Какие изменения в Active Directory Exchange установлены?

При установке Exchange Server 2016 или Exchange Server 2019 года в лес и домены Active Directory внося изменения для хранения сведений о Exchange серверах, почтовых ящиках и других Exchange связанных с организацией объектах.

Для подготовки Active Directory к Exchange требуется три шага.

  1. Расширение схемы Active Directory

  2. Подготовка контейнеров, объектов и других элементов Active Directory

  3. Подготовка доменов Active Directory

После всех трех действий лес Active Directory будет готов к Exchange. В этом разделе объясняется, Exchange на каждом этапе подготовки Active Directory.

Эти изменения можно внести перед установкой первого сервера Exchange 2016 или Exchange 2019 г. в организации путем запуска командной строки /PrepareSchema, /PrepareAD и /PrepareAllDomains или /PrepareDomains с помощью Exchange командной строки Установки. Инструкции см. в инструкции Prepare Active Directory и домены для Exchange. Или эти изменения автоматически вносят для вас во время установки первого Exchange сервера с помощью мастера Exchange установки. Инструкции см. в Exchange серверов почтовых ящиков с помощью мастера установки.

Расширение схемы Active Directory

Расширение схемы Active Directory добавляет и обновляет классы, атрибуты и другие элементы. Эти изменения необходимы, чтобы Exchange создавать контейнеры и объекты для хранения информации о Exchange организации. Поскольку Exchange вносит много изменений в схему Active Directory, существует тема, посвященная этому шагу. Чтобы увидеть все изменения, внесенные в схему, см. в Exchange Server.

После расширения схемы с помощью команды /PrepareSchema, команды _/PrepareAD или установки первого сервера Exchange с помощью мастера установки Exchange, версия схемы задается в атрибуте ms-Exch-Schema-Version-Pt. Чтобы убедиться, что схема Active Directory была успешно расширена, можно проверить значение, сохраненное в этом атрибуте. Дополнительные сведения см. в Exchange версии Active Directory.

Подготовка контейнеров, объектов и других элементов Active Directory

После расширения схемы следующим шагом будет добавление всех контейнеров, объектов, атрибутов и других элементов, используемых Exchange для хранения информации в Active Directory. Большинство изменений, вносимых на этом этапе, применяются ко всему лесу Active Directory. Меньший набор изменений внося только в локальный домен Active Directory, где была выполнена команда /PrepareAD (или где был установлен первый сервер Exchange с помощью мастера установки Exchange).

Exchange вносит следующие изменения в лес Active Directory:

  • Контейнер microsoft Exchange создается в соответствии с CN=Services, CN=Configuration,DC=<root domain> если он еще не существует.

  • Следующие контейнеры и объекты создаются в соответствии с CN=,CN=<organization name>Microsoft Exchange,CN=Services, CN=Configuration,DC=<root domain> если они еще не существуют:

    • CN=Address Lists Container

    • CN=AddressBook Mailbox Policies

    • CN=Addressing

    • CN=Administrative Groups

    • CN=Approval Applications

    • CN=Auth Configuration

    • CN=Availability Configuration

    • CN=Client Access

    • CN=Connections

    • CN=ELC Folders Container

    • CN=ELC Mailbox Policies

    • CN=ExchangeAssistance

    • CN=Federation

    • CN=Federation Trusts

    • CN=Global Settings

    • CN=Hybrid Configuration

    • CN=Mobile Mailbox Policies

    • CN=Mobile Mailbox Settings

    • CN=Monitoring Settings

    • CN=OWA Mailbox Policies

    • CN=Provisioning Policy Container

    • CN=Push Notification Settings

    • CN=RBAC

    • CN=Recipient Policies

    • CN=Remote Accounts Policies Container

    • CN=Retention Policies Container

    • CN=Retention Policy Tag Container

    • CN=ServiceEndpoints

    • CN=System Policies

    • CN=Team Mailbox Provisioning Policies

    • CN=Transport Settings

    • Контейнер CN=UM AutoAttendant (только Exchange 2016 г.)

    • Контейнер dialPlan CN=UM (только Exchange 2016 г.)

