Was ändert sich in Active Directory, wenn Exchange installiert wird?
Wenn Sie Exchange Server 2016 oder Exchange Server 2019 installieren, werden Änderungen an Ihrer Active Directory-Gesamtstruktur und den Domänen vorgenommen, um Informationen zu den Exchange-Servern, Postfächern und anderen Exchange-bezogenen Objekten in Ihrer Organisation zu speichern.
Zum Vorbereiten von Active Directory für Exchange sind drei Schritte erforderlich:
Nachdem alle drei Schritte abgeschlossen sind, ist Ihre Active Directory-Gesamtstruktur für Exchange bereit. In diesem Thema wird erläutert, was Exchange bei jedem Schritt der Active Directory-Vorbereitung tut.
Sie können diese Änderungen vornehmen, bevor Sie den ersten Exchange 2016- oder Exchange 2019-Server in der Organisation installieren, indem Sie die Befehle /PrepareSchema, /PrepareAD und /PrepareAllDomains oder /PrepareDomains mithilfe des Exchange-Befehlszeilensetups ausführen. Anweisungen finden Sie unter Vorbereiten von Active Directory und Domänen für Exchange. Oder diese Änderungen werden während der Installation des ersten Exchange-Servers mithilfe des Exchange-Setup-Assistenten automatisch für Sie vorgenommen. Anweisungen finden Sie unter Installieren von Exchange-Postfachservern mithilfe des Setup-Assistenten.
Erweitern des Active Directory-Schemas
Beim Erweitern des Active Directory-Schemas werden Klassen, Attribute und andere Elemente hinzugefügt und aktualisiert. Diese Änderungen sind notwendig, damit Exchange Container und Objekte erstellen kann, um Informationen über die Exchange-Organisation zu speichern. Da Exchange eine Vielzahl von Änderungen am Active Directory-Schema vornimmt, ist diesem Schritt ein eigenes Thema gewidmet. Informationen zu allen Änderungen am Schema finden Sie unter Änderungen des Active Directory-Schemas in Exchange Server.
Nachdem das Schema durch Ausführen des Befehls /PrepareSchema , des Befehls _/PrepareAD oder der Installation des ersten Exchange-Servers mithilfe des Exchange-Setup-Assistenten erweitert wurde, wird die Schemaversion im Attribut ms-Exch-Schema-Version-Pt festgelegt. Um zu überprüfen, ob das Active Directory-Schema erfolgreich erweitert wurde, können Sie den in diesem Attribut gespeicherten Wert überprüfen. Weitere Informationen finden Sie unter Exchange Active Directory-Versionen.
Vorbereiten von Active Directory-Containern, -Objekten und anderen Elementen
Nachdem das Schema erweitert wurde, besteht der nächste Schritt darin, alle Container, Objekte, Attribute und sonstigen Elemente, die Exchange zum Speichern von Informationen in Active Directory verwendet, hinzuzufügen. Die meisten in diesem Schritt durchgeführten Änderungen werden auf die ganze Active Directory-Gesamtstruktur angewendet. Kleinere Änderungen werden nur an der lokalen Active Directory-Domäne vorgenommen, in der der Befehl /PrepareAD ausgeführt wurde (oder wo der erste Exchange-Server mithilfe des Exchange-Setup-Assistenten installiert wurde).
Exchange nimmt die folgenden Änderungen an der Active Directory-Gesamtstruktur vor:
Der Microsoft Exchange-Container wird unter CN=Services,CN=Configuration,DC=<root domain> erstellt, sofern er noch nicht vorhanden ist.
Die folgenden Container und Objekte werden unter CN=<Organisationsname,CN>=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain> erstellt, sofern sie noch nicht vorhanden sind:
CN=Address Lists Container
CN=AddressBook Mailbox Policies
CN=Addressing
CN=Administrative Groups
CN=Approval Applications
CN=Auth Configuration
CN=Availability Configuration
CN=Client Access
CN=Connections
CN=ELC Folders Container
CN=ELC Mailbox Policies
CN=ExchangeAssistance
CN=Federation
CN=Federation Trusts
CN=Global Settings
CN=Hybrid Configuration
CN=Mobile Mailbox Policies
CN=Mobile Mailbox Settings
CN=Monitoring Settings
CN=OWA Mailbox Policies
CN=Provisioning Policy Container
CN=Push Notification Settings
CN=RBAC
CN=Recipient Policies
CN=Remote Accounts Policies Container
CN=Retention Policies Container
CN=Retention Policy Tag Container
CN=ServiceEndpoints
CN=System Policies
CN=Team Mailbox Provisioning Policies
CN=Transport Settings
CN=UM AutoAttendant Container (nur Exchange 2016)
CN=UM DialPlan Container (nur Exchange 2016)
CN=UM IPGateway Container (nur Exchange 2016)
CN=UM-Postfachrichtlinien (nur Exchange 2016)
CN=Workload Management Settings
Die folgenden Container und Objekte werden unter CN=Transport Settings,CN=<Organization Name,CN>=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain> erstellt, sofern sie noch nicht vorhanden sind:
CN=Accepted Domains
CN=ControlPoint Config
CN=DNS Customization
CN=Interceptor Rules
CN=Malware Filter
CN=Message Classifications
CN=Message Hygiene
CN=Rules
CN=MicrosoftExchange329e71ec88ae4615bbc36ab6ce41109e
Berechtigungen werden in der gesamten Konfigurationspartition in Active Directory festgelegt.
