Exchange Server 跨林遷移之遷移思路及命令

項目中遇到exchange 跨林遷移需求，實施前整理了exchange跨林遷移整體思路及遷移過程所用命令，整體步驟無問題，命令需要根據實際環境修改。

1. 前提條件準準備

• 林信任搭建1

目標域設置（tatgetDomain.com.cn）：

設置條件轉發器，解析sourcedomain.com.cn域名時轉發到源AD服務器

源域設置（sourcedomain.com.cn）：

設置條件轉發器，解析tatgetDomain.com.cn域名時轉發到源AD服務器

設置完成後驗證互相解析

• 林信任創建2

需要創建源域和目標域的雙向信任關係

打開“Active Directory域和信任”，新建信任

• 管理員權限設置：

管理員權限配置，在源域和目標域中將對方域的domain admins 組添加到Bulitin\administrators組中，保證雙方管理員對對方域控具有管理權限

• 禁用SID篩選：

在目標域執行以下命令禁用SID篩選：

NETDOM trust targetdomain.com.cn /domain:sourcedomain.com.cn /Userd:administrator /Passwordd:password /Quarantine:No

• 啓用審覈：

在源域中創建一個sourcedomainNetBIOS$$$的安全組，在源域和目標域中打開組策略管理器，導航到審覈策略，啓用審覈賬號管理

2. ADMT遷移工具安裝

• ADMT安裝：

在目標域安裝ADMT工具，執行SQL Server桌面引擎的安裝，選擇“Use Microsoft SQL Server Desktop Edition (Windows)”，使用自帶的 SQL Server 作 數據庫或安裝SQL server 2008 express版本。

• 安裝密碼遷移工具：

在 AMDT 服務器上執行如下命令

Admt key /option:create /sourcedomain:sourcedomain.com.cn /keyfile:c:\sourcedomain.pes /keypassword:P@ssw0rd      

在源域控上安裝ADMT密碼遷移工具，瀏覽導出的加密文件，設置啓動賬戶（sourcedomain\administrator）

重新啓動源域服務器，並且手動啓動password export server service服務

• 用戶賬戶遷移：

遷移AD賬戶和組到targetdomain.com.cn域中

查看賬戶屬性是否有密碼永不過期，如設置了密碼永不過期通過以下命令取消該設置：

$users=Get-ADUser -Filter * -Properties *  foreach($user in $users) { $user.name Set-ADUser -identity $user.samaccountName -ChangePasswordAtLogon $false }

3. exchange服務器環境準備

發送連接器創建，使源和目標exchange能正常接收對方郵件

New-SendConnector -Name "Mail to mnc.com.cn" -AddressSpaces mnc.com.cn -SmartHosts 172.16.254.132 -SourceTransportServers "exchcas01,exchcas02"

New-SendConnector -Name "Mail to sourcedomain" -AddressSpaces sourcedomain.com.cn -SmartHosts 172.16.254.16,192.168.254.108 -SourceTransportServers cas01

接收連接器設置：

New-ReceiveConnector -Name 'From sourcedomain' -RemoteIPRanges @('10.15.200.216', '10.15.200.217', '10.15.200.218') -Bindings @('0.0.0.0:25') -Usage 'Custom' -Server 'EXCAS02.targetdomain.com.cn' TransportRole 'FrontendTransport'

Set-ReceiveConnector -RemoteIPRanges @('10.15.200.218', '10.15.200.217', '10.15.200.216') -Bindings @('0.0.0.0:25') AuthMechanism 'Tls, ExternalAuthoritative' -PermissionGroups 'ExchangeServers, AnonymousUsers' -Identity 'excas01\From sourcedomain'

目標域中繼域設置

4. 組策略設置

源域中組策略分發目標域根證書

5. DNS記錄添加：

目標域內外網添加mnc.com.cn（此域名爲過渡域名，由於目標域mail及autodiscover記錄無法修改）解析區域

Mail.mnc.com.cn  casIP

Autodiscover.mnc.com.cn CasIP

目標域exchange配置檢查：

Owa、activesync、outlookanywhere

6. 源域啓用RMS：

• 登錄到源域的Exchange服務器，執行命令啓用RMSProxy

Get-WebServicesVirtualDirectory -Server exchcas01 |SetWebServicesVirtualDirectory -MRSProxyEnabled $true

Get-WebServicesVirtualDirectory -Server exchcas02 |SetWebServicesVirtualDirectory -MRSProxyEnabled $true

