У Exchange 2007 много отличий от Exchange 2003 и Exchange 2000. Причины некоторых наиболее типичных затруднений — в новом инструментарии управления и отсутствии части функций Exchange 2003. В данной статье рассматриваются распространенные проблемы сосуществования систем и приемы, с помощью которых их можно обойти.

Прежде всего надо развеять довольно известный миф. Будто бы некоторые представители службы поддержки Microsoft сообщили потребителям, что смешанные среды Exchange поддерживаются лишь в течение короткого времени, необходимого для перехода всей организации на Exchange 2007. Не знаю, откуда пошла эта информация, но могу сообщить с абсолютной достоверностью, что компания Microsoft допускает долгосрочное сосуществование Exchange 2007 с Exchange 2003 и Exchange 2000. Дополнительные сведения можно найти в статье Microsoft «Coexisting with Exchange Server 2003 and Exchange 2000 Server» (http://technet.microsoft.com/en-us/library/aa998604.aspx).

Инструменты управления Exchange

Известно, что набор инструментов управления Exchange 2007 совершенно иной, чем в предшествующих версиях. На смену диспетчеру Exchange System Manager (ESM) пришли консоль Exchange Management Console (EMC) и оболочка Exchange Management Shell (EMS). EMC — графический инструмент управления Exchange 2007, а EMS — инструмент командной строки на основе Windows PowerShell.

В результате самая большая трудность при управлении смешанной средой — правильно выбирать инструменты в различных ситуациях. Некоторые задачи успешно решаются с помощью обоих наборов инструментов. Если в компании в течение некоторого времени использовался Exchange 2003, естественно предположить, что администраторы привыкли к ESM и будут применять диспетчер для выполнения многих повседневных задач до тех пор, пока не познакомятся ближе с инструментарием Exchange 2007. Но, как легко догадаться, такой путь не всегда хорош.

Это не означает, что никогда не следует использовать ESM после установки Exchange 2007. Если бы разработчики Microsoft считали нежелательным применение ESM в смешанной среде, я уверен, компания предприняла бы какие-нибудь меры, чтобы отключить диспетчер. Однако важно знать область применения ESM. Консоль EMC и оболочка EMS не полностью обратно совместимы с предшествующими версиями Exchange. Например, если нужно создать, удалить или изменить группу маршрутизации, то необходимо задействовать диспетчер ESM; в EMC и EMS нет механизма для работы с группами маршрутизации.

В некоторых случаях для решения задачи проще использовать ESM, чем EMC. Например, консоль EMC в RTM-версии Exchange 2007 была плохо приспособлена для работы с общими папками. Функции управления общими папками появились в EMC с выходом пакета обновления SP1, но тем, кто по-прежнему работает с Exchange 2007 RTM, удобнее управлять общими папками с помощью диспетчера ESM. В целом для работы с сервером Exchange 2003 лучше использовать ESM, а для сервера Exchange 2007 — EMC или EMS. Но выбор не всегда очевиден.

Иногда необходимо выполнить операцию над всей организацией Exchange, а не над определенным сервером. В этом случае следует использовать инструментарий управления Exchange 2007. При установке Exchange 2007 изменяется схема Active Directory (AD). В Exchange 2007 используются объекты и атрибуты AD, неизвестные в Exchange 2003, поэтому чрезвычайно важно использовать инструментарий управления Exchange 2007 для изменений на уровне организации.

В большинстве случаев при операциях, в которых задействовано несколько версий Exchange, необходим инструментарий управления Exchange 2007. Отличным примером может служить задача перемещения почтовых ящиков между серверами Exchange 2003 и Exchange 2007. Всегда, когда почтовый ящик переносится на сервер Exchange 2007 или забирается с него, обязательно используйте инструментарий управления Exchange 2007.

Серверные роли

Серверные роли в Exchange 2003 довольно неформальны — внешний (front-end) сервер, внутренний (back-end) сервер, сервер почтовых ящиков. В Exchange 2007 различные роли Exchange формализованы и созданы новые. В результате повышаются безопасность и производительность благодаря установке только специфических компонентов, необходимых для конкретного сервера, вместо установки всего программного кода Exchange.

