Exchange Server

Provisioning di Exchange mediante ILM 2007 e FIM 2010

Rob Ward, Aung OO e Henna Kermani

Gli amministratori utilizzano spesso Identity Lifecycle Manager 2007 (ILM 2007) per il provisioning degli utenti, contatti e cassette postali nell'organizzazione di Active Directory e le piattaforme di Exchange. L'utilizzo di strumenti di gestione delle identità quali ILM 2007 e Forefront Identity Manager 2010 (FIM 2010) consente di eliminare le attività manuali soggette a errori coinvolte nella creazione di account e cassette postali in AD ed Exchange.

FIM 2010 e ILM 2007 possono non solo automatizzare provisioning delle cassette postali e account, è inoltre possibile incorporare logica aziendale. In questo modo le funzionalità quali la creazione di cassette postali su server specifici in base ’ utenti gruppi aziendali o posizioni fisiche, impostando i limiti di dimensione iniziale della cassetta postale e basato sul ruolo dell'utente; e cassette postali provisioning nuovi utenti ’ dell'archivio di posta elettronica con più spazio disponibile. FIM 2010 consente di logica aziendale più complesso che dispone di funzionalità avanzate quali codeless provisioning e flussi di lavoro di approvazione.

Le implementazioni di ILM 2007 più comuni di Exchange ambienti sono per la sincronizzazione degli elenchi indirizzi globali (GAL) che si trovano in due diversi insiemi di strutture di Active Directory, le cassette postali di provisioning e il de-provisioning ’ utenti; e sincronizzazione delle directory in due ambienti di Exchange dell'organizzazione durante la migrazione della posta a una nuova versione di Exchange.

L'implementazione di ILM 2007 e FIM 2010 in provisioning scenari può variare a seconda dell'infrastruttura di rete, i criteri di protezione e le configurazioni di Exchange. In questo articolo viene fornita una panoramica dell'utilizzo di due prodotti per il provisioning di ambienti di Exchange, ma anche drill-down nelle funzionalità chiave che facilitano il provisioning con Exchange 2003, 2007 e 2010.

Cenni preliminari sull'architettura

ILM 2007 e FIM 2010 possono creare gli oggetti abilitati alla posta in Exchange 2003, 2007 e 2010. Si noti che non tutte le versioni di Exchange supporta tutte le versioni di ILM. In questa tabella verrà visualizzata la scomposizione di supporto:

(Sono disponibili informazioni sulla compatibilità completa in Matrice supportabilità di Exchange Server.)

Per attivare il provisioning di Exchange, è necessario impostare il processo di provisioning per creare gli oggetti abilitati all'utilizzo della posta elettronica e sarà necessario configurare anche un Active Directory Management Agent (ADMA) che interagisce con Active Directory ed Exchange per effettuare il provisioning di oggetti abilitati all'utilizzo della posta elettronica.

Panoramica del processo di provisioning

Exchange 2003

Per completare il processo di provisioning con ILM 2007, Exchange 2003 e il 2010 FIM, si basano di Exchange Servizio aggiornamento destinatari (RUS). Durante l'esportazione, il ADMA si connette a un controller di dominio disponibili o preferito e aggiunge l'oggetto abilitato all'utilizzo della posta elettronica (come determinato dalla configurazione di provisioning) direttamente alla directory.

RUS rileva le modifiche apportate agli oggetti abilitati all'utilizzo della posta elettronica nella directory e completa il processo di provisioning per ciascun oggetto abilitato all'utilizzo della posta elettronica di ILM 2007 e creare FIM 2010. Exchange scrive ognuno di questi oggetti di directory con il set minimo di attributi necessari per creare gli oggetti. RUS si applica un criterio di Exchange a essi e aggiunge gli attributi richiesti rimanenti in modo che supportano la serie completa di funzionalità di Exchange.

Quando il provisioning a Exchange 2003, ILM 2007 e 2010 FIM non richiedono una connessione diretta a un Exchange Server, solo per un Active Directory Domain Controller (ADDC). (Vedere Figura 1).

 

Figura 1 Provisioning Exchange 2003

Exchange 2007

Con Exchange 2007 ILM 2007 Feature Pack 1 (FP1 ILM 2007) e FIM 2010 si basano sul cmdlet Update Recipient Windows PowerShell (parte di strumenti di gestione di Exchange 2007) per l'implementazione completa. Durante l'esportazione, ADMA si connette a un controller di dominio disponibili o preferito e aggiunge l'oggetto abilitato all'utilizzo della posta elettronica (come determinato dalla configurazione di provisioning) nella directory.

Dopo il provisioning di oggetti abilitati all'utilizzo della posta elettronica nella directory, ILM 2007 e FIM 2010, richiamare il cmdlet Update Recipient server/FIM ILM.

 

Figura 2 Provisioning Exchange 2007

Exchange 2007 provisioning (vedere Figura 2) richiede ILM 2007 FP1 o versione successiva o FIM 2010. Inoltre, l'installazione deve soddisfare i requisiti seguenti:

• Account del servizio di sincronizzazione di ILM 2007/FIM 2010 deve essere un account di dominio.
• L'account di servizio dell'agente di ILM 2007 FP1management (MA) deve essere un membro del gruppo Administrators di destinatari di Exchange.
• Il server di sincronizzazione di ILM 2007/FIM 2010 deve essere aggiunto al dominio. Non, tuttavia, è necessario appartenere al dominio a cui verrà eseguita l'implementazione di Exchange.
• Windows PowerShell 1.0 deve essere installato sul server/FIM ILM.
• Gli strumenti di gestione di Exchange deve essere installati sul server/FIM ILM.

Exchange 2010

Per Exchange 2010 ILM 2007 Feature Pack 1 Service Pack 1 e 2010 FIM si basano su cmdlet Update Recipient per completare il processo di provisioning. Ma a differenza del processo di Exchange 2007, in questo cmdlet eseguito direttamente sul Exchange Server utilizzando Windows PowerShell 2.0 e l'esecuzione di codice in modalità remota. (vedere la Figura 3).

