Como preparar o Active Directory e os domínios
Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Tópico modificado em: 2008-02-19
Este tópico explica como preparar o serviço de diretório do Active Directory e os domínios para instalar o Microsoft Exchange Server 2007. Você deve concluir esse procedimento antes de instalar o Exchange 2007 em quaisquer servidores de sua organização.
Dica
Se você executar o assistente para Instalação do Exchange Server 2007 com uma conta que tenha as permissões requeridas para preparar o Active Directory e o domínio, o assistente irá preparar o Active Directory e o domínio automaticamente.
Antes de começar
Antes de preparar o Active Directory e seu domínio para o Exchange 2007, confirme o seguinte:
O computador no qual você executa esse procedimento tem o Microsoft .NET Framework 2.0 e o Microsoft Command Shell instalados.
Seus domínios e os controladores de domínio atendem aos requisitos do sistema da seção "Servidores de rede e de diretório" do Requisitos do sistema do Exchange 2007.
Em cada domínio em que você instalar o Exchange 2007 (ou em que conterá usuários habilitados para email), terá pelo menos um controlador de domínio que esteja executando o Windows Server 2003 Service Pack 1 (SP1).
Se você estiver executando a versão RTM (Versão de Produção) do Exchange 2007 Setup.com, em cada domínio (incluindo domínios-filho) em que tiver os grupos de segurança Exchange Enterprise Servers e Exchange Domains Servers e, portanto, tiver de executar Setup /PrepareLegacyExchangePermissions, você deverá ter pelo menos um controlador de domínio que esteja executando o Windows Server 2003 SP1 ou uma versão posterior.
Se você tiver qualquer controlador de domínio que esteja executando o Windows 2000 Server e estiver usando o Setup.com do Exchange 2007 RTM, deverá executar cada uma das etapas abaixo com o parâmetro /DomainController para especificar um controlador de domínio que esteja executando o Windows Server 2003 SP1. Se você estiver usando o Setup.com do Exchange 2007 SP1, não terá de especificar um controlador de domínio que esteja executando o Windows Server 2003 SP1.
Se você estiver implantando uma nova organização do Exchange e estiver preparando seu esquema e domínios do Active Directory usando um computador que execute o Windows Server 2008, deverá primeiro instalar as ferramentas de gerenciamento do Active Directory no computador do Windows Server 2008 antes de preparar o esquema ou os domínios. Para isso, execute o seguinte comando:
ServerManagerCmd -i RSAT-ADDSOs computadores em que você instalará o Exchange 2007 atendem aos requisitos de sistema das seções "Hardware" e "Sistema operacional" do Requisitos do sistema do Exchange 2007.
Dica
Você pode executar esse procedimento em um computador com um processador de 32 bits ou 64 bits. Para obter mais informações sobre versões de plataforma, consulte Exchange Server 2007: Plataformas, edições e versões.
Procedimento
Para preparar o Active Directory e o domínio
Se você tiver computadores em sua organização que executem o Exchange Server 2003 ou o Exchange 2000 Server, abra uma janela de Prompt de Comando e, em seguida, execute um dos comandos a seguir:
Para preparar permissões herdadas do Exchange em todos os domínios da floresta que contenham os grupos Exchange Enterprise Servers e Exchange Domain Servers, execute o seguinte comando:
setup /PrepareLegacyExchangePermissions ou setup /pl
Para preparar permissões herdadas do Exchange em um domínio específico, execute o seguinte comando:
setup /PrepareLegacyExchangePermissions: < FQDN do domínio que você deseja preparar > ou setup /pl:<FQDN do domínio que você deseja preparar>
Dica
Você pode ignorar esta etapa e preparar as permissões herdadas do Exchange como parte da Etapa 2 ou da Etapa 3. As vantagens de executar cada etapa separadamente são que você pode executar cada etapa com uma conta que tenha as permissões mínimas necessárias para essa etapa e pode verificar a conclusão, o sucesso e a replicação antes de continuar com a próxima etapa.
Observe o seguinte:
Para executar esse comando para preparar todos os domínios da floresta, você deve ser membro do grupo Admin. Corporativos. Para executar esse comando para preparar um domínio específico ou se a floresta tiver somente um domínio, a função de Administrador Completo do Exchange deverá estar delegada a você e deverá ser um membro do grupo Administradores do Domínio no domínio a ser preparado.
Se você não especificar um domínio, o domínio em que esse comando for executado deverá poder entrar em contato com todos os domínios da floresta. Se o servidor não puder entrar em contato com um domínio que deva ter permissões herdadas do Exchange preparadas, ele preparará os domínios que ele pode contatar e retornará uma mensagem de erro informando que não foi possível contatar alguns domínios.
Você pode executar esse comando de qualquer servidor Windows Server 2003 SP1 de 32 ou 64 bits da floresta.
Depois de executar esse comando, você deve aguardar que as permissões sejam replicadas por toda a organização do Exchange antes de continuar até a próxima etapa. Se as permissões não forem replicadas, o Serviço de Atualização de Destinatário no seu computador do Exchange Server 2003 ou Exchange 2000 Server poderá falhar. O período de tempo necessário para a replicação depende da topologia do site do Active Directory.
Dica
Para rastrear o progresso da replicação do Active Directory, você pode usar a ferramenta Active Directory Replication Monitor (replmon.exe), que é instalada como parte da Instalação das Ferramentas de Suporte do Microsoft Windows Server 2003. Por padrão, está localizado em "%programfiles%\support tools." Adicione seus controladores de domínio como servidores monitorados para que você possa rastrear o progresso da replicação por todo o domínio.
Para obter informações detalhadas sobre as permissões definidas por esse comando, consulte Preparando permissões herdadas do Exchange.
A partir de uma janela de Prompt de Comando, execute o seguinte comando:
setup /PrepareSchema ou setup /ps
Dica
Você pode pular essa etapa e preparar o esquema como parte da Etapa 3.
Importante
Você não deverá executar esse comando em uma floresta na qual você não planeje executar setup /PrepareAD. Se fizer isso, a floresta será configurada incorretamente e você não poderá mais ler alguns atributos em objetos do usuário.
Dica
Não há suporte para usar LDIFDE para importar manualmente as alterações no esquema do Exchange 2007. Você deve usar a Instalação para atualizar o esquema.
Esse comando executa as seguintes tarefas:
Conecta-se ao controlador de esquemas e importa os arquivos LDAP LDIF(Data Interchange Format) para atualizar o esquema com os atributos específicos do Exchange 2007. Os arquivos LDIF são copiados no diretório Temp e são excluídos depois de serem importados no esquema.
Dica
O esquema do Exchange 2007 inclui também as extensões do esquema do Exchange 2000 e do Exchange 2003.
Se você não tiver concluído a Etapa 1, setup /PrepareSchema executará automaticamente a etapa PrepareLegacyExchangePermissions.
Observe o seguinte:
Se você desejar verificar as atualizações no esquema antes de as alterações serem replicadas em outros servidores do domínio, deverá desabilitar a replicação de saída no computador no qual executou o comando antes de executá-lo e então habilitar a replicação de saída depois de ter verificado se a importação foi concluída com êxito.
Para executar esse comando, você deve ser membro do grupo Administradores de Esquemas e do grupo Administradores da Empresa.
Você deve executar esse comando em um computador de 32 ou de 64 bits que tenha o mesmo domínio e o mesmo site do Active Directory que o controlador de esquemas.
Se você não tiver concluído a Etapa 1, setup /PrepareSchema executará automaticamente a etapa PrepareLegacyExchangePermissions. Para concluir a etapa PrepareLegacyExchangePermissions, o domínio no qual você executa esse comando deve poder entrar em contato com todos os domínios da floresta. As vantagens de executar cada etapa separadamente são que você pode executar cada etapa com uma conta que tenha as permissões mínimas necessárias para essa etapa e pode verificar a conclusão, o sucesso e a replicação antes de continuar com a próxima etapa.
Se você usar o parâmetro /DomainController com esse comando, deverá especificar o controlador de domínio que é o controlador de esquemas.
Depois de executar esse comando, você deve aguardar que as alterações sejam replicadas por toda a organização do Exchange antes de continuar na próxima etapa. O período de tempo necessário dependerá da topologia do site do Active Directory.
Dica
Para rastrear o progresso da replicação do Active Directory, você pode usar a ferramenta Active Directory Replication Monitor (replmon.exe), que é instalada como parte da Instalação das Ferramentas de Suporte do Windows Server 2003. Por padrão, está localizado em "%programfiles%\support tools." Adicione seus controladores de domínio como servidores monitorados para que você possa rastrear o progresso da replicação por todo o domínio.
Para obter informações detalhadas sobre as alterações no esquema que são feitas executando esse comando, consulte Alterações do esquema do Active Directory.
A partir de uma janela de Prompt de Comando, execute o seguinte comando:
setup /PrepareAD [/OrganizationName <nome da organização> ] ou setup /p [/on:<nome da organização>]
Esse comando executa as seguintes tarefas:
Se o contêiner do Microsoft Exchange não existir, esse comando será criado em CN=Serviços,CN=Configuração,DC=<domínio raiz>.
Se não existir um contêiner da organização do Exchange em CN=Microsoft Exchange,CN=Serviços,CN=Configuração,DC=<domínio raiz >, você deverá especificar um nome de organização usando o parâmetro /OrganizationName. O contêiner da organização será criado com o nome especificado.
O nome da organização do Exchange só pode conter os seguintes caracteres:
A a Z
a a z
0 a 9
Espaço (exceto no início ou no final)
Hífen ou travessão
O nome da organização não pode conter mais de 64 caracteres. O nome da organização não pode ficar em branco. Se o nome da organização contiver espaços, você deverá colocá-lo entre aspas.
Verifique se o esquema foi atualizado e se a organização está atualizada verificando a propriedade objectVersion no Active Directory. A propriedade objectVersion está no contêiner CN=<sua organização>, CN=Microsoft Exchange,CN=Serviços,CN=Configuração,DC=<domínio>. O valor objectVersion para essa versão RTM (Versão de Produção) do Exchange 2007 é 10666.
Se eles não existirem, crie os seguintes contêineres e objetos em CN=<Nome da Organização>,CN=Microsoft Exchange,CN=Serviços,CN=Configuração,DC=<domínio raiz>. Eles são necessários no Exchange 2007.
CN=Contêiner de Listas de Endereços,CN=<Nome da Organização>,CN=Microsoft Exchange,CN=Serviços,CN=Configuração,DC=<domínio raiz>
CN=Endereços,CN=<Nome da Organização>,CN=Microsoft Exchange,CN=Serviços,CN=Configuração,DC=<domínio raiz>
CN=Grupos Administrativos,CN=<Nome da Organização>,CN=Microsoft Exchange,CN=Serviços,CN=Configuração,DC=<domínio raiz>
CN=Acesso para Cliente,CN=<Nome da Organização>,CN=Microsoft Exchange,CN=Serviços,CN=Configuração,DC=<domínio raiz>
CN=Conexões,CN=<Nome da Organização>,CN=Microsoft Exchange,CN=Serviços,CN=Configuração,DC=<domínio raiz>
CN=Contêiner de Pastas ELC,CN=<Nome da Organização>,CN=Microsoft Exchange,CN=Serviços,CN=Configuração,DC=<domínio raiz>
CN=Diretivas de Caixas de Correio ELC,CN=<Nome da Organização>,CN=Microsoft Exchange,CN=Serviços,CN=Configuração,DC=<domínio raiz>
CN=Configurações Globais,CN=<Nome da Organização>,CN=Microsoft Exchange,CN=Serviços,CN=Configuração,DC=<domínio raiz>
CN=Diretivas de Caixas de Correio Móveis,CN=<Nome da Organização>,CN=Microsoft Exchange,CN=Serviços,CN=Configuração,DC=<domínio raiz>
CN=Diretivas do Destinatário,CN=<Nome da Organização>,CN=Microsoft Exchange,CN=Serviços,CN=Configuração,DC=<domínio raiz>
