Развертывание леса ресурсов Exchange (часть 1)

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

• Развертывание леса ресурсов Exchange (часть 2)

Во многих компаниях есть отдельные леса, которые они не собираются снова объединять. Это может быть из-за:

• Множество сфер деятельности, требующих изоляции данных и служб.
• Различные схематические требования
• Процесс расширения или слияния компании

Мы можем развертывать Exchange Server 2007 традиционным способом, то есть как единый лес, но в Exchange Server 2007 мы можем работать и с множеством лесов; в таких сценариях возможны две топологии.

Узловой лес

Эта топология использует множество лесов Exchange. В каждом лесу установлен Exchange Server 2007, а также средство, синхронизирующее получателей между ними, так как мы должны использовать одну и ту же GAL для всех лесов.

Рисунок 1: Сценарий узлового леса

Ресурсный лес

В топологии леса ресурсов Exchange Server 2007 установлен на один лес, и кроме него есть один или более лесов аккаунтов. Хост пользователей будет в лесу аккаунтов, а для пользователей с включенным почтовым ящиком — в другом лесу. Мы будем связывать эти почтовые ящики с пользователями из почтового ящика аккаунта.

В этом типе сценария у нас нет проблем, связанных с GAL, так как все пользователи находятся в одном лесу (лесу ресурсов), но, возможно, нам понадобится больше аппаратного обеспечения и инфраструктуры для развертывания нового леса для всех почтовых ящиков.

Рисунок 2: Сценарий леса ресурсов

Сценарий

Давайте возьмем сценарий, в котором у нас есть два леса аккаунтов, apatricio.local и other.local. У нас также будет новый лес, который будет ресурсным. Этот лес мы назовем msexchange.local. В этой статье мы запустим лес ресурсов, используя Exchange Server 2007, с самого начала. Прямо сейчас у нас есть два леса аккаунтов без какой-либо системы отправки сообщений.

С точки зрения безопасности только пользователи с правами exchange в лесу ресурсов смогут создавать пользователей, даже администраторы леса аккаунтов не могут управлять аккаунтами и почтовыми ящиками в лесу ресурсов.

Мы будем использовать сценарий (Рисунок 3), где у нас два компьютера из разных сегментов, но из одной группы, которые хотят использовать совместно некоторую инфраструктуру отправки сообщений.

Рисунок 3: Два леса аккаунтов, содержащие всех пользователей и лес ресурсов, который получит Exchange Server 2007

Затем мы установим Exchange Server 2007 в лес ресурсов, чтобы быть хостом для всех почтовых ящиков обоих лесов аккаунтов. Мы должны создать этот новый лес согласно Microsoft Best Practices, и, при возможности, создадим Disaster Recovery Plan (План восстановления после крушения) с решением высокой готовности, включая Domain Controllers и роли Exchange Server.

Теперь, когда мы определились, какой вид топологии собираемся развернуть, мы должны установить некоторые настройки в этом фиктивном сценарии.

Установка Exchange Server 2007

В первую очередь нам нужно установить Exchange Server 2007 в лесу ресурсов. Это обычный процесс установки, с которым можно познакомиться в серии статей, написанных MVP fellow Родни Бьюиком (Rodney Buike). Установка Exchange 2007 (часть 1). Для нашего сценария мы установим единственный Exchange Server 2007 с Client Access (Клиентский доступ), Hub Transport(Транспортный концентратор) и Mailbox (Почта) серверными ролями.

Хотя мы и работаем в сценарии леса ресурсов, никаких специфических шагов в процессе установки делать не нужно. Процесс установки Exchange Server 2007 не зависит от типа топологии Exchange.

Настройка серверов DNS для работы с лесом ресурсов

Перед тем, как начать создавать доверительные отношения, мы должны сконфигурировать разрешения имен между лесами; давайте сконфигурируем сервер DNS в двух лесах аккаунтов (Apatricio.local и Other.local). Нужно выполнить перечисленные задачи для каждого леса:

1. Войти в сервер Domain Controller леса аккаунта.
2. Щелкнуть на Start(Начать) и Run(Запустить)
3. Набрать dnsmgmt.msc и щелкнуть OK
4. Щелкнуть правой кнопкой мыши на (Имя сервера) и нажать на Properties(Свойства)
5. Щелкнуть вкладку Forwarders (Продвижение данных)
6. Нажать на кнопку New(Новый) и в новом окне вставьте следующую информацию: msexchange.local(имя нашего леса ресурсов), затем OK.
7. Щелкнуть на ресурсным домен в DNS domain и добавить IP адрес сервера DNS ресурсного леса, как на рисунке 4.
   Рисунок 4: В аккаунтных серверах DNS мы устанавливаем разрешение для msexchange.local(лес ресурсов) в определенном сервере DNS

Теперь нам надо сконфигурировать разрешение DNS в лесу ресурсов. Для этого выполните следующее:

1. Войти в сервер DNS леса ресурсов.
2. Щелкнуть Start / Run
3. Наберите dnsmgmt.msc, затем нажмите OK.
4. Щелкните правой кнопкой мыши на , затем Properties
5. Щелкните вкладку Forwarders

   Для каждого леса аккаунта выполните следующие шаги:

6. Щелкните кнопку New…, добавьте доменное имя леса аккаунта (напр.: apatricio.local)
7. Нажмите на только что созданную новую зону в окне DNS Domain, введите IP адрес соответствующего сервера DNS в поле ниже, нажмите Add.
   Рисунок 5: Установление разрешения DNS на сервере DNS леса ресурсов

Теперь мы можем достичь сервера всех наших лесов через разрешение DNS.

