如何配置跨林管理
适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上一次修改主题: 2010-09-20
本主题说明如何使用 Setup.com 启用跨林管理。如果您在某个林中拥有一个用户帐户,而该帐户必须管理另一个林中的 Microsoft Exchange Server 2007,则可以使用此步骤。请在下列方案中使用此步骤:
资源林是一种常见方案,其中具有一个不包含任何 Exchange 服务器的林(用户帐户林)以及一个对应于 Exchange 组织的单独的林。
在标准的多 Exchange 林的跨林方案中,您可能希望一个林中的用户可以管理两个林中的 Exchange。或者,您可能希望一个林中的用户可以管理另一个林中的而不是这两个林中的 Exchange。
要管理 Exchange 服务器、属性和收件人,必须向管理员委派下列 Exchange 管理员角色之一的成员身份:
Exchange 组织管理员
Exchange 公用文件夹管理员
Exchange 收件人管理员
Exchange 仅查看管理员
.gif "note") 注意: |
|---|
| Exchange 2007 正式发布 (RTM) 版本中不存在 Exchange 公用文件夹管理员角色。该角色在 Exchange 2007 Service Pack 1 (SP1) 中引入。 |
但是,您不能将另一个林中的用户添加到 Exchange 管理员角色。要使用林 A 中的用户帐户管理林 B 中的 Exchange 2007 服务器,必须执行下列步骤:
如果相应的角色尚不存在,请在林 A 中创建并行的 Exchange 管理员角色。
使用带有 ForeignForestFQDN 参数的 Setup.com,向将林 B 中对象的权限授予林 A 的角色。
将林 A 中的用户添加到林 A 中新建的并行 Exchange 管理员角色。
起始状态
.gif "启动状态 - 启用跨林管理")
第 1 阶段:在林 A 中创建并行 Exchange 管理员角色
.gif "阶段 1:启用跨林管理")
第 2 阶段:授予权限
.gif "阶段 2:启用跨林管理")
第 3 阶段:将用户添加到林 A 中的 Exchange 角色
.gif "阶段 3:启用跨林管理")
.gif "important") 要点: |
|---|
| 配置跨林管理后,不支持使用一个林中的用户帐户执行另一个林中的任何 Exchange Setup 操作。例如,不支持使用一个林中的用户帐户在另一个林中添加服务器角色、删除服务器角色或恢复服务器,即使您已为跨林管理而对该用户帐户进行了配置时也是如此。 |
| 注意: |
|---|
| 要创建 Exchange 管理员角色,必须使用“Active Directory 用户和计算机”来创建组。对于组范围,请选择“通用”;对于组类型,请选择“安全”。有关详细信息,请参阅权限注意事项。 |
开始之前
请确保两个林的林功能级别皆为 Microsoft Windows Server 2003。有关 Active Directory 功能级别的详细信息,请参阅 Functional Levels Background Information。
在这两个林之间创建双向林信任关系。有关详细的步骤,请参阅 Create a two-way forest trust for both sides of the trust。您需要使用此信任来配置跨林管理。如果您处于资源林方案中,则在您完成这一配置跨林管理的步骤后,可以将信任级别降级为单向信任,以便 Exchange 林信任用户帐户林。请注意,您可能仍然需要使用双向信任才能共享文件夹。
| 注意: |
|---|
| 请确保信任类型是“林”,而不是“外部”。 |
在以下步骤中,林 A 是要使用其用户帐户管理另一林中的 Exchange 2007 服务器的林。林 B 是具有林 A 中的用户将管理的 Exchange 2007 服务器的林。
要在林 A 中执行此过程中的步骤,必须使用向其委托了以下权限的帐户:
- 林 A 中 Enterprise Admins 组内的成员资格
要在林 B 中执行此过程中的步骤,必须使用向其委托了以下权限的帐户:
- 林 B 中 Enterprise Admins 组内的成员资格
| 注意: |
|---|
