http://fesd77.wordpress.com/category/exchange-server/
在Exchange 2010上进行邮箱数据的导入/导出
Exchange服务器上的个人用户邮箱可以进行导入/导出操作,邮箱数据会被保存为PST格式,也就是Outlook的个人文件夹数据文件。 对于Exchange 2000/2003服务器,当需要进行单个用户邮箱数据的导入/导出时,可以使用一个名为EXMERGE的工具进行。 而对于Exchange 2007/2010服务器,EXMERGE工具就不再适用了。需要使用Exchange所提供的Export-Mailbox和Import-Mailbox命令来进行。 要进行邮箱数据的导入导出操作,进行该操作的帐号需要拥有对于目标邮箱的完全控制权限。在Exchange 2007中,可以简单地通过EMC控制台进行权限赋予;由于Exchange 2010中引入了RBAC,因此权限的指派有所不同。 Exchange Server 2010中,引入了新的命令集Mailbox Import Request和Mailbox Export Request,同时,不需要再使用Outlook。下面对于不同版本的Exchange分别说明: Exchange Server 2010 SP1 创建一个共享文件夹,赋予Exchange Trusted Subsystem组对该共享的写入权限。这个文件夹将用于存放导出的邮箱数据 为管理员分配管理角色,这里的User参数administrator,可以是一个用户帐号,也可以是一个安全组 New-ManagementRoleAssignment –Role “Mailbox Import Export” –User “administrator” 重新打开Exchange Management Console 运行命令进行邮箱导出 New-MailboxExportRequest -Mailbox … Continue reading
Exchange Server 2010中的Client Access Array
Exchange Server 2010中引入了一个新的概念,叫做Client Access Array。经常会遇到这样的问题:“是不是创建了Client Access Array,就能够实现客户端访问的高可用?”这个问题的答案是:“能够部分实现。”为什么是这样呢? 考虑Exchange Server 2010中,在客户端访问方面最大的一个变化:Exchange Server 2010的所有客户端访问都通过客户端访问服务器来进行。另一个提示:创建了Client Access Array后,需要通过RpcClientAccessServer参数指定到数据库上。是不是有一些想法了? Client Access Array是为了实现公司内部网络的MAPI客户端,访问本站点内的邮箱数据库时提供高可用性。 对于一个活动目录站点,可以并且只能创建一个Client Access Array,该Array会自动将本站点的客户端访问服务器作为成员添加进去,而且不能进行增减。 每一台Exchange Server 2010的邮箱数据库角色安装时,都会安装一个默认的邮箱数据库,如果没有为该站点创建Client Access Array,这个邮箱数据库上的RpcClientAccessServer属性会被设置为本站点内的第一台客户端访问服务器。 在这种情况下,如果将用户的邮箱分配到该数据库上,那么用户使用Outlook RPC模式(MAPI)时,就必须通过指定的这台客户端访问服务器,才能够连接到自己的邮箱。即使本站点中有额外的客户端访问服务器正常运行,指定的这台客户端访问服务器故障时,也会导致用户无法连接。而通过创建Client Access Array,可以保证,本站点内只要有一台客户端访问服务器正常运行,MAPI客户端的访问就不受影响。 这就是引入Client Access Array的根本原因。 需要注意的是,Client Access Array并不能完整的实现客户端访问的高可用,考虑以下两个因素: 1、Exchange Server 2010的客户端访问是按照活动目录站点来划分的; 2、Exchange Server … Continue reading
Exchange 中批量创建用户邮箱的脚本
