Подготовка Active Directory и доменов
Применимо к: Exchange Server 2010
Последнее изменение раздела: 2010-01-25
Перед установкой Microsoft Exchange Server 2010 на каких-либо серверах в организации необходимо подготовить Active Directory и домены. В данном разделе описывается порядок подготовки Active Directory и доменов для Exchange 2010.
Сведения о подготовке доменов с устаревшими разрешениями Exchange см. в разделеПодготовка устаревших разрешений для Exchange 2003.
Предварительные условия
Компьютеры, на которых планируется установить Exchange 2010, должны удовлетворять требованиям к системе. Дополнительные сведения см. в разделе Системные требования Exchange 2010.
Домены и контроллеры доменов должны удовлетворять требованиям к системе, приведенным в подразделе «Сетевые серверы и серверы каталогов» раздела Системные требования Exchange 2010.
В каждом домене, в котором устанавливается Exchange 2010, должен присутствовать по меньшей мере один контроллер домена под управлением одной из следующих систем:
Windows Server 2003 Standard Edition с пакетом обновления 1 (SP1) или более поздняя версия (32-разрядная или 64-разрядная).
Windows Server 2003 Enterprise Edition с пакетом обновления 1 или более поздняя версия (32-разрядная или 64-разрядная).
Windows Server 2008 Standard или Enterprise (32-разрядный или 64-разрядный выпуск).
Windows Server 2008 R2 выпуска Standard или Enterprise.Если используется окончательная первоначальная версия (RTM) файла Setup.com Exchange 2010, то в каждом домене (включая дочерние домены), в котором есть группы безопасности «Серверы предприятия Exchange» и «Серверы домена Exchange», и, следовательно, должна выполняться команда Setup /PrepareLegacyExchangePermissions, должен присутствовать хотя бы один контроллер домена под управлением одной из следующих операционных систем:
Windows Server 2003 Standard Edition с пакетом обновления 1 (SP1) или более поздняя версия (32-разрядная или 64-разрядная).
Windows Server 2003 Enterprise Edition с пакетом обновления 1 (SP1) или более поздняя версия (32-разрядная или 64-разрядная).
Windows Server 2008 Standard или Enterprise (32-разрядный или 64-разрядный выпуск).
Windows Server 2008 R2 выпуска Standard или Enterprise.Если мастер установки Exchange 2010 запущен с использованием учетной записи, имеющей необходимые разрешения («Администраторы схемы», «Администраторы домена» или «Администраторы предприятия») для подготовки Active Directory и домена, мастер автоматически проведет подготовку Active Directory и домена. Дополнительные сведения см. в разделе Установка сервера Exchange Server 2010. Если же выполняется развертывание новой организации Exchange, и подготовка доменов и схем Active Directory выполняется с компьютера под управлением Windows Server 2008, то перед подготовкой доменов и схем сначала необходимо установить на этом компьютере Windows Server 2008 средства управления Active Directory. Для этого выполните следующую команду.
ServerManagerCmd -i RSAT-ADDS
Подготовка Active Directory и доменов
Чтобы отслеживать ход репликации Active Directory, можно использовать Active Directory средство наблюдения за репликацией (replmon.exe), входящее в состав средств поддержки Windows Server 2003 По умолчанию оно размещается по адресу «%programfiles%\support tools\». Добавьте контроллеры домена как отслеживаемые серверы, чтобы можно было отслеживать ход репликации по всему домену.
Если в организации имеются компьютеры, на которых работает Exchange 2003, откройте окно командной строки и выполните одну из следующих команд:
- Чтобы подготовить устаревшие разрешения Exchange в каждом домене леса, содержащего группы «Серверы предприятия Exchange» и «Серверы домена Exchange», выполните следующую команду:
setup /PrepareLegacyExchangePermissions или setup /pl - Чтобы подготовить устаревшие разрешения Exchange в конкретном домене, используйте следующую команду:
setup /PrepareLegacyExchangePermissions: < полное_доменное_имя_подготавливаемого_домена > или setup /pl:<полное_доменное_имя_подготавливаемого_домена>Примечание. Вы можете пропустить этот этап и подготовить разрешения для устаревшей версии Exchange на этапе 2 или 3. Преимущество выполнения всех этапов по отдельности состоит в том, что каждый из них можно выполнять из учетной записи, имеющей минимальный набор разрешений, необходимый для данного конкретного этапа, а кроме того, вы можете проверить, все ли было выполнено успешно и прошла ли репликация, прежде чем переходить к следующему этапу.
