Если вашаВ крупной организациия обслуживает несколько крупных компаний с тысячами пользователей, то при внедрении системы можно, применитьяя тот же подход, настроить Exchange 2000 на обслуживание нескольких компаний с тысячами пользователей, добавивляя в конфигурацию требуемоые количество внешнихе и внутренниех серверыов. Система внешних серверовего интерфейса может включать выделенные серверы для каждого протокола, а также серверы для входящего и исходящего трафика по протоколу SMTP. Система внутренних серверовего интерфейса может включать полномасштабные серверы для Exchange 2000, службы Active Directory и глобального каталога, каждый из которых оборудован восемью процессорами и обладает четырьмя гигабайтами памяти. Внутренние серверы можно объединить в кластеры, состоящие из двух узлов, организовав совместное использование дискового пространства для SAN-решения (SAN – Storage Area Network). На следующем рисунке показана топология развертывания Exchange 2000 в организации больших размеров.
Рис. 2. Система Exchange 2000 в крупномасштабной среде
В документе Exchange 2000 ASP Deployment Guide (Руководство по развертыванию Exchange 2000 на серверах ASP-поставщиков) приводится пример настройки Exchange 2000 для проведения размещения. Этот документ можно найти на www.microsoft.com/isn/ .
Windows 2000 и Exchange 2000 |
Сервер Exchange 2000 Server полностью интегрирован c сервером Windows 2000 Advanced Server, что позволяет пользоваться всеми возможностями последнего. В частности, сервер Windows 2000 Advanced Server поддерживает службу Active Directory, средства кластеризации и переключения при сбое, а также консоль управления MMC. В данном разделе рассказывается, как можно использовать службу Active Directory для реализации функций управления, обеспечения безопасности и масштабирования, что весьма актуально при размещении хостинге Exchange 2000.
Как в Exchange 2000 используется служба каталогов Active Directory
Active Directory – основополагающая служба системы Windows 2000, формирующая логическое представление информации в сети; она организована в виде иерархии деревьев, образующих лес. Служба Active Directory хранит данные о сетевых объектах так, что пользователи и администраторы могут без труда находить эту информацию и управлять ею. Объекты службы Active Directory представляют отдельных пользователей, группы, приложения и ресурсы, и этими объектами можно централизованно управлять в рамках структуры Active Directory.
В Exchange 2000 служба Active Directory используется для просмотра объектов, обеспечения безопасности и разрешения имен. Со службой Active Directory тесно интегрированы групповые политики, операции поиска в адресной книге, средства проверки подлинности пользователей, хранилища почты.
При развертывании Exchange 2000 в службе Active Directory хранятся глобальные списки адресов, таблицы управления доступом (ACL – Access Control Lists), списки автономных адресов и политики получателей – правила электронной почты Exchange, сопоставляемые пользователям и группам в службе Active Directory. Кроме того, служба Active Directory является центральным пунктом администрирования при использовании политик безопасности Exchange. Такая централизованная конструкция позволяет делегировать административные полномочия каждому заказчику в отдельности.
Службы централизованного управления
Служба Active Directory играет роль центрального пункта администрирования при размещении хостинге Exchange 2000 и других приложений в среде сервера Windows 2000 Advanced Server. Структура службы Active Directory с несколькими главными контроллерами домена удобна и для поставщиков услуг доступа к одному центру данных, и для обслуживания нескольких распределенных центров данных, – она предоставляет единое масштабируемое хранилище для данных о конфигурации приложений, информации, связанной с проверкой подлинности пользователей, сведений о службах, организации иерархических структур. Наличие такого единого хранилища существенно упрощает процесс управления для компаний, предоставляющих бизнес-услуги передачи сообщений и совместной работы тысячам клиентов. Служба Active Directory протестирована на практике в процессе обслуживания нескольких миллионов пользователей и допускает расширение охвата в соответствии с потребностями ASP-поставщиков.
