Подготовка Active Directory и доменов

  • Статья

Применимо к: Exchange Server 2010

Последнее изменение раздела: 2010-01-25

Перед установкой Microsoft Exchange Server 2010 на каких-либо серверах в организации необходимо подготовить Active Directory и домены. В данном разделе описывается порядок подготовки Active Directory и доменов для Exchange 2010.

Сведения о подготовке доменов с устаревшими разрешениями Exchange см. в разделеПодготовка устаревших разрешений для Exchange 2003.

Предварительные условия

  • Компьютеры, на которых планируется установить Exchange 2010, должны удовлетворять требованиям к системе. Дополнительные сведения см. в разделе Системные требования Exchange 2010.

  • Домены и контроллеры доменов должны удовлетворять требованиям к системе, приведенным в подразделе «Сетевые серверы и серверы каталогов» раздела Системные требования Exchange 2010.

  • В каждом домене, в котором устанавливается Exchange 2010, должен присутствовать по меньшей мере один контроллер домена под управлением одной из следующих систем:
    Windows Server 2003 Standard Edition с пакетом обновления 1 (SP1) или более поздняя версия (32-разрядная или 64-разрядная).
    Windows Server 2003 Enterprise Edition с пакетом обновления 1 или более поздняя версия (32-разрядная или 64-разрядная).
    Windows Server 2008 Standard или Enterprise (32-разрядный или 64-разрядный выпуск).
    Windows Server 2008 R2 выпуска Standard или Enterprise.

  • Если используется окончательная первоначальная версия (RTM) файла Setup.com Exchange 2010, то в каждом домене (включая дочерние домены), в котором есть группы безопасности «Серверы предприятия Exchange» и «Серверы домена Exchange», и, следовательно, должна выполняться команда Setup /PrepareLegacyExchangePermissions, должен присутствовать хотя бы один контроллер домена под управлением одной из следующих операционных систем:
    Windows Server 2003 Standard Edition с пакетом обновления 1 (SP1) или более поздняя версия (32-разрядная или 64-разрядная).
    Windows Server 2003 Enterprise Edition с пакетом обновления 1 (SP1) или более поздняя версия (32-разрядная или 64-разрядная).
    Windows Server 2008 Standard или Enterprise (32-разрядный или 64-разрядный выпуск).
    Windows Server 2008 R2 выпуска Standard или Enterprise.

  • Если мастер установки Exchange 2010 запущен с использованием учетной записи, имеющей необходимые разрешения («Администраторы схемы», «Администраторы домена» или «Администраторы предприятия») для подготовки Active Directory и домена, мастер автоматически проведет подготовку Active Directory и домена. Дополнительные сведения см. в разделе Установка сервера Exchange Server 2010. Если же выполняется развертывание новой организации Exchange, и подготовка доменов и схем Active Directory выполняется с компьютера под управлением Windows Server 2008, то перед подготовкой доменов и схем сначала необходимо установить на этом компьютере Windows Server 2008 средства управления Active Directory. Для этого выполните следующую команду.

    ServerManagerCmd -i RSAT-ADDS

Подготовка Active Directory и доменов

Чтобы отслеживать ход репликации Active Directory, можно использовать Active Directory средство наблюдения за репликацией (replmon.exe), входящее в состав средств поддержки Windows Server 2003 По умолчанию оно размещается по адресу «%programfiles%\support tools\». Добавьте контроллеры домена как отслеживаемые серверы, чтобы можно было отслеживать ход репликации по всему домену.

  1. Если в организации имеются компьютеры, на которых работает Exchange 2003, откройте окно командной строки и выполните одну из следующих команд:

    • Чтобы подготовить устаревшие разрешения Exchange в каждом домене леса, содержащего группы «Серверы предприятия Exchange» и «Серверы домена Exchange», выполните следующую команду:
      setup /PrepareLegacyExchangePermissions или setup /pl
    • Чтобы подготовить устаревшие разрешения Exchange в конкретном домене, используйте следующую команду:
      setup /PrepareLegacyExchangePermissions: < полное_доменное_имя_подготавливаемого_домена > или setup /pl:<полное_доменное_имя_подготавливаемого_домена>
      Bb125224.note(ru-ru,EXCHG.140).gifПримечание.
      Вы можете пропустить этот этап и подготовить разрешения для устаревшей версии Exchange на этапе 2 или 3. Преимущество выполнения всех этапов по отдельности состоит в том, что каждый из них можно выполнять из учетной записи, имеющей минимальный набор разрешений, необходимый для данного конкретного этапа, а кроме того, вы можете проверить, все ли было выполнено успешно и прошла ли репликация, прежде чем переходить к следующему этапу.

