Подготовка Active Directory и доменов
Применимо к: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Последнее изменение раздела: 2016-11-28
Перед установкой Microsoft Exchange Server 2010 на любых серверах в организации необходимо выполнить подготовку Служба каталогов Active Directory и доменов.
Сведения о подготовке доменов с устаревшими разрешениями Exchange см. в разделе Подготовка устаревших разрешений для Exchange 2003.
Предварительные условия
Компьютеры, на которых планируется установить Exchange 2010, должны удовлетворять системным требованиям. Дополнительные сведения см. в разделе Системные требования Exchange 2010.
Домены и контроллеры доменов должны отвечать требованиям к системе, изложенным в подразделе "Сетевые серверы и серверы каталогов" статьи Системные требования Exchange 2010.
В каждом домене, в котором устанавливается Exchange 2010, необходимо иметь хотя бы один контроллер домена, в котором установлен один из приведенных далее продуктов.
Windows Server 2003 Standard Edition с пакетом обновления 1 (SP1) или более поздняя версия (32-разрядная или 64-разрядная)
Windows Server 2003 Enterprise Edition с пакетом обновления 1 (SP1) или более поздней версии (32- или 64-разрядной)
Windows Server 2008 Standard или Enterprise (32- или 64-разрядная)
Windows Server 2008 R2 Standard или Enterprise
Для организаций с несколькими доменами, на которых выполняются следующие команды /Prepare*, рекомендуется следующее:
запускать команды /Prepare* на сайте Служба каталогов Active Directory, имеющем сервер Служба каталогов Active Directory из каждого домена;
запускать установку первой роли сервера или обновление пакета обновления Exchange 2010 из узла Служба каталогов Active Directory, имеющего сервер глобального каталога, поддерживающего запись, из каждого домена;
проверять выполнение репликации объектов из предыдущих действий на сервере глобального каталога в узле Служба каталогов Active Directory перед установкой первого сервера Exchange 2010 (или обновления SP1) в этот узел.
Если в организации выполняется RTM-версия Exchange 2010 Setup.com, в каждом домене (включая дочерние), где имеются серверы Exchange Enterprise и группы безопасности серверов доменов Exchange (и, следовательно, должен выполняться код Setup /PrepareLegacyExchangePermissions), необходимо иметь хотя бы один контроллер домена, на котором установлена одна из следующих операционных систем:
Windows Server 2003 Standard Edition с пакетом обновления 1 или более поздняя версия (32-разрядная или 64-разрядная)
Windows Server 2003 Enterprise Edition с пакетом обновления 1 (SP1) или более поздняя версия (32- или 64-разрядная)
Windows Server 2008 Standard или Enterprise (32- или 64-разрядная)
Windows Server 2008 R2 Standard или Enterprise
Если мастер установки Exchange 2010 запущен с учетной записью, имеющей необходимые разрешения ("администраторы схемы", "администраторы домена" или "администраторы предприятия") для подготовки Служба каталогов Active Directory и домена, мастер будет автоматически выполнять подготовку Служба каталогов Active Directory и домена. Дополнительные сведения см. в разделе Установка сервера Exchange Server 2010. Тем не менее, при развертывании новой организации Exchange и подготовке схемы и доменов Служба каталогов Active Directory с помощью компьютера, на котором выполняется Windows Server 2008, необходимо сначала установить средства управления Служба каталогов Active Directory на компьютере Windows Server 2008 и только потом приступать к подготовке схемы или доменов. Для этого выполните следующую команду.
ServerManagerCmd -i RSAT-ADDS
Подготовка Active Directory и доменов
Чтобы отслеживать ход репликации Служба каталогов Active Directory, можно использовать Служба каталогов Active Directory средство наблюдения за репликацией (replmon.exe), входящее в состав средств поддержки Windows Server 2003 По умолчанию оно размещается в папке %programfiles%\support tools\. Добавьте контроллеры домена как отслеживаемые серверы, чтобы можно было отслеживать ход репликации по всему домену.
Если в организации имеются компьютеры под управлением Microsoft Exchange Server 2003, откройте окно командной строки и выполните одну из следующих команд.
