Microsoft Exchange 2000 Server интегрирован с Windows 2000 более тесно, чем Exchange Server 5.5 с Windows NT, об этом рассказано в статье «Взаимодействие Exchange 2000 и Windows 2000» (опубликованной в Windows 2000 Magazine/RE №5 2002 г. — прим. ред.). В данной статье рассматривается зависимость Exchange 2000 от репликации Active Directory (AD) и File Replication Service (FRS), а также процесс установки Active Directory Connector (ADC) и первого сервера Exchange 2000. Кроме того, необходимо понять, как взаимодействует Exchange 2000 с правами и разрешениями в Windows 2000, с учетной записью LocalSystem, доменным деревом AD организации, глобальным каталогом (GC), DNS и IIS.
Административные роли
Модель доступа Exchange 5.5 поддерживала децентрализованное администрирование, позволяя осуществлять управление на уровне узла. Это напоминало модель доступа в NT и Microsoft Mail (MS Mail) — двух продуктах, повлиявших на реализацию первого поколения Exchange. По сути, любой пользователь, имеющий учетную запись NT с правами Administrator, мог производить административные действия с Exchange 5.5, такие, как установка новых серверов Exchange или внесение изменений в узле или организации (в зависимости от предоставленных разрешений).
В Exchange 2000 центр управления перенесен с уровня узла на уровень организации. Такие изменения дают значительные результаты. Exchange 2000 и Windows 2000 имеют общую модель разрешений на основе ACL. Оба продукта используют роли, основанные на разрешениях Windows 2000, которые определяют различные типы административных операций. Теоретически распределение разрешений из одного набора (которые объединяются в роли) кажется простой задачей, но практика показывает, что новая модель значительно усложняет внедрение Exchange.
Exchange 2000 позволяет назначить учетным записям или группам три роли: Exchange Full Administrator, Exchange Administrator или Exchange View Only Administrator. Можно назначать роли и таким образом делегировать управление на уровне административных групп (административная группа эквивалентна узлу Exchange 5.5) или на уровне организации. Учетная запись или группа может отдельно работать с объектами в административной группе или организации. Как следует из названия, Exchange Full Administrator — наиболее мощная роль. Когда используется ключ /forestprep, программа установки назначает эту роль текущей учетной записи. Изначально только одна учетная запись получает роль Exchange Full Administrator, но такую роль можно назначить любым другим учетным записям, которым необходимо выполнять администрирование организации Exchange (подробнее ключ /forestprep описан в статье «Взаимодействие Exchange 2000 и Windows 2000»). Учетная запись с ролью Exchange Full Administrator на уровне организации может устанавливать и удалять серверы, создавать и удалять административные группы, устанавливать Key Management Server (KMS) и назначать роли другим учетным записям, включая роль Exchange Full Administrator. Другими словами, все административные действия могут выполнять учетные записи, которым назначена роль Exchange Full Administrator на уровне организации. Но поскольку эта роль самая привилегированная, то присваивать ее на верхнем уровне иерархии следует только нескольким учетным записям или группам.
В небольших организациях обычно имеется несколько сотрудников, которые могут устанавливать серверы и программное обеспечение. В больших же компаниях всегда приходится выбирать: предоставить необходимые права некоторому количеству опытных специалистов, ограничить число пользователей, имеющих возможность устанавливать Exchange, выполнять установку удаленно и централизованно или же обеспечивать соответствующие права только на период установки. Все варианты имеют свои недостатки.
Системные службы
Exchange 5.5 использует служебную учетную запись для обеспечения службам Exchange (например, Information Store, IS, Message Transfer Agent, MTA, Internet Mail Service, IMS) возможности регистрации в системе и благополучной аутентификации. Классической ошибкой администратора при работе с Exchange является изменение пароля служебной учетной записи с помощью User Manager for Domains, а не через Microsoft Exchange Administrator. Такое изменение пароля происходит только в SAM, а не одновременно в базе Exchange Directory Store и SAM, поэтому службы не запускаются из-за несовпадения паролей.
Exchange 2000 использует встроенную в Windows 2000 учетную запись LocalSystem для запуска и управления службами Exchange. Поэтому можно уже не заботиться об изменении пароля служебной учетной записи, за исключением случая совместной работы серверов Exchange 5.5 и Windows 2000.
