Инструкции по подготовке службы Active Directory и доменов
Применимо к: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Последнее изменение раздела: 2008-02-19
В этом разделе содержатся сведения о способе подготовки службы каталогов Active Directory и доменов к установке Microsoft Exchange Server 2007. Эту процедуру необходимо выполнить перед установкой Exchange 2007 на какой-либо сервер в организации.
.gif "note") Примечание. |
|---|
| Если мастер установки Exchange Server 2007 запущен с учетной записью, имеющей разрешения на подготовку Active Directory и домена, мастер автоматически подготавливает Active Directory и домен. |
Прежде чем приступить к работе
Перед тем, как начать подготовку Active Directory и домен для установки Exchange 2007, убедитесь, что:
На компьютере, на котором выполняется эта процедура, установлены Microsoft .NET Framework 2.0 и Microsoft Command Shell.
Домены и контроллеры доменов отвечают системным требованиям, приведенным в подразделе «Сетевые серверы и серверы каталогов» раздела Системные требования Exchange 2007.
В каждом домене, в который будет устанавливаться Exchange Server 2007 (или который будет содержать пользователей, поддерживающих почту) есть по крайней мере один контроллер домена, работающий под управлением Windows Server 2003 с пакетом обновления 1 (SP1).
Если при установке Exchange 2007 запускается окончательная первоначальная версия (RTM) файла Setup.com, в каждом домене (включая дочерние домены), в которых есть группы безопасности «Серверы предприятия Exchange» и «Серверы домена Exchange» (а значит, должен запускаться Setup /PrepareLegacyExchangePermissions), должен быть хотя бы один контроллер домена под управлением Windows Server 2003 с пакетом обновления 1 (SP1) или более поздней версии.
Если в организации есть контроллеры домена, работающие под управлением Windows 2000 Server, то при использовании Setup.com из окончательной первоначальной версии Exchange 2007 все описанные ниже этапы должны выполняться с параметром /DomainController для указания контроллера домена, работающего под управлением Windows Server 2003 с пакетом обновления 1 (SP1). Если используется файл Setup.com из Exchange 2007 с пакетом обновления 1 (SP1), указывать контроллер домена таким образом не нужно.
Если при развертывании новой организации Exchange подготовка схем и доменов Active Directory выполняется с компьютера под управлением Windows Server 2008, то прежде чем начинать подготовку, нужно на этом компьютере Windows Server 2008 установить средства управления Active Directory. Выполните для этого следующую команду:
ServerManagerCmd -i RSAT-ADDSКомпьютеры, на которые устанавливается Exchange 2007, соответствуют системным требованиям разделов «Оборудование» и «Операционная система» Системные требования Exchange 2007.
| Примечание. |
|---|
| Эта процедура может выполняться на компьютере с 32- или 64-разрядным процессором. Дополнительные сведения о версиях платформы см. в разделе Exchange Server 2007: платформы, выпуски и версии. |
Процедура
Чтобы подготовить службу Active Directory и домен
Если в организации имеются компьютеры с серверами Exchange Server 2003 или Exchange 2000 Server, откройте окно командной строки и выполните одну из следующих команд:
Чтобы подготовить устаревшие разрешения Exchange в каждом домене леса, содержащего группы «Серверы предприятия Exchange» и «Серверы домена Exchange», выполните следующую команду:
setup /PrepareLegacyExchangePermissions или setup /pl
Чтобы подготовить разрешения для прежних версий Exchange в конкретном домене, используйте следующую команду:
setup /PrepareLegacyExchangePermissions: < полное_доменное_имя_подготавливаемого_домена > или setup /pl:<полное_доменное_имя_подготавливаемого_домена>
Примечание.Вы можете пропустить этот этап и подготовить разрешения для устаревшей версии Exchange на этапе 2 или 3. Преимущество выполнения всех этапов по отдельности состоит в том, что каждый из них можно выполнять из учетной записи, имеющей минимальный набор разрешений, необходимый для данного конкретного этапа, а кроме того, вы можете проверить, все ли было выполнено успешно и прошла ли репликация, прежде чем переходить к следующему этапу. Обратите внимание на следующие сведения:
Чтобы выполнить команду для подготовки каждого домена в лесу, необходимо быть членом группы администраторов предприятия. Чтобы выполнить команду для подготовки отдельного домена, учетной записи должна быть делегирована роль полного администратора Exchange и она должна входить в группу администраторов подготавливаемого домена.