Чтобы подготовить устаревшие разрешения Exchange в каждом домене леса, содержащего группы "Серверы предприятия Exchange" и "Серверы домена Exchange", выполните следующую команду:
setup /PrepareLegacyExchangePermissions или setup /pl
Чтобы подготовить устаревшие разрешения Exchange в конкретном домене, используйте следующую команду:
setup /PrepareLegacyExchangePermissions:< полное доменное имя домена, который необходимо подготовить > или setup /pl:<полное доменное имя домена, который необходимо подготовить>
.gif "Примечание")
Примечание.Вы можете пропустить этот этап и подготовить разрешения для устаревшей версии Exchange на этапе 2 или 3. Преимущество выполнения всех этапов по отдельности состоит в том, что каждый из них можно выполнять из учетной записи, имеющей минимальный набор разрешений, необходимый для данного конкретного этапа, а кроме того, вы можете проверить, все ли было выполнено успешно и прошла ли репликация, прежде чем переходить к следующему этапу. Необходимо отметить следующее:
Чтобы выполнить команду для подготовки каждого домена в лесу, необходимо быть членом группы администраторов предприятия. Чтобы выполнить эту команду для подготовки отдельного домена, или если лес состоит только из одного домена, необходимо иметь роль "Управление организацией Exchange" и быть членом группы администраторов подготавливаемого домена.
Если домен не указан, то домен, в котором выполняется эта команда, должен иметь возможность связываться со всеми доменами в лесу. Если сервер не может связаться с доменом, для которого должны быть подготовлены устаревшие разрешения Exchange, то сервер выполняет подготовку тех доменов, с которыми он может связаться, а потом выдает сообщение о том, что с некоторыми доменами связаться не удалось.
Эту команду можно выполнять с любого входящего в лес сервера Windows Server 2008.
Необходимо выполнять эту команду на компьютере, который находится в том же домене и на том же сайте Служба каталогов Active Directory, что и хозяин схемы. При установке все изменения настройки применяются к хозяину схемы во избежание конфликтов в случае задержки репликации. Дополнительные сведения см. в разделе Определение хозяина схемы (статья может быть на английском языке).
После запуска этой команды необходимо ожидать разрешений, чтобы реплицировать организацию Exchange перед тем, как перейти к выполнению следующего шага. Если разрешения не реплицировались, служба обновления получателей на компьютерах Exchange 2003 может не работать. Количество времени, необходимое для репликации, зависит от топологии сайта Служба каталогов Active Directory.
Дополнительные сведения о разрешениях, задаваемых этой командой, см. в разделе Подготовка устаревших разрешений для Exchange 2003.
Выполните в окне командной строки следующую команду:
setup /PrepareSchema или setup /ps
Примечание.Можно пропустить этот шаг и подготовить схему как часть действия 3. .gif "Важно")
Важно!Если в организации несколько лесов, убедитесь, что подготовка запускается из нужного леса Exchange. Подготовка к установке подразумевает внесение изменений в конфигурацию леса, и лес без Exchange может быть настроен неправильно. Примечание.Не поддерживается использование средства Exchange обмена каталогов формата DIF для импорта изменений схемы Exchange 2010 вручную. Для обновления схемы нужно обязательно использовать установку. Эта команда выполняет следующие задачи:
- Подключает к хозяину схемы и импортирует файлы формата DIF LDAP для обновления схемы при помощи определенных атрибутов Exchange 2010. LDIF-файлы копируются во временный каталог и после импорта в схему удаляются из этого каталога.
Необходимо отметить следующее:
Для выполнения этой команды необходимо быть членом группы администраторов схемы и членом группы администраторов организации.
Необходимо выполнять эту команду на 64-разрядном компьютере, находящемся в том же домене и на том же сайте Служба каталогов Active Directory, что и хозяин схемы.
Если действие 1 не было выполнено, то команда setup /PrepareSchema автоматически выполнит действие PrepareLegacyExchangePermissions. Чтобы выполнить действие PrepareLegacyExchangePermissions, домен, на котором выполняется эта команда, должен иметь возможность связываться со всеми доменами в лесу. Преимущество выполнения всех этапов по отдельности состоит в том, что каждый из них можно выполнять из учетной записи, имеющей минимальный набор разрешений, необходимый для данного конкретного этапа, а кроме того, вы можете проверить, все ли было выполнено успешно и прошла ли репликация, прежде чем переходить к следующему этапу.
Если в команде используется параметр /DomainController, необходимо указать контроллер домена, являющийся хозяином схемы.
После выполнения этой команды необходимо подождать, пока изменения реплицируются в организации Exchange перед тем, как переходить к выполнению следующего шага. Количество времени, необходимое для репликации, зависит от топологии узла Служба каталогов Active Directory.
Дополнительные сведения см. в разделе Изменения сервера Exchange в схеме Active Directory (статья может быть на английском языке).
Выполните в окне командной строки следующую команду:
setup /PrepareAD [/OrganizationName: <имя организации> ] или setup /p [/on:<имя организации>]
Эта команда выполняет следующие задачи:
Если контейнер Microsoft Exchange не существует, команда создает его в разделе CN=Services,CN=Configuration,DC=<корневой_домен>.
Если в разделе CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен > нет контейнера организации Exchange, необходимо указать имя организации с помощью параметра /OrganizationName. В результате будет создан контейнер организации с указанным именем.