 

Figura 3 Provisioning Exchange 2010

Provisioning Exchange 2010 richiede ILM 2007 FP1 SP1 o versione successiva o FIM 2010. Inoltre, l'installazione deve soddisfare i requisiti seguenti:

• Account del servizio di sincronizzazione di ILM 2007/FIM 2010 deve essere un account di dominio.
• L'account di servizio di ILM 2007 FP1 MA deve essere un membro del gruppo Administrators di destinatari di Exchange.
• Il server di sincronizzazione di ILM 2007/FIM 2010 deve essere aggiunto al dominio. Non è, tuttavia, necessario essere aggiunto al dominio a cui verrà eseguita l'implementazione di Exchange.
• Windows PowerShell 2.0 deve essere installato nel server di ILM/FIM e deve essere installato e configurato per l'accesso remoto su un Exchange 2010 client server dall'accesso di.

Esecuzione del provisioning

Per attivare il provisioning di Exchange, è necessario configurare il processo di creazione di oggetti abilitati all'utilizzo della posta elettronica utilizzando provisioning tramite script o codeless provisioning. Nella tabella riportata di seguito viene illustrato quali tipi di provisioning FIM 2010 e le diverse versioni di ILM supporto:

Creare uno script provisioning con ExchangeUtils

La classe ExchangeUtils fornisce un insieme di metodi di utilità che è possibile utilizzare per creare nuovi oggetti posta nello spazio connettore. Per rendere una cassetta postale è necessario, come minimo, i seguenti attributi in un oggetto utente:

• **DN–**Gli attributi di nome DISTINTO (nomi distinti) sono rappresentazioni di stringa che identificano in modo univoco gli oggetti in un server Active Directory.
• **mailNickname–**Questo attributo è un alias viene utilizzata per identificare gli oggetti abilitati all'utilizzo della posta elettronica.
• **homeMDB–**La proprietà homeMDB specifica l'URL dell'archivio di cassette postali del destinatario.

Di seguito sono riportati esempi di attributi utilizzati in Visual Basic .NET e Visual C#. NET:

Visual Basic .NET:

Public Sub Provision(ByVal mventry As MVEntry) _
    Implements IMVSynchronization.Provision

    Dim adMA As ConnectedMA
    Dim csentry As CSEntry
    Dim nickName, mailboxMDB As String
    Dim dn as ReferenceValue

    try
        adMA = mventry.ConnectedMAs("Fabrikam AD MA")

        nickName   = mventry("mailNickname").Value
        mailboxMDB = mventry("homeMDB").Value

        ' Construct the distinguished name
        dn = adMA.EscapeDNComponent("CN=" + mventry("cn").Value).Concat("ou=mailboxes,dc=fabrikam,dc=com")

        If 0 = adMA.Connectors.Count then
            csentry = ExchangeUtils.CreateMailbox(adMA, dn, nickName, mailboxMDB)
        End If

        ' Handle any exceptions
        Catch ex As Exception
            '...
    End Try
End Sub

In Visual C#. NET:

void IMVSynchronization.Provision (MVEntry mventry)
{
    ConnectedMA adMA;
    CSEntry csentry;
    String nickName, mailboxMDB;
    ReferenceValue dn;

    try
    {
        adMA = mventry.ConnectedMAs["Fabrikam AD MA"];

        nickName   = mventry["mailNickname"].Value;
        mailboxMDB = mventry["homeMDB"].Value;

        // Construct the distinguished name
        dn = adMA.EscapeDNComponent("CN=" + mventry["cn"].Value).Concat("ou=mailboxes,dc=fabrikam,dc=com");

        if(0 == adMA.Connectors.Count)
        {
            csentry = ExchangeUtils.CreateMailbox(adMA, dn, nickName, mailboxMDB);
        }
    }

    // Handle any exceptions
    catch(Exception ex)
    {
        //...
    }
}

(È possibile trovare ulteriori informazioni sulla classe ExchangeUtils qui . Per ulteriori esempi di ExchangeUtils, visitare qui .

I requisiti di provisioning con script per Exchange 2007 sono lo stesso di Exchange 2003. Esistente creato uno script di provisioning per gli oggetti abilitati alla posta funzionerà senza apportare modifiche a Exchange 2007 processo di creazione e preparazione all'uso di Exchange 2003. Con Exchange 2010, tuttavia, è necessario aggiungere un flusso di attributi per l'attributo msExchHomeServerName, che verrà descritta nella sezione di questo articolo in Exchange 2010 e msExchHomeServerName.

Provisioning CustomScripted

ExchangeUtils offre un metodo semplice per la creazione di un oggetto abilitato all'utilizzo della posta elettronica, potrebbe essere necessario controllare meglio il processo di provisioning. Tutti i metodi ExchangeUtils restituiscono un oggetto CSEntry, che consente di impostare gli attributi aggiuntivi su un oggetto. Si consiglia di che consentire ExchangeUtils creare l'oggetto abilitato all'utilizzo della posta elettronica e l'oggetto restituito CSEntry per specificare attributi aggiuntivi.

