Welche Änderungen in Active Directory, wenn Exchange installiert wird?

Wenn Sie Exchange Server 2016 oder Exchange Server 2019 installieren, werden Änderungen an der Active Directory-Gesamtstruktur und den Domänen vorgenommen, um Informationen über die Exchange Server, Postfächer und andere Exchange-bezogene Objekte in Ihrer Organisation zu speichern.

Zum Vorbereiten von Active Directory für Exchange sind drei Schritte erforderlich:

  1. Erweitern des Active Directory-Schemas

  2. Vorbereiten von Active Directory-Containern, -Objekten und anderen Elementen

  3. Vorbereiten der Active Directory-Domänen

Nachdem alle drei Schritte abgeschlossen sind, kann die Active Directory-Gesamtstruktur Exchange. In diesem Thema wird erläutert, was Exchange bei jedem Schritt der Active Directory-Vorbereitung tut.

Sie können diese Änderungen vornehmen, bevor Sie den ersten Server Exchange 2016 oder Exchange 2019 in der Organisation installieren, indem Sie die Befehle "/PrepareSchema", "/PrepareAD" und "/PrepareAllDomains" oder "/PrepareDomains" mit Exchange Befehlszeilensetup ausführen. Anweisungen finden Sie unter Vorbereiten von Active Directory und Domänen für Exchange. Oder diese Änderungen werden automatisch während der Installation des ersten Exchange Servers mithilfe des Setup-Assistenten Exchange vorgenommen. Anweisungen finden Sie unter Installieren von Exchange Postfachservern mithilfe des Setup-Assistenten.

Erweitern des Active Directory-Schemas

Beim Erweitern des Active Directory-Schemas werden Klassen, Attribute und andere Elemente hinzugefügt und aktualisiert. Diese Änderungen sind notwendig, damit Exchange Container und Objekte erstellen kann, um Informationen über die Exchange-Organisation zu speichern. Da Exchange eine Vielzahl von Änderungen am Active Directory-Schema vornimmt, ist diesem Schritt ein eigenes Thema gewidmet. Informationen zum Anzeigen aller am Schema vorgenommenen Änderungen finden Sie unter Active Directory-Schemaänderungen in Exchange Server.

Nachdem das Schema durch Ausführen des Befehls /PrepareSchema, des Befehls _/PrepareAD oder der Installation des ersten Exchange Servers mithilfe des Setup-Assistenten Exchange erweitert wurde, wird die Schemaversion im Attribut "ms-Exch-Schema-Version-Pt" festgelegt. Um zu überprüfen, ob das Active Directory-Schema erfolgreich erweitert wurde, können Sie den in diesem Attribut gespeicherten Wert überprüfen. Weitere Informationen finden Sie unter Exchange Active Directory-Versionen.

Vorbereiten von Active Directory-Containern, -Objekten und anderen Elementen

Nachdem das Schema erweitert wurde, besteht der nächste Schritt darin, alle Container, Objekte, Attribute und sonstigen Elemente, die Exchange zum Speichern von Informationen in Active Directory verwendet, hinzuzufügen. Die meisten in diesem Schritt durchgeführten Änderungen werden auf die ganze Active Directory-Gesamtstruktur angewendet. Eine kleinere Gruppe von Änderungen wird nur an der lokalen Active Directory-Domäne vorgenommen, in der der Befehl /PrepareAD ausgeführt wurde (oder wo der erste Exchange-Server mithilfe des Setup-Assistenten Exchange installiert wurde).

Exchange nimmt die folgenden Änderungen an der Active Directory-Gesamtstruktur vor:

  • Der Microsoft Exchange-Container wird unter CN=Services,CN=Configuration,DC=<root domain> erstellt, wenn er noch nicht vorhanden ist.

  • Die folgenden Container und Objekte werden unter CN=<organization name>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain> erstellt, wenn sie noch nicht vorhanden sind:

    • CN=Address Lists Container

    • CN=AddressBook Mailbox Policies

    • CN=Addressing

    • CN=Administrative Groups

    • CN=Approval Applications

    • CN=Auth Configuration

    • CN=Availability Configuration

    • CN=Client Access

    • CN=Connections

    • CN=ELC Folders Container

    • CN=ELC Mailbox Policies

    • CN=ExchangeAssistance

    • CN=Federation

    • CN=Federation Trusts

    • CN=Global Settings

    • CN=Hybrid Configuration

    • CN=Mobile Mailbox Policies

    • CN=Mobile Mailbox Settings

    • CN=Monitoring Settings

    • CN=OWA Mailbox Policies

    • CN=Provisioning Policy Container

    • CN=Push Notification Settings

    • CN=RBAC

    • CN=Recipient Policies

    • CN=Remote Accounts Policies Container

    • CN=Retention Policies Container

    • CN=Retention Policy Tag Container

    • CN=ServiceEndpoints

    • CN=System Policies

    • CN=Team Mailbox Provisioning Policies

    • CN=Transport Settings

    • CN=UM AutoAttendant Container (nur Exchange 2016)

    • CN=UM DialPlan-Container (nur Exchange 2016)

    • CN=UM IPGateway-Container (nur Exchange 2016)

    • CN=UM-Postfachrichtlinien (nur Exchange 2016)

    • CN=Workload Management Settings

  • Die folgenden Container und Objekte werden unter CN=Transport Einstellungen,CN=<Organization Name>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain> erstellt, wenn sie noch nicht vorhanden sind:

    • CN=Accepted Domains

    • CN=ControlPoint Config

    • CN=DNS Customization

    • CN=Interceptor Rules

    • CN=Malware Filter

    • CN=Message Classifications

    • CN=Message Hygiene

    • CN=Rules

    • CN=MicrosoftExchange329e71ec88ae4615bbc36ab6ce41109e

  • Berechtigungen werden in der gesamten Konfigurationspartition in Active Directory festgelegt.

