Какие изменения в Active Directory при установке Exchange
При установке Exchange Server 2016 или Exchange Server 2019 в лес Active Directory и домены вносятся изменения для хранения сведений о серверах Exchange, почтовых ящиках и других объектах, связанных с Exchange в организации.
Для подготовки Active Directory для Exchange необходимо выполнить три шага:
После выполнения всех трех шагов лес Active Directory будет готов к работе с Exchange. В этом разделе объясняется, что делает Exchange на каждом этапе подготовки Active Directory.
Эти изменения можно внести перед установкой первого сервера Exchange 2016 или Exchange 2019 в организации, выполнив команды /PrepareSchema, /PrepareAD и /PrepareAllDomains или /PrepareDomains с помощью программы установки командной строки Exchange. Инструкции см. в разделе Подготовка Active Directory и доменов для Exchange. Кроме того, эти изменения автоматически вносятся во время установки первого сервера Exchange с помощью мастера установки Exchange. Инструкции см. в статье Установка серверов почтовых ящиков Exchange с помощью мастера установки.
Расширение схемы Active Directory
Расширение схемы Active Directory добавляет и обновляет классы, атрибуты и другие элементы. Эти изменения необходимы, чтобы Exchange могла создавать контейнеры и объекты для хранения сведений об организации Exchange. Так как Exchange вносит много изменений в схему Active Directory, этому шагу посвящен раздел. Чтобы просмотреть все изменения, внесенные в схему, см. статью Изменения схемы Active Directory в Exchange Server.
После расширения схемы путем выполнения команды /PrepareSchema , команды _/PrepareAD или установки первого сервера Exchange Server с помощью мастера установки Exchange версия схемы устанавливается в атрибуте ms-Exch-Schema-Version-Pt . Чтобы убедиться, что схема Active Directory успешно расширена, можно проверить значение, хранящееся в этом атрибуте. Дополнительные сведения см. в разделе Версии Exchange Active Directory.
Подготовка контейнеров, объектов и других элементов Active Directory
После расширения схемы следующим шагом будет добавление всех контейнеров, объектов, атрибутов и других элементов, используемых Exchange для хранения информации в Active Directory. Большинство изменений, вносимых на этом этапе, применяются ко всему лесу Active Directory. Меньший набор изменений выполняется только в локальном домене Active Directory, где была выполнена команда /PrepareAD (или где был установлен первый сервер Exchange Server с помощью мастера установки Exchange).
Exchange вносит следующие изменения в лес Active Directory:
Контейнер Microsoft Exchange создается в разделе CN=Services,CN=Configuration,DC=<корневой домен> , если он еще не существует.
Следующие контейнеры и объекты создаются в разделе CN=<название> организации,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой домен> , если они еще не существуют:
CN=Address Lists Container
CN=AddressBook Mailbox Policies
CN=Addressing
CN=Administrative Groups
CN=Approval Applications
CN=Auth Configuration
CN=Availability Configuration
CN=Client Access
CN=Connections
CN=ELC Folders Container
CN=ELC Mailbox Policies
CN=ExchangeAssistance
CN=Federation
CN=Federation Trusts
CN=Global Settings
CN=Hybrid Configuration
CN=Mobile Mailbox Policies
CN=Mobile Mailbox Settings
CN=Monitoring Settings
CN=OWA Mailbox Policies
CN=Provisioning Policy Container
CN=Push Notification Settings
CN=RBAC
CN=Recipient Policies
CN=Remote Accounts Policies Container
CN=Retention Policies Container
CN=Retention Policy Tag Container
CN=ServiceEndpoints
CN=System Policies
CN=Team Mailbox Provisioning Policies
CN=Transport Settings
Cn=UM AutoAttendant Container (только Exchange 2016)
Контейнер CN=UM DialPlan (только Exchange 2016)
Контейнер CN=UM IPGateway (только Exchange 2016)
Политики почтовых ящиков единой системы обмена сообщениями (только Для Exchange 2016)
CN=Workload Management Settings
Следующие контейнеры и объекты создаются в разделе CN=Параметры транспорта,CN=<Название> организации,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой домен> , если они еще не существуют:
CN=Accepted Domains
CN=ControlPoint Config
CN=DNS Customization
CN=Interceptor Rules
CN=Malware Filter
CN=Message Classifications
CN=Message Hygiene
CN=Rules
CN=MicrosoftExchange329e71ec88ae4615bbc36ab6ce41109e
Разрешения задаются во всем разделе конфигурации в Active Directory.
Импортируется файл Rights.ldf. Файл добавляет разрешения, необходимые для установки Exchange и настройки Active Directory.
Подразделение групп безопасности Microsoft Exchange создается в корневом домене леса и ему назначаются разрешения.
В подразделении групп безопасности Microsoft Exchange создаются следующие группы, если они не существуют:
Управление соответствием требованиям
Делегированная установка
Управление обнаружением
Серверы Exchange
Группа безопасности Exchange Trusted Subsystem
Разрешения Windows для Exchange
ExchangeLegacyInterop
Служба поддержки
Управление санацией
Управляемые серверы доступности
Управление организацией
Управление общими папками
Управление получателями
Управление записями
Управление сервером
Управление организацией только с правом на просмотр
Новые группы ролей управления (которые отображаются как универсальные группы безопасности (USG) в Active Directory), созданные в подразделении групп безопасности Microsoft Exchange, добавляются в атрибут otherWellKnownObjects , хранящийся в контейнере CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневом домене> .
Только в Exchange 2016 контакт инициатора голосовой связи единой системы обмена сообщениями создается в контейнере системных объектов Microsoft Exchange корневого домена.
Для Exchange подготавливается только домен, в котором была выполнена команда /PrepareAD (или где был установлен первый сервер Exchange Server с помощью мастера установки Exchange). Сведения о том, что делается для подготовки домена Active Directory для Exchange, см. в следующем разделе.
Подготовка доменов Active Directory
Последним шагом подготовки Active Directory для Exchange является подготовка доменов Active Directory, в которых будут установлены серверы Exchange или где будут размещаться пользователи с поддержкой почтовых ящиков (все домены в лесу с помощью команды /PrepareAllDomains , определенные домены с помощью команды /PrepareDomains или установка первого сервера Exhange с помощью мастера установки Exchange). Этот шаг выполняется автоматически в домене, где была выполнена команда PrepareAD (или где был установлен первый сервер Exchange Server с помощью мастера установки Exchange).
Exchange вносит изменения в домены Active Directory:
Контейнер системных объектов Microsoft Exchange создается в разделе корневого домена Active Directory, если он еще не существует.
Задаются разрешения в контейнере системных объектов Microsoft Exchange для групп безопасности "Серверы Exchange", "Управление организацией" и "Прошедшие проверку".
Изменение объекта групповой политики контроллеров домена по умолчанию для предоставления прав "Управление политикой аудита и журнала безопасности" серверам Exchange Enterprise.
Глобальная группа серверов установки доменов группа домена Exchange создается в текущем домене и размещается в контейнере системных объектов Microsoft Exchange.
Группа серверов установки доменов Exchange добавляется в универсальную группу безопасности серверов Exchange в корневом домене.
На уровне домена назначаются разрешения для универсальных групп безопасности "Серверы Exchange" и "Управление организацией".
Свойство objectVersion в контейнере системных объектов Microsoft Exchange в dc=<root домене> задано. Чтобы убедиться, что домены Active Directory успешно подготовлены, можно проверить значение, хранящееся в этом атрибуте. Дополнительные сведения см. в разделе Версии Exchange Active Directory.