Kluczem do ułatwienia zarządzania kontami użytkowników w firmie POWIETRZE S.A. jest integracja rozdzielnych dotąd baz informacji o użytkownikach zawartych na serwerze komunikacyjnym Microsoft Exchange 5.5 i w domenie Windows NT. Po migracji do Windows 2000 i usług katalogowych Active Directory, funkcjonalność taką zapewnia Active Directory Connector.

Active Directory Connector to oprogramowanie dostępne bezpłatnie na płycie CD-ROM, zawierającej instalacyjną wersję serwera Windows 2000. Znaleźć je można w katalogu VALUEADD\MSFT\MGMT\ADC. Active Directory Connector (ADC) to komponent instalowany, w przeciwieństwie do innych komponentów typu konektor, np. Internet Mail Connector, nie na serwerze Microsoft Exchange Server 5.5, lecz na kontrolerze domeny Windows 2000, serwerze pełniącym funkcję Global Catalog lub też serwerze typu Member, uczestniczącym w domenie opartej na Active Directory. Jego podstawowym zadaniem jest automatyczna synchronizacja obiektów katalogowych oraz informacji o użytkownikach między usługami Active Directory, pracującymi na kontrolerach domen Windows 2000, a bazą katalogową serwera Microsoft Exchange 5.5 według określonego wcześniej przez administratorów scenariusza. Synchronizacja taka jest automatyczna, co oznacza, że obiekty zmodyfikowane w jednej z baz katalogowych (na serwerze komunikacyjnym bądź w AD) są automatycznie replikowane do drugiej z nich.

Pozwala to utrzymać spójność obydwu baz katalogowych, chociaż w rzeczywistości są one rozłączne. Problem zapewnienia takiej integracji będzie istnieć do momentu wdrożenia w firmie Powietrze SA nowej wersji oprogramowania komunikacyjnego Microsoft Exchange 2000, która nie ma już własnych usług katalogowych, lecz w całości opiera się na Active Directory. Produkt ten nie jest jeszcze dostępny na rynku, a istniejący problem integracji informatycy Powietrze SA zamierzają rozwiązać właśnie poprzez wdrożenie oprogramowania Active Directory Connector.

Podstawowe korzyści

Poza podstawową korzyścią, jaką jest scentralizowanie zarządzania kontami użytkowników oraz ich skrzynkami pocztowymi, zainstalowanie ADC daje także wiele innych. Przede wszystkim dane przeniesione do Active Directory mogą być selektywnie udostępnione do modyfikacji indywidualnym użytkownikom bądź kierownikom działów. W przeciwieństwie do usług katalogowych serwera Exchange usługi Active Directory pozwalają bowiem na przydzielanie praw dostępu na poziomie pojedynczych atrybutów, nie całych obiektów. Dzięki temu można tak skonfigurować prawa dostępu, że użytkownik będzie mógł samodzielnie modyfikować za pośrednictwem klienta Active Directory numer domowego telefonu w opisującym go obiekcie, ale nie będzie mógł zmodyfikować np. swojego imienia i nazwiska, nazwiska swojego przełożonego czy telefonicznego numeru wewnętrznego w firmie. W bazie przechowywanej na serwerze Exchange 5.5 użytkownik mógł oglądać przyporządkowane mu atrybuty, ale nie mógł ich modyfikować. Dzięki ADC możliwe staje się scedowanie części uprawnień administracyjnych, związanych z utrzymaniem aktualnych informacji o użytkownikach w ramach Active Directory, na przeszkolonego pracownika działu kadrowego, co właśnie było planowane w firmie Powietrze SA. Często bowiem zdarzało się, że użytkownik zmieniający adres zameldowania i telefon prywatny informował o tym fakcie dział personalny, ale informacja ta nie docierała do administratorów odpowiedzialnych za utrzymanie serwera Microsoft Exchange, na którym przechowywane były takie informacje.

Powiększ

Łatwiejsze jest również wyszukiwanie użytkowników i informacji o nich w usługach katalogowych Active Directory niż na serwerze Exchange. Dotychczas użytkownik musiał uruchomić aplikację pocztową, np. Microsoft Outlook, i dopiero za jej pośrednictwem mógł wyświetlić książkę adresową, by wyszukać interesującą go osobę. Gdy komputer użytkownika zostanie wyposażony w oprogramowanie klienta Active Directory, te same informacje będzie mógł odnaleźć bez konieczności uruchamiania jakiejkolwiek aplikacji. Podobnie jak wyszukuje się pliki na dyskach lokalnych (Start, Szukaj), będzie można wyszukiwać dane o współpracownikach importowane z serwera Exchange do Active Directory.

Który serwer?

Informatycy firmy Powietrze SA muszą przed instalacją ADC zdecydować, na którym serwerze ma pracować oprogramowanie synchronizacyjne. Dodatkowe obciążanie serwera Neptun nie jest wskazane, ponieważ obsługuje on zarówno usługi udostępniania plików, jak i drukowania, a także widoczny jest dla serwerów nie pracujących jeszcze pod kontrolą Windows 2000 jako podstawowy kontroler domeny (PDC). Najodpowiedniejszym wyborem jest serwer Saturn, na którym pracuje wiele innych usług domenowych i który pełni funkcję globalnego katalogu domenowego (Global Catalog) oraz jest kontrolerem domeny z własną repliką Active Directory. Microsoft proponuje, aby w przypadku dużych sieci, które wykorzystują wiele serwerów Microsoft Exchange, instalować ADC na nie obciążonych serwerach typu Member. Jednak gdy synchronizacja będzie odbywać się tylko z jednym site Exchange, tak jak w przypadku firmy Powietrze SA, taka operacja nie jest uzasadniona.

Instalacja oprogramowania ADC na serwerze Saturn spowoduje rozszerzenie schemy usług katalogowych Active Directory o dodatkowe atrybuty, które pozwolą w ramach obiektów użytkowników przechowywać dodatkowe informacje importowane z serwera Exchange. Aby jednak tak się stało, informatyk instalujący oprogramowanie musi należeć do grupy Schema Administrators lub mieć inne prawa pozwalające rozszerzać schemę usług katalogowych.

Druga strona

Wymagania stawiane serwerowi Exchange, który ma synchronizować informacje katalogowe za pośrednictwem ADC, nie są wygórowane. Wystarczy, by pracowała na nim wersja 5.5 serwera komunikacyjnego z zainstalowanym pierwszym zestawem poprawek (Service Pack 1). Na serwerze Uran pracuje Exchange 5.5 wyposażony w drugi zestaw poprawek, tak więc wprowadzanie jakichkolwiek zmian nie jest konieczne.

W przypadku firmy Powietrze SA konfiguracja synchronizacji jest łatwa. Firma ta wykorzystuje bowiem tylko dwa serwery Microsoft Exchange, pracujące w ramach jednego site. Oznacza to, że baza użytkowników i pocztowych list dystrybucyjnych jest współdzielona między obydwoma serwerami. Wystarczy więc, by tylko jeden z serwerów synchronizował informacje katalogowe z serwerem Saturn, na którym pracuje oprogramowanie ADC. W przypadku firmy Powietrze SA najlepszym serwerem do takiej synchronizacji jest Uran, gdyż jest on lepiej zabezpieczony przed atakami włamywaczy (co potencjalnie zwiększa jego dostępność) i dodatkowo ma znacznie lepsze warunki komunikacyjne z serwerem Saturn niż serwer Mars, oddzielony od niego routerem.

Konfiguracja połączenia

Aby zapewnić możliwość wymiany danych między Active Directory a serwerem Exchange, konieczne jest, już po instalacji oprogramowania ADC, stworzenie tzw. porozumienia dotyczącego połączenia (Connection Agreement). Jego konfiguracja przeprowadzana jest na serwerze Windows 2000 (jest to serwer Saturn) z poziomu konsoli MMC z załadowanym modułem snap-in, umożliwiającym zarządzanie modułem ADC.

W ramach takiego połączenia informatycy firmy Powietrze SA muszą określić nazwę serwera pocztowego, z którym będzie kontaktować się ADC, klasy obiektów (obiekty użytkowników, grup dystrybucyjnych czy również kontaktów do osób spoza firmy, czyli tzw. Custom Recipients), jakie mają być synchronizowane z Active Directory, docelowe kontenery usług katalogowych, do których będą trafiać synchronizowane obiekty, a także scenariusz synchronizacji. W jego ramach ustalane są takie szczegółowe informacje, jak kierunek wykonywania synchronizacji (jednokierunkowo lub w obu kierunkach równocześnie), pory dnia i interwały czasowe, w jakich ma odbywać się synchronizacja, a także metody usuwania obiektów z obu usług katalogowych.

Kierunek wykonywania synchronizacji zależy od tego, który z interfejsów administracyjnych będzie wykorzystywany do modyfikowania informacji o użytkownikach i grupach pocztowych, a także zakładania nowych kont pocztowych. Jeśli administrator zdecyduje się wykorzystywać do tego celu wyłącznie aplikację Microsoft Exchange Administrator, to wystarczy, jeżeli synchronizacja będzie jednokierunkowa i będzie realizować wyłącznie kopiowanie zmian w konfiguracji usług katalogowych serwera Exchange do Active Directory. W przeciwnym razie, gdy jako interfejs administracyjny będzie używana wyłącznie konsola MMC, umożliwiająca zarządzanie informacjami przechowywanymi w ramach AD, wszelkie modyfikacje powinny być synchronizowane wyłącznie w drugą stronę. W firmie Powietrze SA zdecydowano jednak, że - w zależności od sytuacji - będą używane obydwa narzędzia administracyjne. Toteż synchronizacja musi być dwukierunkowa.

Na etapie konfigurowania połączenia konieczne jest także określenie tzw. mapowania atrybutów synchronizowanych obiektów, czyli przyporządkowanie poszczególnych pól opisujących użytkownika w usługach katalogowych Active Directory, odpowiadającym polom w opisie tego samego użytkownika na serwerze Microsoft Exchange. Connection Agreement powinien także precyzować hasła, jakimi będą posługiwać się usługi synchronizacyjne oraz zasady tworzenia nowych obiektów.

Jedno czy kilka

Informatycy odpowiedzialni w firmie Powietrze SA za realizację synchronizacji usług katalogowych musieli także podjąć decyzję o tym, ile takich Connection Agreement chcą utworzyć w ramach jednego ADC (na jednym serwerze pracować może tylko jeden moduł ADC, ale może on obsługiwać dowolną liczbę połączeń z serwerami Exchange).

W zależności od sytuacji można tu zastosować dwa podejścia. Pierwsze polega na tworzeniu indywidualnych połączeń między folderami (kontenerami) adresowymi na serwerze Exchange i odpowiadającymi im kontenerami OU w ramach struktury Active Directory. Rozwiązanie ma tę zaletę, że synchronizacja poszczególnych folderów jest w pełni niezależna i, co więcej, w przypadku takich niezależnych połączeń (Connection Agreement) można także w pełni niezależnie określić warunki synchronizacji poszczególnych atrybutów, np. dla skrzynek pocztowych użytkowników mogą być one nieco inne niż dla danych kontaktowych użytkowników poczty spoza firmy (obiekty typu Custom Recipient na serwerach Exchange). Wadą tego rozwiązania jest jednak fakt, że każde połączenie wymaga indywidualnie przydzielonych zasobów systemowych - czyli im więcej połączeń, tym większe wymagania pod względem ilości pamięci i częstotliwości pracy procesora ma serwer, na którym pracuje moduł ADC.

Drugie podejście do problemu pozwala skonfigurować jedno połączenie, w ramach którego wszystkie foldery kontaktowe i obiekty widoczne w folderze Recipients na serwerze Exchange (czyli skrzynki użytkowników, grupy pocztowe itp.) będą synchronizowane tylko z jednym wskazanym kontenerem OU w ramach Active Directory.

Informatycy firmy Powietrze SA wybrali drugie rozwiązanie. Uczynili tak z jednego głównego powodu. Przede wszystkim struktura skrzynek pocztowych i grup pocztowych na serwerze Exchange jest "płaska" - wszystkie znajdują się w jednym podstawowym kontenerze i ze względu na małą liczbę pracowników firmy nie jest to utrudnieniem. Zatem definiowanie kilku niezależnych połączeń między serwerem Exchange a Active Directory mijałoby się z celem, co jest na rękę, zważywszy że rozwiązanie to ma mniejsze wymagania sprzętowe.

Zastosowanie tego sposobu synchronizacji nie oznacza jednak, że firma Powietrze SA będzie skazana na posiadanie płaskiej struktury kont pocztowych w Active Directory. Możliwe jest utworzenie, już po pierwszej synchronizacji między serwerem Exchange a AD, nowych kontenerów organizacyjnych (OU) w Active Directory, odzwierciedlających np. strukturę działów w firmie, i przeniesienie do nich kont pocztowych użytkowników i grup pocztowych skopiowanych w ramach synchronizacji z serwera Exchange. ADC zapamięta relacje między obiektami i mimo ich przemieszczenia w Active Directory, nadal będzie mógł je poprawnie synchronizować z ich odpowiednikami znajdującymi się na serwerze Exchange.