После того как распланирована структура леса Active Directory, можно приступать к разработке прототипа домена. Как и в случае с лесом, здесь тоже лучше использовать единичную доменную модель для всего каталога Exchange 2003. Фактически, если предполагается внедрение только Exchange Server, то этот вариант будет наилучшим.
Для единичной доменной модели существует только одно важное исключение -модель фиктивного домена (placeholder domain). В этом случае изолированный домен служит в качестве корневого домена леса. Домен пользователя, содержащий все его учетные записи, может быть размещен в отдельном домене в рамках леса, как показано на рис. 4.2.
Структура домена Active Directory
 Структура фиктивного домена повышает уровень безопасности леса, так как учетные записи с высокоуровневым доступом к схеме выделяются в отдельный домен и тем самым изолируются от доменов обычных пользователей. Доступом к фиктивному домену можно регулировать и ограничивать его, усиливая тем самым контроль за базовой схемой. Недостатком этой модели, однако, является тот факт, что дополнительный домен требует и отдельного набора контроллеров домена, а это, в свою очередь, увеличивает затраты на создание инфраструктуры окружения. По этой причине данная модель становится непрактичной для небольших организаций, поскольку разница между большими затратами и меньшим уровнем безопасности становится существенной. Тем не менее, крупные организации должны принимать во внимание повышенную степень безопасности, предлагаемую этой моделью.
Обзор компонентов инфраструктуры Active Directory
Несколько ключевых компонентов Active Directory должны быть обязательно установлены. Это обеспечит надлежащее функционирование как самой службы, так и всей системы Exchange Server 2003. В рамках небольшого окружения большая их часть может устанавливаться на одном компьютере, но для полноценного функционирования сервера потребуется эффективное распределение компонент.
Влияние службы доменных имен на проект Exchange Server 2003
Помимо постоянного взаимодействия с каталогом Active Directory, Exchange Server 2003 находится и в непосредственной связи со службой доменных имен (Domain Name Service - DNS). Система DNS выступает в качестве поискового агента для Exchange Server 2003, службы Active Directory и большинства новых приложений и средств компании Microsoft. DNS переводит обычные имена в распознаваемые компьютером IP-адреса. Например, имя www.cco.com транслируется в IP-адрес 12.155.166.151. Active Directory и Exchange Server 2003 требуют, чтобы был доступен, по крайней мере, один DNS-сервер, который обеспечит должное разрешения имен.
При такой зависимости и Exchange Server 2003, и Active Directory от службы доменных имен, последняя становится чрезвычайно важным элементом в процессе проектирования. Более подробная информация о DNS и ее роли в Exchange Server 2003 представлена в главе 7 этой книги.
Пространство имен службы DNS
Учитывая зависимость Exchange Server 2003 от DNS, для его размещения в структуре Active Directory должно быть выбрано общее пространство имен DNS. В моделях доменов с многочисленными деревьями эта область может состоять из нескольких DNS-деревьев. Для моделей небольших организаций это, как правило, одиночное пространство имен DNS для всего домена Active Directory.
Чаще всего путаница возникает между пространством имен DNS, в котором находится Active Directory, и пространством имен DNS электронной почты, куда происходит доставка почты. Хотя достаточно часто эти пространства совпадают, все же в большинстве случаев между ними имеются различия. Например, структура Active Directory некой компании CompanyABC состоит из двух доменов: домена abc.internal и домена электронной почты, куда доставляется вся почта, companyabc.com. В данном случае было создано отдельное пространство имен DNS, призванное уменьшить уязвимость системы защиты и тем самым обеспечить для него как внешний (при доступе в Internet), так и внутренний контроль.
В качестве более простого варианта компания CompanyABC могла выбрать и companyabc.com для своего пространства имен Active Directory. Такой выбор существенно упрощает работу в среде. Для входа в Active Directory применяется имя пользователя-администратора и оно же является адресом электронной почты. Например, пользователь Иван Иванов для входа указывает iivanov@companyabc.com, и адресом его электронной почты является iivanov@companyabc.com. Подобный вариант предпочтителен для большинства организаций, поскольку упрощение жизни пользователям зачастую важнее повышенной безопасности.