#Usage: .\BulkCreateUserMailboxes.ps1 -$OU <Organizational Unit Name> [-$Database <Database Name>]“ Param( [string] $OU, [string] $Database = “$None”) if($OU -eq “”){ $OU = Read-Host “Organizational Unit Name”}if($OU -eq “”){ exit} $Users = Get-User -OrganizationalUnit $OU | where {$_.RecipientType -eq ‘user’}Write-Host “Script is … Continue reading
Exchange Server 2010客户端访问的代理和重定向
从Exchange Server 2007开始,Exchange的客户端访问都由活动目录站点进行划分。也就是说,用户的邮箱在那个站点,用户就必须连接到该站点的客户端访问服务器,才能访问到自己的邮箱。 而从Exchange Server 2010开始,所有的客户端访问都必须通过客户端访问服务器来进行。即使是使用Outlook客户端,从公司内部网络进行MAPI(Exchange RPC)方式连接时,也是如此。 综合前面两点,可以得到一个结论,在Exchange Server 2010的环境中,如果一个活动目录站点中部署了邮箱服务器,那么该站点必须有客户端访问服务器,才能保证用户的访问。当然,同样的结论也适用于Exchange的集线器传输服务器。 客户端访问的代理和重定向是在多站点环境中部署Exchange服务器时需要考虑的问题,如果一个Exchange组织中,所有的Exchange服务器都在同一个站点内,就不需要考虑了。 用户连接的客户端访问服务器与其邮箱服务器不在同一个站点时,就需要通过代理或重定向方式来实现了。而关于代理或重定向的概念,最简单的说法就是,此时如果用户直接就连接到自己的邮箱,那么就是代理;如果用户被要求重新到另一台客户端访问服务器上登录,那么就是重定向。 在Exchange Server 2010中,重定向一般只出现在用户使用OWA/Mobile这两种客户端方式发起访问时出现;而可以被代理的客户端访问方式包括:Outlook Anywhere/POP3/IMAP4/OWA/Ecp/Exchange Web Service/ActiveSync。 注意一点,作为内网用户最常用的MAPI方式,是不支持代理的。 考虑下图所示的配置: 例如用户TestUM1使用OWA连接到Site2的客户端访问服务器上,而该用户的邮箱当前在Site1被激活,那么用户就会收到如下提示,告知其需要访问另一个位置。这就是一个典型的重定向现象。 对于TestUM3这个用户,其邮箱在Site2上被激活,当其连接到Site1的OWA时,却能够直接登录,而没有被要求到Site2的OWA重新登录,这就是代理的情况。 那么,Exchange是怎样来确定是使用代理还是重定向呢?这个选择的关键在于,用户邮箱所在站点的客户端访问服务器是否被配置为面向Internet(Internet-Facing)。如果是Internet-Facing,就会使用重定向;如果是Non-Internet-Facing,代理就会起作用。 要判断一台客户端访问服务器是否Internet-Facing,可以通过检查这台服务器上,通过IIS发布的服务,例如OWA/Ecp等,是否配置了ExternalURL值来实现。 例如对于OWA配置的检查,可以通过Exchange Management Console打开OWA属性,也可以通过Get-OWAVirtualDirectory,并列出ExternalURL值来进行。如下图所示: 根据这个结果,可以判断出,第1、2两台服务器是Internet-Facing的,而3、4两台服务器是Non-Internet-Facing。在这种配置下,所有用户都可以通过cas.pcoe.com来作为客户端访问入口,并使用OWA/Outlook Anywhere/POP3/IMAP4/AcitveSync等多种方式来访问自己的邮箱。 Microsoft有专门的文档说明代理和重定向。http://technet.microsoft.com/en-us/library/bb310763.aspx 该文档的中文版本里,专门提到Exchange 2010不支持POP3和IMAP4的代理;而英文版本却没有这个说明。根据使用Exchange Server 2010 SP1 with Rollup 3-V3实际测试的结果,是可以实现POP3的代理的,其它版本没有进行测试。 以下是对POP3代理的测试情况,可以看到,POP3的代理与服务器是否配置为Internet-Facing无关,Site1的用户可以通过POP3连接到Site2的客户端访问服务器,并最终连接到自己的邮箱;反之亦然: 原创文章,转载请注明出处。George … Continue reading
