如何准备 Active Directory 和域

  • 项目

 

适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上一次修改主题: 2008-02-19

本主题介绍如何准备用于安装 Microsoft Exchange Server 2007 的 Active Directory 目录服务和域。必须在组织中的任何服务器上安装 Exchange 2007 之前完成此步骤。

note注意:
如果使用拥有准备 Active Directory 和域所需的权限的帐户运行 Exchange Server 2007 安装程序向导,则该向导将自动准备 Active Directory 和域。

开始之前

为 Exchange 2007 准备 Active Directory 和域之前,请确认下列事项:

  • 在执行此步骤的计算机上已安装了 Microsoft .NET Framework 2.0 和 Microsoft 命令行管理程序。

  • 域和域控制器要符合 Exchange 2007 系统要求 中“网络和目录服务”一节所述的系统要求。

  • 在要安装 Exchange 2007 中(或包含已启用邮件的用户)的每个域,至少有一个域控制器运行 Windows Server 2003 Service Pack 1 (SP1)。

  • 如果要在拥有 Exchange 企业服务器和 Exchange 域服务器安全组的每个域(包括子域)中运行 Exchange 2007 Setup.com 的正式发布 (RTM) 版本(并且由此还必须运行 Setup /PrepareLegacyExchangePermissions),则必须至少有一个域控制器运行 Windows Server 2003 SP1 或更高版本。

  • 如果有域控制器在运行 Windows Server 2000,并且使用的是 Exchange 2007 RTM Setup.com,则必须使用 /DomainController 参数执行下列所有步骤,以指定正在运行 Windows Server 2003 SP1 的域控制器。如果使用的是 Exchange 2007 SP1 中的 Setup.com,则不必指定运行 Windows Server 2003 SP1 的域控制器。

  • 如果要部署一个新的 Exchange 组织,并且使用运行 Windows Server 2008 的计算机来准备 Active Directory 架构和域,则必须在准备架构或域之前先在 Windows Server 2008 计算机上安装 Active Directory 管理工具。为此,请运行下列命令:

    ServerManagerCmd -i RSAT-ADDS

  • 安装 Exchange 2007 的计算机满足“Exchange 2007 系统要求”的“硬件”和“操作系统”节中列出的系统要求。

note注意:
可以在配备了 32 位或 64 位处理器的计算机上执行此步骤。有关平台版本的详细信息,请参阅 Exchange Server 2007:平台和版本

步骤

准备 Active Directory 和域

  1. 如果组织中有任何运行 Exchange Server 2003 或 Exchange 2000 Server 的计算机,请打开命令提示符窗口,然后运行下列命令之一:

    • 若要在包含 Exchange 企业服务器和 Exchange 域服务器组的林中的每个域内准备旧版 Exchange 权限,请运行下列命令:

      setup /PrepareLegacyExchangePermissionssetup /pl

    • 若要在特定的域中准备旧版 Exchange 权限,请运行下列命令:

      setup /PrepareLegacyExchangePermissions: < 您要准备的域的 FQDN >setup /pl: <您要准备的域的 FQDN>

    note注意:
    可以跳过此步骤,并准备将旧版 Exchange 权限作为步骤 2 或步骤 3 的一部分。单独执行每个步骤的好处在于,您可以使用拥有完成每一步所需的最小权限的帐户来执行相应的步骤,并且可以在继续执行下一步之前验证完成、成功和复制情况。

    请注意以下事项:

    • 若要通过运行此命令来准备林中的每个域,您必须是企业管理员组的成员。若要运行此命令以准备特定的域,或者如果林中仅有一个域,则必须委派 Exchange 管理员(完全控制)角色,并且您必须是所准备的域中的 Domain Admins 组成员。

    • 如果没有指定域,则在其中运行此命令的域必须能够与林中的所有域通信。如果服务器无法联系必须准备旧版 Exchange 权限的域,该服务器将准备它能联系的域,然后返回一个错误消息,指出它无法联系某些域。

    • 可以从林中任何 32 位或 64 位 Windows Server 2003 SP1 服务器运行此命令。

    • 运行该命令后,在继续下一步之前必须等待在整个 Exchange 组织中完成复制权限。如果没有复制权限,则在 Exchange Server 2003 或 Exchange 2000 Server 计算机上的收件人更新服务可能会失败。复制花费的时间量取决于您的 Active Directory 网站拓扑。

      note注意:
      若要跟踪 Active Directory 复制的进度,可以使用 Active Directory 复制监视工具 (replmon.exe),该工具是作为 Microsoft Windows Server 2003 支持工具安装的一部分安装的。默认情况下,该工具位于“%programfiles%\support tools\”。将域控制器作为受监视的服务器添加,以便跟踪整个域中的复制进度。

