Compartilhar via

Topologias de floresta do Active Directory

  • Artigo

 

Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Tópico modificado em: 2007-08-01

Uma vez que o Microsoft Windows Server 2003 e o Microsoft Exchange Server 2007 dependem do serviço de diretório do Active Directory, é necessário determinar a forma de integração do Exchange 2007 à estrutura do Active Directory. OActive Directory inclui os seguintes elementos lógicos, que se combinam para definir uma topologia do Active Directory:

  • Floresta

  • Um ou mais domínios

  • Um ou mais sites do Active Directory

Florestas do Active Directory

Uma floresta representa o limite mais externo do serviço de diretório. Uma floresta opera dentro do contexto de um contexto de segurança contínua, de forma que todos os recursos em uma floresta confiem implicitamente uns nos outros, independentemente de onde eles estejam localizados na floresta. Dentro de cada floresta, há um esquema de diretório comum e uma configuração do serviço de diretório. Uma floresta pode ser composta por um ou mais domínios. Existem dois tipos de topologias de floresta: floresta única ou várias florestas.

Topologia de floresta única

Em uma topologia de floresta única, o Exchange é instalado em uma única floresta do Active Directory que abrange a organização inteira. Todas as contas de usuário e de grupo e todas as informações de configuração do Exchange estão localizadas na mesma floresta.

Se sua organização tiver uma única floresta do Active Directory, você poderá implantar o Exchange 2007 nesta floresta. Recomendamos o projeto do Exchange de floresta única, pois ele oferece o conjunto mais completo de recursos do sistema de arquivos e também porque ele tem o modelo administrativo mais simplificado. Como todos os recursos estão contidos em uma única floresta, uma só lista de endereços global (GAL) contém todos os usuários da floresta. A figura a seguir ilustra esse cenário.

Dois exemplos de implementação do Exchange em uma floresta única do Active Directory

Implantando o Exchange em uma única floresta

A opção de floresta única oferece as seguintes vantagens:

  • Fornece o conjunto mais completo de recursos do sistema de email.

  • Fornece um modelo administrativo simplificado.

  • Aproveita uma estrutura existente do Active Directory.

  • Usa controladores de domínio e servidores de catálogo global existentes.

  • Não exige sincronização da GAL.

A principal desvantagem associada a uma floresta única é que os administradores devem determinar como compartilhar ou dividir responsabilidades para gerenciar objetos do Active Directory e do Exchange.

Topologia de várias florestas

Embora recomendemos uma topologia de floresta única, pois ela fornece o conjunto mais completo de recursos do sistema de mensagens, há muitas razões para você preferir implantar várias florestas. Algumas dessas razões incluem:

  • Você tem várias unidades comerciais que exigem isolamento do serviço de mensagens.

  • Você tem várias unidades de negócios que têm diferentes requisitos de esquema.

  • Você é surpreendido por uma fusão, uma aquisição ou uma alienação de investimento.

Qualquer que seja o motivo, a única maneira de estabelecer limites estritos entre unidades de negócios é criar uma floresta separada do Active Directory para cada unidade comercial. Se essa for a configuração do Active Directory, a melhor maneira de implantar o Exchange é criar uma floresta de recursos do Exchange. Para obter mais informações sobre as florestas de recursos do Exchange, consulte "Topologia de floresta de recursos" mais adiante neste tópico.

No entanto, há cenários em que uma floresta de recursos pode não ser viável (por exemplo, com fusões ou aquisições ou quando várias florestas já estão executando suas próprias instâncias do Exchange). Nesses casos, você pode implantar uma topologia entre florestas.

Topologia entre florestas

Em uma topologia entre florestas, uma empresa tem várias florestas do Active Directory, cada uma contendo uma organização do Exchange. Ao contrário de uma topologia de floresta de recursos, as contas de usuário não são separadas de suas caixas de correio. Em vez disso, uma conta de usuário e sua caixa de correio associada estão na mesma floresta.

A principal vantagem para implantar uma topologia entre florestas é que você pode manter limites de segurança e de isolamento de dados entre as organizações do Exchange. As desvantagens associadas a essa topologia incluem:

  • O conjunto mais completo de recursos do sistema de mensagens não é fornecido.

  • Permissões delegadas de caixa de correio não são preservadas quando você move caixas de correio de uma floresta para outra, a não ser que haja um contato para o representante na floresta de destino, ou se a caixa de correio delegada for movida ao mesmo tempo.

  • Embora você possa sincronizar informações de disponibilidade entre florestas e usá-las para agendar reuniões, não é possível usar o recurso Abrir Pasta de Outro Usuário no Microsoft Office Outlook para exibir os detalhes de calendário de um usuário em outra floresta.

  • Como um grupo de outra floresta é representado como um contato, não é possível exibir os membros do grupo. A associação de grupos não é expandida até o email ser enviado para a floresta que contém o grupo representado como o contato.