Exchange DAG跨站点转移
Exchange Server 2010在跨站点部署数据库可用性组(Database Availability Group, DAG)时,需要考虑站点间的转移问题。即:一个站点的Exchange服务器宕机时,另一个站点的Exchange能否自动切换,并保证客户端访问的不间断。 事实上,跨站点的转移有两种,一种是故障转移Fail over,另一种是切换Switch over。故障转移是服务器自动进行的一种行为;而切换则需要管理员的人工干预才能够完成。 在理想状态下,总是希望实现Failover,因为Failover是不需要任何人工干预而自动进行的,Failover可以最大限度地保证服务的可用性。 Exchange组织拓扑 邮箱数据库 组织中配置了3个数据库,每个数据库有3个副本,分别位于加入DAG的3台Exchange Server 2010邮箱服务器上。 Client Access Array 各活动目录站点中配置的Client Access Array。 邮箱数据库上配置的Client Access Array 这里需要说明一下Client Access Array,结合Mailbox Database上的RpcClientAccessServer这个参数,可以发现,这个功能用于且仅用于公司内部的Outlook客户端使用MAPI方式进行连接时使用。对于每一个活动目录站点,可以创建并仅能创建一个Client Access Array。一旦创建了Client Access Array,它将自动把本站点所有的客户端访问服务器作为自己的成员,而且这个成员是不允许进行编辑(添加或删除)的。对于Exchange的管理员,只能对Client Access Array的名称和FQDN进行配置。 由于Exchange Server 2010的客户端访问是按照活动目录站点进行划分的,而为了节省站点间的网路带宽,管理员应该尽可能使用户访问Exchange邮箱时,使用其所登录站点的Exchange服务器。例如这里的配置,DB#3上存放的是2ndSite内的用户邮箱,默认会在ExchAllinOne上被激活,而DB#3上的RPCClientAccessServer设置为2ndSite上的Client … Continue reading
“下次登录时需要更改密码”的用户如何登录OWA
如果一个用户的活动目录帐号被标记为“下次登录时需要更改密码(User must change password at next logon)”,那么当该用户登录到OWA时,即使输入的身份验证信息正确,OWA也会拒绝用户登录。Exchange Server 2010 SP1的OWA解决了这个问题,管理员可以通过配置客户端访问服务器来实现: 在Exchange Server 2010 SP1的客户端访问服务器上,打开注册表编辑器(这个功能必须安装SP1之后才有) 找到HKLM\SYSTEM\CurrentControlSet\Services\MSExchange OWA添加一个DWORD值,名称为ChangeExpiredPasswordEnabled,值设为1 运行IISRESET重启IIS 之后再登录OWA时,这类用户在输入原来的密码后,就会看到下面的页面,用户可以在里面进行密码修改。 原创文章,转载请注明出处。George Wu
利用Transporter Suite实现从第3方邮件系统到Exchange的迁移
在从其它邮件系统迁移到Exchange的过程中,Transporter Suite可以从Domino自动进行用户帐号的同步,而对于Domino以外的邮件服务器,管理员需要进行手动的用户数据导入。也就是说,需要先获取其它邮件系统上的用户名称列表,然后在Exchange中为这些用户创建用户帐号和邮箱,最后使用Microsoft Transporter Suite工具进行邮件数据的导入。 简单地说,Transporter Suite的工作原理是:利用配置好的用户信息,通过POP3或IMAP4协议从第3方邮件系统中读取用户的邮件数据,再通过Exchange Server 2007的客户端访问服务器所提供的Web Service,将数据写入到指定的Exchange用户邮箱中。