Cómo preparar Active Directory y dominios

  • Artículo

 

Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Última modificación del tema: 2008-02-19

En este tema se explica cómo preparar el servicio de directorio y los dominios de Active Directory para instalar Microsoft Exchange Server 2007. Debe completar este procedimiento antes de instalar Exchange 2007 en cualquiera de los servidores de su organización.

Nota

Si ejecuta el asistente de instalación de Exchange Server 2007 con una cuenta que tenga los permisos necesarios para preparar Active Directory y el dominio, el asistente preparará automáticamente Active Directory y el dominio.

Antes de empezar

Antes de preparar Active Directory y el dominio para Exchange 2007, confirme los siguientes aspectos:

  • El equipo en el que realiza este procedimiento tiene .NET Framework 2.0 de Microsoft y el Shell de comandos de Microsoft instalados.

  • Los dominios y los controladores de dominios cumplen con los requisitos de la sección "Red y servidores de directorio" de Requisitos del sistema para Exchange 2007.

  • En cada dominio en el que se va a instalar Exchange 2007 (o que va a contener usuarios habilitados para correo), existe al menos un controlador de dominio que ejecuta Windows Server 2003 Service Pack 1 (SP1).

  • Si ejecuta Setup.com de la versión para fabricantes (RTM) de Exchange 2007, en cada dominio (incluidos los dominios secundarios) donde haya servidores de Exchange Enterprise y grupos de seguridad de servidores de dominios de Exchange y donde, por tanto, debe ejecutar Setup /PrepareLegacyExchangePermissions, tiene que haber al menos un controlador de dominio que ejecute Windows Server 2003 SP1 o una versión posterior.

  • Si hay algún controlador de dominio que ejecute Windows 2000 Server y se usa Setup.com de la versión RTM de Exchange 2007, debe ejecutar cada uno de los pasos siguientes con el parámetro /DomainController para especificar un controlador de dominio que ejecute Windows Server 2003 SP1. Si usa Setup.com de Exchange 2007 SP1, no es necesario especificar un controlador de dominio que ejecute Windows Server 2003 SP1.

  • Si implementa una nueva organización de Exchange y prepara el esquema y los dominios de Active Directory con un equipo que ejecuta Windows Server 2008, debe instalar las herramientas de administración de Active Directory en el equipo Windows Server 2008 antes de preparar el esquema o los dominios. Para ello, ejecute este comando:

    ServerManagerCmd -i RSAT-ADDS

  • Los equipos en los que instalará Exchange 2007 cumplen los requisitos del sistema en las secciones "Hardware" y "Sistema operativo" de Requisitos del sistema para Exchange 2007.

Nota

Puede ejecutar este procedimiento en un equipo que tenga un procesador de 32 bits o de 64 bits. Para obtener más información acerca de las versiones de plataforma, consulte Exchange Server 2007: plataformas, ediciones y versiones.

Procedimiento

Para preparar Active Directory y los dominios

  1. Si en la organización tiene equipos que ejecuten Exchange Server 2003 o Exchange 2000 Server, abra una ventana del símbolo del sistema y, a continuación, ejecute uno de los siguientes comandos:

    • Para preparar permisos heredados de Exchange en cada dominio del bosque que contenga los servidores de Exchange Enterprise y los servidores de dominio de Exchange, ejecute el comando siguiente:

      setup /PrepareLegacyExchangePermissions.o setup /pl

    • Para preparar permisos heredados de Exchange en un dominio específico, ejecute el comando siguiente:

      setup /PrepareLegacyExchangePermissions: < FQDN del dominio que desea preparar > o setup /pl:<FQDN del dominio que desea preparar>

    Nota

    Puede omitir este paso y preparar los permisos heredados de Exchange como parte del Paso 2 o del Paso 3. Las ventajas de ejecutar cada paso por separado son que puede ejecutar cada paso con una cuenta que tenga los permisos mínimos necesarios para realizarlo y que puede comprobar la finalización, corrección y replicación de cada paso antes de continuar con el siguiente.