    Обратите внимание на следующие сведения:

    • Чтобы выполнить команду для подготовки каждого домена в лесу, необходимо быть членом группы администраторов предприятия. В ситуации, когда выполнить эту команду необходимо для подготовки отдельного домена, или если лес состоит только из одного домена, необходимо иметь роль «Управление организацией Exchange» и быть членом группы администраторов подготавливаемого домена.
    • Если домен не указан, то домен, в котором выполняется эта команда, должен иметь возможность связываться со всеми доменами в лесу. Если сервер не может связаться с доменом, для которого должны быть подготовлены устаревшие разрешения Exchange, то сервер выполняет подготовку тех доменов, с которыми он может связаться, а потом выдает сообщение о том, что с некоторыми доменами связаться не удалось.
    • Эту команду можно выполнять с любого входящего в лес сервера под управлением 64-разрядной версии системы Windows Server 2003 с пакетом обновления 1 (SP1) или Windows Server 2008.
    • Эту команду необходимо выполнять на компьютере, который находится в том же домене и на том же сайте Active Directory, что и хозяин схемы. При установке все изменения настройки применяются к хозяину схемы во избежание конфликтов в случае задержки репликации. Дополнительные сведения см. в статье Определение хозяина схемы.
    • После запуска этой команды необходимо ожидать разрешений, чтобы реплицировать организацию Exchange перед тем, как перейти к выполнению следующего шага. Если разрешения не реплицировались, служба обновления получателей на компьютерах Exchange Server 2003 может не работать. Количество времени, необходимое для репликации, зависит от топологии сайта Active Directory.
    • Дополнительные сведения о разрешениях, задаваемых этой командой, см. в разделе Подготовка устаревших разрешений для Exchange 2003.

  2. Выполните в окне командной строки следующую команду:
    setup /PrepareSchema или setup /ps

    Bb125224.note(ru-ru,EXCHG.140).gifПримечание.
    Можно пропустить этот шаг и подготовить схему в ходе действия 3.

    Важно!

    Не следует выполнять эту команду в лесу, в котором не планируется выполнение команды setup /PrepareAD. В случае выполнения этой команды лес будет настроен неправильно, и считывание некоторых атрибутов объектов пользователей будет невозможно.

    Bb125224.note(ru-ru,EXCHG.140).gifПримечание.
    Не поддерживается использование средства обмена каталогов LDIF Exchange (LDIFDE) для импорта изменений схемы Exchange 2010 вручную. Для обновления схемы нужно обязательно использовать установку.

    Эта команда выполняет следующие задачи:

    • Производит подключение к хозяину схемы и импортирует файлы формата LDIF LDAP для обновления схемы при помощи атрибутов Exchange 2010. Файлы формата LDIF копируются в каталог Temp, а после импорта в схему удаляются.
      Необходимо учитывать следующее:
    • Для выполнения этой команды необходимо быть членом группы администраторов схемы и членом группы администраторов организации.
    • Необходимо выполнять эту команду на 64-разрядном компьютере, находящемся в том же домене и на том же сайте Active Directory, что и хозяин схемы.
    • Если действие 1 не было выполнено, то команда setup /PrepareSchema автоматически выполнит действие PrepareLegacyExchangePermissions. Чтобы выполнить действие PrepareLegacyExchangePermissions, домен, в котором выполняется эта команда, должен иметь возможность связываться со всеми доменами в лесу. Преимущество выполнения всех этапов по отдельности состоит в том, что каждый из них можно выполнять из учетной записи, имеющей минимальный набор разрешений, необходимый для данного конкретного этапа, а кроме того, вы можете проверить, все ли было выполнено успешно и прошла ли репликация, прежде чем переходить к следующему этапу.
    • Если в команде используется параметр /DomainController, необходимо указать контроллер домена, являющийся хозяином схемы.
    • После выполнения этой команды необходимо подождать, пока изменения реплицируются в организации Exchange перед тем, как переходить к выполнению следующего шага. Количество времени, необходимое для репликации, зависит от топологии сайта Active Directory.
    • Дополнительные сведения см. в статьеИзменения сервера Exchange в схеме Active Directory.