需要注意的是,由于Exchange Server 2010的Web Service与Exchange Server 2007不同,因此这个工具只能支持将邮箱数据写入到Exchange Server 2007,而不支持直接向Exchange 2010的迁移。 Microsoft Transporter Suite下载位置:http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=35fc4205-792b-4306-8e4b-0de9cce72172 下面是大致的迁移步骤,前提是所有用户在Exchange所在的活动目录中已经存在帐号。 在一台与Exchange Server 2007同在一个域的机器上,安装Transporter Suite。也可以安装在Exchange 2007自身 确保所有用户在Exchange 2007上都已经分配了邮箱 用管理员登录到Exchange 2007服务器,打开命令行窗口,运行以下命令,为管理员授予Impersonate权限:Add-ADPermission -Identity (get-exchangeserver).DistinguishedName -User (Get-User -Identity Administrator | select-object).identity … Continue reading
利用签名和加密技术保护邮件信息
在保护邮件有多种方式,除了前面提到的使用RMS进行保护外,还可以利用签名和加密等技术来实现。RMS是Microsoft专有的技术,默认情况下,只有Office的文档,如WORD、Excel、PowerPoint等可以使用RMS,其它应用程序需要专门进行开发才能够用到RMS。而签名和加密是行业标准,大多数邮件系统都提供了这两个技术。 RMS是通过权限管理模板,根据用户的帐号信息来规定访问权限。而签名和加密则是使用用户证书来实现的。也就是说,要实现签名和加密,用户需要首先获取个人证书,然后在邮件客户端中使用该证书来实现。这张个人证书需要有相应的用途及正确的配置,才能用于邮件的签名和加密。 在Windows中,运行MMC,然后点击文件=>添加/删除管理单元(File=>Add/Remove Snap-In),在列表中选择证书=>我的用户帐号(Certificates=>My user account)来添加证书管理控制台。然后从个人=>证书(Personal=>Certificates)中,就可以看到当前用户在当前系统上的个人证书情况。然后双击证书,检查常规(General)页面中的信息。 这里有两个重要信息,在图中用红色标记的部分:保护电子邮件信息(Protects e-mail message)和您有一个与该证书对应的私钥(You have a private key that corresponds to this certificate)。保护电子邮件信息表示该证书能够用于邮件的签名和加密;拥有私钥表示当前用户是该证书的所有者。 邮件的签名和加密都是利用证书,也都是用于保护邮件信息的安全,但是侧重点有所区别。 保护的对象对邮件进行签名,被保护的是收件人的权益。收件人可以通过对该签名的检查,来确认邮件确实来自其声称的发件人,而不是由其他人冒名发送的。对邮件进行加密,保护的是发件人权益。发件人通过邮件加密,可以保证该邮件只能被指定的收件人看到。 使用的证书邮件签名,使用的是发件人的个人证书;而邮件加密,使用的则是收件人的个人证书。 为什么加密会使用到收件人的个人证书呢?每个证书都包含两个密钥,一个是私钥;另一个是公钥。顾名思义,公钥是其他人能够获取的;而私钥只有证书的所有者才能够使用。利用证书对邮件进行加密,其实就是利用收件人的公钥进行加密;邮件的收件人再利用私钥进行解密。这就要求了,在发送加密邮件时,发件人必须有收件人的证书才能够进行加密。 如果没有收件人的证书,在试图发送加密邮件时,就会出现下图所示的错误: 那么,发件人如何获取收件人的个人证书呢?收件人需要主动将个人证书导出并发送出来,然后在发件人的客户端进行导入。例如A要发送加密邮件给B,对于使用Outlook的用户,那么需要做的步骤是: B将自己的个人证书导出为CER文件。导出时需要注意,不要导出私钥。 B将这个证书文件发送给A。CER后缀的文件作为附件发送时,在大多数邮件系统上会被屏蔽,因此需要先压缩然后在发送 A收到证书后,在自己的Outlook里创建一个联系人 点击证书Certificates,在点击Import将B发送来的证书导入 导入成功后,就可以从联系人的属性中看到这个证书了。此时,用户A就可以利用这张证书来向用户B发送加密邮件。 而对于使用同一个Exchange组织的用户,还有另一种方式来获取彼此的证书,就是用户将个人证书发布到Exchange的GAL里。这样整个Exchange组织内的用户就都能够获取到这张证书。 首先要确保在运行Outlook的操作系统上,已经正确安装了当前用户的个人证书,并且证书的目的中包含有“保护电子邮件信息(Protects e-mail message)”一项。在Outlook中,打开文件=>选项=>信任中心=>信任中心设置=>电子邮件安全(File=>Options=>Trust … Continue reading
