Commutateurs d'installation d'Exchange Server 2007

  • Article

 

Dernière rubrique modifiée : 2010-11-29

Il peut arriver que vous deviez exécuter des commutateurs d'installation d'Exchange Server 2007 distincts avant de lancer l'installation proprement dite du premier serveur Exchange Server 2007. Ce scénario dépend de plusieurs facteurs, dont la taille et la complexité de l'organisation, la disposition des domaines Active Directory et la latence de réplication d'Active Directory.

Lors de l'installation du premier serveur Exchange 2007, vous devez tenir compte de la possibilité que ce scénario se produise. À défaut de suivre la procédure recommandée, vous risquez de rencontrer des temps d'arrêt ou des problèmes affectant des serveurs Microsoft Exchange présents au sein de l'organisation. Pour toutes les installations, sauf les plus petites, il est recommandé d'exécuter les commutateurs d'installation séparément. Il est également recommandé d'autoriser la réplication Active Directory au lieu d'exécuter simplement l'installation à partir du DVD Exchange 2007.

Préparation d'Active Directory et de domaines

  1. Si des ordinateurs de votre organisation exécutent Exchange Server 2003 ou Exchange 2000 Server, ouvrez une fenêtre d'invite de commandes, puis exécutez les commandes appropriées :

    • Pour préparer des autorisations Exchange héritées dans chaque domaine de la forêt contenant les groupes Serveurs d'entreprise Exchange et Serveurs de domaine Exchange, exécutez la commande suivante :

      setup /PrepareLegacyExchangePermissions

    • Pour préparer des autorisations Exchange héritées dans un domaine spécifique, exécutez la commande suivante :

      setup /PrepareLegacyExchangePermissions: <FQDN of domain you want to prepare>

    Vous pouvez ignorer cette étape et préparer les autorisations Exchange héritées dans le cadre de l'étape 2 ou 3 de cette procédure.

    Pour exécuter cette commande afin de préparer chaque domaine de la forêt, vous devez être membre du groupe Administrateurs de l'entreprise. Pour exécuter cette commande afin de préparer un domaine spécifique, vous devez être membre du groupe Administrateurs d'organisation Exchange et du groupe Admins du domaine dans le domaine que vous préparez.

    Si vous ne spécifiez pas de domaine, le domaine dans lequel vous exécutez cette commande doit pouvoir contacter tous les domaines de la forêt.

    Une fois cette commande exécutée, vous devez attendre que les autorisations soient répliquées dans votre organisation Exchange avant de passer à l'étape suivante. À défaut de réplication des autorisations, l'exécution du service de mise à jour de destinataire sur vos ordinateurs Exchange Server 2003 ou Exchange 2000 Server risque d'échouer. Le temps nécessaire à la réplication dépend de la topologie de votre site Exchange.

    Notes

    Pour suivre la progression de la réplication Active Directory, vous pouvez vous servir de l'outil moniteur de réplication d'Active Directory (replmon.exe). Celui-ci est installé en même temps que les outils de support Microsoft Windows Server 2003. Par défaut, il se trouve dans le répertoire « %programfiles%\support tools\ ». Ajoutez les contrôleurs de domaine comme des serveurs surveillés de façon à pouvoir suivre la progression de la réplication dans le domaine.

  2. Ouvrez une fenêtre d'invite de commandes, puis exécutez la commande suivante :

    setup /PrepareSchema

    Important

    Vous ne devez pas exécuter cette commande dans une forêt dans laquelle vous ne projetez pas d'exécuter setup /PrepareAD. Si vous le faites, la forêt ne sera pas correctement configurée et vous ne pourrez pas lire certains attributs sur des objets utilisateur.

    Notes

    • Cette commande connecte le contrôleur de schéma et importe des fichiers LDIF (LDAP Data Interchange Format) pour mettre à jour le schéma avec des attributs Exchange 2007 spécifiques.

