В АД уже есть exchange 2003, нужно переехать на 2010, нужно ли обновлять схему АД
 

Добрый день, коллеги!
ситуация следующая, есть домен xxx.ru
В домене работает Excange 2003 версия зоны АД в данный момент 31 — Windows Server 2003 R2
Есть необходимость переехать на 2010 Exchange

Верно ли я понимаю, что можно и нужно поднять параллельно второй Exchage. В данном случае 2010?
С другим именем, например mail.xxx.ru (старый Exchange имеет имя post.xxx.ru), настроить его, повесив временно другой домен ему, а потом уже переносить ящики с 2003 ого?

Нужно ли обновлять схему АД (d:\setup.com /Prepare)?

я имел ввиду (d:\setup.com /PrepareShema)
ну а потом (d:\setup.com /PrepareAD)

нужно ли это проделать перед установкой exchange 2010, при условии что в лесу уже работает 2003 exchange

Да, обязательно. В схеме Exchange 2010 по сравнению с 2003 большие изменения.

akaAmigos, ну и не забудь о нюансиках с public folders и прочим:
http://social.technet.microsoft.com/...-4bf0101ee5e9/
http://maximumexchange.ru/2009/11/12...ent-assistant/

https://www.google.ru/search?sourcei...w=1920&bih=955

паблик фолдерсами не пользуюсь, но они вроде как то были\есть на 2003
они просто пропадут, или? мне по сути они как то и не нужны пока что

спасибо за ответы, господа!

и еще, вопрос, по ходу, если вы не возражаете?)

проблемы могут быть с параллельной работой двух почтовиков в одном лесу?
я планирую с 2003 на 2010 перетащить все ящики, а потом избавится от 2003.

и есть ли принципиальное значение, ставить 2010 на контроллер домена или на рядовой сервер?

Если почитать документацию - нет :)
http://technet.microsoft.com/en-us/l.../aa998186.aspx
Есть. Не ставить на контроллер домена. Это не поддерживается ни в одном сценарии, кроме Small Business Server.

спасибо!

Господа, комрады!
тут возник еще вопрос, может поможете.

при обновлении и подготовки схемы и ад для установки 2010
не нарушится ли работа 2003, он стоит на контролере домена ((((

очень важно!

Главный комрад Гоблин живет по другому адресу.
"Администраторы делятся на два типа: первые уже делают бэкапы, вторые еще не делают". Сделайте бэкап SystemState контроллера и вперед. В принципе, если инфраструктура относительно зоровая - ничего сверхстрашного произойти не должно. Расширение схемы - стандартная операция.
А вот это плохо.

я бы рекомендовал "обновить" домен до 2008 R2

Совершенно необязательно.

про, комрада Гоблина, не курсе, рребята)!

бекап то сделаю, кроме того у меня несколько контроллеров в лесу, думаю с этим не должно возникнуть проблем.

а почему плохо что 2003 стоит на контроллере? чем это чревато при обновлении схемы?


а вот это (d:\setup.com /PrepareShema) и (d:\setup.com /PrepareAD) разве не автоматически обновит схему и ад?

Цитата:

Цитата Oleg Krylov Совершенно необязательно »

по этому это лишь рекомендация...
да дело не в схеме... вы на 2010 по каким причинам - больше функционала. вот и я рекомендовал на 2008 R2 перейти...

кстати, при обновлении Exchange с SP1 до SP2 тоже требовалось обновление схемы. Однако, это делалось во время установки SP2.
Интересно, а при чистой установке в 2003 домене схема автоматически обновиться или нет? надо будет проверить на досуге...

я, кстати, сам лично на прошлой работе делал переход 2003->2008 R2 а затем почта 2003 -> 2010 но к сожалению, не помню всей последовательности действий.

причина, естественно, в увеличении функционала.
ну и вообще, на мой взгляд 2003 уже устарел
все больше яблок в офисе, а их офис не хочет работать с 2003
ну и так далее.

а у вас все в итоге хорошо встало? были проблемы, подводные камни?

правда у меня 2003 стоит на контролере, причем на главном, меня это больше всего беспокоит


может вспомните последовательность))))?

да. мы делали DAG, а сервера были в разных серверных. так вот между ними пришлось новые кабеля тянуть, что было не легко...
а так всё нормально.
ну микрософт это не беспокоит, когда они выпускают новый SBS сервер. это конфигурация не рекомендуемая, но не запрещённая.

