directory. Получаемые данные кэшируются и используются серверами Exchange 2010 для определения расположения сайта Active Directory всех служб Exchange в организации. Дополнительные сведения о топологии и обнаружении служб см. в разделе Планирование использования сайтов Active Directory для маршрутизации почты.

Сервер Exchange 2010 — это приложение Active Directory с поддержкой сайтов, использующее в качестве предпочтительной связь с серверами каталога, расположенными на одном сайте с сервером Exchange, в целях оптимизации сетевого трафика. Каждая роль сервера в организации Exchange 2010 должна быть подключена к Active Directory для получения данных о получателях и сведений о других ролях сервера Exchange 2010. Данные, получаемые каждой ролью сервера, описываются в следующих разделах.

По умолчанию при каждом запуске сервера Exchange 2010 выполняется привязка к случайно выбранному контроллеру домена и серверу глобального каталога на его собственном сайте. Выбранные серверы каталогов можно просмотреть при просмотре свойств сервера Exchange 2010 в консоли управления Exchange или с помощью командлета Get-ExchangeServer в командной консоли Exchange. Также можно использовать командлет Set-ExchangeServer для настройки статического списка контроллеров домена, привязку к которым должен выполнять сервер Exchange 2010, или списка контроллеров домена, которые необходимо исключить. 

Важно!

Контроллер домена Windows Server 2008 можно настроить в качестве сервера каталогов только для чтения. Такая конфигурация используется при необходимости развертывания контроллера домена или сервера глобального каталога на удаленном сайте для проверки подлинности и авторизации, если при этом необходимо запретить администраторам на этом сайте записывать изменения в Active Directory. Тем не менее, сервер Exchange 2010 невозможно развернуть на сайте, который содержит исключительно серверы каталогов только для чтения.

Роль транспортного сервера-концентратора

Роль транспортного сервера-концентратора обращается к Active Directory при классификации сообщений. Классификатор должен опросить Active Directory для поиска получателя и разрешения маршрутизации. Сведения, извлекаемые классификатором во время поиска получателя, включают расположение почтового ящика получателя, а также любые ограничения или разрешения, применяемые к получателю. Классификатор также должен опросить Active Directory для расширения членства в списках рассылки и обработки запроса LDAP, необходимой при отправке почты динамическому списку рассылки.

При разрешении маршрутизации классификатор использует сведения о топологии, кэшируемые службой топологии Active Directory, для обнаружения пути маршрутизации сообщения. Транспортный сервер-концентратор использует сведения о конфигурации сайта Active Directory, чтобы определить расположение других серверов и соединителей в топологии.

Разрешив местоположение почтового ящика получателя, транспортный сервер-концентратор использует сведения о сайте в Active Directory для обнаружения хранилища почтовых ящиков. Транспортный сервер-концентратор доставляет сообщение непосредственно в почтовый ящик пользователя, если хранилище почтовых ящиков располагается в том же сайте Active Directory, что и сам транспортный сервер-концентратор. Если хранилище почтовых ящиков располагается в другом сайте Active Directory, транспортный сервер-концентратор доставляет сообщение транспортному серверу-концентратору в удаленном сайте Active Directory.

Транспортный сервер-концентратор хранит все сведения о конфигурации в Active Directory и осуществляет доступ к Active Directory для извлечения этих сведений. Сведения о конфигурации включают данные любых правил транспорта, правил журнала и соединителей.

Роль сервера клиентского доступа

Роль сервера клиентского доступа принимает подключения из Интернета для пользователей, получающих доступ к почтовому ящику с помощью Outlook Web App (POP3, IMAP4 или Microsoft Exchange ActiveSync). При получении подключения пользователя сервер клиентского доступа обращается к Active Directory для проверки подлинности пользователя и определения местоположения сервера почтовых ящиков пользователя. Если почтовый ящик пользователя находится в том же сайте Active Directory, что и сервер клиентского доступа, то пользователь подключается непосредственно к своему почтовому ящику. Если почтовый ящик пользователя находится не в том же сайте Active Directory, что и сервер клиентского доступа, принявшего первое подключение, то подключение перенаправляется серверу клиентского доступа в удаленном сайте Active Directory.

