Preparazione delle autorizzazioni legacy di Exchange

  • Articolo

 

Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Ultima modifica dell'argomento: 2007-11-21

In caso di transizione da Microsoft Exchange Server 2003 oppure Exchange 2000 Server verso Exchange Server 2007, è necessario concedere autorizzazioni specifiche Exchange in ogni dominio in cui si è eseguito Exchange 2003 o Exchange 2000 DomainPrep. A tale scopo, eseguire il comando setup /PrepareLegacyExchangePermissions. Si consiglia di eseguire il comando setup /PrepareLegacyExchangePermissions nel dominio radice della foresta di Active Directory. È possibile eseguire il comando su un server Exchange 2007 designato oppure su una workstation amministrativa di Exchange 2007. Indipendentemente da dove viene eseguito il comando setup /PrepareLegacyExchangePermissions, il programma di installazione deve essere in grado di comunicare con un server di elenchi in linea di Active Directory su cui è in esecuzione Windows Server 2003 con Service Pack 1 o versioni successive.

La concessione di tali autorizzazioni fa parte della preparazione del servizio directory di Active Directory e dei domini per l'installazione di Exchange 2007. Per istruzioni dettagliate, vedere Come preparare Active Directory e domini.

In questo argomento viene spiegato per quale motivo è necessario eseguire il comando setup /PrepareLegacyExchangePermissions, quando lo si esegue e quali autorizzazioni vengono configurate dal comando nell'ambito dell'organizzazione di Exchange 2007.

Perché è necessario eseguire Setup /PrepareLegacyExchangePermissions

Essenzialmente, è necessario eseguire il comando setup /PrepareLegacyExchangePermissions in modo che il Servizio aggiornamento destinatari di Exchange 2003 o di Exchange 2000 funzioni correttamente dopo l'aggiornamento dello schema Active Directory per Exchange 2007. In questa sezione verrà illustrato il problema principale che si verifica e la sua risoluzione mediante l'esecuzione del comando.

Problema

In Exchange Server 2003 e Exchange 2000 Server, il Servizio aggiornamento destinatari aggiorna alcuni attributi della cassetta postale, ad esempio l'indirizzo proxy sugli oggetti utenti abilitati all'utilizzo della posta. Il Servizio aggiornamento destinatari dispone delle autorizzazioni per modificare questi attributi in quanto l'account del computer (denominato <Nomeserver>) per il server su cui si esegue il Servizio aggiornamento destinatari fa parte del gruppo Exchange Enterprise Servers (EES). Il gruppo EES viene creato quando si esegue Exchange Server 2003 o Exchange 2000 Server DomainPrep. Anziché concedere le autorizzazioni del gruppo EES a ciascun attributo delle singole cassette postali che deve essere modificato dal Servizio aggiornamento destinatari, gli attributi delle cassette postali sono raggruppati in insiemi di proprietà. Quando si esegue Exchange Server 2003 o Exchange 2000 Server DomainPrep, Exchange fornisce al gruppo EES l'autorizzazione a modificare gli insiemi di proprietà mediante voci di controllo di accesso (ACE) che Exchange imposta sul contenitore di domini in Active Directory.

Exchange 2007 dispone di un nuovo ruolo di Amministratore di Exchange predefinito denominato Amministratori destinatari diExchange Questo ruolo contiene le autorizzazioni per gestire gli attributi di posta elettronica di tutti gli utenti. Gli amministratori di Exchange che sono membri del ruolo di Amministratore destinatari di Exchange possono gestire solo le proprietà della posta elettronica degli utenti. Per abilitare questa funzionalità, Exchange 2007 deve spostare alcuni attributi di posta elettronica degli utenti in un insieme di proprietà denominato "Insieme di proprietà delle informazioni di Exchange". Exchange esegue tale operazione ridefinendo gli schemi degli attributi in Active Directory al momento dell'importazione del nuovo schema di Exchange 2007. Tuttavia, il gruppo EES precedente non dispone dell'autorizzazione per l'insieme di proprietà delle informazioni di Exchange. Pertanto quando si importa il nuovo schema di Exchange 2007, il Servizio aggiornamento destinatari non avrà più l'autorizzazione per gli attributi di posta elettronica degli utenti e smetterà di funzionare correttamente. (A esempio, non sarà più in grado di impostare gli indirizzi proxy per i nuovi utenti di Exchange Server 2003.)

