如何準備 Active Directory 及網域

  • 發行項

 

適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上次修改主題的時間: 2008-02-19

本主題說明如何為安裝 Microsoft Exchange Server 2007 準備 Active Directory 目錄服務及網域。您必須先完成此程序,才能在組織中的任何伺服器上安裝 Exchange 2007。

note附註:
如果您用具有準備 Active Directory 及網域所需權限的帳戶執行 Exchange Server 2007 安裝精靈,精靈會自動準備 Active Directory 及網域。

開始之前

為 Exchange 2007 準備 Active Directory 及您的網域之前,請確認下列情況:

  • 您執行此程序的電腦上已安裝 Microsoft .NET Framework 2.0 及 Microsoft 命令介面。

  • 您的網域及網域控制站符合 Exchange 2007 系統需求的<網路及目錄伺服器>一節中的系統需求。

  • 在即將安裝 Exchange 2007 (或要納入擁有郵件功能的使用者) 的每個網域中,都必須至少有一個執行 Windows Server 2003 Service Pack 1 (SP1) 的網域控制站。

  • 若您執行量產發行 (RTM) 版本的 Exchange 2007 Setup.com,則在每個具有 Exchange Enterprise Servers 與 Exchange Domains Servers 安全性群組,且因此必須執行 Setup /PrepareLegacyExchangePermissions 的網域 (包括子網域) 中,都必須至少有一個執行 Windows Server 2003 SP1 或更新版本的網域控制站。

  • 若您有任何執行 Windows 2000 Server 的網域控制站,且您使用 Exchange 2007 RTM Setup.com,您就必須以 /DomainController 參數執行下列每個步驟,以指定執行 Windows Server 2003 SP1 的網域控制站。若您使用 Exchange 2007 SP1 中的 Setup.com,則不需指定執行 Windows Server 2003 SP1 的網域控制站。

  • 若您部署新的 Exchange 組織,而且使用執行 Windows Server 2008 的電腦準備 Active Directory 架構及網域,則必須先在 Windows Server 2008 電腦上安裝 Active Directory 管理工具,再準備架構或網域。若要這樣做,請執行下列命令:

    ServerManagerCmd -i RSAT-ADDS

  • 將安裝 Exchange 2007 的電腦符合Exchange 2007 系統需求之<硬體>及<作業系統>中的系統需求。

note附註:
您可以在具有 32 位元或 64 位元處理器的電腦上執行此程序。如需平台版本的相關資訊,請參閱 Exchange Server 2007:平台與版本

程序

準備 Active Directory 及網域

  1. 如果您的組織中有任何電腦是執行 Exchange Server 2003 或 Exchange 2000 Server,請開啟命令提示視窗,然後執行下列其中一個命令:

    • 若要在樹系內每個含有 Exchange Enterprise Servers 與 Exchange Domain Servers 群組的網域中準備傳統 Exchange 權限,請執行下列命令:
      setup /PrepareLegacyExchangePermissionssetup /pl
    • 若要在特定網域中準備傳統 Exchange 權限,請執行下列命令:
      setup /PrepareLegacyExchangePermissions: < 您要準備之網域的 FQDN >setup /pl:< 您要準備之網域的 FQDN**>**
    note附註:
    您可以略過此步驟,改在步驟 2 或步驟 3 中準備傳統 Exchange 權限。個別執行每個步驟的好處在於,您可以根據該步驟所需的最低權限,使用適合的帳戶執行各個步驟,並可先驗證作業是否已完成、順利執行並複寫,再繼續進行下一個步驟。

    注意下列事項:

    • 若要執行此命令來準備樹系中的每個網域,您必須是 Enterprise Admins 群組的成員。若要執行此命令以進行特定網域的準備工作,或樹系中只有一個網域,您就必須獲委派 Exchange 系統高權限管理員角色,並且必須是所準備之網域中的 Domain Admins 群組成員。
    • 如果未指定網域,您執行此命令的網域必須能夠連絡樹系中的所有網域。伺服器若無法連絡必須具備傳統 Exchange 權限的網域,則會準備它能夠連絡的網域,然後傳回錯誤訊息,指出它無法連絡某些網域。
    • 您可以從樹系中的任何 32 位元或 64 位元 Windows Server 2003 SP1 伺服器執行此命令。
    • 執行此命令之後,必須等待權限在 Exchange 組織內複寫,然後才能繼續執行下一個步驟。如果未複寫權限,則 Exchange Server 2003 或 Exchange 2000 Server 電腦上的收件者更新服務會失敗。複寫所需的時間量視您的 Active Directory 站台拓撲而定。
      note附註:
      若要追蹤 Active Directory 複寫的進度,您可以使用 Active Directory 複寫監視器工具 (replmon.exe),此工具會在 Microsoft Windows Server 2003 支援工具安裝期間一起安裝。依預設是位於 "%programfiles%\support tools\"。請將您的網域控制站新增為受監視的伺服器,以便追蹤整個網域的複寫進度。

    如需此命令所設定之權限的詳細資訊,請參閱準備傳統 Exchange 權限

  2. 在命令提示字元視窗中,執行下列命令:

    setup /PrepareSchemasetup /ps

    note附註:
    您可以略過此步驟,並準備架構作為步驟 3 的一部份。
    important重要事項:
    絕不可在您不打算執行 setup /PrepareAD 的樹系中執行此命令。如果您這麼做,則樹系會設定錯誤,而您將無法讀取使用者物件上的某些屬性。
    note附註:
    使用 LDIFDE 手動匯入 Exchange 2007 架構變更的作業不受支援。您必須使用安裝程式來更新架構。

    此命令會執行下列工作:

    • 連接至架構主機並匯入 LDAP 資料交換格式 (LDIF) 檔案,以利用 Exchange 2007 特定屬性來更新架構。會將 LDIF 檔案複製到 Temp 目錄,然後在匯入架構中後刪除。

      note附註:
      Exchange 2007 架構亦包含 Exchange 2000 與 Exchange 2003 架構延伸模組。

    • 若您尚未完成步驟 1,setup /PrepareSchema 將會自動執行 PrepareLegacyExchangePermissions 步驟。

    注意下列事項:

    • 若要在變更複寫至網域中的其他伺服器之前驗證架構的更新,您必須先在執行命令的電腦上停用輸出複寫,再執行命令,然後在驗證匯入已順利完成後啟用輸出複寫。
    • 若要執行此命令,您必須是 Schema Admins 群組及 Enterprise Admins 群組的成員。
    • 您必須在與架構主機位於相同網域與相同 Active Directory 站台的 32 位元或 64 位元電腦上執行此命令。
    • 若您未完成步驟 1,setup /PrepareSchema 將會自動執行 PrepareLegacyExchangePermissions 步驟。若要完成 PrepareLegacyExchangePermissions 步驟,您執行此命令的網域必須能夠連絡樹系中的所有網域。個別執行每個步驟的好處在於,您可以根據該步驟所需的最低權限,使用適合的帳戶執行各個步驟,並可先驗證作業是否已完成、順利執行並複寫,再繼續進行下一個步驟。
    • 若您在此命令中使用 /DomainController 參數,則必須指定作為架構主機的網域控制站。
    • 執行此命令之後,應該要等待變更內容在 Exchange 組織內複寫,然後才繼續執行下一步驟。所花費的時間取決於您 Active Directory 站台的拓撲。
      note附註:
      若要追蹤 Active Directory 複寫的進度,您可以使用 Active Directory 複寫監視器工具 (replmon.exe),此工具會在 Windows Server 2003 支援工具安裝期間一起安裝。依預設是位於 "%programfiles%\support tools\"。請將您的網域控制站新增為受監視的伺服器,以便追蹤整個網域的複寫進度。

    如需執行此命令所做的架構變更的詳細資訊,請參閱 Active Directory 架構變更

  3. 在命令提示字元視窗中,執行下列命令:

    setup /PrepareAD [/OrganizationName: <組織名稱> ]setup /p [/on:<組織名稱>]

    此命令會執行下列工作:

    • 若 Microsoft Exchange 容器不存在,此命令即會在 CN=Services,CN=Configuration,DC=<根網域> 下建立此容器。

    • 若 CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<根網域 > 下沒有 Exchange 組織容器存在,則必須使用 /OrganizationName 參數指定組織名稱。系統會以您指定的名稱來建立組織容器。
      Exchange 組織名稱只能包含下列字元:
      A 到 Z
      a 到 z
      0 到 9
      空格 (非前導或尾隨)
      連字號或破折號
      組織名稱不能包含 64 個以上的字元。組織名稱不能是空白。如果組織名稱包含空格,則必須使用引號括住它。

    • 檢查 Active Directory 中的 objectVersion 內容,以驗證架構已更新,且組織處於最新狀態。objectVersion 內容位於 CN=<您的組織>, CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<網域> 容器中。Exchange 2007 量產發行 (RTM) 版本的 objectVersion 值為 10666。

    • 若這些項目不存在,則會在 CN=<組織名稱>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<根網域> 下建立下列容器與物件。它們是 Exchange 2007 的必要項目。
      CN=Address Lists Container,CN=<組織名稱>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<根網域>
      CN=Addressing,CN=<組織名稱>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<根網域>
      CN=Administrative Groups,CN=<組織名稱>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<根網域>
      CN=Client Access,CN=<組織名稱>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<根網域>
      CN=Connections,CN=<組織名稱>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<根網域>
      CN=ELC Folders Container,CN=<組織名稱>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<根網域>
      CN=ELC Mailbox Policies,CN=<組織名稱>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<根網域>
      CN=Global Settings,CN=<組織名稱>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<根網域>
      CN=Mobile Mailbox Policies,CN=<組織名稱>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<根網域>
      CN=Recipient Policies,CN=<組織名稱>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<根網域>
      CN=System Policies,CN=<組織名稱>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<根網域>
      CN=Transport Settings,CN=<組織名稱>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<根網域>
      CN=UM AutoAttendant,CN=<組織名稱>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<根網域>
      CN=UM DialPlan,CN=<組織名稱>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<根網域>
      CN=UM IPGateway Container,CN=<組織名稱>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<根網域>
      CN=UM Mailbox Policies,CN=<組織名稱>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<根網域>

    • 若它不存在,此命令即會根據樹系根命名空間,在 CN=Transport Settings,CN=<組織名稱>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<根網域> 下建立預設的「公認的網域」項目。

    • 指派組態磁碟分割中的特定權限。如需所授與之權限的相關資訊,請參閱 Exchange 2007 Server 安裝程式權限參考

    • 匯入 Rights.ldf 檔案。這會將安裝 Exchange 所需的延伸權限新增至 Active Directory 中。

    • 在樹系的根網域中建立 Microsoft Exchange 安全性群組組織單位 (OU),並指派此 OU 的特定權限。如需所授與之權限的相關資訊,請參閱 Exchange 2007 Server 安裝程式權限參考

    • 在 Microsoft Exchange 安全性群組 OU 內建立下列萬用安全性群組 (USG):
      Exchange Organization Administrators
      Exchange Recipient Administrators
      Exchange Server
      Exchange View-Only Administrators
      Exchange 公用資料夾系統管理員 (Exchange Server 2007 Service Pack 1 的新功能)
      ExchangeLegacyInterop

    • 將 Microsoft Exchange 安全性群組 OU 內新的 USG,新增至 CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<根網域> 容器上所儲存的 otherWellKnownObjects 屬性中。

    • 此命令會建立名為 Exchange 系統管理群組 (FYDIBOHF23SPDLT) 的 Exchange 2007 系統管理群組。也會建立名為 Exchange 路由群組 (DWBGZMFD01QNBJR) 的 Exchange 2007 路由群組。

      Caution請注意:
      請勿將 Exchange 2007 伺服器移出 Exchange 系統管理群組 (FYDIBOHF23SPDLT),而且請勿使用低階目錄編輯器重新命名 Exchange 系統管理群組 (FYDIBOHF23SPDLT)。Exchange 2007 必須使用這個系統管理群組進行組態資料儲存。我們不支援將 Exchange 2007 伺服器移出 Exchange 系統管理群組 (FYDIBOHF23SPDLT),或是重新命名 Exchange 系統管理群組 (FYDIBOHF23SPDLT)。
      Caution請注意:
      請勿將 Exchange 2007 伺服器移出 Exchange 路由群組 (DWBGZMFD01QNBJR),而且請勿使用低階目錄編輯器重新命名 Exchange 路由群組 (DWBGZMFD01QNBJR)。Exchange 2007 必須使用這個路由群組來與舊版 Exchange 通訊。我們不支援將 Exchange 2007 伺服器移出 Exchange 路由群組 (DWBGZMFD01QNBJR),或是重新命名 Exchange 路由群組 (DWBGZMFD01QNBJR)。

    • 此命令會在根網域的 Microsoft Exchange系統物件容器中建立整合通訊語音發送者連絡人。

    • 此命令會準備 Exchange 2007 的本機網域。如需準備網域所需完成之工作的相關資訊,請參閱「步驟 4」。

    注意下列事項:

    • 若要執行此命令,您必須是 Enterprise Admins 群組的成員。

    • 執行此命令的電腦必須能夠從通訊埠 389 連絡樹系中所有的網域。

    • 您必須在與架構主機位於相同網域及相同 Active Directory 站台的電腦上執行此命令。安裝程式會變更所有架構主機的設定,以避免因為複寫延遲而產生的衝突。

    • 若您未完成步驟 1,setup /PrepareAD 將會自動執行 PrepareLegacyExchangePermissions 步驟。若要完成 PrepareLegacyExchangePermissions 步驟,您執行此命令的網域必須能夠連絡樹系中的所有網域。若您也是 Schema Admins 群組的成員,且未完成步驟 2,則 setup /PrepareAD 將會自動執行 PrepareSchema 步驟。個別執行每個步驟的好處在於,您可以根據該步驟所需的最低權限,使用適合的帳戶執行各個步驟,並可先驗證作業是否已完成、順利執行並複寫,再繼續進行下一個步驟。

    • 執行此命令之後,應該要等待變更內容在 Exchange 組織內複寫,然後才繼續執行下一步驟。所花費的時間取決於您 Active Directory 站台的拓撲。

      note附註:
      若要追蹤 Active Directory 複寫的進度,您可以使用 Active Directory 複寫監視器工具 (replmon.exe),此工具會在 Windows Server 2003 支援工具安裝期間一起安裝。依預設是位於 "%programfiles%\support tools\"。請將您的網域控制站新增為受監視的伺服器,以便追蹤整個網域的複寫進度。

    • 若要驗證是否已順利完成此步驟,請確定在名為 [Microsoft Exchange 安全性群組] 的根網域中有新的 OU。此 OU 應該包含下列新的 Exchange USG:
      Exchange 組織系統管理員
      Exchange 收件者系統管理員
      Exchange 僅檢視管理
      Exchange Server
      Exchange 公用資料夾系統管理員 (Exchange 2007 Service Pack 1 的新功能)
      ExchangeLegacyInterop

      note附註:
      安裝 Exchange 2007 時,安裝程式會將 Exchange Organization Administrators USG 新增為您安裝 Exchange 之電腦上的本機 Administrators 群組成員。請注意,網域控制站上本機 Administrators 群組所具有的權限,與成員伺服器上本機 Administrators 群組所具有的權限不同。如果您在網域控制站上安裝 Exchange 2007,屬於 Exchange 組織管理員的使用者會擁有額外的 Windows 權限,而如果您在不是網域控制站的電腦上安裝 Exchange 2007,這些使用者就不會擁有這些額外的權限。

  4. 從命令提示視窗執行下列其中一個命令:

    • 執行 setup /PrepareDomainsetup /pd,以準備本機網域。請注意,您不需要在執行步驟 3 的網域中執行此命令。執行 setup /PrepareAD 會準備本機網域。
    • 執行 setup /PrepareDomain:<您要準備的網域 FQDN> 以準備特定網域。
    • 執行 setup /PrepareAllDomainssetup /pad,以準備您的組織中所有的網域。

    這些命令會執行下列工作:

    • 在網域容器上設定 Exchange Server、Exchange 組織系統管理員、已驗證的使用者及 Exchange 信箱系統管理員的權限。

    • 若這是新的組織,則此命令會在 Active Directory 的根網域磁碟分割中建立 [Microsoft Exchange 系統物件] 容器,並在此容器上設定 Exchange Servers、Exchange Organization Administrators 與 Authenticated Users 的權限。此容器可用以儲存公用資料夾 Proxy 物件和 Exchange 的相關系統物件,例如信箱資料庫的信箱。如需所授與之權限的相關資訊,請參閱 Exchange 2007 Server 安裝程式權限參考

    • 此命令會在 DC=<根網域> 下的 [Microsoft Exchange 系統物件] 容器中,設定 objectVersion 內容。此 objectVersion 內容包含網域準備的版本。Exchange 2007 的 RTM 版本為 10628。

    • 在名為 Exchange Install Domain Servers 的現行網域中建立新的網域全域群組。命令會將此群組放置於 [Microsoft Exchange 系統物件] 容器中。它也會將 Exchange Install Domain Servers 群組新增至根網域中的 Exchange Servers USG。

      note附註:
      如果在子網域 (它是 Active Directory 站台) 而非根網域中安裝 Exchange 2007,則會使用 Exchange 安裝網域伺服器群組。如果群組成員資格尚未複寫至子網域,則建立此群組可讓您避免安裝錯誤。

    • 在網域層級上指派 Exchange Servers 萬用安全性群組 (USG) 與 Exchange Recipient Administrators USG 的權限。如需所授與之權限的相關資訊,請參閱 Exchange 2007 Server 安裝程式權限參考

    注意下列事項:

    • 對於位在 Active Directory 站台的網域 (不是根網域),/PrepareDomain 可能會失敗,訊息如下:
      「網域 <YourDomain> 的 PrepareDomain 已部份完成。由於 Active Directory 站台組態,您至少必須等待 15 分鐘,讓複寫發生,然後為 <YourDomain> 重新執行 PrepareDomain。」
      "<您的伺服器> 上的 Active Directory 作業失敗。此錯誤不可重試。其他資訊:指定的群組類型不正確。
      Active Directory 回應:00002141: SvcErr: DSID-031A0FC0, problem 5003 (WILL_NOT_PERFORM), data 0
      伺服器無法處理目錄要求。"
      如果看到這些訊息,請等待或在此網域與根網域之間強制執行 Active Directory 複寫,然後重新執行 /PrepareDomain。
    • 若要執行 setup /PrepareAllDomains,您必須是 Enterprise Admins 群組的成員。
    • 若要執行 setup /PrepareDomain,而且如果在您執行 setup /PrepareAD 之前,所要準備的網域即已存在,則您必須是網域中的 Domain Admins 群組成員。如果所要準備的網域是在執行 setup /PrepareAD 之後建立的,則您必須是 Exchange Organization Administrators 群組的成員,而且必須是網域中的 Domain Admins 群組成員。
    • 您必須在每個要安裝 Exchange 2007 的網域中執行此命令。您也必須在每個將包含擁有郵件功能之使用者的網域中執行此命令,即使該網域未安裝 Exchange 2007 亦然。

    若要驗證是否已順利完成此步驟,請確認下列情況:

    • 您在稱為 Exchange 安裝網域伺服器的 Microsoft Exchange 系統物件容器中具有新的全域群組。

      note附註:
      若要檢視 Active Directory 使用者和電腦中的 Microsoft Exchange 系統物件容器,請在 [檢視] 功能表上,按一下 [進階功能]。

    • Exchange Install Domain Servers 群組是根網域中 Exchange Servers USG 的成員。

    • 在您將安裝 Exchange 2007 的網域中每個網域控制站上,Exchange Servers USG 具有 Domain Controller Security Policy\Local Policies\User Rights Assignment\Manage Auditing and Security Log 原則的權限。

若要確保您目前閱讀的是最新資訊,並尋找其他的 Exchange Server 2007 說明文件,請造訪 Exchange Server 技術資源中心.