准备 Active Directory 和域

  • 项目

**适用于:**Exchange Server 2010

**上一次修改主题:**2010-01-25

在组织中的任何服务器上安装 Microsoft Exchange Server 2010 前,必须准备 Active Directory 和域。本主题说明如何为 Exchange 2010 准备 Active Directory 和域。

有关使用旧版 Exchange 权限准备域的信息,请参阅准备旧版 Exchange 2003 权限

先决条件

  • 要安装 Exchange 2010 的计算机必须满足相应的系统要求。有关详细信息,请参阅Exchange 2010 系统要求

  • 域和域控制器必须符合 Exchange 2010 系统要求中“网络和目录服务”一节所述的系统要求。

  • 在安装 Exchange 2010 的每个域中,您必须至少有一个域控制器运行下列任一软件:
    Windows Server 2003 Standard Edition Service Pack 1 (SP1) 或更高版本(32 位或 64 位)
    Windows Server 2003 Enterprise Edition SP1 或更高版本(32 位或 64 位)
    Windows Server 2008 Standard 或 Enterprise Edition(32 位或 64 位)
    Windows Server 2008 R2 Standard 或 Enterprise Edition

  • 如果要在拥有 Exchange 企业服务器和 Exchange 域服务器安全组的每个域(包括子域)中运行 Exchange 2010 Setup.com 的正式发布 (RTM) 版本(并且由此还必须运行 Setup /PrepareLegacyExchangePermissions),则必须至少有一个域控制器运行以下任一软件:
    Windows Server 2003 Standard Edition SP1 或更高版本(32 位或 64 位)
    Windows Server 2003 Enterprise Edition SP1 或更高版本(32 位或 64 位)
    Windows Server 2008 Standard 或 Enterprise Edition(32 位或 64 位)
    Windows Server 2008 R2 Standard 或 Enterprise Edition

  • 如果使用拥有准备 Active Directory 和域所需的权限的帐户(Schema Admins、Domain Admins 和 Enterprise Admins)运行 Exchange 2010 安装向导,则该向导将自动准备 Active Directory 和域。有关详细信息,请参阅安装 Exchange Server 2010。但是,如果要部署一个新的 Exchange 组织,并且使用运行 Active Directory 的计算机来准备 Windows Server 2008 架构和域,则必须在准备架构或域之前先在 Active Directory 计算机上安装 Windows Server 2008 管理工具。为此,请运行下列命令。

    ServerManagerCmd -i RSAT-ADDS

准备 Active Directory 和域

若要跟踪 Active Directory 复制的进度,可以使用 Active Directory 复制监视工具 (replmon.exe),该工具是作为 Windows Server 2003 支持工具安装的一部分安装的。默认情况下,它位于“%programfiles%\support tools\”。将域控制器作为受监视的服务器添加,以便跟踪整个域中的复制进度。

  1. 如果组织中有任何运行 Exchange 2003 的计算机,请打开命令提示符窗口,然后运行下列命令之一:

    • 若要在包含 Exchange 企业服务器和 Exchange 域服务器组的林中的每个域内准备旧版 Exchange 权限,请运行下列命令。
      setup /PrepareLegacyExchangePermissionssetup /pl

    • 若要在特定的域中准备旧版 Exchange 权限,请运行下列命令。
      setup /PrepareLegacyExchangePermissions: < 您要准备的域的 FQDN >setup /pl: <您要准备的域的 FQDN>

      备注

      可以跳过此步骤,并准备将旧版 Exchange 权限作为步骤 2 或步骤 3 的一部分。单独执行每个步骤的好处在于,您可以使用拥有完成每一步所需的最小权限的帐户来执行相应的步骤,并且可以在继续执行下一步之前验证完成、成功和复制情况。

    请注意以下事项:

    • 若要通过运行此命令来准备林中的每个域,您必须是企业管理员组的成员。若要运行此命令以准备特定的域,或者如果林中仅有一个域,则必须委派 Exchange“组织管理”角色,并且您必须是所准备的域中的 Domain Admins 组成员。
    • 如果没有指定域,则在其中运行此命令的域必须能够与林中的所有域通信。如果服务器无法联系必须准备旧版 Exchange 权限的域,该服务器将准备它能联系的域,然后返回一个错误消息,指出它无法联系某些域。
    • 您可以从林中的任何 64 位 Windows Server 2003 SP1 或 Windows Server 2008 服务器运行该命令。
    • 必须在与构架主机处于同一域和同一 Active Directory 站点的计算机上运行此命令。安装程序将对架构主机执行所有配置更改,以避免因复制延迟造成的冲突。有关详细信息,请参阅确定架构主服务器(英文)。
    • 运行该命令后,在继续下一步之前必须等待在整个 Exchange 组织中完成复制权限。如果没有复制权限,则在 Exchange Server 2003 计算机上的收件人更新服务可能会失败。复制花费的时间量取决于您的 Active Directory 网站拓扑。
    • 有关通过此命令设置权限的详细信息,请参阅准备旧版 Exchange 2003 权限

  2. 在命令提示窗口中运行以下命令。
    setup /PrepareSchemasetup /ps

    备注

    可以跳过此步骤并作为步骤 3 的一部分准备构架。

    重要

    不要在未计划运行 setup /PrepareAD 的林中运行此命令。如果这样做,该林的配置将不正确,并且您将无法读取用户对象的某些属性。

    备注

    不支持使用 LDIF Directory Exchange 工具 (LDIFDE) 手动导入 Exchange 2010 架构更改。必须使用安装程序更新此架构。

    此命令将执行下列任务:

    • 连接架构主机并导入 LDAP 数据交换格式 (LDIF) 文件,以更新具有特定于 Exchange 2010 的属性的架构。将 LDIF 文件复制到临时目录中,并在这些文件导入到该架构后将其删除。
      请注意以下事项:
    • 若要运行此命令,您必须是 Schema Admins 组和 Enterprise Admins 组的成员。
    • 必须在与构架主机处于同一域和同一 Active Directory 站点的 64 位计算机上运行此命令。
    • 如果您尚未完成步骤 1,setup /PrepareSchema 将自动执行 PrepareLegacyExchangePermissions 步骤。若要完成 PrepareLegacyExchangePermissions 步骤,从中运行此命令的域必须能够与林中的所有域联系。单独执行每个步骤的好处在于,可以使用拥有完成每一步所需的最小权限的帐户来执行相应的步骤,并且可以在继续执行下一步之前验证完成、成功和复制情况。
    • 如果在此命令中使用 /DomainController 参数,则必须指定作为架构主机的域控制器。
    • 运行此命令后,必须先等待在整个 Exchange 组织中完成更改的复制,然后再继续下一步。更改花费的时间量取决于您的 Active Directory 网站拓扑。
    • 有关详细信息,请参阅Exchange 服务器 Active Directory 架构的更改(英文)。

  3. 在命令提示窗口中运行以下命令。
    setup /PrepareAD [/OrganizationName: <组织名称> ]setup /p [/on:<组织名称>]
    此命令将执行下列任务:

    • 如果 Microsoft Exchange 容器不存在,则此命令将在 CN=Services、CN=Configuration、DC=<根域> 下创建该容器。
    • 如果在 CN=Exchange、CN=Services、CN=Configuration、DC=<根域 > 下没有 Microsoft Exchange 组织容器,则必须使用 /OrganizationName 参数指定组织名称。将使用指定的名称创建组织容器。
      Exchange 组织名称只能包含下列字符:
      A 到 Z
      a 到 z
      0 到 9
      空格(不可用于开头或结尾)
      连字符或短横线
      组织名称包含的字符不能超过 64 个。组织名称不能为空。如果组织名称包含空格,则必须为名称加上引号。
    • 可以通过检查 Active Directory 中的 objectVersion,验证架构是否得到了更新以及组织是否是最新的。objectVersion 属性位于 CN=<您的组织>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<> 容器中。Exchange 2010 RTM 的 objectVersion 值为 12639。
    • 如果以下容器和对象不存在,则需要在 CN=<组织名称>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<根域> 下创建这些内容。对于 Exchange 2010 来说,这些内容是必需的。
      CN=Address Lists Container、CN=<组织名称>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<根域>
      CN=Addressing、CN=<组织名称>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<根域>
      CN=Administrative Groups、CN=<组织名称>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<根域>
      CN=Client Access、CN=<组织名称>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<根域>
      CN=Connections、CN=<组织名称>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<根域>
      CN=ELC Folders Container、CN=<组织名称>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<根域>
      CN=ELC Mailbox Policies、CN=<组织名称>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<根域>
      CN=Global Settings、CN=<组织名称>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<根域>
      CN=Mobile Mailbox Policies、CN=<组织名称>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<根域>
      CN=Recipient Policies、CN=<组织名称>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<根域>
      CN=System Policies、CN=<组织名称>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<根域>
      CN=Transport Settings、CN=<组织名称>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<根域>
      CN=UM AutoAttendant、CN=<组织名称>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<根域>
      CN=UM DialPlan、CN=<组织名称>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<根域>
      CN=UM IPGateway Container、CN=<组织名称>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<根域>
      CN=UM Mailbox Policies、CN=<组织名称>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<根域>
    • 如果默认的接受域条目不存在,则将根据林的根命名空间在 CN=Transport Settings、CN=<组织名称>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<根域> 下创建该条目。
    • 在整个配置分区中分配特定的权限。
    • 导入 Rights.ldf 文件。这会添加将 Exchange 安装到 Active Directory 所需的扩展权限。
    • 在林的根域中创建 Microsoft Exchange 安全组组织单位 (OU),并为此组织单位分配特定的权限。
    • 在 Microsoft Exchange 安全组 OU 内创建以下管理角色组:
      Exchange 组织管理
      Exchange 收件人管理
      Exchange 服务器管理
      Exchange 仅查看组织管理
      Exchange 公用文件夹管理
      Exchange UM 管理
      Exchange 清洁管理
      Exchange 记录管理
      Exchange 发现管理
      Exchange 委派安装
    • 将位于 Microsoft Exchange 安全组组织单位中的新 USG 添加到 CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<根域> 容器中的 otherWellKnownObjects 属性中。
    • 在根域的 Microsoft Exchange 系统对象容器中创建统一消息语音原始发送方联系人。
    • 为 Exchange 2010 准备本地域。有关准备域需要完成哪些任务的信息,请参阅步骤 4。
      请注意以下事项:
    • 若要运行此命令,您必须是 Enterprise Admins 组的成员。
    • 运行此命令的计算机必须能够联系端口 389 上的林中的所有域。
    • 必须在与构架主机处于同一域和同一 Active Directory 站点的计算机上运行此命令。安装程序将对架构主机执行所有配置更改,以避免因复制延迟造成的冲突。
    • 如果您尚未完成步骤 1,setup /PrepareAD 将自动执行 PrepareLegacyExchangePermissions 步骤。若要完成 PrepareLegacyExchangePermissions 步骤,从中运行此命令的域必须能够与林中的所有域联系。如果您也是 Schema Admins 组的成员,并且尚未完成步骤 2,setup /PrepareAD 将自动执行 PrepareSchema 步骤。单独执行每个步骤的好处在于,可以使用拥有完成每一步所需的最小权限的帐户来执行相应的步骤,并且可以在继续执行下一步之前验证完成、成功和复制情况。
    • 运行此命令后,必须先等待在整个 Exchange 组织中完成更改的复制,然后再继续下一步。更改花费的时间量取决于您的 Active Directory 网站拓扑。
    • 若要验证已成功完成此步骤,请确保在根域中有一个名为“Microsoft Exchange 安全组” 的新组织单位。此 OU 应该包含下列新的 Exchange USG:
      Exchange 安全组 OU:
      Exchange 组织管理
      Exchange 收件人管理
      Exchange 服务器管理
      Exchange 仅查看组织管理
      Exchange 公用文件夹管理
      Exchange UM 管理
      Exchange 清洁管理
      Exchange 记录管理
      Exchange 发现管理
      Exchange 委派安装
      ExchangeLegacyInterop