Служба Active Directory базируется на одной структуре леса, которая может поддерживать тысячи доменов. Корень леса разбивается на разделы, в которых размещается информация, относящаяся к различным компаниям. Чтобы обеспечить защиту данных, следует установить, по крайней мере, два контроллера домена (основной и резервный) и, по крайней мере, два сервера глобальных каталогов. Контроллер домена – это сервер, работающий под управлением системы Windows 2000, поддерживающий раздел службы Active Directory; глобальные каталоги содержат частичную реплику всех доменов Windows 2000, включенных в каталог, и позволяют приложениям и пользователям быстро находить объекты в службе Active Directory. В Exchange используются серверы глобальных каталогов для проверки подлинности пользователей при доступе к различным службам Exchange. Когда вы установите первый сервер Active Directory в структуре леса, система Windows 2000 автоматически настроит его в качестве сервера глобального каталога.
Каждому клиенту ASP-поставщика отводится одно подразделение в службе Active Directory. Подразделение – это логический контейнер в структуре организации, который может вмещать другие объекты, например, пользователей, группы, параметры безопасности, правила Exchange и прочую информацию, относящуюся к данной компании. Формируя подразделения, вы можете делегировать административные права отдельным поддеревьям каталога. На следующем рисунке показан пример иерархии подразделений (OU).
Рис. 3. Иерархия подразделений
Если в один лес включены несколько организаций с различными доменными именами, то для того, чтобы у сотрудников вашего клиента были простые пользовательские имена для входа в систему и адреса электронной почты, вы можете воспользоваться системой имен UPN (User Principal Name – основное имя пользователя).
Механизм имен UPN дает возможность пользователю войти в систему под именем user1@CompanyA: ему не придется указывать полное имя, включающее название вашей компании, например, *****@***. Такой метод гораздо удобнее для пользователя и снижает число ошибок, допускаемых при вводе имен. При использовании имен UPN все запросы на проверку подлинности автоматически перенаправляются в подразделение пользователя – именно в то, в которое он имеет право входить.
Использование имен UPN избавляет от конфликтов между пространствами имен, которые могут возникать, если вы, например, обслуживаете пользователей bob@CompanyA и bob@CompanyB. Поскольку в формате UPN для различения пользователей применяются имя домена и идентификатор пользователя, каждому домену разрешается иметь свое собственное пространство имен.
Внутри подразделений можно создавать более мелкие подразделения, представляющие группы сотрудников организации; например, в главном подразделении можно выделить вспомогательное подразделение marketing (отдел маркетинга) и еще один отдел sales (сбыт). Подробнее о том, как создать подразделение и установить для него соответствующую политику безопасности говорится в дополнительном документе по этой теме Exchange 2000 ASP Deployment Guide (Руководство по развертыванию Exchange 2000 на серверах ASP-поставщиков).
Вы можете создать подразделение верхнего уровня и затем отдельные дочерние подразделения, соответственно для вашей собственной компании и для организаций, которые вы обслуживаете. Таким образом вы сможете предоставить пользователям этих организаций ограниченный набор разрешений независимо от полномочий, которыми обладают пользователи вашей компании.
Глобальный каталог
Глобальный каталог создается автоматически при установке службы Active Directory на контроллере домена. Глобальный каталог содержит частичную реплику всех доменов Windows 2000, включенных в каталог системы, и дает возможность пользователям и приложениям отыскивать объекты в дереве доменов Active Directory по одному или нескольким атрибутам. Он также содержит схему и конфигурацию разделов системного каталога. Это означает, что в глобальном каталоге хранится реплика каждого объекта Active Directory. Глобальный каталог – это LDAP-совместимый (Lightweight Directory Access Protocol) раздел каталога системы, оптимизированный для просмотра адресной книги. В Exchange 2000 глобальный каталог содержит глобальный список адресов – адресную книгу, в которую внесены все пользователи организации.
В глобальном каталоге также хранится полная реплика всех объектов домена, которому он принадлежит, и частичная реплика объектов других доменов. Глобальный каталог выполняет следующие две основные функции.
· Он обеспечивает вход в сеть, предъявляя контроллеру домена информацию о членстве в универсальной группе, когда пользователь инициирует процесс входа. Пользователю не нужно прикрепляться к конкретному серверу глобального каталога, благодаря чему обеспечивается высокая надежность и простота процесса проверки подлинности.
