Preparar Active Directory y los dominios

  • Artículo

Se aplica a: Exchange Server 2010

Última modificación del tema: 2010-01-25

Antes de instalar Microsoft Exchange Server 2010 en los servidores de la organización, debe preparar Active Directory y los dominios. En este tema se explica cómo preparar Active Directory y los dominios para Exchange 2010.

Para obtener información acerca de cómo preparar los dominios con permisos heredados de Exchange , consulte Preparar permisos heredados de Exchange 2003.

Requisitos previos

  • Los equipos en los que tiene pensado instalar Exchange 2010 deben cumplir los requisitos del sistema. Para obtener información más detallada, consulte Requisitos del sistema para Exchange 2010.

  • Los dominios y los controladores de dominios deben cumplir con los requisitos del sistema de la sección "Red y servidores de directorio" de Requisitos del sistema para Exchange 2010.

  • En cada dominio en el que instale Exchange 2010, debe tener al menos un controlador de dominio que ejecute uno de los productos siguientes:
    Windows Server 2003 Standard Edition con Service Pack 1 (SP1) o posterior (32 bits o 64 bits)
    Windows Server 2003 Enterprise Edition con SP1 o posterior (32 bits o 64 bits)
    Windows Server 2008 Standard Edition o Enterprise Edition (32 bits o 64 bits)
    Windows Server 2008 R2 Standard Edition o Enterprise Edition

  • Si ejecuta Setup.com de la versión para fabricantes (RTM) de Exchange 2010, en cada dominio (incluidos los dominios secundarios) donde haya servidores Exchange Enterprise y grupos de seguridad de servidores de dominios de Exchange y donde, por tanto, deba ejecutar Setup /PrepareLegacyExchangePermissions, tiene que haber al menos un controlador de dominio que ejecute uno de los productos siguientes:
    Windows Server 2003 Standard Edition con SP1 o posterior (32 bits o 64 bits)
    Windows Server 2003 Enterprise Edition con SP1 o posterior (32 bits o 64 bits)
    Windows Server 2008 Standard Edition o Enterprise Edition (32 bits o 64 bits)
    Windows Server 2008 R2 Standard Edition o Enterprise Edition

  • Si ejecuta el asistente de instalación de Exchange 2010 con una cuenta que tenga los permisos necesarios (Administradores de esquema, Administradores de dominios y Administradores de empresa) para preparar Active Directory y el dominio, el asistente preparará automáticamente Active Directory y el dominio. Para obtener más información, consulte Instalar Exchange Server 2010. Sin embargo, si implementa una nueva organización de Exchange y prepara el esquema y los dominios de Active Directory con un equipo que ejecuta Windows Server 2008, debe instalar primero las herramientas de administración de Active Directory en el equipo Windows Server 2008 antes de preparar el esquema o los dominios. Para ello, ejecute el siguiente comando:

    ServerManagerCmd -i RSAT-ADDS

Preparar Active Directory y los dominios

Para realizar un seguimiento del progreso de la replicación de Active Directory, puede usar la herramienta Monitor de réplica de Active Directory(replmon.exe), instalada como parte de las Herramientas de soporte técnico de Windows Server 2003. De forma predeterminada, está ubicada en "%archivosdeprograma%\support tools\." Agregue los controladores de dominio como servidores controladores para que pueda realizar un seguimiento de la replicación a lo largo del dominio.

  1. Si en la organización tiene equipos que ejecutan Exchange 2003, abra una ventana del símbolo del sistema y, a continuación, ejecute uno de los siguientes comandos:

    • Para preparar permisos heredados de Exchange en cada dominio del bosque que contiene los servidores de Exchange Enterprise y los servidores de dominio de Exchange, ejecute el comando siguiente:
      setup /PrepareLegacyExchangePermissions o setup /pl

    • Para preparar permisos heredados de Exchange en un dominio específico, ejecute el comando siguiente:
      setup /PrepareLegacyExchangePermissions: < FQDN del dominio que desea preparar > o setup /pl:<FQDN del dominio que desea preparar>

      Nota

      Puede omitir este paso y preparar los permisos heredados de Exchange como parte del Paso 2 o del Paso 3. Las ventajas de ejecutar cada paso por separado son que puede ejecutar cada paso con una cuenta que tenga los permisos mínimos necesarios para realizarlo y que puede comprobar la finalización, corrección y replicación de cada paso antes de continuar con el siguiente.