Per creare un utente abilitato alla cassetta postale che dispone di una password predefinita e può accedere, è necessario utilizzare ExchangeUtils per generare la cassetta postale, quindi aggiungere gli attributi unicodepwd e userAccountControl utilizzando l'oggetto restituito CSEntry, come illustrato in questi esempi per Visual Basic .NET e Visual C#. NET:

Visual Basic .NET:

Public Sub Provision(ByVal mventry As MVEntry) _
    Implements IMVSynchronization.Provision

    Dim adMA As ConnectedMA
    Dim csentry As CSEntry
    Dim nickName, mailboxMDB As String
    Dim dn as ReferenceValue

    try
        adMA = mventry.ConnectedMAs("Fabrikam AD MA")

        nickName   = mventry("mailNickname").Value
        mailboxMDB = mventry("homeMDB").Value

        ' Construct the distinguished name
        dn = adMA.EscapeDNComponent("CN=" + mventry("cn").Value).Concat("ou=mailboxes,dc=fabrikam,dc=com")

        If 0 = adMA.Connectors.Count then
            csentry = ExchangeUtils.CreateMailbox(adMA, dn, nickName, mailboxMDB)
            csentry("unicodepwd").Values.Add("p@ssword1")
            csentry("userAccountControl").IntegerValue = 512
        End If

        ' Handle any exceptions
        Catch ex As Exception
            '...
    End Try
End Sub

In Visual C#. NET:

void IMVSynchronization.Provision (MVEntry mventry)
{
    ConnectedMA adMA;
    CSEntry csentry;
    String nickName, mailboxMDB;
    ReferenceValue dn;

    try
    {
        adMA = mventry.ConnectedMAs["Fabrikam AD MA"];

        nickName   = mventry["mailNickname"].Value;
        mailboxMDB = mventry["homeMDB"].Value;

        // Construct the distinguished name
        dn = adMA.EscapeDNComponent("CN=" + mventry["cn"].Value).Concat("ou=mailboxes,dc=fabrikam,dc=com");

        if(0 == adMA.Connectors.Count)
        {
            csentry = ExchangeUtils.CreateMailbox(adMA, dn, nickName, mailboxMDB);
            csentry["unicodepwd"].Values.Add("p@ssword1");
            csentry["userAccountControl"].IntegerValue = 512;
        }
    }

    // Handle any exceptions
    catch(Exception ex)
    {
        //...
    }
}

Provisioning codeless

Se si utilizza FIM 2010, hai la possibilità di utilizzare codeless provisioning, che consente di specificare gli attributi aggiunti a un oggetto durante il provisioning di esso senza scrivere codice VB o C#. Per creare una cassetta postale, è necessario configurare una regola di sincronizzazione con, minimo, i flussi iniziale degli attributi seguenti:

• **DN–**Gli attributi di nome DISTINTO (nomi distinti) sono rappresentazioni di stringa che identificano in modo univoco gli oggetti in un server Active Directory.
• **mailNickname–**Questo attributo è un alias viene utilizzata per identificare gli oggetti abilitati all'utilizzo della posta elettronica.
• **homeMDB–**La proprietà HomeMDB specifica l'URL dell'archivio di cassette postali del destinatario.

Per creare un utente abilitato alla cassetta postale che dispone di una password predefinita e può accedere, è necessario inoltre fornire flussi attributo iniziale per unicodepwd e userAccountControl come illustrato in Figura 4.

 

Nella figura 4 Configurazione attributo flusso in uscita

Exchange 2010 e msExchHomeServerName

Per il provisioning di Exchange 2010, creazione di un oggetto utente abilitato all'utilizzo della posta elettronica è necessario un ulteriore attributo, ovvero msExchHomeServerName, che è necessario specificare nel codice provisioning. Questo attributo viene utilizzato da Exchange per determinare la posizione di recapito della posta per l'oggetto abilitato all'utilizzo della posta elettronica.

Per fornire msExchHomeServerName in provisioning che utilizza ExchangeUtils o che hanno sviluppato dall'utente, è necessario aggiungere la riga di codice visualizzati dopo i commenti " / / Aggiungi msExchHomeServerName " negli esempi riportati di seguito:

Visual Basic .NET:

Public Sub Provision(ByVal mventry As MVEntry) _
    Implements IMVSynchronization.Provision

    Dim adMA As ConnectedMA
    Dim csentry As CSEntry
    Dim nickName, mailboxMDB As String
    Dim dn as ReferenceValue

    try
        adMA = mventry.ConnectedMAs("Fabrikam AD MA")

        nickName   = mventry("mailNickname").Value
        mailboxMDB = mventry("homeMDB").Value

        ' Construct the distinguished name
        dn = adMA.EscapeDNComponent("CN=" + mventry("cn").Value).Concat("ou=mailboxes,dc=fabrikam,dc=com")

        If 0 = adMA.Connectors.Count then
            csentry = ExchangeUtils.CreateMailbox(adMA, dn, nickName, mailboxMDB)

    ' Add msExchHomeServerName
csentry("msExchHomeServerName").Value = "<value of msExchHomeServerName>"
        End If

        ' Handle any exceptions
        Catch ex As Exception
            '...
    End Try
End Sub

In Visual C#. NET:

void IMVSynchronization.Provision (MVEntry mventry)
{
    ConnectedMA adMA;
    CSEntry csentry;
    String nickName, mailboxMDB;
    ReferenceValue dn;

    try
    {
        adMA = mventry.ConnectedMAs["Fabrikam AD MA"];

        nickName   = mventry["mailNickname"].Value;
        mailboxMDB = mventry["homeMDB"].Value;

        // Construct the distinguished name
        dn = adMA.EscapeDNComponent("CN=" + mventry["cn"].Value).Concat("ou=mailboxes,dc=fabrikam,dc=com");

        if(0 == adMA.Connectors.Count)
        {
            csentry = ExchangeUtils.CreateMailbox(adMA, dn, nickName, mailboxMDB);

// Add msExchHomeServerName
csentry["msExchHomeServerName"].Value = "<value of msExchHomeServerName>";

        }
    }

    // Handle any exceptions
    catch(Exception ex)
    {
        //...
    }
}

Per fornire msExchHomeServerName in una regola di sincronizzazione, aggiungere il flusso di attributi iniziale illustrato in Figura 5.

 

Nella figura 5 configurazione flusso attributi iniziali in uscita

Configurazione agente di gestione

Per effettuare correttamente il provisioning di oggetti abilitati all'utilizzo della posta elettronica, un Active Directory Management Agent deve interagire con Active Directory ed Exchange. A tale scopo, è necessario configurare il provisioning di opzione (che è possibile eseguire nel riquadro di destra della finestra di dialogo Crea agente di gestione dopo aver selezionato Configura estensioni, come illustrato nella Figura 6) di Exchange.