Если домен не указан, домен, в котором выполняется эта команда, должен иметь возможность связываться со всеми доменами в лесу. Если сервер не может связаться с доменом, для которого должны быть подготовлены разрешения устаревшей версии Exchange, сервер выполняет подготовку тех доменов, с которыми он может связаться, а потом выдает сообщение о том, что с некоторыми доменами связаться не удалось.
Запускать эту команду можно с любого входящего в лес сервера под управлением 32- или 64-разрядной версии Windows Server 2003 с пакетом обновления 1 (SP1).
После запуска этой команды необходимо ожидать разрешений, чтобы реплицировать организацию Exchange перед тем, как перейти к выполнению следующего шага. Если разрешения не реплицировались, служба обновления получателей на компьютерах Exchange Server 2003 или Exchange 2000 Server может не работать. Количество времени, необходимое для репликации, зависит от топологии сайта Active Directory.
Примечание.Чтобы отследить ход репликации Active Directory, можно использовать средство наблюдения за репликацией (replmon.exe) Active Directory, входящее в состав средств поддержки Microsoft Windows Server 2003. По умолчанию они размещаются по адресу "%programfiles%\support tools\." Добавьте контроллеры домена в качестве отслеживаемых серверов, чтобы можно было отслеживать ход репликации по всему домену.
Для получения подробных сведений о разрешениях, задаваемых командой, см. Подготовка устаревших разрешений Exchange.
Выполните в окне командной строки следующую команду:
setup /PrepareSchema или setup /ps
Примечание.Можно пропустить этот шаг и подготовить схему как часть шага 3. .gif "important")
Важно!Не следует выполнять эту команду в лесу, в котором не планируется выполнение команды setup /PrepareAD. В случае выполнения этой команды лес будет настроен неправильно, и считывание некоторых атрибутов объектов пользователей будет невозможным. Примечание.Вручную импортировать изменения схемы Exchange 2007 при помощи средства LDIFDE нельзя. Для обновления схемы нужно обязательно использовать установку. Эта команда выполняет следующие задачи:
Подключает к хозяину схемы и импортирует файлы данных LDAP LDIF для обновления схемы при помощи определенных атрибутов Exchange 2007. Файлы LDIF копируются в каталог Temp, а после импорта в схему удаляются.
Примечание.Схема Exchange 2007 также включает расширения схемы Exchange 2000 и Exchange 2003. Если шаг 1 не был выполнен, программа setup /PrepareSchema автоматически выполнит шаг PrepareLegacyExchangePermissions.
Обратите внимание на следующие сведения:
Если нужно проверить обновление схемы, прежде чем реплицировать данные на другие серверы домена, необходимо сначала отключить исходящую репликацию на том компьютере, на котором выполнялась команда, а после проверки импорта изменений снова ее включить.
Для выполнения этой команды необходимо быть членом группы администраторов схемы и членом группы администраторов организации.
Команду необходимо запускать на 32- или 64-разрядном компьютере, который находится в том же домене и в том же сайте Active Directory, что и хозяин схемы.
Если шаг 1 не выполнен, программа setup /PrepareSchema автоматически выполнит шаг PrepareLegacyExchangePermissions. Чтобы выполнить шаг PrepareLegacyExchangePermissions, домен, на котором выполняется эта команда, должен иметь возможность связываться со всеми доменами в лесу. Преимущество выполнения всех этапов по отдельности состоит в том, что каждый из них можно выполнять из учетной записи, имеющей минимальный набор разрешений, необходимый для данного конкретного этапа, а кроме того, вы можете проверить, все ли было выполнено успешно и прошла ли репликация, прежде чем переходить к следующему этапу.
Если в команде используется параметр /DomainController, необходимо указать контроллер домена, являющийся хозяином схемы.
После выполнения этой команды необходимо подождать, пока изменения реплицируются в организации Exchange перед тем, как переходить к выполнению следующего шага. Количество времени, необходимое для репликации, зависит от топологии сайта Active Directory.