    Tenga en cuenta lo siguiente:

    • Para ejecutar este comando con el objeto de preparar todos los dominios del bosque, debe ser miembro del grupo Administradores de la organización. Para ejecutar este comando para preparar un dominio específico, o si el bosque tiene solo un dominio, debe tener delegado el rol de administración de la organización de Exchange y debe ser miembro del grupo Administradores de dominio del dominio que vaya a preparar.
    • Si no especifica un dominio, el dominio en el cual ejecute este comando debe poder ponerse en contacto con todos los dominios del bosque. Si el servidor no puede establecer contacto con un dominio que debe tener preparados los permisos de Exchange heredados, prepara los dominios con los que puede establecer contacto y, a continuación, devuelve un mensaje de error en el que notifica que no pudo establecer contacto con algunos dominios.
    • Puede ejecutar este comando desde cualquier Windows Server 2003 SP1 de 64 bits o servidor de Windows Server 2008 del bosque.
    • Debe ejecutar este comando en un equipo situado en el mismo dominio y el mismo sitio de Active Directory que el maestro de esquema. El comando Setup realizará todos los cambios de configuración en el maestro de esquema para evitar conflictos causados por la latencia de replicación. Para obtener información específica al respecto, consulte Identificar el maestro de esquema.
    • Tras ejecutar este comando, debe esperar que los permisos se repliquen a lo largo de su organización de Exchange antes de proceder al siguiente paso. Si los permisos no se replican, el Servicio de actualización de destinatarios de los equipos Exchange Server 2003 podría dar error. La cantidad de tiempo necesaria para la replicación varía en función de la tipología del sitio de Active Directory.
    • Para obtener información detallada acerca de los permisos configurados por este comando, consulte Preparar permisos heredados de Exchange 2003.

  2. En una ventana del símbolo del sistema, ejecute el siguiente comando:
    setup /PrepareSchema o setup /ps

    Nota

    Puede omitir este paso y preparar el esquema como parte del Paso 3.

    Importante

    No debe ejecutar este comando en un bosque en el que no tenga previsto ejecutar setup /PrepareAD. De lo contrario, el bosque se configurará incorrectamente y no podrá leer algunos atributos de los objetos de usuario.

    Nota

    No se admite el uso de la herramienta directorio LDIF de Exchange (LDIFDE) para importar los cambios en el esquema de Exchange 2010 de forma manual. Debe usar el comando Setup para actualizar el esquema.

    Este comando realiza las tareas siguientes:

    • Conecta con el maestro de esquema e importa los archivos del formato de intercambio de datos del protocolo LDAP (LDIF) para actualizar el esquema con los atributos específicos de Exchange 2010. Los archivos LDIF se copian en el directorio temporal y, una vez se han importado al esquema, se eliminan.
      Tenga en cuenta lo siguiente:
    • Para ejecutar este comando, debe ser miembro del grupo Administradores de esquema y del grupo Administradores de empresa.
    • Debe ejecutar este comando en un equipo de 64 bits situado en el mismo dominio y el mismo sitio de Active Directory que el maestro de esquema.
    • Si no ha completado el Paso 1, setup /PrepareSchema ejecutará automáticamente el paso PrepareLegacyExchangePermissions. Para completar el paso PrepareLegacyExchangePermissions, el dominio en el que ha ejecutado este comando debe poder ponerse en contacto con todos los dominios del bosque. Las ventajas de ejecutar cada paso por separado son que puede ejecutar cada paso con una cuenta que tenga los permisos mínimos necesarios para realizarlo y que puede comprobar la finalización, corrección y replicación de cada paso antes de continuar con el siguiente.
    • Si usa el parámetro /DomainController con este comando, debe especificar el controlador de dominio que actúa como el maestro de esquema.
    • Tras ejecutar este comando, debe esperar que los cambios se repliquen a lo largo de su organización de Exchange antes de proceder al siguiente paso. La cantidad de tiempo necesaria para la replicación varía en función de la tipología del sitio de Active Directory.
    • Para obtener más información, consulte Cambios de Exchange Server en el esquema de Active Directory.