ну вначале мы перешли на 2008 R2 домен.
Дальше тестировали 2010. Причем не на самом таком железе.
А когда пришли два HP ProLian DL380 (не помню год назад G7 были или нет?) - начали всё по мануалам с сайта микрософт делать.
там всё прекрасно описано. Но я вот не помню про схему. если и делал - то это так быстро, что я уже забыл.
Ну а дальше ящики мигрировали. там были кое-какие проблемы, у некоторых ящиков. Почему-то некоторые права на календарь не давали перемещать. На технете есть мои темы.
Потом ещё был подводные камень - бекапы. Мы использовали ArcServe 15. Так вот, по умолчанию, в 2010 разрешено подключаться одной у.з. только к 5 ящикам. и бекапы делался только 5 ящиков, остальные 395 - ошибка... а потом создали политику для у.з. для бекапов - и всё ок. тема тоже есть. Причём случайно наткнулись на решение - когда блекберри настраивали.
но это уже специфика самого Exchange, а не миграции.

О миграции - на технете есть различные сценарии. почитайте.

http://technet.microsoft.com/ru-RU/l.../aa998186.aspx

В 2003 серверах нет главных и второстепенных. Если серверов несколько - разнеси FSMO Роли по ним + на каждом можно DNS поднять. В таком случае падения одного сервера ты даже не заметишь. Ну, конечно, про галку Global catalog Забывать не надо.

Про переход на 2008 - первое правило админа. "Пока работает - не трогай". Если нет функциональной необходимости в переходе, то и 2003 справляется на все 100.

Спасибо, коллеги!

я под главным имел ввиду держателя роли fsmoб на нем как раз 2003 и стоит.

т.е. вы имеете виду что можно остаться и на 2003 домене, и не переходить на 2008. эксчендж все равно встанет и будет работать?

Цитата:

Цитата akaAmigos я под главным имел ввиду держателя роли fsmo »

все это имеют ввиду.

http://technet.microsoft.com/ru-ru/l.../aa996719.aspx
вам много нужно прочитать, прежде чем что либо делать. И вначале я рекомендую вам всё делать в тестовом варианте. На виртуальных машинах, к примеру.

при чём тут: работает - не трогай, мне не понятно. и 2000 сервер работает, но уже многие читают, пробуют server 8

Расширять схему без необходимости - не стоит, это увеличит нагрузку на глобальные каталоги и репликацию. Если нет перспектив вводить контроллеры 2008 - ни к чему. С повышением уровня леса или домена еще веселее, не все Legacy-приложения корректно умеют работать с более высокими уровнями схемы. Тут надо много факторов взвесить. Поэтому основной совет - отличный, надо читать. Потом делать.

exo, разговор перетекает в русло, не имеющее отношения к вопросу. Если есть желание подискутировать, стоит или не стоит менять сервер/схему и т.д. - создай тему, обсудим.

правильно понимаешь, нужна расширить схему AD, но главное что бы уровень домена и леса должен работать на WS2k3 sp2 не ниже,а лучше ws2k8 r2.

нового домен делать не надо, в том же все и делаешь, если хочешь обойтись малой кровью, банально разные имена сервера и прочее.
_________________________________________________________

и Сразу встречный вопрос. буду благодарен кто поможет!
Ситуация такая!

Есть два контроллера на ws2r3 sp2,На Главное контроллере стоит Exchange 2003, так же есть WS2k8 и на нем "поставили но мега криво" exchange 2010! Схема Ад расширена.

вопрос таков.
нужно сделать Миграция сexch2003 на 2010, но так как новый криво настроили и там нету никаких серьезных данных, если я его удалю вместе с ОСЬЮ ни будет ли кривезны по АД и старому exch2003??

ибо проще удалить криво настроенный почтовик, чем его капать!!

Спс.заранее!

Такого уровня нет в природе :)
Про это говорили выше - если в ближайшей перспективе не будет ввода новых контроллеров, делать это нежелательно. Тем более задирать уровень леса.
Будет. Много. Лучше так не делать. Поставьте еще один Exchange 2010 "не мега криво", затем удалите первый, который кривой. Удалите штатно, через setup /m:uninstall. Если просто убьете сервер - хвосты будете вычищать не один год.
Вообще неплохо бы документацию почитать, благо ее сейчас много.

ну прям умный)) ну ошибся малясь!
уровень домен и леса должен быть не ниже ws2k3 и контроллер был с обновление не ниже SP2!!!

