Migration von der Exchange 2007-Adresslistensegmentierung zu Exchange 2010-Adresslistenrichtlinien

Exchange 2010
 

Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Letztes Änderungsdatum des Themas: 2016-11-28

In diesem Thema werden die Schritte zum Migrieren von der ACL-basierten Segmentierung der globalen Adressliste (GAL) in Exchange 2007 zu Adressbuchrichtlinien (Address Book Policies, ABPs) in Exchange 2010 Service Pack 2 (SP2) beschrieben.

WichtigWichtig:
Einige der in diesem Thema beschriebenen Verfahren haben Auswirkungen für die Benutzer. Infolgedessen ist häufig eine geplante Downtime erforderlich.

  • Vor dem Ausführen der in diesem Thema beschriebenen Verfahren ist die Lektüre der Überlegungen und bewährten Methoden unter Grundlegendes zu Adressbuchrichtlinien sehr empfehlenswert, wenn auch keine direkte Voraussetzung.

  • Bei den Verfahren in diesem Thema wird davon ausgegangen, dass Sie die Schritte im Whitepaper Konfigurieren von virtuellen Organisationen und Segmentierung von Adresslisten in Exchange 2007 (möglicherweise in englischer Sprache) zum Konfigurieren Ihrer Exchange 2007-Organisation ausgeführt haben.

  • Wenn Sie die im oben genannten Whitepaper beschriebenen Schritte ausgeführt haben, um die GAL-Segmentierung in Ihrer Exchange 2010-Organisation zu implementieren, befinden Sie sich offiziell in einem nicht unterstützten Zustand. Bevor Sie die in diesem Thema beschriebenen Schritte erfolgreich ausführen können, müssen Sie Ihre Organisation wieder in einen unterstützten Zustand versetzen.

  • In den Code- und Shell-Beispielen in diesem Dokument wird als Active Directory-Domänenname und als Exchange-Organisationsname Contoso verwendet, und die Namen der Unterorganisationen lauten Fabrikam und Tailspin Toys. Ändern Sie den Namen der Exchange-Organisation, der Domäne und der Unterorganisationen entsprechend Ihrer Konfiguration.

  • Sie benötigen die Skripts, die Sie zum Segmentieren die virtuellen Organisationen in Exchange 2007 verwendet haben.

In diesem Szenario sind Tailspin Toys und Fabrikam Tochterunternehmen von Contoso.

Wenn in Ihrer Organisation die GAL-Segmentierung von Exchange 2007 verwendet wird, schlägt die Installation von Exchange 2010 fehl, da Sie alle Standardeinstellungen und -berechtigungen der Standard-GAL entfernen mussten, um die GAL-Segmentierung verwenden zu können.

  1. Führen Sie auf einem Domänencontroller in der Exchange 2007-Organisation an der Eingabeaufforderung den folgenden Befehl aus, um auf die Standard-GAL zuzugreifen.

    DSACLS "CN=Default Global Address List,CN=All Global Address Lists,CN=Address Lists Container,CN=CONTOSO,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=contoso,DC=com" /N /G contoso\administrator:RP
    
  2. Führen Sie auf einem Domänencontroller, auf dem Windows PowerShell installiert ist, oder auf einem Exchange-Server mit Exchange-Verwaltungsshell die folgenden Befehle aus, um die Standardeinstellungen der GAL neu zu konfigurieren.

    HinweisHinweis:
    Wenn Sie diesen Schritt ausgeführt haben, wird Benutzern von Outlook 2007 die Standard-GAL angezeigt. Bei Benutzern von Outlook Web App ist dies hingegen nicht der Fall, da von Outlook Web App zum Abfragen der GAL das Attribut QueryBaseDN verwendet wird.
    $container = "CN=Default Global Address List,CN=All Global Address Lists,CN=Address Lists Container,CN=CONTOSO,CN=Microsoft Exchange,CN=Services, CN=Configuration,DC=contoso,DC=com"Add-ADPermission $container -User "Authenticated Users" -AccessRights GenericRead, ListChildren -ExtendedRights Open-Address-Book
    

    Die folgende Warnung und Ausgabe wird angezeigt:

    WARNING: Appropriate ACE is already present on object "CN=Default Global Address List,CN=All Global Address Lists,CN=Address Lists Container,CN=CONTOSO,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=CONTOSO,DC=COM" for account "NT AUTHORITY\Authenticated Users"
    Identity             User                 Deny  Inherited Rights
    --------             ----                 ----  --------- ------
    \Default Global A... NT AUTHORITY\Auth... False False     Open-Address-Book
    \Default Global A... NT AUTHORITY\Auth... False False     ReadProperty
    \Default Global A... NT AUTHORITY\Auth... False False     ListObject, Generi...
    \Default Global A... NT AUTHORITY\Auth... False False     ListChildren
    

Nach dem Installieren von Exchange 2010 SP2 können Sie die Adresslisten, die während der Installation erstellt wurden, entfernen und dann die Standard-GAL erneut sichern. Nachdem Sie diesem Schritt ausgeführt haben, können Sie weitere Exchange 2010 SP2-Server in der Organisation installieren. Weitere Informationen finden Sie unter Grundlegendes zum Upgrade von Exchange 2007 auf Exchange 2010.

