Как добиться максимальной степени взаимодействия Exchange 2000 и Exchange 5.5

В первой части статьи «Настройка и эффективное управление ADC» я рассказал об основных элементах и функциональных возможностях коннектора Active Directory Connector (ADC), таких, как правила синхронизации - connection agreements (CA), расширения схемы и способы поиска объектов синхронизации в AD. Эта информация очень важна для эффективного использования ADC в реальных условиях.

Ниже будут рассмотрены различные варианты использования ADC и настроек правил CA. Все примеры основаны на реальных почтовых системах, эксплуатирующихся в организациях. И хотя рецептов на все случаи жизни нет, существует несколько подходов, которые позволяют добиться высокой степени интеграции систем Exchange 2000 и Exchange 5.5.

Изучите свои возможности

Отсутствие продуманного плана перехода от Exchange 5.5 к Exchange 2000 почти наверняка приведет к неудаче. Планирование должно начинаться с тщательного анализа имеющихся средств и оборудования, а также понимания масштаба предстоящих работ по внедрению новой системы. Прежде всего необходимо представлять себе существующую топологию и используемые ресурсы сети. Только зная модель сети («звезда», частично или полностью смешанная) и скорости каналов связи, можно правильно спроектировать группы маршрутизации (RG) в Exchange 2000. Принимая во внимание схему распределения сетевых ресурсов, не составит труда правильно расположить ADC и настроить правила синхронизации CA.

CA служит для синхронизации объектов каталога DS сервера Exchange 5.5 и объектов AD сервера глобального каталога (GC). Всего несколько щелчков мышью при настройке синхронизации приводят в движение большой объем данных между двумя серверами, которые могут располагаться на значительном расстоянии друг от друга. Чтобы наилучшим образом расположить сервер GC (т. е. ближе к месту сосредоточения пользователей для быстроты регистрации в сети и ближе к серверам Exchange 5.5 для локализации трафика ADC), нужно знать топологию сети и проконсультироваться с группой внедрения Windows 2000.

Большое значение при планировании миграции от Exchange 5.5 к Exchange 2000 имеет понимание моделей доменов NT 4.0 и Windows 2000. Существует тенденция перехода от доменной модели, включающей в себя несколько доменов NT 4.0, к более простой модели Windows 2000, которая состоит из меньшего числа доменов.

Кроме того, следует учитывать модель сайта Exchange 5.5. В предыдущей статье я упоминал о необходимости определить хотя бы одно соглашение CA для каждого сайта Exchange 5.5. Это связано с тем, что копия контейнера Recipients, расположенная вне сайта Exchange 5.5, доступна только для чтения. Таким образом, необходимо настроить столько CA, сколько сайтов существует в организации. Хотя жесткого ограничения на количество устанавливаемых CA нет, для одного ADC рекомендуется задавать не более 75 CA. Если требуется большее число CA, то можно определить несколько ADC на главных сетевых направлениях. Это позволит снизить трафик синхронизации на медленных каналах связи WAN и уменьшить время задержки при распространении изменений между каталогами DS сервера Exchange 5.5 и AD.

Перед установкой коннекторов ADC следует выявить все почтовые ящики, принадлежащие одной и той же учетной записи NT 4.0. В Exchange 2000 каждый почтовый ящик должен иметь собственную учетную запись.

В заключение следует проверить уникальность учетных записей пользователей NT 4.0 и имен сайтов Exchange 5.5 в пределах всех доменов NT, участвующих в синхронизации с AD Windows 2000. В противном случае возможны конфликты, так как Exchange 5.5 может обеспечить уникальность имен только в пределах одного сайта. При небольшом количестве пользователей такую проверку легко выполнить вручную. Если пользователей много и ручная проверка невозможна, следует самостоятельно написать программы-сценарии или воспользоваться программами аудита независимых разработчиков, например NetIQ, FastLane Technologies или BindView.