  3. En una ventana del símbolo del sistema, ejecute el siguiente comando:
    setup /PrepareAD [/OrganizationName: <nombre de la organización> ] o setup /p [/on:<nombre de la organización>]
    Este comando realiza las tareas siguientes:

    • Si el contenedor de Microsoft Exchange no existe, este comando lo crea en CN=Servicios,CN=Configuración,DC=<dominio raíz>.
    • Si no existe ningún contenedor de organización de Exchange en CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio raíz >, debe especificar un nombre de organización mediante el parámetro /OrganizationName. Se creará el contenedor de la organización con el nombre que especifique.
      El nombre de la organización de Exchange sólo puede contener los siguientes caracteres:
      De la A a la Z
      de la a a la z
      De 0 a 9
      Espacio (menos en posiciones delantera o trasera)
      Guión o signo menos
      El nombre de la organización no puede contener más de 64 caracteres. El nombre de la organización no se puede dejar en blanco. Si el nombre contiene espacios, deberá escribirlo entre comillas.
    • Comprueba que el esquema se ha actualizado y que la organización está actualizada verificando la propiedad objectVersion en Active Directory. La propiedad objectVersion está en el contenedor CN=<organización>, CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio>. El valor objectVersion de Exchange 2010 RTM es 12639.
    • Si no existen, crea los siguientes contenedores y objetos en CN=<Nombre de la organización>,CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio raíz>. Son necesarios para Exchange 2010.
      CN=Contenedor de listas de direcciones,CN=<Nombre de la organización>,CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio raíz>
      CN=Direcciones,CN=<Nombre de la organización>,CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio raíz>
      CN=Grupos administrativos,CN=<Nombre de la organización>,CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio raíz>
      CN=Acceso de cliente,CN=<Nombre de la organización>,CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio raíz>
      CN=Conexiones,CN=<Nombre de la organización>,CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio raíz>
      CN=Contenedor de carpetas ELC,CN=<Nombre de la organización>,CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio raíz>
      CN=Directivas de buzón ELC,CN=<Nombre de la organización>,CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio raíz>
      CN=Configuración global,CN=<Nombre de la organización>,CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio raíz>
      CN=Directivas de buzón móvil,CN=<Nombre de la organización>,CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio raíz>
      CN=Directivas de destinatarios,CN=<Nombre de la organización>,CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio raíz>
      CN=Directivas del sistema,CN=<Nombre de la organización>,CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio raíz>
      CN=Configuración de transporte,CN=<Nombre de la organización>,CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio raíz>
      CN=Operador automático de mensajería unificada,CN=<Nombre de la organización>,CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio raíz>
      CN=Plan de marcado de mensajería unificada,CN=<Nombre de la organización>,CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio raíz>
      CN=Contenedor de puerta de enlace IP de mensajería unificada,CN=<Nombre de la organización>,CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio raíz>
      CN=Directivas de buzón de mensajería unificada,CN=<Nombre de la organización>,CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio raíz>
    • Si no existe, crea la entrada de dominios aceptados predeterminada, según el espacio de nombres raíz del bosque, en CN=Configuración de transporte,CN=<Nombre de la organización>,CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio raíz>.
    • Asigna permisos concretos en toda la partición de configuración.
    • Importa el archivo Rights.ldf. Con ello se agregan los derechos extendidos necesarios para instalar Exchange en Active Directory.
