Active Directory-Gesamtstrukturtopologien

Da sowohl für Microsoft Windows Server 2003 als auch für Microsoft Exchange Server 2007 der Active Directory-Verzeichnisdienst benötigt wird, müssen Sie festlegen, wie Exchange 2007 in die Active Directory-Struktur integriert werden soll. Active Directory enthält drei logische Elemente, die zusammengenommen eine Active Directory-Topologie definieren:

•	Gesamtstruktur
•	Mindestens eine Domäne
•	Mindestens einen Active Directory-Standort

Active Directory-Gesamtstrukturen

Eine Gesamtstruktur beschreibt die äußersten Grenzen des Verzeichnisdiensts. Eine Gesamtstruktur arbeitet innerhalb eines fortlaufenden Sicherheitskontexts, sodass alle innerhalb einer Gesamtstruktur befindlichen Ressourcen implizit einander vertrauen, unabhängig davon, wo sie sich in der Gesamtstruktur befinden. Innerhalb jeder Gesamtstruktur gibt es ein allgemeines Verzeichnisschema und eine allgemeine Konfiguration für den Verzeichnisdienst. Eine Gesamtstruktur kann aus einer oder mehreren Domänen bestehen. Es gibt zwei Typen von Gesamtstrukturtopologien: die einzelne Gesamtstruktur und die Topologie mit mehreren Gesamtstrukturen.

Topologie mit einzelner Gesamtstruktur

In einer Topologie mit einzelner Gesamtstruktur ist Exchange in einer einzigen Active Directory-Gesamtstruktur installiert, die die gesamte Organisation umfasst. Alle Benutzer- und Gruppenkonten sowie sämtliche Exchange-Konfigurationsinformationen befinden sich in derselben Gesamtstruktur.

Wenn in Ihrem Unternehmen eine einzelne Active Directory-Gesamtstruktur verwendet wird, können Sie Exchange 2007 in dieser Gesamtstruktur implementieren. Das Design mit einer einzelnen Gesamtstruktur für Exchange wird empfohlen, da bei dieser Variante die größte Anzahl von Features für das E-Mail-System verfügbar ist und sich gleichzeitig ein optimales Verwaltungsmodell ergibt. Da alle Ressourcen in einer einzelnen Gesamtstruktur enthalten sind, enthält eine einzelne globale Adressliste (GAL) alle Benutzer der Gesamtstruktur. In Abbildung 1 wird dieses Szenario dargestellt.

Die Variante mit einer einzelnen Gesamtstruktur bietet folgende Vorteile:

•	Größte Anzahl von Features für das E-Mail-System.
•	Optimales Verwaltungsmodell.
•	Ausnutzung einer vorhandenen Active Directory-Struktur.
•	Vorhandene Domänencontroller und globale Katalogserver können verwendet werden.
•	Keine GAL-Synchronisierung erforderlich.

Der Hauptnachteil bei einer einzelnen Gesamtstruktur besteht darin, dass Administratoren festlegen müssen, wie die Verantwortlichkeiten für das Verwalten von Active Directory- und Exchange-Objekten aufgeteilt werden sollen.

Topologie mit mehreren Gesamtstrukturen

Obwohl eine Topologie mit einer einzelnen Gesamtstruktur empfohlen wird, da sie die größte Anzahl von Messagingfunktionen bietet, sprechen verschiedene Gründe für die Implementierung einer Topologie mit mehreren Gesamtstrukturen. Diese Gründe sind unter anderem:

•	In Ihrer Organisation sind mehrere Unternehmensbereiche vorhanden, bei denen eine Trennung der Messagingdienste erforderlich ist.
•	In Ihrer Organisation sind mehrere Unternehmensbereiche mit unterschiedlichen Schemaanforderungen vorhanden.
•	Sie haben eine Fusion, Übernahme oder Veräußerung zu bewältigen.

Unabhängig von den Gründen besteht die einzige Möglichkeit, strenge Grenzen zwischen Unternehmensbereichen einzurichten, im Erstellen einer getrennten Active Directory-Gesamtstruktur für jede Unternehmenseinheit. Wenn in Ihrer Organisation diese Active Directory-Konfiguration verwendet wird, besteht das bevorzugte Verfahren für die Implementierung von Exchange im Erstellen einer Exchange-Ressourcengesamtstruktur. Weitere Informationen zu Exchange-Ressourcengesamtstrukturen finden Sie weiter unten in diesem Thema unter "Ressourcengesamtstruktur-Topologie".

Es gibt jedoch Szenarien, in denen eine Ressourcengesamtstruktur möglicherweise nicht praktikabel ist (z. B. bei Fusionen oder Übernahmen bzw. wenn in mehreren Gesamtstrukturen bereits eigene Instanzen von Exchange ausgeführt werden). In diesen Fällen können Sie eine gesamtstrukturübergreifende Topologie implementieren.

Gesamtstrukturübergreifende Topologie

Ein Unternehmen verfügt in einer gesamtstrukturübergreifenden Topologie über mehrere Active Directory-Gesamtstrukturen, von denen jede eine Exchange-Organisation enthält. Im Gegensatz zu einer Ressourcengesamtstruktur-Topologie sind hierbei Benutzerkonten nicht von den zugehörigen Postfächern getrennt. Stattdessen befinden sich ein Benutzerkonto und das zugehörige Postfach in derselben Gesamtstruktur.

Der Hauptvorteil bei der Implementierung einer gesamtstrukturübergreifenden Topologie besteht darin, dass Sie Datentrennung und Sicherheitsgrenzen zwischen den Exchange-Organisationen aufrechterhalten können. Bei dieser Topologie ergeben sich jedoch unter anderem folgende Nachteile:

•	Es wird nicht die größte Anzahl von Messagingfunktionen bereitgestellt.
•	Regeln bleiben bei einer gesamtstrukturübergreifenden Verschiebung nicht erhalten.
•	Berechtigungen der Postfachstellvertretung bleiben beim Verschieben von Postfächern von einer Gesamtstruktur in eine andere nicht erhalten.
•	Obwohl Sie Frei/Gebucht-Informationen gesamtstrukturübergreifend synchronisieren und diese dann zur Planung von Besprechungen verwenden können, besteht nicht die Möglichkeit, die Kalenderdetails eines Benutzers in einer anderen Gesamtstruktur mit der Funktion Ordner eines anderen Benutzers öffnen in Microsoft Office Outlook anzuzeigen.
•	Da eine Gruppe einer anderen Gesamtstruktur als Kontakt dargestellt wird, können Sie die Gruppenmitglieder nicht anzeigen. Die Gruppenmitgliedschaft wird erst aufgegliedert, wenn eine E-Mail an die Gesamtstruktur gesendet wird, in der sich die Gruppe befindet, die als Kontakt verwendet wurde.
•	Die gesamtstrukturübergreifende Synchronisierung von Verzeichnisobjekten sowie die Replikation von Frei/Gebucht-Daten ist erforderlich. In der Vergangenheit bestand die gängigste Lösung für die Verzeichnissynchronisierung in der Verwendung von Microsoft Identity Integration Server (MIIS) oder Identity Integration Feature Pack 1a für Microsoft Windows Server Active Directory (IIFP). Diese Lösungen wurden mit Exchange 2007 nicht getestet und werden daher nicht unterstützt. Der Verfügbarkeitsdienst in Exchange 2007 kann zur Freigabe von Frei/Gebucht- und Kalenderinformationen zwischen Exchange-Organisationen in unterschiedlichen Gesamtstrukturen verwendet werden.

Ressourcengesamtstruktur-Topologie

In manchen Fällen kann es erforderlich sein, eine getrennte Active Directory-Gesamtstruktur einzurichten, die ausschließlich für die Ausführung von Exchange reserviert ist. So kann es z. B. vorkommen, dass eine vorhandene Active Directory-Gesamtstruktur beibehalten werden soll. Oder vielleicht müssen Sie die Verwaltung von Active Directory-Objekten und Exchange-Objekten trennen. Daher möchten Sie eventuell eine getrennte Active Directory-Gesamtstruktur für das Ausführen von Exchange einrichten. Die gesonderte, dedizierte Gesamtstruktur wird als Exchange -Ressourcengesamtstruktur bezeichnet. Bei dem Ressourcengesamtstruktur-Modell ist Exchange in einer Active Directory-Gesamtstruktur installiert, die von der Active Directory-Gesamtstruktur, in der Benutzer, Computer und Anwendungsserver installiert sind, getrennt ist. Diese Variante wird normalerweise von Unternehmen verwendet, in denen Sicherheitsgrenzen zwischen der Active Directory- und der Exchange-Verwaltung erforderlich sind.

