Опубликован: 30.04.2006 | Уровень: специалист | Доступ: платный
Лекция 4:

Интеграция с Windows Server 2003

Exchange Server 2003 и Active Directory

В Exchange 5.5 Server использовался особый каталог, являвший собой центральное расположение объектов организации, таких как адреса, почтовые ящики, списки рассылки и общие папки. Эта служба каталогов также управляла репликацией объектов между серверами Exchange 5.5.

В Exchange Server 2003 специальный каталог больше не используется. Вместо этого реализована интеграция со службой Active Directory в Windows Server 2003. Интеграция с Windows Server 2003 обеспечивает следующие преимущества:

  • централизованное управление объектами. Администрирование Exchange Server 2003 и Windows Server 2003 является унифицированным. Объектами каталога можно управлять из одного места, при помощи одного средства управления и одного и того же персонала;
  • упрощенное управление безопасностью. В Exchange Server 2003 используются функции безопасности Windows Server 2003, такие как список разграничительного контроля доступа (DACL). Изменения в структурах безопасности (таких как учетные записи пользователей или групп) применяются к данным, хранимым как в файловых расположениях Exchange 2003, так и в Windows Server 2003;
  • упрощенное создание списков рассылки. Exchange Server 2003 автоматически использует группы безопасности Windows Server 2003 в качестве списков рассылки, что исключает надобность создания группы безопасности для каждого подразделения и соответствующей группы распространения для того же подразделения. Группы распространения создаются в тех случаях, когда группу требуется использовать только для рассылки электронной почты;
  • упрощенный доступ к информации каталога. LDAP теперь является штатным протоколом доступа к информации каталога. В предыдущих версиях Exchange поиск в каталогах осуществлялся с помощью интерфейса Named Service Provider Interface (NSPI).

Хранение данных Exchange 2003 в Active Directory

Ранее уже говорилось о том, что Active Directory состоит из трех разделов определений: конфигурации, схемы и домена. В этом параграфе будет рассказываться о том, каким образом эти разделы используются Exchange Server 2003 и данные каких типов в них хранятся.

Раздел определения домена

В разделе определения домена хранятся все объекты доменов Exchange 2003, и выполняется их репликация на каждый контроллер домена. В этом разделе хранятся объекты получателей, включая пользователей, контакты и группы.

Exchange Server 2003 использует Active Directory посредством присвоения атрибутов объектам пользователя, группы и контакта в целях реализации обмена сообщениями. Так как Exchange Server 2003 использует ту же базу данных, что и Windows Server 2003, по сравнению с версией Exchange 5.5 терминология претерпела изменения. В таблице 4.2 приведен перечень объектов Exchange 5.5 Server и их аналоги в Active Directory, а на рисунке 4.4 показано диалоговое окно, используемое для включения возможности объекта пользователя работать с электронной почтой.

Таблица 4.2. Сопоставление терминологии каталога Exchange 5.5 и Exchange 2003
Объект каталога Exchange 5.5 Эквивалентный объект Active Directory Комментарии
Почтовый ящик Пользователь, которому разрешена работа с почтовым ящиком Пользователи с доступом к почтовому ящику являются защищенными объектами в Active Directory, которые могут отправлять и получать сообщения.
Нет прямого соответствия объекту в версии 5.5 Пользователь с доступом к почте Пользователями с доступом к почте являются пользователи, которые могут осуществлять вход в домен с помощью учетной записи в домене, но чья электронная почта отправляется по внешнему адресу. Этот тип пользователей наиболее подходит для сотрудников с долгосрочным контрактом, которым нужен доступ к ресурсам в сети, но которым требуется отправлять и принимать электронную почту через систему электронной почты работодателя.
Сторонний получатель Контакт с доступом к почте Все контакты с доступом к почте имеют SMTP-адрес. Это всегда пользователи, находящиеся вне рассматриваемой организации Exchange.
Список рассылки Группа с доступом к почте Локальные, глобальные и универсальные группы домена могут иметь доступ к почте.
Общая папка Общая папка Общие папки с доступом к почте могут создаваться только в оснастке Exchange System или в Active Directory Connector
Включение доступа к электронной почте объекта пользователя

Рис. 4.4. Включение доступа к электронной почте объекта пользователя

Разработка стратегии применения групп. В предыдущих версиях Exchange для отправки одного сообщения большому числу получателей использовались списки рассылки. В Exchange 2003 для выполнения этой функции используются группы. При отправке сообщения таким способом его получают все учетные записи пользователей, находящиеся внутри группы. В собственном режиме Windows Server 2003 одни группы могут быть вложены в другие, посредством чего создаются многоуровневые списки рассылки. Для распространения большого числа сообщений наиболее часто используются два типа групп – глобальные и универсальные.

Если требуется оптимизировать универсальные группы безопасности, настроенные в Active Directory, можно включить для этих групп доступ к почте (см. рис. 4.5), после чего добавить псевдоним электронной почты SMTP (см. рис. 4.6). Теперь группа будет отображаться в глобальном списке адресов (см. рис. 4.7).Чтобы разрешить группе доступ к почте, щелкните на группе правой кнопкой мыши, выберите Exchange Tasks (Задачи Exchange), после чего следуйте инструкциям мастера задач Exchange (Exchange Task Wizard).

Самым большим недостатком универсальных групп является то, что данные об их членах полностью копируются (подвергаются репликации) на сервер глобального каталога, поэтому при внесении изменения в состав членов универсальной группы всегда имеет место трафик репликации. Из этого следует, что лучше всего заполнять универсальную группу другими глобальными группами, чтобы при изменении членства в глобальной группе универсальная группа не изменялась, и трафик репликации отсутствовал.

Разрешение доступа группы к почте с помощью мастера задач Exchange

Рис. 4.5. Разрешение доступа группы к почте с помощью мастера задач Exchange
Создание псевдонима SMTP в мастере задач Exchange

Рис. 4.6. Создание псевдонима SMTP в мастере задач Exchange

Глобальным группам также может быть разрешен доступ к почте для распространения сообщений. Если универсальные группы не используются, можно включить доступ к почте глобальным группам. Членство в глобальной группе не объявляется на сервере глобального каталога, в связи с чем возникают некоторые вопросы при работе в мультидоменной среде.

Просмотр группы с доступом к почте в глобальном списке адресов

Рис. 4.7. Просмотр группы с доступом к почте в глобальном списке адресов
Евгений Макаревич
Евгений Макаревич
Россия, Москва, РОСНОУ
Димон Кучер
Димон Кучер
Украина