Auteur : TDEMAN Article lu 5 466 fois
Description : Revue des différents points importants du système Active Directory, le catalogue global, les rôles et l'incidence sur le fonctionnement de Exchange.
Architecture, Terminologies et Concepts.
|
L'annuaire de Exchange 2003 : Active Directory
Comme pour Exchange 2000, Exchange 2003 utilise l'annuaire Active Directory pour gérer les informations qui ont tout intérêt à faire partie de l'annuaire.
Exchange 2003 peut d'ailleurs tout à fait s'installer aussi bien dans un domaine Windows 2000 ou 2003, et sur un serveur Windows 2000 ou 2003.
En revanche, l'installation de Exchange 2000 est totalement impossible sur Windows 2003. La mise à jour d'un serveur 2000 contenant Exchange 2000 en Windows 2003 n'est donc pas une bonne idée.
L'intégration à AD
Avantages
L'annuaire permet de publier au niveau de toute l'organisation les informations utiles.
Il y a principalement 2 types d'informations : les informations nécessaires à toute l'organisation (liste globale et les listes, les sites, les connecteurs...), et les informations propres à un domaine précis (les attributs Exchange d'un utilisateur et de sa boîte, notamment).
L'annuaire permet de centraliser et de gérer la réplication de ces informations sur tous les contrôleurs de domaine où cette information est nécessaire. Exchange suivra donc exactement la même logique que le système Windows.
Tous les attributs (y compris ceux de la messagerie) sur un utilisateur pourront être trouvés facilement à partir de l'annuaire système.
Stockage des informations
Les données stockées dans la base peuvent être de tout type et ne sont définies que si nécessaire.
Les éléments de la base sont composés de « classes » et d'attributs.
L'installation de Exchange provoque l'ajout de classes, ou la redéfinition de classes permettant l'ajout de nouveaux attributs. La plupart des éléments ajoutés par Exchange commencent par « MsExch ».
Concepts
Hiérarchie Exchange
La hiérarchie de Exchange est composée d'un niveau principal, l'organisation. L'organisation est composée de « sites » dit « administratifs », eux même contenant les serveurs Exchange.
Il ne peut y avoir qu'une seule organisation par forêt. Le nom de l'organisation ne doit pas forcément correspondre au nom du domaine DNS d'Active Directory. En effet, une forêt peut être composée de plusieurs arborescences de domaine différentes.
Ce découpage existait déjà depuis Exchange 4.0, mais la notion de site a légèrement évoluée. En effet, Exchange utilisait le domaine NT comme découpage site par défaut et définir plusieurs domaines dans le même site n'était pas une bonne idée.
Depuis Windows 2000, tous les domaines d'une même forêt ont une approbation réciproque et transitive. Le site « administratif » peut donc très bien contenir différents serveurs Exchange
Terminologie (hiérarchie AD)
L'annuaire Active Directory est basé sur un certain nombre d'éléments dont il faut bien comprendre la portée: La forêt, l'arbre, les domaines et les unités d'organisation.
La forêt représente toute l'organisation. La forêt doit normalement être définie comme l'objet le plus important définissant la globalité de toutes les activités de l'entreprise. L'équivalent d'une « Holding » pour les Sociétés.
è
La messagerie Exchange est prévue pour être une ressource disponible à la totalité des membres de la forêt.
è
Avec Windows 2003, la fusion de grands ensembles ayant déjà leur annuaire AD ( si possible 2003) a été prévue. Il n'est plus nécessaire d'intégrer l'un dans l'autre. L'approbation entre 2 forêts étant possible, Exchange 2003 profite de cette évolution pour pouvoir servir plusieurs forêts, ce qui est une grande évolution.
L'arbre correspond à une arborescence de domaine comportant la même racine « soc1.com ». « filiale1.soc1.com » et filiale2.soc1.com » font partie du même arbre.
