子域部署Exchange服務器完全攻略及故障剖析
最近在論壇發現有些朋友在子域部署Exchange服務器時遇到了一些問題,看了一下發現導致問題的原因很多。索性趁着今天有時間,用一個實驗演示一下在子域部署Exchange服務器的全過程,希望能給這些朋友一些參考。實驗拓撲如下圖所示,test.com是父域,Florence是父域的域控制器。Shanghai.test.com是子域,Firenze是子域的域控制器,Berlin是子域的成員服務器,我們準備把Exchange2003部署在Berlin上。域樹中的三臺計算機都使用192.168.11.1作爲DNS服務器。爲了演示得更徹底,我們搭建這個實驗環境從部署AD開始,因爲我發現有不少朋友部署Exchange時出現的錯誤其實源於AD。
一 創建DNS區域
我部署AD的習慣是用單獨的DNS服務器爲AD提供解析服務,而不是將DNS安裝在域控制器上。這些做的好處是DNS非常容易維護,只要把引導文件,區域數據文件複製出來就完成了備份,重建DNS服務器只需要幾分鐘時間。而且這種拓撲對初學者來說很容易把握,只要把所有的計算機都指向同一個DNS就可以了。免得很多管理員在域樹環境下很是困惑父域的計算機應該使用哪個DNS服務器,子域的計算機又該使用哪個DNS服務器。如果你使用虛擬機搭建實驗環境,可以考慮象我這樣把DNS搭建在物理計算機上。好了,我們不過多討論DNS和AD的關係,現在開始具體的部署工作。我們需要在創建AD之前先在DNS服務器中創建出相關區域,然後允許區域進行動態更新。
在DNS服務器上打開DNS管理器,如下圖所示,右鍵點擊正向查找區域,選擇“新建區域”。
出現新建區域嚮導,點擊下一步繼續。
區域類型應該選擇“主要區域”。
區域名稱爲Test.com,和AD使用的域名完全相同。
Test.com區域的數據存儲在Windows\System32\DNS\Test.com.dns文件中,我們只要保存好這個文件就能輕鬆實現DNS服務器的重建。
注意,區域必須允許動態更新,因爲在創建AD的過程中需要向這個區域寫入A,Cname和SRV記錄。
點擊完成結束DNS區域的創建。
區域創建完畢之後,如下圖所示,我們看到區域中已經有了一條NS記錄和SOA記錄,從邏輯上來說,這兩條記錄對一個區域來說是不可或缺的。NS記錄說明這個區域有哪些DNS服務器可以解析,SOA記錄則進一步說明這些DNS服務器中的哪一個是主服務器。我們不能掉以輕心,要看看系統創建的NS和SOA記錄是否正確。
如下圖所示,我們發現NS記錄不正確,因爲Server6.並不是一個可以解析的完全合格域名,這樣會導致DNS的客戶機無法得知這個區域的解析服務器到底是誰。因此我們要對NS記錄進行修改,只要你讓修改後的完全合格域名能解析爲192.168.11.1,這個修改就是成立的。
如下圖所示,我把NS記錄改爲了server6.home.com.,DNS服務器可以把這個域名解析爲192.168.11.1。再次強調,NS記錄對應的域名可以是任意的,只要這個域名能解析爲DNS服務器的IP即可。
如下圖所示,SOA記錄也要如法炮製地修改一番,主要是修改主服務器,這是關鍵參數。至此,我們完成了AD創建前的DNS準備工作。
二 創建父域
DNS區域準備好之後,我們就可以創建域樹中的父域了。在Florence上運行Dcpromo,如下圖所示,出現Active Direcotry安裝嚮導,點擊下一步繼續。
兼容性提示告訴我們Win2003創建的Active Directory無法和早期的一些操作系統兼容,點擊下一步繼續。
選擇創建新域的域控制器。
選擇創建一個新的域林。
輸入域的DNS名稱,這個域名應該和DNS服務器中預先創建的區域名稱相同。
域的Netbios名稱是TEST。
由於是測試環境,因此我們選擇把Active Directory數據庫保存到默認路徑下。
Sysvol文件夾的路徑也使用默認設置。
如下圖所示,我們先前創建的DNS區域發揮了作用,Active Directory的安裝程序測試出當前使用的DNS服務器完全能滿足Active Directory的需求。
選擇Active Directory的兼容模式,選擇僅兼容Win2000之後的操作系統。
輸入目錄恢復還原模式的管理員口令,將來從備份還原Active Directory時用得着。
檢查配置無誤,點擊下一步開始Active Directory的創建。
如下圖所示,Active Directory開始創建,創建完畢後需要重啓計算機。
父域創建完畢後,我們在DNS區域中發現Active Direcotry所需要的A,Cname和SRV記錄都已經被自動生成了,至此,父域創建完畢。
三 創建子域
創建完父域後,接下來我們來創建子域,在Firenze上運行Dcpromo,在Active Directory創建嚮導的指引下開始子域創建,如下圖所示,我們選擇創建新域的域控制器。
選擇創建現有域樹中的子域。
輸入父域的管理員賬號進行權限驗證。
輸入父域和子域的域名,點擊下一步繼續。
顯示子域的Netbios名稱,點擊下一步繼續。
Active Directory數據庫存儲在默認路徑下。
Sysvol文件夾的路徑也使用默認設置。
如下圖所示,Active Directory安裝嚮導檢測現有的DNS服務器可以滿足子域的安裝需求。
接下來的安裝過程和父域相同,在此不再贅述,子域安裝完畢後我們檢查DNS服務器,如下圖所示,我們發現子域的相關記錄也已經被自動創建了,這可以作爲域創建成功的衡量標準之一。
現在我們已經有了一棵域樹,但不要着急進行Exchange的安裝,先觀察一下父域的DC和子域的DC複製是否正常。在Florence上打開Active Directory站點和服務,如下圖所示,我們嘗試讓Florence從Firenze進行Active Directory的複製。
如果測試結果如下圖所示,而且Firenze從Florence複製也是正常的,那我們就可以進行後續操作了。記住,如果DC間的複製不正常或DNS的區域數據有問題,你就不應該向下進行Exchange的安裝,而是應該致力於排除現有問題。
四 林準備
我們知道Exchange2003的安裝分爲林準備,域準備和Exchange安裝三部分,而林準備就是擴展域林的Active Directory架構,我們首先在父域的域控制器上進行林準備。林準備需要操作主機中的架構主機在線,而且進行林準備操作的用戶必須是Schema Admins組的成員。我們在Florence上以父域管理員的身份登錄,放入Exchange的安裝光盤,如下圖所示,運行Setup /Forestprep。
出現Exchange安裝嚮導,點擊下一步繼續。
同意許可協議,點擊下一步繼續。
如下圖所示,確定要進行的操作是Forestprep,點擊下一步繼續。
由於Exchange安裝在子域的成員服務器上,因此我們賦予子域管理員Exchange的完全控制權限。
如下圖所示,Active Directory的架構擴展開始了。
架構擴展結束之後,我們應該花上幾分鐘時間,等父域和子域的域控制器複製結束後再進行後續的Exchange安裝操作。
五 域準備
林準備結束後,我們就可以進行域準備了。雖然Exchange服務器部署在子域的成員服務器上,但Exchange可以爲Active Directory中的所有用戶提供郵件服務。因此我們希望父域和子域的用戶都可以利用Exchange創建郵箱,我們就應該在父域和子域都進行域準備。由於域準備的過程是一樣的,我們以在子域進行域準備爲例,在Firenze上放入Exchange2003的安裝光盤,如下圖所示,運行 setup /domainprep。
出現Exchange安裝嚮導,點擊下一步繼續。
同意軟件許可協議,點擊下一步繼續。
確定準備進行的操作是Domainprep,點擊下一步開始安裝。
如下圖所示,子域的域準備順利完成,接下來我們如法炮製在父域也進行域準備即可。