так пойдет?)))

Oleg Krylov - Спасибо)

туда же вопрос, а все те настройки что были кривые на первом 2010, не перенесутся ли они по умолчанию на новый? не подтянет ли он??

Да я-то понял, просто кто-то ошибается, а кто-то потом гугл до крови стирает, пытаясь понять как же это найти.
Что в вашем понимании "кривые настройки"? Почти вся конфигурация Exchange хранится в Active Directory, поэтому, естесственно "подтянет". Возьмите Exchange Best Practice Analizer (он доступен из консоли Exchange 2010 в разделе Инструменты (Tools)), прогоните Health и Configuration Check. Вполне возможно, что вся эта "кривизна" вылечится двумя командами.

будем надеяться! что поможет) спасибо)

ну вот допустим одна из проблем, на сервере 3 основных роли, на даже OWA не пашет, хотя она должна работать по логам! по тем URL что там указаны, полностью молчат! IIS настроен на них же, запущен!! и ФИГУ!)


СПС за совет

ого, сколько всего я пропустил)

но господа, я не много запутался.
в данный момент у меня лес 2003 уровня, и насколько я понял его не стоит повышать за ради только 2010 эксченджа, верно? он и так будет работать?
т.е. мне надо тока схему и ад подготовить штатными командами 2010 эксченджа?

про читать, вы тут конечно все правы, но там столько "воды", что после прочтения микрософтовской тех баланды, возникает вопрос больше, чем их было до этого.

Системные требования Exchange 2010 - Требования к сети и серверам каталогов для Exchange 2010

да да
я это читал и сам, но как я уже и говорил, все же не мешает спросить у практиков.

Господа!

начал готовить схему, а она не хочет(((( обновляться (пишет что не могу)
могу показать скрин
оч нужна помощь, спасибо)

верно ли я понял, что команды
setup.com /PrepareSchema
setup.com /PrepareAD

Нужно выполнять на сервере, на котором я собираюсь ставить 2010 (он не контролер)?

Сначала нужно выполнить setup /PrepareLegacyExchangePermissions
Вы должны быть членом Domain Admins, Enterprise Admins и Schema Admins. Проверьте, что действительно входите во все эти группы, здесь бывает много подвохов.
На сервере, скоторого вы проводите подготовку домена должна быть включена опция управления службами ADDS. Делается, например, из консоли PowerShell:
Add-WindowsFeature RSAT-ADDS -Restart
Ну и таки да, покажите скрин :)

Добрый день!
все вроде сработало.
Сделал все на сервере, на который установил exchange 2010
т.е. и схему обновил и ад, и пермишены дал.

теперь вроде 2010 работает в паре с 2003. однако есть один не маловажный вопрос, надесюь вы поможете
раньше, на 2003 у нас стоял сертификат, ну т.е. пользователи могли с любого компутра в мире, предварительно установив на нем в корневое хранилище наш сертификат, настроить оутлук и работать с ним как в офисе.

в 2010 так пока что не работает, понятно почему, потому что я еще не настроил))))
Однако например на макинтоше в оутлуке с 2010 экченджем почта заработала, т.е. он заругался сперва что сертификат от сервера не правильный( видимо 2010 взял какой то стандартный сертификат), я нажал кнопочку принять, и почта на маке в оутлуке 2011 работает, нормально, правда нет адресной книги((((

Но с видоузом такое не прокатило, переписав настройки оутлука на новый сервер, вне корп. сети, оутлук отказывается подключаться через http без сертификата, точее он ругается что сертификат неправильный, пишет ошибку 51, и есть только кнопка ОК

простите за столь запутанный и корявый стиль(((((
но может вы сможете направить меня, куда капать где читать.

спасибо!

вам нужно сгенерить сертификат на новый сервер и платно подписать его у удостоверяющего центра. тогда от пользователй не потребудется вручную его помещать в доверенные сертификаты.
Если у вас несколько доменов, то нужен сертификат UCC. Хотя можно обойтись и не UCC если вы можете настроить ДНС сервера отвечающие за каждый домен. Точнее - прописать запись SRV указывающюю на ваш сервер.
Есть и второй способ, но у меня не получилось его настроить.