Обратите внимание на следующие сведения:
- Чтобы выполнить команду для подготовки каждого домена в лесу, необходимо быть членом группы администраторов предприятия. В ситуации, когда выполнить эту команду необходимо для подготовки отдельного домена, или если лес состоит только из одного домена, необходимо иметь роль «Управление организацией Exchange» и быть членом группы администраторов подготавливаемого домена.
- Если домен не указан, то домен, в котором выполняется эта команда, должен иметь возможность связываться со всеми доменами в лесу. Если сервер не может связаться с доменом, для которого должны быть подготовлены устаревшие разрешения Exchange, то сервер выполняет подготовку тех доменов, с которыми он может связаться, а потом выдает сообщение о том, что с некоторыми доменами связаться не удалось.
- Эту команду можно выполнять с любого входящего в лес сервера под управлением 64-разрядной версии системы Windows Server 2003 с пакетом обновления 1 (SP1) или Windows Server 2008.
- Эту команду необходимо выполнять на компьютере, который находится в том же домене и на том же сайте Active Directory, что и хозяин схемы. При установке все изменения настройки применяются к хозяину схемы во избежание конфликтов в случае задержки репликации. Дополнительные сведения см. в статье Определение хозяина схемы.
- После запуска этой команды необходимо ожидать разрешений, чтобы реплицировать организацию Exchange перед тем, как перейти к выполнению следующего шага. Если разрешения не реплицировались, служба обновления получателей на компьютерах Exchange Server 2003 может не работать. Количество времени, необходимое для репликации, зависит от топологии сайта Active Directory.
- Дополнительные сведения о разрешениях, задаваемых этой командой, см. в разделе Подготовка устаревших разрешений для Exchange 2003.
- Чтобы подготовить устаревшие разрешения Exchange в каждом домене леса, содержащего группы «Серверы предприятия Exchange» и «Серверы домена Exchange», выполните следующую команду:
Выполните в окне командной строки следующую команду:
setup /PrepareSchema или setup /psПримечание. Можно пропустить этот шаг и подготовить схему в ходе действия 3. Важно!
Не следует выполнять эту команду в лесу, в котором не планируется выполнение команды setup /PrepareAD. В случае выполнения этой команды лес будет настроен неправильно, и считывание некоторых атрибутов объектов пользователей будет невозможно.
Примечание. Не поддерживается использование средства обмена каталогов LDIF Exchange (LDIFDE) для импорта изменений схемы Exchange 2010 вручную. Для обновления схемы нужно обязательно использовать установку. Эта команда выполняет следующие задачи:
- Производит подключение к хозяину схемы и импортирует файлы формата LDIF LDAP для обновления схемы при помощи атрибутов Exchange 2010. Файлы формата LDIF копируются в каталог Temp, а после импорта в схему удаляются.
Необходимо учитывать следующее: - Для выполнения этой команды необходимо быть членом группы администраторов схемы и членом группы администраторов организации.
- Необходимо выполнять эту команду на 64-разрядном компьютере, находящемся в том же домене и на том же сайте Active Directory, что и хозяин схемы.
- Если действие 1 не было выполнено, то команда setup /PrepareSchema автоматически выполнит действие PrepareLegacyExchangePermissions. Чтобы выполнить действие PrepareLegacyExchangePermissions, домен, в котором выполняется эта команда, должен иметь возможность связываться со всеми доменами в лесу. Преимущество выполнения всех этапов по отдельности состоит в том, что каждый из них можно выполнять из учетной записи, имеющей минимальный набор разрешений, необходимый для данного конкретного этапа, а кроме того, вы можете проверить, все ли было выполнено успешно и прошла ли репликация, прежде чем переходить к следующему этапу.
- Если в команде используется параметр /DomainController, необходимо указать контроллер домена, являющийся хозяином схемы.
- После выполнения этой команды необходимо подождать, пока изменения реплицируются в организации Exchange перед тем, как переходить к выполнению следующего шага. Количество времени, необходимое для репликации, зависит от топологии сайта Active Directory.
- Дополнительные сведения см. в статьеИзменения сервера Exchange в схеме Active Directory.
- Производит подключение к хозяину схемы и импортирует файлы формата LDIF LDAP для обновления схемы при помощи атрибутов Exchange 2010. Файлы формата LDIF копируются в каталог Temp, а после импорта в схему удаляются.
Выполните в окне командной строки следующую команду:
setup /PrepareAD [/OrganizationName: <имя организации> ] или setup /p [/on:<имя_организации>]
Эта команда выполняет следующие задачи:- Если контейнер Microsoft Exchange не существует, команда создает его в разделе CN=Services,CN=Configuration,DC=<корневой_домен>.
