Да, это абсолютно возможно и является стандартной практикой в Active Directory с несколькими доменами в одном лесу.
Один сервер Exchange может обслуживать пользователей из всех доменов в одном лесу (corp1.com и corp2.com). Пользователи создаются в своих доменах и не конфликтуют.
- Exchange Server 2013/2016/2019/SE всегда разворачивается в масштабах леса, а не отдельного домена.
- После установки первого сервера Exchange он расширяет схему Active Directory для всего леса, и Exchange становится доступным для всех доменов в этом лесу.
- Все контроллеры доменов в лесу реплицируют часть информации (конфигурацию, схему, части глобального каталога).
- Exchange общается с
глобальным каталогом (Global Catalog), который содержит информацию обо всех объектах во всех доменах леса.
- Глобальный каталог "знает" о пользователях corp1.com и corp2.com.
- Вы устанавливаете Exchange Server в один из доменов (часто в корневой, corp1.com).
- Exchange создаёт системные объекты (группы, контакты, общедоступные папки) в своём домене по умолчанию, но это
не мешает обслуживать пользователей из другого домена.
- Администраторы создают пользователей в своих доменах (corp1.com или corp2.com) с помощью своих инструментов (ADUC, PowerShell).
- Чтобы пользователю из corp2.com создать почтовый ящик, администратор указывает его учётную запись и выбирает базу данных почтовых ящиков на вашем сервере Exchange. Exchange "видит" этого пользователя через глобальный каталог.
Ахтунг!
1.
Доверительные отношения: Внутри одного леса они устанавливаются автоматически (двусторонние транзитивные доверия).
2.
Глобальный каталог: На всех контроллерах домена, с которыми будет общаться Exchange, должна быть включена роль глобального каталога.
Это критически важно.
3.
Доступность DNS:Сервер Exchange и все клиенты (Outlook) должны иметь доступ к DNS-серверам, которые могут разрешать имена для обоих доменов.
4.
Суффиксы SMTP и адреса электронной почты:
- По умолчанию почта будет уходить с адресом вида
user@corp1.com или
user@corp2.com.
- Вы можете настроить один или несколько общих суффиксов SMTP (например, @group.com) для всех пользователей, независимо от их домена AD, через политики адресов электронной почты (Email Address Policies).
5.
Административные права: Для управления почтовыми ящиками пользователей из другого домена учётной записи администратора Exchange могут потребоваться дополнительные права (делегирование) в целевом домене, либо можно использовать учетную запись с правами в Enterprise Admins.
Пример создания пользователя:
- Администратор в corp2.com создает пользователя CORP2\andrey.
- Администратор Exchange (в corp1.com) подключается к консоли управления Exchange, находит пользователя andrey в глобальном каталоге (он будет отображаться из домена corp2.com) и выполняет для него команду Enable-Mailbox.
Один сервер Exchange в лесу с несколькими доменами — это штатная, хорошо документированная конфигурация. Пользователи будут аутентифицироваться на своих контроллерах домена, а Exchange будет выступать единой почтовой платформой для всей организации. Конфликтов не возникнет, так как полное доменное имя учетной записи (User Principal Name — UPN) включает имя домена (например,
andrey@corp2.com), что гарантирует уникальность в пределах леса.
