Подробное рассмотрение подготовки Active Directory для Exchange 2007

Это пятая и заключительная часть серии статей о подготовке Active Directory к использованию сервера Exchange 2007. На данный момент в этой серии мы рассмотрели подготовку наследственных разрешений, схемы и Active Directory. В результате у нас остался последний шаг подготовки, который представляет собой подготовку доменов Active Directory, которые будут содержать либо серверы Exchange 2007, либо пользователей Exchange 2007.

Подготовка доменов

Итак, мы добрались до самого последнего шага процесса, если говорить точнее, до подготовки доменов Active Directory к получению Exchange 2007. Если вы устанавливали наследственные версии Exchange, вы помните процесс DomainPrep, существовавший в Exchange 2000 и Exchange 2003. Процесс подготовки доменов в Exchange 2007 сходен с этим процессом в том, что его необходимо выполнить в двух местах:

• На каждом домене, куда вы устанавливаете сервер Exchange 2007
• На каждом домене, который будет содержать почтовых пользователей

Для подготовки домена используется команда setup /PrepareDomain или сокращенно setup /pd. Она подготавливает домены с того места, откуда выполняется, хотя, как я уже говорил, процесс setup /p подготавливает домены, на которых был запущен setup /p, поэтому нет необходимости повторять этот процесс на этом домене. Также можно подготовить указанный домен путем добавления полного доменного имени (FQDN) домена в эту команду, например:

setup /pd:sales.neilhobson.com

Чтобы успешно завершить процесс, необходимо выполнять команду от имени учетной записи, имеющей права администратора домена. Вы, возможно, сочтете этот процесс трудоемким, если у вас есть множество доменов в инфраструктуре Active Directory. К счастью, можно подготовить все домены за один раз, используя команду setup /PrepareAllDomains, или сокращенно setup /pad. Само собой разумеется, что в этом случае используемая вами учетная запись должна быть членом группы администраторов предприятия (Enterprise Admins).

Выполнение setup /pd процесса для домена sales.neilhobson.com показано на рисунке 28.

Обратите внимание на предупреждение, которое появилось, поскольку я не настроил службу Recipient Update Service в корневом домене.

Что в сущности делает процесс подготовки домена и как проверить его успешность? По сути, процесс назначает различные разрешения и создает дополнительные объекты, которые можно проверить визуально. Например, в подготавливаемом домене можно найти новую группу под названием Exchange Install Domain Servers. Чтобы найти эту группу, вызовите оснастку пользователей и компьютеров Active Directory Users and Computers и убедитесь, что дополнительные параметры отображаются, путем выбора опции Дополнительные параметры (Advanced Features) в меню Вид. Выберите вкладку Microsoft Exchange System Objects в левой панели и в правой панели вы найдете группу Exchange Install Domain Servers, как показано на рисунке 29.

В корневом домене найдите группу Exchange Servers, расположенную в организационном подразделении Microsoft Exchange Security Groups и вызовите ее свойства. Во вкладке Члены убедитесь, что группа Exchange Install Domain Servers с дочернего домена, который только что был подготовлен, является членом этой группы, как показано на рисунке 30.

На рисунке 30 видно, что группа Exchange Install Domain Servers родительского домена является членом группы Exchange Servers. Это потому, что процесс setup /p, который нужно выполнять в корневом домене, автоматически подготовил этот домен. Как видно, наличие группы Exchange Install Domain Servers является хорошим показателем того, что процесс подготовки домена был выполнен успешно.

Однако есть и другие вещи, которые нужно проверять, чтобы быть уверенным. Процесс подготовки домена также обновляет одно из свойств вкладки Microsoft Exchange System Objects, что мы сейчас и рассмотрим. Выполнив ADSIEdit и подключившись к контроллеру домена в дочернем домене можно вызвать свойства вкладки Microsoft Exchange System Objects, как показано на рисунке 31. Я не буду рассказывать подробно обо всех этих шагах, так как использование ADSIEdit было рассмотрено в предыдущих частях этой серии. Я лишь скажу, что нужно подключиться к контексту именования доменов (domain naming context), найти вкладку Microsoft Exchange System Objects, правой клавишей нажать на ней и выбрать Свойства из контекстного меню. В появившемся окне пролистайте вниз, пока не найдете атрибут objectVersion.

На рисунке 31 показано значение 6936, которое представляет собой значение, присвоенное после установки Exchange 2003 RTM. Когда вы выполнили процесс подготовки домена Exchange 2007, эта цифра должна измениться. Для Exchange 2007 RTM она должна быть 10628, а для Exchange 2007 SP1 - 11221.

Наконец, осталась одна последняя проверка, которую можно выполнить и которая отлично описана в документации Microsoft. После процесса подготовки домена для Exchange 2007, группе Exchange Servers Universal Security Group предоставляется разрешение в Manage Auditing and Security Log (Управление аудитом и журналом безопасности), расположенной в политике безопасности контроллера домена.

Чтобы найти ее, выполните следующие шаги:

1. Перейдите в меню Пуск, Администрирование
2. В папке администрирования выберите Политику безопасности контроллера домена.
3. В Настройках безопасности (Security Settings) разверните Локальные политики (Local Policies), а затем выберите Назначение прав пользователей (User Rights Assignment). В левой панели вы должны увидеть политики и список параметров политики, как показано на рисунке 32.

1. Пролистайте список политик вниз до политики под названием Управление аудитом и журналом безопасности. Дважды нажмите на этой политике, в результате чего откроется окно свойств, обратите внимание, что группа Exchange Servers Universal Security Group теперь имеет установленные разрешения, как показано на рисунке 33.

Заключение

Итак, мы рассмотрели все четыре шага подготовки Active Directory; как выполнять эти шаги и чего искать. Должен признать, у меня ушло определенное время, чтобы написать эти четыре шага в рамках пяти статей, которые кажутся небольшими. Однако, я счел полезным объяснить процессы подготовки в некоторых подробностях с обилием фотографий, так как эти процессы являются крайне важными для процесса установки Exchange 2007. Если вы только собираетесь установить Exchange 2007, надеюсь эта статья поможет вам понять, что происходит во время этих процессов. Если вы уже установили Exchange 2007, но еще не сдавали ни один из экзаменов Microsoft, могу лишь сказать, что в них проверяются самые разнообразные навыки, включая подготовку Active Directory.