    • Pour exécuter cette commande, vous devez être membre des groupes Administrateurs du schéma et Administrateurs de l'entreprise.

    • Vous devez exécuter cette commande sur un ordinateur figurant dans le même domaine et dans le même site Active Directory que le contrôleur de schéma.

    • Si vous n'accomplissez pas l'étape 1 avant de lancer cette commande, Setup /PrepareSchema exécute l'étape PrepareLegacyExchangePermissions. Pour accomplir l'étape PrepareLegacyExchangePermissions, le domaine dans lequel vous exécutez cette commande doit pouvoir contacter tous les domaines de la forêt.

    • Une fois cette commande exécutée, vous devez attendre que les modifications soient répliquées dans votre organisation Exchange avant de passer à l'étape suivante. Le temps nécessaire à la réplication dépend de la topologie de votre site Active Directory.

    Pour suivre la progression de la réplication Active Directory, vous pouvez vous servir de l'outil moniteur de réplication d'Active Directory (replmon.exe). Celui-ci est installé en même temps que les outils de support Microsoft Server 2003. Par défaut, l'outil se trouve dans l'emplacement suivant :

    "%programfiles%\support tools\"

    Ajoutez les contrôleurs de domaine comme des serveurs surveillés de façon à pouvoir suivre la progression de la réplication dans le domaine.

  3. Depuis une invite de commandes, exécutez la commande suivante :

    setup /PrepareAD [/OrganizationName <organization name>]

    Cette commande effectue ce qui suit :

    • configuration des objets globaux Exchange dans Active Directory ;

    • création des groupes universels de sécurité (USG) Exchange dans le domaine racine ;

    • définition des autorisations sur les objets de configuration Exchange ;

    • préparation du domaine actuel.

    Les objets globaux sont situés sous le conteneur de l'organisation Exchange. S'il n'existe pas de conteneur de l'organisation Exchange, vous devez spécifier un nom d'organisation à l'aide du paramètre /OrganizationName. Le conteneur de l'organisation est créé sous le nom que vous spécifiez.

    Cette commande crée également le groupe d'administration Exchange 2007 nommé Groupe d'administration Exchange (FYDIBOHF23SPDLT), ainsi que le groupe de routage Exchange 2007 nommé Groupe de routage Exchange (DWBGZMFD01QNBJR).

    CautionAttention :
    Ne déplacez pas des serveurs Exchange 2007 hors du groupe d'administration Exchange (FYDIBOHF23SPDLT) et ne renommez pas ce dernier via un éditeur d'annuaire de niveau inférieur. Exchange 2007 doit utiliser ce groupe d'administration pour le stockage des données de configuration. Les opérations de déplacement des serveurs Exchange 2007 hors du groupe d'administration Exchange (FYDIBOHF23SPDLT) et de modification du nom de ce dernier ne sont pas prises en charge.
    CautionAttention :
    Ne déplacez pas des serveurs Exchange 2007 hors du groupe de routage Exchange (DWBGZMFD01QNBJR) et ne renommez pas ce dernier en utilisant un éditeur d'annuaire de niveau inférieur. Exchange 2007 doit utiliser ce groupe de routage pour communiquer avec les versions antérieures d'Exchange. Les opérations de déplacement des serveurs Exchange 2007 hors du groupe de routage Exchange (DWBGZMFD01QNBJR) et de changement du nom de ce dernier ne sont pas prises en charge.

    Notes

    • Cette commande crée le contact de l'expéditeur du message vocal de messagerie unifiée dans le conteneur Objets système Microsoft Exchange du domaine racine.

    • Cette commande prépare le domaine local pour Exchange 2007.

    • Pour exécuter cette commande, vous devez être membre du groupe Administrateurs de l'entreprise.

    • Si votre organisation comprend des serveurs Exchange Server 2003, vous devez être administrateur intégral Exchange pour exécuter cette commande.

    • Vous devez exécuter cette commande sur un ordinateur figurant dans le même domaine et le même site Active Directory que le contrôleur de schéma.