A partir de la racine, c'est-à-dire du 1er domaine qui a créé à la fois le 1er arbre et la forêt, il est possible d'ajouter d'autres arbres, permettant de gérer d'autres racines « soc2.com »
On retrouve donc les domaines qui correspondent au seul niveau (d'abstraction) qui existait avec NT4. Les domaines permettent de retrouver un découpage administratif, dans lesquels les comptes d'utilisateurs et d'ordinateurs sont créés. Interroger l'annuaire permet donc d'avoir des informations sur les comptes du domaine mais aussi sur les comptes des autres domaines en interrogeant le catalogue global. (Voir la définition des différents rôles).
Architecture
Utilisation de IIS
Toute la base de l'architecture de communication est basée sur les couches Internet, et notamment « Inetinfo » qui est commun à de nombreux services.
Attention, sous Windows 2003, l'installation des services Web (IIS6) n'est pas automatique,.Une fois installés, la plupart des composants (ASP, CGI ,etc...) ne sont pas autorisés.
Cette utilisation du composant InetInfo est à la base de nombreux avantages de l'utilisation des protocoles basés sur TCPIP, plutôt que basés sur les RPC.
En effet, la tolérance de panne, la répartition de charge, la communication, la réplication entre différentes machines des informations par TCPIP supportent des débits inférieurs et sont moins sensibles aux problèmes de réseau.
Exchange 2003 permettra donc de gérer une charge plus importante avec moins de problèmes côtés utilisateurs.
Par exemple, la réplication de l'annuaire pourra se faire par SMTP, plutôt que par RPC. Certaines contraintes de proximité et de connexions synchrones entre serveurs disparaissent.
Système de fichiers installable
Le système de fichiers installable géré par le service EXIFS permet d'avoir une interface de programmation pour accéder facilement à toutes les données exchange (privées ou publiques).
Sur Exchange 2000, il était possible d'accéder visuellement à ce système par l'intermédiaire d'une unité disque virtuelle (la lettre M : par défaut).
Cette unité ayant causé trop de problèmes pour de nombreux utilisateurs à cause des logiciels de sauvegarde et des antivirus, Microsoft a préféré faire disparaître cette unité qui n'est que la partie visible de l'iceberg.
(voir la procédure dans les trucs et astuces pour la faire réapparaître).
Architecture SMTP
Par défaut, toute la communication entre les serveurs Exchange est basée sur SMTP.
Néanmoins, SMTP ne remplace pas la notion de MTA. Le MTA sert toujours pour la communication par les connecteurs X400 et les anciennes versions d'Exchange.
Exchange 5.5 était basé sur la gestion des « sites » basés sur l'aspect géographique (même lieu) et administratif (même domaine).
Exchange 2003 utilise maintenant la notion de Groupe de Routage (RG) qui suppose le même emplacement géographique (communication réseau rapide), mais pas forcément le même domaine.
Ceci permet à différents serveurs Exchange provenant de différents domaines présents en un même lieu de mieux communiquer entre eux en direct. Si plusieurs connecteurs sont définis sur différents serveurs, ceux-ci peuvent bénéficier à tous les serveurs du Groupe de Routage.
L'avantage de SMTP est son mode asynchrone qui permet d'envoyer des informations sans avoir un retour direct et immédiat.
Les partitions (Domaine, configuration, Schéma)
Les informations de la base AD sont classées dans différentes partitions.
- La partition « schema » est commune à toute la forêt. Celle-ci définit tous les objets de type « classes » et « attributs » utilisables sur tous les contrôleurs de domaines. Ce schema est donc répliqué sur tous les contrôleurs après chaque modification.
- La partition « configuration » contient tous les éléments nécessaires afin d'avoir une vue générale de tous les domaines, serveurs, sites et services disponibles sur l'ensemble de la forêt.
- Exchange est l'un des services présentés dans cette partition. Tous les serveurs Exchange, les connecteurs, etc... propres à Exchange sont définis dans des sous conteneurs à ce niveau.
