exo, разговор перетекает в русло, не имеющее отношения к вопросу. Если есть желание подискутировать, стоит или не стоит менять сервер/схему и т.д. - создай тему, обсудим.

Верно ли я понимаю, что можно и нужно поднять параллельно второй Exchage. В данном случае 2010?
С другим именем, например mail.xxx.ru (старый Exchange имеет имя post.xxx.ru), настроить его, повесив временно другой домен ему, а потом уже переносить ящики с 2003 ого?
Нужно ли обновлять схему АД (d:\setup.com /Prepare)? »

правильно понимаешь, нужна расширить схему AD, но главное что бы уровень домена и леса должен работать на WS2k3 sp2 не ниже,а лучше ws2k8 r2.

настроить его, повесив временно другой домен ему, а потом уже переносить ящики с 2003 ого? »

нового домен делать не надо, в том же все и делаешь, если хочешь обойтись малой кровью, банально разные имена сервера и прочее.
_________________________________________________________

и Сразу встречный вопрос. буду благодарен кто поможет!
Ситуация такая!

Есть два контроллера на ws2r3 sp2,На Главное контроллере стоит Exchange 2003, так же есть WS2k8 и на нем "поставили но мега криво" exchange 2010! Схема Ад расширена.

вопрос таков.
нужно сделать Миграция сexch2003 на 2010, но так как новый криво настроили и там нету никаких серьезных данных, если я его удалю вместе с ОСЬЮ ни будет ли кривезны по АД и старому exch2003??

ибо проще удалить криво настроенный почтовик, чем его капать!!

Спс.заранее!

но главное что бы уровень домена и леса должен работать на WS2k3 sp2 »
Такого уровня нет в природе :)
а лучше ws2k8 r2 »
Про это говорили выше - если в ближайшей перспективе не будет ввода новых контроллеров, делать это нежелательно. Тем более задирать уровень леса.
если я его удалю вместе с ОСЬЮ ни будет ли кривезны по АД и старому exch2003?? »
Будет. Много. Лучше так не делать. Поставьте еще один Exchange 2010 "не мега криво", затем удалите первый, который кривой. Удалите штатно, через setup /m:uninstall. Если просто убьете сервер - хвосты будете вычищать не один год.
Вообще неплохо бы документацию почитать, благо ее сейчас много.

но главное что бы уровень домена и леса должен работать на WS2k3 sp2 »
Такого уровня нет в природе »

ну прям умный)) ну ошибся малясь!
уровень домен и леса должен быть не ниже ws2k3 и контроллер был с обновление не ниже SP2!!!

так пойдет?)))

Oleg Krylov - Спасибо)

туда же вопрос, а все те настройки что были кривые на первом 2010, не перенесутся ли они по умолчанию на новый? не подтянет ли он??

ну ошибся малясь! »
Да я-то понял, просто кто-то ошибается, а кто-то потом гугл до крови стирает, пытаясь понять как же это найти.
а все те настройки что были кривые на первом 2010, не перенесутся ли они по умолчанию на новый? не подтянет ли он?? »
Что в вашем понимании "кривые настройки"? Почти вся конфигурация Exchange хранится в Active Directory, поэтому, естесственно "подтянет". Возьмите Exchange Best Practice Analizer (он доступен из консоли Exchange 2010 в разделе Инструменты (Tools)), прогоните Health и Configuration Check. Вполне возможно, что вся эта "кривизна" вылечится двумя командами.

Что в вашем понимании "кривые настройки"? Почти вся конфигурация Exchange хранится в Active Directory, поэтому, естесственно "подтянет". Возьмите Exchange Best Practice Analizer (он доступен из консоли Exchange 2010 в разделе Инструменты (Tools)), прогоните Health и Configuration Check. Вполне возможно, что вся эта "кривизна" вылечится двумя командами. »

будем надеяться! что поможет) спасибо)

ну вот допустим одна из проблем, на сервере 3 основных роли, на даже OWA не пашет, хотя она должна работать по логам! по тем URL что там указаны, полностью молчат! IIS настроен на них же, запущен!! и ФИГУ!)


СПС за совет

ого, сколько всего я пропустил)

но господа, я не много запутался.
в данный момент у меня лес 2003 уровня, и насколько я понял его не стоит повышать за ради только 2010 эксченджа, верно? он и так будет работать?
т.е. мне надо тока схему и ад подготовить штатными командами 2010 эксченджа?

про читать, вы тут конечно все правы, но там столько "воды", что после прочтения микрософтовской тех баланды, возникает вопрос больше, чем их было до этого.

и насколько я понял его не стоит повышать за ради только 2010 эксченджа, верно? он и так будет работать? »
Системные требования Exchange 2010 - Требования к сети и серверам каталогов для Exchange 2010
Лес Служба каталогов Active Directory
Сервер Служба каталогов Active Directory должен находиться в режиме функциональности леса Windows Server 2003 или выше.

