FW: 如何为Exchange 2007准备活动目录。

前言

　　在您能够安装Exchange 2007之前，您必须准备活动目录服务。下面我们将具体介绍这一过程。

　　介绍

　　安装Exchange 2007可以使用GUI也可以使用命令行方式。在两种方式下，安装过程都需要执行几个任务来准备活动目录。有几个原因来选择使用命令行方式安装。从命令行方式安装允许使用最小权限，通过不同的管理员，在不同的位置和时间，分别执行这些任务，并允许在执行下一个任务之前单独验证每个任务。

　　在安装第一台Exchange 2007之前，将Exchange 2007增加 到已经存在Exchange 2003 或者exchange2000的组织当中，需要完成下面的命令。

　　1. Setup /PrepareLegacyExchangePermissions

　　2. Setup /PrepareSchema

　　3. Setup /PrepareAD

　　4. Setup /PrepareDomain

　　注意：如果您创建一个新的Exchange 2007组织，您只需要从第二步开始执行。

　　这些命令不需要分别运行。例如，如果需要的话，运行Setup /PrepareAD 命令的时候，将同时运行Setup /PrepareSchema和Setup /PrepareLegacyExchangePermissions。然而，在大的或者复杂的环境中，因为管理上的原因，您也许想将Exchange 的安装过程分成几个部分。因为每个Setup /PrepareXX 命令之间相互依赖，在执行下一个任务之前有必要允许完成复制。

　　注意如果您创建了一个新的Exchange 2007组织，您以后不能在添加Exchange 2003或者Exchange 2000。因此如果您更改并且需要例如X.400连接器或者GroupWise连接器，您将不能添加Exchange 2003或者Exchange 2000来提供该功能。如果您有任何废弃的Exchange 2003或者Exchange 2000需要的任何特性要求，请仔细考虑清楚。

　　注意：您可以在一台32位或者64位的处理器的计算机上运行上述操作。要在32位的计算机上运行这些操作，您必须下载32位的Exchange 版本。

　　应用旧版Exchange 权限

　　下面具体介绍需要添加Exchange 2007到一个已经存在Exchange 2003或者Exchange 2000 的组织中的背景、实施、验证的信息。

　　背景

　　下面简单回顾一下，Exchange 2003 或者exchange2000 Recipient Update Service(RUS)是如何被授权去更新活动目录中的对象。属性集是活动目录中属性的集合，每个属性只能是一个单一属性集的成员。活动目录中预定义的Public Information属性集包含象Proxy Addresses和Email Addresses 等属性。Exchange 2003 或者Exchange 2000 RUS 被授权去更新该属性集来设置邮件地址。Exchange 2003 或者exchange2000 DomainPrep 在域级别上授予Exchange Enterprise Servers 组对这些属性集的权限。Exchange 2003 orexchange2000 RUS 服务器的计算机账号被添加到Exchange Domain Servers 组，Exchange Domain Servers 组是Exchange Enterprise Servers 组的成员。因此，RUS有权限去修改一个特定域的Public Information属性集上的电子邮件地址。

　　但是一个属性集如何被简单地委派管理，该属性集能够被用来授权去访问一个对象的属性的子集通过设置单个访问控制条目(ACE)而不必设置每个属性的ACE。

　　exchange2007拥有更精确的委派管理角色，比如收件人管理，限制管理员能够执行的任务的范围。为了实现它，Exchange-Information 和Exchange Personal Information属性集被创建当架构被Exchange 2007扩展的时候。这些属性集只包含Exchange 相关的属性，使收件人管理比使用内置的活动目录属性集更精确。因为一个属性只能属于单个属性集，象Proxy Addresses 和 Email Addresses 这些属性，从活动目录Public Information 属性集移动到Exchange-Information 属性集。

　　在Exchange 2007中，激活邮件功能的对象的邮件地址被立刻创建，因此不需要RUS。有挑战的是在共存期间，Exchange 2003 或者Exchange 2000 RUS没有对Exchange-Information和Personal Information 属性集的权限。只要架构被Exchange 2007扩展了，创建任何Exchange 2003 或者Exchange 2000 激活邮件的对象都不能完成。下面我们将具体描述Setup是如何解决该问题。
　执行

　　Setup /PrepareLegacyExchangePermissions 或者Setup /pl 能够在森林中的任何活动目录站点或者域中执行。安装要求从域中的全局编录服务器检查，并确认组织中有遗留的Exchange 服务器(Exchange 2003 或者Exchange 2000)。然后通过查找下面的组来验证域中的Exchange 2003 或者exchange2000 DomainPrep 已经被运行：

　　exchangeEnterprise Servers (EES)

　　exchangeDomain Servers (EDS)

　　注意：不要重命名或者删除这些组

　　安装不需要能够联系森林中的每个域，因为安装从包含EES 和 EDS 组的域中的全局编录服务器处决定。安装只需要能够联系从那里Exchange 2003 或者Exchange 2000 DomainPrep被运行过的域，从那里安装需要执行联系，安装将使用389端口来连接目标域。

　　对已经确认DomainPrep 被运行过，Setup /pl 为每个Exchange 2003或者exchange2000域授予下面的权限：

　　· 在根域中，授权Exchange Enterprise Servers 组对Exchange-Information 属性集的写权限。

　　· 在根域中，授权经过认证的用户对Exchange-Information 属性集的读权限。

　　· 在AdminSDHolder对象上，授权Exchange Enterprise Servers 组对Exchange-Information 属性集的读/写权限，

　　· 在活动目录配置分区中的Exchange 组织容器上，授权Exchange Domain Servers 组对Exchange-Information 属性集的写权限。

　　如果您想从单个位置来执行Setup /pl ，并在所有验证过的目标域中设置权限。您必须使用具有Enterprise Admin权限的用户来运行该命令。如果您不打算使用具有Enterprise Admin权限的用户，您必须将安装任务分成几个步骤。

　　如果活动森林只有单个域，您必须使用这样的账号，在根域中，它具有域管理员权限和Exchange 完全管理员权限。在命令行模式下，运行下面的命令：

　　setup /pl:<根域的完全限定域名>

　　如果活动森林有多个域，您可以指定某个特定的域，在该域中运行Setup /pl。为了运行该命令，您必须使用这样的账号，在该域中，它具有域管理员权限和Exchange 完全管理员权限。在命令行模式下，运行下面的命令：

　　setup /pl:<指定域的完全限定域名>

　　在Exchange2007安装之后，如果在一个新增加的域或者已经存在的域中，运行Exchange 2003 或者exchange2000 DomainPrep，您应该再准备旧版Exchange 权限。这样的话，在森林的根域中，使用具有Enterprise Admin 权限的账号运行Setup /pl，或者在您运行DomainPrep的域中，使用具有新域的Domain Admins 和Exchange Organization Administrators 权限的账号，执行execute Setup /pl:<新域的完全限定域名>。如图1所示。

　　图1 Setup /PrepareLegacyExchangePermissions

验证

　　在安装完成之后，您可以验证权限已经被扩展了，并且被复制到活动目录中。要完成这些，执行下面的步骤：

　　1. 启动Ldp.exe，

　　2. 点击”Connection”，然后点击” Connect"(保留服务器为空)，点击OK。

　　3. 点击 “ Connection”，然后点击 “Bind” (保留凭据为空)，点击OK。

　　4. 点击View， 然后点击 Tree。

　　5. 输入完全限定域名(FQDN)，(比如DC=northwindtraders,DC=co,DC=uk)，点击OK。

　　6. 右键选中该域 (比如，northwindtraders.co.uk)，点击Advanced，然后选择Security Descrīptor，点击OK。

　　exchange-Information 被扩展权限，它的GUID为1F298A89-DE98-47b8-B5CD-572AD53D267E。

　　7. 在右边的结果栏中上下滑动，找到具有该GUID的Object Ace Type: Unknown。

　　如图2所示。

　　图2 Object Ace Type is unknown

　　在安装的过程中，在后面定义Exchange-Information 扩展过的权限，在初始的时候以Unknown出现。当架构被扩展的时候，Exchange-Information 属性集被创建，在Setup /PrepareAD期间，Exchange-Information 扩展过的权限被创建。
扩展架构

　　活动目录架构必须被扩展，用来包含或者修改Exchange 2007需要的类和属性，Exchange2007架构扩展是Exchange 2003 或者Exchange 2000 架构扩展的一个超集。

　　必须在相同的活动目录站点和域中，在架构主机这台服务器上运行Setup /PrepareSchema 或者Setup /ps 。在一般情况下，架构主机角色存在于森林中第一个域的某个DC上。

　　为了运行Setup /ps，使用的账号必须是Schema Admins和 Enterprise Admins 组的成员。扩展活动目录架构是一个强壮和稳定的过程，然而，为了分离复制，是可以在架构主机上禁用出站复制。100个包含Exchange 2007架构扩展的.ldf文件被导入后，您能够验证架构主机，并在架构主机上启用出站复制。这些.ldf 文件被写入到临时文件夹，当它们被导入后被删除。

　　通过连接到域控制器，能够验证架构扩展的复制，并检查属性。如图3所示。

　　图 3 Verifying the schema version by using ADSI Edit

　　准备活动目录

　　准备活动目录组的任务将验证，架构已经被扩展，如果加入到一个已经存在的组织，确保旧的权限被应用。如果这些任务没有完成，并且您是Schema Admins 组和Enterprise Admins 组的成员，Setup /PrepareAD 将执行Setup /PrepareLegacyExchangePermissions 和Setup /PrepareSchema 任务。

　　通过在活动目录配置分区中的组织容器中，检查objectVersion 的属性，Exchange2007安装检查组织是否被更新到最新。Exchange 2007的objectVersion 是10666。如图4所示。

　　必须在相同的活动目录站点和域中，在架构主机这台服务器上运行Setup /PrepareAD 或者Setup /p 。这和扩展架构是分开的。而不是，您使用架构主机作为一个参考点来是配置更改，来避免复制延迟带来的冲突。
Setup /p 有下面的要求：

　　· 所有的域必须可用，并且能够使用389端口进行连接

　　· 使用具有Enterprise Admins 权限的账号

　　承认森林中所有的域都能够被联系上，而不管它们中是否安装有Exchange 2003 orexchange2000。这将是一个挑战，在复杂的活动目录环境中，这些域之间的连接被防火墙限制了。

　　exchange2007有新的委派管理模型，在活动目录的根域中，在MicrosoftexchangeSecurity Groups 组织单位中，Setup /p 创建下面的Exchange universal security 组 (USG) 。

　　· ExchangeLegacyInterop

　　·exchangeOrganization Administrators

　　·exchangeRecipient Administrators

　　·exchangeView-Only Administrators

　　·exchangeServers

　　ExchangeLegacyInterop 组包含Exchange 2003 或者exchange2000 桥头服务器。当第一台Exchange2007集线器服务器被安装的时候，一个桥头服务器被添加到该组。剩余的组被用来委派管理访问Exchange2007。以后这些组能够被移动到不同的组织单元。通过添加这些组到活动目录的otherWellKnownObjects列表中，安装使这变为可能。每个组都含有一个众所周知的GUID，该GUID 和对象的distinguished name (DN)存储在一起，如果被移动的话，活动目录更新该对象的DN。otherWellKnownObjects 属性保存在CN=Microsoftexchange, CN=Services, CN=Configuration 容器上，如图5所示。

microsoftexchangesecurity groups 如图6所示。

　　图6microsoftexchangesecurity groups
对一个新的组织，您必须一个组织名称，该名称立即被应用。安装将不会创建一个占位符对象，当第一台服务器被安装的时候该对象可以被重命名，就象在Exchange 2003 中一样。

　　在活动目录配置分区中，Setup /p 创建下面这些容器：

　　·exchangeAdministrative Group (FYDIBOHF23SPDLT)

　　·exchangeRouting Group (DWBGZMFD01QNBJR)

　　这些容器只包含Exchange2007服务器。

　　Setup /p 导入 Rights.ldf文件，它添加Exchange-Information 扩展过的权限，要查看该扩展过的权限，运行Ldp.exe，执行下面的步骤：

　　1. 点击”Connection”，然后点击” Connect"(保留服务器为空)，点击OK。

　　2. 点击 “ Connection”，然后点击 “Bind” (保留凭据为空)，点击OK。

　　3. 点击View，然后点击Tree，展开Configuration，展开Extended-Rights，然后选择Exchange-Information，在Ldp.exe的右边栏中显示下面这些信息：

　　· dn: CN=Exchange-Information,CN=Extended-Rights,

　　· changetype: ntdsSchemaAdd

　　· displayName:exchangeInformation

　　· objectClass: controlAccessRight

　　· rightsGuid: 1F298A89-DE98-47b8-B5CD-572AD53D267E

　　· validAccesses: 48

　　您也可以查看域的security descrīptors，滑动鼠标找到rightsGUID 1F298A89-DE98-47b8-B5CD-572AD53D267E。在前面，当您验证Setup /PrepareLegacyExchangePermissions 步骤的时候，该对象类型为Unknown。在Rights.ldf 文件被导入后，在使用Ldp.exe查看的时候，Exchange-Information 扩展权限的访问控制条目(ACE)不在显示为Unknown。如图7所示。

　　图7 Object Ace Type isexchange-Information
在活动目录根域分区中，Setup /p 创建下面这些容器：

　　· 在一个新的组织中，Setup /p 创建MicrosoftexchangesystemObjects 容器。

　　·microsoftexchangesystemObjects 容器上的objectVersion 属性保存着DomainPrep 级别。

　　· 对于Exchange2007，objectVersion 是10628。

　　· 在域容器和MicrosoftexchangesystemObjects 上，授权Exchange Admin 权限。

　　· 创建Exchange Install Domain Servers group，并将它添加到根域中的Exchange Servers USG 组。如图8所示。

　　当一台Exchange2007server被安装了，该计算机账号被添加到Exchange Servers USG 组，早缺省情况下，它位于根域中。如果服务器被安装在不同的域中，在安装的时候，Exchange 服务也许无法启动因为Exchange Servers 成员关系没有被复制到本地域。当安装一台Exchange2007服务器，安装将计算机账号添加到本地域组Exchange Install Domain Servers和exchangeServers组。但是，给本地域组设置的权限足以让服务启动。

　　Setup /p 为Exchange Servers group授予seSecurityPrivilege (管理审计和安全日志) 权限。
　准备域

　　/PrepareAD 参数只能在这样的域中执行准备域的任务，安装在该域中执行。如果您有多个域并且其他域拥有Exchange或者激活邮件的对象，也需要在这些域中运行Setup /PrepareDomain。

　　准备域的任务有三个作用范围：

　　· Setup /PrepareDomain 或者Setup /pd 准备本地域

　　· Setup /PrepareDomain:<目标域的FQDN> 准备指定的域

　　· Setup /PrepareAllDomains 准备森林中的每个域

　　如果对一个指定的域运行Setup /PrepareDomain，需要具有Domain Admins 权限。如果对所有的域全部运行Setup /PrepapreDomain，必须具有Enterprise Admins 权限。

　　根据指定的范围，Setup /PrepareDomain 执行下面这些任务：

　　· 授权Exchange Servers USG、Authenticated Users、Exchange Organization Administrators和Exchange Mailbox Administrators 访问域容器。

　　· 创建MicrosoftexchangesystemObjects 容器。

　　· 授权Exchange Servers USG、Authenticated Users、Exchange Organization Administrators 访问MicrosoftexchangesystemObjects容器。

　　· 为Exchange Servers group授予seSecurityPrivilege (管理审计和安全日志) 权限。

　　· 创建一个新的域全局组，它的名称为Exchange Install Domain Servers，将它放置到本地域中的MicrosoftexchangesystemObjects 容器中。

　　· 在根域中，将Exchange Install Domain Servers组添加到Exchange Servers USG。

　　图 9 Setup /PrepareDomain的结果
修复Exchange2007安全组

　　如果你不小心删除了Exchange 安全组，使用Setup来修复是可行的。图10显示了您在删除Exchange 安全组后，立即运行Setup /p 发生的结果。

　　为了纠正该情况，必须从下面的容器中的otherWellKnownObjects属性，删除已经被删除的组的相关信息。

　　CN=Microsoftexchange,CN=Services,CN=Configuration,DC=northwindtraders,DC=com

　　注意：

　　使用Ldp.exe 从活动目录配置分区删除值存在一定的风险。我们建议您先在一台测试的域控制器上执行该操作，然后对生产环境的活动目录做一次备份。

　　执行下面的操作：

　　1. 运行Ldp.exe，在活动目录的配置分区中选择Microsoftexchange容器。

　　2. 从Ldp的结果栏中，拷贝每个Exchange 安全组的相关信息，例如：

　　B:32:9C5B963F67F14A4B936CB8EFB19C4784:CN=ExchangeLegacyInterop\0ADEL:b96fa30e-4fb4-4dae-8e33-feb82dfa3950,CN=Deleted Objects,DC=northwindtraders,DC=co,DC=uk

　　为了删除从otherWellknownObjects 属性中删除已经被删除的组的相关信息，执行下面的操作：

　　1. 运行Ldp.exe，展开 Configuration，展开Services，然后双击Microsoftexchange。

　　2. 右键点击microsoftexchange然后选择 Modify。
　3. 在Edit Entry Attribute 文本框中输入otherWellknownObjects。

　　4. 选择 Delete 按钮。

　　5. 在Ldp.exe 的结果栏中，查找otherWellknownObjects。对每个条目，执行下面的操作。

　　a. 拷贝该条目，将该条目粘贴到修改对话框中的文本值中，然后回车。

　　注意：otherWellknownObjects属性中的每个条目看起来象下面这些：B:32:9C5B963F67F14A4B936CB8EFB19C4784:CN=ExchangeLegacyInterop\0ADEL:b96fa30e-4fb4-4dae-8e33-feb82dfa3950,CN=Deleted Objects,DC=northwindtraders,DC=co,DC=uk

　　图11 Ldp.exe 中的OtherWellknownObjects

　　图12 修改otherWellknownObjects

　　确认您没有让值和条目列表为空，因为这将把otherWellKnownObjects 属性中所有的条目都删除，包括那些您不想删除的潜在的值。最后，要执行该命令，点击Run。

　　在删除Exchange 安全组后，再次运行Setup /p 来创建组和填充成员关系。该操作将只创建基本组和成员关系。根据您特定的环境，更新Exchange 安全组的成员关系也将是必须的。特别重要的是ExchangeLegacyInterop 组，必须将连接到Exchange2007的路由组连接器的桥头服务器填充到该组中。

　　结尾

　　为了成功地准备活动目录和域，您必须理解过程和每个过程需要的权限。为了排除和准备步骤有关的问题，深入立即每个准备步骤到底做了什么是有帮助的。拥有这个经验后，您能够规划，如何让您的组织中的管理员更有信心地准备Exchange2007和执行这些步骤。以便您准备安装Exchange2007。