В такой ситуации ADC и Site Replication Services (SRS) используют служебную учетную запись Exchange 5.5, поэтому ее следует сохранять до удаления последнего сервера Exchange 5.5. Можно установить для служб Exchange 2000 учетную запись не LocalSystem, а другую (например, требуется, чтобы службы Exchange 2000 работали с той же учетной записью, что и Exchange 5.5). Но при этом службы Exchange не запустятся, если они определят, что им установлены различные учетные записи. Более подробно об этом рассказано в статье Microsoft «XADM: Error 1069 Starting an Exchange 2000 Server Service» (http://support.microsoft.com/default.aspx?scid=kb;en-us;q271920).
Лес
Связь между организацией Exchange и лесом AD — другой пример интеграции между почтовым сервером и операционной системой. Установка первого сервера Exchange 2000 обновляет схему AD и добавляет контейнеры Exchange в контекст именования конфигурации (naming context, NC). Такой контейнер может быть только один, в нем хранятся все элементы организации Exchange (например, серверы, коннекторы). Следовательно, может быть только одна организация Exchange в лесу AD (для сравнения: в домене или доменах NT может быть много организаций Exchange 5.5).
В большинстве компаний не сочтут такое ограничение проблемой, но многим хотелось бы иметь несколько организаций в одном лесу. Например, провайдер услуг приложений (ASP) мог бы содержать множество организаций Exchange в лесу, но такая установка невозможна при работе с Exchange 2000 и Windows 2000. Если в компании в настоящий момент имеется множество организаций Exchange 5.5, то потребуется обеспечить функционирование множества лесов AD или объединение всех организаций Exchange 5.5 в одну большую организацию Exchange 2000.
Именно последний вариант рекомендуют специалисты Microsoft. Exchange 2000 Service Pack 1 (SP1) включает в себя обновленный мастер переноса сервера Move Server Wizard. Этот мастер можно использовать для переноса сервера из организации Exchange 5.5 в организацию Exchange 2000. Эта процедура проста и обеспечивает выполнение всех работ, включая перенос коннекторов и общих папок. Следует помнить, что при установке пакета обновлений требуется доступ к серверу, исполнителю роли мастера схемы (подробнее о таком сервере рассказано в статье «Взаимодействие Exchange 2000 и Windows 2000»).
Расположение GC
Если исследовать процесс внедрения Exchange 2000, становится понятно, насколько важно правильно разместить серверы глобального каталога GC (относительно серверов Exchange). Эта тема обсуждается в статье «Опыт внедрения Exchange 2000» (опубликованной в Windows 2000 Magazine/RE №8 за 2001 г. — прим. ред.). Имеет смысл рассмотреть внедрение Exchange 2000 SP2, включая обновление версии компонента DSAccess, который позволяет получить информацию о GC и DC. Новый DSAccess — более мощный, чем его младшая версия, и лучше работает в случае сбоя, что говорит о необходимости обновления серверов Exchange 2000 до SP2 в большой распределенной сети.
Другая тема, которая относится к GC, — группы рассылки. Каждый GC хранит полную копию всех объектов домена и часть объектов из других доменов леса. Поэтому только сервер GC может успешно определить членов универсальной группы рассылки Universal Distribution Group (UDG), которая является в AD эквивалентом списков рассылки (DL) в Exchange 5.5. Однако раскрыть глобальную группу рассылки может только тот DC, который является ее владельцем (AD реплицирует объект группы на каждый GC, но не его содержимое). Поэтому может возникнуть ситуация, когда один сервер Exchange 2000 раскрывает группу рассылки, а другой сервер не может этого сделать. В дальнейшем Exchange 2000 будет работать нормально: каждый сервер Exchange будет раскрывать группу рассылки и отправлять сообщения всем членам группы. Проблема в том, что сервер, подключающийся к GC, который находится на DC — владельце группы, может раскрыть список и разослать сообщение всем получателям, а сервер, подключающийся к GC из другого домена, получает пустой список членов группы.
Из этого можно сделать следующий вывод: группы UDG нужно использовать всегда. Чтобы определять содержимое группы или добавлять в нее новых членов, следует открыть оснастку Active Directory Users and Computers в Microsoft Management Console (MMC), выбрать объект группы и открыть диалоговое окно Properties. Необходимо убедиться, что в параметре Group scope (на закладке General) установлено Universal и что параметр Group type имеет значение Distribution. Если для группы используются ограничения по безопасности, такие, как запрет на доступ к общим папкам, режим Group type следует установить как Security. Такой тип группы, как универсальная группа безопасности Universal Security Group (USG), можно использовать для почтовых целей аналогично UDG.
Необходимость DNS
Для работы Exchange 2000 обязательно нужна служба DNS, с помощью которой выполняется репликация AD.