  1. (Optional) Entfernen Sie auf einem Exchange 2010-Server mithilfe der Shell die neu erstellten Adresslisten.

    Remove-AddressList "All Contacts"
    Remove-AddressList "All Groups"
    Remove-AddressList "All Users"
    Remove-AddressList "Public Folders"
    

    Ausführliche Informationen hierzu finden Sie unter Entfernen einer Adressliste.

  2. Sichern Sie auf einem Exchange 2010-Server die GAL mithilfe der Shell. Gehen Sie dazu nach den Anweisungen im Whitepaper Konfigurieren von virtuellen Organisationen und Segmentierung von Adresslisten in Exchange 2007 (möglicherweise in englischer Sprache) vor.

    Get-GlobalAddressList "Default Global Address List" | Add-ADPermission -User "Authenticated Users" -AccessRights GenericRead -ExtendedRights Open-Address-Book -Deny:$True
    
  3. Führen Sie die folgenden Befehle aus, um zu überprüfen, ob die Befehle erfolgreich waren.

    $galContainer = "CN=All Global Address Lists,CN=Address Lists Container,CN=CONTOSO,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=contoso,DC=com"
    Get-ADPermission $galContainer -user "authenticated users"
    

    Die Ausgabe dieses Befehls sollte etwa folgendermaßen aussehen:

    Identity             User                 Deny  Inherited Rights
    --------             ----                 ----  --------- ------
    All Global Addres... NT AUTHORITY\Auth... False False     GenericRead
    All Global Addres... NT AUTHORITY\Auth... False False     Open-Address-Book
    All Global Addres... NT AUTHORITY\Auth... False True      ListChildren
    All Global Addres... NT AUTHORITY\Auth... True  True      ReadProperty
    

Bevor Sie Postfächer auf Exchange 2010 SP2-Server verschieben, müssen Sie einen Switchover von externen URL-Namen durchführen. Dazu müssen Sie Outlook Anywhere, Outlook Web App, die Exchange-Webdienste (Exchange Web Services, EWS), die Exchange-Systemsteuerung (Exchange Control Panel, ECP), die AutoErmittlung und Offlineadressbücher (OABs) so konfigurieren, dass Exchange 2010-Server anstelle von Exchange 2007-Servern verwendet werden. In diesem Zusammenhang sind viele Schritte auszuführen. Ausführlichere Informationen dazu finden Sie unter Exchange 2007 – Planungswegweiser für Upgrade und Koexistenz.

HinweisHinweis:
Im Folgenden werden nur die wichtigsten Verfahren im Gesamtvorgang beschrieben, und bei jedem Verfahren wird erläutert, was es bewirkt. Einige der Befehle müssen möglicherweise auf jedem Server in der Organisation ausgeführt werden (einige nur einmal), und bei den meisten kommt es zu einer gewissen Downtime. Daher wird dringend empfohlen, den gesamten Switchovervorgang ausreichend lange zu testen, um die Auswirkungen auf die Clients so gering wie möglich zu halten.
  1. Verschieben Sie mithilfe der Shell die gesamte OAB-Generierung auf einen Exchange 2010-Postfachserver. Nach dem Verschieben der OAB-Generierung auf Exchange 2010 SP2-Server können OABs als Quellen für OAB-Inhalt nicht nur Adresslisten, sondern auch GALs verwenden.

    Get-OfflineAddressBook | Move-OfflineAddressBook -Server "MBX01_Ex2010SP2"
    

    Ausführliche Informationen hierzu finden Sie unter Verschieben des Offlineadressbuch-Generierungsprozesses auf einen anderen Server.

  2. Legen Sie fest, dass das virtuelle Verzeichnis für das OAB eine virtuelle Exchange 2010-Organisation umfasst. Dadurch werden Kopien der OABs an die Exchange 2010-Server verteilt.

    In diesem Beispiel wird sichergestellt, dass sowohl die Exchange 2007-Server als auch die Exchange 2010-Server über Kopien aller OABs verfügen.

    Get-OfflineAddressBook | Set-OfflineAddressBook -virtualdirectories "CAS1_Ex2007\OAB (Default Web Site)","CAS1_Ex2010SP2\OAB (Default Web Site)"
    

    Weitere Informationen finden Sie unter Konfigurieren der Eigenschaften der Offlineadressbuch-Verteilung.

