Понимание взаимосвязей между Exchange и Active Directory не будет полным без понимания того, как работает репликация внутри самой Active Directory. Это особенно важно потому, что любые изменения в структуре Exchange должны реплицироваться по всей инфраструктуре Active Directory.
Active Directory заменила идею существования главного контроллера домена (Primary Domain Controller - PDC) и резервного контроллера домена (Backup Domain Controller - BDC) идеей наличия нескольких контроллеров домена, каждый из которых хранит основную копию информации о домене. Изменения, внесенные на любом из доменов внутри одного окружения, реплицируются на все остальные домены. Такая модель называется мультисерверной репликацией (multimaster replication).
Active Directory отличается от большинства других реализаций служб каталогов тем, что репликация каталога выполняется независимо от существующей логической структуры каталога. Организация сайтов Active Directory (Active Directory sites) полностью независима от логической структуры лесов, деревьев и доменов Active Directory. 

В действительности, один сайт в Active Directory может поддерживать контроллеры домена из разных доменов или из разных деревьев внутри одного леса. Это позволяет организовать топологию репликации на основе структуры локальной сети компании, тогда как топология каталога может быть построена на базе организационной структуры компании.
С точки зрения Exchange самым важным параметром репликации является задержка между внесением изменений в Exchange и моментом, когда эти изменения распространятся по всей структуре Active Directory. В связи с тем, что объемы информации, требующей немедленного обновления по всем контроллерам домена, могут оказаться достаточно большими, в реальных условиях репликация может выполняться не так быстро, как хотелось бы. Для немедленной репликации изменений, внесенных в Exchange или любую другую структуру Active Directory, потребуется выполнить приведенные ниже шаги.
1. Откройте оснастку Active Directory Sites and Services (Сайты и службы Active Directory) консоли управления MMC.
2. Перейдите к контейнеру Sites (Сайты), имя сайта, Servers (Серверы), имя сервера, NTDS Settings (Установки NTDS). Сервер должен быть тем, с которого нужно выполнить репликацию изменений.
3. Щелкните правой кнопкой мыши на каждом объекте подключения и выберите в контекстном меню пункт Replicate Now (Реплицировать сейчас), как показано на рис. 8.1.
Репликация Active Directory с Exchange Server 2003
Роль контроллеров домена в Active Directory
Exchange всегда зависел от контроллеров домена, используя их для проверки подлинности учетных записей пользователей. Почтовые ящики в Exchange 5.5 управлялись с использованием системы безопасности Windows NT 4.0, а впоследствии с помощью учетных записей в домене Active Directory. Неудивительно, что Exchange Server 2003 также зависит от контроллеров домена Active Directory. Также немаловажно и правильное размещение контроллеров домена.
Аутентификация в Active Directory с помощью контроллеров домена
Для начала следует провести анализ процесса аутентификации в Active Directory. Это поможет понять, как Exchange поддерживает систему безопасности, а также облегчит процесс поиска возможных проблем в работе всего окружения в целом.
К каждому объекту в Exchange, включая все почтовые ящики, можно применить настройки безопасности для ограничения и контроля доступа к этим ресурсам. Например, определенному администратору могут быть даны права на управление серверами Exchange, а пользователям предоставлен доступ только к их почтовым ящикам. Настройки безопасности можно применить не только к объектам, но и к атрибутам объектов, что особенно полезно. Эта особенность позволяет делать намного более тонкие настройки безопасности - например, пользователям некоторой группы Telecom можно дать доступ к редактированию только одного поля в учетной записи пользователя - поля телефонного номера.
Когда пользователь заходит в домен, контроллер домена выполняет поиск учетной записи пользователя на предмет совпадения имени пользователя и пароля. Если все в порядке, клиент аутентифицирован и ему даются права доступа к определенным ресурсам, включая и почтовые ящики Exchange.
Очень важно иметь локальный доступ к контроллерам домена, так как они хранят всю информацию о доступе к ресурсам. В случае недоступности или выхода из строя контроллера домена пользователи не смогут получить доступ, например, к своим почтовым ящикам Exchange.