Примечание.Чтобы отслеживать ход репликации Active Directory, можно использовать Active Directory средство наблюдения за репликацией (replmon.exe), входящее в состав средств поддержки Windows Server 2003 По умолчанию они размещаются по адресу "%programfiles%\support tools\." Добавьте контроллеры домена как отслеживаемые серверы, чтобы можно было отслеживать ход репликации по всему домену.
Для получения подробных сведений об изменениях схемы, сделанных при выполнении этой команды, см. раздел Изменения схемы Active Directory.
Выполните в окне командной строки следующую команду:
setup /PrepareAD [/OrganizationName: <имя организации> ] или setup /p [/on:<имя_организации>]
Эта команда выполняет следующие задачи:
Если контейнер Microsoft Exchange не существует, команда создает его в узле CN=Services,CN=Configuration,DC=<корневой_домен>.
Если контейнер организации Exchange не существует в узле CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен >, необходимо указать имя организации с помощью параметра /OrganizationName. В результате будет создан контейнер организации с указанным именем.
Имя организации Exchange может включать только следующие символы:
буквы от A до Z;
буквы от a до z;
цифры от 0 до 9;
пробелы (не в начале и не в конце имени);
дефисы.
Имя организации не может включать более 64 знаков и быть пустым. Если имя организации содержит пробелы, его необходимо заключить в кавычки.
Убедитесь в том, что схема обновлена, проверив свойство objectVersion в службе каталогов Active Directory. Свойство objectVersion указано в контейнере CN=<ваша_организация>, CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<домен>. Для окончательной первоначальной версии (RTM) Exchange 2007 значение свойства objectVersion должно составлять 10666.
В узле CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен> создайте следующие объекты и контейнеры (если они не существуют). Они необходимы для Exchange 2007.
CN=Address Lists Container,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=Addressing,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=Administrative Groups,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=Client Access,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=Connections,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=ELC Folders Container,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=ELC Mailbox Policies,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=Global Settings,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=Mobile Mailbox Policies,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=Recipient Policies,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=System Policies,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=Transport Settings,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=UM AutoAttendant,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=UM DialPlan,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=UM IPGateway Container,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=UM Mailbox Policies,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
Если записи обслуживаемого домена, назначенной по умолчанию, нет, данная команда ее создает на основании пространства имен корневого леса — в узле CN=Transport Settings,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>.
В разделе настройки выдаются определенные полномочия. Дополнительные сведения о выдаваемых полномочиях приведены в разделе Справка по разрешениям программы установки сервера Exchange 2007.
Импортируется файл Rights.ldf. Таким образом добавляются расширенные права, необходимые Exchange для установки компонентов в службу каталогов Active Directory.
Создается подразделение групп безопасности Microsoft Exchange в корневом домене леса. Созданному подразделению выдаются определенные разрешения. Дополнительные сведения о предоставляемых полномочиях приведены в разделе Справка по разрешениям программы установки сервера Exchange 2007.
В подразделении групп безопасности Microsoft Exchange создаются следующие универсальные группы безопасности:
Администраторы организации Exchange
Администраторы получателей Exchange
ExchangeСерверы
Администраторы Exchange с правами только на просмотр
Администраторы общих папок Exchange (новая группа в Exchange Server 2007 с пакетом обновления 1 (SP1))
ExchangeLegacyInterop
Универсальные группы безопасности, созданные в подразделении групп безопасности Microsoft Exchange вписываются в атрибут otherWellKnownObjects, хранящийся в контейнере CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>.
Эта команда создает административную группу Exchange 2007, называемую административной группой Exchange (FYDIBOHF23SPDLT). Также эта команда создает группу маршрутизации Exchange 2007, называемую группой маршрутизации Exchange (DWBGZMFD01QNBJR).
.gif "Caution")
Внимание!Не перемещайте серверы Exchange 2007 из административной группы Exchange (FYDIBOHF23SPDLT) и не переименовывайте административную группу Exchange (FYDIBOHF23SPDLT) с помощью низкоуровневого редактора каталогов. Сервер Exchange 2007 должен использовать эту административную группу для хранения данных конфигурации. Перемещение серверов Exchange 2007 из административной группы Exchange (FYDIBOHF23SPDLT) или переименование административной группы Exchange (FYDIBOHF23SPDLT) не поддерживается. Внимание!Не перемещайте серверы Exchange 2007 из группы маршрутизации Exchange (DWBGZMFD01QNBJR) и не переименовывайте группу маршрутизации Exchange (DWBGZMFD01QNBJR) с помощью низкоуровневого редактора каталогов. Сервер Exchange 2007 должен использовать эту группу маршрутизации для связи с более ранними версиями Exchange. Перемещение серверов Exchange 2007 из группы маршрутизации Exchange (DWBGZMFD01QNBJR) или переименование группы маршрутизации Exchange (DWBGZMFD01QNBJR) не поддерживается. Эта команда создает контакт отправителя голосового сообщения единой системы обмена сообщениями в контейнере объектов системы Microsoft Exchange корневого домена.