  4. 在命令提示符窗口中,运行以下命令之一:

    • 运行 setup /PrepareDomainsetup /pd 以准备本地域。不需要在运行步骤 3 的域中运行该选项。运行 setup /PrepareAD 可以准备本地域。

    • 运行 setup /PrepareDomain:<需要准备的 FQDN 域> 以准备一个特定的域。

    • 运行 setup /PrepareAllDomainssetup /pad 以在组织中准备所有域。
      这些命令执行下列任务:

    • 如果这是一个新组织,则在 Active Directory 的根域分区中创建 Microsoft Exchange 系统对象容器,并为 Exchange Server、Exchange 组织管理员和已通过身份验证的用户设置对该容器的权限。该容器用于存储公用文件夹代理对象和 Exchange 相关的系统对象,如邮箱数据库的邮箱。

    • 在 Microsoft Exchange 系统对象容器中,在 DC=<根域>下设置 objectVersion 属性。此 objectVersion 属性包含所准备的域的版本。Exchange 2010 的版本是 12639。

    • 在当前域中新建一个称为 Exchange 安装域服务器的域全局组。该命令会将该组放置在 Microsoft Exchange 系统对象容器中。还将 Exchange 安装域服务器组添加到根域中的 Exchange 服务器 USG。

      备注

      如果在某个子域中安装 Exchange,而该子域是除根域以外的 Exchange 2010 网站,则会使用 Active Directory 安装域服务器组。如果组成员身份尚未复制到子域中,则创建该组时允许您避免安装错误。

    • 为 Exchange Server USG 和 Exchange 收件人管理员 USG 分配域级权限。
      请注意以下事项:

    • 若要运行 setup /PrepareAllDomains,您必须是 Enterprise Admins 组的成员。

    • 若要运行 setup /PrepareDomain,如果在运行 setup /PrepareAD 之前,您所准备的域已存在,则您必须是该域中的域管理员组成员。如果您所准备的域是在运行 setup /PrepareAD 后创建的,则您必须是 Exchange 组织管理员组的成员,并且必须是该域中的域管理员组成员。

    • 对于 Active Directory 站点而非根域中的域,/PrepareDomain 可能会失败,同时出现下列消息:
      “域 <YourDomain> 的 PrepareDomain 已部分完成。由于 Active Directory 网站配置,您必须等待 15 分钟来完成复制,并再次运行 <YourDomain> 的 PrepareDomain”。
      "<您的服务器> 上的 Active Directory 操作失败。此错误不可重试。其他信息:指定的组类型无效。
      Active Directory 响应:00002141: SvcErr:DSID-031A0FC0,问题 5003 (WILL_NOT_PERFORM),数据 0
      服务器无法处理目录请求。”
      如果看到这些消息,请等待或强制在此域和根域之间进行 Active Directory 复制,然后再次运行 /PrepareDomain

    • 您必须在将安装 Exchange 2010 的每个域中运行该命令。还必须在将包含启用邮件的用户的每个域中运行此命令,即使域尚未安装 Exchange 2010 也如此。
      若要验证是否成功完成该步骤,请确认下列条件:

    • 在 Microsoft Exchange 系统对象容器中存在一个称为 Exchange 安装域服务器的新全局组。

      备注

      若要在 Active Directory 用户和计算机中查看 Microsoft Exchange 系统对象容器,请在“视图”菜单中单击“高级功能”

    • Exchange 安装域服务器组是根域中 Exchange 服务器 USG 的成员。

    • 在将安装 Exchange 2010 的域中的每个域控制器上,Exchange Server USG 对域控制器安全策略\本地策掠\用户权限指派\管理审核和安全日志策略具有权限。