Chuẩn bị Active Directory cho Exchange 2007 (P.2)

Quản trị mạng - Trong phần một chúng ta đã bước đầu tìm hiểu bốn bước cần thực hiện để chuẩn bị cho lược đồ Active Directory nhận Exchange 2007.

>> Chuẩn bị Active Directory cho Exchange 2007 (P.1)

Trước tiên chúng ta cần chuẩn bị cấp phép di sản cho Exchange trong trường hợp các phiên bản di sản của Exchange cùng tồn tại, như Exchange 2000 hay Exchange 2003. Cũng trong phần một chúng ta chỉ chạy lệnh setup /PrepareLegacyExchangePermissions để hiển thị một số lỗi cần được khắc phục trước khi tiến trình chuẩn bị hoàn thành. Những sự cố này được hiển thị trong cửa sổ lệnh những còn có một số phương pháp khác để kiểm tra những gì đã xảy ra khi chạy những lệnh chuẩn bị này.

Trong phần này chúng ta sẽ tập trung kiểm tra xem quá trình chuẩn bị giấy phép di sản Exchange có thành công hay không.

Cài đặt các file Log

Với mọi tiến trình chuẩn bị mà chúng ta sẽ thực hiện trong bài viết này, các file Log (bản ghi) sẽ được tạo và chúng ta có thể kiểm tra sau khi tiến trình này hoàn thành xem liệu có lỗi xảy ra hay không. File cần kiểm tra là ExchangeSetup.log, được tạo trong folder C:\ExchangeSetupLogs như trong hình 1.


Hình 1: Folder ExchangeSetupLog.

Nếu mở file ExchangeSetup.log trong Notepad bạn sẽ thấy những lỗi và cảnh báo tương tự trong file văn bản mà chúng ta đã từng thấy trong cửa sổ lệnh (trong phần một). Những lỗi này được tô sáng trong hình 2.


Hình 2: Những lỗi hiển thị trong file ExhcangeSetup.log.

Bạn cần lưu ý rằng một số lỗi đã ẩn những lỗi khác mà có thể xuất hiện trong hệ thống Exchange di sản. Ví dụ, Khi bổ sung tài khoản đang sử dụng vào nhóm Enterprise Admins và chuyển hệ thống Exchange di sản sang node tự nhiên, rồi chạy lại lệnh setup
/PrepareLegacyExchangePermissions
sẽ gây ra một lỗi mới như trong hình 3. Có nghĩa là một hay nhiều máy chủ Exchange 2003 trong hệ thống di sản đã không được cài đặt phiên bản Exchange 2003 SP2. Do đó bạn cần đảm bảo đã lưu trữ đầy đủ hệ thống Exchange di sản và khắc phục mọi lỗi có thể gây cản trở cho quá trình chuẩn bị các giấy phép Exchange di sản trước khi chạy lệnh này. Nếu không làm như vậy bạn cần chạy lệnh này lặp lại nhiều lần để phát hiện mọi lỗi còn bỏ sót.


Hình 3: Lỗi vẫn còn tồn tại trong Exchange 2003 SP2.

Sau cùng bạn sẽ có thể chạy lệnh setup /PrepareLegacyExchangePermissions thành công như trong hình 4. Tuy nhiên bạn cần lưu ý cảnh báo liên quan tới việc .NET Framework 2.0 SP1 vẫn tồn tại chúng tỏ trong tường hợp này lời cảnh bảo không thực sự gây cản trở cho tiến trình.


Hình 4: Tiến trình cấp phép di sản thực hiện thành công.







Kiểm tra nhóm Permissions


Dù đã nhận được thông báo thực hiện thành công tại cửa sổ lệnh, nhưng làm thế nào để chúng ta có thể xác nhận được rằng quá trình chuẩn bị cấp phép di sản đã thành công? Cần nhớ rằng những file Log rất hữu dụng trogn những trường hợp kiểu này như chúng ta đã nhắc đến ở phần một. Trước tiên bạn hãy vào file ExchangeSetup.log và kiểm tra những tiến trình đã hoàn thành mà không có lỗi.

Tiếp theo, lưu ý rằng Microsoft đã cung cấp các thông tin chi tiết trên Access Control Entries (ACE) được bổ sung khi thực hiện tiến trình này. Vấn đề còn lại là lằm thế nào để chúng ta xác định được rằng những ACE này đã được bổ sung. Hãy kiểm tra lại file ExchangeSetup.log được tạo trong quá trình cài đặt các cấp phép Exchange di sản. Một đoạn trích của file này được thể hiện trong hình 5. Bạn cần cài đặt Notepad với tùy chọn Word Wrap để có thể kiểm tra mọi mục trong file Log này.


Hình 5: Các mục ACE trong ExchangeSetup.log.

Những gì bạn thấy trong hình 5 là nhiều loại ACE khác nhau đã được áp dụng. Kiểm tra mục đầu tiên được liệt kê bạn sẽ thấy ACE WriteProperty đã được bỏ sung vào miền (DC=neilhobson,DC=com). Ngoài ra khi kiểm tra Globally Unique Identifier (GUID) bạn có thể thấy ở phía cuối của mục này giống như những gì bạn sẽ thấy ở phần sau trong bài viết này. GUID này là 1f298a89-de98-47b8-b5cd-572ad53d267e. Nếu kiểm tra phía cuối của file Log này bạn có thể thấy ACE ReadProperty và WriteProperty đã được áp dụng cho đối tượng AdminSDHolder.