- L'annuaire AD est défini lui-même comme un service disponible.
- Tous les sites, les sous réseaux, les emplacements physiques, les connecteurs inter sites y sont définis.
- La partition « Domain » contient toutes les données qui sont spécifiques à ce domaine. En particulier, les comptes d'utilisateurs, d'ordinateurs ou de groupes.
ð
Cette partition n'est répliquée qu'entre les contrôleurs de ce domaine.
Le domaine contiendra des données Exchange, si un serveur Exchange installé dans ce domaine, par exemple si des utilisateurs se voient affectés une boîte. Si le domaine n'a pas de serveur Exchange mais que les utilisateurs doivent avoir une boîte, le domaine devra subir une modification appelée « préparation du domaine » par le setup Exchange afin de créer les structures et objets nécessaires.
L'outil ADSIEDIT.MSC dans les « Supports Tools » est d'une grande aide pour examiner cet aspect.
Les rôles des contrôleurs de domaine
Parmi les différents rôles que peut avoir un contrôleur de domaine, certains concernent directement Exchange.
Le maître de schéma
Lors de l'installation du 1er serveur Exchange dans la forêt, le schéma doit être modifié. L'idéal serait d'installer le schéma Exchange dans le domaine racine/principal dès la création.
Le maître de schéma correspond à un rôle donné à un contrôleur du domaine qui seul aura la possibilité de modifier le schéma qui s'appliquera à toute la forêt.
Avoir le rôle « maître de schéma » ne suffit pas, il faut aussi que le serveur soit autorisé à mettre à jour ce schéma.
Cette modification du schéma s'appliquera à toute l'organisation et donc à tous les domaines. Le compte utilisateur devra donc avoir être membre du groupe « administrateurs de l'entreprise » et « administrateurs du schéma » pour réussir à installer la modification du schéma nécessaire à la transformation de la base AD nécessaire au support de Exchange 2003.
Le Catalogue Global
Le catalogue global est un des rôles des contrôleurs de domaine windows qui est essentiel au fonctionnement de Exchange.
En effet, le catalogue global contient l'équivalent de la liste globale bien connue des utilisateurs. Cette liste globale sert de référence pour la création des profils Exchange et les destinataires (adresses de messagerie) connus par le serveur Exchange.
Exchange doit donc pouvoir interroger en permanence un serveur contenant le catalogue global (ou une copie).
Pour les petites structures, l'idéal est d'avoir le catalogue global directement sur le serveur Exchange. Dans les autres cas, le serveur Exchange et le serveur de CG doivent être en communication permanente et rapide !
La migration Windows 2000/windows 2003
Pour rappel, Exchange 2003 peut tout à fait s'installer dans un domaine windows 2000. Ceci ne nécessite pas de préalable particulier au niveau du domaine. Il y a quelques différences qui seront indiquées lors de la présentation des différents types d'installation de Exchange 2003.
Néanmoins, l'utilisation de Exchange 2003 sur un serveur Windows 2000 présente peu d'intérêt sauf temporairement pour une mise à jour d'un serveur Windows 2000/Exchange 2000.
Au niveau d'Active Directory, la migration vers Windows 2003, implique la préparation du schéma grâce à l'utilitaire ADPREP.
Tant que ADPREP n'aura pas été utilisé, il sera impossible d'ajouter un contrôleur de domaine utilisant 2003. Or, les fonctions comme Exchange RPC sur HTTP nécessitent que tous les serveurs incriminés soient en Windows 2003.
è
ADPREP /FORESTPREP sera utilisé sur le Contrôleur de domaine qui a le rôle de « maître du schéma »,
Ensuite,
è
ADPREP /DOMAINPREP devra être utilisé dans chaque domaine 2000 mis à jour en 2003, sur le contrôleur de domaine qui a le rôle de « maître d'infrastructure ».