· Глобальный каталог позволяет пользователям и приложениям отыскивать нужную информацию независимо от того, в каком домене леса она содержится.
Когда пользователь входит в сеть, глобальный каталог передает контроллеру домена информацию о том, принадлежит ли универсальной группе учетная запись, выдавшая запрос на вход. Если в домене Windows имеется только один контроллер, он выполняет также функции сервера глобального каталога. Если в лес входит несколько доменов Windows, каждый из них будет иметь свой собственный контроллер, но при этом вы должны также установить, по крайней мере, один сервер глобального каталога для каждого домена. Если в момент инициирования пользователем процесса входа в сеть глобальный каталог недоступен, пользователь сможет войти только в среду своего локального компьютера.
Глобальный каталог реагирует на обращения пользователей и программ, запрашивающих объекты в различных частях леса, с максимальной скоростью, порождая минимальный сетевой трафик. Поскольку в одном глобальном каталоге содержится информация об объектах всех доменов леса, запрос объекта может быть разрешен глобальным каталогом в том домене, в котором был выдан запрос. Тем самым поиск информации в системном каталоге не генерирует ненужный междоменный трафик.
Подробнее о планировании развертывания службы Active Directory см. документ Deployment Planning Guide (Руководство по планированию развертывания), входящий в комплект материалов Windows 2000 Server Resource Kit.
Безопасность
Безопасность представляет собой важный аспект функционирования каталога, и при планировании развертывания системы Exchange вам следует тщательно рассмотреть все вопросы, связанные с безопасностью. При развертывании ASP-поставщиком сервера Exchange 2000 Server, в системе безопасности выделяются следующие два элемента:
· проверка подлинности при входе в систему – согласованная политика в отношении пользовательских имен и паролей, обеспечивающая пользователям доступ к службам Exchange;
· безопасность каталога – метод управления правами доступа конкретных пользователей к сетевым ресурсам.
В следующих разделах описываются механизмы систем Exchange 2000 и Windows 2000, используемые для формирования стратегии безопасности.
Проверка подлинности при входе в систему
Если Exchange 2000 развертывается вместе с системой Windows 2000, можно выбрать один из четырех типов проверки подлинности при входе, в зависимости от требуемого уровня безопасности. Эти режимы проверки перечислены ниже в порядке возрастания строгости критериев проверки.
· Анонимный доступ. Этот режим целесообразно применять в отношении общедоступной информации, если вы хотите, чтобы пользователи могли получать ее, не указывая свое имя и пароль. Однако службы IIS (Internet Information Services) 5.0 требуют, чтобы доступ к подобной информации осуществлялся при помощи учетной записи пользователя, для чего во время процесса установки создается специальная учетная запись вида IUSR_имя_компьютера.
· Обычная (текстовая) проверка подлинности. Этот режим требует, чтобы пользователь, желающий получить доступ к веб-узлу, указал свое имя и пароль. Учетные данные пользователя передаются через Интернет открытым текстом. Обычная проверка подлинности поддерживается всеми обозревателями, но поскольку обычный текст легко перехватывается, этот метод не обеспечивает достаточную безопасность. Для использования данного типа проверки подлинности пользователя необходимо в службе IIS предоставить учетной записи IUSR_имя_компьютера права на локальный вход.
· Обычная проверка подлинности по протоколу SSL. Данный метод действует точно так же, как и предыдущий, только учетные данные пользователя перед передачей на сервер шифруются по протоколу SSL (Secure Sockets Layer), что повышает уровень безопасности. Поскольку шифрование по протоколу SSL повышает нагрузку на сервер, к которому подключен клиент, использование этого метода может привести к снижению быстродействия сервера.
· Встроенная проверка подлинности средствами Windows. Эта процедура (старое название – проверка NTLM Challenge/Response) выполняется так: сначала обозреватель пытается войти в систему из домена входа, предъявляя учетные данные текущего пользователя. Если эти учетные данные отвергаются, у пользователя запрашиваются его имя и пароль, но при этом пароль не передается по сети. Такой метод более безопасен, чем обычная проверка подлинности, но его нельзя применять, если пользовательским учетным данным предстоит проходить через брандмауэр.