Эта команда подготавливает локальный домен для сервера Exchange 2007. Сведения о задачах, выполняемых для подготовки домена, приведены в описании этапа 4.
Обратите внимание на следующие сведения:
Чтобы выполнить эту команду, необходимо быть членом группы администраторов предприятия.
Компьютер, на котором выполняется данная команда, должен иметь возможность связаться со всеми доменами леса через порт 389.
Необходимо выполнить эту команду на компьютере, который находится в том же домене, и на том же сайте Active Directory, что и хозяин схемы. При установке все изменения настройки применяются к хозяину схемы во избежание конфликтов в случае задержки репликации.
Если шаг 1 не выполнен, программа setup /PrepareAD автоматически выполнит шаг PrepareLegacyExchangePermissions. Чтобы выполнить шаг PrepareLegacyExchangePermissions, домен, на котором выполняется эта команда, должен иметь возможность связываться со всеми доменами в лесу. Если вы также являетесь членом группы администраторов схемы и не выполнили шаг 2, программа setup /PrepareAD автоматически выполнит шаг PrepareSchema. Преимущество выполнения всех этапов по отдельности состоит в том, что каждый из них можно выполнять из учетной записи, имеющей минимальный набор разрешений, необходимый для данного конкретного этапа, а кроме того, вы можете проверить, все ли было выполнено успешно и прошла ли репликация, прежде чем переходить к следующему этапу.
После выполнения этой команды необходимо подождать, пока изменения реплицируются в организации Exchange перед тем, как переходить к выполнению следующего шага. Количество времени, необходимое для репликации, зависит от топологии сайта Active Directory.
Примечание.Чтобы отслеживать ход репликации Active Directory, можно использовать Active Directory средство наблюдения за репликацией (replmon.exe), входящее в состав средств поддержки Windows Server 2003 По умолчанию они размещаются по адресу "%programfiles%\support tools\." Добавьте контроллеры домена как отслеживаемые серверы, чтобы можно было отслеживать ход репликации по всему домену. Чтобы проверить, был ли этот шаг выполнен успешно, убедитесь, что в корневом домене существует новое подразделение с именем Группы безопасности Microsoft Exchange. Это подразделение должно содержать следующие новые универсальные группы безопасности Exchange:
Администраторы организации Exchange
Администраторы получателей Exchange
Администраторы Exchange с правами на просмотр.
Серверы Exchange
Администраторы общих папок Exchange (новая группа в Exchange 2007 с пакетом обновления 1 (SP1))
ExchangeLegacyInterop
Примечание.При установке Exchange 2007 программа установки добавляет универсальную группу безопасности «Администраторы организации Exchange» в качестве члена локальной группы «Администраторы» на компьютере, на котором устанавливается Exchange. Обратите внимание на то, что разрешения локальной группы «Администраторы» на контроллере домена и локальной группы «Администраторы» на рядовом сервере различаются. При установке сервера Exchange 2007 на контроллере домена пользователи с ролью администраторов организации Exchange имеют дополнительные разрешения Windows, которые отсутствуют при установке сервера Exchange 2007 на компьютер, который не является контроллером домена.
Выполните в окне командной строки одну из следующих команд:
Выполните команду setup /PrepareDomain или setup /pd, чтобы подготовить локальный домен. Обратите внимание, что нет необходимости выполнять эту команду в домене, в котором был выполнен шаг 3. Выполнение команды setup /PrepareAD обеспечивает подготовку локального домена.
Выполните команду setup /PrepareDomain:<полное доменное имя домена, который необходимо подготовить>, чтобы подготовить определенный домен.
Выполните команду setup /PrepareAllDomains или setup /pad, чтобы подготовить все домены в организации.