    • Si vous n'accomplissez pas l'étape 1 avant de lancer cette commande, Setup /PrepareAD exécute l'étape PrepareLegacyExchangePermissions. Pour accomplir l'étape PrepareLegacyExchangePermissions, le domaine dans lequel vous exécutez cette commande doit pouvoir contacter tous les domaines de la forêt. Si vous êtes également membre du groupe Administrateurs du schéma et si vous n'avez pas accompli l'étape 2, Setup /PrepareAD exécute l'étape PrepareSchema.

    • Une fois cette commande exécutée, vous devez attendre que les modifications soient répliquées dans votre organisation Exchange avant de passer à l'étape suivante. Le temps nécessaire à la réplication dépend de la topologie de votre site Active Directory.

    Pour vérifier si cette étape a été correctement exécutée, assurez-vous qu'il existe une nouvelle unité d'organisation (OU) dans le domaine racine nommé Groupes de sécurité Microsoft Exchange. Cette UO doit contenir les nouveaux groupes universels de sécurité Exchange suivants :

    • Administrateurs d'organisation Exchange

    • Administrateurs des destinataires Exchange

    • Administrateurs Exchange - Affichage seul

    • Serveurs Exchange

    • ExchangeLegacyInterop

    Notes

    Lorsque vous installez Exchange 2007, le programme d'installation ajoute le groupe universel de sécurité Administrateurs d'organisation Exchange au groupe Administrateurs local sur lequel vous installez Exchange. Sachez que le groupe Administrateurs local sur un contrôleur de domaine dispose d'autorisations différentes de celle du groupe Administrateurs local sur un serveur membre. Si vous installez Exchange 2007 sur un contrôleur de domaine, les utilisateurs membres du rôle Administrateurs d'organisation Exchange reçoivent des autorisations Windows supplémentaires par rapport à celles dont ils disposent si vous installez Exchange 2007 sur un ordinateur qui n'est pas un contrôleur de domaine.

  4. Depuis une invite de commandes, exécutez les commandes suivantes :

    • Exécutez setup /PrepareDomain pour préparer le domaine local. Notez que vous ne devez pas exécuter cette commande dans le domaine où vous avez exécuté l'étape 3. L'exécution de setup /PrepareAD prépare le domaine local.

    • Exécutez setup /PrepareDomain:<FQDN of domain you want to prepare> pour préparer un domaine spécifique.

    • Exécutez setup /PrepareAllDomains pour préparer tous les domaines dans votre organisation.

    Ces commandes exécutent les tâches suivantes :

    • Définition des autorisations sur le conteneur de domaine pour les serveurs Exchange, les administrateurs d'organisation Exchange, les utilisateurs authentifiés et les administrateurs de boîtes aux lettres Exchange.

    • Création du conteneur Objets système Microsoft Exchange s'il n'existe pas et définition des autorisations sur ce conteneur pour les serveurs Exchange, les administrateurs d'organisation Exchange et les utilisateurs authentifiés.

    • Création d'un groupe global de domaine dans le domaine actuel, nommé Serveurs de domaine Exchange. Cette commande ajoute également le groupe Serveurs de domaine Exchange au groupe universel de sécurité Serveurs Exchange dans le domaine racine.

    Pour les domaines qui figurent dans un site Active Directory autre que le domaine racine, la commande /PrepareDomain peut échouer et afficher un ou plusieurs des messages suivants :

    • La commande PrepareDomain pour le domaine <VotreDomaine> a été partiellement exécutée. En raison de la configuration du site Active Directory, vous devez attendre au moins 15 minutes pour que la réplication s'opère, puis réexécuter la commande PrepareDomain pour <VotreDomaine>.

    • Échec de l'opération Active directory sur <VotreServeur>. Cette erreur n'est pas reproductible. Informations supplémentaires : Le type de groupe spécifié est non valide.