    Tenga en cuenta lo siguiente:

    • Para ejecutar este comando con el objeto de preparar todos los dominios del bosque, debe ser miembro del grupo Administradores de la organización. Para ejecutar este comando para preparar un dominio concreto, o si el bosque tiene sólo un dominio, debe tener delegada la función de administrador total de Exchange y debe ser miembro del grupo Administradores de dominio del dominio que vaya a preparar.

    • Si no especifica un dominio, el dominio en el cual ejecute este comando debe poder ponerse en contacto con todos los dominios del bosque. Si el servidor no puede establecer contacto con un dominio que debe tener preparados los permisos de Exchange heredados, prepara los dominios con los que puede establecer contacto y, a continuación, devuelve un mensaje de error en el que notifica que no pudo establecer contacto con algunos dominios.

    • Puede ejecutar este comando desde cualquier servidor de Windows Server 2003 SP1 de 32 o 64 bits del bosque.

    • Tras ejecutar este comando, debe esperar que los permisos se repliquen a lo largo de su organización de Exchange antes de proceder al siguiente paso. Si los permisos no se replican, podría producirse un error en el Servicio de actualización de destinatarios de sus equipos Exchange Server 2003 o Exchange 2000 Server. La cantidad de tiempo necesaria para la replicación varía en función de la tipología del sitio de Active Directory.

      Nota

      Para realizar un seguimiento del progreso de la replicación de Active Directory, puede usar la herramienta Monitor de réplica de Active Directory (replmon.exe), instalada como parte de las Herramientas de soporte técnico de Microsoft Windows Server 2003. De forma predeterminada, está ubicada en "%programfiles%\support tools." Agregue los controladores de dominio como servidores controladores para que pueda realizar un seguimiento de la replicación a lo largo del dominio.

    Para obtener información detallada acerca de los permisos configurados por este comando, consulte Preparación de permisos de Exchange heredados.

  2. Desde una ventana del símbolo del sistema, ejecute el siguiente comando:

    setup /PrepareSchema o setup /ps

    Nota

    Puede omitir este paso y preparar el esquema como parte del Paso 3.

    Importante

    No debe ejecutar este comando en un bosque en el que no tenga previsto ejecutar setup /PrepareAD. De lo contrario, el bosque se configurará incorrectamente y no podrá leer algunos atributos de los usuarios.

    Nota

    No se admite el uso de LDIFDE para importar manualmente los cambios de esquema de Exchange 2007. Debe usar el comando Setup para actualizar el esquema.

    Este comando realiza las tareas siguientes:

    • Conecta con el maestro de esquema e importa los archivos del Formato de intercambio de datos del protocolo LDAP (LDIF) para actualizar el esquema con los atributos específicos de Exchange 2007. Los archivos LDIF se copian en el directorio temporal y, una vez se han importado al esquema, se eliminan.

      Nota

      El esquema de Exchange 2007 también incluye las extensiones del esquema de Exchange 2000 y de Exchange 2003.

    • Si no ha completado el Paso 1, setup /PrepareSchema ejecutará automáticamente el paso PrepareLegacyExchangePermissions.

    Tenga en cuenta lo siguiente:

    • Si desea comprobar las actualizaciones del esquema antes de la replicación de los cambios en otros servidores del dominio, debe deshabilitar la replicación saliente en el equipo en el que ejecute el comando antes de ejecutarlo y, después de comprobar que la importación se ha realizado correctamente, volver a habilitar la replicación saliente.

    • Para ejecutar este comando, debe ser miembro del grupo Administradores de esquema y del grupo Administradores de empresa.

    • Debe ejecutar este comando en un equipo de 32 o 64 bits situado en el mismo dominio y el mismo sitio de Active Directory que el maestro del esquema.