CN=Diretivas do Sistema,CN=<Nome da Organização>,CN=Microsoft Exchange,CN=Serviços,CN=Configuração,DC=<domínio raiz>
CN=Configurações de Transporte,CN=<Nome da Organização>,CN=Microsoft Exchange,CN=Serviços,CN=Configuração,DC=<domínio raiz>
CN=Atendedor Automático do UM,CN=<Nome da Organização>,CN=Microsoft Exchange,CN=Serviços,CN=Configuração,DC=<domínio raiz>
CN=Plano de Discagem do UM,CN=<Nome da Organização>,CN=Microsoft Exchange,CN=Serviços,CN=Configuração,DC=<domínio raiz>
CN=Contêiner de Gateway IP do UM,CN=<Nome da Organização>,CN=Microsoft Exchange,CN=Serviços,CN=Configuração,DC=<domínio raiz>
CN=Diretivas de Caixas de Correio do UM,CN=<Nome da Organização>,CN=Microsoft Exchange,CN=Serviços,CN=Configuração,DC=<domínio raiz>
Se ela ainda não existir, esse comando criará a entrada padrão Domínios Aceitos, com base no namespace raiz da floresta, em CN=Configurações de Transporte,CN=<Nome da Organização>,CN=Microsoft Exchange,CN=Serviços,CN=Configuração,DC=<domínio raiz>.
Atribua permissões específicas em toda a partição de configuração. Para obter mais informações sobre quais permissões estão concedidas, consulte Referência de permissões de configuração do Exchange 2007 Server.
Importa o arquivo Rights.ldf. Isso adiciona os direitos estendidos necessários para o Exchange instalar no Active Directory.
Cria a UO (unidade organizacional) dos Grupos de Segurança do Microsoft Exchange no domínio raiz da floresta e atribuiu permissões específicas a essa UO. Para obter mais informações sobre quais permissões estão concedidas, consulte Referência de permissões de configuração do Exchange 2007 Server.
Cria os seguintes USGs (grupos de segurança universal) dentro da UO dos Grupos de Segurança do Microsoft Exchange:
Administradores da Organização do Exchange
Administradores de Destinatários Exchange
Servidores Exchange
Administradores Somente para Exibição do Exchange
Administradores de Pasta Pública do Exchange (Novo no Exchange Server 2007 Service Pack 1)
ExchangeLegacyInterop
Adiciona os novos USGs que estão dentro da UO dos Grupos de Segurança do Microsoft Exchange para o atributo otherWellKnownObjects que está armazenado no contêiner CN=Microsoft Exchange,CN=Serviços,CN=Configuração,DC=<domínio raiz>.
Esse comando cria o Grupo Administrativo do Exchange 2007 chamado Grupo Administrativo do Exchange (FYDIBOHF23SPDLT). Ele cria também o Grupo de Roteamento do Exchange 2007 chamado Grupo de Roteamento do Exchange (DWBGZMFD01QNBJR).
Aviso
Não mova servidores do Exchange 2007 para fora do Grupo Administrativo do Exchange (FYDIBOHF23SPDLT) e não renomeie o Grupo Administrativo do Exchange (FYDIBOHF23SPDLT) usando um editor de diretório de baixo nível. O Exchange 2007 deve usar esse grupo administrativo para armazenamento de dados de configuração. Não há suporte para mover servidores do Exchange 2007 para fora do Grupo Administrativo do Exchange (FYDIBOHF23SPDLT) ou para renomear o Grupo Administrativo do Exchange (FYDIBOHF23SPDLT).
Aviso
Não mova servidores Exchange 2007 para fora do Grupo de Roteamento do Exchange (DWBGZMFD01QNBJR) e não renomeie o Grupo de Roteamento do Exchange (DWBGZMFD01QNBJR) usando um editor de diretório de baixo nível. O Exchange 2007 deve usar esse grupo de roteamento para se comunicar com versões anteriores do Exchange. Não há suporte para mover servidores do Exchange 2007 para fora do Grupo de Roteamento do Exchange (DWBGZMFD01QNBJR) ou para renomear o Grupo de Roteamento do Exchange (DWBGZMFD01QNBJR).