    • Crea la unidad organizativa (OU) de grupos de seguridad de Microsoft Exchange en el dominio raíz del bosque y asigna permisos concretos en esta unidad organizativa.
    • Crea los siguientes grupos de funciones de administración dentro de la unidad organizativa (OU) de grupos de seguridad de Microsoft Exchange:
      Administración de organizaciones de Exchange
      Administración de destinatarios de Exchange
      Administración de servidores Exchange
      Administración de organizaciones con permiso de vista de Exchange
      Administración de carpetas públicas de Exchange
      Administración de mensajería unificada de Exchange
      Administración de higiene de Exchange
      Administración de registros de Exchange
      Administración de detección de Exchange
      Configuración delegada de Exchange
    • Agrega los nuevos grupos de seguridad universal (USG) que están dentro de la unidad organizativa (OU) de grupos de seguridad de Microsoft Exchange al atributo otherWellKnownObjects almacenado en el contenedor CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio raíz>.
    • Este comando genera el contacto creador de voz de mensajería unificada en el contenedor de objetos del sistema de Microsoft Exchange del dominio raíz.
    • Prepara el dominio local de Exchange 2010. Para obtener información acerca de las tareas que se realizan para preparar un dominio, consulte el Paso 4.
      Tenga en cuenta lo siguiente:
    • Para ejecutar este comando, debe ser miembro del grupo Administradores de la organización.
    • El equipo donde ejecute este comando debe ser capaz de establecer contacto con todos los dominios del bosque en el puerto 389.
    • Debe ejecutar este comando en un equipo situado en el mismo dominio y el mismo sitio de Active Directory que el maestro de esquema. El comando Setup realizará todos los cambios de configuración en el maestro de esquema para evitar conflictos causados por la latencia de replicación.
    • Si no ha completado el Paso 1, setup /PrepareAD ejecutará automáticamente el paso PrepareLegacyExchangePermissions. Para completar el paso PrepareLegacyExchangePermissions, el dominio en el que ha ejecutado este comando debe poder ponerse en contacto con todos los dominios del bosque. Si también es miembro del grupo Administradores de esquema y no ha completado el Paso 2, setup /PrepareAD ejecutará automáticamente el paso PrepareSchema. Las ventajas de ejecutar cada paso por separado son que puede ejecutar cada paso con una cuenta que tenga los permisos mínimos necesarios para realizarlo y que puede comprobar la finalización, corrección y replicación de cada paso antes de continuar con el siguiente.
    • Tras ejecutar este comando, debe esperar que los cambios se repliquen a lo largo de su organización de Exchange antes de proceder al siguiente paso. La cantidad de tiempo necesaria para completar esta tarea varía en función de la tipología del sitio de Active Directory.
    • Para comprobar que este paso se completa correctamente, asegúrese de que existe una nueva unidad organizativa (OU) en el dominio raíz denominado Grupos de seguridad de Microsoft Exchange. Esta unidad organizativa debe contener los siguientes grupos de seguridad universales de Exchange:
      Unidades organizativas de grupos de seguridad de Exchange:
      Administración de organizaciones de Exchange
      Administración de destinatarios de Exchange
      Administración de servidores Exchange
      Administración de organizaciones con permiso de vista de Exchange
      Administración de carpetas públicas de Exchange
      Administración de mensajería unificada de Exchange
      Administración de higiene de Exchange
      Administración de registros de Exchange
      Administración de detección de Exchange
      Configuración delegada de Exchange
      ExchangeLegacyInterop

  4. Desde una ventana del símbolo del sistema, ejecute uno de los siguientes comandos:

    • Ejecute setup /PrepareDomain o setup /pd para preparar el dominio local. No necesita ejecutar este comando en el dominio en el que ejecutó el Paso 3. La ejecución de setup /PrepareAD prepara el dominio local.

    • Ejecute setup /PrepareDomain:<FQDN del dominio que desea preparar> para preparar un dominio específico.