    • Réponse d'Active directory : 00002141: SvcErr: DSID-031A0FC0, problem 5003 (WILL_NOT_PERFORM), data 0.

    • Le serveur ne peut pas gérer les demandes liées à l'annuaire.

Pour vérifier si cette étape a été correctement exécutée, vérifiez qu'un nouveau groupe global existe dans le conteneur Objets système Microsoft Exchange nommé Serveurs de domaine Exchange.

Considérez les informations suivantes :

  • Pour exécuter setup /PrepareAllDomains, vous devez être membre du groupe Administrateurs de l'entreprise.

  • Pour exécuter setup /PrepareDomain, vous devez être membre du groupe Administrateurs de domaine dans le domaine si le domaine que vous préparez existait avant l'exécution de setup /PrepareAD Si le domaine que vous préparez a été créé après l'exécution de setup /PrepareAD, vous devez être membre du groupe Administrateurs d'organisation Exchange et du groupe Administrateurs de domaine dans le domaine.

  • Le groupe Exchange Install Domain Servers est utilisé si vous installez Exchange 2007 dans un domaine enfant qui est un site Active Directory autre que le domaine racine. La création de ce groupe vous permet d'éviter des erreurs d'installation si des appartenances de groupe n'ont pas été répliquées dans le domaine enfant.

  • Le groupe Serveurs de domaine Exchange est membre du groupe universel de sécurité Serveurs Exchange dans le domaine racine.

  • Sur chaque contrôleur de domaine d'un domaine dans lequel vous voulez installer Exchange 2007, le groupe universel de sécurité Serveurs Exchange dispose d'autorisations sur la stratégie Domain Controller Security Policy\Local Policies\User Rights Assignment\Manage Auditing and Security log.

Pour plus d'informations sur /prepareschema, consultez la rubrique TechNet suivante :

Modifications du schéma Active Directory

Informations supplémentaires sur les commutateurs Exchange Server 2007 et autorisations requises

Les commutateurs suivants exécutent les tâches mentionnées et nécessitent les autorisations indiquées.

/PrepareLegacyExchangePermissions

  • Recherche tous les domaines de la forêt comprenant les groupes Serveurs d'entreprise Exchange et le groupe Serveurs de domaine Exchange

  • Dans chaque domaine comprenant ces groupes, procédez comme suit :

    • Ajoutez une entrée de contrôle d'accès (ACE) à l'ACL racine du domaine pour octroyer au groupe EES des autorisations WRITE_PROP sur le jeu de propriétés d'informations de messagerie

    • Ajoutez une entrée de contrôle d'accès (ACE) à l'ACL racine du domaine pour octroyer aux utilisateurs authentifiés des autorisations READ_PROP sur le jeu de propriétés d'informations de messagerie

    • Ajoutez une entrée de contrôle d'accès au AdminSDHolder de l'ACL du domaine pour octroyer au groupe EES des autorisations WRITE_PROP et READ_PROP sur le jeu de propriétés d'informations de messagerie

    • Ajoutez une entrée de contrôle d'accès à l'ACL du conteneur Exchange Org pour octroyer au groupe EDS des autorisations WRITE_PROP sur le jeu de propriétés d'informations de messagerie

      noteRemarque :
      Si le domaine ne nécessite pas de préparation par l'octroi d'autorisations Exchange héritées, ou s'il est déjà préparé, cette tâche est sans effet.

Autorisations requises :

Administrateur de l'entreprise : requise pour écrire l'entrée de contrôle d'accès sur chaque conteneur de domaine et sur le conteneur de l'organisation Exchange dans Active Directory

/PrepareLegacyExchangePermissions < nom_domaine_complet >

Exécute les mêmes tâches que /PrepareLegacyExchangePermissions, mais uniquement sur le domaine spécifié. Si le domaine ne nécessite pas de préparation par l'octroi d'autorisations Exchange héritées, ou s'il est déjà préparé, cette tâche n'est pas requise.