Серверная роль единой системы обмена сообщениями

Серверная роль единой системы обмена сообщениями осуществляет доступ к Active Directory для извлечения сведений о глобальных параметрах, таких как телефонные группы, шлюзы IP и группы слежения. Когда сервер единой системы обмена сообщениями получает сообщение, он выполняет поиск получателей Active Directory для сопоставления номера телефона и адреса получателя. Разрешив эти сведения, сервер единой системы обмена сообщениями может определить расположение хранилища почтовых ящиков получателя и передать сообщение транспортному серверу-концентратору для выполнения маршрутизации до этого ящика.

Роль сервера почтовых ящиков

Роль сервера почтовых ящиков используется для хранения сведений о конфигурации пользователей почтовых ящиков и хранилищ в Active Directory. Кроме того, в Active Directory хранится конфигурация агентов, списков адресов и политик. Сервер почтовых ящиков извлекает эти сведения для применения политик почтовых ящиков и глобальных параметров.

Роль пограничного транспортного сервера

Роль пограничного транспортного сервера развертывается в демилитаризованной зоне и не является членом домена. Пограничный транспортный сервер не имеет доступа к Active Directory и использует службы Active Directory облегченного доступа к каталогам (AD LDS) (ранее известные как ADAM) для хранения данных о схеме и конфигурации. Можно подписать пограничный транспортный сервер на сайт Active Directory, создав пограничную подписку. Транспортные серверы-концентраторы на этом сайте Active Directory используют службу Microsoft Exchange EdgeSync для синхронизации данных Active Directory со службами AD LDS.

Рекомендуется создать пограничную подписку для каждого пограничного транспортного сервера. Эта процедура автоматически реализует соединители отправки, необходимые для обеспечения сквозного потока электронной почты. Если планируется использование поиска получателей или функций создания общего списка безопасности для борьбы с нежелательной электронной почтой, то необходимо создать пограничную подписку.

Восстановление удаленных объектов Exchange

Корзина Active Directory позволяет минимизировать простои службы каталогов, а также сохранять и восстанавливать случайно удаленные объекты Active Directory без восстановления данных Active Directory из резервных копий, перезапуска доменных служб Active Directory (AD DS) или перезагрузки контроллеров домена.

Самое важное, что необходимо знать о восстановлении удаленных объектов Active Directory, связанных с Exchange, — это то, что объекты Exchange не могут существовать отдельно друг от друга. Например, при включении поддержки почты для пользователя выполняется расчет различных политик или ссылок на основе текущей конфигурации Exchange. При восстановлении удаленного объекта конфигурации Exchange или объекта получателя могут произойти две неполадки.

  • Конфликты   Некоторые атрибуты Exchange должны быть уникальными в лесу. Например, адреса прокси-серверов (адреса электронной почты) не должны быть идентичными для двух разных пользователей. Служба Active Directory не присваивает адресам прокси-серверов уникальность — проверка на уникальность выполняется с помощью средств администрирования Exchange. Политики адресов электронной почты Exchange также автоматически устраняют возможные конфликты в назначениях адресов прокси-серверов, основанных на определенных правилах. Таким образом, можно восстановить объект пользователя Exchange и в результате создать конфликт между адресами прокси-серверов и другими атрибутами, которые должны быть уникальными.
  • Неправильная конфигурация   В Exchange существуют автоматизированные правила назначения различных политик или параметров. Если пользователь удаляет получателя, а затем изменяет правила или политики, восстановление объекта пользователя Exchange может привести к назначению пользователя неправильной политике (или даже несуществующей политике).

Следующие инструкции помогут минимизировать проблемы при восстановлении удаленных объектов, связанных с Exchange.

  • Не восстанавливайте объект конфигурации Exchange, если он был удален с помощью средств управления Exchange. Вместо этого повторно создайте объект с помощью средств управления Exchange (консоли управления Exchange или командной консоли Exchange).
  • При удалении объектов конфигурации Exchange без использования средств управления Exchange, восстановите их как можно скорее. Чем больше административных изменений и изменений конфигурации выполнено в системе после удаления, тем больше вероятность, что восстановление объектов приведет к неправильной конфигурации.
  • При восстановлении удаленных получателей Exchange (контактов, пользователей или групп рассылки) внимательно отслеживайте возникновением конфликтов и ошибок, связанных с восстановленными объектами. Если после удаления могли быть изменены политики Exchange или другие конфигурации, связанные с получателями, повторно примените текущие политики к восстановленным получателям, чтобы убедиться в их правильной настройке.

Дополнительные сведения об использовании корзины Active Directory см. в документе Пошаговое руководство по использованию корзины Active Directory.