六 部署Exchange2003
接下來就是最後的Exchange部署工作了,我們在Berlin上先裝上SMTP,NNTP,Web,ASP.NET等Exchange安裝的必需組件。然後放入Exchange2003的安裝光盤,如下圖所示,運行D:\setup\i386\setup.exe。
出現Exchange安裝嚮導,點擊下一步繼續。
同意軟件許可協議,點擊下一步繼續。
選擇Exchange的典型安裝即可。
由於沒有現成的組織,我們選擇新建Exchange組織。
爲新創建的組織取名爲First。
同意最終用戶許可協議,點擊下一步繼續。
爲Exchange的管理組取名 爲MAIL。
確認Exchange的安裝組件,點擊下一步開始Exchange的安裝。
如下圖所示,順利完成Exchange2003在子域的部署。
部署完畢後重啓Berlin發現大事不妙,Exchange的存儲服務和MTA服務居然不能啓動,再次重啓仍然是濤聲依舊。從事件查看器的提示看似乎是無法從Active Directory檢索到Exchange信息!怎麼辦?別擔心,微軟解釋過這個問題,如果Exchange服務器安裝在子域,那麼默認情況下Exchange服務器只向本域內的域控制器和全局編錄服務器進行AD對象查詢,但由於域樹的全局編錄服務器默認由父域的域控制器承擔,因此Exchange服務器在子域內檢索不到Active Direcotry中關於Exchange的登記信息。解決方法也很簡單,如下圖所示,在Exchange服務器的高級TCP/IP屬性中定義附加的DNS後綴,把Test.com和Shanghai.test.com都定義上,這樣Berlin就會從父域的全局編錄服務器或域控制器檢索Exchange數據了。重啓Berlin後一切正常!或者可以考慮把子域的域控制器也作爲全局編錄服務器。
在子域中爲用戶創建一個郵箱,如下圖所示,郵箱創建成功!至此,Exchange在子域部署成功完成!
至此,Exchange在子域部署完畢,對常見問題總結如下:
1 注意DNS問題,對一個不熟悉DNS原理的管理員來說,最簡單的辦法就是所有的計算機都使用同一個DNS服務器。DNS最好是獨立的計算機,如果不行,把DNS放在父域的控制器上也可以接受。有些管理員選擇了父域和子域的計算機分別使用本域的域控制器作爲DNS服務器,如果這樣的話,需要在父域進行子域委派。除非你的網絡環境確實有這個需求,否則我認爲是多此一舉。
2 注意Active Directory的健康狀態。Exchange和AD結合得非常緊密,確保AD狀態正常是安裝Exchange之前的必修課。我們可以考慮域控制器複製是否正常,操作主機角色是否正常,GC的角色由誰承擔,DNS的相關記錄是否有誤等等。用Dcdiag測試一下也是不錯的選擇。
3 如果擴展架構時出現問題,應考慮架構主機是否在線,執行用戶是否屬於Schema Admins組。最保險的辦法是在父域的域控制器上以父域管理員的身份執行擴展架構的操作,因爲默認情況下父域的域控制器承擔架構主機的角色,而父域管理員也隸屬Schema Admins組。還有一點要注意,如果希望在子域進行Exchange部署,那麼擴展架構時一定要把Exchange的完全控制權限分配給子域的管理員。
4 如果希望部署在子域的Exchange服務器可以爲Active Directory的所有用戶提供郵件支持,那在父域和子域都應該進行域準備。如果只需要讓Exchange在子域發揮作用,那僅僅在子域進行域準備就可以了。
5 如果希望Exchange服務器爲父域和子域用戶創建的郵箱擁有不同的地址後綴,但除了在父域和子域都要進行域準備外,還需要爲父域和子域分別創建地址策略,具體參見[url]http://yuelei.blog.51cto.com/202879/77270[/url]。而且要注意的是,子域的管理員並沒有爲父域用戶創建郵箱的權限,可以考慮把子域的管理員加入父域域控制器的本地管理員組來解決這個問題。