Интегрированная проверка подлинности средствами Windows использует протокол Kerberos V5, который принимается по умолчанию в качестве метода сетевой проверки подлинности на компьютерах, работающих под управлением системы Windows 2000. Чтобы получить билет службы Kerberos V5 для проверки подлинности на сервере, клиент должен сначала обратиться в центр распространения ключей (Key Distribution Center, KDC), обслуживающий домен этого сервера (обычно его роль играет контроллер домена). Поскольку клиент должен обращаться в службу KDC напрямую, протокол Kerberos V5 лучше подходит для интрасетей, чем для Интернета. Исключением может оказаться клиент, использующий протокол PPTP (Point-to-Point Tunneling Protocol) для подключения к виртуальной частной сети (Virtual private network, VPN). Подробнее о клиентах, которые могут использоваться при формировании сети VPN, см. ниже раздел «Клиенты».
Помимо этого, в службе IIS для связи по протоколу HTTP можно использовать проверку подлинности в режиме выборки. Данный метод аналогичен обычной проверке подлинности, только пароли перед отправкой на сервер шифруются. Пользователи, работающие с обозревателями, поддерживающими проверку подлинности в режиме выборки, удостоверяют свою подлинность на сервере IIS, не подвергая свои учетные данные риску.
Безопасность каталога
При помощи средств безопасности каталога определяется, что именно может видеть в каталоге отдельный пользователь. Пользователи всех обслуживаемых компаний размещаются в одном и том же экземпляре службы Active Directory, поэтому важно аккуратно построить структуру каталога, так чтобы она обеспечивала надлежащие разрешения каждой группе пользователей. Если система безопасности настроена правильно, пользователям будет доступна только информация, относящаяся к их компании.
Ниже на схеме показано, как действует этот метод.
Рис. 4. Безопасность каталога
Для определения уровня доступа пользователей к сетевым ресурсам служба Active Directory использует следующие механизмы.
· Таблицы управления доступом (ACL – Access Control Lists) – списки разрешений, в которых указано, какие пользователи могут получать доступ к объектам службы Active Directory.
· Записи управления доступом (ACE – Access Control Entries) – записи, определяющие вид разрешения (например, «Чтение», «Запись», «Выполнение» и т. д.).
· Политики безопасности – политики, определяющие функциональный диапазон службы безопасности системы. Используя объекты групповой политики в службе Active Directory, администраторы могут централизованно применять необходимые профили безопасности к различным организациям, представленным в каталоге.
Подробнее о том, как настраивать разрешения службы Active Directory для просмотра каталога по подразделениям говорится в документе Exchange 2000 ASP Deployment Guide (Руководство по развертыванию Exchange 2000 на серверах ASP-поставщиков).
Безопасность каталога также подразумевает определенный порядок предоставления разрешений администраторам ваших клиентов. Администратору должно быть разрешено контролировать только ту часть сведений службы Active Directory, которая относится к его организации, но не весь каталог. Администраторы обслуживаемых организаций, отвечающие за сопровождение почтовых ящиков и пользователей и за доступ к конкретным службам, должны использовать специальное средство администрирования, которое позволит им управлять пользователями своих организаций, но не даст разрешений на управление другими частями службы Active Directory. Порядок предоставления разрешений описывается в одном из следующих разделов документа.
В состав Exchange 2000 входит мастер делегирования разрешений, с помощью которого можно назначать или делегировать административные права пользователям или группам, зарегистрированным в службе Active Directory. После выполнения действий, предписываемых мастером, вам предлагается на выбор несколько вариантов установки прав на администрирование. Вы можете создать собственную оснастку для консоли MMC, открывающую доступ только к части службы Active Directory. Можно также построить специальное средство с помощью системы разработки Visual Studio®, используя интерфейсы ADSI (Active Directory Service Interfaces – интерфейсы службы Active Directory) и CDOEXM (Collaboration Data Objects for Exchange Management – объекты данных совместной работы для управления средой Exchange). Подробнее консоль MMC и интерфейсы ADSI и CDOEXM описываются в последующих разделах.