  3. Bevor Postfächer nach Exchange 2010 verschoben werden können, müssen Sie sämtlichen eingehenden Outlook Anywhere-Verkehr über Exchange 2010 weiterleiten.

    In diesem Beispiel wird Outlook Anywhere auf einem Exchange 2010-Server aktiviert und auf einem Exchange 2007-Server deaktiviert.

    Enable-OutlookAnywhere -Server:CAS1_Ex2010SP2 -ExternalHostname:mail.contoso.com -ClientAuthenticationMethod:Basic  
    Disable-OutlookAnywhere  -Server:CAS1_Ex2007
    

    Weitere Informationen finden Sie in den folgenden Themen:

  4. Damit die AutoErmittlung URLs von Exchange 2010-Servern ordnungsgemäß zurückgeben kann, müssen Sie Outlook Web App, Exchange ActiveSync, EWS und ECP auf allen Exchange 2010-Servern konfigurieren, sodass gültige Eigenschaften der externen URLs für die virtuellen Verzeichnisse vorhanden sind.

    In den folgenden Beispielen wird angenommen, dass der externe Name für den Zugriff auf die Exchange 2010-Server "mail.contoso.com" lautet.

    Set-ActiveSyncVirtualDirectory -Identity 'CAS1_Ex2010SP2\Microsoft-Server-ActiveSync*' -ExternalURL https://mail.contoso.com/Microsoft-Server-ActiveSync
    Set-WebServicesVirtualDirectory  -Identity 'CAS1_Ex2010SP2\EWS*' -ExternalUrl https://mail.contoso.com/EWS/exchange.asmx
    Set-OWAVirtualDirectory -Identity 'CAS1_Ex2010SP2\OWA*' -ExternalURL https://mail.contoso.com/OWA
    Set-EcpVirtualDirectory -Identity 'CAS1_Ex2010SP2\ECP*' -ExternalURL https://mail.contoso.com/ECP
    

    Ausführlichere Informationen zum Konfigurieren der oben genannten Einstellungen finden Sie in den folgenden Themen:

  5. Damit Outlook Web App- und EWS-Anforderungen für Benutzer, deren Postfächer sich auf Exchange 2007-Servern befinden, von Exchange 2010 an Exchange 2007 umgeleitet werden können, müssen Sie die externe URL für Outlook Web App und EWS für 2007 so konfigurieren, dass "legacy.contoso.com" verwendet wird. Dieser Namespace ist der externe Name, der für den Zugriff auf Exchange 2007-Server genutzt wird.

    Set-WebServicesVirtualDirectory -Identity 'CAS1_Ex2007\EWS*' -ExternalUrl https://legacy.contoso.com/EWS/exchange.asmx
    Set-OWAVirtualDirectory -Identity 'CAS1_Ex2007\OWA*' -ExternalURL https://legacy.contoso.com/OWA
    
  6. Damit Exchange 2010 alle eingehenden Exchange ActiveSync-Verbindungen über einen Proxy an Exchange 2007 weiterleiten kann, löschen Sie für Exchange ActiveSync die externe URL für 2007.

    Set-ActiveSyncVirtualDirectory -Identity 'CAS1_Ex2007\Microsoft-Server-ActiveSync*' -ExternalURL:$null
    
  7. Der letzte Schritt besteht darin, das öffentliche DNS so zu ändern, dass "mail.contoso.com" (im angeführten Beispiel) und "autodiscover.contoso.com" in Exchange 2010 aufgelöst werden, während der DNS-Eintrag "legacy.contoso.com" in Exchange 2007 aufgelöst wird. Alle Clientverbindungen werden über Exchange 2010 geleitet, und Exchange 2010 führt dann über die AutoErmittlung entweder die Weiterleitung an Clients (bei Outlook Web App) oder die Weiterleitung an Clients über einen Proxy (bei Exchange ActiveSync) durch bzw. stellt versionsspezifische URLs für Clients bereit (bei EWS).

Im nächsten Schritt ermitteln Sie, auf welche Adresslisten, GALs und OABs die virtuellen Organisationen durch die GAL-Segmentierung Zugriff haben, und erstellen dann für jede virtuelle Organisation eine ABP, die diesen Zugriff widerspiegelt.

  1. Wenn Sie die Schritte unter Konfigurieren von virtuellen Organisationen und Segmentierung von Adresslisten in Exchange 2007 (möglicherweise in englischer Sprache) zum Einrichten Ihrer Exchange 2007-Organisation ausgeführt haben, haben Sie Skripts zum Segmentieren der virtuellen Organisationen erstellt. Zeigen Sie diese Skripts, mit denen Sie die virtuellen Organisationen in Exchange 2007 erstellt haben, an, um die GAL, die Adresslisten und das OAB für jede virtuelle Organisation zu ermitteln. Für jede virtuelle Organisation sollten eine GAL, mindestens eine Adressliste und ein OAB vorhanden sein.