Bạn có thể sử dụng LDP trong Windows Support Tools để kiểm tra các ACE được bổ sung bởi tiến trình chuẩn bị giấy phép di sản. Trong bài viết này chúng ta sẽ không đi sâu vào việc tìm hiểu mọi ACE được bổ sung mà chỉ tập trung vào hai trong số các ACE này gồm WriteProperty trên miền đối tượng và nhóm ReadProperty/WriteProperty trên đối tượng AdminSDHolder. Trước tiên chúng ta sẽ tìm hiểu ACE được bổ sung vào miền đối tượng.
  • Chạy LDP.EXE.
  • Tại cửa sổ LDP, click vào nút Connection rồi nhấn tiếp Connect…
  • Trong cửa sổ Connect, nhập tên của Domain Controller gốc rồi nhấn OK như trong hình 6.

Hình 6: Cửa sổ Connect của LDP.
  • Khi trở lại cửa sổ LDP chính, click vào Connection rồi nhấn tiếp vào Bind…
  • Trong cửa sổ Bind, nhập tên người dùng, mật khẩu và miền của một tài khoản người dùng đã được cấp phép, như tài khoản quản trị của miền gốc như trong hình 7.

Hình 7: Cửa sổ Bind của LDP.
  • Bảng bên phải sẽ thông tin cho biết bạn đã được thẩm định quyền. Click vào View rồi Tree, và trong cửa sổ Tree View hãy để trường BaseDN rồi nhấn OK.
  • Trở lại cửa sổ chính của LDP bạn sẽ thấy miền gốc được liệt kê ở phía trên của bảng bên trái như trong hình 8.

Hình 8: Tree View của LDP.







Trước khi thực hiện các bước tiếp theo, bạn cần xóa thông tin trong bảng bên phải bằng cách click vào Connection chọn New. Thực hiện thao tác này giúp việc đọc thông tin trong bước tiếp theo dễ dàng hơn rất nhiều.
  • Phải chuột vào miền trên cùng của bảng bên phải rồi chọn Advanced, khi đó Security Descriptor từ menu ngữ cảnh sẽ hiện ra như trong hình 9.

Hình 9: Tùy chọn Security Descriptor .

  • Trong cửa sổ kết quả của Security Descriptor, giữ nguyên trường Dn rồi nhấn OK.
  • Bảng bên phải khi đó sẽ xuất hiện nhiều thông tin mô tả chi tiết các ACE. Trong ví dụ của chúng ta, có tổng số 40 ACE được định nghĩa.


Hình 10: Các ACE được hiển thị.

Nếu kiểm tra toàn bộ danh sách ACE bạn sẽ thấy mục hiển thị nhóm ACE WriteProperty trên miền đối tượng như trong nhình 11. Thực ra đây là một ACE WriteProperty (qua dòng ACTRL_DS_WRITE_PROP) và đó là Security Identifier chấp thuận mục này là nhóm Exchange Enterprise Servers. Lưu ý rằng GUID được liệt kê trước đó cũng hiển thị.


Hình 11: ACE miền cho nhóm Exchange Enterprise Servers.

Tiếp theo hãy xác nhận xem liệu bạn có thể thấy nhóm ACE trên đối tượng AdminSDHolder hay không. Bạn hãy mở LDP rồi thực hiện các thao tác sau:
  • Click vào Connection chọn New để xóa bảng bên phải.
  • Trong bảng bên trái, mở rộng miền đối tượng rồi clickđúp vào đối tượng System. Ngay bên trong đối tượng System bạn sẽ thấy đối tượng AdminSDHolder.
  • Click vào Connection chọn New để xóa bảng bên phải.
  • Phải chuột lên đối tượng AdminSDHolder, chọn Advanced rồi chọn tiếp Security Identifier.
  • Tại cửa sổ Security Identifier, giữ nguyên trường Dn rồi nhấn OK.
  • Sau đó bạn sẽ thấy rất nhiều thông tin của ACE được hiển thị trong bảng bên phải. Bạn có thể kiểm tra toàn bộ danh sách để tìm ra mục cài đặt ReadProperty và WriteProperty cho nhóm Exchange Enterprise Servers như trong hình 12.

Hình 12: ACE AdminSDHolder cho nhóm Exchange Enterprise Server.

Đến đây chúng ta đã hoàn thành kiểm tra những cài đặt cấp phép Exchange di sản.

Kết luận

Trong phần hai này chúng ta đã hoàn thành bước chuẩn bị các giấy phép Excahnge di sản, tìm hiểu phương pháp xác định tiến trình thành công hay không. Trong phần tiếp theo chúng ta sẽ thực hiện một số bước cần thiết để chuẩn bị lược đồ Active Directory và kiểm tra xem thao tác này và quá trình nhân bản Active Directory có được thực hiện thành công hay không.
Thứ Ba, 13/10/2009 15:09
31 👨 1.488
0 Bình luận
Sắp xếp theo