Где почитать, точно сказать не могу. Попробуйте поиском поискать "Exchange 2010 сертификат"

мне нравится блог Алеска

Он там и остался. А вот для нового сервера по умолчанию установился Self-Signed сертификат. Т.е. в процессе установки роли Hub Transport сервер сам себе выписал сертификат. Он не является доверенным, поэтому у вас и не отрабатывает подключение. Посмотреть сертификат на сервере Exchange 2010 можно из EMS командой Get-ExchangeCertificate.
Этому не стоит радоваться. т.к. соединение у вас происходит в открытом виде, т.е. https-туннель не образовался, т.к. не согласована SSL-сессия и все данные идут через Интернет в открытом виде. Так что виндовый клиент, на самом деле молодец.
Очень хорошо, что он так делает, на самом-то деле )
Что делать:
Для начала описать что у вас с топологией. Как сервер выходит в интернет, как к нему достукиваются пользователи. Это поможет понять какие имена в сертификате надо будт сделать и сколько сертификатов выпускать. В связи с тем, что можете нарисовать схемку. Понятно, что адреса, явки и пароли можно опустить.

спасибо, коллеги за ответы
сейчас в дороге, попробую вечером описать топологию и схемку накидать

Доброго всем дня!
Итак, схема такая:

есть домен (АД) внутри имеет вид ххххх.ru
старый exchange 2003 стоит на главном контролере АД (понятно что их нет, держатель роли fsmo, могу ошибится в абревиатуре. контроллеров несколько в разных сайтах и в разных подсетях, все реплицируется) имеет имя post.xxxxx.ru (он же прописан в днс зоне нескольких доменов основной мх записью, в том числе и в зоне домена xxxxx.ru и yyyyyy.com) на него же можно заходить снаружи по https://post.xxxxx.ru, однако основной домен для почты имеет вид yyyyyyy.com что прописано в настройказ 2003 exchange. На этом же сервере есть самоподписанный (не платный) сертификат, для подключений оутлука коиентов.

Недавно установил Exchange 2010 по инструкции с микрософта, в среду с раотающим 2003.Они имеет имя mail.xxxxx.ru (yно и для него надо оставить основным почтовым доменом yyyyyy.com). На одном сервере все три основноые роли. Перенес несколько ящиков со старого exchange, все ок, перенеслось, и даже работает по https://mail.xxxxx.ru/owa (правда из дома, и по мегафоному интернету не всегда резолвится имя, не понимаю почему, на гугловских нс серверах всегда все ок, думаю может у меня проблема, надо копать). Внутри сети работют и оутлуки, если сменить им в настройках имя сервера exchange со старого на новый. В настройках нового exchange как вы и сказали появился новый самоподписанный сертификат, он видимо отрабатывает внутренние подключения по оутлуку, и внешние по https://mail.xxxxx.ru/owa. правда я пока что не сменил мх записи в доменах, которые мне нужны (сделал просто новую мх запись для совершенно другого домена, ну а А запись прописал для сервера mail.xxxxxx.ru IP такой то).
Почта работает и отправляется и принимается как внутри так и наружу. Я так понимаю что все это работает в жесткой связке с 2003, он видимо выступает в роли отправителя и приемщика, так? а если его отключить (временно) то думаю что почта перестанет работать (те ящики что перенесены на новый сервер). Соответсвенно нужно сменить во всех зона
х, тех доменов что мен нужны мх запись с post.xxxxx.ru на mail.xxxxx.ru, верно?

Что касается макинтошового аутлука, то думаю он просто забирает все через https://mail.xxxxx.ru/owa, типа как обычный браузер, сталкивался с подобным еще с 2003 в айфонах, они тоже там так забирают.
Собственно как сделать новый сертификат, в 2003 понятно как (certsrv.msc), а вот с 2010 или с 2008 точнее, не понимаю((((

вот в целом такая топология, если что то не понятно или я не описал, спрашивайте)

сорри за грамматические ошибки, опечатки, печатал в машине )))

Отлично. Осталось понять через что происходит доступ в\из Интернет на почтовые серверы. Другими словами - что у вас в качестве файрволла?

cisco ASA 5505
на ней открыты для обоих серверов 3389 порты, smtp, http, https

оба сервера не в дмз
имею приватные внутренние адреса, которые транслируются в реальные, для каждого свой