    HinweisHinweis:
    Für ABPs ist eine Raumliste erforderlich. Wenn in Ihrer Organisation keine Raumlisten verwendet werden, erstellen Sie eine leere Raumadressliste, und verwenden Sie diese dann beim Konfigurieren der ABP. Sie können auch die Raumlisteneigenschaft in der ABP so festlegen, dass dieselbe Adressliste verwendet wird, die Sie für die GAL angeben.

    In dem Skript, das zum Segmentieren des Tochterunternehmens Tailspin Toys verwendet wurde, sind beispielsweise die folgenden Informationen zu finden:

    • Die Benutzer von Tailspin Toys sind alle in einer Sicherheitsgruppe namens "Tailspin_SG" enthalten.

    • Durch die Sicherheitsgruppe "Tailspin_SG" wird den Benutzern der Zugriff zum Lesen/Öffnen von Folgendem gewährt:

       

      Adresslisten

      GAL

      OAB

      AL_TailspinUsers

      AL_TailspinGroups

      AL_TailspingContacts

      GAL_Tailspin

      OAB_Tailspin

    • Für Tailspin Toys ist keine Raumadressliste vorhanden.

  2. Erstellen Sie eine ABP, die der Organisation Tailspin Toys entspricht.

  3. Wenn Sie z. B. die ABP in der Exchange-Verwaltungskonsole erstellen, geben Sie im Assistenten für neue Adressbuchrichtlinien folgende Informationen ein:


    Wenn Sie zum Erstellen der ABP die Shell verwenden, führen Sie den folgenden Befehl aus.

    New-AddressBookPolicy -Name 'ABP_Tailspin' -GlobalAddressList '\GAL_Tailspin' -OfflineAddressBook '\OAB_Tailspin' -AllRoomList '\RAL_BLANKROOMS' -AddressLists '\AL_TailspinContacts','\AL_TailspinGroups','\AL_TailspinUsers'
    

    Weitere Informationen finden Sie unter Erstellen einer Adressbuchrichtlinie.

  4. Befolgen Sie die obigen Anweisungen für jede Ihrer virtuellen Organisationen, z. B. Fabrikam.

Durch das Verschieben von Postfächern zu den Exchange 2010-Servern vollziehen Sie die Umstellung von den ACLs auf ABPs.

HinweisHinweis:
Es wird empfohlen, ein Skript zu erstellen, mit dem dieser Vorgang in einem Schritt ausgeführt wird.
  1. Verschieben Sie die Postfächer mit den MoveRequest-Cmdlets. Weitere Informationen finden Sie unter Erstellen einer lokalen Verschiebungsanforderung.

  2. Weisen Sie verschobenen Postfächern die ABP zu. Weitere Informationen finden Sie unter Zuweisen einer Adressbuchrichtlinie zu einem Postfachbenutzer (EPW) (möglicherweise in englischer Sprache).

  3. Löschen Sie "QueryBaseDN" aus dem Benutzerobjekt. Dies ist entweder direkt über die ADSIEdit-MMC-Konsole oder in mehreren Schritten mithilfe der Shell möglich. In diesem Beispiel wird veranschaulicht, wie "QueryBaseDN" mithilfe der Shell gelöscht wird.

    $user = ([ADSI]"LDAP://CN=Bob,CN=Users,DC=Contoso,DC=com").psbase
    $user.Properties["msExchQueryBaseDN"].Value=$null
    $user.CommitChanges()
    
  4. Entfernen Sie die OAB-Einstellung aus dem Postfach.

    In diesem Beispiel wird das OAB aus Johns Postfach entfernt:

    Set-Mailbox -Identity John -OfflineAddressBook $null
    

Nachdem alle Postfächer verschoben und alle anderen Einstellungen konfiguriert wurden, wird Outlook-Benutzern der folgende Fehler angezeigt, woraufhin sie Outlook schließen und neu starten müssen: "Der Microsoft Exchange-Administrator hat eine Änderung durchgeführt, die einen Neustart von Outlook erfordert."

Nachdem Sie nun alle Postfächer nach Exchange 2010 SP2 verschoben haben und für alle Postfächer ABPs gelten und die ACLs außer Betrieb genommen wurden, können Sie damit beginnen, die Exchange 2007-Organisation nach den Standardanleitungen für Exchange zu entfernen.

Entfernen und Ändern von Exchange 2007

Entfernen einer Exchange 2007-Organisation

Wenn Sie nicht weiterkommen, kann dieser Microsoft Knowledge Base-Artikel helfen:

Entfernen von Exchange 2007 von einem Computer

 © 2010 Microsoft Corporation. Alle Rechte vorbehalten.
Anzeigen: