O que muda no Active Directory quando o Exchange é instalado?

  • Artigo

Quando você instala Exchange Server 2016 ou Exchange Server 2019, são feitas alterações em sua floresta e domínios do Active Directory para armazenar informações sobre os servidores do Exchange, caixas de correio e outros objetos relacionados ao Exchange em sua organização.

Três etapas são necessárias para preparar o Active Directory para Exchange:

  1. Estender o esquema do Active Directory

  2. Preparar contêineres, objetos e outros itens do Active Directory

  3. Preparar os domínios do Active Directory

Depois que todas as três etapas forem concluídas, sua floresta do Active Directory estará pronta para o Exchange. Este tópico explica o que o Exchange faz em cada etapa da preparação do Active Directory.

Você pode fazer essas alterações antes de instalar o primeiro servidor exchange 2016 ou Exchange 2019 na organização executando os comandos /PrepareSchema, /PrepareAD e /PrepareAllDomains ou /PrepareDomains usando a Instalação da linha de comando do Exchange. Para obter instruções, consulte Preparar o Active Directory e os domínios para o Exchange. Ou essas alterações são feitas automaticamente para você durante a instalação do primeiro servidor exchange usando o assistente de Configuração do Exchange. Para obter instruções, consulte Instalar servidores da Caixa de Correio do Exchange usando o assistente de instalação.

Estender o esquema do Active Directory

A extensão do esquema do Active Directory adiciona e atualiza classes, atributos e outros itens. Essas alterações são necessárias de modo que o Exchange possa criar contêineres e objetos a fim de armazenar informações sobre a organização do Exchange. Como o Exchange faz muitas alterações no esquema do Active Directory, há um tópico dedicado a esta etapa. Para ver todas as alterações feitas no esquema, confira Alterações de esquema do Active Directory no Exchange Server.

Depois que o esquema tiver sido estendido executando o comando /PrepareSchema , o comando _/PrepareAD ou instalando o primeiro servidor exchange usando o assistente de Configuração do Exchange, a versão do esquema será definida no atributo ms-Exch-Schema-Version-Pt . Para verificar se o esquema do Active Directory foi estendido com êxito, você pode verificar o valor armazenado neste atributo. Para obter mais informações, confira Versões do Exchange Active Directory.

Preparar contêineres, objetos e outros itens do Active Directory

Como o esquema estendido, a próxima etapa é adicionar todos os contêineres, objetos, atributos e outros itens usados pelo Exchange para armazenar informações no Active Directory. A maioria das alterações feitas nesta etapa é aplicada a toda a floresta do Active Directory. Um conjunto menor de alterações é feito apenas para o domínio local do Active Directory em que o comando /PrepareAD foi executado (ou onde o primeiro servidor exchange foi instalado usando o assistente de Configuração do Exchange).

O Exchange faz as seguintes alterações na floresta do Active Directory:

  • O contêiner do Microsoft Exchange é criado em domínio> CN=Services,CN=Configuration,DC=<raiz se ele ainda não existir.

  • Os seguintes contêineres e objetos são criados em cn=<nome> da organização,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<domínio> raiz se eles ainda não existirem:

    • CN=Contêiner de Listas de Endereços

    • CN=Políticas de Caixa de Correio do Catálogo de Endereços

    • CN=Endereçamento

    • CN=Grupos Administrativos

    • CN=Aplicativos de Aprovação

    • CN=Configuração de Autenticação

    • CN=Configuração de Disponibilidade

    • CN=Acesso para Cliente

    • CN=Conexões

    • CN=Contêiner de Pastas ELC

    • CN=Políticas de Caixa de Correio ELC

    • CN=ExchangeAssistance

    • CN=Federação

    • CN=Relações de Confiança de Federação

    • CN=Configurações Globais

    • CN=Configuração Híbrida

    • CN=Políticas de Caixa de Correio Móvel

    • CN=Configurações de Caixa de Correio Móvel

    • CN=Configurações de Monitoramento

    • CN=Políticas de Caixa de Correio do OWA

    • CN=Contêiner de Política de Provisionamento

    • CN=Configurações de Notificação de Push

    • CN=RBAC

    • CN=Políticas de Destinatário

    • CN=Contêiner de Políticas de Contas Remotas

    • CN=Container de Políticas de Retenção

    • CN=Contêiner de Tag de Política de Retenção

    • CN=ServiceEndpoints

    • CN=Políticas do Sistema

    • CN=Políticas de Provisionamento de Caixa de Correio de Equipe

    • CN=Configurações de Transporte

    • Contêiner CN=UM AutoAttendant (somente Exchange 2016)

    • Contêiner CN=UM DialPlan (somente Exchange 2016)

