Поделиться через

Перейти на Exchange 2010 с Exchange 2007 политики адресной книги разделение списка адресов

  • Статья

 

Применимо к: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Последнее изменение раздела: 2016-11-28

Указания в этом разделе представляют собой пошаговые инструкции для выполнения миграции с сегментации глобального списка адресов (GAL) на базе ACL в Exchange 2007 (известной также под названием «разделение GAL») на политики адресных книг (ABP) в Exchange 2010 с пакетом обновлений 2 (SP2).

ВажноВажно!
Некоторые процедуры в этом разделе оказывают влияние на пользователей. В результате зачастую требуется плановое отключение системы.

Предварительные условия

  • Хотя это не является особым обязательным требованием, прежде чем выполнять процедуры данного раздела, настоятельно рекомендуется ознакомиться с соображениями и передовым опытом, описанными в разделе Общие сведения о политиках адресных книг.

  • Процедуры в этом разделе предполагают выполнение действий, описанных в документе Настройка виртуальных организаций и разделение списка адресов в Exchange 2007, для настройки своей организации Exchange 2007.

  • Если выполнены шаги, перечисленные в указанном выше документе, для внедрения разделения GAL в организации Exchange 2010, официально вы находитесь в неподдерживаемом состоянии. Чтобы успешно выполнить процедуры данного раздела, необходимо предварительно вернуть организацию в поддерживаемое состояние.

  • В большинстве примеров кодов и консоли в данном документе в качестве доменного имени Active Directory и имени организации Exchange используется Contoso, а Fabrikam и Tailspin Toys – в качестве названий дочерних организаций. Не забудьте изменить имя организации Exchange, домена и дочерних организаций в соответствии с имеющейся конфигурацией.

  • Для этого потребуются сценарии, которые использовались для разделения виртуальных организаций в Exchange 2007.

Настройка сценария

В этом сценарии Tailspin Toys и Fabrikam являются дочерними предприятиями материнской компании Contoso.

Шаг 1: Приготовьтесь установить Exchange 2010 SP2 в существующую организацию Exchange 2007 с настроенным разделением GAL (потребуется отключение системы)

Если в организации используется разделение GAL Exchange 2007, то установку Exchange 2010 выполнить невозможно, так как использование разделения GAL предполагает удаление всех стандартных параметров и разрешений из GAL по умолчанию.

  1. В контроллере домена организации Exchange 2007 введите в командной строке следующую команду, чтобы разрешить доступ к GAL по умолчанию.

    DSACLS "CN=Default Global Address List,CN=All Global Address Lists,CN=Address Lists Container,CN=CONTOSO,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=contoso,DC=com" /N /G contoso\administrator:RP

  2. В контроллере домена с установленным компонентом Windows PowerShell или на сервере Exchange, использующем консоль управления Exchange, введите следующие команды для перенастройки параметров GAL по умолчанию.

    ПримечаниеПримечание.
    По окончании этого шага пользователи Outlook 2007 смогут видеть GAL по умолчанию. Однако пользователи Outlook Web App стандартный GAL видеть не будут, так как Outlook Web App использует для запросов к GAL атрибут QueryBaseDN. 
    $container = "CN=Default Global Address List,CN=All Global Address Lists,CN=Address Lists Container,CN=CONTOSO,CN=Microsoft Exchange,CN=Services, CN=Configuration,DC=contoso,DC=com"Add-ADPermission $container -User "Authenticated Users" -AccessRights GenericRead, ListChildren -ExtendedRights Open-Address-Book

    Вы получите следующее предупреждение и результат:

    WARNING: Appropriate ACE is already present on object "CN=Default Global Address List,CN=All Global Address Lists,CN=Address Lists Container,CN=CONTOSO,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=CONTOSO,DC=COM" for account "NT AUTHORITY\Authenticated Users"
Identity             User                 Deny  Inherited Rights
--------             ----                 ----  --------- ------
\Default Global A... NT AUTHORITY\Auth... False False     Open-Address-Book
\Default Global A... NT AUTHORITY\Auth... False False     ReadProperty
\Default Global A... NT AUTHORITY\Auth... False False     ListObject, Generi...
\Default Global A... NT AUTHORITY\Auth... False False     ListChildren