 

Figura 6: Configurazione di estensioni di regole

È inoltre necessario assicurarsi di selezionare Seleziona attributi dal riquadro di progettazione di agente di gestione, quindi selezionare gli attributi richiesti nel riquadro di destra della finestra di dialogo. Per indicazioni sulle operazioni di prelievo, è stato incluso un grafico che mostra gli attributi per i diversi tipi di oggetto.

 

 

Aggiornamento da Exchange 2003 a 2007: ILM 2007 FP1

ILM 2007 FP1 aggiunta la possibilità di effettuare il provisioning degli oggetti abilitati all'utilizzo della posta elettronica di Exchange 2007. Come illustrato in Figura 7, è possibile attivare provisioning per gli agenti di gestione Exchange 2007 GAL selezionando Configura estensioni del riquadro di sinistra della finestra di dialogo Crea agente di gestione, quindi contrassegnare la casella di controllo appropriata nel riquadro di destra.

 

Nella figura 7 Creating Custom Management Agents

In questo modo ILM 2007 FP1 localmente richiamare il cmdlet Update Recipient durante l'esportazione, completare il processo di provisioning. Non altre è necessaria alcuna configurazione.

Aggiornamento da Exchange 2003 a 2007: SP1 DI ILM 2007 FP1 / 2010 FIM

Oltre ad attivare di effettuare il provisioning degli oggetti abilitati all'utilizzo della posta elettronica di Exchange 2007, ILM 2007 FP1 SP1 e FIM 2010 possibile specificare in modo esplicito un server di Exchange 2007 su cui eseguire il provisioning. Riquadro Configura estensioni della finestra di dialogo Crea agente di gestione contiene un menu a discesa per selezionare la versione di Exchange.

Se si sceglie di Exchange 2007, si otterrà una casella di testo in cui è possibile immettere il nome di un server di Exchange 2007 (vedere Figura 8). Questa configurazione aggiuntiva è presente per gli utenti, ad esempio, utilizza i firewall e richiedono un maggiore controllo del traffico di rete. Lasciando il server nome vuoto fa sì che il cmdlet individuare un Exchange Server. Si noti che il cmdlet avrà esito negativo con un errore se non è in grado di contattare il server specificato.

 

Nella figura 8 scelta della versione di Exchange utilizzando l'elenco a discesa in Configure Extensions

L'aggiornamento da Exchange 2003 o 2007 a 2010

Come osservato in precedenza, ILM 2007 FP1 SP1 e consentire 2010 FIM si effettua il provisioning degli oggetti abilitati all'utilizzo della posta elettronica di Exchange 2010. Poiché il processo utilizza l'esecuzione di codice in modalità remota tramite Windows PowerShell (come precedentemente indicato Exchange 2010 sottosezione della discussione “ Provisioning Panoramica del processo ”), è necessario fornire un nome di server. Come illustrato in Figura 9, è possibile selezionare la versione di Exchange per il provisioning di un menu a discesa nel riquadro di destra dopo aver fatto clic su Configura estensioni sul lato sinistro di finestra di dialogo Crea agente di gestione.

Selezionare Exchange 2010e nella casella di testo visualizzata (vedere Figura 9), immettere l'URI di un server Exchange 2010 remoto PowerShell (richieste al secondo). Si noti che non è possibile lasciare questo campo vuoto. Questo valore deve essere nel formato http:// < server cas > / powershell .

 

Nella figura 9 Upgrading from Exchange 2003 o 2007 a 2010

Exchange 2007 e ILM 2007 FP1 l'aggiornamento a SP1

Gli agenti di gestione esistente nelle distribuzioni di ILM 2007 FP1 rimarrà pienamente funzioni dopo l'aggiornamento a ILM 2007 FP1 SP1, non sono necessari alcuna configurazione aggiuntiva o passaggi aggiuntivi. Se si desidera, è possibile specificare un nome di server in Configura estensioni per controllare a quale server Exchange Update Recipient cmdlet contatti, ma questa operazione non è necessaria.

Il processo di esportazione

Dopo aver correttamente configurato tali per il provisioning di Exchange, FIM 2010 e ILM 2007 si connetterà a Active Directory ed Exchange durante l'esportazione per creare gli oggetti abilitati all'utilizzo della posta elettronica. Il processo è leggermente diverso per ogni versione di Exchange.

Exchange 2003

Per Exchange 2003 ILM 2007 e FIM 2010 si basano su funzionalità RUS di Exchange 2003 per completare il processo di provisioning. Durante l'esportazione, ADMA si connette a un controller di dominio disponibile e aggiunge l'oggetto abilitato all'utilizzo della posta elettronica (come determinato dalla configurazione di provisioning) nella directory.

Come accennato in precedenza, RUS rileva le modifiche apportate agli oggetti abilitati all'utilizzo della posta elettronica nella directory e completa il processo di provisioning per ogni oggetto creato da ILM 2007e FIM 2010. E ancora una volta, Exchange scrive ognuno di questi oggetti nella directory con il set minimo di attributi necessari per creare gli oggetti. Di conseguenza, RUS applica un criterio di Exchange a tali e aggiunge che gli attributi rimanenti richiesti in modo che supportano la serie completa di funzionalità di Exchange.

Infine, come prima, durante il provisioning a Exchange 2003 ILM 2007 e FIM 2010 necessario connettersi solo a ADDC; non richiedono una connessione diretta a un Exchange Server.

Exchange 2007

Le informazioni qui sono praticamente lo stesso che trattate nella sottosezione “ Exchange 2007 ” nel “ Provisioning Panoramica del processo ”, ma per maggiore comodità, si ripete. Con Exchange 2007 ILM 2007 FP1 e FIM 2010 si basano su cmdlet Update Recipient per completare il provisioning. Durante l'esportazione, ADMA si connette a un controller di dominio disponibili o preferito e aggiunge l'oggetto abilitato all'utilizzo della posta elettronica (come determinato dalla configurazione di provisioning) nella directory.