Если вы ищете более простой способ перехода с Exchange 5.5 к Exchange 2000, то имейте в виду, что процесс миграции не намного проще полного развертывания Windows 2000 с последующей установкой Exchange 2000. Метод предварительного перехода на Windows 2000 имеет один недостаток - затрачиваемое время. Только в небольшой организации переход с контроллера домена NT 4.0 PDC к Windows 2000 (т. е. установка нового контроллера на тот же компьютер) проходит безболезненно. Альтернативой такому методу является использование инструмента миграции Microsoft Active Directory Migration Tool (ADMT). Этот инструмент при помощи API-интерфейса ClonePrincipal может создавать в новом домене Windows 2000 новые учетные записи так, что им становятся известны идентификаторы SID учетных записей домена NT 4.0.

Крупные организации, насчитывающие большое число доменов NT, вряд ли смогут быстро осуществить полный переход к доменам Windows 2000. Конечно, при наличии готовой инфраструктуры Windows 2000 проще заменить Exchange 5.5 на Exchange 2000, но желание скорее перейти к Exchange 2000 может возобладать над принципом последовательного развития инфраструктуры Windows 2000. В подобных случаях организации переходят на Exchange 2000 и Windows 2000 одновременно и устанавливают Exchange 2000 задолго до перевода всех учетных записей NT 4.0 на Windows 2000. Такой подход очень популярен в больших организациях, хотя он более сложен и в дальнейшем затрудняет администрирование. Рассмотрим несколько сценариев миграции, начиная с простейшего.

Сначала миграция от NT 4.0 к Windows 2000, затем установка ADC

Начнем с простой организационной структуры, изображенной на Рисунке 1. Организация SPECTRE состоит из одного домена NT (имя FLINT); имеет два сайта Exchange 5.5, расположенных в США и Европе. Из рисунка видно, что значение SID (т. е. 12345) учетной записи laahs такое же, как значение атрибута Assoc-Nt-Account почтового ящика, размещенного на сервере Exchange 5.5. В организации нет серверов Windows 2000 и Exchange 2000.

Первый шаг - передача управления от главного контроллера домена NT 4.0 контроллеру домена Windows 2000. Это никак не влияет на работу сервера Exchange 5.5, поскольку значения SID объектов остаются неизменными. Следующим шагом в процессе миграции является установка сервера ADC и настройка двусторонних правил CA между сайтом Exchange 5.5 и организационной единицей (OU) Users в AD. На Рисунке 2 показано, как определены правила синхронизации между контейнерами Recipients сайтов, с одной стороны, и организационной единицы Users в AD Windows 2000 - с другой. Вместо контейнера Recipients можно было бы указать контейнер всего сайта Exchange 5.5. В этом случае ADC синхронизирует с AD все объекты и контейнеры, расположенные внутри сайта. Задача ADC - связать при помощи значения Assoc-Nt-Account и SID объект почтового ящика Exchange 5.5 с объектом пользователя в AD. При этом ADC не создает в AD новых объектов пользователей, а добавляет данные атрибутов почтовых ящиков к данным каждого объекта.

Последним шагом является установка серверов Exchange 2000 (на серверы с Windows 2000) и перенос почтовых ящиков с Exchange 5.5 на Exchange 2000. При этом ADC обновляет атрибуты объектов пользователей в AD для указания нового местоположения почтовых ящиков. И в этом случае ADC не создает новых объектов пользователей в AD для почтовых ящиков Exchange 2000.

Домены Windows 2000 развернуты, установка ADC и переход от Exchange 5.5 к Exchange 2000

В отличие от небольших организаций, решающих проблему миграции только для одного домена, крупные организации имеют сети с многодоменной структурой и, соответственно, разрабатывают более сложные планы перехода. Рассмотрим пример высоконадежной сети, состоящей из нескольких узлов с Windows 2000 и Exchange 5.5. На Рисунке 3 представлена топология такой сети и ее магистрали, соединяющие шесть основных узлов при помощи высокоскоростных каналов связи ATM. Каждый узел служит центром для удаленных филиалов, подключенных к основной магистрали медленными каналами связи (т. е. от 64 до 512 Кбит/c). На Рисунке 4 показана модель домена Windows 2000. Ядро сети составляют четыре домена: flint.com, americas.flint.com, emea.flint.com и asiapacific.flint.com.

