Chuẩn bị Active Directory cho Exchange 2007 (P.2)
Ngu
ồ
n:quantrimang.com
Quản trị mạng - Trong phần một chúng ta đã bước đầu tìm hiểu bốn bước
cần thực hiện để chuẩn bị cho lược đồ Active Directory nhận Exchange
2007.

Trước tiên chúng ta cần chuẩn bị cấp phép di sản cho Exchange trong trường
hợp các phiên bản di sản của Exchange cùng tồn tại, như Exchange 2000 hay
Exchange 2003. Cũng trong phần một chúng ta chỉ chạy lệnh setup
/PrepareLegacyExchangePermissions để hiển thị mộ
t số lỗi cần được khắc phục
trước khi tiến trình chuẩn bị hoàn thành. Những sự cố này được hiển thị trong
cửa sổ lệnh những còn có một số phương pháp khác để kiểm tra những gì đã
xảy ra khi chạy những lệnh chuẩn bị này.

Trong phần này chúng ta sẽ tập trung kiểm tra xem quá trình chuẩn bị giấy phép
di sản Exchange có thành công hay không.

Cài đặt các file Log

Với mọ
i tiến trình chuẩn bị mà chúng ta sẽ thực hiện trong bài viết này, các file
Log (bản ghi) sẽ được tạo và chúng ta có thể kiểm tra sau khi tiến trình này hoàn
thành xem liệu có lỗi xảy ra hay không. File cần kiểm tra là ExchangeSetup.log,
được tạo trong folder C:\ExchangeSetupLogs như trong hình 1.


Hình 1: Folder ExchangeSetupLog.

Nếu mở file ExchangeSetup.log trong Notepad bạn sẽ thấy những lỗi và cảnh
báo tương tự trong file văn bản mà chúng ta đã từng thấy trong cửa sổ lệnh
(trong phần một). Những lỗi này được tô sáng trong hình 2.


Hình 2: Những lỗi hiển thị trong file ExhcangeSetup.log.

Bạn cần lưu ý rằng một số lỗi đã ẩn những lỗi khác mà có thể xuất hiện trong hệ
thống Exchange di sản. Ví dụ
, Khi bổ sung tài khoản đang sử dụng vào nhóm
Enterprise Admins và chuyển hệ thống Exchange di sản sang node tự nhiên, rồi
chạy lại lệnh setup
/
PrepareLegacyExchangePermissions sẽ gây ra một lỗi mới như trong hình 3.
Có nghĩa là một hay nhiều máy chủ Exchange 2003 trong hệ thống di sản đã
không được cài đặt phiên bản Exchange 2003 SP2. Do đó bạn cần đảm bảo đã
lưu trữ đầy đủ hệ thống Exchange di sản và khắc phục mọi lỗi có thể gây cản trở
cho quá trình chuẩn bị các giấy phép Exchange di sản trước khi chạy lệnh này.
Nếu không làm như vậy bạn c
ần chạy lệnh này lặp lại nhiều lần để phát hiện mọi
lỗi còn bỏ sót.


Hình 3: Lỗi vẫn còn tồn tại trong Exchange 2003 SP2.

Sau cùng bạn sẽ có thể chạy lệnh setup /PrepareLegacyExchangePermissions
thành công như trong hình 4. Tuy nhiên bạn cần lưu ý cảnh báo liên quan tới
việc .NET Framework 2.0 SP1 vẫn tồn tại chúng tỏ trong tường hợp này lời cảnh
bảo không thực sự gây cản trở cho tiến trình.



Hình 4: Tiến trình cấp phép di sản thực hiện thành công.
Kiểm tra nhóm Permissions
Dù đã nhận được thông báo thực hiện thành công tại cử
a sổ lệnh, nhưng làm
thế nào để chúng ta có thể xác nhận được rằng quá trình chuẩn bị cấp phép di
sản đã thành công? Cần nhớ rằng những file Log rất hữu dụng trogn những
trường hợp kiểu này như chúng ta đã nhắc đến ở phần một. Trước tiên bạn hãy
vào file ExchangeSetup.log và kiểm tra những tiến trình đã hoàn thành mà không
có lỗi.

Tiếp theo, lưu ý rằng Microsoft đã cung cấp các thông tin chi tiết trên Access
Control Entries (ACE) được bổ sung khi thực hiện tiến trình này. Vấn đề còn lại
là lằm thế nào để chúng ta xác định được rằng những ACE này đã được bổ
sung. Hãy kiểm tra lại file ExchangeSetup.log được tạo trong quá trình cài đặt
các cấp phép Exchange di sản. Một đoạn trích của file này được thể hiện trong
hình 5. Bạn cần cài đặt Notepad với tùy chọn Word Wrap để có thể kiểm tra mọi
mục trong file Log này.



Hình 5: Các mục ACE trong ExchangeSetup.log.

Những gì bạn thấy trong hình 5 là nhiều loại ACE khác nhau đã được áp dụng.
Kiểm tra mục đầu tiên được liệt kê bạn sẽ thấy ACE WriteProperty đã được bỏ
sung vào miền (DC=neilhobson,DC=com). Ngoài ra khi kiểm tra Globally Unique
Identifier (GUID) bạn có thể thấy
ở phía cuối của mục này giống như những gì
bạn sẽ thấy ở phần sau trong bài viết này. GUID này là 1f298a89-de98-47b8-
b5cd-572ad53d267e. Nếu kiểm tra phía cuối của file Log này bạn có thể thấy

ACE ReadProperty và WriteProperty đã được áp dụng cho đối tượng
AdminSDHolder.