Эти команды выполняют следующие задачи:
Устанавливают разрешения для контейнера домена для серверов Exchange, администраторов организации Exchange, пользователей, прошедших проверку подлинности, и администраторов почтовых ящиков Exchange.
Если формируется новая организация, команда создает контейнер системных объектов Microsoft Exchange в разделе корневого домена в Active Directory и выдает разрешения на этот контейнер серверам Exchange, администраторам организации Exchange и пользователям, прошедшим проверку подлинности. Созданный контейнер используется для хранения прокси-объектов общих папок и системных объектов, относящихся к Exchange, таких как почтовый ящик базы данных почтовых ящиков. Дополнительные сведения о выдаваемых разрешениях см. в разделе Справка по разрешениям программы установки сервера Exchange 2007.
Данная команда настраивает свойство objectVersion в контейнере системных объектов Microsoft Exchange в узле DC=<корневой_домен>. Это свойство содержит версию подготовки домена. Для Exchange 2007 RTM должно быть указано значение 10628.
Создается новая глобальная группа доменов в текущем домене (группа серверов установки доменов Exchange). Команда помещает созданную группу в контейнер системных объектов Microsoft Exchange. А также добавляют группу «Серверы домена установки Exchange» в универсальную группу безопасности серверов Exchange в корневом домене.
Примечание.Группа серверов установки доменов Exchange используется, если Exchange 2007 установлен в дочернем домене, который является сайтом Active Directory, отличным от корневого домена. Создание этой группы позволяет избежать ошибок при установке, если членство в группах не было реплицировано в дочерний домен. На уровне домена выдаются разрешения универсальным группам безопасности «Серверы Exchange» и «Администраторы получателей Exchange». Дополнительные сведения о предоставляемых полномочиях приведены в разделе Справка по разрешениям программы установки сервера Exchange 2007.
Обратите внимание на следующие сведения:
Для доменов, которые расположены на сайте Active Directory, отличающемся от корневого домена, выполнение команды /PrepareDomain может закончиться неудачей, в результате чего будет выведено следующее сообщение:
«Задача PrepareDomain для домена <ваш_домен> частично завершена. Из-за настройки сайта Active Directory необходимо подождать не менее 15 минут, пока не начнется репликация, и повторить задачу PrepareDomain для домена <ваш_домен> снова».
"Не удается завершить операцию Active Directory на сервере <ваш_сервер>. Невозможно повторить попытку. Дополнительные сведения: Указан неверный тип группы.
Ответ Active Directory: 00002141: SvcErr: DSID-031A0FC0, ошибка 5003 (НЕ_ВЫПОЛНЯЕТСЯ), данные: 0
Сервер не может обработать запросы каталога."
Если выводится это сообщение, подождите или запустите репликацию Active Directory между этим доменом и корневым доменом, а затем повторно выполните команду /PrepareDomain.
Чтобы выполнить команду setup /PrepareAllDomains, необходимо быть членом группы администраторов предприятия.
Чтобы выполнить команду setup /PrepareDomain в случае, если подготавливаемый домен существовал до выполнения команды setup /PrepareAD, необходимо быть членом группы администраторов домена в этом домене. Если подготавливаемый домен был создан после выполнения команды setup /PrepareAD, необходимо быть членом группы администраторов организации Exchange, а также необходимо быть членом группы администраторов домена в этом домене.
Эту команду необходимо запустить в каждом домене, в котором будет установлен Exchange 2007, а также в каждом домене, в котором будут пользователи электронной почты, даже если Exchange 2007 в него не устанавливается.
Чтобы удостовериться, что этот шаг выполнен успешно, убедитесь, что:
в контейнере системных объектов Microsoft Exchange существует новая глобальная группа серверов установки доменов Exchange.
Примечание.Чтобы просмотреть контейнер системных объектов Microsoft Exchange в окне «Пользователи и компьютеры» Active Directory, в меню Вид выберите Дополнительные функции. Группа серверов установки доменов Exchange является членом универсальной группы безопасности серверов Exchange в корневом домене.
На каждом контроллере домена в домене, на котором будет установлен Exchange 2007, универсальная группа безопасности серверов Exchange обладает разрешениями для политики Политика безопасности контроллера домена\Локальные политики\Назначение прав пользователя\Контроль управления и журнал безопасности.