    • Si no ha completado el Paso 1, setup /PrepareSchema ejecutará automáticamente el paso PrepareLegacyExchangePermissions. Para completar el paso PrepareLegacyExchangePermissions, el dominio en el cual ha ejecutado este comando debe poder ponerse en contacto con todos los dominios del bosque. Las ventajas de ejecutar cada paso por separado son que puede ejecutar cada paso con una cuenta que tenga los permisos mínimos necesarios para realizarlo y que puede comprobar la finalización, corrección y replicación de cada paso antes de continuar con el siguiente.

    • Si usa el parámetro /DomainController con este comando, debe especificar el controlador de dominio que es el maestro del esquema.

    • Tras ejecutar este comando, debe esperar que los cambios se repliquen a lo largo de su organización de Exchange antes de proceder al siguiente paso. La cantidad de tiempo necesaria para la replicación varía en función de la tipología del sitio de Active Directory.

      Nota

      Para realizar un seguimiento del progreso de la replicación de Active Directory, puede usar la herramienta Monitor de réplica de Active Directory(replmon.exe), instalada como parte de las Herramientas de soporte técnico de Windows Server 2003. De forma predeterminada, está ubicada en "%programfiles%\support tools." Agregue los controladores de dominio como servidores controladores para que pueda realizar un seguimiento de la replicación a lo largo del dominio.

    Para obtener información detallada acerca de los cambios que se producen en el esquema al ejecutar este comando, consulte Cambios en el esquema de Active Directory.

  3. Desde una ventana del símbolo del sistema, ejecute el siguiente comando:

    setup /PrepareAD [/OrganizationName: <nombre de la organización> ] o setup /p [/on:<nombre de la organización>]

    Este comando realiza las tareas siguientes:

    • Si el contenedor de Microsoft Exchange no existe, este comando lo crea en CN=Servicios,CN=Configuración,DC=<dominio raíz>.

    • Si no existe ningún contenedor de organización de Exchange en CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio raíz >, debe especificar un nombre de organización mediante el parámetro /OrganizationName. Se creará el contenedor de la organización con el nombre que especifique.

      El nombre de la organización de Exchange sólo puede contener los caracteres siguientes:

      De la A a la Z

      de la A a la Z

      De 0 a 9

      Espacio (menos en posiciones delantera o trasera)

      Guión o signo menos

      El nombre de la organización no puede contener más de 64 caracteres. El nombre de la organización no se puede dejar en blanco. Si el nombre contiene espacios, deberá usar comillas.

    • Comprueba que el esquema se ha actualizado y que la organización está actualizada comprobando la propiedad objectVersion en Active Directory. La propiedad objectVersion se encuentra en el contenedor CN=<organización>, CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio>. El valor de objectVersion para la versión sólo para fabricantes (RTM) de Exchange 2007 es 10666.

    • Si no existen, crea los siguientes contenedores y objetos en CN=<Nombre de la organización>,CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio raíz>. Son necesarios para Exchange 2007.

      CN=Contenedor de listas de direcciones,CN=<Nombre de la organización>,CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio raíz>

      CN=Direcciones,CN=<Nombre de la organización>,CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio raíz>

      CN=Grupos administrativos,CN=<Nombre de la organización>,CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio raíz>

      CN=Acceso de cliente,CN=<Nombre de la organización>,CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio raíz>

      CN=Conexiones,CN=<Nombre de la organización>,CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio raíz>

      CN=Contenedor de carpetas ELC,CN=<Nombre de la organización>,CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio raíz>

      CN=Directivas de buzón ELC,CN=<Nombre de la organización>,CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio raíz>

      CN=Configuración global,CN=<Nombre de la organización>,CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio raíz>

      CN=Directivas de buzón móvil,CN=<Nombre de la organización>,CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio raíz>

      CN=Directivas de destinatarios,CN=<Nombre de la organización>,CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio raíz>

      CN=Directivas del sistema,CN=<Nombre de la organización>,CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio raíz>

      CN=Configuración de transporte,CN=<Nombre de la organización>,CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio raíz>

      CN=Operador automático de mensajería unificada,CN=<Nombre de la organización>,CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio raíz>

      CN=Plan de marcado de mensajería unificada,CN=<Nombre de la organización>,CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio raíz>

      CN=Contenedor de puerta de enlace IP de mensajería unificada,CN=<Nombre de la organización>,CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio raíz>

      CN=Directivas de buzón de mensajería unificada,CN=<Nombre de la organización>,CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio raíz>

    • Si no existe, este comando crea la entrada de dominios aceptados predeterminada, según el espacio de nombres raíz del bosque, en CN=Configuración de transporte,CN=<Nombre de la organización>,CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio raíz>.