Имя организации Exchange может включать только следующие знаки:
буквы от A до Z;
буквы от a до z;
цифры от 0 до 9;
пробелы (не в начале и не в конце имени);
дефисы.
Имя организации не может включать более 64 знаков. Имя организации не может быть пустым. Если имя организации содержит пробелы, необходимо заключить его в кавычки (").
Убедитесь в том, что схема обновлена и организация актуальна, проверив свойство objectVersion в Служба каталогов Active Directory. Свойство objectVersion находится в контейнере CN=<организация>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<домен>. Значение objectVersion для Exchange 2010 с пакетом обновления 2 (SP2) — 14247. Значение objectVersion для Exchange 2010 с пакетом обновления 1 (SP1) — 13214. Значение objectVersion для RTM-версии Exchange 2010 — 12640.
Если контейнер не существует, команда создает следующие контейнеры и объекты в разделе CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>, которые необходимы для работы Exchange 2010:
CN=Address Lists Container,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=Addressing,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=Administrative Groups,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=Client Access,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=Connections,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=ELC Folders,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=ELC Mailbox Policies,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=Global Settings,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=Mobile Mailbox Policies,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=Recipient Policies,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=System Policies,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=Transport Settings,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=UM AutoAttendant,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=UM DialPlan,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=UM IPGateway,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=UM Mailbox Policies,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
Если запись обслуживаемых доменов по умолчанию не существует, данная команда ее создает на основании пространства имен корневого леса в разделе CN=Transport Settings,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>.
В разделе настройки выдаются определенные полномочия.
Импортируется файл Rights.ldf. Таким образом добавляются расширенные права, необходимые Exchange для установки в Служба каталогов Active Directory.
Создается подразделение групп безопасности Microsoft Exchange в корневом домене леса. Созданному подразделению выдаются определенные разрешения.
В подразделении групп безопасности Microsoft Exchange создаются следующие группы ролей безопасности:
Управление организацией
Управление получателями
Управление сервером
Управление организацией только с правом на просмотр
Управление общими папками
Управление единой системой обмена сообщениями
Управление санацией
Управление записями
Управление обнаружением
Делегированная установка
Все размещенные организации Exchange
Серверы Exchange
Доверенная подсистема Exchange
Разрешения Windows Exchange
Служба поддержки
ExchangeLegacyInterop
Команда добавляет новые универсальные группы безопасности из подразделения групп безопасности Microsoft Exchange в атрибут otherWellKnownObjects, хранимый в контейнере CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>.
Создается контакт отправителя голосового сообщения единой системы обмена сообщениями в контейнере объектов системы Microsoft Exchange корневого домена.
Выполняется подготовка локального домена для Exchange 2010. Сведения о задачах, выполняемых для подготовки домена, приведены в описании этапа 4.
Необходимо отметить следующее:
Чтобы выполнить эту команду, необходимо быть членом группы администраторов предприятия.
Компьютер, на котором выполняется данная команда, должен иметь возможность связаться со всеми доменами леса через порт 389.
Необходимо выполнять эту команду на компьютере, который находится в том же домене и на том же сайте Служба каталогов Active Directory, что и хозяин схемы. При установке все изменения настройки применяются к хозяину схемы во избежание конфликтов в случае задержки репликации.
Если действие 1 не было выполнено, то команда setup /PrepareAD автоматически выполнит действие PrepareLegacyExchangePermissions. Чтобы выполнить действие PrepareLegacyExchangePermissions, домен, на котором выполняется эта команда, должен иметь возможность связываться со всеми доменами в лесу. Если вы также являетесь участником группы "Администраторы схемы", то в случае невыполнения действия 2 команда setup /PrepareAD автоматически выполнит действие PrepareSchema. Преимущество отдельного выполнения каждого действия состоит в том, что каждое действие можно выполнять из учетной записи, имеющей минимальный набор разрешений, необходимый для данного конкретного действия, а также можно проверить, все ли было успешно завершено, и выполнена ли репликация, прежде чем переходить к следующему действию.
После выполнения этой команды необходимо подождать, пока изменения реплицируются в организации Exchange перед тем, как переходить к выполнению следующего шага. Количество времени, необходимое для репликации, зависит от топологии узла Служба каталогов Active Directory.
Чтобы проверить, был ли этот шаг выполнен успешно, убедитесь, что в корневом домене существует новое подразделение с именем Группы безопасности Microsoft Exchange. Это подразделение должно содержать следующие новые универсальные группы безопасности Exchange:
Подразделение групп безопасности Exchange:
Управление организацией
Управление получателями
Управление сервером
Управление организацией только с правом на просмотр
Управление общими папками
Управление единой системой обмена сообщениями
Управление санацией
Управление записями
Управление обнаружением
Делегированная установка
Все размещенные организации Exchange
Серверы Exchange
Доверенная подсистема Exchange
Разрешения Windows Exchange
Служба поддержки
ExchangeLegacyInterop
Выполните в окне командной строки одну из следующих команд:
Выполните команду setup /PrepareDomain или setup /pd, чтобы подготовить локальный домен. Нет необходимости выполнять эту команду в домене, в котором выполнялось действие 3. Выполнение команды setup /PrepareAD обеспечивает подготовку локального домена.
