¿Qué cambios hay en Active Directory cuando se instala Exchange?

  • Artículo

Al instalar Exchange Server 2016 o Exchange Server 2019, se realizan cambios en el bosque y los dominios de Active Directory para almacenar información sobre los servidores de Exchange, buzones y otros objetos relacionados con Exchange en su organización.

Se requieren tres pasos para preparar Active Directory para Exchange:

  1. Extender el esquema de Active Directory

  2. Preparar los contenedores, objetos y otros elementos de Active Directory

  3. Preparar dominios de Active Directory

Una vez realizados los tres pasos, el bosque de Active Directory estará listo para Exchange. En este tema se explica lo que Exchange hace en cada paso de la preparación de Active Directory.

Puede realizar estos cambios antes de instalar el primer servidor de Exchange 2016 o Exchange 2019 en la organización ejecutando los comandos /PrepareSchema, /PrepareAD y /PrepareAllDomains o /PrepareDomains mediante el programa de instalación de la línea de comandos de Exchange. Para obtener instrucciones, consulte Preparación de Active Directory y dominios para Exchange. O bien, estos cambios se realizan automáticamente durante la instalación del primer servidor exchange mediante el Asistente para la instalación de Exchange. Para obtener instrucciones, consulte Instalación de servidores de buzones de Exchange mediante el Asistente para instalación.

Extender el esquema de Active Directory

La extensión del esquema de Active Directory agrega y actualiza clases, atributos y otros elementos. Estos cambios se necesitan para que Exchange pueda crear contenedores y objetos para almacenar información sobre la organización de Exchange. Como Exchange hace muchos cambios en el esquema de Active Directory, hay un tema dedicado a este paso. Para ver todos los cambios realizados en el esquema, consulte Cambios de esquema de Active Directory en Exchange Server.

Una vez ampliado el esquema mediante la ejecución del comando /PrepareSchema , el comando _/PrepareAD o la instalación del primer servidor exchange mediante el Asistente para la instalación de Exchange, la versión del esquema se establece en el atributo ms-Exch-Schema-Version-Pt . Para comprobar que el esquema de Active Directory se ha ampliado correctamente, puede comprobar el valor almacenado en este atributo. Para obtener más información, vea Versiones de Exchange Active Directory.

Preparar los contenedores, objetos y otros elementos de Active Directory

Con el esquema extendido, el siguiente paso es agregar todos los contenedores, objetos, atributos y otros elementos que Exchange usa para almacenar información en Active Directory. Casi todos los cambios realizados en este paso se aplican a todo el bosque de Active Directory. Solo se realiza un conjunto más pequeño de cambios en el dominio local de Active Directory donde se ejecutó el comando /PrepareAD (o donde se instaló el primer servidor exchange mediante el Asistente para la instalación de Exchange).

Exchange realiza los siguientes cambios en el bosque de Active Directory:

  • El contenedor de Microsoft Exchange se crea en CN=Services,CN=Configuration,DC=<root domain> si aún no existe.

  • Los siguientes contenedores y objetos se crean en CN=<nombre> de organización,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<dominio> raíz si aún no existen:

    • CN=Contenedor listas de direcciones

    • CN=Directivas de buzón de la libreta de direcciones

    • CN=Dirección

    • CN=Grupos administrativos

    • CN=Aplicaciones de aprobación

    • CN=Configuración de autenticación

    • CN=Configuración de disponibilidad

    • CN=Acceso de cliente

    • CN=Conexiones

    • CN=Contenedor de carpetas ELC

    • CN=Directivas de buzón ELC

    • CN=ExchangeAssistance

    • CN=Federación

    • CN=Confianzas de federación

    • CN=Configuración global

    • CN=Configuración híbrida

    • CN=Directivas de buzón móvil

    • CN=Configuración de buzón móvil

    • CN=Configuración de supervisión

    • CN=Directivas de buzón de OWA

    • CN=Contenedor de directivas de aprovisionamiento

    • CN=Configuración de notificaciones de inserción

    • CN=RBAC

    • CN=Directivas de destinatarios

    • CN=Contenedor de directivas de cuentas remotas

    • CN=Contenedor de directivas de retención

    • CN=Contenedor de etiqueta de directiva de retención

    • CN=ServiceEndpoints

    • CN=Directivas del sistema

    • CN=Directivas de aprovisionamiento de buzón de equipo

    • CN=Configuración de transporte

    • CN=Contenedor autoattendant de mensajería unificada (solo Exchange 2016)