    • Asigna permisos concretos en toda la partición de configuración. Para obtener más información acerca de los permisos que se conceden, consulte Referencia a los permisos de configuración de servidor de Exchange 2007.

    • Importa el archivo Rights.ldf. Con ello se agregan los derechos extendidos necesarios para instalar Exchange en Active Directory.

    • Crea la unidad organizativa (OU) de grupos de seguridad de Microsoft Exchange en el dominio raíz del bosque y asigna permisos concretos en esta unidad organizativa. Para obtener más información acerca de los permisos que se conceden, consulte Referencia a los permisos de configuración de servidor de Exchange 2007.

    • Crea los siguientes grupos de seguridad universal (USG) dentro de la unidad organizativa (OU) de grupos de seguridad de Microsoft Exchange:

      Administradores de la organización de Exchange

      Administradores de destinatarios de Exchange

      Servidores de Exchange

      Administrador con permiso de vista de Exchange

      Exchange Administradores de carpeta pública (Novedad en el Service Pack 1 de Exchange Server 2007)

      ExchangeLegacyInterop

    • Agrega los nuevos grupos de seguridad universal (USG) que están dentro de la unidad organizativa (OU) de grupos de seguridad de Microsoft Exchange al atributo otherWellKnownObjects almacenado en el contenedor CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio raíz>.

    • Este comando crea el grupo administrativo de Exchange 2007 llamado grupo administrativo de Exchange (FYDIBOHF23SPDLT). También crea el grupo de enrutamiento de Exchange 2007 llamado grupo de enrutamiento de Exchange (DWBGZMFD01QNBJR).

      Advertencia

      No retire los servidores Exchange 2007 del grupo administrativo de Exchange (FYDIBOHF23SPDLT) ni cambie el nombre del grupo administrativo de Exchange Administrative Group (FYDIBOHF23SPDLT) con un editor de directorios de nivel inferior. Exchange 2007 debe usar este grupo administrativo para el almacenamiento de datos de configuración. No se admite mover los servidores de Exchange 2007 fuera del grupo administrativo de Exchange ni cambiar el nombre del grupo administrativo de Exchange Exchange.

      Advertencia

      No retire los servidores Exchange 2007 del grupo de enrutamiento de Exchange(DWBGZMFD01QNBJR) ni cambie el nombre del grupo de enrutamiento de Exchange (DWBGZMFD01QNBJR) con un editor de directorios de nivel inferior. Exchange 2007 debe usar este grupo de enrutamiento para comunicarse con versiones anteriores de Exchange. No se admite mover los servidores de Exchange 2007 del grupo de enrutamiento de Exchange (DWBGZMFD01QNBJR) ni el cambio de nombre del grupo de enrutamiento de Exchange (DWBGZMFD01QNBJR).

    • Este comando genera el contacto creador de voz de mensajería unificada en el contenedor de objetos del sistema de Microsoft Exchange del dominio raíz.

    • Este comando prepara el dominio local para Exchange 2007. Para obtener información acerca de las tareas que se realizan para preparar un dominio, consulte el Paso 4.

    Tenga en cuenta lo siguiente:

    • Para ejecutar este comando, debe ser miembro del grupo Administradores de la organización.

    • El equipo donde ejecute este comando debe ser capaz de establecer contacto con todos los dominios del bosque en el puerto 389.