Рисунок 3. Топология примерной сети.

Это типовая доменная модель большой организации, в которой основная масса учетных записей пользователей, компьютеров и групп расположена в доменах нижнего уровня ameri-cas.flint.com, emea.flint.com и asiapacific.flint.com. Родительский домен flint.com содержит мало учетных записей и служит основанием дерева доменов. В корневом домене находится всего несколько учетных записей администраторов или групп.

Рисунок 4. Модель доменов Windows 2000.

На базе этой сети Windows 2000 развернута инфраструктура Exchange 5.5. В нашем примере предположим, что в каждом центральном узле и каждом удаленном филиале установлена система Exchange 5.5. (Таким образом, в сети находится 17 сайтов Exchange 5.5: по одному в каждом из шести центральных узлов и по одному в каждом из одиннадцати филиалов.) Следует определить правила синхронизации CA между каждым сайтом Exchange 5.5 и сервером глобального каталога GC в каждом сайте Windows 2000 (границы сайтов Windows 2000 показаны на Рисунке 3). ADC устанавливаются в шести центральных узлах, и каждый ADC содержит CA как для сайта Exchange 5.5 центрального узла, так и для сайтов удаленных филиалов, подключенных к этому узлу. Таким образом, во всей сети установлено шесть серверов ADC, и на каждом из них определено столько CA, сколько имеется сайтов Exchange 5.5 внутри границ каждого сайта Windows 2000.

Большое значение имеет то, как сайты Exchange 5.5 отображаются в географическую структуру доменов Win-dows 2000. Каждый сайт Exchange 5.5 ассоциируется с одним из доменов Windows 2000, и одно CA для каждого сайта Exchange 5.5 отображает получателей почты на организационную единицу Users каждого домена. Например, для домена americas.flint.com определено семь CA для синхронизации с OU Users. Для домена emea.flint.com необходимо шесть CA и для asiapacific.flint.com - четыре. Если удаленный филиал Kuala Lumpur подключен к узлу Singapore, а Melbourne - к узлу Sydney, то CA должны связать сайты Exchange 5.5 с OU Users домена asiapacific.flint.com.

ADC и CA установят соответствие между почтовыми ящиками каждого сайта Exchange 5.5 и объектами пользователей каждого домена Windows 2000 (объекты пользователей предварительно были перенесены с контроллеров доменов Windows NT 4.0). Соответствие определяется двумя способами. Если Windows 2000 была установлена на том же компьютере, где размещался контроллер домена Win-dows NT 4.0, то соответствие между почтовыми ящиками и объектами в AD устанавливается путем сравнения атрибута Assoc-Nt-Account с SID объекта AD.

Если старые домены NT не просто обновляются до Windows 2000, а подвергаются реструктуризации (т. е. топология Windows 2000 будет иметь мало сходства с топологией домена NT 4.0), то используется такой инструмент, как ADMT. При помощи ClonePrincipal в Windows 2000 создаются дубли объектов NT 4.0. Новым объектам-копиям присваивается SID, отличный от SID объектов NT 4.0. Следовательно, ADC не сможет использовать атрибут Assoc-Nt-Account для сравнения с SID объекта Windows 2000. Зато новый объект Windows 2000 имеет атрибут SIDHistory, содержащий SID старого объекта NT 4.0. В этом случае ADC ищет совпадение атрибута почтового ящика Assoc-Nt-Account с атрибутом SIDHistory объекта Windows 2000.

Есть еще один способ сохранить значения атрибутов одинаковыми. Утилита миграции имеет такую дополнительную возможность, как изменение значения атрибута Assoc-Nt-Account с SID объекта NT 4.0 на SID объекта Windows 2000 во время дублирования учетных записей пользователей из Windows NT 4.0 на Windows 2000. Это позволит ADC связать почтовый ящик Exchange 5.5 с объектом в AD.

Какой бы способ перехода к Windows 2000 вы ни избрали, ADC всегда может связать почтовый ящик Ex-change 5.5 с имеющейся учетной записью Windows 2000 и передать информацию из каталога DS сервера Exchange 5.5 в AD. При этом новые объекты в AD не создаются.

Нет никакой разницы между установкой ADC и CA в сети с одним корневым доменом плюс тремя доменами нижнего уровня и установкой в сети с единственным доменом, включающим два сайта Exchange 5.5. Каждый сценарий предполагает установку одного CA на каждый сайт Exchange 5.5. В многодоменной сети сайты Exchange 5.5 могут отображаться на любой из доменов Windows 2000. Это значительно упрощает топологию CA и позволяет распределять объекты сайта Exchange 5.5 по нескольким доменам Windows 2000. По-прежнему для каждого сайта Exchange 5.5 требуется наличие хотя бы одного соглашения CA в Windows 2000.

Кроме того, если объекты Exchange 5.5 не находятся в контейнерах, прямо отображенных на конкретные целевые домены Windows 2000, то приходится применять фильтр поиска LDAP или специально настраивать CA так, чтобы в указанные домены реплицировались только определенные объекты.

Установка ADC и переход от Exchange 5.5 к Exchange 2000 с параллельным развертыванием Windows 2000

Многие организации предпочитают перейти к системе Exchange 2000, не дожидаясь миграции всех серверов NT 4.0 на Windows 2000. Если в результа-те модернизации или миграции все объекты NT 4.0 стали объектами Windows 2000, то ADC просто связывает почтовые ящики Exchange 5.5 с учетными записями пользователей Windows 2000. Если же объекты NT 4.0 не были переведены на Windows 2000, то AD будет не столь полезна в качестве глобального списка адресов (GAL) для Exchange 2000.

В смешанной сети, когда совместно используются Exchange 2000 и Exchange 5.5, ADC создает в AD объекты для представления почтовых ящиков Exchange 5.5 и обеспечивает полный и единый список GAL для всех почтовых серверов. Многие организации идут по пути создания отдельной временной структуры OU в AD для хранения объектов, созданных ADC. Отделение объектов, сформированных ADC, от собственных объектов пользователей Windows 2000, полученных в результате миграции с NT 4.0, имеет несколько преимуществ. Это позволяет администраторам легко отличать собственные учетные записи пользователей системы от записей, созданных ADC. Вдобавок, собственные учетные записи Windows 2000 размещаются в таких OU, к которым установлены специальный тип доступа и групповые политики, что совершенно необязательно для объектов, созданных ADC.

С точки зрения CA использование временной структуры OU позволяет обойтись минимальным количеством CA на каждый сайт для представления почтовых ящиков Exchange 5.5. При помощи единственного CA в AD копируется иерархия контейнеров сайта Exchange 5.5, которая в дальнейшем может быть удалена из AD. Если отказаться от использования временной структуры OU, то для синхронизации сайта Exchange 5.5 с AD потребуется определить одно CA на каждый контейнер. Для больших почтовых систем это означает определение сотен CA.

Принимая во внимание рассмотренные выше модели сети и доменов Windows 2000, а также стратегию размещения ADC, можно представить структуру домена Windows 2000 (см. Рисунок 5). Иерархия OU, изображенная на Рисунке 5, принадлежит только домену asiapacific.flint.com, но такая же иерархия будет построена и в других доменах нижнего уровня для леса AD. Объекты пользователей, в конечном счете, будут помещены в организационную единицу Users, расположенную ниже OU Accounts. Применение OU Accounts позволяет отделить объекты пользователей от групп, ресурсов и административных ролей внутри AD.