  • A sincronização de objetos de diretório entre florestas, bem como a replicação de informações de disponibilidade, é necessária. As soluções usadas com mais freqüência para sincronização de diretórios são o Microsoft Identity Integration Server (MIIS) ou o Identity Integration Feature Pack para Microsoft Windows Server Active Directory com SP2. O serviço de Disponibilidade no Exchange 2007 pode ser usado para compartilhar informações de calendário e de disponibilidade entre organizações do Exchange em florestas diferentes.

Exchange em uma topologia entre florestas

Organização complexa do Exchange com várias florestas

Topologia da floresta de recursos

Há alguns casos em que poderá ser necessário instalar uma floresta separada do Active Directory que seja dedicada a executar o Exchange. Por exemplo, você pode ter uma floresta existente do Active Directory que deseja manter. Ou então, pode precisar separar a administração de objetos do Active Directory e do Exchange. Portanto, você poderá desejar instalar uma floresta separada do Active Directory que seja dedicada a executar o Exchange. A floresta dedicada separada é chamada de floresta de recursos do Exchange. No modelo de floresta de recursos, o Exchange é instalado em uma floresta do Active Directory que é separada da floresta do Active Directory onde os usuários, computadores e servidores de aplicativos estão instalados. Empresas que exigem limites de segurança entre a administração do Active Directory e a administração do Exchange geralmente usam essa opção.

A floresta de recursos do Exchange é dedicada a executar o Exchange e hospedar caixas de correio. Contas de usuário estão contidas em uma ou mais florestas chamadas florestas de contas. As florestas de contas são separadas da floresta de recursos do Exchange. Uma confiança unidirecional entre a floresta de contas e a floresta de recursos do Exchange é criada e permite que a floresta do Exchange confie na floresta de contas, de forma que seja concedido acesso dos usuários na floresta de contas a caixas de correio na floresta de recursos do Exchange. Como uma organização do Exchange não pode ultrapassar um limite de floresta do Active Directory, cada caixa de correio criada na floresta de recursos do Exchange deve ter um objeto de usuário correspondente na floresta de recursos do Exchange. Os objetos de usuário na floresta de recursos do Exchange nunca são acessados por um usuário e ficam desabilitados para evitar que sejam um ponto de utilização. Geralmente, os usuários não estão nem cientes de que a conta duplicada existe. Como a conta na floresta de recursos do Exchange está desabilitada e não é usada para fins de logon, a conta real de um usuário da floresta de conta deve ter acesso para fazer logon na caixa de correio. O acesso é concedido incluindo o SID (identificador de segurança) do objeto de usuário da floresta de contas no atributo msExchMasterAccountSID do objeto de usuário desabilitado na floresta de recursos do Exchange.

Quando uma floresta de recursos do Exchange for usada, a sincronização de diretório poderá não ser exigida. A partir da perspectiva do Exchange e do Outlook, todos os objetos listados no serviço de diretório são originados de um único local, neste caso, o serviço de diretório que hospeda a floresta de recursos do Exchange. No entanto, se os dados relacionados à GAL estiverem presentes nas florestas de conta, a sincronização deverá ocorrer para obter os dados contidos na floresta de recursos do Exchange para uso da GAL. Além disso, você precisa instalar um processo para que, quando as contas forem criadas na floresta de contas, uma conta desabilitada com caixa de correio seja criada na floresta de recursos do Exchange.

O usuário habilitado da floresta de contas está associado a uma caixa de correio conectada a um usuário desabilitado na floresta de recursos. Essa configuração permite que os usuários acessem as caixas de correio que residem em florestas diferentes. Neste cenário, você configura uma relação de confiança entre a floresta de recursos e a floresta de contas. Também pode ser necessário configurar um processo de configuração, de forma que sempre que um administrador criar um usuário na floresta de contas, um usuário desabilitado com uma caixa de correio seja criado na floresta de recursos do Exchange.

Como todos os recursos do Exchange estão contidos em uma única floresta, uma só GAL conterá todos os usuários de toda a floresta. A principal vantagem do cenário de floresta dedicada do Exchange é um limite de segurança entre a administração do Active Directory e do Exchange.

As desvantagens associadas a essa topologia incluem:

  • A implantação de uma floresta de recursos permite a separação da administração do Exchange e do Active Directory. Entretanto, o custo associado à implantação de uma floresta de recursos pode ser maior do que a necessidade dessa separação.

  • A instalação de controladores de domínio e servidores de catálogo global adicionais nos sites do Microsoft Windows em que o Exchange será executado é necessária, aumentando o custo.