    有关通过此命令设置权限的详细信息,请参阅准备旧版 Exchange 权限

  2. 在命令提示窗口中运行以下命令:

    setup /PrepareSchemasetup /ps

    note注意:
    可以跳过此步骤并作为步骤 3 的一部分准备构架。
    important要点:
    不得在未计划运行 setup /PrepareAD 的林中运行此命令。如果这样做,该林的配置将不正确,并且您将无法读取用户对象的某些属性。
    note注意:
    不支持使用 LDIFDE 手动导入 Exchange 2007 架构更改。必须使用安装程序更新此架构。

    此命令将执行下列任务:

    • 连接架构主机并导入 LDAP 数据交换格式 (LDIF) 文件,以更新具有特定于 Exchange 2007 的属性的架构。将 LDIF 文件复制到临时目录中,并在这些文件导入到该架构后将其删除。

      note注意:
      Exchange 2007 架构同时还包含 Exchange 2000 和 Exchange 2003 架构扩展。

    • 如果您尚未完成步骤 1,setup /PrepareSchema 将自动执行 PrepareLegacyExchangePermissions 步骤。

    请注意以下事项:

    • 如果要在更改复制到域中的其他服务器之前验证架构的更新情况,则必须在运行该命令之前在运行该命令的计算机上禁用出站复制,然后在验证了成功导入后重新启用出站复制。

    • 若要运行此命令,您必须是 Schema Admins 组和 Enterprise Admins 组的成员。

    • 必须在与架构主机处于同一域和同一 Active Directory 站点的 32 位或 64 位计算机上运行此命令。

    • 如果尚未完成步骤 1,setup /PrepareSchema 将自动执行 PrepareLegacyExchangePermissions 步骤。若要完成 PrepareLegacyExchangePermissions 步骤,从中运行此命令的域必须能够与林中的所有域联系。单独执行每个步骤的好处在于,可以使用拥有完成每一步所需的最小权限的帐户来执行相应的步骤,并且可以在继续执行下一步之前验证完成、成功和复制情况。

    • 如果在此命令中使用 /DomainController 参数,则必须指定作为架构主机的域控制器。

    • 运行此命令后,必须先等待在整个 Exchange 组织中完成更改的复制,然后再继续下一步。更改花费的时间量取决于您的 Active Directory 网站拓扑。

      note注意:
      若要跟踪 Active Directory 复制的进度,可以使用 Active Directory 复制监视工具 (replmon.exe),该工具是作为 Windows Server 2003 支持工具安装的一部分安装的。默认情况下,该工具位于“%programfiles%\support tools\”。将域控制器作为受监视的服务器添加,以便跟踪整个域中的复制进度。

    有关通过运行此命令对构架进行更改的详细信息,请参阅Active Directory 架构更改

  3. 在命令提示窗口中运行以下命令:

    setup /PrepareAD [/OrganizationName: <组织名称> ]setup /p [/on:<组织名称>]

    此命令将执行下列任务:

    • 如果 Microsoft Exchange 容器不存在,则此命令将在 CN=Services、CN=Configuration、DC=<根域> 下创建该容器。

    • 如果在 CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<根域 > 下没有 Exchange 组织容器,则必须使用 /OrganizationName 参数指定组织名称。将使用指定的名称创建组织容器。

      Exchange 组织名称只能包含下列字符:

      A 到 Z

      a 到 z

      0 到 9

      空格(不可用于开头或结尾)

      连字符或短横线

      组织名称包含的字符不能超过 64 个。组织名称不能为空。如果组织名称包含空格,则必须为其加上引号。

    • 可以通过检查 Active Directory 中的 objectVersion,验证架构是否得到了更新以及组织是否是最新的。objectVersion 属性位于 CN=<组织>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<域> 容器中。Exchange 2007 的正式发布 (RTM) 版本的 objectVersion 值为 10666。

    • 如果以下容器和对象不存在,则需要在 CN=<组织名称>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<根域> 下创建这些内容。对于 Exchange 2007 来说,这些内容是必需的。

      CN=Address Lists Container、CN=<组织名称>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<根域>

      CN=Addressing、CN=<组织名称>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<根域>

      CN=Administrative Groups、CN=<组织名称>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<根域>

      CN=Client Access、CN=<组织名称>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<根域>

      CN=Connections、CN=<组织名称>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<根域>

      CN=ELC Folders Container、CN=<组织名称>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<根域>

      CN=ELC Mailbox Policies、CN=<组织名称>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<根域>

      CN=Global Settings、CN=<组织名称>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<根域>

      CN=Mobile Mailbox Policies、CN=<组织名称>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<根域>

      CN=Recipient Policies、CN=<组织名称>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<根域>

      CN=System Policies、CN=<组织名称>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<根域>

      CN=Transport Settings、CN=<组织名称>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<根域>