如果您具有一个在林 A 和林 B 中都具有 Enterprise Admin 级别权限的帐户,则运行命令 Setup /PrepareAD /ForeignForestFQDN:ForestA.contoso.com 时将自动执行步骤 2 到步骤 7。但是,由于您不可能具有在这两个林中同时具有 Enterprise Admin 级别权限的帐户,因此我们建议您手动执行步骤 2 到步骤 7,以使用仅在林 A 中作为 Enterprise Admins 组成员的帐户首先创建 Exchange 通用安全组,并且向林 A 中的那些组分配权限。然后,您可以使用仅在林 B 中作为 Enterprise Admins 组成员的帐户在林 B 中运行 Setup /PrepareAD /ForeignForestFQDN:ForestA.contoso.com。 |
| 要点: |
|---|
| 管理员必须通过使用用户主体名称 (UPN) 身份验证登录到资源林中的服务器。管理员还必须确保在林信任上注册所有异常 UPN 后缀,以便他们在登录时具有 Kerberos 票证。启用 Exchange 管理工具以连接到资源林中的配置命名上下文时需要 Kerberos 票证。如果使用 NTLM 身份验证 (DOMAIN\USERNAME),则指向帐户林域的缓存连接不存在时,管理工具中的 LDAP 绑定可能失败。 |
步骤
Exchange 2007 SP1
在 Exchange 2007 SP1 中配置跨林管理
如果您处于标准的跨林方案中,您在林 A 和林 B 中都安装了 Exchange,并且如果您不希望林 A 中将管理林 B 中的 Exchange 的用户同时还是林 A 中的管理员,则重命名或移动林 A 中的下列组织单位和组:
Microsoft Exchange 安全组
Exchange Organization Administrators
Exchange Public Folder Administrators
Exchange Recipient Administrators
Exchange View-Only Administrators
为此,必须使用下列方法之一:
重命名单位或组
将单位或组移动到其他组织单位
将单位或组移动到其他域
重命名或移动这些组之后,其成员资格和权限不会改变,您仍然能够使用作为这些组的成员的帐户管理林 A 中的 Exchange。
如果您处于标准的跨林方案中,您在林 A 和林 B 中都安装了 Exchange,并且您希望林 A 中的用户同时管理林 A 和林 B 中的 Exchange,请转到步骤 9。
如果您处于资源林方案中,请继续执行步骤 2。
在林 A 的根域中,新建一个名为“Microsoft Exchange 安全组”的组织单位。有关如何创建组织单位的详细信息,请参阅 新建组织单位。
在林 A 中的组织单位“Microsoft Exchange 安全组”中,创建以下通用安全组:
Exchange Organization Administrators
Exchange Public Folder Administrators
Exchange Recipient Administrators
Exchange View-Only Administrators
有关详细信息,请参阅 创建新组。
注意:对于组作用域,请确保选择“通用”;对于组类型,请确保选择“安全”。 在林 A 中,执行下列步骤将 Exchange Organization Administrators 组添加到 Exchange Recipient Administrators 组:
右键单击 Exchange Recipient Administrators 组,然后单击“属性”。
在“成员”选项卡上,单击“添加”。
在“选择用户、计算机或组”中,键入 Exchange Organization Administrators,然后单击“确定”。
在“Exchange Recipient Administrators 属性”页上单击“确定”。
在林 A 中,执行下列步骤将 Exchange Organization Administrators 组添加到 Exchange Public Folder Administrators 组:
右键单击 Exchange Public Folders Administrators 组,然后单击“属性”。
在“成员”选项卡上,单击“添加”。
在“选择用户、计算机或组”中,键入 Exchange Organization Administrators,然后单击“确定”。
在“Exchange Public Folder Administrators 属性”页上单击“确定”。
在林 A 中,执行下列步骤将 Exchange Recipient Administrators 组添加到 Exchange View-Only Administrators 组:
右键单击 Exchange View-Only Administrators 组,然后单击“属性”。