Выполните команду setup /PrepareDomain:<полное доменное имя домена, который необходимо подготовить>, чтобы подготовить определенный домен.
Выполните команду setup /PrepareAllDomains или setup /pad, чтобы подготовить все домены в организации.
Эти команды выполняют следующие задачи:
Если это новая организация, команда создает контейнер системных объектов Microsoft Exchange в разделе корневого домена в Служба каталогов Active Directory и задает разрешения для этого контейнера для групп серверов Exchange Server, администраторов организации Exchange и пользователей, прошедших проверку. Этот контейнер используется для хранения объектов прокси общих папок и системных объектов, относящихся к Exchange, таких как почтовый ящик базы данных почтовых ящиков.
Устанавливается свойство objectVersion в контейнере системных объектов Microsoft Exchange в разделе DC=<корневой_домен>. Это свойство objectVersion содержит версию подготовки домена. Версия для Exchange 2010 RTM — 12640. Версия для Exchange 2010 с пакетом обновления 1 (SP1) и 2 (SP2) — 13040.
Создает в текущем домене глобальную группу домена с именем "Серверы установки доменов Exchange". Команда помещает эту группу в контейнер системных объектов Microsoft Exchange. А также добавляют группу "Серверы домена установки Exchange" в универсальную группу безопасности серверов Exchange в корневом домене.
Примечание.Группа серверов установки доменов Exchange используется, если Exchange 2010 установлен в дочернем домене, который является сайтом Служба каталогов Active Directory, отличным от корневого домена. Создание этой группы позволяет избежать ошибок при установке, если членство в группах не было реплицировано в дочернем домене. На уровне домена выдаются разрешения универсальным группам безопасности "Серверы Exchange" и "Администраторы получателей Exchange".
Необходимо отметить следующее:
Чтобы выполнить команду setup /PrepareAllDomains, необходимо быть членом группы администраторов предприятия.
Чтобы выполнить команду setup /PrepareDomain в случае, если подготавливаемый домен существовал до выполнения команды setup /PrepareAD, необходимо быть членом группы администраторов домена в этом домене. Если подготавливаемый домен был создан после выполнения команды setup /PrepareAD, необходимо быть членом группы администраторов организации Exchange, а также членом группы администраторов домена в этом домене.
Для всех доменов в узле Служба каталогов Active Directory, помимо корневого домена, может произойти сбой команды /PrepareDomain с выводом следующих сообщений об ошибке:
"Задача PrepareDomain для домена <ваш_домен> частично завершена. Из-за настройки сайта Служба каталогов Active Directory необходимо подождать не менее 15 минут, пока не начнется репликация, и повторить задачу PrepareDomain для домена <ваш_домен> снова".
"Не удается выполнить операцию Служба каталогов Active Directory на сервере <ваш_сервер>. Невозможно повторить попытку. Дополнительные сведения: Указан неверный тип группы.
Ответ Служба каталогов Active Directory: 00002141: SvcErr: DSID-031A0FC0, ошибка 5003 (НЕ_ВЫПОЛНЯЕТСЯ), данные: 0
Сервер не может обработать запросы каталога."
Если отображаются такие сообщения, следует подождать или выполнить репликацию Служба каталогов Active Directory между этим доменом и корневым доменом, а затем повторно выполнить команду /PrepareDomain.
Эту команду необходимо выполнять в каждом домене, в котором будет устанавливаться Exchange 2010. Необходимо также выполнить эту команду в каждом домене, который будет содержать пользователей электронной почты, даже если в нем не будет устанавливаться Exchange 2010.
Чтобы удостовериться, что этот шаг выполнен успешно, убедитесь, что:
В контейнере системных объектов MicrosoftExchange существует новая глобальная группа серверов установки доменов Exchange.
Примечание.Чтобы просмотреть контейнер системных объектов MicrosoftExchange в окне "Пользователи и компьютеры" Служба каталогов Active Directory, в меню Вид выберите Дополнительные функции. Группа серверов установки доменов Exchange является членом универсальной группы безопасности серверов Exchange в корневом домене.
В каждом контроллере домена в домене, в котором будет установлен Exchange 2010, универсальная группа безопасности серверов Exchange имеет разрешения для политики "Политика безопасности контроллера домена\Локальные политики\Назначение прав пользователя\Контроль управления и журнал безопасности".
© Корпорация Майкрософт (Microsoft Corporation), 2010. Все права защищены.