Применимо к: Exchange Server 2010 SP1
Последнее изменение раздела: 2011-01-25
Перед установкой Microsoft Exchange Server 2010 на любые серверы в организации необходимо выполнить подготовку Служба каталогов Active Directory и доменов.
Сведения о подготовке доменов с устаревшими разрешениями Exchange см. в разделе Подготовка устаревших разрешений для Exchange 2003.
Предварительные условия
- Компьютеры, на которых планируется установить Exchange 2010,
должны удовлетворять системным требованиям. Дополнительные сведения
см. в разделе Системные требования
Exchange 2010.
- Домены и контроллеры доменов должны отвечать требованиям к
системе, изложенным в подразделе "Сетевые серверы и серверы
каталогов" статьи Системные требования
Exchange 2010.
- В каждом домене, в котором устанавливается Exchange 2010,
необходимо иметь хотя бы один контроллер домена, в котором
установлен один из приведенных далее продуктов.
- Windows Server 2003 Standard Edition с пакетом обновления
1 (SP1) или более поздняя версия (32-разрядная или
64-разрядная)
- Windows Server 2003 Enterprise Edition с пакетом
обновления 1 (SP1) или более поздней версии (32- или
64-разрядной)
- Windows Server 2008 Standard или Enterprise (32- или
64-разрядная)
- Windows Server 2008 R2 Standard или Enterprise
- Windows Server 2003 Standard Edition с пакетом обновления
1 (SP1) или более поздняя версия (32-разрядная или
64-разрядная)
- Для организаций с несколькими доменами, на которых выполняются
следующие команды /Prepare*, рекомендуется следующее:
- запускать команды /Prepare* из узла Служба каталогов Active
Directory, имеющего сервер Служба каталогов Active
Directory, из каждого домена;
- запускать установку первой роли сервера или обновление пакета
обновления Exchange 2010 из узла Служба каталогов Active Directory,
имеющего сервер глобального каталога, поддерживающего запись, из
каждого домена;
- проверять выполнение репликации объектов из предыдущих действий
на сервере глобального каталога в узле Служба каталогов Active
Directory перед установкой первого сервера Exchange 2010 (или
обновления SP1) в этот узел.
- запускать команды /Prepare* из узла Служба каталогов Active
Directory, имеющего сервер Служба каталогов Active
Directory, из каждого домена;
- Если в организации выполняется RTM-версия Exchange
2010 Setup.com, в каждом домене (включая дочерние), где
имеются серверы Exchange Enterprise и группы безопасности серверов
доменов Exchange (и, следовательно, должен выполняться код Setup
/PrepareLegacyExchangePermissions), необходимо иметь хотя бы
один контроллер домена, на котором установлена одна из следующих
операционных систем:
- Windows Server 2003 Standard Edition с пакетом обновления 1 или
более поздняя версия (32-разрядная или 64-разрядная)
- Windows Server 2003 Enterprise Edition с пакетом
обновления 1 (SP1) или более поздней версии (32- или
64-разрядной)
- Windows Server 2008 Standard или Enterprise (32- или
64-разрядная)
- Windows Server 2008 R2 Standard или Enterprise
- Windows Server 2003 Standard Edition с пакетом обновления 1 или
более поздняя версия (32-разрядная или 64-разрядная)
- Если мастер установки Exchange 2010 запущен с учетной записью,
имеющей необходимые разрешения ("администраторы схемы",
"администраторы домена" или "администраторы предприятия") для
подготовки Служба каталогов Active Directory и домена, мастер будет
автоматически выполнять подготовку Служба каталогов Active
Directory и домена. Дополнительные сведения см. в разделе Установка сервера
Exchange Server 2010. Тем не менее, при развертывании новой
организации Exchange и подготовке схемы и доменов Служба каталогов
Active Directory с помощью компьютера, на котором выполняется
Windows Server 2008, необходимо сначала установить средства
управления Служба каталогов Active Directory на компьютере Windows
Server 2008 и только потом приступать к подготовке схемы или
доменов. Для этого выполните следующую команду.
Скопировать код ServerManagerCmd -i RSAT-ADDS
Подготовка Active Directory и доменов
Чтобы отслеживать ход репликации Служба каталогов Active Directory, можно использовать Служба каталогов Active Directory средство наблюдения за репликацией (replmon.exe), входящее в состав средств поддержки Windows Server 2003 По умолчанию оно размещается в папке %programfiles%\support tools\. Добавьте контроллеры домена как отслеживаемые серверы, чтобы можно было отслеживать ход репликации по всему домену.
- Если в организации имеются компьютеры под управлением Microsoft
Exchange Server 2003, откройте окно командной строки и выполните
одну из следующих команд.
- Чтобы подготовить устаревшие разрешения Exchange в каждом
домене леса, содержащего группы "Серверы предприятия Exchange" и
"Серверы домена Exchange", выполните следующую команду:
setup /PrepareLegacyExchangePermissions или setup /pl
- Чтобы подготовить устаревшие разрешения Exchange в конкретном
домене, используйте следующую команду:
setup /PrepareLegacyExchangePermissions:< полное_доменное_имя_подготавливаемого_домена > или setup /pl:<полное_доменное_имя_подготавливаемого_домена>
Примечание. Вы можете пропустить этот этап и подготовить разрешения для устаревшей версии Exchange на этапе 2 или 3. Преимущество выполнения всех этапов по отдельности состоит в том, что каждый из них можно выполнять из учетной записи, имеющей минимальный набор разрешений, необходимый для данного конкретного этапа, а кроме того, вы можете проверить, все ли было выполнено успешно и прошла ли репликация, прежде чем переходить к следующему этапу.
- Чтобы выполнить команду для подготовки каждого домена в лесу,
необходимо быть членом группы администраторов предприятия. Чтобы
выполнить эту команду для подготовки отдельного домена, или если
лес состоит только из одного домена, необходимо иметь роль
"Управление организацией Exchange" и быть членом группы
администраторов подготавливаемого домена.
- Если домен не указан, то домен, в котором выполняется эта
команда, должен иметь возможность связываться со всеми доменами в
лесу. Если сервер не может связаться с доменом, для которого должны
быть подготовлены устаревшие разрешения Exchange, то сервер
выполняет подготовку тех доменов, с которыми он может связаться, а
потом выдает сообщение о том, что с некоторыми доменами связаться
не удалось.
- Эту команду можно выполнять с любого входящего в лес
сервера Windows Server 2008.
- Необходимо выполнять эту команду на компьютере, который
находится в том же домене и на том же сайте Служба каталогов Active
Directory, что и хозяин схемы. При установке все изменения
настройки применяются к хозяину схемы во избежание конфликтов в
случае задержки репликации. Дополнительные сведения см. в разделе
Определение хозяина схемы (статья может быть на
английском языке).
- После запуска этой команды необходимо ожидать разрешений, чтобы
реплицировать организацию Exchange перед тем, как перейти к
выполнению следующего шага. Если разрешения не реплицировались,
служба обновления получателей на компьютерах Exchange 2003 может не
работать. Количество времени, необходимое для репликации, зависит
от топологии сайта Служба каталогов Active Directory.
- Дополнительные сведения о разрешениях, задаваемых этой
командой, см. в разделе Подготовка устаревших
разрешений для Exchange 2003.
- Чтобы подготовить устаревшие разрешения Exchange в каждом
домене леса, содержащего группы "Серверы предприятия Exchange" и
"Серверы домена Exchange", выполните следующую команду:
- Выполните в окне командной строки следующую команду:
setup /PrepareSchema или setup /ps
Примечание. Можно пропустить этот шаг и подготовить схему как часть действия 3. Важно! Не выполняйте эту команду в лесу, где не планируется выполнять команду setup /PrepareAD. В случае выполнения этой команды лес будет настроен неправильно, и считывание некоторых атрибутов объектов пользователей будет невозможно. Примечание. Не поддерживается использование средства Exchange обмена каталогов формата DIF для импорта изменений схемы Exchange 2010 вручную. Для обновления схемы нужно обязательно использовать установку.
- Подключает к хозяину схемы и импортирует файлы формата DIF LDAP
для обновления схемы при помощи определенных атрибутов Exchange
2010. LDIF-файлы копируются во временный каталог и после импорта в
схему удаляются из этого каталога.
- Для выполнения этой команды необходимо быть членом группы
администраторов схемы и членом группы администраторов
организации.
- Необходимо выполнять эту команду на 64-разрядном компьютере,
находящемся в том же домене и на том же сайте Служба каталогов
Active Directory, что и хозяин схемы.
- Если действие 1 не было выполнено, то команда setup
/PrepareSchema автоматически выполнит действие
PrepareLegacyExchangePermissions. Чтобы выполнить действие
PrepareLegacyExchangePermissions, домен, на котором
выполняется эта команда, должен иметь возможность связываться со
всеми доменами в лесу. Преимущество выполнения всех этапов по
отдельности состоит в том, что каждый из них можно выполнять из
учетной записи, имеющей минимальный набор разрешений, необходимый
для данного конкретного этапа, а кроме того, вы можете проверить,
все ли было выполнено успешно и прошла ли репликация, прежде чем
переходить к следующему этапу.
- Если в команде используется параметр /DomainController,
необходимо указать контроллер домена, являющийся хозяином
схемы.
- После выполнения этой команды необходимо подождать, пока
изменения реплицируются в организации Exchange перед тем, как
переходить к выполнению следующего шага. Количество времени,
необходимое для репликации, зависит от топологии сайта Служба
каталогов Active Directory.
- Дополнительные сведения см. в разделеИзменения сервера Exchange в схеме Active Directory
(статья может быть на английском языке).
- Подключает к хозяину схемы и импортирует файлы формата DIF LDAP
для обновления схемы при помощи определенных атрибутов Exchange
2010. LDIF-файлы копируются во временный каталог и после импорта в
схему удаляются из этого каталога.
- Выполните в окне командной строки следующую команду:
setup /PrepareAD [/OrganizationName: <имя организации> ] или setup /p [/on:<имя_организации>]
Эта команда выполняет следующие задачи:
- Если контейнер Microsoft Exchange не существует, команда
создает его в разделе
CN=Services,CN=Configuration,DC=<корневой_домен>.
- Если в разделе CN=Microsoft
Exchange,CN=Services,CN=Configuration,DC=<корневой_домен >
нет контейнера организации Exchange, необходимо указать имя
организации с помощью параметра /OrganizationName. В
результате будет создан контейнер организации с указанным
именем.
Имя организации Exchange может включать только следующие знаки:
буквы от A до Z;
буквы от a до z;
цифры от 0 до 9;
пробелы (не в начале и не в конце имени);
дефисы.
Имя организации не может включать более 64 знаков. Имя организации не может быть пустым. Если имя организации содержит пробелы, необходимо заключить его в кавычки (").
- Убедитесь в том, что схема обновлена и организация актуальна,
проверив свойство objectVersion в Служба каталогов Active
Directory. Свойство objectVersion размещается в контейнере
CN=<ваша_организация>,CN=Microsoft
Exchange,CN=Services,CN=Configuration,DC=<домен>.
Значение objectVersion для Exchange 2010 RTM
— 12640. Значение objectVersion для Exchange
2010 SP1 — 13214.
- Если контейнер не существует, команда создает следующие
контейнеры и объекты в разделе
CN=<имя_организации>,CN=Microsoft
Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>,
которые необходимы для работы Exchange 2010:
CN=Address Lists Container,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=Addressing,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=Administrative Groups,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=Client Access,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=Connections,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=ELC Folders,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=ELC Mailbox Policies,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=Global Settings,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=Mobile Mailbox Policies,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=Recipient Policies,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=System Policies,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=Transport Settings,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=UM AutoAttendant,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=UM DialPlan,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=UM IPGateway,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
CN=UM Mailbox Policies,CN=<имя_организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>
- Если запись обслуживаемых доменов по умолчанию не существует,
данная команда ее создает на основании пространства имен корневого
леса в разделе CN=Transport
Settings,CN=<имя_организации>,CN=Microsoft
Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>.
- В разделе настройки выдаются определенные полномочия.
- Импортируется файл Rights.ldf. Таким образом добавляются
расширенные права, необходимые Exchange для установки в Служба
каталогов Active Directory.
- Создается подразделение групп безопасности
Microsoft Exchange в корневом домене леса. Созданному
подразделению выдаются определенные разрешения.
- В подразделении групп безопасности Microsoft Exchange
создаются следующие группы ролей безопасности:
Управление организацией Exchange
Управление получателями Exchange
Управление сервером Exchange
Управление организацией с правами только на просмотр Exchange
Управление общими папками Exchange
Управление единой системой обмена сообщениями Exchange
Управление санацией Exchange
Управление записями Exchange
Управление обнаружением Exchange
Делегированная установка Exchange
- Команда добавляет новые универсальные группы безопасности из
подразделения групп безопасности Microsoft Exchange в атрибут
otherWellKnownObjects, хранимый в контейнере CN=Microsoft
Exchange,CN=Services,CN=Configuration,DC=<корневой_домен>.
- Создается контакт отправителя голосового сообщения единой
системы обмена сообщениями в контейнере объектов
системы Microsoft Exchange корневого домена.
- Выполняется подготовка локального домена для Exchange 2010.
Сведения о задачах, выполняемых для подготовки домена, приведены в
описании этапа 4.
- Чтобы выполнить эту команду, необходимо быть членом группы
администраторов предприятия.
- Компьютер, на котором выполняется данная команда, должен иметь
возможность связаться со всеми доменами леса через порт 389.
- Необходимо выполнять эту команду на компьютере, который
находится в том же домене и на том же сайте Служба каталогов Active
Directory, что и хозяин схемы. При установке все изменения
настройки применяются к хозяину схемы во избежание конфликтов в
случае задержки репликации.
- Если действие 1 не было выполнено, то команда setup
/PrepareAD автоматически выполнит действие
PrepareLegacyExchangePermissions. Чтобы выполнить действие
PrepareLegacyExchangePermissions, домен, на котором
выполняется эта команда, должен иметь возможность связываться со
всеми доменами в лесу. Если вы также являетесь участником группы
"Администраторы схемы", то в случае невыполнения действия 2
команда setup /PrepareAD автоматически выполнит действие
PrepareSchema. Преимущество отдельного выполнения каждого действия
состоит в том, что каждое действие можно выполнять из учетной
записи, имеющей минимальный набор разрешений, необходимый для
данного конкретного действия, а также можно проверить, все ли было
успешно завершено, и выполнена ли репликация, прежде чем переходить
к следующему действию.
- После выполнения этой команды необходимо подождать, пока
изменения реплицируются в организации Exchange перед тем, как
переходить к выполнению следующего шага. Количество времени,
необходимое для репликации, зависит от топологии узла Служба
каталогов Active Directory.
- Чтобы проверить, был ли этот шаг выполнен успешно, убедитесь,
что в корневом домене существует новое подразделение с именем
Группы безопасности Microsoft Exchange. Это подразделение
должно содержать следующие новые универсальные группы безопасности
Exchange:
Подразделение групп безопасности Exchange:
Управление организацией Exchange
Управление получателями Exchange
Управление сервером Exchange
Управление организацией с правами только на просмотр Exchange
Управление общими папками Exchange
Управление единой системой обмена сообщениями Exchange
Управление санацией Exchange
Управление записями Exchange
Управление обнаружением Exchange
Делегированная установка Exchange
ExchangeLegacyInterop
- Если контейнер Microsoft Exchange не существует, команда
создает его в разделе
CN=Services,CN=Configuration,DC=<корневой_домен>.
- Выполните в окне командной строки одну из следующих команд:
- Выполните команду setup /PrepareDomain или setup
/pd, чтобы подготовить локальный домен. Нет необходимости
выполнять эту команду в домене, в котором выполнялось действие 3.
Выполнение команды setup /PrepareAD обеспечивает подготовку
локального домена.
- Выполните команду setup /PrepareDomain:<полное
доменное имя домена, который необходимо подготовить>, чтобы
подготовить определенный домен.
- Выполните команду setup /PrepareAllDomains или setup
/pad, чтобы подготовить все домены в организации.
- Если это новая организация, команда создает контейнер системных
объектов Microsoft Exchange в разделе корневого домена в Служба
каталогов Active Directory и задает разрешения для этого контейнера
для групп серверов Exchange Server, администраторов организации
Exchange и пользователей, прошедших проверку. Этот контейнер
используется для хранения объектов прокси общих папок и системных
объектов, относящихся к Exchange, таких как почтовый ящик базы
данных почтовых ящиков.
- Устанавливается свойство objectVersion в контейнере
системных объектов Microsoft Exchange в разделе
DC=<корневой_домен>. Это свойство objectVersion
содержит версию подготовки домена. Версия для Exchange
2010 RTM — 12640. Версия для Exchange 2010 RTM —
13040.
- Создает в текущем домене глобальную группу домена с именем
"Серверы установки доменов Exchange". Команда помещает эту группу в
контейнер системных объектов Microsoft Exchange. А также добавляют
группу "Серверы домена установки Exchange" в универсальную
группу безопасности серверов Exchange в корневом домене.
Примечание. Группа серверов установки доменов Exchange используется, если Exchange 2010 установлен в дочернем домене, который является сайтом Служба каталогов Active Directory, отличным от корневого домена. Создание этой группы позволяет избежать ошибок при установке, если членство в группах не было реплицировано в дочернем домене. - На уровне домена выдаются разрешения универсальным группам
безопасности "Серверы Exchange" и "Администраторы получателей
Exchange".
- Чтобы выполнить команду setup /PrepareAllDomains,
необходимо быть членом группы администраторов предприятия.
- Чтобы выполнить команду setup /PrepareDomain в случае,
если подготавливаемый домен существовал до выполнения команды
setup /PrepareAD, необходимо быть членом группы
администраторов домена в этом домене. Если подготавливаемый домен
был создан после выполнения команды setup /PrepareAD,
необходимо быть членом группы администраторов организации Exchange,
а также членом группы администраторов домена в этом домене.
- Для всех доменов в узле Служба каталогов Active Directory,
помимо корневого домена, может произойти сбой команды
/PrepareDomain с выводом следующих сообщений об ошибке:
"Задача PrepareDomain для домена <ваш_домен> частично завершена. Из-за настройки сайта Служба каталогов Active Directory необходимо подождать не менее 15 минут, пока не начнется репликация, и повторить задачу PrepareDomain для домена <ваш_домен> снова".
"Не удается выполнить операцию Служба каталогов Active Directory на сервере <ваш_сервер>. Невозможно повторить попытку. Дополнительные сведения: Указан неверный тип группы.
Ответ Служба каталогов Active Directory: 00002141: SvcErr: DSID-031A0FC0, ошибка 5003 (НЕ_ВЫПОЛНЯЕТСЯ), данные: 0
Сервер не может обработать запросы каталога."
Если отображаются такие сообщения, следует подождать или выполнить репликацию Служба каталогов Active Directory между этим доменом и корневым доменом, а затем повторно выполнить команду /PrepareDomain.
- Эту команду необходимо выполнять в каждом домене, в котором
будет устанавливаться Exchange 2010. Необходимо также выполнить эту
команду в каждом домене, который будет содержать пользователей
электронной почты, даже если в нем не будет устанавливаться
Exchange 2010.
- В контейнере системных объектов Microsoft Exchange
существует новая глобальная группа серверов установки доменов
Exchange.
Примечание. Чтобы просмотреть контейнер системных объектов Microsoft Exchange в окне "Пользователи и компьютеры" Служба каталогов Active Directory, в меню Вид выберите Дополнительные функции. - Группа серверов установки доменов Exchange является членом
универсальной группы безопасности серверов Exchange в корневом
домене.
- В каждом контроллере домена в домене, в котором будет
установлен Exchange 2010, универсальная группа безопасности
серверов Exchange имеет разрешения для политики "Политика
безопасности контроллера домена\Локальные политики\Назначение прав
пользователя\Контроль управления и журнал безопасности".
- Выполните команду setup /PrepareDomain или setup
/pd, чтобы подготовить локальный домен. Нет необходимости
выполнять эту команду в домене, в котором выполнялось действие 3.
Выполнение команды setup /PrepareAD обеспечивает подготовку
локального домена.