Bạn có thể sử dụng LDP trong Windows Support Tools để kiểm tra các ACE
được bổ sung bởi tiến trình chuẩn bị giấy phép di sản. Trong bài viết này chúng
ta sẽ không đi sâu vào việc tìm hiểu mọi ACE được bổ sung mà chỉ t
ập trung vào
hai trong số các ACE này gồm WriteProperty trên miền đối tượng và nhóm
ReadProperty/WriteProperty trên đối tượng AdminSDHolder. Trước tiên chúng ta
sẽ tìm hiểu ACE được bổ sung vào miền đối tượng.
• Chạy LDP.EXE.

• Tại cửa sổ LDP, click vào nút Connection rồi nhấn tiếp Connect…

• Trong cửa sổ Connect, nhập tên của Domain Controller gốc rồi nhấn OK
như trong hình 6.


Hình 6: Cửa sổ Connect của LDP.
• Khi trở lại cửa sổ LDP chính, click vào Connection rồi nhấn tiếp vào
Bind…
• Trong cửa sổ Bind, nhập tên người dùng, mật khẩu và miền của một tài
khoản người dùng đã được cấp phép, như tài khoản quản trị của miền gốc
như trong hình 7.


Hình 7: Cửa sổ Bind của LDP.
• Bảng bên phải sẽ thông tin cho biết bạn đã được thẩm định quyền. Click
vào View rồi Tree, và trong cửa sổ Tree View hãy để trường BaseDN rồi
nhấn OK.

• Trở lại cửa sổ chính của LDP bạn sẽ thấy miền gốc được liệt kê ở phía
trên của bảng bên trái như trong hình 8.


Hình 8: Tree View của LDP.
Trước khi thực hiện các bước tiếp theo, bạn cần xóa thông tin trong bảng bên
phải bằng cách click vào Connection chọn New. Thực hiện thao tác này giúp
việc đọc thông tin trong bước tiếp theo dễ dàng hơn rất nhiều.
• Phải chuột vào miền trên cùng của bảng bên phải rồi chọn Advanced, khi
đó Security Descriptor từ menu ngữ cảnh sẽ hiện ra như trong hình 9.


Hình 9: Tùy chọn Security Descriptor .

• Trong cửa sổ kết quả của Security Descriptor, giữ nguyên trường Dn rồi
nhấn OK.
• Bảng bên phải khi đó sẽ xuất hiện nhiều thông tin mô tả chi tiết các ACE.
Trong ví dụ của chúng ta, có tổng số 40 ACE được định nghĩa.



Hình 10: Các ACE được hiển thị.

Nếu kiểm tra toàn bộ danh sách ACE bạn sẽ thấy mục hiển thị nhóm ACE
WriteProperty trên miền đối tượng như trong nhình 11. Thực ra đây là một ACE
WriteProperty (qua dòng ACTRL_DS_WRITE_PROP) và đó là Security
Identifier chấp thuận mục này là nhóm Exchange Enterprise Servers. Lưu ý
rằng GUID được liệt kê trước đó cũng hiển thị.




Hình 11: ACE miền cho nhóm Exchange Enterprise Servers.

Tiếp theo hãy xác nhận xem liệu bạn có thể thấy nhóm ACE trên đối tượng
AdminSDHolder hay không. Bạn hãy mở LDP rồi thực hiện các thao tác sau:
• Click vào Connection chọn New để xóa bảng bên phải.

• Trong bảng bên trái, mở rộng miền đối tượng rồi clickđúp vào đối tượng
System. Ngay bên trong đối tượng System bạn sẽ thấy đối tượng
AdminSDHolder.

• Click vào Connection chọn New để xóa bảng bên phải.

• Phải chuột lên đối tượng AdminSDHolder, chọn Advanced rồi chọn tiếp
Security Identifier.

• Tại cửa sổ Security Identifier, giữ nguyên trường Dn rồi nhấn OK.

• Sau đó bạn sẽ thấy rất nhiều thông tin của ACE được hiển thị trong bảng
bên phải. Bạn có thể kiểm tra toàn bộ danh sách để tìm ra mục cài đặt
ReadProperty và WriteProperty cho nhóm Exchange Enterprise Servers
như trong hình 12.


Hình 12: ACE AdminSDHolder cho nhóm Exchange Enterprise Server.

Đến đây chúng ta đã hoàn thành kiểm tra những cài đặt cấp phép Exchange di
sản.

Kết luận

Trong phần hai này chúng ta đã hoàn thành bước chuẩn bị các giấy phép
Excahnge di sản, tìm hiểu phương pháp xác định tiến trình thành công hay
không. Trong phần tiếp theo chúng ta sẽ thực hiện một số bước cần thiết để
chuẩn bị lược đồ Active Directory và kiểm tra xem thao tác này và quá trình nhân
bản Active Directory có được thự
c hiện thành công hay không.
