Quali sono le modifiche apportate in Active Directory quando è installato Exchange?
Quando si installa Exchange Server 2016 o Exchange Server 2019, vengono apportate modifiche alla foresta e ai domini di Active Directory per archiviare informazioni su server, cassette postali e altri oggetti correlati a Exchange nell'organizzazione.
Per preparare Active Directory per Exchange sono necessari tre passaggi:
Dopo aver completato tutti e tre i passaggi, la foresta di Active Directory è pronta per Exchange. Questo argomento illustra le operazioni eseguite da Exchange in ogni passaggio della preparazione di Active Directory.
È possibile apportare queste modifiche prima di installare il primo server Exchange 2016 o Exchange 2019 nell'organizzazione eseguendo i comandi /PrepareSchema, /PrepareAD e /PrepareAllDomains o /PrepareDomains usando il programma di installazione della riga di comando di Exchange. Per istruzioni, vedere Preparare Active Directory e domini per Exchange. In alternativa, queste modifiche vengono apportate automaticamente durante l'installazione del primo server Exchange tramite l'installazione guidata di Exchange. Per istruzioni, vedere Installare i server cassette postali di Exchange usando l'installazione guidata.
Estendere lo schema di Active Directory
L'estensione dello schema di Active Directory consente di aggiungere classi, attributi e altri elementi. Tali modifiche sono necessarie perché Exchange possa creare contenitori e oggetti per archiviare informazioni sull'organizzazione Exchange. Poiché Exchange apporta numerose modifiche allo schema Active Directory, un argomento è dedicato a questo passaggio. Per visualizzare tutte le modifiche apportate allo schema, vedere Modifiche dello schema di Active Directory in Exchange Server.
Dopo che lo schema è stato esteso eseguendo il comando /PrepareSchema , il comando _/PrepareAD o installando il primo server Exchange tramite l'installazione guidata di Exchange, la versione dello schema viene impostata nell'attributo ms-Exch-Schema-Version-Pt . Per verificare che lo schema di Active Directory sia stato esteso correttamente, è possibile controllare il valore archiviato in questo attributo. Per altre informazioni, vedere Versioni di Exchange Active Directory.
Preparare contenitori, oggetti e altri elementi di Active Directory
Con lo schema esteso, il passaggio successivo è aggiungere tutti i contenitori, gli oggetti e altri elementi utilizzati da Exchange per archiviare le informazioni in Active Directory. Gran parte delle modifiche apportate in questo passaggio vengono applicate all'intera foresta di Active Directory. Un set più piccolo di modifiche viene apportato solo al dominio active directory locale in cui è stato eseguito il comando /PrepareAD o in cui è stato installato il primo server Exchange tramite l'installazione guidata di Exchange.
Exchange apporta le modifiche seguenti alla foresta di Active Directory:
Il contenitore di Microsoft Exchange viene creato in CN=Services,CN=Configuration,DC=<root domain> se non esiste già.
I contenitori e gli oggetti seguenti vengono creati in CN=<nome> organizzazione,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<dominio> radice se non esistono già:
CN=Address Lists Container
CN=AddressBook Mailbox Policies
CN=Addressing
CN=Administrative Groups
CN=Approval Applications
CN=Auth Configuration
CN=Availability Configuration
CN=Client Access
CN=Connections
CN=ELC Folders Container
CN=ELC Mailbox Policies
CN=ExchangeAssistance
CN=Federation
CN=Federation Trusts
CN=Global Settings
CN=Hybrid Configuration
CN=Mobile Mailbox Policies
CN=Mobile Mailbox Settings
CN=Monitoring Settings
CN=OWA Mailbox Policies
CN=Provisioning Policy Container
CN=Push Notification Settings
CN=RBAC
CN=Recipient Policies
CN=Remote Accounts Policies Container
CN=Retention Policies Container
CN=Retention Policy Tag Container
CN=ServiceEndpoints
CN=System Policies
CN=Team Mailbox Provisioning Policies
CN=Transport Settings
CN=UM AutoAttendant Container (solo Exchange 2016)
CN=UM DialPlan Container (solo Exchange 2016)
CN=UM IPGateway Container (solo Exchange 2016)
CN=Criteri cassetta postale di messaggistica unificata (solo Exchange 2016)
CN=Workload Management Settings
I contenitori e gli oggetti seguenti vengono creati in CN=Transport Settings,CN=<Organization Name,CN>=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain> se non esistono già:
CN=Accepted Domains
CN=ControlPoint Config
CN=DNS Customization
CN=Interceptor Rules
CN=Malware Filter
CN=Message Classifications
CN=Message Hygiene
CN=Rules
CN=MicrosoftExchange329e71ec88ae4615bbc36ab6ce41109e
Le autorizzazioni vengono impostate in tutta la partizione di configurazione in Active Directory.