Шаг 2. Установите первый сервер Exchange 2010

Подробные сведения содержатся в разделе Обновление с клиентского доступа Exchange 2007

Шаг 3. Обеспечьте защиту глобального списка адресов по умолчанию

После установки Exchange 2010 SP2 можно удалить списки адресов, созданные в ходе установки, и затем снова обеспечить защиту глобального списка адресов по умолчанию. После завершения этого шага можно продолжить установку в своей организации дополнительных серверов Exchange 2010 SP2. Дополнительные сведения см. в разделе Общие сведения о переходе с Exchange 2007 на Exchange 2010.

  1. (Необязательно) На сервере Exchange 2010 с помощью консоли удалите созданные списки адресов.

    Remove-AddressList "All Contacts"
Remove-AddressList "All Groups"
Remove-AddressList "All Users"
Remove-AddressList "Public Folders"

    Дополнительные сведения см. в статье Удаление списка адресов.

  2. На сервере Exchange 2010 с помощью консоли обеспечьте защиту GAL, следуя указаниям в документе Настройка виртуальных организаций и разделение списка адресов в Exchange 2007.

    Get-GlobalAddressList "Default Global Address List" | Add-ADPermission -User "Authenticated Users" -AccessRights GenericRead -ExtendedRights Open-Address-Book -Deny:$True

  3. Чтобы убедиться, что команды были успешными, выполните следующие команды.

    $galContainer = "CN=All Global Address Lists,CN=Address Lists Container,CN=CONTOSO,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=contoso,DC=com"
Get-ADPermission $galContainer -user "authenticated users"

    Результаты выполнения команды должны быть похожи на следующие данные:

    Identity             User                 Deny  Inherited Rights
--------             ----                 ----  --------- ------
All Global Addres... NT AUTHORITY\Auth... False False     GenericRead
All Global Addres... NT AUTHORITY\Auth... False False     Open-Address-Book
All Global Addres... NT AUTHORITY\Auth... False True      ListChildren
All Global Addres... NT AUTHORITY\Auth... True  True      ReadProperty

Шаг 4. Переход на серверы Exchange 2010 (потребуется отключение системы)

Прежде чем переносить какие-либо почтовые ящики на серверы Exchange 2010 SP2, необходимо переключить имена внешних URL-адресов. Для этого необходимо настроить мобильный Outlook, Outlook Web App, веб-службы Exchange (EWS), панель управления Exchange (ECP), автообнаружение и автономные адресные книги (OAB), чтобы использовать серверы Exchange 2010 вместо серверов Exchange 2007. Данный процесс состоит из множества шагов, дополнительные сведения см. в статье Exchange 2007 – схема планирования обновления и совместного использования.

ПримечаниеПримечание.
Следующие шаги описывают только ключевые процедуры общего процесса и поясняют результаты их выполнения. Возможно, потребуется выполнить несколько команд на каждом сервере организации (некоторые – только один раз), причем большинство из них потребует отключения системы на некоторое время. Поэтому настоятельно рекомендуется потратить достаточно времени на тестирование всего процесса перехода, чтобы свести к минимуму неудобства для клиентов.

  1. С помощью консоли переместите все формирования автономных адресных книг на сервер почтовых ящиков Exchange 2010. Перемещение формирования OAB на серверы Exchange 2010 SP2 позволит OAB использовать в качестве источника содержимого GAL, а не просто списки адресов.

    Get-OfflineAddressBook | Move-OfflineAddressBook -Server "MBX01_Ex2010SP2"

    Дополнительные сведения см. в статье Перенос процесса создания автономной адресной книги на другой сервер.

  2. Создайте виртуальный каталог OAB, включив в него виртуальную организацию Exchange 2010. Отсюда будут распространяться копии автономных адресных книг на серверы Exchange 2010.

    В этом примере проверяется наличие копий всех OAB как на серверах Exchange 2007, так и на серверах Exchange 2010.

    Get-OfflineAddressBook | Set-OfflineAddressBook -virtualdirectories "CAS1_Ex2007\OAB (Default Web Site)","CAS1_Ex2010SP2\OAB (Default Web Site)"

    Дополнительные сведения см. в статье Настройка свойств распространения автономной адресной книги.