Autorisations requises :

L'une des suivantes :

  • Administrateur de l'entreprise : requise pour écrire l'entrée de contrôle d'accès sur chaque conteneur de domaine et sur le conteneur de l'organisation Exchange

  • Administrateur domaine spécifié et Administrateur d'organisation Exchange : requise pour écrire l'entrée de contrôle d'accès sur chaque conteneur de domaine et sur le conteneur de l'organisation Exchange dans Active Directory

/PrepareSchema

Exécute la tâche PrepareLegacyExchangePermissions et importe le schéma Exchange Server 2007 qui est réparti en 100 fichiers ldf (il invoque donc la tâche « install-ExchangeSchema » 100 fois)

Autorisations requises :

Les deux suivantes :

  • Administrateur de l'entreprise : requise pour PrepareLegacyExchangePermissions

  • Administrateur du schéma : requise pour la mise à jour du schéma

/PrepareAD

  • Exécute la tâche ExchangeLegacyPermissions lorsque le schéma n'est pas à jour

  • Exécute la tâche d'importation de schéma lorsque le schéma n'est pas à jour

  • Crée les conteneurs de configuration Microsoft Exchange dans Active Directory, notamment les conteneurs Org et globaux

    • S'il n'existe pas de conteneur de l'organisation Exchange dans Active Directory, l'installation requiert qu'un nom d'organisation lui soit transmis à l'aide du paramètre /OrganizationName:<YourOrgName>

    • Importe le fichier Rights.ldf qui élargit les doits étendus dans Active Directory

  • Crée l'unité d'organisation Groupes de sécurité Microsoft Exchange dans le domaine racine et dans les groupes de sécurité universels suivants 

    • Administrateurs d'organisation Exchange

    • Administrateurs des destinataires Exchange

    • Administrateurs Exchange - Affichage seul

    • Serveurs Exchange

    • ExchangeLegacyInterop

  • Crée le groupe d'administration Exchange Server 2007 « Groupe d'administration Exchange (FYDIBOHF23SPDLT) » et le groupe de routage Exchange Server 2007 « Groupe de routage Exchange (DWBGZMFD01QNBJR) »

  • Définit des autorisations sur les objets et les groupes de configuration Exchange

  • Prépare le domaine local pour Exchange Server 2007

  • Exécute sur le domaine actuel initialize-DomainPermissions qui effectue les opérations suivantes :

    • Définit des ACE sur le conteneur de domaine pour les groupes de sécurité universels Serveurs Exchange, les utilisateurs authentifiés, les administrateurs d'organisation Exchange et les administrateurs de boîtes aux lettres Exchange

    • Crée le conteneur d'objets système Microsoft Exchange (MESO) s'il n'existe pas

    • Définit des ACE sur le conteneur d'objets système Microsoft Exchange pour le groupe de sécurité universel Serveurs Exchange et pour les administrateurs d'organisation Exchange

    • Ajoute le groupe de sécurité universel Serveurs Exchange à l'option Gérer le journal d’audit et de sécurité dans Attribution des droits utilisateur sous Stratégies locales sous Stratégie par défaut des contrôleurs de domaine

      noteRemarque :
      Ce paramètre est appelé « Droits SACL » pour ce domaine.

    • Crée un groupe global du domaine nommé Serveurs de domaine Exchange, puis le place dans le conteneur Objets système Microsoft Exchange du domaine local

    • Ajoute le groupe Serveurs de domaine Exchange au groupe de sécurité universel Serveurs Exchange dans le domaine racine

Autorisations requises :

Au moins une des autorisations suivantes :

  • Si les commandes /PrepareLegacyExchangePermissions et /PrepareSchema n'ont pas encore été exécutées, les deux autorisations suivantes :

    • Administrateur de l'entreprise : requise pour /PrepareLegacyExchangePermissions, pour étendre les droits, créer la configuration globale et définir les autorisations