    • Контейнер IPGateway CN=UM (только Exchange 2016 г.)

    • Политики почтовых ящиков CN=UM (только Exchange 2016 г.)

    • CN=Workload Management Settings

  • Следующие контейнеры и объекты создаются в соответствии с CN=Transport Параметры,CN=,CN=<Organization Name>Microsoft Exchange,CN=Services, CN=Configuration,DC=<root domain> если они еще не существуют:

    • CN=Accepted Domains

    • CN=ControlPoint Config

    • CN=DNS Customization

    • CN=Interceptor Rules

    • CN=Malware Filter

    • CN=Message Classifications

    • CN=Message Hygiene

    • CN=Rules

    • CN=MicrosoftExchange329e71ec88ae4615bbc36ab6ce41109e

  • Разрешения задаются во всем разделе конфигурации в Active Directory.

  • Импортируется файл Rights.ldf. Файл добавляет разрешения, необходимые для установки Exchange и настройки Active Directory.

  • В корневом домене леса создается подразделение microsoft Exchange security Groups, и ему назначены разрешения.

  • В подразделении групп безопасности Microsoft Exchange создаются следующие группы, если они не существуют:

    • Управление соответствием требованиям

    • Делегированная установка

    • Управление обнаружением

    • Серверы Exchange

    • Группа безопасности Exchange Trusted Subsystem

    • Разрешения Windows для Exchange

    • ExchangeLegacyInterop

    • Служба технической поддержки

    • Управление санацией

    • Управляемые серверы доступности

    • Управление организацией

    • Управление общими папками

    • Управление получателями

    • Управление записями

    • Управление сервером

    • Управление организацией только с правом на просмотр

  • Новые группы ролей управления (которые отображаются как универсальные группы безопасности (USGs) в Active Directory), созданные в OU Microsoft Exchange Security Groups, добавляются в другой атрибутWellKnownObjects, хранимый в контейнере CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain>container.

  • Только Exchange 2016 года в контейнере системных объектов Microsoft Exchange корневого домена создается контакт единого источника голосовых сообщений.

  • Только домен, в котором запускалась команда /PrepareAD (или где был установлен первый сервер Exchange с помощью мастера Exchange установки), подготовлен для Exchange. Сведения о том, что сделано для подготовки домена Active Directory для Exchange, см. в следующем разделе.

Подготовка доменов Active Directory

Заключительный этап подготовки Active Directory для Exchange — подготовка доменов Active Directory, в которых будут установлены Exchange серверы или где будут размещены пользователи с поддержкой почтовых ящиков (все домены в лесу с помощью команды /PrepareAllDomains, конкретные домены с помощью команды /PrepareDomains или установка первого сервера Exhange с помощью мастера установки Exchange). Этот шаг делается автоматически в домене, где запускалась команда PrepareAD (или где был установлен первый сервер Exchange с помощью мастера установки Exchange).

Exchange делает фоллвинговые изменения в доменах Active Directory:

  • Контейнер системных объектов Microsoft Exchange создается в разделе корневого домена Active Directory, если он еще не существует.

  • Задаются разрешения в контейнере системных объектов Microsoft Exchange для групп безопасности "Серверы Exchange", "Управление организацией" и "Прошедшие проверку".

  • Изменение GPO контроллеров доменов по умолчанию, чтобы предоставить "Управление аудитом и политикой журнала безопасности" правам на Exchange Enterprise серверов.

  • Глобальная группа серверов установки доменов группа домена Exchange создается в текущем домене и размещается в контейнере системных объектов Microsoft Exchange.

  • Группа серверов установки доменов Exchange добавляется в универсальную группу безопасности серверов Exchange в корневом домене.

  • На уровне домена назначаются разрешения для универсальных групп безопасности "Серверы Exchange" и "Управление организацией".

  • Свойство objectVersion в контейнере системных объектов Microsoft Exchange под DC=<root domain> установлено. Чтобы убедиться, что домены Active Directory были успешно подготовлены, можно проверить значение, сохраненное в этом атрибуте. Дополнительные сведения см. в Exchange версии Active Directory.