在“成员”选项卡上,单击“添加”。
在“选择用户、计算机或组”中,键入 Exchange Recipient Administrators,然后单击“确定”。
在“Exchange View-Only Administrators 属性”页上单击“确定”。
在林 A 中,执行下列步骤将 Exchange Public Folder Administrators 组添加到 Exchange View-Only Administrators 组:
右键单击 Exchange View-Only Administrators 组,然后单击“属性”。
在“成员”选项卡上,单击“添加”。
在“选择用户、计算机或组”中,键入 Exchange Public Folder Administrators,然后单击“确定”。
在“Exchange View-Only Administrators 属性”页上单击“确定”。
在林 A 中的“Active Directory 用户和计算机”中,单击“查看”菜单上的“高级功能”,然后执行下列步骤:
右键单击“Microsoft Exchange 安全组”组织单位,然后单击“属性”。
在“安全性”选项卡上,单击“高级”。
在“权限”选项卡上,选择“权限条目”列表中的“Exchange Organization Administrators”,然后单击“编辑”。
在“对象”选项卡上,在“应用于”列表中,选择“此对象及其所有子对象”。
在“权限”列表中,找到“完全控制”,然后单击以选中“允许”复选框。
单击“确定”。
在“权限”选项卡上,选择“Exchange Recipient Administrators”,然后单击“编辑”。
在“对象”选项卡上,在“应用于”列表中,选择“此对象及其所有子对象”。
在“权限”列表中,找到“完全控制”,然后单击以选中“允许”复选框。
单击“确定”。
在“权限”选项卡上,选择“Exchange Public Folder Administrators”,然后单击“编辑”。
在“对象”选项卡上,在“应用于”列表中,选择“此对象及其所有子对象”。
在“权限”列表中,找到“完全控制”,然后单击以选中“允许”复选框。
单击“确定”。
在“权限”选项卡上,选择“Exchange View-Only Administrators”,然后单击“编辑”。
在“对象”选项卡上,在“应用于”列表中,选择“此对象及其所有子对象”。
在“权限”列表中,找到“完全控制”,然后单击以选中“允许”复选框。
单击“确定”两次。
使用作为林 B 中的 Enterprise Admins 组成员的帐户登录到林 B,然后从命令提示符窗口运行以下命令:
Setup /prepareAD /ForeignForestFQDN:ForestA.contoso.com此命令验证是否已在林 A 中创建 Exchange 通用安全组,且是否已正确分配权限。在林 B 中,此命令在 Exchange 配置对象的 Active Directory 中配置访问控制条目 (ACE),以便林 A 中新建的 Exchange 通用安全组有权访问林 B 中的 Exchange 配置。如果不使用 ForeignForestFQDN 参数运行
Setup /PrepareAD,则该命令将在本地林中创建 Exchange 通用安全组并在这些组中设置权限。添加 ForeignForestFQDN 参数可指定您希望向运行该命令的林中的 Exchange 配置授予外部林中的 Exchange 通用安全组权限。若要验证是否已成功完成 Setup,请执行下列步骤:
在林 B 中,右键单击“Exchange 服务器”通用安全组,然后单击“属性”。
在“安全性”选项卡的“组或用户名”下,选择 Exchange Organization Administrators (<Forest A domain\Exchange Organization Administrators>)。
验证是否对“完全控制”权限选择了“允许”。
注意:如果 Setup 由于访问权限不足而失败,请确认您已在林 A 中正确创建了通用安全组、正确嵌套了这些组以及 Exchange 组织管理员组对于新组织单位和三个新的通用安全组都具有完全控制权限,然后再次执行步骤 9。 要使用林 A 中的帐户管理林 B 中的 Exchange,请将林 A 中的相应帐户添加到您在林 A 中创建的一个或多个 Exchange 通用安全组。
(可选)将双向林信任更改为单向林信任。要执行此操作,请删除林 A 现有的双向传入信任,有关详细步骤,请参阅 Remove a manually created trust。