  3. Перемещение почтовых ящиков на Exchange 2010 возможно только после того, как весь входящий трафик мобильного Outlook направляется через Exchange 2010.

    В этом примере показано включение мобильного Outlook на сервере Exchange 2010 и выключение его на сервере Exchange 2007.

    Enable-OutlookAnywhere -Server:CAS1_Ex2010SP2 -ExternalHostname:mail.contoso.com -ClientAuthenticationMethod:Basic  
Disable-OutlookAnywhere  -Server:CAS1_Ex2007

    Дополнительные сведения см. в следующих разделах:

  4. Чтобы обеспечить правильный возврат URL-адресов от серверов Exchange 2010 функцией автообнаружения, необходимо настроить Outlook Web App, Exchange ActiveSync, EWS и ECP на всех серверах Exchange 2010 для получения правильных свойств внешних URL-адресов виртуальных каталогов.

    В следующих примерах предполагается, что mail.contoso.com – это внешнее имя, используемое для доступа к серверам Exchange 2010.

    Set-ActiveSyncVirtualDirectory -Identity 'CAS1_Ex2010SP2\Microsoft-Server-ActiveSync*' -ExternalURL https://mail.contoso.com/Microsoft-Server-ActiveSync
Set-WebServicesVirtualDirectory  -Identity 'CAS1_Ex2010SP2\EWS*' -ExternalUrl https://mail.contoso.com/EWS/exchange.asmx
Set-OWAVirtualDirectory -Identity 'CAS1_Ex2010SP2\OWA*' -ExternalURL https://mail.contoso.com/OWA
Set-EcpVirtualDirectory -Identity 'CAS1_Ex2010SP2\ECP*' -ExternalURL https://mail.contoso.com/ECP

    Дополнительные сведения о настройке указанных выше параметров приведены в следующих разделах:

  5. Чтобы разрешить Exchange 2010 перенаправлять запросы Outlook Web App и EWS на Exchange 2007 для тех пользователей, у которых почтовые ящики расположены на серверах 2007, необходимо настроить Outlook Web App и внешний URL-адрес EWS, чтобы 2007 использовал адрес legacy.contoso.com. Это пространство имен является внешним именем, которое используется для доступа к серверам Exchange 2007.

    Set-WebServicesVirtualDirectory -Identity 'CAS1_Ex2007\EWS*' -ExternalUrl https://legacy.contoso.com/EWS/exchange.asmx
Set-OWAVirtualDirectory -Identity 'CAS1_Ex2007\OWA*' -ExternalURL https://legacy.contoso.com/OWA

  6. Чтобы использовать Exchange 2010 в качестве прокси для всех входящих подключений Exchange ActiveSync на Exchange 2007, удалите внешний URL-адрес Exchange ActiveSync в 2007.

    Set-ActiveSyncVirtualDirectory -Identity 'CAS1_Ex2007\Microsoft-Server-ActiveSync*' -ExternalURL:$null

  7. Заключительный шаг этого процесса – изменение общедоступного DNS таким образом, чтобы адреса mail.contoso.com (в приведенном примере) и autodiscover.contoso.com принадлежали Exchange 2010, а запись DNS legacy.contoso.com принадлежала Exchange 2007. Все подключения клиентов будут проходить через Exchange 2010, и Exchange 2010 при использовании службы автообнаружения будет перенаправлять (в случае Outlook Web App), выступать в качестве прокси (в случае Exchange ActiveSync) или обеспечивать соответствующие версии URL-адресов (в случае EWS) для клиентов.

Шаг 5. Создайте политики адресных книг, которые отражают ACL сегментации списка адресов Exchange 2007

На следующем шаге необходимо определить, какие списки адресов, глобальные списки адресов и автономные адресные книги будут доступны для виртуальных организаций при использовании разделения GAL, и создать политику адресных книг для каждой виртуальной организации, которая отражает их.