  3. Выполните в окне командной строки следующую команду:
    setup /PrepareAD [/OrganizationName: <имя организации> ] или setup /p [/on:<имя_организации>]
    Эта команда выполняет следующие задачи:

    • Если контейнер Microsoft Exchange не существует, команда создает его в разделе CN=Services,CN=Configuration,DC=<корневой_домен>.
    • Если контейнер организации Exchange не существует в разделе CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен >, то необходимо указать имя организации с помощью параметра /OrganizationName. В результате будет создан контейнер организации с указанным именем.
      Имя организации Exchange может включать только следующие знаки:
      буквы от A до Z;
      буквы от a до z;
      цифры от 0 до 9;
      пробелы (не в начале и не в конце имени);
      дефисы.
      Имя организации не может включать более 64 знаков. Имя организации не может быть пустым. Если имя организации содержит пробелы, его необходимо заключить в кавычки.
    • Убедитесь в том, что схема обновлена и организация обновлена, проверив свойство objectVersion в Active Directory. Свойство objectVersion находится в разделе CN=<организация>, CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<домен> контейнер. ЗначениеobjectVersion для окончательной первоначальной версии (RTM) Exchange 2010 – 12639.
    • В разделе CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен> создайте приведенные далее объекты и контейнеры (если они не существуют). Они необходимы для Exchange 2010.
      CN=Address Lists Container,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
      CN=Addressing,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
      CN=Administrative Groups,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
      CN=Client Access,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
      CN=Connections,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
      CN=ELC Folders Container,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
      CN=ELC Mailbox Policies,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
      CN=Global Settings,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
      CN=Mobile Mailbox Policies,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
      CN=Recipient Policies,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
      CN=System Policies,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
      CN=Transport Settings,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
      CN=UM AutoAttendant,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
      CN=UM DialPlan,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
      CN=UM IPGateway Container,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
      CN=UM Mailbox Policies,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
    • Если запись обслуживаемых доменов по умолчанию не существует, данная команда создает ее на базе пространства имен корневого леса в разделе CN=Transport Settings,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>.
    • В разделе настройки выдаются определенные полномочия.
    • Импортируется файл Rights.ldf. Таким образом добавляются расширенные права, необходимые для установки Exchange в Active Directory.
    • Создается подразделение групп безопасности Microsoft Exchange в корневом домене леса. Созданному подразделению выдаются определенные разрешения.
    • В подразделении групп безопасности Microsoft Exchange создаются следующие группы ролей безопасности:
      Управление организацией Exchange.
      Управление получателями Exchange.
      Управление сервером Exchange.
      Управление организацией с правами только на просмотр Exchange.
      Управление общими папками Exchange.
      Управление единой системой обмена сообщениями Exchange.
      Управление санацией Exchange.
      Управление записями Exchange.
      Управление обнаружением Exchange.
      Делегированная установка Exchange.
    • Новые универсальные группы безопасности, имеющиеся в подразделении групп безопасности Microsoft Exchange, добавляются в атрибут otherWellKnownObjects, хранящийся в контейнере CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>.
    • Создается контакт отправителя голосового сообщения единой системы обмена сообщениями в контейнере объектов системы Microsoft Exchange корневого домена.
    • Выполняется подготовка локального домена для Exchange 2010. Сведения о задачах, выполняемых для подготовки домена, приведены в описании этапа 4.
      Необходимо учитывать следующее:
    • Чтобы выполнить эту команду, необходимо быть членом группы администраторов предприятия.
    • Компьютер, на котором выполняется данная команда, должен иметь возможность связаться со всеми доменами леса через порт 389.
    • Эту команду необходимо выполнять на компьютере, который находится в том же домене и на том же сайте Active Directory, что и хозяин схемы. При установке все изменения настройки применяются к хозяину схемы во избежание конфликтов из-за задержки репликации.
    • Если действие 1 не было выполнено, то команда setup /PrepareAD автоматически выполнит действие PrepareLegacyExchangePermissions. Чтобы выполнить действие PrepareLegacyExchangePermissions, домен, в котором выполняется эта команда, должен иметь возможность связываться со всеми доменами в лесу. Если член группы администраторов схемы не выполнил действие 2, то команда setup /PrepareAD автоматически выполнит действие PrepareSchema. Преимущество отдельного выполнения каждого действия состоит в том, что каждое действие можно выполнять от имени учетной записи, имеющей минимальный набор разрешений, необходимый для данного конкретного действия, а также в наличии возможности проверить, все ли было успешно завершено и выполнена ли репликация, прежде чем переходить к следующему действию.
    • После выполнения этой команды необходимо подождать, пока изменения реплицируются в организации Exchange перед тем, как переходить к выполнению следующего шага. Количество времени, необходимое для репликации, зависит от топологии сайта Active Directory.
    • Чтобы проверить, был ли этот шаг выполнен успешно, убедитесь, что в корневом домене существует новое подразделение с именем Группы безопасности Microsoft Exchange. Это подразделение должно содержать следующие новые универсальные группы безопасности Exchange:
      Подразделение групп безопасности Exchange:
      Управление организацией Exchange.
      Управление получателями Exchange.
      Управление сервером Exchange.
      Управление организацией с правами только на просмотр Exchange.
      Управление общими папками Exchange.
      Управление единой системой обмена сообщениями Exchange.
      Управление санацией Exchange.
      Управление записями Exchange.
      Управление обнаружением Exchange.
      Делегированная установка Exchange.
      ExchangeLegacyInterop

  4. Выполните в окне командной строки одну из следующих команд:

    • Выполните команду setup /PrepareDomain или setup /pd, чтобы подготовить локальный домен. Нет необходимости выполнять эту команду в домене, в котором выполнялось действие 3. Выполнение команды setup /PrepareAD обеспечивает подготовку локального домена.