Поскольку Exchange 2003 не обеспечивает тех же ролей, что и Exchange 2007, важно учитывать то, как серверы Exchange 2003 взаимодействуют с серверами Exchange 2007 в сети. Рассмотрим каждую из ролей Exchange 2007 и их выполнение в смешанной среде.

Роль сервера почтовых ящиков

Сервер почтовых ящиков с самого начала был «сердцем и душой» Exchange. Роли сервера почтовых ящиков Exchange 2007 могут без проблем сосуществовать с серверами почтовых ящиков Exchange 2003. Единственное правило этого сосуществования заключается в том, что любой сайт AD, содержащий сервер почтовых ящиков Exchange 2007, должен также содержать центральный сервер транспорта и сервер клиентского доступа. Помните, что это архитектурное требование необходимо учесть в планах до начала развертывания серверов.

Exchange 2007 спроектирован таким образом, чтобы роли центрального транспортного сервера, сервера клиентского доступа и почтовых ящиков могли сосуществовать на одном сервере. В компаниях с ограниченным бюджетом сочетание этих ролей возможно, если выполняются два условия. Во‑первых, сервер почтовых ящиков не должен быть перегружен. Добавлять роли на сервер почтовых ящиков, функционирующий почти на пределе возможностей, — значит подвергаться серьезному риску. Во‑вторых, следует проверить, что роль клиентского доступа не выполняет никаких функций, кроме необходимых серверу почтовых ящиков. Если роль клиентского доступа будет использована для предоставления внешнего доступа Outlook Web Access (OWA) или пользователям мобильных устройств, размещать ее на одном физическом сервере с ролью сервера почтовых ящиков рискованно.

Роль сервера клиентского доступа

Серверы клиентского доступа в Exchange 2007 аналогичны внешним (front-end) серверам. Интересная особенность роли сервера клиентского доступа заключается в том, что внешние серверы в Exchange 2003 были не обязательны, но сервер клиентского доступа — непременное условие развертывания Exchange 2007.

Роль сервера клиентского доступа без проблем сосуществует с Exchange 2003. Один из недостатков такого подхода заключается в том, что для виртуального каталога Microsoft-Server-ActiveSync на сервере Exchange 2003 должна быть включена встроенная проверка подлинности Windows, чтобы сервер клиентского доступа использовал проверку подлинности Kerberos при обмене данными с внутренним сервером Exchange 2003. Если встроенная проверка подлинности Windows не включена, пользователи получают сообщения об ошибках синхронизации ActiveSync.

Встроенная проверка подлинности Windows включается через консоль диспетчера Microsoft IIS на сервере почтового ящика Exchange 2003. Пройдите по дереву консоли к своему серверу и развернитеWeb SitesDefault Web SiteMicrosoft-Server-ActiveSync. Затем щелкните правой кнопкой мыши папку Microsoft-Server-ActiveSync и выберите пункт Properties. Когда появится список свойств Microsoft-Server-ActiveSync, перейдите на вкладку Directory Security и нажмите кнопку Edit в разделе Authentication and access control. Затем установите флажок Integrated Windows authentication и щелкните OK.

Чтобы убедиться в корректности настроек, отыщите в журнале приложений событие с ID 1036, содержащее следующее описание: «The Proxy Request has failed to authenticate on. Please ensure that Integrated authentication is turned on». Если событие с этим номером присутствует в журнале, значит, встроенную проверку подлинности Windows включить не удалось. Если, несмотря на аккуратное выполнение всех описанных выше шагов, событие с этим номером не исчезает, вероятно, требуется применить исправление, описанное в справочной документации Microsoft (http://support.microsoft.com/kb/937031).

Роль центрального транспортного сервера

Еще один важнейший компонент Exchange 2007, для которого нет полноценного аналога в Exchange 2003, — роль транспортного сервера. Наиболее близкий компонент Exchange 2003 — сервер-мост (bridgehead server). Конечно, сервер-мост не нужен организациям Exchange 2003, если только они не состоят из нескольких сайтов.

Для сравнения, в Exchange 2007 должен быть по крайней мере один транспортный сервер независимо от размера организации Exchange. Компания Microsoft спроектировала Exchange 2007 таким образом, что все входящие и исходящие сообщения проходят через так называемый транспортный конвейер (transport pipeline), реализуемый транспортным сервером. Поэтому Exchange 2007 может анализировать каждое сообщение, пока оно проходит по конвейеру, и применять любые допустимые правила.