Die Datei "Rights.ldf" wird importiert. Diese Datei fügt Berechtigungen hinzu, die zum Installieren von Exchange und Konfigurieren von Active Directory verwendet werden.
Die Microsoft Exchange-Sicherheitsgruppen-Organisationseinheit (OE) wird in der Stammdomäne der Gesamtstruktur erstellt, und ihr werden Berechtigungen zugewiesen.
Die folgenden Gruppen werden in der Organisationseinheit für Microsoft Exchange-Sicherheitsgruppen erstellt, sofern sie noch nicht vorhanden sind:
Verwaltung der Richtlinientreue
Delegiertes Setup
Discoveryverwaltung
Exchange-Server
Vertrauenswürdiges Exchange-Teilsystem
Exchange Windows-Berechtigungen
ExchangeLegacyInterop
Helpdesk
Nachrichtenschutz
Verwaltete Verfügbarkeitsserver
Organisationsverwaltung
Verwaltung Öffentlicher Ordner
Empfängerverwaltung
Datensatzverwaltung
Serververwaltung
Organisationsverwaltung mit Leserechten
Die neuen Verwaltungsrollengruppen (die in Active Directory als universelle Sicherheitsgruppen (USGs) angezeigt werden), die in der Organisationseinheit Microsoft Exchange-Sicherheitsgruppen erstellt wurden, werden dem Attribut otherWellKnownObjects hinzugefügt, das im Domänencontainer> CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root gespeichert ist.
Nur in Exchange 2016 wird der Unified Messaging Voice Originator-Kontakt im Container Microsoft Exchange System Objects der Stammdomäne erstellt.
Nur die Domäne, in der der Befehl /PrepareAD ausgeführt wurde (oder in der der erste Exchange-Server mithilfe des Exchange-Setup-Assistenten installiert wurde), ist für Exchange vorbereitet. Informationen zur Vorbereitung einer Active Directory-Domäne für Exchange finden Sie im nächsten Abschnitt.
Vorbereiten der Active Directory-Domänen
Der letzte Schritt der Vorbereitung von Active Directory für Exchange besteht darin, die Active Directory-Domänen vorzubereiten, in denen Exchange-Server installiert werden oder in denen sich postfachaktivierte Benutzer befinden (alle Domänen in der Gesamtstruktur mit dem Befehl /PrepareAllDomains , bestimmte Domänen mit dem Befehl /PrepareDomains oder die Installation des ersten Exhange-Servers mithilfe des Exchange-Setup-Assistenten). Dieser Schritt wird automatisch in der Domäne ausgeführt, in der der PrepareAD-Befehl ausgeführt wurde (oder in der der erste Exchange-Server mithilfe des Exchange-Setup-Assistenten installiert wurde).
Exchange nimmt die folgenden Änderungen an den Active Directory-Domänen vor:
Der Container "Microsoft Exchange-Systemobjekte" wird in der Stammdomänenpartition in Active Directory erstellt, sofern er noch nicht vorhanden ist.
Berechtigungen für den Container "Microsoft Exchange-Systemobjekte" werden für die Sicherheitsgruppen "Exchange-Server", "Organisationsverwaltung" und "Authentifizierte Benutzer" festgelegt.
Ändern des Standard-Domänencontroller-GPO , um Exchange Enterprise-Servern Die Rechte "Überwachungs- und Sicherheitsprotokollrichtlinie verwalten" zu gewähren.
Die globale Domänengruppe "Exchange Install Domain Servers" wird in der aktuellen Domäne erstellt und in den Container "Microsoft Exchange-Systemobjekte" eingefügt.
Die Gruppe "Exchange Install Domain Servers" wird der universellen Sicherheitsgruppe "Exchange-Server" in der Stammdomäne hinzugefügt.
Berechtigungen werden auf Domänenebene für die universellen Sicherheitsgruppen "Exchange-Server" und "Organisationsverwaltung" zugewiesen.
Die objectVersion-Eigenschaft im Container "Microsoft Exchange-Systemobjekte" unter der Domäne "DC=<root"> ist festgelegt. Um zu überprüfen, ob die Active Directory-Domänen erfolgreich vorbereitet wurden, können Sie den in diesem Attribut gespeicherten Wert überprüfen. Weitere Informationen finden Sie unter Exchange Active Directory-Versionen.