Was ändert sich in Active Directory, wenn Exchange installiert wird?

  • Artikel

Wenn Sie Exchange Server 2016 oder Exchange Server 2019 installieren, werden Änderungen an Ihrer Active Directory-Gesamtstruktur und den Domänen vorgenommen, um Informationen zu den Exchange-Servern, Postfächern und anderen Exchange-bezogenen Objekten in Ihrer Organisation zu speichern.

Zum Vorbereiten von Active Directory für Exchange sind drei Schritte erforderlich:

  1. Erweitern des Active Directory-Schemas

  2. Vorbereiten von Active Directory-Containern, -Objekten und anderen Elementen

  3. Vorbereiten der Active Directory-Domänen

Nachdem alle drei Schritte abgeschlossen sind, ist Ihre Active Directory-Gesamtstruktur für Exchange bereit. In diesem Thema wird erläutert, was Exchange bei jedem Schritt der Active Directory-Vorbereitung tut.

Sie können diese Änderungen vornehmen, bevor Sie den ersten Exchange 2016- oder Exchange 2019-Server in der Organisation installieren, indem Sie die Befehle /PrepareSchema, /PrepareAD und /PrepareAllDomains oder /PrepareDomains mithilfe des Exchange-Befehlszeilensetups ausführen. Anweisungen finden Sie unter Vorbereiten von Active Directory und Domänen für Exchange. Oder diese Änderungen werden während der Installation des ersten Exchange-Servers mithilfe des Exchange-Setup-Assistenten automatisch für Sie vorgenommen. Anweisungen finden Sie unter Installieren von Exchange-Postfachservern mithilfe des Setup-Assistenten.

Erweitern des Active Directory-Schemas

Beim Erweitern des Active Directory-Schemas werden Klassen, Attribute und andere Elemente hinzugefügt und aktualisiert. Diese Änderungen sind notwendig, damit Exchange Container und Objekte erstellen kann, um Informationen über die Exchange-Organisation zu speichern. Da Exchange eine Vielzahl von Änderungen am Active Directory-Schema vornimmt, ist diesem Schritt ein eigenes Thema gewidmet. Informationen zu allen Änderungen am Schema finden Sie unter Änderungen des Active Directory-Schemas in Exchange Server.

Nachdem das Schema durch Ausführen des Befehls /PrepareSchema , des Befehls _/PrepareAD oder der Installation des ersten Exchange-Servers mithilfe des Exchange-Setup-Assistenten erweitert wurde, wird die Schemaversion im Attribut ms-Exch-Schema-Version-Pt festgelegt. Um zu überprüfen, ob das Active Directory-Schema erfolgreich erweitert wurde, können Sie den in diesem Attribut gespeicherten Wert überprüfen. Weitere Informationen finden Sie unter Exchange Active Directory-Versionen.

Vorbereiten von Active Directory-Containern, -Objekten und anderen Elementen

Nachdem das Schema erweitert wurde, besteht der nächste Schritt darin, alle Container, Objekte, Attribute und sonstigen Elemente, die Exchange zum Speichern von Informationen in Active Directory verwendet, hinzuzufügen. Die meisten in diesem Schritt durchgeführten Änderungen werden auf die ganze Active Directory-Gesamtstruktur angewendet. Kleinere Änderungen werden nur an der lokalen Active Directory-Domäne vorgenommen, in der der Befehl /PrepareAD ausgeführt wurde (oder wo der erste Exchange-Server mithilfe des Exchange-Setup-Assistenten installiert wurde).

Exchange nimmt die folgenden Änderungen an der Active Directory-Gesamtstruktur vor:

  • Der Microsoft Exchange-Container wird unter CN=Services,CN=Configuration,DC=<root domain> erstellt, sofern er noch nicht vorhanden ist.

  • Die folgenden Container und Objekte werden unter CN=<Organisationsname,CN>=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain> erstellt, sofern sie noch nicht vorhanden sind:

    • CN=Address Lists Container

    • CN=AddressBook Mailbox Policies

    • CN=Addressing

    • CN=Administrative Groups

    • CN=Approval Applications

    • CN=Auth Configuration

    • CN=Availability Configuration

    • CN=Client Access

    • CN=Connections

    • CN=ELC Folders Container

    • CN=ELC Mailbox Policies

    • CN=ExchangeAssistance

    • CN=Federation

    • CN=Federation Trusts

    • CN=Global Settings

    • CN=Hybrid Configuration

    • CN=Mobile Mailbox Policies

    • CN=Mobile Mailbox Settings

    • CN=Monitoring Settings

    • CN=OWA Mailbox Policies

    • CN=Provisioning Policy Container

    • CN=Push Notification Settings

    • CN=RBAC

    • CN=Recipient Policies

    • CN=Remote Accounts Policies Container

    • CN=Retention Policies Container

    • CN=Retention Policy Tag Container

    • CN=ServiceEndpoints

    • CN=System Policies

    • CN=Team Mailbox Provisioning Policies

    • CN=Transport Settings

    • CN=UM AutoAttendant Container (nur Exchange 2016)

    • CN=UM DialPlan Container (nur Exchange 2016)

    • CN=UM IPGateway Container (nur Exchange 2016)

    • CN=UM-Postfachrichtlinien (nur Exchange 2016)

    • CN=Workload Management Settings

  • Die folgenden Container und Objekte werden unter CN=Transport Settings,CN=<Organization Name,CN>=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain> erstellt, sofern sie noch nicht vorhanden sind:

    • CN=Accepted Domains

    • CN=ControlPoint Config

    • CN=DNS Customization

    • CN=Interceptor Rules

    • CN=Malware Filter

    • CN=Message Classifications

    • CN=Message Hygiene

    • CN=Rules

    • CN=MicrosoftExchange329e71ec88ae4615bbc36ab6ce41109e

  • Berechtigungen werden in der gesamten Konfigurationspartition in Active Directory festgelegt.