注意:请确保选择“是,从本地域和另一个域中删除信任”。 注意:您必须保留传出信任。 在林 B 中的“Active Directory 用户和计算机”中的“查看”菜单上,单击“高级功能”。
(可选)如果您希望林 A 中的收件人管理员管理林 B 中的用户,则必须手动为其分配权限。请执行下列步骤:
在林 B 中的“Active Directory 用户和计算机”中,右键单击“用户”容器,然后单击“属性”。
在“安全性”选项卡上,单击“高级”。
在“权限条目”下,选择“类型”为“允许”、“名称”为 Exchange 收件人管理员(<林 A 域\Exchange 收件人管理员>)、“权限”为“特殊”的条目,然后单击“编辑”。
在“用户的权限条目”页上,在“对象”选项卡的“权限”下,对下列权限选择“允许”:“列出内容”、“读取所有属性”、“写入所有属性”、“读取权限”、“创建用户对象”、“删除用户对象”。
单击“确定”。
在“用户的高级安全设置”页上,选中“允许将来自父系的可继承权限传播给该对象及其所有子对象”复选框,然后单击“确定”。
注意:此步骤提供了林 A 中的 Exchange 收件人管理员组成员修改林 B 的“用户”容器中的对象所需的权限。通过在林 B 中运行 Setup /ForeignForestFQDN(在步骤 9 中),已为林 A 中 Exchange 安全组的用户授予对林 B 中 Exchange 属性的权限,而不是授予对林 B 中 Windows 用户属性的权限。
若要为林 A 中的其他组授予权限,使其可以修改林 B 的“用户”容器中的对象,请在“用户的高级安全设置”页上选择其他组。(可选)如果您希望林 A 中的管理员具有在林 B 中的 Exchange 服务器上使用 Exchange 管理控制台和 Exchange 命令行管理程序的权限,则必须手动为该用户授予对 Exchange Server 目录中的 Bin、Public 和 Scripts 目录的权限。请执行下列步骤:
导航到安装了 Exchange 的 Exchange Server 目录。(默认情况下,该目录为 %programfiles%\Microsoft\Exchange Server)。
右键单击 Bin 目录,然后单击“属性”。
在“安全性”选项卡上单击“添加”,然后输入要为其授予权限的用户或组。
在“<用户或组> 的权限”下,对“读取和执行”权限选择“允许”,然后单击“确定”。
右键单击 Public 目录,然后单击“属性”。
在“安全性”选项卡上单击“添加”,然后输入要为其授予权限的用户或组。
在“<用户或组> 的权限”下,对“读取和执行”权限选择“允许”,然后单击“确定”。
右键单击 Scripts 目录,然后单击“属性”。
在“安全性”选项卡上单击“添加”,然后输入要为其授予权限的用户或组。
在“<用户或组> 的权限”下,对“读取和执行”权限选择“允许”,然后单击“确定”。
注意:若要管理林 B 中的 Exchange,林 A 中的用户还必须能够登录到林 B 中已安装 Exchange 或 Exchange 管理工具的服务器上。如果将林 A 中的用户添加到域管理员组或林 B 中的服务器的本地管理员组,使其可以登录到林 B 中的服务器上,则这些用户将已对 Bin、Public 和 Scripts 目录拥有“读取和执行”权限。此外,还可以为林 A 中的用户授予特定的权限,使其可以使用 Windows Server 2003 的终端服务组件远程登录到服务器上。
Exchange 2007 RTM
在 Exchange 2007 RTM 版本中配置跨林管理
如果您处于标准的跨林方案中,而您在林 A 和林 B 中都安装了 Exchange,并且如果您不希望林 A 中将管理林 B 中的 Exchange 的用户同时还是林 A 中的管理员,则必须重命名林 A 中的下列组织单位和组,或者将它们移至其他组织单位或其他域:
Microsoft Exchange 安全组
Exchange Organization Administrators
Exchange Recipient Administrators
Exchange View-Only Administrators
重命名或移动这些组之后,其成员资格和权限不会改变,您仍然能够使用作为这些组的成员的帐户管理林 A 中的 Exchange。
如果您处于标准的跨林方案中,您在林 A 和林 B 中都安装了 Exchange,并且您希望林 A 中的用户同时管理林 A 和林 B 中的 Exchange,请继续执行步骤 7。
如果您处于资源林方案中,请继续执行步骤 2。
在林 A 的根域中,新建一个名为“Microsoft Exchange 安全组”的组织单位。有关创建组织单位的详细信息,请参阅 新建组织单位。