Понятно, т.е. SSL Bridge не наш сценарий...
Значит делаем такой вот запрос в EMS:
$Data = New-ExchangeCertificate -GenerateRequest -SubjectName "CN=mail.xxxxx.ru" -DomainName mail.xxxxx.ru, post.xxxxx.ru, autodiscover.xxxxx.ru -BinaryEncoded -PrivateKeyExportable $true
Set-Content -path "C:\Temp\CertRequest.req" -Value $Data.FileData -Encoding ByteПотом выпускаете сертификат на вашем СА. Устанавливаете его, например так: certreq -accept -f C:\Temp\Cert.cer
Потом назначаете его на сервисы IIS в консоли управления Exchange (или находите значение поля Отпечаток (Thumbprint) этого сертификата) и выполняете команду:
Enable-ExchangeCertificate -Thumbprint <То значение, которое нашли> -Services POP,IMAP,SMTP,IIS

Не самая лучшая идея. Почитайте про службу Remote Desktop Gateway http://technet.microsoft.com/en-us/l...02(WS.10).aspx

Попробую завтра это сделать, я про сертификат
А про 3389, это вот оно http://www.techdays.ru/videos/1510.html

то что вы советуете?
я так понимаю, это некое новое решение для терминальных серверов и работ с удаленными рабочими столами, верно?

Угу
Да, позволяет паковать RDP в туннель SSL. Шифрованный доступ по HTTPS.

вот это не понял, как сделать ((( как его выпустить?
и что вы имеете ввиду под СА ?

ух ты, круто.
но это только в 2008 доступно, верно?

а почему тут надо указать имя старого почтового сервера (exchange 2003)?

Верно я понимаю, что это две разные команды, да?
$Data = New-ExchangeCertificate -GenerateRequest -SubjectName "CN=mail.dorogi.ru" -DomainName mail.dorogi.ru, post.dorogi.ru, autodiscover.dorogi.ru -BinaryEncoded -PrivateKeyExportable $true
Set-Content -path "C:\Temp\CertRequest.req" -Value $Data.FileData -Encoding Byte

запустил их обе по порядку, да диске С в папке темп появился файлик CertRequest.req

теперь я так понимаю из него надо сделать CertRequest.cer

а потом его опубликовать для exchange 2010
верно?

только вот как сделать, я вообще не могу понять, читаю что надо куда то отправить его, а неужели нельзя его на самом сервере сделать?


простите, еще раз, за столько вопросов и не понимание, наверное обычных вещей на ваш взгляд, но у меня это первый опыт развертывания exchange 2010

А это и не про Exchange... Попробуйте команду certreq -submit C:\Temp\CertRequest.req Вам должно будет вывалиться окошко с выбором центров сертификации. Выберите СА (СА=Certification Authority или Центр Сертификации), появится окошко с диалогом сохранения. Сохраните по тому же пути C:\Temp назовите MyCert.cer.

Добрый день!
пробовал как вы и написали
он нашел СА на сервере со старым 2003 post.xxxxx.ru (kerberos)
и вот что выдал:

CertReq -submit -attrib "CertificateTemplate=WebServer" C:\Temp\Cert.req

та же ошибка




[PS] C:\Windows\system32>CertReq -submit -attrib "CertificateTemplate=WebServer" C:\Temp\CertRequest.req
Active Directory Enrollment Policy
{548D7B6B-52A9-44F5-8FE5-039185BFF851}
ldap:
RequestId: 92
RequestId: "92"
Certificate not issued (Denied) Denied by Policy Module 0x80094801, The request does not contain a certificate template
extension or the CertificateTemplate request attribute.
The request contains no certificate template information. 0x80094801 (-2146875391)
Certificate Request Processor: The request contains no certificate template information. 0x80094801 (-2146875391)
Denied by Policy Module 0x80094801, The request does not contain a certificate template extension or the CertificateTem
plate request attribute.

[PS] C:\Windows\system32>

при ввыоде команды, вот такое окшко выскакивает

Олег!
доброго времени суток.

может есть какие то другие варианты?

Может надо поднять CA на 2008r2 сервере?
а то у меня СА стоит на 2003
наверное в этом проблема?

Тут на Микрософте есть такой визард:
http://technet.microsoft.com/en-us/e...0/default.aspx

Что касается СА: может быть, лучше купить сертификат у какого-нибудь Comodo или GoDaddy, чем поднимать ещё одну довольно сложную службу внутри, которую надо поддерживать?

возможно вы правы, насчет покупки)
спс


посмотрю ссылку

А зачем ее поднимать как "довольно сложную", когда можно поднять как "довольно простую" и вспоминать ее только когда нужно будет обновить сертификат.

я вот тоже скорее к этому склоняюсь
)))