Soluzione

L'esecuzione del comando setup /PrepareLegacyExchangePermissions consente al Servizio aggiornamento destinatari precedente di funzionare correttamente. Prima di importare il nuovo schema di Exchange 2007, Exchange 2007 deve concedere nuove autorizzazioni in ogni dominio in cui è eseguito Exchange Server 2003 o Exchange 2000 Server DomainPrep. Il comando setup /PrepareLegacyExchangePermissions concede le nuove autorizzazioni. Prima di eseguire setup /PrepareSchema, è necessario eseguire setup /PrepareLegacyExchangePermissions e consentire che l'autorizzazione venga replicata all'interno dell'organizzazione di Exchange. Il server su cui viene eseguito setup /PrepareLegacyExchangePermissions contatta il catalogo globale locale per individuare i domini in cui è stato eseguito Exchange Server 2003 o Exchange 2000 Server DomainPrep controllando i gruppi EES ed Exchange Domain Servers (EDS). Il server deve essere in grado di comunicare con ogni dominio della foresta in cui è stato eseguito Exchange Server 2003 o Exchange 2000 Server DomainPrep. Inoltre, l'account utilizzato per eseguire setup /PrepareLegacyExchangePermissions deve avere le autorizzazioni assegnate al gruppo di protezione universale (USG) Enterprise Admins in modo tale da poter configurare le voci di controllo di accesso in ogni dominio e nell'organizzazione di Exchange .

Impostazione delle autorizzazioni mediante Setup /PrepareLegacyExchangePermissions

L'esecuzione di setup /PrepareLegacyExchangePermissions permette di individuare tutti i domini della foresta che dispongono del gruppo EES o del gruppo Exchange Domain Servers (EDS). Per ogni dominio che dispone di questi gruppi, setup /PrepareLegacyExchangePermissions procede in questo modo:

  • Aggiunge una voce di controllo dell'accesso all'elenco di controllo di accesso (ACL) della directory radice di dominio per fornire al gruppo EES le autorizzazioni WRITE_PROP sull'insieme di proprietà delle informazioni di Exchange.

  • Aggiunge una voce di controllo dell'accesso all'ACL della directory principale di dominio per fornire agli utenti autenticati le autorizzazioni per l'insieme di proprietà delle informazioni di Exchange.

  • Aggiunge una voce di controllo dell'accesso al contenitore AdminSDHolder del dominio per fornire al gruppo EES le autorizzazioni WRITE_PROP e READ_PROP sull'insieme di proprietà delle informazioni di Exchange.

  • Aggiunge una voce di controllo dell'accesso all'ACL del contenitore dell'organizzazione di Exchange per fornire al gruppo EDS le autorizzazioni WRITE_PROP sull'insieme di proprietà delle informazioni di Exchange.

Nuova esecuzione di Setup /PrepareLegacyExchangePermissions

In alcuni casi è necessario eseguire di nuovo setup /PrepareLegacyExchangePermissions:

  • Si dispone di un dominio che contiene server Exchange Server 2003 o Exchange 2000 Server  e non è stato eseguito DomainPrep

  • Viene aggiunto un nuovo dominio alla foresta e si desidera installare Exchange Server 2003 o Exchange 2000 Server in questo dominio

  • In un dominio nuovo o esistente, vengono abilitati all'utilizzo della cassetta postale gli utenti che accederanno alle cassette postali nei server Exchange Server 2003 o Exchange 2000 Server nei domini in cui non è stato eseguito DomainPrep.

In questi casi è necessario eseguire di nuovo setup /PrepareLegacyExchangePermissions dopo avere eseguito Exchange Server 2003 o Exchange 2000 Server DomainPrep. Questa operazione consente al Servizio aggiornamento destinatari di Exchange Server 2003 o Exchange 2000 Server di funzionare correttamente in questo dominio.