Dopo il provisioning di oggetti abilitati all'utilizzo della posta elettronica nella directory ILM 2007 e FIM 2010, richiamare il cmdlet PowerShell Update Recipient sul server di ILM/FIM utilizzando la riga di comando:

Update-Recipient -Identity "<ExportedDN>"-Credential <PSCredential> -DomainController <Fqdn>

i segnaposto racchiusi tra parentesi angolazione in cui vengono sostituiti come illustrato in questo elenco:

ExportedDN–This is the Distinguished Name of the recently exported object.
PSCredential–This is replaced with a PowerShell Credential object constructed using the domain, username and password configured for the ADMA.
Fqdn–The actual value for this parameter is the fully qualified domain name of the domain controller to which the recently exported object was written.

ILM 2007 FP1 SP1 e FIM 2010, inoltre, supportano il – parametro server di aggiornamento destinatari. Se l'agente di gestione è stato configurato con un valore di server, ILM 2007 FP1 SP1 e FIM 2010 richiamerà il cmdlet Update Recipient sul server di ILM/FIM utilizzando la riga di comando:

Update-Recipient -Identity "<ExportedDN >" -Credential <PSCredential> -
DomainController <Fqdn> -Server <ServerIdParameter>

i segnaposto racchiusi tra parentesi angolazione in cui vengono sostituiti come indicato nell'elenco precedente, con questa aggiunta:

• ServerIdParameter –The nome del server immesso nella finestra di dialogo Configurazione agente di gestione viene posto posto di questo parametro.

Eventuali errori verificatisi durante l'inizializzazione o l'esecuzione del cmdlet PowerShell imposteranno il risultato del profilo di esecuzione e verranno indicati nel registro eventi applicazione. Per ulteriori informazioni su errori specifici, vedere la Risoluzione dei problemi sezione ulteriormente in questo articolo.

È possibile trovare informazioni dettagliate sul destinatario theUpdate cmdlet per Exchange 2007 in Exchange Server TechCenter di Microsoft TechNet.

Exchange 2010

Come spiegato nella sottosezione “ Exchange 2010 ” del “ Provisioning Panoramica del processo, ” per Exchange 2010 ILM 2007 FP1 SP1 e FIM 2010 si basano su cmdlet Update Recipient per completare il processo di provisioning. Ma a differenza del processo di Exchange 2007, in questo cmdlet eseguito direttamente sul Exchange Server utilizzando Windows PowerShell 2.0 e l'esecuzione di codice in modalità remota.

Dopo il provisioning di oggetti abilitati all'utilizzo della posta elettronica nella directory di ILM 2007 FP1 SP1 e FIM 2010 in modalità remota richiama il cmdlet Update Recipient sul server Exchange 2010 utilizzando la riga di comando (con le sostituzioni stesse discusso in precedenza per gli elementi in parentesi angolari):

          Destinatari aggiornamento-identità "< ExportedDN >" -DomainController < FQDN > 

Quando si apre la connessione remota al Exchange Server, pertanto non sono necessari nella riga di comando vengono utilizzate le credenziali configurate nel ADMA.

Eventuali errori verificatisi durante l'inizializzazione o l'esecuzione del cmdlet verranno impostato il risultato del profilo di esecuzione e verranno inseriti nel registro eventi dell'applicazione. Per ulteriori informazioni su errori specifici, vedere laRisoluzione dei problemi sezione che segue quella.

È possibile trovare informazioni dettagliate sul destinatario theUpdate cmdlet per Exchange 2010 Exchange Server TechCenter di Microsoft TechNet.

Risoluzione dei problemi

Eventuali errori verificatisi durante l'inizializzazione o l'esecuzione del cmdlet PowerShell imposteranno il risultato del profilo di esecuzione e verranno indicati nel registro eventi dell'applicazione. In questa sezione vengono illustrati gli errori più frequenti che si verificano durante l'esportazione.

Errori comuni

In questo e gli altri esempi sulla risoluzione dei problemi riportati di seguito, il testo in corsivo indica una parte o parti di un messaggio di errore che il record del registro eventi durante l'esportazione. Il testo roman (non corsivo) che segue il messaggio di errore restituisce la possibile causa o le cause.

Messaggio:

Tipo evento: Errore
Origine evento: MIIServer
Categoria evento: Server
ID evento: 6801
.
.
.
Descrizione: L'estensione estensibile ha restituito un errore non supportato in MIIS. L'analisi dello stack è: Microsoft.MetadirectoryServices.ExtensionException: ExternalEmailAddress è obbligatoria nei MailUser.The contatto di posta e posta utente deve disporre di un indirizzo di posta elettronica esterno valido. corrispondenza Exch2007Extension.Exch2007ExtensionClass.AfterExportEntryToCd....

Causa:

Questo è l'errore più comune segnalato durante l'esportazione. Il cmdlet Update Recipient tenta di abilitare alla posta l'oggetto con il DN specificato. Il cmdlet funziona con una varietà di oggetti abilitati all'utilizzo della posta elettronica esaminando i relativi attributi. Tenterà, come un passaggio finale per convertire l'oggetto in un MailUser. Un oggetto utente con gli attributi di posta elettronica mancante o non valido in genere restituirà questo errore perché Update Recipient non è in grado di convertire l'oggetto in un utente abilitato alla cassetta postale. Questo errore può verificarsi anche quando l'agente di gestione e Update Recipient di comunicare con controller di dominio diversi.

Uno di questi problemi è probabile che la causa dell'errore:

• È stata esportata un valore homeMDB mancante o non valido. Assicurarsi che il valore homeMDB per l'oggetto è in corso l'esportazione è presente e che punti a un database di cassetta postale valida.
• Se si verifica questo errore con Exchange 2010 e homeMDB è corretto, msExchHomeServerName è probabilmente manca o non è valido. Verificare che il valore msExchHomeServerName per l'oggetto è in corso l'esportazione esista e che indica un server Exchange valido.
• Se non si dispone di strumenti di gestione di Exchange 2007 SP2 o versione successiva installato nel server di ILM/FIM, è possibile che venga visualizzato questo messaggio con Exchange 2007. Per ulteriori informazioni, vedere 963679 articolo della Microsoft Knowledge Base.
• È inoltre possibile che venga visualizzato questo errore con Exchange 2007 se Exchange 2007 Management Tools cumulativo 4 o superiore non è installato nel server di ILM/FIM. Per ulteriori informazioni, vedere 949858 articolo della Microsoft Knowledge Base.

Exchange 2007 e ILM 2007 FP1 errori

Messaggio:

Event Type: Error
Event Source: MIIServer
Event Category: Server
Event ID: 6801
.
.
.
Description: The extensible extension returned an unsupported error. The stack trace is: 
Microsoft.MetadirectoryServices.ExtensionException:  System.IO.FileNotFoundException: Could not load file or assembly 'System.Management.Automation, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35' or one of its dependencies. The system cannot find the file specified....

Causa:

Ciò indica che nel server di ILM 2007 FP1 non sono installati gli strumenti di gestione di Exchange 2007. ILM 2007 FP1 ha tentato di caricare il cmdlet Update Recipient e PowerShell non è in grado di individuarlo.

Exchange 2007, FIM 2010 e ILM 2007 FP1 SP1 errori

Messaggio:

Tipo evento: Errore
Origine evento: MIIServer
Categoria evento: Server
ID evento: 6801
.
.
.
Descrizione: L'estensione estensibile ha restituito un errore non supportato. L'analisi dello stack è: Microsoft.MetadirectoryServices.ExtensionException: Windows PowerShell snap-in Microsoft.Exchange.Management.PowerShell.Admin non è installato nel computer in corso....

Causa:

Questo messaggio viene visualizzato quando gli strumenti di gestione di Exchange 2007 non viene installato nel server di ILM 2007 FP1 SP1. ILM 2007 FP1 SP1 ha tentato di caricare il cmdlet Update Recipient e PowerShell non è in grado di individuarlo. Microsoft apportato una modifica di lieve entità per l'elaborazione durante il caricamento, che è il motivo per cui, per la stessa condizione ILM 2007 FP1 SP1 e FIM 2010 restituiscono un errore leggermente diverso rispetto a ILM 2007.

Exchange 2010

Messaggio:

Tipo evento: Errore
Origine evento: MIIServer
Categoria evento: Server
ID evento: 6801
.
.
.
Descrizione: L'estensione estensibile ha restituito un errore non supportato. Is:Microsoft.MetadirectoryServices.ExtensionException la traccia dello stack: Impossibile caricare il tipo 'System.Management.Automation.Runspaces.WSManConnectionInfo' dall'assembly ' System.Management.Automation, Version = 1.0.0.0, Culture = neutral, PublicKeyToken =....

Causa:

Verrà visualizzato un messaggio simile al seguente se non è installato Windows PowerShell 2.0 nel server di ILM 2007 FP1 SP1. ILM 2007 FP1 SP1 ha tentato di caricare il cmdlet Update Recipient di eseguire in modalità remota e ILM 207 FP1 SP1 non è riuscito ad aprire una sessione di PowerShell supporta l'esecuzione di codice in modalità remota.

Messaggio:

Tipo evento: Errore
Origine evento: MIIServer
Categoria evento: Server
ID evento: 6801
Descrizione: L'estensione estensibile ha restituito un errore non supportato. Is:Microsoft.MetadirectoryServices.ExtensionException:Microsoft.MetadirectoryServices.ExtensionException la traccia dello stack: URI non valido: Impossibile determinare il formato dell'URI in corso....
corrispondenza Exch2010Extension.Exch2010ExtensionClass.BeginExportToCd (connectTo String, String dominio, server String, utente String, String password)

Causa:

Il valore immesso nella finestra di dialogo ILM 2007 FP1 SP1 Configura estensioni del server di CAS è in formato non corretto. Il formato corretto è http:// < server cas > / powershell .

Messaggio:

Categoria evento: Server
ID evento: 6801
Descrizione: L'estensione estensibile ha restituito un errore non supportato. Is:Microsoft.MetadirectoryServices.ExtensionException:Microsoft.MetadirectoryServices.ExtensionException la traccia dello stack: Connessione al server remoto non riuscita con il seguente messaggio di errore: Gestione remota Windows: Impossibile elaborare la richiesta. Si è verificato il seguente errore durante l'utilizzo dell'autenticazione Kerberos: Il percorso di rete non trovato.

Causa:

• È stato specificato un nome utente non valido o una password.
• Si è utilizzato Kerberos senza specificare un nome utente o un metodo di autenticazione.
• Kerberos accetta nomi utente di dominio, ma i nomi utente non locali e sono stati specificati nel secondo caso.
• Del nome principale di servizio per la porta e nome computer remoto non esiste.
• Il client e il computer remoto si trovano in domini diversi e non attendibili tra due domini.

Dopo aver controllato i problemi appena menzionati, provare:

• Controllare il Visualizzatore eventi per gli eventi correlati all'autenticazione
• Modificare il metodo di autenticazione e aggiungere il computer di destinazione per la configurazione WinRM TrustedHosts impostando o utilizzando il trasporto HTTPS

Si noti che i computer nell'elenco TrustedHosts potrebbero non essere autenticati. Per ulteriori informazioni sulla configurazione di WinRM, eseguire il comando: winrm help config. Per ulteriori informazioni, vedere l'argomento della Guida about_Remote_Troubleshooting relativo.

Verrà visualizzato questo errore se il server CAS valore immesso nella finestra di dialogo ILM 2007 FP1 SP1 Configura estensioni non è corretto o non è stato configurato il server CAS per l'esecuzione di PowerShell remota. ILM 2007 FP1 SP1 ha tentato di caricare il cmdlet Update Recipient di eseguire in modalità remota e ILM 207 FP1 SP1 non è in grado di connettersi a una sessione remota di PowerShell sul server CAS.