    • Contêiner CN=UM IPGateway (somente Exchange 2016)

    • Políticas de caixa de correio CN=UM (somente exchange 2016)

    • CN=Configurações de Gerenciamento de Carga de Trabalho

  • Os seguintes contêineres e objetos são criados em domínio CN=Configurações de Transporte,CN=<Nome da> Organização,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<domínio> raiz se eles ainda não existirem:

    • CN=Domínios Aceitos

    • CN=Configuração ControlPoint

    • CN=Personalização de DNS

    • CN=Regras de Interceptador

    • CN=Filtro de Malware

    • CN=Classificações de Mensagens

    • CN=Higienização de Mensagem

    • CN=Regras

    • CN=MicrosoftExchange329e71ec88ae4615bbc36ab6ce41109e

  • As permissões são definidas por meio da partição de configuração no Active Directory.

  • O arquivo Rights.ldf é importado. Esse arquivo adiciona permissões necessárias para instalar o Exchange e configurar o Active Directory.

  • A OU (unidade organizacional) dos Grupos de Segurança do Microsoft Exchange é criada no domínio raiz da floresta e as permissões são atribuídas a ela.

  • Os seguintes grupos serão criados na OU dos Grupos de Segurança do Microsoft Exchange se eles ainda não existirem:

    • Gerenciamento de Conformidade

    • Instalação Representada

    • Gerenciamento de Descobertas

    • Exchange Servers

    • Subsistema confiável do Exchange

    • Permissões do Windows do Exchange

    • Exchangelegacyinterop

    • Suporte Técnico

    • Gerenciamento de Higienização

    • Servidores de Disponibilidade Gerenciada

    • Gerenciamento de Organização

    • Gerenciamento de Pasta Pública

    • Gerenciamento de Destinatários

    • Gerenciamento de Registros

    • Gerenciamento do Servidor

    • Gerenciamento da Organização Somente para Exibição

  • Os novos grupos de funções de gerenciamento (que aparecem como USGs (grupos universais de segurança) no Active Directory) criados na OU dos Grupos de Segurança do Microsoft Exchange são adicionados ao outro atributoWellKnownObjects armazenado no contêiner de domínio> CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<raiz.

  • Somente no Exchange 2016, o contato do Originador de Voz de Mensagens Unificadas é criado no contêiner Objetos do Sistema do Microsoft Exchange do domínio raiz.

  • Somente o domínio em que o comando /PrepareAD foi executado (ou onde o primeiro servidor do Exchange foi instalado usando o assistente de Configuração do Exchange) está preparado para o Exchange. Para obter informações sobre o que é feito para preparar um domínio do Active Directory para Exchange, confira a próxima seção.

Preparar os domínios do Active Directory

A etapa final da preparação do Active Directory para Exchange é preparar os domínios do Active Directory em que os servidores do Exchange serão instalados ou onde os usuários habilitados para caixa de correio estarão localizados (todos os domínios na floresta usando o comando /PrepareAllDomains , domínios específicos usando o comando /PrepareDomains ou instalando o primeiro servidor Exhange usando o Assistente de Instalação do Exchange). Essa etapa é feita automaticamente no domínio em que o comando PrepareAD foi executado (ou onde o primeiro servidor do Exchange foi instalado usando o assistente de Configuração do Exchange).

O Exchange faz as alterações de follwing nos domínios do Active Directory:

  • O contêiner Objetos do Sistema do Microsoft Exchange é criado na partição de domínio raiz no Active Directory, caso ainda não exista.

  • As permissões são definidas no contêiner Objetos do Sistema do Microsoft Exchange para os grupos de segurança Servidores do Exchange, Gerenciamento de Organização e Usuários Autenticados.

  • Modificando o GPO dos Controladores de Domínio Padrão para conceder direitos de "Gerenciar política de Log de Auditoria e Segurança" aos Servidores do Exchange Enterprise.

  • O grupo global de domínio dos Servidores de Domínio de Instalação do Exchange é criado no domínio atual e colocado no contêiner de Objetos do Sistema do Microsoft Exchange.

  • O grupo Servidores de Domínio de Instalação do Exchange é adicionado ao USG dos Servidores do Exchange no domínio raiz.

  • As permissões são atribuídas no nível de domínio para o USG dos Servidores do Exchange e o USG de Gerenciamento de Organização.

  • A propriedade objectVersion no contêiner Objetos do Sistema do Microsoft Exchange em domínio DC=<raiz> está definida. Para verificar se os domínios do Active Directory foram preparados com êxito, você pode verificar o valor armazenado neste atributo. Para obter mais informações, confira Versões do Exchange Active Directory.