Примечание. Мастер делегирования разрешений позволяет делегировать управление конфигурацией серверов Exchange. Однако он не позволяет полностью делегировать контроль над конфигурацией пользователей администраторам ваших клиентов, которые управляют не серверами, а пользователями.
Подробнее о безопасности см. веб-страницы http://www. /security и http://www. /exchange/55/whpprs/Security2000.htm.
Клиенты
Для доступа к службам Exchange могут использоваться следующие клиенты.
· Outlook Express. Это приложение можно настраивать на доступ по протоколу POP3 или IMAP4 к серверам Exchange; однако для этих протоколов приложение Outlook Express использует обычную проверку подлинности. Чтобы установить более безопасное подключение, можно с помощью Outlook Express настроить виртуальную частную сеть VPN. В сети VPN приложение Outlook Express можно настроить на использование алгоритма SPA (Secure Password Authentication), который рассчитан на применение совместно с проверкой NTLM.
· Outlook Web Access. Эту программу можно настроить на доступ к службам Exchange по протоколам HTTP и HTTPS. Программа Outlook Web Access по умолчанию использует обычную проверку подлинности; если требуется более безопасное подключение, можно задать обычную проверку подлинности по протоколу SSL.
· Outlook 2000. Данное приложение можно настроить в качестве клиента Интернета или клиента MAPI.
· Если приложение Outlook 2000 настроено как клиент Интернета, оно использует протокол POP3 или IMAP4 и обычную проверку подлинности.
· Чтобы настроить приложение Outlook 2000 в качестве клиента MAPI, достаточно установить сеть VPN. Интерфейс MAPI использует для связи удаленные вызовы процедур (RPC), которые действуют только при в рамкаходнойподключении к рабочей группеы (или при подключении по VPN). Поскольку в сетях VPN используется выделенное подключение, проходящее через брандмауэр, можно применить встроенную проверку подлинности средствами Windows.
В следующей таблице перечислены клиенты и используемые протоколы, с указанием преимуществ и недостатков каждого клиента.
Клиент | Проверка подлинности | Протоколы | Преимущества | Недостатки |
Outlook Web Access | Обычная, обычная по протоколу SSL, NTLM, выборка | HTTP, HTTPS | Обычная проверка не зависит от обозревателя, обеспечивает простое разбиение на разделы для размещенияпроста в обслуживании при хостинге, не зависит от клиента, не требует обновлений клиента, протокол SSL позволяет зашифровать весь сеанс | Не поддерживаются возможности автономной работы, для защиты подключений требуется протокол SSL, протокол SSL снижает быстродействие, для NTLM требуется сеть VPN, NTLM не действует в топологии с внешним и внутренним интерфейсамисерверами |
Outlook 2000 | NTLM, обычная | MAPI, POP3, IMAP4 | Богатые функциональные возможности, широкий спектр возможных пользователей | MAPI трудна в обслуживании при хостингеТрудности с разбиением по разделам в среде размещения для клиента MAPI, клиенты MAPI подключаются только к внутренним серверам (где хранятся почтовые ящики), для клиента MAPI требуется сеть VPN, возрастает объем трафика |
Outlook Express | Обычная, обычная по протоколу SSL, NTLM | POP3, IMAP4, LDAP | Широкий спектр возможных пользователей, низкие накладные расходы, хорошее быстродействие | SSL снижает быстродействие, для NTLM требуется сеть VPN |
Клиенты POP3, IMAP4 общего типа | Обычная | POP3, IMAP4 | Широкое распространение | Недостаточная функциональность |
Масштабируемость и доступностьМасштабируемость и отказоустойчивость
Сервер Exchange 2000, работающий в среде Windows 2000 Advanced Server, может обслуживать свыше 1 миллиона пользователей и почтовых ящиков в стандартных моделях использования Интернета. Корпорация Майкрософт намерена продолжать тестирование систем Exchange 2000 и Windows 2000 Advanced Server на других моделях с увеличением числа пользователей и параллельно публиковать отчеты о масштабируемости и рекомендации по настройке оборудования.