да да
я это читал и сам, но как я уже и говорил, все же не мешает спросить у практиков.

Господа!

начал готовить схему, а она не хочет(((( обновляться (пишет что не могу)
могу показать скрин
оч нужна помощь, спасибо)

верно ли я понял, что команды
setup.com /PrepareSchema
setup.com /PrepareAD

Нужно выполнять на сервере, на котором я собираюсь ставить 2010 (он не контролер)?

Сначала нужно выполнить setup /PrepareLegacyExchangePermissions
Вы должны быть членом Domain Admins, Enterprise Admins и Schema Admins. Проверьте, что действительно входите во все эти группы, здесь бывает много подвохов.
На сервере, скоторого вы проводите подготовку домена должна быть включена опция управления службами ADDS. Делается, например, из консоли PowerShell:
Add-WindowsFeature RSAT-ADDS -Restart
Ну и таки да, покажите скрин :)

Добрый день!
все вроде сработало.
Сделал все на сервере, на который установил exchange 2010
т.е. и схему обновил и ад, и пермишены дал.

теперь вроде 2010 работает в паре с 2003. однако есть один не маловажный вопрос, надесюь вы поможете
раньше, на 2003 у нас стоял сертификат, ну т.е. пользователи могли с любого компутра в мире, предварительно установив на нем в корневое хранилище наш сертификат, настроить оутлук и работать с ним как в офисе.

в 2010 так пока что не работает, понятно почему, потому что я еще не настроил))))
Однако например на макинтоше в оутлуке с 2010 экченджем почта заработала, т.е. он заругался сперва что сертификат от сервера не правильный( видимо 2010 взял какой то стандартный сертификат), я нажал кнопочку принять, и почта на маке в оутлуке 2011 работает, нормально, правда нет адресной книги((((

Но с видоузом такое не прокатило, переписав настройки оутлука на новый сервер, вне корп. сети, оутлук отказывается подключаться через http без сертификата, точее он ругается что сертификат неправильный, пишет ошибку 51, и есть только кнопка ОК

простите за столь запутанный и корявый стиль(((((
но может вы сможете направить меня, куда капать где читать.

спасибо!

ну т.е. пользователи могли с любого компутра в мире, предварительно установив на нем в корневое хранилище наш сертификат, настроить оутлук и работать с ним как в офисе »
вам нужно сгенерить сертификат на новый сервер и платно подписать его у удостоверяющего центра. тогда от пользователй не потребудется вручную его помещать в доверенные сертификаты.
Если у вас несколько доменов, то нужен сертификат UCC. Хотя можно обойтись и не UCC если вы можете настроить ДНС сервера отвечающие за каждый домен. Точнее - прописать запись SRV указывающюю на ваш сервер.
Есть и второй способ, но у меня не получилось его настроить.

Где почитать, точно сказать не могу. Попробуйте поиском поискать "Exchange 2010 сертификат (http://yandex.ru/yandsearch?text=Exchange+2010+%D1%81%D0%B5%D1%80%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%82&from=os&lr=213)"

мне нравится блог Алеска (http://www.alexxhost.ru/2010/07/exchange-2010_20.html)

раньше, на 2003 у нас стоял сертификат, ну т.е. пользователи могли с любого компутра в мире, предварительно установив на нем в корневое хранилище наш сертификат, настроить оутлук и работать с ним как в офисе. »
Он там и остался. А вот для нового сервера по умолчанию установился Self-Signed сертификат. Т.е. в процессе установки роли Hub Transport сервер сам себе выписал сертификат. Он не является доверенным, поэтому у вас и не отрабатывает подключение. Посмотреть сертификат на сервере Exchange 2010 можно из EMS командой Get-ExchangeCertificate.
например на макинтоше в оутлуке с 2010 экченджем почта заработала, т.е. он заругался сперва что сертификат от сервера не правильный( видимо 2010 взял какой то стандартный сертификат), я нажал кнопочку принять, и почта на маке в оутлуке 2011 работает, нормально, »
Этому не стоит радоваться. т.к. соединение у вас происходит в открытом виде, т.е. https-туннель не образовался, т.к. не согласована SSL-сессия и все данные идут через Интернет в открытом виде. Так что виндовый клиент, на самом деле молодец.
Но с видоузом такое не прокатило, переписав настройки оутлука на новый сервер, вне корп. сети, оутлук отказывается подключаться через http без сертификата, точее он ругается что сертификат неправильный, пишет ошибку 51, и есть только кнопка ОК »
Очень хорошо, что он так делает, на самом-то деле )
Что делать:
Для начала описать что у вас с топологией. Как сервер выходит в интернет, как к нему достукиваются пользователи. Это поможет понять какие имена в сертификате надо будт сделать и сколько сертификатов выпускать. В связи с тем, что столь запутанный и корявый стиль » можете нарисовать схемку. Понятно, что адреса, явки и пароли можно опустить.