- Если контейнер организации Exchange не существует в разделе CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен >, то необходимо указать имя организации с помощью параметра /OrganizationName. В результате будет создан контейнер организации с указанным именем.
Имя организации Exchange может включать только следующие знаки:
буквы от A до Z;
буквы от a до z;
цифры от 0 до 9;
пробелы (не в начале и не в конце имени);
дефисы.
Имя организации не может включать более 64 знаков. Имя организации не может быть пустым. Если имя организации содержит пробелы, его необходимо заключить в кавычки. - Убедитесь в том, что схема обновлена и организация обновлена, проверив свойство objectVersion в Active Directory. Свойство objectVersion находится в разделе CN=<организация>, CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<домен> контейнер. ЗначениеobjectVersion для окончательной первоначальной версии (RTM) Exchange 2010 – 12639.
- В разделе CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен> создайте приведенные далее объекты и контейнеры (если они не существуют). Они необходимы для Exchange 2010.
CN=Address Lists Container,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=Addressing,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=Administrative Groups,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=Client Access,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=Connections,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=ELC Folders Container,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=ELC Mailbox Policies,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=Global Settings,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=Mobile Mailbox Policies,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=Recipient Policies,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=System Policies,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=Transport Settings,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=UM AutoAttendant,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=UM DialPlan,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=UM IPGateway Container,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=UM Mailbox Policies,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен> - Если запись обслуживаемых доменов по умолчанию не существует, данная команда создает ее на базе пространства имен корневого леса в разделе CN=Transport Settings,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>.
- В разделе настройки выдаются определенные полномочия.
- Импортируется файл Rights.ldf. Таким образом добавляются расширенные права, необходимые для установки Exchange в Active Directory.
- Создается подразделение групп безопасности Microsoft Exchange в корневом домене леса. Созданному подразделению выдаются определенные разрешения.
- В подразделении групп безопасности Microsoft Exchange создаются следующие группы ролей безопасности:
Управление организацией Exchange.
Управление получателями Exchange.
Управление сервером Exchange.
Управление организацией с правами только на просмотр Exchange.
Управление общими папками Exchange.
Управление единой системой обмена сообщениями Exchange.
Управление санацией Exchange.
Управление записями Exchange.
Управление обнаружением Exchange.
Делегированная установка Exchange. - Новые универсальные группы безопасности, имеющиеся в подразделении групп безопасности Microsoft Exchange, добавляются в атрибут otherWellKnownObjects, хранящийся в контейнере CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>.
- Создается контакт отправителя голосового сообщения единой системы обмена сообщениями в контейнере объектов системы Microsoft Exchange корневого домена.
- Выполняется подготовка локального домена для Exchange 2010. Сведения о задачах, выполняемых для подготовки домена, приведены в описании этапа 4.
Необходимо учитывать следующее: - Чтобы выполнить эту команду, необходимо быть членом группы администраторов предприятия.
- Компьютер, на котором выполняется данная команда, должен иметь возможность связаться со всеми доменами леса через порт 389.
- Эту команду необходимо выполнять на компьютере, который находится в том же домене и на том же сайте Active Directory, что и хозяин схемы. При установке все изменения настройки применяются к хозяину схемы во избежание конфликтов из-за задержки репликации.
- Если действие 1 не было выполнено, то команда setup /PrepareAD автоматически выполнит действие PrepareLegacyExchangePermissions. Чтобы выполнить действие PrepareLegacyExchangePermissions, домен, в котором выполняется эта команда, должен иметь возможность связываться со всеми доменами в лесу. Если член группы администраторов схемы не выполнил действие 2, то команда setup /PrepareAD автоматически выполнит действие PrepareSchema. Преимущество отдельного выполнения каждого действия состоит в том, что каждое действие можно выполнять от имени учетной записи, имеющей минимальный набор разрешений, необходимый для данного конкретного действия, а также в наличии возможности проверить, все ли было успешно завершено и выполнена ли репликация, прежде чем переходить к следующему действию.
- После выполнения этой команды необходимо подождать, пока изменения реплицируются в организации Exchange перед тем, как переходить к выполнению следующего шага. Количество времени, необходимое для репликации, зависит от топологии сайта Active Directory.
- Чтобы проверить, был ли этот шаг выполнен успешно, убедитесь, что в корневом домене существует новое подразделение с именем Группы безопасности Microsoft Exchange. Это подразделение должно содержать следующие новые универсальные группы безопасности Exchange:
Подразделение групп безопасности Exchange:
Управление организацией Exchange.
Управление получателями Exchange.
Управление сервером Exchange.
Управление организацией с правами только на просмотр Exchange.
