Quali sono le modifiche apportate in Active Directory quando è installato Exchange?

  • Articolo

Quando si installa Exchange Server 2016 o Exchange Server 2019, vengono apportate modifiche alla foresta e ai domini di Active Directory per archiviare informazioni su server, cassette postali e altri oggetti correlati a Exchange nell'organizzazione.

Per preparare Active Directory per Exchange sono necessari tre passaggi:

  1. Estendere lo schema di Active Directory

  2. Preparare contenitori, oggetti e altri elementi di Active Directory

  3. Preparare i domini di Active Directory

Dopo aver completato tutti e tre i passaggi, la foresta di Active Directory è pronta per Exchange. Questo argomento illustra le operazioni eseguite da Exchange in ogni passaggio della preparazione di Active Directory.

È possibile apportare queste modifiche prima di installare il primo server Exchange 2016 o Exchange 2019 nell'organizzazione eseguendo i comandi /PrepareSchema, /PrepareAD e /PrepareAllDomains o /PrepareDomains usando il programma di installazione della riga di comando di Exchange. Per istruzioni, vedere Preparare Active Directory e domini per Exchange. In alternativa, queste modifiche vengono apportate automaticamente durante l'installazione del primo server Exchange tramite l'installazione guidata di Exchange. Per istruzioni, vedere Installare i server cassette postali di Exchange usando l'installazione guidata.

Estendere lo schema di Active Directory

L'estensione dello schema di Active Directory consente di aggiungere classi, attributi e altri elementi. Tali modifiche sono necessarie perché Exchange possa creare contenitori e oggetti per archiviare informazioni sull'organizzazione Exchange. Poiché Exchange apporta numerose modifiche allo schema Active Directory, un argomento è dedicato a questo passaggio. Per visualizzare tutte le modifiche apportate allo schema, vedere Modifiche dello schema di Active Directory in Exchange Server.

Dopo che lo schema è stato esteso eseguendo il comando /PrepareSchema , il comando _/PrepareAD o installando il primo server Exchange tramite l'installazione guidata di Exchange, la versione dello schema viene impostata nell'attributo ms-Exch-Schema-Version-Pt . Per verificare che lo schema di Active Directory sia stato esteso correttamente, è possibile controllare il valore archiviato in questo attributo. Per altre informazioni, vedere Versioni di Exchange Active Directory.

Preparare contenitori, oggetti e altri elementi di Active Directory

Con lo schema esteso, il passaggio successivo è aggiungere tutti i contenitori, gli oggetti e altri elementi utilizzati da Exchange per archiviare le informazioni in Active Directory. Gran parte delle modifiche apportate in questo passaggio vengono applicate all'intera foresta di Active Directory. Un set più piccolo di modifiche viene apportato solo al dominio active directory locale in cui è stato eseguito il comando /PrepareAD o in cui è stato installato il primo server Exchange tramite l'installazione guidata di Exchange.

Exchange apporta le modifiche seguenti alla foresta di Active Directory:

  • Il contenitore di Microsoft Exchange viene creato in CN=Services,CN=Configuration,DC=<root domain> se non esiste già.

  • I contenitori e gli oggetti seguenti vengono creati in CN=<nome> organizzazione,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<dominio> radice se non esistono già:

    • CN=Address Lists Container

    • CN=AddressBook Mailbox Policies

    • CN=Addressing

    • CN=Administrative Groups

    • CN=Approval Applications

    • CN=Auth Configuration

    • CN=Availability Configuration

    • CN=Client Access

    • CN=Connections

    • CN=ELC Folders Container

    • CN=ELC Mailbox Policies

    • CN=ExchangeAssistance

    • CN=Federation

    • CN=Federation Trusts

    • CN=Global Settings

    • CN=Hybrid Configuration

    • CN=Mobile Mailbox Policies

    • CN=Mobile Mailbox Settings

    • CN=Monitoring Settings

    • CN=OWA Mailbox Policies

    • CN=Provisioning Policy Container

    • CN=Push Notification Settings

    • CN=RBAC

    • CN=Recipient Policies

    • CN=Remote Accounts Policies Container

    • CN=Retention Policies Container

    • CN=Retention Policy Tag Container

    • CN=ServiceEndpoints

    • CN=System Policies

    • CN=Team Mailbox Provisioning Policies

    • CN=Transport Settings

    • CN=UM AutoAttendant Container (solo Exchange 2016)

    • CN=UM DialPlan Container (solo Exchange 2016)

    • CN=UM IPGateway Container (solo Exchange 2016)