    • CN=Contenedor dialplan de mensajería unificada (solo Exchange 2016)

    • CN=Contenedor IPGateway de mensajería unificada (solo Exchange 2016)

    • CN=Directivas de buzón de mensajería unificada (solo Exchange 2016)

    • CN=Configuración de administración de carga de trabajo

  • Los siguientes contenedores y objetos se crean en CN=Configuración de transporte,CN=<Nombre >de la organización,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<dominio> raíz si aún no existen:

    • CN=Dominios aceptados

    • CN=Configuración de punto de control

    • CN=Personalización de DNS

    • CN=Reglas de interceptor

    • CN=Filtro de malware

    • CN=Clasificaciones de mensajes

    • CN=Higiene de mensajes

    • CN=Reglas

    • CN=MicrosoftExchange329e71ec88ae4615bbc36ab6ce41109e

  • Los permisos se establecen en toda la partición de configuración en Active Directory.

  • Se importa el archivo Rights.ldf. Este archivo agrega permisos que se necesitan para instalar Exchange y configurar Active Directory.

  • La unidad organizativa (OU) de grupos de seguridad de Microsoft Exchange se crea en el dominio raíz del bosque y se le asignan permisos.

  • Si los grupos siguientes aún no existen, se crearán en la unidad organizativa de los grupos de seguridad de Microsoft Exchange:

    • Administración de cumplimiento

    • Configuración delegada

    • Administración de la detección

    • Servidores de Exchange

    • Subsistema de confianza de Exchange

    • Permisos de Windows de Exchange

    • ExchangeLegacyInterop

    • Servicio de asistencia

    • Administración de higiene

    • Servidores de disponibilidad administrada

    • Administración de la organización

    • Administración de carpetas públicas

    • Administración de destinatarios

    • Administración de registros

    • Administración de servidores

    • Administración de la organización de solo visualización

  • Los nuevos grupos de roles de administración (que aparecen como grupos de seguridad universal (USG) en Active Directory) creados en la unidad organizativa Grupos de seguridad de Microsoft Exchange se agregan al otro atributoWellKnownObjects almacenado en el contenedor de dominio> CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root.

  • Solo en Exchange 2016, el contacto del originador de voz de mensajería unificada se crea en el contenedor Objetos del sistema de Microsoft Exchange del dominio raíz.

  • Solo el dominio donde se ejecutó el comando /PrepareAD (o donde se instaló el primer servidor exchange mediante el Asistente para instalación de Exchange) está preparado para Exchange. Para obtener información sobre lo que se hace para preparar un dominio de Active Directory para Exchange, consulte la sección siguiente.

Preparar dominios de Active Directory

El último paso de la preparación de Active Directory para Exchange es preparar los dominios de Active Directory donde se instalarán los servidores de Exchange o donde se ubicarán los usuarios habilitados para buzones (todos los dominios del bosque mediante el comando /PrepareAllDomains , dominios específicos con el comando /PrepareDomains o la instalación del primer servidor Exhange mediante el Asistente para instalación de Exchange). Este paso se realiza automáticamente en el dominio donde se ejecutó el comando PrepareAD (o donde se instaló el primer servidor de Exchange mediante el Asistente para instalación de Exchange).

Exchange realiza los cambios siguientes en los dominios de Active Directory:

  • Si aún no existe, el contenedor Objetos de sistema de Microsoft Exchange se crea en la partición del dominio raíz en Active Directory.

  • Se establecen permisos en el contenedor Objetos de sistema de Microsoft Exchange para los grupos de seguridad de los usuarios autenticados, la administración de la organización y los servidores de Exchange.

  • Modificación del GPO de controladores de dominio predeterminados para conceder derechos de "Administrar directiva de registro de auditoría y seguridad" a Exchange Enterprise Servers.

  • Se crea el grupo global de servidores de dominio de instalación de Exchange en el dominio actual y se coloca en el contenedor Objetos del sistema de Microsoft Exchange.

  • El grupo Servidores de dominio de instalación de Exchange se agrega al grupo de seguridad universal de servidores Exchange en el dominio raíz.

  • Se asignan permisos en el nivel de dominio para el grupo de seguridad universal de servidores de Exchange y para el grupo de seguridad universal de administración de la organización.

  • Se establece la propiedad objectVersion en el contenedor Objetos del sistema de Microsoft Exchange en DC=<dominio> raíz. Para comprobar que los dominios de Active Directory se prepararon correctamente, puede comprobar el valor almacenado en este atributo. Para obtener más información, vea Versiones de Exchange Active Directory.