    • Debe ejecutar este comando en un equipo situado en el mismo dominio y el mismo sitio Active Directory que el maestro de esquema. El comando Setup realizará todos los cambios de configuración en el maestro de esquema para evitar conflictos causados por la latencia de replicación.

    • Si no ha completado el Paso 1, setup /PrepareAD ejecutará automáticamente el paso PrepareLegacyExchangePermissions. Para completar el paso PrepareLegacyExchangePermissions, el dominio en el cual ha ejecutado este comando debe poder ponerse en contacto con todos los dominios del bosque. Si también es miembro del grupo Administradores de esquema y no ha completado el Paso 2, setup /PrepareAD ejecutará automáticamente el paso PrepareSchema. Las ventajas de ejecutar cada paso por separado son que puede ejecutar cada paso con una cuenta que tenga los permisos mínimos necesarios para realizarlo y que puede comprobar la finalización, corrección y replicación de cada paso antes de continuar con el siguiente.

    • Tras ejecutar este comando, debe esperar que los cambios se repliquen a lo largo de su organización de Exchange antes de proceder al siguiente paso. La cantidad de tiempo necesaria para completar esta tarea varía en función de la tipología del sitio de Active Directory.

      Nota

      Para realizar un seguimiento del progreso de la replicación de Active Directory, puede usar la herramienta Monitor de réplica de Active Directory(replmon.exe), instalada como parte de las Herramientas de soporte técnico de Windows Server 2003. De forma predeterminada, está ubicada en "%programfiles%\support tools." Agregue los controladores de dominio como servidores controladores para que pueda realizar un seguimiento de la replicación a lo largo del dominio.

    • Para comprobar que este paso se completa correctamente, asegúrese de que existe una nueva unidad organizativa (OU) en el dominio raíz denominado Grupos de seguridad de Microsoft Exchange. Esta unidad organizativa debe contener los siguientes grupos de seguridad universales de Exchange:

      Administradores de organización de Exchange

      Administradores de destinatarios de Exchange

      Administradores de Exchange con permiso de vista

      Servidores de Exchange

      Administradores de carpeta pública de Exchange (novedad en Exchange 2007 Service Pack 1)

      ExchangeLegacyInterop

      Nota

      Al instalar Exchange 2007, en la instalación se agregará Exchange al grupo de seguridad universal Administradores de la organización como un miembro del grupo Administradores locales del equipo en el que se está instalando Exchange. Tenga en cuenta que el grupo Administradores locales de un controlador de dominio tiene diferentes permisos que el grupo Administradores locales de un servidor miembro. Si instala Exchange 2007 en un controlador de dominio, los usuarios que sean administradores de la organización de Exchange dispondrán de permisos adicionales de Windows que no tendrían si se instalara Exchange 2007 en un equipo que no fuera controlador de dominio.

  4. Desde una ventana del símbolo del sistema, ejecute uno de los siguientes comandos:

    • Ejecute setup /PrepareDomain o setup /pd para preparar el dominio local. Tenga en cuenta que no necesita ejecutar este paso en el dominio en el que ejecutó el Paso 3. La ejecución de setup /PrepareAD prepara el dominio local.

    • Ejecute setup /PrepareDomain:<FQDN del dominio que desea preparar> para preparar un dominio específico.

    • Ejecute setup /PrepareAllDomains o setup /pad para preparar todos los dominios de la organización.

    Estos comandos realizan las siguientes tareas:

    • Configura permisos en el contenedor de dominio para los servidores de Exchange, los administradores de la organización de Exchange, los usuarios autenticados y los administradores de buzones de Exchange.

    • Si se trata de una organización nueva, este comando crea el contenedor Objetos de sistema de Microsoft Exchange en la partición del dominio raíz de Active Directory y define permisos en este contenedor para los servidores de Exchange, los administradores de la organización de Exchange y los usuarios autenticados. Este contenedor se usa para almacenar objetos proxy de carpeta pública y objetos del sistema relacionados con Exchange, como el buzón de la base de datos de buzones. Para obtener más información acerca de los permisos que se conceden, consulte Referencia a los permisos de configuración de servidor de Exchange 2007.

