如何为Exchange 2007准备活动目录(二)
在安装完成之后,您可以验证权限已经被扩展了,并且被复制到活动目录中。要完成这些,执行下面的步骤:
1. 启动Ldp.exe,
2. 点击”Connection”,然后点击” Connect"(保留服务器为空),点击OK。
3. 点击 “ Connection”,然后点击 “Bind” (保留凭据为空),点击OK。
4. 点击View, 然后点击 Tree。
5. 输入完全限定域名(FQDN),(比如DC=northwindtraders,DC=co,DC=uk),点击OK。
6. 右键选中该域 (比如,northwindtraders.co.uk),点击Advanced,然后选择Security Descriptor,点击OK。
Exchange-Information 被扩展权限,它的GUID为1F298A89-DE98-47b8-B5CD-572AD53D267E。
7. 在右边的结果栏中上下滑动,找到具有该GUID的Object Ace Type: Unknown。
如图2所示。
图2 Object Ace Type is unknown
在安装的过程中,在后面定义Exchange-Information 扩展过的权限,在初始的时候以Unknown出现。当架构被扩展的时候,Exchange-Information 属性集被创建,在Setup /PrepareAD期间,Exchange-Information 扩展过的权限被创建。
扩展架构
扩展架构
活动目录架构必须被扩展,用来包含或者修改Exchange 2007需要的类和属性,Exchange 2007 架构扩展是Exchange 2003 或者Exchange 2000 架构扩展的一个超集。
必须在相同的活动目录站点和域中,在架构主机这台服务器上运行Setup /PrepareSchema 或者Setup /ps 。在一般情况下,架构主机角色存在于森林中第一个域的某个DC上。
为了运行Setup /ps,使用的账号必须是Schema Admins和 Enterprise Admins 组的成员。扩展活动目录架构是一个强壮和稳定的过程,然而,为了分离复制,是可以在架构主机上禁用出站复制。100个包含Exchange 2007架构扩展的.ldf文件被导入后,您能够验证架构主机,并在架构主机上启用出站复制。这些.ldf 文件被写入到临时文件夹,当它们被导入后被删除。
通过连接到域控制器,能够验证架构扩展的复制,并检查属性。如图3所示。
图 3 Verifying the schema version by using ADSI Edit
准备活动目录
准备活动目录组的任务将验证,架构已经被扩展,如果加入到一个已经存在的组织,确保旧的权限被应用。如果这些任务没有完成,并且您是Schema Admins 组和Enterprise Admins 组的成员,Setup /PrepareAD 将执行Setup /PrepareLegacyExchangePermissions 和Setup /PrepareSchema 任务。
通过在活动目录配置分区中的组织容器中,检查objectVersion 的属性,Exchange 2007 安装检查组织是否被更新到最新。Exchange 2007的objectVersion 是10666。如图4所示。
必须在相同的活动目录站点和域中,在架构主机这台服务器上运行Setup /PrepareAD 或者Setup /p 。这和扩展架构是分开的。而不是,您使用架构主机作为一个参考点来是配置更改,来避免复制延迟带来的冲突。
Setup /p 有下面的要求:
Setup /p 有下面的要求:
・ 所有的域必须可用,并且能够使用389端口进行连接
・ 使用具有Enterprise Admins 权限的账号
承认森林中所有的域都能够被联系上,而不管它们中是否安装有Exchange 2003 or Exchange 2000。这将是一个挑战,在复杂的活动目录环境中,这些域之间的连接被防火墙限制了。
Exchange 2007 有新的委派管理模型,在活动目录的根域中,在Microsoft Exchange Security Groups 组织单位中,Setup /p 创建下面的Exchange universal security 组 (USG) 。
・ ExchangeLegacyInterop
・ Exchange Organization Administrators
・ Exchange Recipient Administrators
・ Exchange View-Only Administrators
・ Exchange Servers
ExchangeLegacyInterop 组包含Exchange 2003 或者 Exchange 2000 桥头服务器。当第一台Exchange 2007 集线器服务器被安装的时候,一个桥头服务器被添加到该组。剩余的组被用来委派管理访问Exchange 2007。以后这些组能够被移动到不同的组织单元。通过添加这些组到活动目录的otherWellKnownObjects列表中,安装使这变为可能。每个组都含有一个众所周知的GUID,该GUID 和对象的distinguished name (DN)存储在一起,如果被移动的话,活动目录更新该对象的DN。otherWellKnownObjects 属性保存在CN=Microsoft Exchange, CN=Services, CN=Configuration 容器上,如图5所示。
Microsoft Exchange security groups 如图6所示。
图6 Microsoft Exchange security groups
对一个新的组织,您必须一个组织名称,该名称立即被应用。安装将不会创建一个占位符对象,当第一台服务器被安装的时候该对象可以被重命名,就象在Exchange 2003 中一样。
对一个新的组织,您必须一个组织名称,该名称立即被应用。安装将不会创建一个占位符对象,当第一台服务器被安装的时候该对象可以被重命名,就象在Exchange 2003 中一样。
在活动目录配置分区中,Setup /p 创建下面这些容器:
・ Exchange Administrative Group (FYDIBOHF23SPDLT)
・ Exchange Routing Group (DWBGZMFD01QNBJR)
这些容器只包含Exchange 2007 服务器。
Setup /p 导入 Rights.ldf文件,它添加Exchange-Information 扩展过的权限,要查看该扩展过的权限,运行Ldp.exe,执行下面的步骤:
1. 点击”Connection”,然后点击” Connect"(保留服务器为空),点击OK。
2. 点击 “ Connection”,然后点击 “Bind” (保留凭据为空),点击OK。
3. 点击View,然后点击Tree,展开Configuration,展开Extended-Rights,然后选择Exchange-Information,在Ldp.exe的右边栏中显示下面这些信息:
・ dn: CN=Exchange-Information,CN=Extended-Rights,
・ changetype: ntdsSchemaAdd
・ displayName: Exchange Information
・ objectClass: controlAccessRight
・ rightsGuid: 1F298A89-DE98-47b8-B5CD-572AD53D267E
・ validAccesses: 48
您也可以查看域的security descriptors,滑动鼠标找到rightsGUID 1F298A89-DE98-47b8-B5CD-572AD53D267E。在前面,当您验证Setup /PrepareLegacyExchangePermissions 步骤的时候,该对象类型为Unknown。在Rights.ldf 文件被导入后,在使用Ldp.exe查看的时候,Exchange-Information 扩展权限的访问控制条目(ACE)不在显示为Unknown。如图7所示。
图7 Object Ace Type is Exchange-Information
在活动目录根域分区中,Setup /p 创建下面这些容器:
在活动目录根域分区中,Setup /p 创建下面这些容器:
・ 在一个新的组织中,Setup /p 创建Microsoft Exchange System Objects 容器。
・ Microsoft Exchange System Objects 容器上的objectVersion 属性保存着DomainPrep 级别。
・ 对于Exchange 2007,objectVersion 是10628。
・ 在域容器和Microsoft Exchange System Objects 上,授权Exchange Admin 权限。
・ 创建Exchange Install Domain Servers group,并将它添加到根域中的Exchange Servers USG 组。如图8所示。
当一台Exchange 2007 server 被安装了,该计算机账号被添加到Exchange Servers USG 组,早缺省情况下,它位于根域中。如果服务器被安装在不同的域中,在安装的时候,Exchange 服务也许无法启动因为Exchange Servers 成员关系没有被复制到本地域。当安装一台Exchange 2007 服务器,安装将计算机账号添加到本地域组Exchange Install Domain Servers和 Exchange Servers组。但是,给本地域组设置的权限足以让服务启动。
Setup /p 为Exchange Servers group授予seSecurityPrivilege (管理审计和安全日志) 权限。