Установление доверительных отношений между лесами

Сейчас, после установления разрешения DNS, мы можем устанавливать доверительные отношения между лесами. Мы должны выполнить процедуры, приведенные ниже, из леса ресурсов. Для каждого леса аккаунтов для создания доверительных отношений необходим аккаунт администратора:

1. Войдите в сервер леса ресурсов.
2. Щелкните Start, Programs, Administrative Tools и Active Directory Domains and Trusts.
3. Щелкните правой кнопкой мыши на домен леса ресурсов (msexchange.local) и нажмите на Properties.
4. Щелкните на вкладку Trusts.

   Теперь для каждого леса аккаунтов выполните:

5. Щелкните на New Trust...
6. Welcome to the New Trust Wizard. (Добро пожаловать в мастер создания доверительных отношений). Первый экран для создания доверительного отношения, нажмите на Next.
7. Trust Name(Имя доверительного отношения). Заполните поле Name (Имя) имеем леса аккаунтов (Рисунок 6). Нажмите Next.
   Рисунок 6: Указание имени доверительного отношения между лесом аккаунтов и лесом ресурсов
8. Trust Type(Тип доверительного отношения). Нажмите на Forest Trust, потом на Next.

   Замечание:
   Если эта опция не появляется — это из-за того, что лес находится не в режиме 2003.

9. Direction of Trust(Направление доверительного отношения). Нажмите на One-way: outgoing(отдностороннее: исходящее), затем на Next.
10. Sides of Trust(Стороны доверительного отношения). Нажмите Both this domain and the specified domain (Этот домен и указанный домен), затем на Next. Эта опция позволяет нам создавать отношение доверия в локальном домене и лесе аккаунтов.
11. User Name and Password(Имя пользователя и пароль). Заполните User Name and Password для леса аккаунтов, затем нажмите Next.
12. Outgoing Trust Authentication Level—Local Forest(Уровень аутентификации исходящего доверительного отношения — локальный лес). Щелкните на Forest-wide authentication (аутентификация на уровне леса), затем на Next.
13. Trust Selections Complete(Выбор доверительных отношения завершен). Будет показан обзор наших последних шагов, затем нажмите Next..
14. Trust Creation Complete(Создание доверительного отношения завершено). Появится картинка, аналогичная Рисунку 7. Нажмите Next.
    Рисунок 7: Исходящее доверительное отношение было создано
15. Confirm Outgoing Trust(Подтверждение исходящего доверительного отношения). Выберите Yes, confirm the outgoing trust(Да, подтвердить исходящее доверительное отношение), затем нажмите Next.
16. Completing the new Trust Wizard(Завершение мастера нового доверительного отношения). Появится финальный экран (Рисунок 8).
    Рисунок 8: Финальный экран мастера нового доверительного отношения, информирующий нас о том, что мы создали исходящее доверительное отношение между лесом ресурсов и лесом аккаунтов

У нас создано однонаправленное исходящее доверительное отношение для каждого леса аккаунтов, в котором лес ресурсов доверяет лесу аккаунтов. Давайте проверим конфигурацию в Active Directory Domain и в Resource Forest Trusts(Доверительные отношения леса ресурсов) (Рисунок 9).

Рисунок 9: Доверительные отношения леса ресурсов

Теперь посмотрим на домен и доверительные отношения Active Directory в лесу аккаунтов. Результат должен быть аналогичен Рисунку 10.

Рисунок 10: Домен и доверительные отношения Active Directory в лесу аккаунтов

Теперь у нас есть новый лес ресурсов с Exchange Server 2007, мы создали однонаправленные исходящие доверительные отношения для лесов аккаунтов.

Заключение

В этой статье мы всего лишь посмотрели на два типа многолесных реализаций, которые мы можем развертывать в Exchange Server 2007. Мы также начали процесс реализации леса ресурсов с самого начала, используя два существующих леса аккаунтов, и строя новый лес ресурсов для почтовых ящиков. Мы также поработали над инфраструктурой для использования леса ресурсов Exchange Server 2007. В следующей статье мы еще поработаем над Exchange 2007.

Дополнительная информация:

Как создать доверительное отношение леса
Проверочный список для создания доверительного отношения леса
Установка Exchange Server 2007

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

• Развертывание леса ресурсов Exchange (часть 2)