    • Ejecute setup /PrepareAllDomains o setup /pad para preparar todos los dominios de la organización.
      Estos comandos realizan las siguientes tareas:

    • Si se trata de una organización nueva, este comando crea el contenedor de objetos de sistema de Microsoft Exchange en la partición del dominio raíz de Active Directory y define permisos en este contenedor para los servidores Exchange, los administradores de la organización de Exchange y los usuarios autenticados. Este contenedor se usa para almacenar objetos proxy de carpeta pública y objetos de sistema relacionados con Exchange como, por ejemplo, el buzón de la base de datos de buzones de correo.

    • Define la propiedad objectVersion en el contenedor de objetos de sistema de Microsoft Exchange, en DC=<dominio raíz>. Esta propiedad objectVersion contiene la versión de preparación del dominio. La versión de Exchange 2010 es 12639.

    • Crea un nuevo grupo global de dominio en el dominio actual llamado Servidores de dominio de instalación de Exchange. El comando coloca este grupo en el contenedor de objetos de sistema de Microsoft Exchange. También agrega el grupo Servidores de dominio de instalación de Exchange al grupo de servidores de seguridad universal de Exchange en el dominio raíz.

      Nota

      El grupo Servidores de dominio de instalación de Exchange se usa cuando instala Exchange 2010 en un dominio secundario situado en un sitio de Active Directory diferente del dominio raíz. La creación de este grupo permite evitar errores de instalación en caso de que las pertenencias a grupos no se hayan replicado en el dominio secundario.

    • Asigna permisos en el nivel de dominio para el grupo de seguridad universal (USG) de servidores Exchange y para el USG de los administradores de destinatarios de Exchange.
      Tenga en cuenta lo siguiente:

    • Para ejecutar setup /PrepareAllDomains, debe ser miembro del grupo Administradores de empresa.

    • Para ejecutar setup /PrepareDomain, si el dominio que está preparando existía antes de ejecutar setup /PrepareAD, debe ser miembro del grupo Administradores de dominio del dominio. Si el dominio que está preparando se creó cuando ya había ejecutado setup /PrepareAD, debe ser miembro del grupo Administradores de la organización de Exchange y miembro del grupo Administradores de dominio del dominio.

    • Para los dominios situados en un sitio de Active Directory diferente del dominio raíz, puede producirse un error en /PrepareDomain y dar lugar a los siguientes mensajes:
      "PrepareDomain para el dominio <YourDomain> se ha completado parcialmente. Debido a la configuración del sitio de Active Directory, debe esperar un mínimo de 15 minutos para realizar la replicación y volver a ejecutar PrepareDomain para <YourDomain>".
      "La operación de Active Directory dio error en <YourServer>. Este error no es recuperable. Información adicional: El tipo de grupo especificado no es válido.
      respuesta Active Directory: 00002141: SvcErr: DSID-031A0FC0, problem 5003 (WILL_NOT_PERFORM), data 0
      El servidor no puede responder a solicitudes del directorio".
      Si aparecen estos mensajes, espere o exija la replicación de Active Directory entre este dominio y el dominio raíz y, a continuación, vuelva a ejecutar /PrepareDomain.

    • Debe ejecutar este comando en cada dominio en el que vaya a instalar Exchange 2010. También debe ejecutar este comando en cada dominio que vaya a contener usuarios habilitados para correo, incluso aunque el dominio no tenga instalado Exchange 2010.
      Para comprobar que este paso se ha completado correctamente, confirme los siguientes aspectos:

    • Cuenta con un nuevo grupo global en el contenedor de objetos de sistema de Microsoft Exchange llamado "Servidores de dominio de instalación de Exchange".

      Nota

      Para visualizar el contenedor de los Objetos de sistema de Microsoft Exchange en Usuarios y equipos de Active Directory, en el menú Ver, haga clic en Características avanzadas.

    • El grupo Servidores de dominio de instalación de Exchange es miembro del grupo de seguridad universal de servidores Exchange en el dominio raíz.

    • En todos los controladores de un dominio en el que vaya a instalar Exchange 2010, el grupo de seguridad universal de servidores Exchange tiene permisos en la directiva Directiva de seguridad de controladores de dominio\Directivas locales\Asignación de derechos de usuario\Administrar registros de auditoría y seguridad.