• 或通過以下方法啓用RMSProxy

打開到目錄C:\Programe Files\Microsoft\Exchange Server\V14\ ClientAccess\exchweb\ews\ web.config找到<!--Mailbox Replication Proxy Service configuration--> sEnabled=”false”, 將 false 改成 true，然後重啓IIS

7. 目標域啓用聯繫人：

爲保證遷移後賬戶收發郵件正常，需要將所有賬戶均臨時準備爲聯繫人

Enable-MailUser -Identity S1 -ExternalEmailAddress [email protected]

• 批量啓用聯繫人（提前準備好csv表格，emailaddress爲源域用戶電子郵件地址）

Import-Csv c:\move.csv | %{Enable-MailUser -Identity $_.SamAccountName -ExternalEmailAddress $_.EmailAddress}

• 啓用聯繫人後通過ADMT遷移組：

遷移組到tatgetdomain.com.cn域，必須在用戶啓用聯繫人後進行組的遷移，才能匹配成員關係

• 通訊組添加legacyDN屬性，導出通訊組信息

$DistributionGroup = Get-DistributionGroup -OrganizationalUnit "OU=test,DC=sourcedomain,DC=com,DC=cn"  $DistributionGroup|Select-Object Name, DisplayName, Alias, legacyExchangeDN |Export-Csv D:\DistributionGroup.csv -Encoding UTF8 NoTypeInformation

• 爲遷移至新郵件系統的的通訊組添加 SMTP 地址，地址指向爲：類型爲 500，地址爲原郵件系統中通訊組的 legacyExchangeDN

$GroupInfo = Import-Csv D:\DistributionGroup.csv -UseCulture -Encoding Default foreach ($Group in $GroupInfo) {     $Name = $group.name     $legacyExchangeDN = $group.legacyExchangeDN     $Alias = $Group.alias     

#Enable-DistributionGroup -Identity $Name -Alias $Alias     

#Set-DistributionGroup -Identity $Name EmailAddressPolicyEnabled:$false

8. 目標域執行準備遷移：

打開 Exchange Management Shell

運行命令cd "C:\Program Files\Microsoft\Exchange Server\V14\Scripts"

獲得管理員的驗證通過下面的命令 $SourceCredential = Get-Credential “sourcedomain\administrator”

在彈出的對話框中, 輸入 Password01! 然後點擊 OK

.\Prepare-MoveRequest.ps1 -Identity "CN=S1,OU=SourceUsers,DC=sourcedomain,DC=com,dc=cn"-RemoteForestDomainController "sourcedc04.sourcedomain.com.cn" –RemoteForestCredential $SourceCredential –UseLocalObject

• 批量進行遷移準備（提前準備csv表格）

[PS] D:\Exchange\Scripts>import-csv c:\move.csv |%{.\Prepare-MoveRequest.ps1 -id $_.DistinguishedName -remoteforestdomaincontroller "sourcedc04.sourcedomain.com.cn" -remoteforestcredential $sourcecredential -uselocalobject}

9. 批量遷移郵箱

import-csv c:\move.csv |%{New-MoveRequest -Identity $_.D1 -Remote -TargetDeliveryDomain "mnc.com.cn" -RemoteHostName "sourceexchcas01.sourcedomain.com.cn" -TargetDatabase DB01 -RemoteCredential $SourceCredential -batchname F1}

#批量遷移並擱置遷移，suspendwhenreadytocomplete參數爲遷移到95%後自動擱置

import-csv c:\move.csv |%{New-MoveRequest -Identity $_.D1 -Remote -TargetDeliveryDomain "mnc.com.cn" -RemoteHostName "exchcas01.sourcedomain.com.cn" -TargetDatabase DB01 -RemoteCredential $SourceCredential -suspendwhenreadytocomplete:$true -batchname F1}

#重啓擱置的遷移

import-csv c:\move95.csv | %{get-moverequest -Identity $_.SamAccountName | resume-moverequest}

10. 遷移後導出郵箱用戶信息驗證：

Get-Mailbox -ResultSize 100000 |Select-Object Name,Alias,DisplayName,DistinguishedName,Database,PrimarySmtpAddress,Us erPrincipalName |Export-Csv D:\AllMailboxInfo.csv -NoTypeInformation Encoding UTF8

11. 遷移後導出通訊組信息驗證：

Get-DistributionGroup -ResultSize 10000 |Select-object Name,Alias,DisplayName,DistinguishedName,PrimarySmtpAddress |Export-Csv D:AllGroupInfo.csv -NoTypeInformation -Encoding UTF8

12. 遷移完成後郵件流切換

注.遷移過程中outlook客戶端收發正常，遷移完成後outlook客戶端會要求重啓客戶端。