спасибо, коллеги за ответы
сейчас в дороге, попробую вечером описать топологию и схемку накидать

Доброго всем дня!
Итак, схема такая:

есть домен (АД) внутри имеет вид ххххх.ru
старый exchange 2003 стоит на главном контролере АД (понятно что их нет, держатель роли fsmo, могу ошибится в абревиатуре. контроллеров несколько в разных сайтах и в разных подсетях, все реплицируется) имеет имя post.xxxxx.ru (он же прописан в днс зоне нескольких доменов основной мх записью, в том числе и в зоне домена xxxxx.ru и yyyyyy.com) на него же можно заходить снаружи по https://post.xxxxx.ru, однако основной домен для почты имеет вид yyyyyyy.com что прописано в настройказ 2003 exchange. На этом же сервере есть самоподписанный (не платный) сертификат, для подключений оутлука коиентов.

Недавно установил Exchange 2010 по инструкции с микрософта, в среду с раотающим 2003.Они имеет имя mail.xxxxx.ru (yно и для него надо оставить основным почтовым доменом yyyyyy.com). На одном сервере все три основноые роли. Перенес несколько ящиков со старого exchange, все ок, перенеслось, и даже работает по https://mail.xxxxx.ru/owa (правда из дома, и по мегафоному интернету не всегда резолвится имя, не понимаю почему, на гугловских нс серверах всегда все ок, думаю может у меня проблема, надо копать). Внутри сети работют и оутлуки, если сменить им в настройках имя сервера exchange со старого на новый. В настройках нового exchange как вы и сказали появился новый самоподписанный сертификат, он видимо отрабатывает внутренние подключения по оутлуку, и внешние по https://mail.xxxxx.ru/owa. правда я пока что не сменил мх записи в доменах, которые мне нужны (сделал просто новую мх запись для совершенно другого домена, ну а А запись прописал для сервера mail.xxxxxx.ru IP такой то).
Почта работает и отправляется и принимается как внутри так и наружу. Я так понимаю что все это работает в жесткой связке с 2003, он видимо выступает в роли отправителя и приемщика, так? а если его отключить (временно) то думаю что почта перестанет работать (те ящики что перенесены на новый сервер). Соответсвенно нужно сменить во всех зона
х, тех доменов что мен нужны мх запись с post.xxxxx.ru на mail.xxxxx.ru, верно?

Что касается макинтошового аутлука, то думаю он просто забирает все через https://mail.xxxxx.ru/owa, типа как обычный браузер, сталкивался с подобным еще с 2003 в айфонах, они тоже там так забирают.
Собственно как сделать новый сертификат, в 2003 понятно как (certsrv.msc), а вот с 2010 или с 2008 точнее, не понимаю((((

вот в целом такая топология, если что то не понятно или я не описал, спрашивайте)

сорри за грамматические ошибки, опечатки, печатал в машине )))

Отлично. Осталось понять через что происходит доступ в\из Интернет на почтовые серверы. Другими словами - что у вас в качестве файрволла?

cisco ASA 5505
на ней открыты для обоих серверов 3389 порты, smtp, http, https

оба сервера не в дмз
имею приватные внутренние адреса, которые транслируются в реальные, для каждого свой

Понятно, т.е. SSL Bridge не наш сценарий...
Значит делаем такой вот запрос в EMS:
$Data = New-ExchangeCertificate -GenerateRequest -SubjectName "CN=mail.xxxxx.ru" -DomainName mail.xxxxx.ru, post.xxxxx.ru, autodiscover.xxxxx.ru -BinaryEncoded -PrivateKeyExportable $true
Set-Content -path "C:\Temp\CertRequest.req" -Value $Data.FileData -Encoding ByteПотом выпускаете сертификат на вашем СА. Устанавливаете его, например так: certreq -accept -f C:\Temp\Cert.cer
Потом назначаете его на сервисы IIS в консоли управления Exchange (или находите значение поля Отпечаток (Thumbprint) этого сертификата) и выполняете команду:
Enable-ExchangeCertificate -Thumbprint <То значение, которое нашли> -Services POP,IMAP,SMTP,IIS

на ней открыты для обоих серверов 3389 »
Не самая лучшая идея. Почитайте про службу Remote Desktop Gateway http://technet.microsoft.com/en-us/library/dd647502(WS.10).aspx

Попробую завтра это сделать, я про сертификат
А про 3389, это вот оно http://www.techdays.ru/videos/1510.html

то что вы советуете?
я так понимаю, это некое новое решение для терминальных серверов и работ с удаленными рабочими столами, верно?