Die Exchange-Gesamtstruktur ist dabei für die Ausführung von Exchange und die Unterbringung der Postfächer reserviert. Benutzerkonten befinden sich in einer oder mehreren Gesamtstrukturen, die als Kontengesamtstrukturen bezeichnet werden. Kontengesamtstrukturen sind von der Exchange-Ressourcengesamtstruktur getrennt. Zwischen der Kontengesamtstruktur und der Exchange-Ressourcengesamtstruktur wird eine unidirektionale Vertrauensstellung erstellt, die es der Exchange-Gesamtstruktur erlaubt, der Kontengesamtstruktur zu vertrauen, sodass Benutzer aus der Kontengesamtstruktur Zugriff auf Postfächer erhalten, die sich in der Exchange-Ressourcengesamtstruktur befinden. Da eine Exchange-Organisation sich nicht über eine Active Directory-Gesamtstrukturgrenze erstrecken kann, muss jedes in der Exchange-Ressourcengesamtstruktur erstellte Postfach über ein entsprechendes Benutzerobjekt in der Exchange-Ressourcengesamtstruktur verfügen. Bei den Benutzerobjekten in der Exchange-Ressourcengesamtstruktur findet niemals eine Benutzeranmeldung statt, und sie sind deaktiviert, damit sie nicht als Sicherheitsrisiko ausgenutzt werden können. Benutzer wissen normalerweise noch nicht einmal, dass dieses Kontoduplikat vorhanden ist. Da das Konto in der Exchange-Ressourcengesamtstruktur deaktiviert ist und nicht für Anmeldezwecke verwendet wird, muss dem aktiven Konto eines Benutzers in der Kontengesamtstruktur der Zugriff zum Anmelden bei dem Postfach gewährt werden. Der Zugriff wird gewährt, indem die Sicherheits-ID des Kontengesamtstruktur-Benutzerobjekts, die in dem Attribut msExchMasterAccountSID enthalten ist, in das deaktivierte Benutzerobjekt in der Exchange-Ressourcengesamtstruktur übernommen wird.

Wenn eine Exchange-Ressourcengesamtstruktur verwendet wird, ist es möglich, dass keine Verzeichnissynchronisierung erforderlich ist. Aus der Sicht von Exchange und Outlook stammen alle Objekte, die im Verzeichnisdienst aufgeführt sind, vom selben Ort, in diesem Fall dem Verzeichnisdienst, in dem sich die Exchange-Ressourcengesamtstruktur befindet. Wenn jedoch GAL-Daten in den Kontengesamtstrukturen vorhanden sind, muss eine Synchronisierung ausgeführt werden, damit die Daten in die Exchange-Ressourcengesamtstruktur übernommen werden, um sie in der GAL verwenden zu können. Zusätzlich kann es erforderlich sein, einen Prozess einzurichten, durch den ein deaktiviertes Konto mit einem Postfach in der Exchange-Ressourcengesamtstruktur erstellt wird, sobald Konten in der Kontengesamtstruktur erstellt werden.

Der aktivierte Benutzer der Kontengesamtstruktur ist einem Postfach zugeordnet, das wiederum einem deaktivierten Benutzer der Ressourcengesamtstruktur zugeordnet ist. Durch diese Konfiguration wird Benutzern der Zugriff auf Postfächer ermöglicht, die sich in anderen Gesamtstrukturen befinden. In diesem Szenario richten Sie eine Vertrauensstellung zwischen der Ressourcengesamtstruktur und der Kontengesamtstruktur ein. Unter Umständen müssen Sie außerdem einen Bereitstellungsprozess einrichten, damit beim Erstellen eines Benutzers in der Kontengesamtstruktur durch einen Administrator gleichzeitig ein deaktivierter Benutzer mit einem Postfach in der Exchange-Ressourcengesamtstruktur erstellt wird.

Da alle Exchange-Ressourcen in einer einzelnen Gesamtstruktur enthalten sind, enthält eine einzelne GAL alle Benutzer in der Gesamtstruktur. Der Hauptvorteil bei der Variante mit einer dedizierten Exchange-Gesamtstruktur liegt darin, dass eine Sicherheitsgrenze zwischen der Active Directory- und der Exchange-Verwaltung besteht.

Bei dieser Topologie ergeben sich jedoch unter anderem folgende Nachteile:

•	Die Implementierung einer Ressourcengesamtstruktur ermöglicht die Trennung der Exchange-Verwaltung von der Active Directory-Verwaltung. Die mit der Bereitstellung einer Ressourcengesamtstruktur verbundenen Kosten können jedoch die Notwendigkeit dieser Trennung wieder aufwiegen.
•	An Microsoft Windows-Standorten, an denen Exchange ausgeführt werden soll, ist die Installation zusätzliche Domänencontroller und globale Katalogserver erforderlich, wodurch erhöhte Kosten entstehen.
•	Es ist ein Bereitstellungsprozess erforderlich, damit Active Directory-Aktualisierungen in Exchange übernommen werden. Wenn Sie in einer Gesamtstruktur ein Objekt erstellen, muss sichergestellt sein, dass in der anderen Gesamtstruktur ebenfalls entsprechende Objekte erstellt werden. Wenn Sie beispielsweise in einer Gesamtstruktur einen Benutzer erstellen, müssen Sie sicherstellen, dass in der anderen Gesamtstruktur ein Platzhalter für diesen Benutzer erstellt wird. Sie können die entsprechenden Objekte dann manuell erstellen, oder diesen Vorgang automatisieren.