    • Administrateur du schéma : requise pour la mise à jour du schéma

  • Si la commande /PrepareSchema n'a pas encore été exécutée et si la commande /PrepareLegacyExchangePermissions n'est pas requise ou a déjà été exécutée, les deux autorisations suivantes :

    • Administrateur de l'entreprise : requise pour /PrepareLegacyExchangePermissions, pour étendre les droits, créer la configuration globale et définir les autorisations

    • Administrateur du schéma : requise pour la mise à jour du schéma

  • Si les commandes /PrepareLegacyExchangePermissions et /PrepareSchema ont déjà été exécutées :

    • Administrateur de l'entreprise : requise pour créer la configuration globale et définir les autorisations

  • Si la commande /PrepareAD a été exécutée précédemment :

    • Administrateur de l'entreprise : requise pour réinitialiser la configuration globale et les autorisations

/PrepareDomain

  • Prépare le domaine local pour Exchange Server 2007

  • Exécute la commande « initialize-DomainPermissions » sur le domaine actuel

  • La commande Initialize-DomainPermissions effectue ce qui suit :

    • Définit des ACE sur le conteneur de domaine pour les groupes de sécurité universels Serveurs Exchange, les utilisateurs authentifiés, les administrateurs d'organisation Exchange et les administrateurs de boîtes aux lettres Exchange

    • Crée le conteneur d'objets système Microsoft Exchange (MESO) s'il n'existe pas

    • Définit des ACE sur le conteneur d'objets système Microsoft Exchange pour le groupe de sécurité universel Serveurs Exchange et pour les administrateurs d'organisation Exchange

    • Ajoute le groupe de sécurité universel Serveurs Exchange à l'option Gérer le journal d’audit et de sécurité dans Attribution des droits utilisateur sous Stratégies locales sous Stratégie par défaut des contrôleurs de domaine

      noteRemarque :
      Ce paramètre est appelé « Droits SACL » pour ce domaine.

    • Crée un groupe global du domaine nommé Serveurs de domaine Exchange, puis le place dans le conteneur Objets système Microsoft Exchange du domaine local

    • Ajoute le groupe Serveurs de domaine Exchange au groupe de sécurité universel Serveurs Exchange dans le domaine racine

Autorisations requises :

  • Si le domaine existait avant l'exécution de la commande /prepareAD :

    • Administrateur du domaine à préparer : requise pour créer des objets et des groupes, ainsi que pour définir des autorisations dans le conteneur de domaine

  • Si le domaine a été créé après l'exécution de la commande /prepareAD, les deux autorisations suivantes :

    • Administrateur de domaine : requise pour créer des objets et des groupes, ainsi que pour définir des autorisations dans le conteneur de domaine

    • Administrateur de l'organisation Exchange : exigence minimale pour ajouter le groupe Serveurs de domaine Exchange au groupe de sécurité universel Serveurs Exchange

/PrepareDomain:<nom de domaine complet d'un certain domaine>

Exécute les mêmes tâches que /PrepareDomain sur le domaine spécifié.

Autorisations requises :

  • Si le domaine existait avant l'exécution de la commande /prepareAD :

    • Administrateur du domaine à préparer : requise pour créer des objets et des groupes, ainsi que pour définir des autorisations dans le conteneur de domaine

  • Si le domaine a été créé après l'exécution de la commande /prepareAD, les deux autorisations suivantes :

    • Administrateur du domaine à préparer : requise pour créer des objets et des groupes, ainsi que pour définir des autorisations dans le conteneur de domaine

    • Administrateur de l'organisation Exchange : exigence minimale pour ajouter le groupe Serveurs de domaine Exchange au groupe de sécurité universel Serveurs Exchange

/PrepareAllDomains

Exécute la même tâche que /PrepareDomain sur chaque domaine de la forêt

Autorisations requises :

  • Administrateur de l'entreprise : requise pour créer des objets et des groupes, ainsi que pour définir des autorisations dans chaque domaine

Plus d'informations

Procédure de préparation d'Active Directory et de domaines