У Exchange 2000 зависимость от DNS двоякая. С одной стороны, когда загружаются GC и DC, они регистрируют записи DNS SRV в AD. Exchange 2000 запрашивает AD для получения сведений о наиболее подходящих DC и GC (возможно, Exchange использует DC и GC, находящиеся в том же узле Windows 2000, но необходимо убедиться, что серверы в узле расположены правильно). Можно задействовать утилиту Dsadiag из Microsoft Exchange 2000 Server Resource Kit для просмотра информации о DC и GC, загруженной в кэш каталога, или воспользоваться консолью MMC Exchange System Manager (ESM) для просмотра свойств выбранного сервера и определения сервера GC (если используется Exchange 2000 SP2, то в диалоговом окне Properties имеется закладка Directory Access, с помощью которой можно получить доступ к новому компоненту DSAccess). С другой стороны, Exchange 2000 не зависит от работы DNS при отправке сообщений внутри маршрутной группы или через коннектор Routing Group Connector (RGC). Exchange 2000 требуется DNS для маршрутизации трафика SMTP на внешние почтовые серверы.
Если для работы необходим компонент Exchange 2000 Instant Messaging, то придется обновить DNS для обеспечения клиентам Instant Messaging и серверам возможности поиска.
Безопасность IIS
Exchange 2000 зависит от встроенной в Windows 2000 службы Microsoft IIS, предназначенной для поддержки протоколов Internet (т. е. SMTP, IMAP, POP, HTTP и Network News Transfer Protocol NNTP), которые используют клиенты или приложения, отличные от Microsoft Outlook. Это обстоятельство следует учитывать в плане внедрения Exchange 2000.
IIS защищен не так хорошо, как хотелось бы. Все помнят недавние проблемы с безопасностью IIS, включая такие, как заражение вирусом Nimda. Microsoft предлагает утилиты для анализа серверов на предмет уязвимости и защиты IIS от атак, подобных воздействию Nimda (подробную информацию можно найти на Microsoft Security Web по адресу: http://www.microsoft.com/security). Однако блокировка IIS влияет на функционирование Exchange — останавливается работа компонентов с динамическим содержимым, таких, как Outlook Web Access (OWA). В статье Microsoft «XCCC: IIS Lockdown and URLScan Configurations in an Exchange Environment» (ее можно найти по адресу: http://support.microsoft.com/default.aspx?scid=kb;en-us;q309508) описаны меры защиты IIS и обеспечения работоспособности Exchange 2000.
Совместная работа
Можно попробовать развернуть системы Exchange 2000 или Windows 2000 без учета взаимного влияния продуктов, но в результате может пострадать общая информационная инфраструктура. Прежде чем устанавливать Exchange 2000, следует обсудить все аспекты с командой, которая внедряла Windows 2000 (см. врезку «Ответьте на вопросы»).
Рассмотреть принципы взаимодействия с Windows 2000, бесспорно, полезно, поскольку Exchange 2000 — первый промышленный продукт Microsoft, использующий многие возможности Windows 2000.
ТОНИ РЕДМОНД — редактор Windows 2000 Magazine, старший технический редактор выпусков Exchange Administrator, вице-президент в Compaq Global Services. С ним можно связаться по электронной почте: exchguru@win2000mag.com.
Ответьте на вопросы
Планируя внедрение Exchange 2000, следует обсудить с администраторами Windows 2000 следующие вопросы.
- Правильно ли настроена репликация Active Directory (AD)?
- File Replication Service (FRS) работает во всем лесу Windows 2000?
- Необходим ли Active Directory Connector (ADC) для синхронизации адресной информации между AD и существующими серверами Exchange Server 5.5? Требуется ли соединение CA и какое целевое подразделение OU использовать? Кто выполнит обновление схемы ADC?
- Кто выполнит установку с ключом /forestprep? Кто проверит результат изменений схемы и корректность репликации?
- Где устанавливать первый сервер Exchange 2000 в доменном лесу и кто будет его устанавливать? Каким учетным записям и группам назначить роль Exchange Full Administrator?
- Сколько существует организаций Exchange 5.5 и как провести их миграцию в лес AD?
- Сколько развернуто серверов Global Catalog (GC) и где?
- В какие узлы Windows 2000 должны быть установлены серверы Exchange?
- Корректно ли работает служба DNS? Нужно ли поддерживать маршрутизацию почты?
- Все ли доступные исправления системы безопасности установлены правильно?
- Как защищен сервер IIS?