В смешанной среде необходимо обеспечить коннекторы групп маршрутизации между любыми группами маршрутизации Exchange 2003 и группой маршрутизации Exchange 2007. Чтобы установить такие подключения, откройте диспетчер ESM и перейдите по дереву консоли в Administrative Groupsваша административная группаRouting Groupsваша группа маршрутизацииConnectors. Затем щелкните правой кнопкой мыши контейнер Connectors и выберите команды New, Routing Group Connector из контекстного меню.

Кроме того, если созданы дополнительные группы маршрутизации, в которых Exchange 2007 числится как источник или приемник, необходимо отменить мелкие обновления состояния связей на всех серверах Exchange 2003. Дополнительные сведения об этой процедуре можно найти в статье «Upgrading to Exchange Server 2007» (http://windowsitpro.com/article/articleid/96241).

Роль пограничного транспортного сервера

Роль пограничного транспортного сервера — новшество Exchange 2007. Сервер с этой ролью располагается на периметре сети и выполняет функции SMTP-посредника, который защищает внутренние серверы Exchange от атак из Интернета, а также фильтрует сообщения перед тем, как они помещаются в транспортный конвейер и в конечном итоге в почтовый ящик пользователя.

В первоначальной форме пограничные транспортные серверы совместимы только с другими серверами Exchange 2007. Архитектура пограничных транспортных серверов отлична от серверов Exchange всех других типов. Хотя функционирование Exchange обычно зависит от AD, пограничный транспортный сервер даже не является членом домена. Он содержит раздел каталога приложений, заполненный малым подмножеством информации из AD, полученным в результате синхронизации с пограничным транспортным сервером.

Пограничному транспортному серверу необходима связь с центральным транспортным сервером, поэтому нежелательно делать его единственным сервером Exchange 2007 в организации Exchange 2003. Однако пограничный транспортный сервер можно подготовить для работы с организацией Exchange 2003, если пожертвовать поиском получателей, объединением списков надежных отправителей и различными функциями безопасности домена. Пошаговые инструкции для такого типа внедрений приведены в статье Microsoft «How to Deploy an Edge Transport Server in an Existing Exchange Server 2003 Organization» (http://technet.microsoft.com/en-us/library/bb124011 (EXCHG.80).aspx). Несмотря на эффективность этого метода, необходимо иметь по крайней мере один внутренний сервер Exchange 2007, чтобы воспользоваться всеми преимуществами пограничного транспортного сервера.

Роль сервера унифицированных сообщений

Правила совместимости для унифицированных сообщений (UM) определены довольно четко. В сущности, UM функционирует только в том случае, если в одном сайте AD с сервером UM находятся сервер клиентского доступа и пограничный транспортный сервер. Еще более значимое препятствие — несовместимость UM с почтовыми ящиками Exchange 2003. И все же сервер UM можно установить, даже если в организации есть унаследованные серверы Exchange, но настроить почтовые ящики Exchange 2003 для UM не удастся.

Группы маршрутизации

Группы маршрутизации и административные группы — главные архитектурные элементы Exchange 2003, но разработчики Exchange 2007 отказались от них. Многих администраторов вводит в заблуждение то, что существующие группы маршрутизации и административные группы по-прежнему доступны через диспетчер ESM. Кроме того, в Exchange 2007 создаются собственные группа маршрутизации и административная группа в целях обеспечения обратной совместимости, и эти группы также видны в диспетчере ESM. К счастью, в ESM используется контроль версий, чтобы администратор не мог изменить некоторые специфические объекты Exchange 2007.

Компания Microsoft проектировала Exchange 2007 без групп маршрутизации, так как разработчики полагали, что эти группы излишни. В огромном большинстве случаев группы маршрутизации Exchange имитируют структуры сайта AD. Значительная часть данных о конфигурации Exchange все равно хранится в AD, поэтому было принято решение о прямой SMTP-маршрутизации между серверами и использовании топологии сайта AD для маршрутизации при отсутствии центрального транспортного сервера. Преимущество такой системы — в упрощенном обнаружении в рамках организации.