Este comando cria o contato de Remetente de Voz da Unificação de Mensagens no contêiner Objetos do Sistema do Microsoft Exchange do domínio raiz.
Este comando prepara o domínio local para o Exchange 2007. Para obter informações sobre quais tarefas devem ser concluídas para preparar um domínio, consulte a Etapa 4.
Observe o seguinte:
Para executar esse comando, você deve ser membro do grupo Administradores Corporativos.
O computador em que você executa esse comando deve ser capaz de contatar todos os domínios da floresta na porta 389.
Você deve executar esse comando em um computador que esteja no mesmo domínio e no mesmo site do Active Directory que o Controlador de Esquemas. A Instalação fará todas as alterações no controlador de domínio para evitar conflitos devido à latência de replicação.
Se você não tiver concluído a Etapa 1, setup /PrepareAD executará automaticamente a etapa PrepareLegacyExchangePermissions. Para concluir a etapa PrepareLegacyExchangePermissions, o domínio no qual você executa esse comando deve poder entrar em contato com todos os domínios da floresta. Se você for também membro do grupo Administradores do Esquema e não concluiu a Etapa 2, setup /PrepareAD executará automaticamente a etapa PrepareSchema. As vantagens de executar cada etapa separadamente são que você pode executar cada etapa com uma conta que tenha as permissões mínimas necessárias para essa etapa e pode verificar a conclusão, o sucesso e a replicação antes de continuar com a próxima etapa.
Depois de executar esse comando, você deve aguardar que as alterações sejam replicadas por toda a organização do Exchange antes de continuar na próxima etapa. O período de tempo necessário dependerá da topologia do site do Active Directory.
Dica
Para rastrear o progresso da replicação do Active Directory, você pode usar a ferramenta Active Directory Replication Monitor (replmon.exe), que é instalada como parte da Instalação das Ferramentas de Suporte do Windows Server 2003. Por padrão, está localizado em "%programfiles%\support tools." Adicione seus controladores de domínio como servidores monitorados para que você possa rastrear o progresso da replicação por todo o domínio.
Para verificar se essa etapa foi concluída com êxito, verifique se há uma nova UO no domínio raiz chamada Grupos de Segurança do Microsoft Exchange. Essa OU deve conter os novos USGs do Exchange a seguir:
Administradores da Organização do Exchange
Administradores de Destinatários do Exchange
Administradores Somente para Exibição do Exchange
Servidores Exchange
Administradores de Pasta Pública do Exchange (novo no Exchange Server 2007 Service Pack 1)
ExchangeLegacyInterop
Dica
Quando você instalar o Exchange 2007, a Instalação adicionará o USG de Administradores da Organização do Exchange como um membro do grupo Administradores no computador em que você está instalando o Exchange. Lembre-se de que o grupo Administradores local em um controlador de domínio tem permissões diferentes das que possui o grupo Administradores local em um servidor membro. Se você instalar o Exchange 2007 em um controlador de domínio, os usuários que são Administradores da Organização do Exchange terão permissões adicionais do Windows que não teriam se você instalasse o Exchange 2007 em um computador que não é um controlador de domínio.
A partir de uma janela de Prompt de Comando, execute um dos seguintes comandos:
Execute setup /PrepareDomain ou setup /pd para preparar o domínio local. Observe que não é preciso executá-lo no domínio em que executou a Etapa 3. A execução de setup /PrepareAD prepara o domínio local.
Execute setup /PrepareDomain:<FQDN do domínio que você quer preparar> para preparar um domínio específico.
Execute setup /PrepareAllDomains ou setup /pad para preparar todos os domínios da organização.
Esses comandos executam as seguintes tarefas:
Definir permissões no contêiner de domínio para os Exchange Servers, Administradores da Organização do Exchange, Usuários Autenticados e Administradores de Caixa de Correio do Exchange.