Considerazioni

ILM 2007 e FIM 2010

Provisioning di Exchange è una funzionalità chiave di ILM 2007 e FIM 2010 e ADMA. Con la configurazione minima, si possono facilmente effettua il provisioning degli oggetti abilitati all'utilizzo della posta a Exchange 2003, 2007 e 2010. È necessario tenere presente che se esiste un firewall tra il server ILM o FIM ed Exchange, potrebbe essere necessario apportare ulteriori modifiche di configurazione che potrebbe non essere accettabile per la distribuzione.

Ad esempio, l'implementazione di un firewall tra Exchange Server e di ILM è particolarmente comune in un'implementazione di insiemi di strutture risorsa di Exchange. Il programma di installazione richiede agli utenti di accedere all'insieme di strutture di account e i server di exchange devono essere ospitati nell'insieme di strutture delle risorse (un'altra foresta Active Directory).

In questo scenario, in genere implementare ILM server nell'insieme di strutture di account. Pertanto il provisioning degli oggetti abilitati all'utilizzo della posta elettronica o abilitati all'utilizzo della cassetta postale in Exchange richiede l'apertura delle porte firewall oltre a quelli necessari per gli account utente di provisioning Active Directory.

Protocolli di comunicazione e porte

ILM richiede porte indicate nella tabella che segue per effettuare il provisioning degli account di Active Directory, ma si aspetta che le porte aggiuntive per accantonamento abilitato all'utilizzo della posta elettronica o gli oggetti utente abilitato all'utilizzo della cassetta postale nell'ambiente di Active Directory ed Exchange 2007.

Exchange 2007

Come affermato in precedenza nell'articolo, si avvale cmdlet PowerShell Update Recipient per completare il processo di provisioning di ILM 2007 FP1 ed esegue il cmdlet nel server di ILM per gli account abilitati all'utilizzo della posta elettronica o abilitati all'utilizzo della cassetta postale in Exchange 2007. Il cmdlet richiede una connessione al server di catalogo globale (GC) e RUS di Exchange nonché per la connessione al controller di dominio Active Directory. Lo scenario è ulteriormente complicata perché Recipient Update, quando utilizzato da ILM 2007 FP1, dispone di un algoritmo di selezione RUS che può terminare di selezionare qualsiasi server RUS nell'ambiente. Questa operazione richiede l'apertura di porte un intervallo di RUS a tutti i RUS di Exchange Server. (Vedere Figura 10).

 

Nella figura 10 Exchange 2007 provisioning con un firewall

Nella tabella seguente vengono indicate le porte necessarie per essere aperte nel firewall per il provisioning o cassetta postale account abilitati per la posta elettronica nell'ambiente di Exchange 2007.

Per il DC/GC con DNS:

 

Per RUS (Mailbox Server):

Exchange 2010

Come affermato in precedenza nell'articolo, si avvale di ILM 2007 FP1 cmdlet PowerShell Update Recipient per completare il processo di provisioning e il cmdlet esegue su ILM per o cassetta postale abilitata per la posta elettronica account di Exchange 2010. In questa versione di Exchange, tutti i cmdlet eseguire in remoto mediante la funzionalità di esecuzione remota di PowerShell. Ciò significa che le porte necessarie per questo scenario sono limitate ai requisiti di esecuzione remota di PowerShell, come illustrato nella Figura 11 .

 

Nella figura 11 Exchange 2010 provisioning con un firewall

Nelle tabelle seguenti viene riportato il firewall le porte che dovrebbero essere aperte per l'accantonamento posta- o account abilitato alla cassetta postale in Exchange 2010 ambiente.

Per il DC/GC con DNS:

 

Per CAS (Mailbox Server):

Scripting PowerShell personalizzati

In un bit che esamineremo un PowerShell script utente rileva gli account nel dominio specificato non sono attualmente abilitati per cassette postali e abilita li. Lo script deve essere eseguita sul controller di dominio Active Directory ed è possibile utilizzare l'utilità di pianificazione per quando verrà eseguita. Come si vede da Figura 12 ILM 2007 FP1 comunque possibile effettuare il provisioning degli account utente al controller di dominio Active Directory e consente di sfruttare lo script PowerShell per abilitare all'utilizzo della posta elettronica dell'account utente.

 

Nella figura 12 Scripting Exchange 2007/2010 provisioning manuale

Si noti che mentre è possibile utilizzare questo script per abilitare le cassette postali per gli utenti forniti dal ILM, lo script funzionerà solo con oggetti che non contengono un attributo mailNickname homeMDBor.

$domain = "LDAP://" + "DC=Fabrikam,DC=Com"

# Open a connection object to AD
$root = New-Object System.DirectoryServices.DirectoryEntry($domain)

# Create a query object 
$query = new-Object System.DirectoryServices.DirectorySearcher($root) 

# Construct a filter string to retrive all objects which are not mailenabled or mailbox-#enabled
$filter = "(&(objectClass=user)(!(legacyExchangeDN=*)))"

# Define filter in the query object
$query.filter = $filter
    
#Retrive objects which met the filter property
$objects = $query.findAll()


foreach($usr in $objects)
{       
    $properties = $usr.Properties 
    $DN = $properties.distinguishedname[0]
    $dbLoc = "Fabrikam\First Storage group\Mailbox Database"
    Enable-Mailbox -identity $DN -database $dbLoc

    #more informaton on Enable-mailbox here at 
    #https://technet.microsoft.com/enus/library/aa998251(EXCHG.80).aspx
        
}

Per creare utenti senza un valore homeMDB o mailNickname, è possibile

1. Utilizzare script di distribuzione: Utilizzare l'oggetto del metodo StartNewConnector() della gestione degli agenti connettori proprietà anziché ExchangeUtils.CreateMailbox().
2. Utilizzare Provisioning Codeless: Non includono flussi attributo iniziale nella regola di sincronizzazione.