Рассмотрим процесс переноса пользователей в этот домен (будем считать, что AD не содержит объектов Windows 2000). При помощи ADC в организационной единице Temp создаются временные объекты пользователей. Двустороннее правило CA, определенное между каждым сайтом Exchange 5.5 (т. е. Singapore, Kuala Lumpur, Sydney и Melbourne) и AD, создает в организационной единице Temp подразделы для отображения структуры сайта Exchange 5.5. Общее число CA равняется четырем. Объекты, которые могут быть отправителями и получателями почты, отображаются в список GAL, доступный для всех пользователей Exchange 2000. Временный объект в OU Temp прекращает свое существование и переносится в OU Accounts в момент миграции учетных записей NT 4.0 в Windows 2000. Программа миграции находит в Temp созданный ADC объект и переносит его в Users, расположенный ниже Accounts.

Все программы миграции, созданные такими независимыми разработчиками, как BindView, NetIQ и FastLane, обладают способностью обнаруживать и переносить временные объекты AD. А вот свободно распространяемая ADMT не имеет такой возможности. Если учетная запись переносится при помощи ADMT, то в AD создается дубль объекта. Поэтому приходится применять программу AD Cleanup Wizard для поиска одинаковых объектов в AD и удаления временных.

Такая модель миграции требует понимания тонкостей работы CA. На Рисунке 6 показана конфигурация CA для сайта Singapore сервера Exchan ge 5.5. Между сайтом Exchange 5.5 и OU Temp существует двустороннее CA, синхронизирующее объекты DS сервера Exchange 5.5 и AD. Принцип работы CA очевиден до тех пор, пока в AD во временной организационной единице Temp находятся созданные ADC объекты. После миграции учетных записей NT 4.0 в Windows 2000 и выполнения программы AD Cleanup Wizard, временные объекты будут уничтожены и останутся только объекты в OU Accounts. Значения атрибутов временных объектов, созданных ранее при помощи ADC, будут присвоены новым AD объектам в Ac-counts. Двусторонняя синхронизация между Exchange 5.5 и OU Temp функционирует таким образом, что любые изменения почтового ящика Exchan-ge 5.5 передаются новому объекту, даже если тот сменил расположение внутри AD. (CA определяет новое местоположение объекта при помощи атрибута ADCGlobalNames и уникального глобального идентификатора GUID.) Однако если местоположение объектов внутри AD изменилось, то двустороннее CA сможет реплицировать изменения только от Exchange 5.5 к AD, но не наоборот. Для репликации от OU Accounts в AD в Exchange 5.5 следует дополнительно определить одностороннее CA.

Рассмотренная топология CA применима для любого сайта Exchange 5.5 в организации. Каждый сайт Exchange 5.5 требует двустороннего CA к OU Temp и одностороннего CA от Accounts OU назад к Exchange. Для рассмотренного нами примера с 17 сайтами Exchange 5.5 требуется 34 CA (17 дву-сторонних и 17 односторонних).

Разумеется, в рамках одной статьи охватить все сетевые сценарии невозможно. Мы рассмотрели два варианта использования ADC, основанные на реальной структуре двух транснациональных корпораций. В каждом варианте рассматривались совершенно разные подходы к взаимодействию и миграции. Одна из корпораций ожидала завершения перехода к Windows 2000, что обеспечило ясную и простую конфигурацию ADC и CA. Во второй корпорации энергично внедряли Exchan-ge 2000, не дожидаясь окончания перехода на Windows 2000. В результате более сложными получились модель AD и реализация ADC с CA. Оба рассмотренных варианта приемлемы и обеспечивают одинаково точную синхронизацию объектов между Exchan-ge 2000, AD и Exchange Server 5.5. Решайте сами, какой вариант больше подходит для вашей организации, и действуйте.

(Окончание.)

КИРАН МАККОРРИ живет в Ирландии, является старшим консультантом группы Technology Leadership Group в Compaq. Автор книги «Connecting Microsoft Exchange Server» (Digital Press). С ним можно связаться по адресу: kieran.mccorry@compaq.com.