Управление общими папками Exchange.
Управление единой системой обмена сообщениями Exchange.
Управление санацией Exchange.
Управление записями Exchange.
Управление обнаружением Exchange.
Делегированная установка Exchange.
ExchangeLegacyInterop
Выполните в окне командной строки одну из следующих команд:
Выполните команду setup /PrepareDomain или setup /pd, чтобы подготовить локальный домен. Нет необходимости выполнять эту команду в домене, в котором выполнялось действие 3. Выполнение команды setup /PrepareAD обеспечивает подготовку локального домена.
Выполните команду setup /PrepareDomain:<полное доменное имя домена, который необходимо подготовить>, чтобы подготовить определенный домен.
Выполните команду setup /PrepareAllDomains или setup /pad, чтобы подготовить все домены в организации.
Эти команды выполняют следующие задачи:Если формируется новая организация, то в Active Directory создается контейнер системных объектов Microsoft Exchange и устанавливаются разрешения в этом контейнере для серверов Exchange, администраторов организации Exchange и пользователей, прошедших проверку подлинности. Этот контейнер используется для хранения объектов прокси общих папок и системных объектов, относящихся к Exchange, например почтового ящика базы данных почтовых ящиков.
Устанавливается свойство objectVersion в контейнере системных объектов Microsoft Exchange в разделе DC=<корневой_домен>. Это свойство objectVersion содержит версию подготовки домена. Версия для Exchange 2010 – 12639.
В текущем домене создается новая глобальная группа с именем «Серверы домена установки Exchange». Команда помещает эту группу в контейнер системных объектов Microsoft Exchange. А также добавляют группу «Серверы домена установки Exchange» в универсальную группу безопасности серверов Exchange в корневом домене.
Примечание. Группа серверов установки доменов Exchange используется, если Exchange 2010 установлен в дочернем домене, который является сайтом Active Directory, отличным от корневого домена. Создание этой группы позволяет избежать ошибок при установке, если членство в группах не было реплицировано в дочернем домене. На уровне домена выдаются разрешения универсальным группам безопасности «Серверы Exchange» и «Администраторы получателей Exchange».
Необходимо учитывать следующее:Чтобы выполнить команду setup /PrepareAllDomains, необходимо быть членом группы администраторов предприятия.
Чтобы выполнить команду setup /PrepareDomain в случае, если подготавливаемый домен существовал до выполнения команды setup /PrepareAD, необходимо быть членом группы администраторов домена в этом домене. Если подготавливаемый домен был создан после выполнения команды setup /PrepareAD, необходимо быть членом группы администраторов организации Exchange, а также членом группы администраторов домена в этом домене.
Для доменов, которые расположены на сайте Active Directory, отличающемся от корневого домена, выполнение команды /PrepareDomain может закончиться неудачей, в результате чего будет выведено следующее сообщение:
«Задача PrepareDomain для домена <ваш_домен> частично завершена. Из-за настройки сайта Active Directory необходимо подождать не менее 15 минут, пока не начнется репликация, и повторить задачу PrepareDomain для домена <ваш_домен> снова».
"Не удается выполнить операцию Active Directory на сервере <ваш_сервер>. Невозможно повторить попытку. Дополнительные сведения: Указан неверный тип группы.
Ответ Active Directory: 00002141: SvcErr: DSID-031A0FC0, ошибка 5003 (НЕ_ВЫПОЛНЯЕТСЯ), данные: 0
Сервер не может обработать запросы каталога."
Если отображаются такие сообщения, следует подождать или выполнить репликацию Active Directory между этим доменом и корневым доменом, а затем повторно выполнить команду /PrepareDomain.Эту команду необходимо выполнять в каждом домене, в котором будет устанавливаться Exchange 2010. Необходимо также выполнить эту команду в каждом домене, который будет содержать пользователей электронной почты, даже если в нем не будет устанавливаться Exchange 2010.
Чтобы удостовериться, что этот шаг выполнен успешно, убедитесь, что:В контейнере системных объектов Microsoft Exchange существует новая глобальная группа серверов установки доменов Exchange.
Примечание. Чтобы просмотреть контейнер системных объектов Microsoft Exchange в окне «Пользователи и компьютеры» Active Directory, в меню Вид выберите Дополнительные функции. Группа серверов установки доменов Exchange является членом универсальной группы безопасности серверов Exchange в корневом домене.
В каждом контроллере домена в домене, в котором будет установлен Exchange 2010, универсальная группа безопасности серверов Exchange имеет разрешения для политики «Политика безопасности контроллера домена\Локальные политики\Назначение прав пользователя\Контроль управления и журнал безопасности».