在林 A 中的组织单位“Microsoft Exchange 安全组”中,创建以下通用安全组:
Exchange Organization Administrators
Exchange Recipient Administrators
Exchange View-Only Administrators
有关详细信息,请参阅 创建新组。
注意:对于组作用域,请确保选择“通用”;对于组类型,请确保选择“安全”。 在林 A 中,执行下列步骤将 Exchange Organization Administrators 组添加到 Exchange Recipient Administrators 组:
右键单击 Exchange Recipient Administrators 组,然后单击“属性”。
在“成员”选项卡上,单击“添加”。
在“选择用户、计算机或组”中,键入 Exchange Organization Administrators,然后单击“确定”。
在“Exchange Recipient Administrators 属性”页上单击“确定”。
在林 A 中,执行下列步骤将 Exchange Recipient Administrators 组添加到 Exchange View-Only Administrators 组:
右键单击 Exchange View-Only Administrators 组,然后单击“属性”。
在“成员”选项卡上,单击“添加”。
在“选择用户、计算机或组”中,键入 Exchange Recipient Administrators,然后单击“确定”。
在“Exchange View-Only Administrators 属性”页上单击“确定”。
在林 A 中的“Active Directory 用户和计算机”中,单击“查看”菜单上的“高级功能”,然后执行下列步骤:
右键单击“Microsoft Exchange 安全组”组织单位,然后单击“属性”。
在“安全性”选项卡上的“组或用户名”下,选择 Exchange Organization Administrators。
在“Exchange Organization Administrators 权限”下,选择“完全控制”,然后单击“确定”。
右键单击 Exchange Organization Administrators 组,然后单击“属性”。
在“安全性”选项卡上的“组或用户名”下,选择 Exchange Organization Administrators。
在“Exchange Organization Administrators 权限”下,选择“完全控制”,然后单击“确定”。
右键单击 Exchange Recipient Administrators 组,然后单击“属性”。
在“安全性”选项卡上的“组或用户名”下,选择 Exchange Organization Administrators。
在“Exchange Organization Administrators 权限”下,选择“完全控制”,然后单击“确定”。
右键单击 Exchange View-Only Administrators 组,然后单击“属性”。
在“安全性”选项卡上的“组或用户名”下,选择 Exchange Organization Administrators。
在“Exchange Organization Administrators 权限”下,选择“完全控制”,然后单击“确定”。
使用作为林 B 中的 Enterprise Admins 组成员的帐户登录到林 B,然后从命令提示符窗口运行以下命令:
Setup /prepareAD /ForeignForestFQDN:ForestA.contoso.com此命令用于验证是否已在林 A 中创建 Exchange 通用安全组并已正确分配权限。在林 B 中,此命令用于在 Exchange 配置对象上的 Active Directory 中配置访问控制条目 (ACEs),以便林 A 中新建的 Exchange 通用安全组在林 B 中具有 Exchange 配置权限。当您运行不带 ForeignForestFQDN 参数的
Setup /PrepareAD时,此命令可在本地林中创建 Exchange 通用安全组并在这些组上设置权限。添加 ForeignForestFQDN 参数可指定您希望向运行该命令的林中的 Exchange 配置授予外部林中的 Exchange 通用安全组权限。若要验证是否已成功完成 Setup,请执行下列步骤:
在林 B 中,右键单击“Exchange 服务器”通用安全组,然后单击“属性”。
在“安全性”选项卡的“组或用户名”下,选择 Exchange Organization Administrators (<Forest A domain\Exchange Organization Administrators>)。
验证是否对“完全控制”权限选择了“允许”。
注意:如果 Setup 由于访问权限不足而失败,请确认您已在林 A 中正确创建了通用安全组、正确嵌套了这些组以及 Exchange 组织管理员组对于新组织单位和三个新的通用安全组都具有完全控制权限,然后再次执行步骤 7。 要使用林 A 中的帐户管理林 B 中的 Exchange,请将林 A 中的相应帐户添加到您在林 A 中创建的一个或多个 Exchange 通用安全组。
(可选)将双向林信任更改为单向林信任。要执行此操作,请删除林 A 现有的双向传入信任,有关详细步骤,请参阅 Remove a manually created trust。
注意:请确保选择“是,从本地域和另一个域中删除信任”。 注意:您必须保留传出信任。 在林 B 中的“Active Directory 用户和计算机”中的“查看”菜单上,单击“高级功能”。
(可选)如果您希望林 A 中的收件人管理员管理林 B 中的用户,则必须手动为其分配权限。请执行下列步骤:
在林 B 中的“Active Directory 用户和计算机”中,右键单击“用户”容器,然后单击“属性”。
在“安全性”选项卡上,单击“高级”。
在“权限条目”下,选择“类型”为“允许”、“名称”为 Exchange 收件人管理员(<林 A 域\Exchange 收件人管理员>)、“权限”为“特殊”的条目,然后单击“编辑”。
在“用户的权限条目”页上,在“对象”选项卡的“权限”下,对下列权限选择“允许”:“列出内容”、“读取所有属性”、“写入所有属性”、“读取权限”、“创建用户对象”、“删除用户对象”。
单击“确定”。
在“用户的高级安全设置”页上,选中“允许将来自父系的可继承权限传播给该对象及其所有子对象”复选框,然后单击“确定”。
注意:此步骤提供了林 A 中的 Exchange 收件人管理员组成员修改林 B 的“用户”容器中的对象所需的权限。通过在林 B 中运行 Setup /ForeignForestFQDN(在步骤 7 中),已为林 A 中 Exchange 安全组的用户授予对林 B 中 Exchange 属性的权限,而不是授予对林 B 中 Windows 用户属性的权限。
若要为林 A 中的其他组授予权限,使其可以修改林 B 的“用户”容器中的对象,请在“用户的高级安全设置”页上选择其他组。(可选)如果您希望林 A 中的管理员具有在林 B 中的 Exchange 服务器上使用 Exchange 管理控制台和 Exchange 命令行管理程序的权限,则必须手动为该用户授予对 Exchange Server 目录中的 Bin、Public 和 Scripts 目录的权限。请执行下列步骤:
导航到安装了 Exchange 的 Exchange Server 目录。(默认情况下,该目录为 %programfiles%\Microsoft\Exchange Server)。
右键单击 Bin 目录,然后单击“属性”。
在“安全性”选项卡上单击“添加”,然后输入要为其授予权限的用户或组。
在“<用户或组> 的权限”下,对“读取和执行”权限选择“允许”,然后单击“确定”。
右键单击 Public 目录,然后单击“属性”。
在“安全性”选项卡上单击“添加”,然后输入要为其授予权限的用户或组。
在“<用户或组> 的权限”下,对“读取和执行”权限选择“允许”,然后单击“确定”。
右键单击 Scripts 目录,然后单击“属性”。
在“安全性”选项卡上单击“添加”,然后输入要为其授予权限的用户或组。
在“<用户或组> 的权限”下,对“读取和执行”权限选择“允许”,然后单击“确定”。
注意:若要管理林 B 中的 Exchange,林 A 中的用户还必须能够登录到林 B 中已安装 Exchange 或 Exchange 管理工具的服务器上。如果将林 A 中的用户添加到域管理员组或林 B 中的服务器的本地管理员组,使其可以登录到林 B 中的服务器上,则这些用户将已对 Bin、Public 和 Scripts 目录拥有“读取和执行”权限。此外,还可以为林 A 中的用户授予特定的权限,使其可以使用 Windows Server 2003 的终端服务组件远程登录到服务器上。
详细信息
有关从命令提示符窗口中使用 Setup.com 安装 Exchange 2007 的详细信息,请参阅如何在无人值守模式下安装 Exchange 2007。