Se essa for uma organização nova, esse comando criará o contêiner Objetos do Sistema do Microsoft Exchange na partição do domínio raiz no Active Directory e definirá permissões nesse contêiner para os Exchange Servers, os Administradores da Organização doExchange e os Usuários Autenticados. Esse contêiner é usado para armazenar objetos proxy da pasta pública e objetos do sistema relacionados ao Exchange, como a caixa de correio do banco de dados de caixa de correio. Para obter mais informações sobre quais permissões são concedidas, consulte Referência de permissões de configuração do Exchange 2007 Server.
Esse comando define a propriedade objectVersion no contêiner Objetos do Sistema do Microsoft Exchange em DC=<domínio raiz>. Essa propriedade contém objectVersion a versão de preparação de domínio. A versão do Exchange 2007 RTM é 10628.
Cria um novo grupo global de domínio no domínio atual chamado Exchange Instalar Servidores de Domínio. O comando coloca esse grupo no contêiner Objetos do Sistema do Microsoft Exchange. Ele também adiciona o grupo Servidores de Domínio de Instalação do Exchange ao USG dos Servidores Exchange no domínio raiz.
Dica
O grupo Servidores de Domínio de Instalação do Exchange será usado se você instalar o Exchange 2007 em um domínio filho que está em um site do Active Directory diferente do domínio raiz. A criação desse grupo permite que você evite erros de instalação se as associações de grupo não tiverem se replicado para o domínio filho.
Atribui permissões no nível de domínio para o USG (grupo de segurança universal) dos Exchange Servers e o USG de Administradores de Destinatários do Exchange. Para obter mais informações sobre quais permissões estão concedidas, consulte Referência de permissões de configuração do Exchange 2007 Server.
Observe o seguinte:
Para domínios que estão em um site do Active Directory diferente do domínio raiz, /PrepareDomain pode falhar com as seguintes mensagens:
"PrepareDomain para o domínio <YourDomain> foi parcialmente concluído. Devido à configuração do site do Active Directory, você deve aguardar pelo menos 15 minutos para que a replicação ocorra e executar PrepareDomain para <YourDomain> novamente".
"A operação do Active Directory falhou em <SeuServidor>. Esse erro não é passível de repetição. Informações adicionais: O tipo de grupo especificado é inválido.
Resposta do Active Directory: 00002141: SvcErr: DSID-031A0FC0, problem 5003 (WILL_NOT_PERFORM), data 0
The server cannot handle directory requests." (O servidor não pode manipular solicitações de diretório.)
Se essas mensagens forem exibidas, aguarde ou force a replicação do Active Directory entre esse domínio e o domínio raiz e execute /PrepareDomain novamente.
Para executar setup /PrepareAllDomains, você deve ser membro do grupo Administradores Corporativos.
Para executar setup /PrepareDomain, se o domínio que você está preparando já existia antes da execução de setup /PrepareAD, você deve ser membro do grupo Administradores do Domínio no domínio. Se o domínio que você está preparando tiver sido criado após a execução de setup /PrepareAD, você deve ser membro do grupo Administradores da Organização do Exchange e do grupo Administradores do Domínio no domínio.
Você deve executar esse comando em cada domínio no qual instalará o Exchange 2007. Você deve executar esse comando também em cada domínio que conterá usuários habilitados para email, mesmo se o domínio não tiver o Exchange 2007 instalado.
Para verificar se essa etapa foi concluída com êxito, confirme o seguinte:
Você tem um novo grupo global no contêiner Objetos do Sistema do Microsoft Exchange chamado Servidores de Domínio de Instalação do Exchange.
Dica
Para exibir o contêiner Objetos do Sistema do Microsoft Exchange em Usuários e Computadores do Active Directory, no menu Exibir, clique em Recursos Avançados.
O grupo Servidores de Domínio de Instalação do Exchange é membro do USG dos Servidores Exchange no domínio raiz.
Em cada controlador de domínio em um domínio em que o Exchange 2007 for instalado, o USG dos Servidores Exchange tem permissões na diretiva Diretiva de Segurança do Controlador de Domínio\Diretivas Locais\Atribuição de Direitos do Usuário\Gerenciar Auditoria e Log de Segurança.