  • Também é exigido um processo de configuração, de forma que as atualizações do Active Directory sejam refletidas no Exchange. Quando você criar um objeto em uma floresta, verifique se os objetos correspondentes são criados na outra floresta. Por exemplo, se você criar um usuário em uma floresta, verifique se um marcador é criado para esse usuário na outra floresta. Você pode criar os objetos correspondentes manualmente ou pode automatizar o processo.

Uma variação do cenário da floresta de recursos são várias florestas em que uma floresta hospeda o Exchange. Se você tiver várias florestas do Active Directory, a forma de implantação do Exchange dependerá do grau de autonomia que você deseja manter entre as florestas. Empresas com unidades comerciais que exigem limites de segurança (floresta) para objetos de diretório, mas podem compartilhar objetos do Exchange, podem optar por implantar o Exchange em uma das florestas e usá-la para hospedar caixas de correio das outras florestas da empresa. Como todos os recursos do Exchange estão contidos em uma única floresta, uma só GAL conterá todos os usuários de todas as florestas.

As principais vantagens associadas a esse cenário incluem:

  • Usa uma estrutura existente do Active Directory.

  • Usa controladores de domínio e servidores de catálogo global existentes.

  • Fornece limites de segurança estritos entre florestas.

As desvantagens associadas a esse cenário incluem:

  • Exige um processo de configuração, de forma que as atualizações do Active Directory sejam refletidas no Exchange. Por exemplo, você pode criar um script, para que a criação de um novo usuário do Active Directory na Floresta A gere um objeto habilitado para caixa de correio com permissões que esteja desabilitado na Floresta B.

  • Exige que administradores de floresta determinem como compartilhar ou dividir responsabilidades para gerenciar objetos do Active Directory e do Exchange.

Exchange em uma topologia de floresta de recursos

Organização complexa do Exchange com floresta de recursos

Domínios do Active Directory

Um domínio é um agrupamento de entidades de segurança e outros objetos que são administrados coletivamente. Domínios são flexíveis. A implantação do que compreende um domínio está aberta e sujeita aos critérios de um administrador. Por exemplo, um domínio pode representar um grupo de usuários e computadores localizados em um único local físico ou pode representar todos os usuários e computadores em muitos locais ou em uma grande região geográfica. À medida que ocorre a consolidação de suporte de infra-estrutura e administração, é comum que os domínios sejam implantados em grandes áreas geográficas para reduzir custos de suporte. No entanto, à medida que aumenta o escopo de um serviço de diretório, é necessário conseguir apontar o acesso de diretório aos recursos apropriados da forma mais eficaz possível.

Sites do Active Directory

Os sites do Active Directory representam um agrupamento lógico de computadores no Active Directory que tenham conectividade confiável. Com um site do Active Directory, é possível particionar computadores clientes para usar um conjunto ou grupo específico de recursos do diretório. Um site do Active Directory é uma ou mais sub-redes TCP/IP bem conectadas que permitem aos administradores configurar acesso e replicação ao Active Directory. Essas sub-redes podem ou não corresponder à topologia física.

A figura a seguir ilustra alguns dos relacionamentos mais comumente implantados entre definições lógicas e locais físicos do Active Directory.

Florestas, domínios, locais e sites

Florestas, domínios, locais e sites

Cenários de implantação do Active Directory

Há quatro cenários principais para integrar o Exchange com o Active Directory:

  • Floresta única

  • Floresta de recursos

  • Entre florestas

  • Fusões e aquisições

A tabela a seguir resume os benefícios de cada cenário.

Cenário do Active Directory Descrição Por que usar esse cenário?

Floresta única

Usuários e suas caixas de correio estão contidos na mesma floresta.

  • Conjunto mais completo de recursos do sistema de email

  • Administração simplificada

  • Usa estrutura existente do Active Directory

  • Não exige sincronização com outras florestas

Floresta de recursos

Uma floresta é dedicada a executar o Exchange e a hospedar caixas de correio do Exchange. As contas de usuário associadas às caixas de correio estão contidas em uma ou mais florestas separadas.

  • Limite de segurança entre administração do Active Directory e do Exchange

  • Implantação mais fácil do Exchange em um ambiente de várias florestas

  • Controle limitado da infra-estrutura da rede e da conta de usuário

Entre florestas

O Exchange é executado em florestas separadas, mas a funcionalidade de email está disponível entre florestas.

  • Unidades comerciais múltiplas exigem a separação de dados e serviços

  • Unidades comerciais múltiplas possuem diferentes requisitos de esquema

  • Fusão, aquisição ou alienação

Fusões e aquisições

As fusões e aquisições freqüentemente envolvem coexistência entre organizações do Exchange até ocorrer a fusão. As considerações de planejamento são semelhantes àquelas do cenário de várias florestas, com interesses de migração adicionais.

As fusões e aquisições são um caso especial para a implantação de várias florestas que exige atenção extra a problemas de migração