Per completare il provisioning, facoltativamente, è possibile applicare il criterio dell'indirizzo di posta elettronica in alcuni o tutti gli oggetti nell'organizzazione di Exchange. Questo script breve impone tutti i criteri degli indirizzi di posta elettronica su tutti gli oggetti nell'organizzazione:

Get- EmailAddressPolicy | Update-EmailAddressPolicy

Sfortunatamente, questo è un aggiornamento costoso e può richiedere diversi minuti, a seconda della complessità dell'ambiente. È possibile utilizzare questo script invece (AddressPolicy01 sostituzione con l'identità di un criterio dell'indirizzo di posta elettronica particolare) per imporre un criterio dell'indirizzo di posta elettronica particolare su tutti gli oggetti nell'organizzazione:

Update-EmailAddressPolicy -Identity AddressPolicy01

Se si sono provisioning gruppi di distribuzione, è necessario aggiornare rubriche dell'organizzazione script aggiuntivi. Lo script seguente aggiornerà tutte le rubriche dell'organizzazione:

Get- AddressList | Update-AddressList
Get- GlobalAddressList  | Update-GlobalAddressList

Ma anche per questo è un aggiornamento costoso che, anche in questo caso, può richiedere alcuni minuti a seconda della complessità dell'ambiente. In alternativa, è possibile utilizzare:

Update-AddressList -Identity "All Contacts\AddressList01"
Update-GlobalAddressList -Identity "My Global Address List"

Lo script aggiorna solo una determinata rubrica dell'organizzazione. Per utilizzare lo script per Contacts\AddressList01 tutto, sostituire con l'identità della rubrica che si desidera aggiornare e sostituire cartella elenco indirizzi globale, con l'identità della Rubrica globale che si desidera aggiornare.

Utilizzo di server di Exchange 2003

Si consiglia di utilizzare ILM 2007 o FIM 2010 e Exchange PowerShell per abilitare Exchange di provisioning, ma i requisiti di protezione dell'organizzazione potrebbero non consentire la comunicazione richiesti attraverso il firewall. In questo caso, è possibile completare l'implementazione di Exchange utilizzando un server di Exchange 2003.

Per una distribuzione Exchange 2007, è possibile eseguire un server di Exchange 2003 a fianco di Exchange 2007 con il server di Exchange 2003 che fornisce la funzionalità RUS per il dominio in cui risiede. In questo modo ILM 2007 e FIM 2010 può preparare a Exchange utilizzando il modello di creazione e preparazione all'uso di Exchange 2003. (Vedere Figura 13).

 

Nella figura 13 Exchange 2007 provisioning con RUS

RUS identificherà e completa di provisioning per qualsiasi oggetto abilitato all'utilizzo della posta elettronica esportati ILM, FIM, come in Exchange 2003 provisioning modello. RUS consentirà agli utenti per Exchange 2007 e 2003 e i contatti abilitati all'utilizzo della posta. Verrà completata anche per le cassette postali, il provisioning e se homeMDBpoints verso il server RUS di Exchange 2003 verrà predisporre una cassetta postale di Exchange 2003. Se è necessario sola cassette postali di Exchange 2003 con gli utenti abilitati all'utilizzo della posta elettronica e contatti e supponendo che gli altri metodi che abbiamo descritto non funziona per la distribuzione, provare a utilizzare Exchange 2003.

Si noti che se si esegue questa operazione, il provisioning delle cassette postali di Exchange 2007 sarà incompleto. Se homeMDBpoints verso una cassetta postale di Exchange 2007, la cassetta postale sarà il provisioning ma non conterrà tutti gli attributi necessari per Exchange 2007. È necessario eseguire il provisioning di cassette postali di Exchange 2007 utilizzando un meccanismo di creazione e preparazione all'uso di Exchange 2007. Se la soluzione è necessario per il provisioning delle cassette postali Exchange 2007, è consigliabile utilizzare ILM o script PowerShell personalizzati.

È possibile ottenere ulteriori informazioni su Exchange 2003 e la coesistenza di Exchange 2007 in TechNet articolo “ How to Install Exchange 2007 in un'organizzazione di Exchange Server 2003 esistente ”.

Consigli

Se l'ambiente ha ILM 2007 FP1 o FIM 2010, sfruttano, per il provisioning delle cassette postali, poiché è in grado non solo ridurre le attività amministrative manuale ma può migliorare la produttività degli utenti finali e migliorare la protezione. Come notato, tuttavia, se il particolare scenario è necessario che un firewall tra Exchange 2007 e il server di ILM 2007 FP1 potrebbero essere necessari processi esterni per migliorare le funzionalità di ILM 2007 FP1 o FIM 2010 ed Exchange 2007. È possibile utilizzare ILM 2007 FP1 per effettuare il provisioning utente o contattare gli oggetti in Active Directory, quindi utilizzare lo script PowerShell per posta o abilitare all'utilizzo della cassetta postale gli oggetti che è eseguito il provisioning ILM. Lo script PowerShell è utile nelle situazioni in cui, ad esempio, i criteri dell'organizzazione non consentono concedere privilegi di amministratore destinatari di Exchange per l'account del servizio di ILM 2007 o sfrutta FIM 2010.

* * **Kermani henna  ** è uno sviluppatore di identità e protezione Division di Microsoft. Vive a Seattle, chilometri dal suo gatto che ha rifiutato la richiesta di spostamento con i suoi 1000.

Aung OO è un architetto con il Microsoft settore pubblico, civilian esercitazione. Aung vive in Leesburg, VA con sua moglie Mya.

Rob Ward i s uno sviluppatore di identità e protezione Division di Microsoft.  Egli appassionato meteo drizzly del rivolte.

Contenuto correlato

• Exchange Queue & A: Miglioramenti di Exchange 2010
• Exchange Queue & A: Ripristino di un server cassette postali cluster
• Exchange Queue & A: Sito Resiliency con SCR