    • Выполните команду setup /PrepareDomain:<полное доменное имя домена, который необходимо подготовить>, чтобы подготовить определенный домен.

    • Выполните команду setup /PrepareAllDomains или setup /pad, чтобы подготовить все домены в организации.
      Эти команды выполняют следующие задачи:

    • Если формируется новая организация, то в Active Directory создается контейнер системных объектов Microsoft Exchange и устанавливаются разрешения в этом контейнере для серверов Exchange, администраторов организации Exchange и пользователей, прошедших проверку подлинности. Этот контейнер используется для хранения объектов прокси общих папок и системных объектов, относящихся к Exchange, например почтового ящика базы данных почтовых ящиков.

    • Устанавливается свойство objectVersion в контейнере системных объектов Microsoft Exchange в разделе DC=<корневой_домен>. Это свойство objectVersion содержит версию подготовки домена. Версия для Exchange 2010 – 12639.

    • В текущем домене создается новая глобальная группа с именем «Серверы домена установки Exchange». Команда помещает эту группу в контейнер системных объектов Microsoft Exchange. А также добавляют группу «Серверы домена установки Exchange» в универсальную группу безопасности серверов Exchange в корневом домене.

      Bb125224.note(ru-ru,EXCHG.140).gifПримечание.
      Группа серверов установки доменов Exchange используется, если Exchange 2010 установлен в дочернем домене, который является сайтом Active Directory, отличным от корневого домена. Создание этой группы позволяет избежать ошибок при установке, если членство в группах не было реплицировано в дочернем домене.

    • На уровне домена выдаются разрешения универсальным группам безопасности «Серверы Exchange» и «Администраторы получателей Exchange».
      Необходимо учитывать следующее:

    • Чтобы выполнить команду setup /PrepareAllDomains, необходимо быть членом группы администраторов предприятия.

    • Чтобы выполнить команду setup /PrepareDomain в случае, если подготавливаемый домен существовал до выполнения команды setup /PrepareAD, необходимо быть членом группы администраторов домена в этом домене. Если подготавливаемый домен был создан после выполнения команды setup /PrepareAD, необходимо быть членом группы администраторов организации Exchange, а также членом группы администраторов домена в этом домене.

    • Для доменов, которые расположены на сайте Active Directory, отличающемся от корневого домена, выполнение команды /PrepareDomain может закончиться неудачей, в результате чего будет выведено следующее сообщение:
      «Задача PrepareDomain для домена <ваш_домен> частично завершена. Из-за настройки сайта Active Directory необходимо подождать не менее 15 минут, пока не начнется репликация, и повторить задачу PrepareDomain для домена <ваш_домен> снова».
      "Не удается выполнить операцию Active Directory на сервере <ваш_сервер>. Невозможно повторить попытку. Дополнительные сведения: Указан неверный тип группы.
      Ответ Active Directory: 00002141: SvcErr: DSID-031A0FC0, ошибка 5003 (НЕ_ВЫПОЛНЯЕТСЯ), данные: 0
      Сервер не может обработать запросы каталога."
      Если отображаются такие сообщения, следует подождать или выполнить репликацию Active Directory между этим доменом и корневым доменом, а затем повторно выполнить команду /PrepareDomain.

    • Эту команду необходимо выполнять в каждом домене, в котором будет устанавливаться Exchange 2010. Необходимо также выполнить эту команду в каждом домене, который будет содержать пользователей электронной почты, даже если в нем не будет устанавливаться Exchange 2010.
      Чтобы удостовериться, что этот шаг выполнен успешно, убедитесь, что:

    • В контейнере системных объектов Microsoft Exchange существует новая глобальная группа серверов установки доменов Exchange.

      Bb125224.note(ru-ru,EXCHG.140).gifПримечание.
      Чтобы просмотреть контейнер системных объектов Microsoft Exchange в окне «Пользователи и компьютеры» Active Directory, в меню Вид выберите Дополнительные функции.

    • Группа серверов установки доменов Exchange является членом универсальной группы безопасности серверов Exchange в корневом домене.

    • В каждом контроллере домена в домене, в котором будет установлен Exchange 2010, универсальная группа безопасности серверов Exchange имеет разрешения для политики «Политика безопасности контроллера домена\Локальные политики\Назначение прав пользователя\Контроль управления и журнал безопасности».