Взаимодействие Exchange 2000 и Windows 2000

Одна из самых больших ошибок, которые допускают администраторы при развертывании системы Microsoft Exchange 2000 Server, состоит в том, что в плане миграции не учитывается взаимодействие учетных записей в Exchange и Windows 2000. Для успешного выполнения задачи необходимо в этом разобраться и при планировании учесть взаимные требования программных продуктов.

Как известно, Exchange 2000 зависит от Active Directory (AD) и расширяет существующую схему AD во время установки. Расширение схемы необходимо выполнить до перехода на Exchange 2000 с Exchange Server 5.5, иначе организация Exchange 2000 будет создана с ошибками. Нужно иметь в виду, что разрешения в Exchange 2000 отличаются от тех, что были в Exchange 5.5. Exchange 2000 зависит и от некоторых компонентов Windows 2000, таких, как File Replication Service (FRS), DNS и Microsoft IIS.

Прежде чем разворачивать Exchange 2000, следует рассмотреть компоненты Windows 2000, которые повлияют на Exchange (или Exchange повлияет на них). Это поможет успешно установить Exchange 2000, Exchange 2000 с первым пакетом обновлений (SP1) или Exchange 2000 SP2. Поняв принципы взаимодействия Windows 2000 и Exchange (и других серверных продуктов Microsoft), администратор сможет грамотно планировать использование системных ресурсов Windows 2000.

Обновления, репликации и установка

Схема AD определяет структуру каталогов, включая классы и атрибуты для каждого типа объектов (например, пользовательские учетные записи). Основная схема AD не содержит атрибутов, относящихся к Exchange, таких, как имя группы хранилища (SG) для почтового ящика, унаследованное из Exchange 5.5 полное имя (DN) или атрибуты, необходимые Exchange для настройки серверов, маршрутизации и т. п. Прежде чем начнется установка серверов Exchange 2000, все эти атрибуты должны быть добавлены в схему AD и реплицированы по всему лесу.

AD для выполнения этой задачи не использует агента репликации Windows 2000. Разработчики Microsoft не включили в AD многие компоненты, которые применяются в операционной системе (например, системные политики безопасности). Вместо этого для репликации таких объектов по контроллерам домена (DC) внутри одного домена Windows 2000 использует FRS.

ADC

Active Directory Connector (ADC) синхронизирует данные между Exchange 5.5 Directory Service (DS) и AD, заполняя в AD данные о почтовых ящиках, учетных записях и группах в DS. Существует две версии ADC — одна на компакт-диске

с Windows 2000 Server и другая на компакт-диске с Exchange 2000. Версия от Exchange 2000 содержит некоторые дополнительные атрибуты с информацией о серверной конфигурации и топологии.

После инсталляции ADC необходимо установить одно или несколько соединений CA для того, чтобы указать, куда перемещать информацию из DS и где сохранять ее в AD (в качестве партнера синхронизации DS следует использовать Exchange 5.5

с SP3 или более поздние версии, обеспечивающие поддержку протокола Lightweight Directory Access Protocol (LDAP), на котором основана репликация). Данный этап может длиться очень долго. Например, создание CA для передачи информации о почтовых ящиках в основном контейнере узла Exchange 5.5 и сама передача этой информации в организационное подразделение OU в AD выполняются довольно четко, но так бывает только в небольших организациях. Когда требуется передать множество контейнеров с почтовыми ящиками или множество узлов с различными объектами (например, настраиваемые адресаты, списки рассылки DL), возникают затруднения (подробнее об ADC и планировании его работы рассказано в статье Киран Маккорри «Настройка и эффективное управление ADC» (часть 1)(часть 2), опубликованной в Windows 2000 Magazine/RE №5, №6 за 2001 г.).

Право установки ADC должны иметь только члены групп Enterprise Admins и Schema Admins. Нет необходимости давать такие разрешения многим пользователям и по возможности следует ограничить количество сотрудников, входящих в группу Schema Admins. Если нежелательно, чтобы администратор Exchange входил в группу Schema Admins, администратор схемы должен запустить установку ADC из командной строки с ключом /schemaonly для выполнения только этапа обновления схемы. После того как изменения схемы будут отображены на всем дереве, администратор Exchange может снова запустить программу установки ADC для завершения процесса.

Использование /Forestprep

Для создания новой организации Exchange 2000 в лесу AD можно применять установку Exchange 2000 с ключом /forestprep. Эта команда вносит некоторые изменения в схему AD и формирует организацию Exchange на устанавливаемых серверах Exchange 2000. Кроме того, данный переключатель добавляет контейнер Configuration naming context (NC) в AD и создает универсальные группы Exchange Admins и All Exchange Servers во время процесса установки серверов Exchange. Этот ключ также позволяет в программе установки задать первую учетную запись администратора Exchange (или группу) для назначения роли Exchange Full Administrator.

Поскольку применение ключа /forestprep приводит к изменениям в AD, следует задействовать учетную запись, входящую в группы Enterprise Admins и Schema Admins. Также нужно учесть, что при работе в смешанном режиме организации необходимо использовать учетную запись, которая может подключаться и читать Exchange 5.5 DS. Для выполнения этих требований на этапе планирования следует выбрать соответствующую учетную запись для применения ключа /forestprep.

Использование /Domainprep

Для подготовки домена Windows 2000 к развертыванию системы Exchange 2000 можно задействовать установку с ключом /domainprep. Запустить /domainprep имеет право только член группы Domain Admins. Для того чтобы обеспечить серверам Enterprise Exchange Servers доступ к системному аудиту и журналу событий безопасности, /domainprep обновляет политики безопасности локально на DC, к которому подключается процесс Setup во время установки. Windows 2000 использует FRS для репликации изменений на другие DC домена (сведения о репликации FRS можно найти в статье Microsoft «FRS Replication Protocol and Topology for SYSVOL Content» по адресу: http://support.microsoft.com/ support/ kb/ articles/ q220/ 1/ 40.asp).

В некоторых ситуациях в работе FRS возникают ошибки при репликации обновлений политик безопасности на один или несколько DC после запуска /domainprep. Если в этот момент произошел сбой FRS и сервер Exchange 2000 указывает на один из таких DC, как на конфигурационный DC, то служба Information Store запустится нормально, но Exchange 2000 не подключит ни одной базы данных. Чтобы определить, какой DC применяется Exchange 2000 как конфигурационный, на серверах Exchange 2000 и Exchange 2000 SP1 можно использовать утилиту Dsadiag. Эта утилита есть в составе Microsoft Exchange 2000 Server Resource Kit. Для просмотра информации о серверах Exchange 2000 SP2 следует открыть Microsoft Management Console (MMC) Exchange System Manager (ESM), выбрать сервер, открыть диалоговое окно Properties и перейти на закладку Directory Access. Сбой при репликации сложно обнаружить сразу, так как по внешним признакам все работает нормально.

Если есть подозрение, что в работе FRS произошел сбой, необходимо открыть Local Security Settings на сервере Exchange 2000, на котором, возможно, возникла проблема репликации. Чтобы открыть окно Local Security Settings, нужно выбрать Administrative Tools, Local Security Policy. В левой части окна следует раскрыть объект Local Policies, затем объект User Rights Assignment и посмотреть на политику Manage auditing and security log в правой части окна. Теоретически, если репликация FRS проходит нормально, локальная группа безопасности Exchange Enterprise Servers включается в набор учетных записей и групп в колонке Local Setting.

В примере на Экране 1 показано, что глобальная группа безопасности Exchange Domain Servers в списке присутствует. Такая ситуация возникает после того, как администратор восстанавливает FRS, используя репликацию папки Sysvol на все DC домена. Поскольку группа Exchange Enterprise Servers включена во все группы Exchange Domain Servers всех доменов леса, обеспечиваемый доступ позволяет политикам нормально функционировать, а серверу Exchange 2000 — подключать базы данных. Повторный запуск /domainprep не добавит в политики группу Exchange Enterprise Servers, это следует сделать вручную. Поскольку группы могут отсутствовать в политиках по причине различных ошибок, в новых версиях Exchange или в пакетах обновлений это, возможно, будет исправлено.

Прежде чем вносить изменения в политики на DC, необходимо убедиться, что репликация FRS завершена. Проверка каждого DC вручную может отнять очень много времени, лучше воспользоваться утилитой Policytest производства Microsoft (policytest.exe на компакт-диске Exchange 2000 в каталоге i386support). Эта утилита подключается к каждому DC в домене и проверяет группу Exchange Enterprise Servers на предмет права управлять журналами безопасности и аудита, полученного напрямую или по наследству (как в примере). Для успешного выполнения Policytest необходимо иметь право Domain Admin (если появится сообщение об ошибке !! LsaEnumerateAccountRights returned error 5 !!, это означает, что вы не имеете разрешения на доступ к Local Security Authority (LSA) на DC). Процедуру Policytest рекомендуется выполнять через день после использования /domainprep.

Выбор сервера

Schema master — это сервер, который играет роль мастера операций Flexible Single-Master Operation (FSMO) в лесу доменов. Такой сервер должен выполнять обновления схемы, которые потом реплицируются на DC по всему лесу. Поэтому следует устанавливать ADC и первый Exchange 2000 на Schema master или на сервере, который выполняет перенаправление на главный сервер схемы. Можно устанавливать ADC и Exchange 2000 на любом сервере в лесу доменов, но процесс установки будет идти очень медленно, поскольку в этом случае обновления схемы не оптимальны и выполняются через внешние сетевые соединения.

Прежде чем пользователь продолжит последовательно устанавливать серверы Exchange 2000, AD должна реплицировать обновление схемы через лес доменов. Если сетевое соединение с DC надежное, то процесс репликации завершится в течение нескольких часов. Однако следует учесть возможные сетевые проблемы и отвести на процесс репликации не менее одного дня. Для подключения к серверу глобального каталога GC нужно использовать оснастку MMC ADSI Edit. Необходимо развернуть контейнер AD Configuration, затем контейнер Services и убедиться, что контейнер Microsoft Exchange существует. Можно также использовать ADSI Edit для просмотра схемы и проверки наличия атрибутов Exchange (например, ms-Exch-Facsimile-Address). Чтобы гарантировать корректное выполнение синхронизации, можно воспользоваться утилитой Replmon (из комплекта Microsoft Windows 2000 Server Resource Kit) для проверки номеров последовательности обновлений (Update Sequence Numbers, USN), которые отображают процесс репликации AD на DC (информацию о Replmon можно найти в статье Киран Маккорри «Плавный переход к новой почтовой инфраструктуре», опубликованной в Windows 2000 Magazine/RE №3 за 2002 г.).

Итак, планируя переход на Exchange 2000, необходимо учитывать установку ADC, обновление AD и репликацию AD и FRS. Кроме того, нужно иметь в виду аспекты взаимодействия Exchange и Windows 2000, такие, как права доступа и разрешения, организация дерева AD, DNS и IIS.

Тони Редмонд — редактор Windows 2000 Magazine, старший технический редактор выпусков Exchange Administrator, вице-президент в Compaq Global Services. С ним можно связаться по электронной почте: exchguru@win2000mag.com.