Как уже отмечалось, группы маршрутизации по-прежнему видимы через диспетчер ESM. На экране 1 показано, что среда сосуществования имеет по меньшей мере две разные группы маршрутизации. Одна из этих групп маршрутизации имеет имя First Routing Group, другая — Exchange Routing Group (DWBGZMFD01 QNBJR).

Просмотр групп маршрутизации в смешанной среде из ESM

Известно, что каждая организация Exchange 2003 содержит по крайней мере одну группу маршрутизации. При установке первого сервера Exchange 2007 в унаследованной организации Exchange программа установки автоматически создает группу маршрутизации специально для серверов Exchange 2007. Имя этой группы маршрутизации Exchange Routing Group (DWBGZMFD01 QNBJR). Если сдвинуть на одну позицию вперед все буквы этой, на первый взгляд случайной последовательности символов (D превращается в E, W превращается в X и т. д.), то получается EXCHANGE12 ROCKS.

Почему же в программе установки создается группа маршрутизации, если они не используются в Exchange 2007? Группы маршрутизации не нужны в Exchange 2007, если в организации существуют только серверы Exchange 2007. Но группы маршрутизации необходимы для организаций Exchange 2003, поэтому Exchange 2007 формирует группу маршрутизации, используемую исключительно для обслуживания серверов Exchange 2003.

Важно учитывать, что группа маршрутизации Exchange 2007 — не обычная группа маршрутизации. Она предназначена для использования только с серверами Exchange 2007. Помните, что диспетчер ESM — инструмент управления Exchange 2003, поэтому он не распознает особенности группы маршрутизации Exchange 2007. Для ESM группа маршрутизации Exchange 2007 выглядит так же, как любая другая группа маршрутизации. В диспетчере допускается перемещение серверов Exchange 2007 в группы маршрутизации Exchange 2003 и наоборот. Но смешивать серверы Exchange 2007 и Exchange 2003 в общей группе маршрутизации недопустимо. Не разрешается также переименовывать группу маршрутизации Exchange 2007.

Административные группы

С помощью административных групп в Exchange 2003 можно определить, какими частями организации Exchange разрешено управлять тому или иному администратору. В Exchange 2007 этот метод делегирования был заменен более детализированной моделью.

Чтобы увидеть, как происходит административное делегирование в Exchange 2007, откройте консоль EMC и выберите контейнер Organization Configuration. Щелкните на ссылке Add Exchange Administrator в области Actions, чтобы запустить мастер Add Exchange Administrator (экран 2). В нем можно назначить пользователю или группе одну из нескольких административных ролей, а затем указать серверы Exchange, к которым применяется назначение административной роли. В таблице приведен список специфических функций каждой из ролей. Важно помнить, что администратору может быть назначено несколько административных ролей.

Мастер Add Exchange Administrator в Exchange 2007

Сходство административных групп с группами маршрутизации в том, что они отменены в Exchange 2007, но в смешанных организациях для обратной совместимости создается специальная административная группа с именем Exchange Administrative Group (FYDIBOHF23 SPDLT). Эта административная группа показана на экране 1.

Точно так же следует избегать перемещения сервера Exchange 2007 в административную группу Exchange 2003 и наоборот. Кроме того, не разрешается переименовывать административную группу Exchange 2007. В одной интересной статье, опубликованной на сайте TechNet, обсуждаются проблемы, которые могут возникнуть при перемещении сервера Exchange 2007 из назначенной ему административной группы. Статья называется «Exchange 2007 server object has been moved to a different administrative group» (http://technet.microsoft.com/en-us/library/aa997932.aspx).

Осваивайте смешанный режим

Exchange 2007 неплохо «уживается» с Exchange 2003 и даже с Exchange 2000. Однако необходимо учитывать некоторые особенности совместимости и управления в смешанном режиме. Надеюсь, приведенные в статье советы помогут вам освоить эту науку.

Брайен Поуси (http://www.brienposey.com) — вице-президент по исследованиям компании Relevant Technologies. Автор статей на технические темы для различных изданий и веб-узлов

Административные роли в Exchange 2007

Поделитесь материалом с коллегами и друзьями

Купить номер с этой статьей в PDF