      CN=UM AutoAttendant、CN=<组织名称>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<根域>

      CN=UM DialPlan、CN=<组织名称>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<根域>

      CN=UM IPGateway Container、CN=<组织名称>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<根域>

      CN=UM Mailbox Policies、CN=<组织名称>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<根域>

    • 如果默认的接受域条目不存在,此命令将根据林的根命名空间在 CN=Transport Settings、CN=<组织名称>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<根域> 下创建该条目。

    • 在整个配置分区中分配特定的权限。有关授予哪些权限的详细信息,请参阅 Exchange 2007 Server 安装权限参考

    • 导入 Rights.ldf 文件。这会添加将 Exchange 安装到 Active Directory 所需的扩展权限。

    • 在林的根域中创建 Microsoft Exchange 安全组组织单位 (OU),并为此组织单位分配特定的权限。有关授予哪些权限的详细信息,请参阅 Exchange 2007 Server 安装权限参考

    • 在 Microsoft Exchange 安全组组织单位中创建以下通用安全组 (USG):

      Exchange Organization Administrators

      Exchange Recipient Administrators

      Exchange Servers

      Exchange View-Only Administrators

      Exchange 公用文件夹管理员(Exchange Server 2007 Service Pack 1 中的新增角色)

      ExchangeLegacyInterop

    • 将位于 Microsoft Exchange 安全组组织单位中的新 USG 添加到 CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<根域> 容器中存储的 otherWellKnownObjects 属性中。

    • 此命令创建称为 Exchange 管理组 (FYDIBOHF23SPDLT) 的 Exchange 2007 管理组。还创建称为 Exchange 路由组 (DWBGZMFD01QNBJR) 的 Exchange 2007 路由组。

      Caution警告:
      不要将 Exchange 2007 服务器移出 Exchange 管理组 (FYDIBOHF23SPDLT),同时不要使用低级目录编辑器重命名 Exchange 管理组 (FYDIBOHF23SPDLT)。Exchange 2007 必须使用此管理组来存储配置数据。不支持将 Exchange 2007 服务器移出 Exchange 管理组 (FYDIBOHF23SPDLT),也不支持重命名 Exchange 管理组 (FYDIBOHF23SPDLT)。
      Caution警告:
      不要将 Exchange 2007 服务器移出 Exchange 路由组 (DWBGZMFD01QNBJR),同时不要使用低级目录编辑器重命名 Exchange 路由组 (DWBGZMFD01QNBJR)。Exchange 2007 必须使用此路由组才能与早期版本的 Exchange 通信。不支持将 Exchange 2007 服务器移出 Exchange 路由组 (DWBGZMFD01QNBJR),也不支持重命名 Exchange 路由组 (DWBGZMFD01QNBJR)。

    • 此命令在根域的 Microsoft Exchange 系统对象容器中创建统一消息语音发送方联系人。

    • 此命令准备 Exchange 2007 的本地域。有关准备域需要完成哪些任务的信息,请参阅步骤 4。

    请注意以下事项:

    • 若要运行此命令,您必须是 Enterprise Admins 组的成员。

    • 运行此命令的计算机必须能够联系端口 389 上的林中的所有域。

    • 必须在与构架主机处于同一域和同一 Active Directory 网站的计算机上运行此命令。安装程序将对架构主机执行所有配置更改,以避免因复制延迟造成的冲突。

    • 如果尚未完成步骤 1,setup /PrepareAD 将自动执行 PrepareLegacyExchangePermissions 步骤。若要完成 PrepareLegacyExchangePermissions 步骤,从中运行此命令的域必须能够与林中的所有域联系。如果您也是 Schema Admins 组的成员,并且尚未完成步骤 2,setup /PrepareAD 将自动执行 PrepareSchema 步骤。单独执行每个步骤的好处在于,可以使用拥有完成每一步所需的最小权限的帐户来执行相应的步骤,并且可以在继续执行下一步之前验证完成、成功和复制情况。

    • 运行此命令后,必须先等待在整个 Exchange 组织中完成更改的复制,然后再继续下一步。更改花费的时间量取决于您的 Active Directory 网站拓扑。

      note注意:
      若要跟踪 Active Directory 复制的进度,可以使用 Active Directory 复制监视工具 (replmon.exe),该工具是作为 Windows Server 2003 支持工具安装的一部分安装的。默认情况下,该工具位于“%programfiles%\support tools\”。将域控制器作为受监视的服务器添加,以便跟踪整个域中的复制进度。

    • 若要验证已成功完成此步骤,请确保在根域中有一个名为“Microsoft Exchange 安全组” 的新组织单位。此 OU 应该包含下列新的 Exchange USG:

      Exchange 组织管理员

      Exchange 收件人管理员

      Exchange 仅查看管理员

      Exchange Servers

      Exchange 公用文件夹管理员(Exchange 2007 Service Pack 1 中的新增角色)

      ExchangeLegacyInterop

      note注意:
      安装 Exchange 2007 时,安装程序将添加 Exchange 组织管理员 USG,作为要安装 Exchange 的计算机上的本地管理员组成员。请注意,域控制器上的本地管理员组拥有的权限与成员服务器上的本地管理员组拥有的权限不同。如果将 Exchange 2007 安装在域控制器上,则作为 Exchange 组织管理员的用户将拥有一些额外的 Windows 权限,如果将 Exchange 2007 安装在不是域控制器的计算机上,则不会拥有这些权限。

  4. 在命令提示符窗口中,运行以下命令之一:

    • 运行 setup /PrepareDomainsetup /pd 以准备本地域。注意,不需要在运行步骤 3 的域中运行该选项。运行 setup /PrepareAD 将准备本地域。

    • 运行 setup /PrepareDomain:<需要准备的 FQDN 域> 以准备一个特定的域。

    • 运行 setup /PrepareAllDomainssetup /pad 以在组织中准备所有域。

    这些命令执行下列任务:

    • 为 Exchange Server、Exchange 组织管理员、通过身份验证的用户和 Exchange 邮箱管理员设置对域容器的权限。

    • 如果这是一个新组织,此命令将在 Active Directory 的根域分区中创建“Microsoft Exchange 系统对象”容器,并为 Exchange Server、Exchange 组织管理员和通过身份验证的用户设置对该容器的权限。此容器用于存储公用文件夹代理对象以及与 Exchange 相关的系统对象,例如邮箱数据库的邮箱。有关授予哪些权限的详细信息,请参阅 Exchange 2007 Server 安装权限参考

    • 此命令将在 DC=<根域> 下的“Microsoft Exchange 系统对象”容器中设置 objectVersion 属性。此 objectVersion 属性包含所准备的域的版本。Exchange 2007 RTM 的版本为 10628。

    • 在当前域中创建一个名为 Exchange 安装域服务器的新域全局组。此命令会将该组放入 Microsoft Exchange 系统对象容器中。还将 Exchange 安装域服务器组添加到根域中的 Exchange 服务器 USG。

      note注意:
      如果在某个子域中安装 Exchange 2007,而该子域是除根域以外的 Active Directory 网站,则会使用 Exchange 安装域服务器组。如果组成员身份尚未复制到子域中,则创建该组时允许您避免安装错误。

    • 为 Exchange Server 通用安全组 (USG) 和 Exchange 收件人管理员 USG 分配域级别的权限。有关授予哪些权限的详细信息,请参阅 Exchange 2007 Server 安装权限参考

    请注意以下事项:

    • 对于 Active Directory 网站而非根域中的域,/PrepareDomain 可能会失败,同时出现下列消息:

      “域 <YourDomain> 的 PrepareDomain 已部分完成。由于 Active Directory 网站配置,您必须等待 15 分钟来完成复制,并再次运行 <YourDomain> 的 PrepareDomain”。

      "<您的服务器> 上的 Active Directory 操作失败。此错误不可重试。其他信息:指定的组类型无效。

      Active Directory 响应:00002141: SvcErr:DSID-031A0FC0,问题 5003 (WILL_NOT_PERFORM),数据 0

      服务器无法处理目录请求。”

      如果看到这些消息,请等待或强制在此域和根域之间进行 Active Directory 复制,然后再次运行 /PrepareDomain。

    • 若要运行 setup /PrepareAllDomains,您必须是 Enterprise Admins 组的成员。

    • 若要运行 setup /PrepareDomain,如果在运行 setup /PrepareAD 之前,您所准备的域已存在,则您必须是该域中的域管理员组成员。如果您所准备的域是在运行 setup /PrepareAD 后创建的,则您必须是 Exchange 组织管理员组的成员,并且必须是该域中的域管理员组成员。

    • 必须在要安装 Exchange 2007 的每个域中运行此命令。还必须在将包含启用邮件的用户的每个域中运行此命令,即使该域尚未安装 Exchange 2007 也如此。

    若要验证是否成功完成该步骤,请确认下列条件:

    • 在 Microsoft Exchange 系统对象容器中存在一个称为 Exchange 安装域服务器的新全局组。

      note注意:
      若要在 Active Directory 用户和计算机中查看 Microsoft Exchange 系统对象容器,请在“视图”菜单中单击“高级功能”。

    • Exchange 安装域服务器组是根域中 Exchange 服务器 USG 的成员。

    • 在域中每个安装 Exchange 2007 的域控制器上,Exchange Servers USG 拥有对 Domain Controller Security Policy\Local Policies\User Rights Assignment\Manage Auditing and Security Log 策略的权限。