Eine andere Variante der Ressourcengesamtstruktur besteht aus mehreren Gesamtstrukturen, bei denen in einer Gesamtstruktur Exchange ausgeführt wird. Wenn mehrere Active Directory-Gesamtstrukturen vorhanden sind, hängt die optimale Bereitstellungsmethode für Exchange vom Grad der Autonomie ab, der zwischen den einzelnen Gesamtstrukturen bestehen bleiben soll. In Unternehmen, in denen Sicherheitsgrenzen (getrennte Gesamtstrukturen) für Verzeichnisobjekte erforderlich sind, Exchange-Objekte jedoch freigegeben werden dürfen, kann es empfehlenswert sein, Exchange in einer der Gesamtstrukturen bereitzustellen und dort auch die Postfächer für die anderen Gesamtstrukturen im Unternehmen einzurichten. Da alle Exchange-Ressourcen in einer einzelnen Gesamtstruktur enthalten sind, enthält eine einzelne GAL alle Benutzer aus allen Gesamtstrukturen.

Bei diesem Szenario ergeben sich unter anderem folgende Hauptvorteile:

•	Eine vorhandene Active Directory-Struktur kann verwendet werden.
•	Vorhandene Domänencontroller und globale Katalogserver können verwendet werden.
•	Zwischen Gesamtstrukturen werden strenge Sicherheitsgrenzen eingehalten.

Bei diesem Szenario ergeben sich unter anderem folgende Nachteile:

•	Es muss ein Bereitstellungsprozess vorhanden sein, damit Active Directory-Aktualisierungen in Exchange übernommen werden. Sie können beispielsweise ein Skript erstellen, durch das beim Erstellen eines neuen Active Directory-Benutzers in Gesamtstruktur A ein postfachaktiviertes Objekt mit entsprechenden Berechtigungen generiert wird, das in Gesamtstruktur B deaktiviert ist.
•	Gesamtstrukturadministratoren müssen festlegen, wie die Verantwortlichkeiten für die Verwaltung der Active Directory- und Exchange-Objekte aufgeteilt werden sollen.

Active Directory-Domänen

Eine Domäne ist eine Gruppe von Sicherheitsprinzipalen und anderen Objekten, die gemeinsam verwaltet werden. Domänen sind flexibel. Die Implementierung dessen, woraus eine Domäne besteht, ist ein offener Prozess und obliegt dem Ermessen des Administrators. So kann eine Domäne beispielsweise eine Gruppe von Benutzern und Computern darstellen, die sich an einem einzigen physikalischen Ort befinden. Andererseits kann eine Domäne alle Benutzer und Computer an verschiedenen Standorten bzw. über einen großen geografischen Bereich verteilt darstellen. Wenn die Verwaltungs- und Infrastrukturunterstützung konsolidiert wird, werden Domänen gängigerweise über ausgedehnte geografische Gebiete hinweg bereitgestellt, um die Supportkosten zu senken. Bei wachsendem Bereich eines Verzeichnisdiensts wird es jedoch notwendig, den Verzeichniszugriff auf die geeigneten Ressourcen so effizient wie möglich und zielgerichtet zu gestalten.

Active Directory-Standorte

Active Directory-Standorte stellen eine logische Gruppe von Computern innerhalb von Active Directory dar, die über zuverlässige Verbindungen verfügen. Bei einem Active Directory-Standort ist es möglich, Clientcomputer so aufzuteilen, dass sie nur eine bestimmte Menge von Gruppen- oder Verzeichnisressourcen verwenden. Ein Active Directory-Standort besteht aus mindestens einem TCP/IP-Subnetz mit guter Verbindung, das es Administratoren ermöglicht, den/die Active Directory-Zugriff und -Replikation zu konfigurieren. Diese Subnetze können der physikalischen Topologie entsprechen, müssen es aber nicht.

Abbildung 2 zeigt einige der gängigen bereitgestellten Beziehungen zwischen logischen Active Directory-Definitionen und physikalischen Speicherorten.