    • CN=Criteri cassetta postale di messaggistica unificata (solo Exchange 2016)

    • CN=Workload Management Settings

  • I contenitori e gli oggetti seguenti vengono creati in CN=Transport Settings,CN=<Organization Name,CN>=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain> se non esistono già:

    • CN=Accepted Domains

    • CN=ControlPoint Config

    • CN=DNS Customization

    • CN=Interceptor Rules

    • CN=Malware Filter

    • CN=Message Classifications

    • CN=Message Hygiene

    • CN=Rules

    • CN=MicrosoftExchange329e71ec88ae4615bbc36ab6ce41109e

  • Le autorizzazioni vengono impostate in tutta la partizione di configurazione in Active Directory.

  • Il file Rights.ldf viene importato. Questo file aggiunge le autorizzazioni necessarie per installare Exchange e configurare Active Directory.

  • L'unità organizzativa dei gruppi di sicurezza di Microsoft Exchange viene creata nel dominio radice della foresta e le autorizzazioni vengono assegnate.

  • I gruppi seguenti vengono creati all'interno dell'unità organizzativa Gruppi di sicurezza di Microsoft Exchange, se non esistono già:

    • Gestione della conformità

    • Installazione delegata

    • Gestione individuazione

    • Exchange Server

    • Sottosistema attendibile di Exchange

    • Autorizzazioni di Windows Exchange

    • ExchangeLegacyInterop

    • Help Desk

    • Gestione igiene

    • Server di disponibilità gestiti

    • Gestione organizzazione

    • Gestione cartelle pubbliche

    • Gestione destinatari

    • Gestione record

    • Gestione server

    • Gestione organizzazione sola visualizzazione

  • I nuovi gruppi di ruoli di gestione ,che vengono visualizzati come gruppi di sicurezza universali (USG) in Active Directory, creati nell'unità organizzativa Gruppi di sicurezza di Microsoft Exchange, vengono aggiunti all'attributo otherWellKnownObjects archiviato nel contenitore CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain> .

  • Solo in Exchange 2016, il contatto Voice Originator di messaggistica unificata viene creato nel contenitore Oggetti di sistema di Microsoft Exchange del dominio radice.

  • Per Exchange viene preparato solo il dominio in cui è stato eseguito il comando /PrepareAD (o in cui è stato installato il primo server Exchange tramite l'installazione guidata di Exchange). Per informazioni sulle operazioni eseguite per preparare un dominio di Active Directory per Exchange, vedere la sezione successiva.

Preparare i domini di Active Directory

Il passaggio finale della preparazione di Active Directory per Exchange consiste nel preparare i domini di Active Directory in cui verranno installati i server Exchange o in cui si troveranno gli utenti abilitati per le cassette postali (tutti i domini nella foresta usando il comando /PrepareAllDomains , domini specifici tramite il comando /PrepareDomains o installando il primo server Exhange tramite l'Installazione guidata di Exchange). Questo passaggio viene eseguito automaticamente nel dominio in cui è stato eseguito il comando PrepareAD o in cui è stato installato il primo server Exchange usando l'installazione guidata di Exchange.

Exchange apporta le modifiche seguenti ai domini di Active Directory:

  • Il contenitore Oggetti di sistema di Microsoft Exchange viene creato nella partizione del dominio radice in Active Directory se non esiste già.

  • Le autorizzazioni sono impostate nel contenitore Oggetti di sistema di Microsoft Exchange per i gruppi di protezione Utenti autenticati, Gestione organizzazione e Server di Exchange.

  • Modifica dell'oggetto Criteri di gruppo Controller di dominio predefiniti per concedere i diritti "Gestisci criteri di controllo e log di sicurezza" a Exchange Enterprise Server.

  • Il gruppo globale del dominio Exchange Install Domain Servers viene creato nel dominio corrente e collocato nel contenitore Oggetti di sistema di Microsoft Exchange.

  • Il gruppo Exchange Install Domain Servers è un membro del gruppo di protezione universale Server di Exchange nel dominio radice.

  • Le autorizzazioni vengono assegnate a livello del dominio per i gruppi di protezione universale (USG) Gestione organizzazione e Server di Exchange.

  • La proprietà objectVersion nel contenitore Oggetti di sistema di Microsoft Exchange in DC=<root domain> è impostata. Per verificare che i domini di Active Directory siano stati preparati correttamente, è possibile controllare il valore archiviato in questo attributo. Per altre informazioni, vedere Versioni di Exchange Active Directory.