  1. Если для создания организации Exchange 2007 использовались шаги, описанные в статье Настройка виртуальных организаций и разделение списка адресов в Exchange 2007, то в результате были созданы сценарии разделения виртуальных организаций. Просмотрите сценарии, которые были использованы для создания виртуальных организаций в Exchange 2007, чтобы определить GAL, списки адресов и OAB для каждой виртуальной организации. Для каждой виртуальной организации необходимо найти один GAL, как минимум один список адресов и одну OAB.

    ПримечаниеПримечание.
    ABP должны содержать список помещений. Если в организации не используется список помещений, создайте пустой список помещений и затем используйте список адресов при настройке политики адресных книг или установите в ABP свойство списка помещений так, чтобы использовать тот же список адресов, который был указан для GAL.

    Например, при просмотре сценария, использованного для разделения дочерней компании Tailspin Toys, найдена следующая информация:

    • Все пользователи Tailspin Toys содержатся в группе безопасности под названием Tailspin_SG.

    • Группа безопасности Tailspin_SG предоставляет пользователям доступ для чтения/открытия следующего:

      Списки адресов

      GAL

      OAB

      AL_TailspinUsers

      AL_TailspinGroups

      AL_TailspingContacts

      GAL_Tailspin

      OAB_Tailspin

    • В компании Tailspin Toys нет списка адресов по помещениям.

  2. Создайте АВР, соответствующую организации Tailspin Toys.

  3. Например, если для создания ABP используется консоль управления Exchange, введите в мастер новых политик адресных книг следующую информацию:

    Если для создания ABP используется консоль, введите следующую команду.

    New-AddressBookPolicy -Name 'ABP_Tailspin' -GlobalAddressList '\GAL_Tailspin' -OfflineAddressBook '\OAB_Tailspin' -AllRoomList '\RAL_BLANKROOMS' -AddressLists '\AL_TailspinContacts','\AL_TailspinGroups','\AL_TailspinUsers'

    Дополнительные сведения см. в разделе Создание политики адресной книги.

  4. Следуйте приведенным выше инструкциям для каждой из виртуальных организаций. Например, Fabrikam.

Шаг 6. Переместите почтовые ящики с серверов Exchange 2007 на серверы Exchange 2010 (потребуется отключение системы)

При перемещении почтовых ящиков на серверы Exchange 2010 будет выполнен переход с использования ACL на использование ABP.

ПримечаниеПримечание.
Рекомендуется создать сценарий, который выполняет эту процедуру за один шаг.

  1. Переместите почтовые ящики с помощью командлетов MoveRequest. Дополнительные сведения см. в статье Создание локального запроса на перемещение.

  2. Назначьте АВР перемещенным почтовым ящикам. Дополнительные сведения см. в статьеНазначение политики адресной книги пользователю почтового ящика (EPW).

  3. Удалите QueryBaseDN из объекта пользователя. Это можно сделать непосредственно через консоль Adsiedit.msc или использовать многоэтапную процедуру в командной консоли. В этом примере показано, как удалить QueryBaseDN при использовании командной консоли.

    $user = ([ADSI]"LDAP://CN=Bob,CN=Users,DC=Contoso,DC=com").psbase
$user.Properties["msExchQueryBaseDN"].Value=$null
$user.CommitChanges()

  4. Удалите параметр автономной адресной книги из почтового ящика.

    В этом примере удаляется автономная адресная книга из почтового ящика пользователя John:

    Set-Mailbox -Identity John -OfflineAddressBook $null

После того как почтовые ящики перемещены и все остальные параметры настроены, пользователи Outlook получат следующую ошибку, после чего им нужно будет закрыть и перезагрузить Outlook: «Администратор Microsoft Exchange внес изменения, требующие закрыть и перезагрузить Outlook».

Шаг 7. Что дальше?

После переноса всех почтовых ящиков в Exchange 2010 SP2 и перевода их на ABP с прекращением использования ACL можно придерживаться стандартных рекомендаций Exchange по удалению организации Exchange 2007.

Удаление и изменение Exchange 2007

Удаление организации Exchange 2007

Если вы столкнулись с трудностями, можно обратиться к этой статье базы знаний Майкрософт:

Как удалить Exchange 2007 из системы

 © Корпорация Майкрософт (Microsoft Corporation), 2010. Все права защищены.