  • Die Datei "Rights.ldf" wird importiert. Diese Datei fügt Berechtigungen hinzu, die zum Installieren von Exchange und Konfigurieren von Active Directory verwendet werden.

  • Die Microsoft Exchange-Sicherheitsgruppen-Organisationseinheit (OE) wird in der Stammdomäne der Gesamtstruktur erstellt, und ihr werden Berechtigungen zugewiesen.

  • Die folgenden Gruppen werden in der Organisationseinheit für Microsoft Exchange-Sicherheitsgruppen erstellt, sofern sie noch nicht vorhanden sind:

    • Verwaltung der Richtlinientreue

    • Delegiertes Setup

    • Discoveryverwaltung

    • Exchange-Server

    • Vertrauenswürdiges Exchange-Teilsystem

    • Exchange Windows-Berechtigungen

    • ExchangeLegacyInterop

    • Helpdesk

    • Nachrichtenschutz

    • Verwaltete Verfügbarkeitsserver

    • Organisationsverwaltung

    • Verwaltung Öffentlicher Ordner

    • Empfängerverwaltung

    • Datensatzverwaltung

    • Serververwaltung

    • Organisationsverwaltung mit Leserechten

  • Die neuen Verwaltungsrollengruppen (die in Active Directory als universelle Sicherheitsgruppen (USGs) angezeigt werden), die in der Organisationseinheit Microsoft Exchange-Sicherheitsgruppen erstellt wurden, werden dem Attribut otherWellKnownObjects hinzugefügt, das im Domänencontainer> CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root gespeichert ist.

  • Nur in Exchange 2016 wird der Unified Messaging Voice Originator-Kontakt im Container Microsoft Exchange System Objects der Stammdomäne erstellt.

  • Nur die Domäne, in der der Befehl /PrepareAD ausgeführt wurde (oder in der der erste Exchange-Server mithilfe des Exchange-Setup-Assistenten installiert wurde), ist für Exchange vorbereitet. Informationen zur Vorbereitung einer Active Directory-Domäne für Exchange finden Sie im nächsten Abschnitt.

Vorbereiten der Active Directory-Domänen

Der letzte Schritt der Vorbereitung von Active Directory für Exchange besteht darin, die Active Directory-Domänen vorzubereiten, in denen Exchange-Server installiert werden oder in denen sich postfachaktivierte Benutzer befinden (alle Domänen in der Gesamtstruktur mit dem Befehl /PrepareAllDomains , bestimmte Domänen mit dem Befehl /PrepareDomains oder die Installation des ersten Exhange-Servers mithilfe des Exchange-Setup-Assistenten). Dieser Schritt wird automatisch in der Domäne ausgeführt, in der der PrepareAD-Befehl ausgeführt wurde (oder in der der erste Exchange-Server mithilfe des Exchange-Setup-Assistenten installiert wurde).

Exchange nimmt die folgenden Änderungen an den Active Directory-Domänen vor:

  • Der Container "Microsoft Exchange-Systemobjekte" wird in der Stammdomänenpartition in Active Directory erstellt, sofern er noch nicht vorhanden ist.

  • Berechtigungen für den Container "Microsoft Exchange-Systemobjekte" werden für die Sicherheitsgruppen "Exchange-Server", "Organisationsverwaltung" und "Authentifizierte Benutzer" festgelegt.

  • Ändern des Standard-Domänencontroller-GPO , um Exchange Enterprise-Servern Die Rechte "Überwachungs- und Sicherheitsprotokollrichtlinie verwalten" zu gewähren.

  • Die globale Domänengruppe "Exchange Install Domain Servers" wird in der aktuellen Domäne erstellt und in den Container "Microsoft Exchange-Systemobjekte" eingefügt.

  • Die Gruppe "Exchange Install Domain Servers" wird der universellen Sicherheitsgruppe "Exchange-Server" in der Stammdomäne hinzugefügt.

  • Berechtigungen werden auf Domänenebene für die universellen Sicherheitsgruppen "Exchange-Server" und "Organisationsverwaltung" zugewiesen.

  • Die objectVersion-Eigenschaft im Container "Microsoft Exchange-Systemobjekte" unter der Domäne "DC=<root"> ist festgelegt. Um zu überprüfen, ob die Active Directory-Domänen erfolgreich vorbereitet wurden, können Sie den in diesem Attribut gespeicherten Wert überprüfen. Weitere Informationen finden Sie unter Exchange Active Directory-Versionen.