    • Este comando define la propiedad objectVersion en el contenedor Objetos de sistema de Microsoft Exchange, en DC=<dominio raíz>. Esta propiedad objectVersion contiene la versión de preparación del dominio. La versión para Exchange 2007 RTM es 10628.

    • Crea un nuevo grupo de dominio global en el dominio actual denominado Servidores de dominio de instalación de Exchange. El comando sitúa este grupo en el contendor Objetos de sistema de Microsoft Exchange. También agrega el grupo Servidores de dominio de instalación de Exchange al grupo de servidores de seguridad universal de Exchange en el dominio raíz.

      Nota

      El grupo Servidores de dominio de instalación de Exchange se usa cuando instala Exchange 2007 en un dominio secundario situado en un sitio de Active Directory diferente del dominio raíz. La creación de este grupo permite evitar errores de instalación en caso de que las pertenencias a grupos no se hayan replicado en el dominio secundario.

    • Asigna permisos en el nivel de dominio para el grupo de seguridad universal (USG) de servidores de Exchange y para el grupo de seguridad universal (USG) de administradores de destinatarios de Exchange. Para obtener más información acerca de los permisos que se conceden, consulte Referencia a los permisos de configuración de servidor de Exchange 2007.

    Tenga en cuenta lo siguiente:

    • Para los dominios situados en un sitio de Active Directory diferente del dominio raíz, puede producirse un error en /PrepareDomain correspondiente a los siguientes mensajes:

      "PrepareDomain para el dominio <YourDomain> se ha completado parcialmente. Debido a la configuración del sitio de Active Directory, debe esperar un mínimo de 15 minutos para realizar la replicación y volver a ejecutar PrepareDomain para <YourDomain>".

      "Active Directory error en la ejecución de <YourServer>. Este error no es recuperable. Información adicional: El tipo de grupo especificado no es válido.

      respuesta Active Directory: 00002141: SvcErr: DSID-031A0FC0, problem 5003 (WILL_NOT_PERFORM), data 0

      El servidor no puede responder a solicitudes del directorio".

      Si aparecen estos mensajes, espere o exija la replicación de Active Directory entre este dominio y el dominio raíz y, a continuación, vuelva a ejecutar /PrepareDomain.

    • Para ejecutar setup /PrepareAllDomains debe ser miembro del grupo Administradores de la organización.

    • Para ejecutar setup /PrepareDomain, si el dominio que esté preparando existía antes de ejecutar setup /PrepareAD, debe ser miembro del grupo de Administradores de dominio del dominio. Si el dominio que esté preparando se creó cuando ya había ejecutado setup /PrepareAD, debe ser miembro del grupo de Administradores de la organización de Exchange y debe ser miembro del grupo de Administradores de dominio del dominio.

    • Debe ejecutar este comando en cada dominio en el que vaya a instalar Exchange 2007. También debe ejecutar este comando en cada dominio que vaya a contener usuarios con correo habilitado, aunque Exchange 2007 no esté instalado en el dominio.

    Para comprobar que este paso se ha completado correctamente, confirme los siguientes aspectos:

    • Cuenta con un nuevo grupo global en el contenedor Objetos de sistema de Microsoft Exchange llamado "Servidores de dominio de instalación de Exchange".

      Nota

      Para visualizar el contenedor de los Objetos de sistema de Microsoft Exchange en Usuarios y equipos de Active Directory, en el menú Ver, haga clic en Características avanzadas.

    • El grupo Servidores de dominio de instalación de Exchange es miembro del Grupo de seguridad universal de servidores de Exchange en el dominio raíz.

    • En todos los controladores de dominio en un dominio en el que instala Exchange 2007, el grupo de seguridad universal de servidores de Exchange tiene permisos en la directiva Directiva de seguridad de controladores de dominio\Directivas locales\Asignación de derechos de usuario\Administrar registros de auditoría y seguridad.