Il file Rights.ldf viene importato. Questo file aggiunge le autorizzazioni necessarie per installare Exchange e configurare Active Directory.
L'unità organizzativa dei gruppi di sicurezza di Microsoft Exchange viene creata nel dominio radice della foresta e le autorizzazioni vengono assegnate.
I gruppi seguenti vengono creati all'interno dell'unità organizzativa Gruppi di sicurezza di Microsoft Exchange, se non esistono già:
Gestione della conformità
Installazione delegata
Gestione individuazione
Exchange Server
Sottosistema attendibile di Exchange
Autorizzazioni di Windows Exchange
ExchangeLegacyInterop
Help Desk
Gestione igiene
Server di disponibilità gestiti
Gestione organizzazione
Gestione cartelle pubbliche
Gestione destinatari
Gestione record
Gestione server
Gestione organizzazione sola visualizzazione
I nuovi gruppi di ruoli di gestione ,che vengono visualizzati come gruppi di sicurezza universali (USG) in Active Directory, creati nell'unità organizzativa Gruppi di sicurezza di Microsoft Exchange, vengono aggiunti all'attributo otherWellKnownObjects archiviato nel contenitore CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain> .
Solo in Exchange 2016, il contatto Voice Originator di messaggistica unificata viene creato nel contenitore Oggetti di sistema di Microsoft Exchange del dominio radice.
Per Exchange viene preparato solo il dominio in cui è stato eseguito il comando /PrepareAD (o in cui è stato installato il primo server Exchange tramite l'installazione guidata di Exchange). Per informazioni sulle operazioni eseguite per preparare un dominio di Active Directory per Exchange, vedere la sezione successiva.
Preparare i domini di Active Directory
Il passaggio finale della preparazione di Active Directory per Exchange consiste nel preparare i domini di Active Directory in cui verranno installati i server Exchange o in cui si troveranno gli utenti abilitati per le cassette postali (tutti i domini nella foresta usando il comando /PrepareAllDomains , domini specifici tramite il comando /PrepareDomains o installando il primo server Exhange tramite l'Installazione guidata di Exchange). Questo passaggio viene eseguito automaticamente nel dominio in cui è stato eseguito il comando PrepareAD o in cui è stato installato il primo server Exchange usando l'installazione guidata di Exchange.
Exchange apporta le modifiche seguenti ai domini di Active Directory:
Il contenitore Oggetti di sistema di Microsoft Exchange viene creato nella partizione del dominio radice in Active Directory se non esiste già.
Le autorizzazioni sono impostate nel contenitore Oggetti di sistema di Microsoft Exchange per i gruppi di protezione Utenti autenticati, Gestione organizzazione e Server di Exchange.
Modifica dell'oggetto Criteri di gruppo Controller di dominio predefiniti per concedere i diritti "Gestisci criteri di controllo e log di sicurezza" a Exchange Enterprise Server.
Il gruppo globale del dominio Exchange Install Domain Servers viene creato nel dominio corrente e collocato nel contenitore Oggetti di sistema di Microsoft Exchange.
Il gruppo Exchange Install Domain Servers è un membro del gruppo di protezione universale Server di Exchange nel dominio radice.
Le autorizzazioni vengono assegnate a livello del dominio per i gruppi di protezione universale (USG) Gestione organizzazione e Server di Exchange.
La proprietà objectVersion nel contenitore Oggetti di sistema di Microsoft Exchange in DC=<root domain> è impostata. Per verificare che i domini di Active Directory siano stati preparati correttamente, è possibile controllare il valore archiviato in questo attributo. Per altre informazioni, vedere Versioni di Exchange Active Directory.