  • Die Datei "Rights.ldf" wird importiert. Diese Datei fügt Berechtigungen hinzu, die zum Installieren von Exchange und Konfigurieren von Active Directory verwendet werden.

  • Die Organisationseinheit für Microsoft Exchange-Sicherheitsgruppen (Organizational Unit, OU) wird in der Stammdomäne der Gesamtstruktur erstellt, und ihr werden Berechtigungen zugewiesen.

  • Die folgenden Gruppen werden in der Organisationseinheit für Microsoft Exchange-Sicherheitsgruppen erstellt, sofern sie noch nicht vorhanden sind:

    • Verwaltung der Richtlinientreue

    • Delegiertes Setup

    • Discoveryverwaltung

    • Exchange-Server

    • Vertrauenswürdiges Exchange-Teilsystem

    • Exchange Windows-Berechtigungen

    • ExchangeLegacyInterop

    • Helpdesk

    • Nachrichtenschutz

    • Verwaltete Verfügbarkeitsserver

    • Organisationsverwaltung

    • Verwaltung Öffentlicher Ordner

    • Empfängerverwaltung

    • Datensatzverwaltung

    • Serververwaltung

    • Organisationsverwaltung mit Leserechten

  • Die neuen Verwaltungsrollengruppen (die als universelle Sicherheitsgruppen (USGs) in Active Directory angezeigt werden), die in der Oe für Microsoft Exchange Sicherheitsgruppen erstellt wurden, werden dem anderenWellKnownObjects-Attribut hinzugefügt, das im Container "CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain> " gespeichert ist.

  • In Exchange 2016 wird der Unified Messaging Voice Originator-Kontakt im Microsoft Exchange System Objects-Container der Stammdomäne erstellt.

  • Nur die Domäne, in der der Befehl /PrepareAD ausgeführt wurde (oder in der der erste Exchange-Server mithilfe des Setup-Assistenten Exchange installiert wurde) wird für Exchange vorbereitet. Informationen dazu, wie Sie eine Active Directory-Domäne für Exchange vorbereiten, finden Sie im nächsten Abschnitt.

Vorbereiten der Active Directory-Domänen

Der letzte Schritt bei der Vorbereitung von Active Directory für Exchange besteht darin, die Active Directory-Domänen vorzubereiten, in denen Exchange Server installiert werden oder wo postfachfähige Benutzer sich befinden (alle Domänen in der Gesamtstruktur mit dem Befehl /PrepareAllDomains, bestimmte Domänen mit dem Befehl /PrepareDomains oder installieren den ersten Exhange-Server mithilfe des Setup-Assistenten Exchange). Dieser Schritt wird automatisch in der Domäne ausgeführt, in der der Befehl "PrepareAD" ausgeführt wurde (oder in der der erste Exchange Server mithilfe des Setup-Assistenten Exchange installiert wurde).

Exchange nimmt die folgenden Änderungen an den Active Directory-Domänen vor:

  • Der Container "Microsoft Exchange-Systemobjekte" wird in der Stammdomänenpartition in Active Directory erstellt, sofern er noch nicht vorhanden ist.

  • Berechtigungen für den Container "Microsoft Exchange-Systemobjekte" werden für die Sicherheitsgruppen "Exchange-Server", "Organisationsverwaltung" und "Authentifizierte Benutzer" festgelegt.

  • Ändern des Standard-Domänencontroller-Gruppenrichtlinienobjekts, um Exchange Enterprise Servern die Berechtigung "Überwachung und Sicherheitsprotokollrichtlinie verwalten" zu erteilen.

  • Die globale Domänengruppe "Exchange Install Domain Servers" wird in der aktuellen Domäne erstellt und in den Container "Microsoft Exchange-Systemobjekte" eingefügt.

  • Die Gruppe "Exchange Install Domain Servers" wird der universellen Sicherheitsgruppe "Exchange-Server" in der Stammdomäne hinzugefügt.

  • Berechtigungen werden auf Domänenebene für die universellen Sicherheitsgruppen "Exchange-Server" und "Organisationsverwaltung" zugewiesen.

  • Die objectVersion-Eigenschaft im Microsoft Exchange System Objects-Container unter DC=<root domain> ist festgelegt. Um zu überprüfen, ob die Active Directory-Domänen erfolgreich vorbereitet wurden, können Sie den in diesem Attribut gespeicherten Wert überprüfen. Weitere Informationen finden Sie unter Exchange Active Directory-Versionen.