Exchange Server 2010与RMS集成
与权限管理服务(Rights Management Services/RMS)集成是Exchange Server 2010的新功能,也是一大亮点。随着RMS还会提到一个名词是IRM,即:信息权限管理/Information Rights Management。实际上,RMS是服务,而IRM是具体实现。安装RMS之后,才可以使用IRM。在 Exchange Server 2010 中,可使用信息权限管理 (IRM) 功能对邮件和附件应用持久保护。 通过与RMS的集成,Exchange邮件用户可以控制收件人对电子邮件拥有的权限,允许或限制某些收件人操作,例如向其他收件人转发邮件、打印邮件或附件,或者是通过复制和粘贴提取邮件或附件内容。 用户可在 Microsoft Outlook 或 Outlook Web App 中应用 IRM 保护,或者可以根据组织的邮件策略并使用传输保护规则或 Outlook 保护规规则应用 IRM 保护。与其他电子邮件加密解决方案不同,IRM 还允许组织解密受保护的内容,以强制执行策略遵从性。 IRM 可以实现: 防止受 IRM 保护的内容的授权收件人转发、修改、打印、传真、保存或剪切和粘贴该内容; 用与邮件相同的保护级别保护所支持的附件文件格式; 支持受 IRM 保护的邮件和附件的过期,使其在指定时间段之后,无法再进行查看; 防止使用 Windows … Continue reading
利用Windows Server Backup备份Exchange DAG
Exchange Server 2010在部署了DAG模式之后,由于每个数据库都有至少2个复制副本,从理论上讲,对数据库进行备份的工作已经不再像以前那么重要。一般来说,如果DAG包含多于3个节点,而每个数据库有多于3个复制副本,那么这些服务器同时宕机,或者这些副本同时损坏的可能性已经极低。在大多数情况下,可以通过对损坏的数据库副本进行reseed进行恢复,而不再需要从备份中恢复了。 对于DAG数据库的备份,主要的作用在于,如果用户误删除了邮件,并且已经超过了恢复周期(默认是14天),无法直接恢复的情况下,才会考虑从数据库备份中恢复邮件数据。 对于已经启用了DAG的数据库,利用Microsoft自己的产品进行备份的话,可以使用Windows操作系统自带的Windows Server Backup组件,也可以利用System Center中带的DPM Data Protection Manager。本文讨论的是使用Windows Server Backup进行备份的方式。 通过Windows Server 2008/R2的服务器管理器,从添加组件(Features)中,添加Windows Server Backup组件 对于每一个DAG节点,修改注册表。定位到:HKEY_LOCAL_MACHINE\Software\Microsoft\ExchangeServer\v14\Replay\Parameters添加双字节数据,名称为EnableVSSWriter,类型为DWORD,设置值为0 对于每一个DAG节点,重启Microsoft Exchange Replication服务 先检查一下数据库所使用的事务日志的数量。本次测试时,在备份前日志文件夹的文件数量为183个 打开Windows Server Backup管理器 在右边的操作栏中,点击备份 选择自定义要备份的数据 选择存放Exchange数据库的目录,然后点击高级 在高级中,切换到VSS Settings页面,选择VSS Full Backup 指定备份位置。完成备份设置向导后,开始备份 备份完成后,从Exchange Management Console中,检查数据库的状态,可以看到,数据库上一次完整备份的时间已经更新 再次检查事务日志数量,备份完成后,日志数量已经减少到31个 … Continue reading