Один сервер с Exchange 2000 может обслуживать 5000 десятки тысяч и более пользователей в зависимости от ожидаемой нагрузки, которая, в свою очередь, зависит от профиля типа сообщений, числа одновременно работающих пользователей и количества доступных служб, например календаря, и планирования интервалов занятости. При этом предполагается, что Exchange работает на компьютере с восемью процессорами и оперативной памятью объемом от 2 до 4 ГБ.
Подробнее об изменении размера и планировании работы сервера Active Directory см. описание служебной программы установки настройкиразмера масштабирования службы (sizing utility) Active Directory, входящей в комплект материалов Windows 2000 Server Resource Kit.
Необходимо подчеркнуть, что в конфигурацию следует включить более одного глобального каталога и контроллера домена. Если имеется только один контроллер домена, то в случае сбоя домен и информация службы Active Directory будут утеряны. Точно так же, если используется только один глобальный каталог и он будет поврежден, пользователи не смогут входить в сеть. Им удастся войти на локальный сервер, но только тем из них, у кого на этом сервере есть локальная учетная запись.
Развертывание внедрение Exchange 2000 |
В данном разделе обсуждаются вопросы развертывания внедрения Exchange 2000, представляющие особый интерес для ASP-поставщиков, в том числе разбиение на разделыделение ресурсов, настройка конфигурации и кластеризация.
Разбиение средыРазделение ресурсов Exchange 2000 на разделы
Первым этапом развертывания внедрения Exchange 2000 является разделение ресурсовбиение на разделы. Это можно делать следующими способами.
v Один заказчик на организацию Exchange. В этом случае вы будете иметь отдельный лес AD и набор серверов для каждого заказчика. Такая конфигурация оптимальна, если вы предоставляете услуги для больших компаний.Создайте несколько групп хранилищ. Каждая из них представляет собой группу баз данных, использующих общий набор файлов журналов транзакций, причем ими можно управлять как индивидуально, так и группой в целом. Организация нескольких групп хранилищ позволяет распределять данные требуемым образом.
v Один заказчик на сервер. В этом случае вы будете использовать один лес AD для нескольких заказчиков, каждый из которых будет обслуживаться одним или несколькими серверами Exchange. Данные заказчиков будут полностью разделены. Эта конфигурация оптимальна для обслуживания средних и крупных заказчиков.Включите несколько организаций заказчиков в группу хранилищ. Такие группы можно использовать для организаций заказчиков небольшого размера. Вы можете поместить данные одной организации в одну базу данных и включить несколько баз данных для нескольких организаций в одну группу хранилищ.
v Создайте несколько баз данныхОдин заказчик на хранилище. В этом случае данные заказчиков будут полностью разделены (поскольку каждое хранилище – это набор баз данных и журналов транзакций), но каждый сервер или двух-узловой кластер сможет обслуживать до четырех заказчиков. Такая конфигурация применяется для обслуживания средних по размеру организацийотличие от версии Exchange 5.5, сервер Exchange 2000 позволяет помещать информацию в несколько баз данных. Это дает возможность полностью изолировать данные каждой организации и при этом определить несколько баз данных, различающихся по уровню предлагаемых услуг и поддержки пользователей.
v Один заказчик на базу данных. В этом случае на одном сервере может обслуживаться до 20 организаций, разделение данных которых будет осуществляться на уровне баз данных. Необходимо отметить, что в этом случае все базы данных в хранилище будут иметь общие журналы транзакций. Этот сценарий подходит для небольших и средних организаций.
v Несколько заказчиков на базу данных. Эта модель потенциально наиболее масштабируема, поскольку позволяет обслуживать на одном сервере сотни организаций. Данные всех заказчиков будут при этом храниться в одной базе. Этот сценарий подходит для обслуживания малых организаций и дает минимум гибкости в организации разных уровней сервиса.
Разбивая средуделяя ресурсы Exchange 2000 на разделы, не забывайте о соглашении SLA, которое вы заключили со своими заказчиками, и следите за размерами групп храненияхранилищ: они должны быть такими, чтобы вы могли восстановить базу данных после возможного сбоя за приемлемое время. Это требование накладывает также ограничение на число пользователей, обслуживаемых на одном сервере Exchange, потому что один сервер может вмещать до четырех групп хранилищ, каждая из которых содержит до пяти баз данных сообщений.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 |
