exchange serverexchange安装配置指南最新最全Word文件下载.docx

1、 2第一步启用匿名身份验证（这个设置一般用来隔离外部邮件的传入），第二步有接受域对比：允许某台计算机往外中继。启用匿名（有接收域）Smtprelay方式：内部smtp服务器：允许某台计算机往外中继并指明中继主机。启用匿名，（有接收域）。中继主机：启用匿名（创建接收域）。注意事项：smtp集成IIS方式发送连接器最好设置成允许某台主机中继到外部。记住重启smtp服务。3. EXCHANGE与外部smtp的连接使用边缘传输服务器的情况。 步骤: 1 在边缘服务器上面生成订阅，同时通过指向dns和主域名地址实现自动更新。 NEW-EDGESUBSCRIPTION -FILE C:EDGE.XML 2

2、 在集线器传输服务器上面，利用生成的订阅进行同步，START-EDGESYCHONIZATION3 禁用原来的集线器传输连接器， 重定向邮件交换记录到边缘服务器 。因为已经复制了内部的架构，这里不用启用内部的defaultserver匿名身份验证4. EXCHANGE 与外部收发邮件有isa的情况分析EXCHANGE与外部smtp的连接使用边缘传输服务器的情况。 1 在边缘服务器上面：同时通过指向dns和主域名地址实现自动更新；生成订阅NEW-EDGESUBSCRIPTION -FILE C:EDGE.XML；dns指向内部dns服务器。 2 在集线器传输服务器上面：利用生成的订阅进行同步，S

3、TART-EDGESYCHONIZATION；禁用原来的集线器传输连接器， 重定向邮件交换记录到边缘服务器，如果是实际环境使用外部注册的，dns指向自己配置转发器。3 isa上面：修改模版创建发布规则，和访问规则4 客户端测试访问，客户端创建两个域，分别创建主机记录和邮件交换记录。发布规则是：发布边缘传输服务器到外部访问规则是：dns（内部到外部，dnz到内部）smtp（内部到dmz，dmz到内部，dmz到外部）50636（内部到dmz）5. EXCHANGE 与外部收发邮件无边缘传输服务器的情况分析.三Exchange特性：安装条件: 如何检查是否正确安装事件日志；开始菜单有没有管理工具；检

4、查活动目录和计算机有没有多Ou；边缘传输服务器的主要作用：邮件处理；垃圾邮件和病毒防护；边缘传输规则设置；地址重写与修正；集线器传输服务器的主要作用：邮件规则设置；PS C:Program Filescd MicrosoftProgram FilesMicrosoftcdcd Exchange ServerProgram FilesMicrosoftExchange Servercd ScriptsProgram FilesMicrosoftExchange ServerScripts./install-AntispamAgents.ps1客户端访问工具：利用OUTLOOK连接邮件服务器。统一

5、消息的设置及使用：组织配置设置拨号计划和 ip网关 ；服务器配置建立关联；邮箱用户启用统一通讯；启动统一通讯服务；OWA优化管理：OWA基本设置，owa日历设置，约会和会议等。创建约会创建会议：分别对自己，对公司其他同事，创建周期性约会； .电子邮件地址修正：第二讲：如何配置服务器系统1如果是OE客户端；pop3方式和IMAP4方式服务器端设置成【采用非加密形式】推荐，或者统一公司客户端设置成加密形式（默认）。2如果是OFFICEOUTLOOK系统（服务器端dns配置别名autodiscover（自动发现），客户端配置网关和dns）并且配置OUTLOOKANYWHERE；owa（服务器端上设置

6、，默认必须采用https方式连接）；3 如果是ACTIVESYNC。1. 配置整体架构，如上方（EXCHANGE 与外部收发邮件有isa的情况分析）安装四个角色，发布边缘传输服务器,发布内部客户端，创建访问规则，测试。2. 客户端连接方式：最好配置上面所有这三种形式，利用isa发布这些访问方式。上面的这些形式都可以不信任ca，和安装证书就可以进行https（加密）方式连接，但是最好还是信任和安装。3. 客户端邮件保护证书：所有客户端信任ca，为所有的客户端申请邮件保护证书（用户证书）（用以数字签名和加密），或网站保护证书（用以安全连接网站）。（域用户可以实现自动信任和安装用户证书）如何自动安装

7、邮件保护证书和网站保护证书呢？如何要求公司所有的待发邮件进行数字签名和加密呢？实验注意事项：配置pop3：发布owa：1.配置：网络,dns，网关，配置正确2.服务器端 ：为站点申请网站保护证书（如果加入域自动信任ca，可以直接申请）；ISA利用ssl方式实现与内部站点 的 链接就必须安装网站保护证书和信任ca，最好的办法是导出共享导入。ISA最好加入域，如果没有加入域测试用户必须在ISA上面创建。3.发布owa： 证书颁发给谁，ISA上面的站点就是谁，公共名称就是谁，测试链接就是谁。4.测试：验证两次第三讲：一身份验证和邮件数字签名和加密 1身份验证方式：验证两次：ISA和OWA先后验证：（

8、这个无委派意思就是验证二次）身份验证（无委派客户端无法直接进行身份验证）；侦听器（【属性【身份验证【高级选择要求所有用户进行身份验证，对于每个http请求验证凭据）侦听器】属性】选择html】 ；这样就可以进行两次身份验证。第一次输入用户名是登陆ISA，用ISA本地账户即可，如果ISA已经加入域就用域账户。第二次是登陆exchange使用邮箱用户。身份验证（无委派，客户端可以直接进行身份验证）第一次由ISA替代exchange验证是否为exchange客户端，第二次登陆邮箱用户。上面这一种情况必须ISA加入域中或者本地账户和域账户相同；否则无法由ISA替代验证登陆。只验证一次：只让exchan

9、ge验证用户身份（实际上是由ISA替代exchange进行身份验证），不要启用上面的无委派选择【基本身份验证。此时还要进行相应的设置，owa网站上面的设置必须与exchange客户端访问节点下的设置相同。2连接方式加密ssl连接https和http方式： web服务器端首先信任ca;在网站上面申请，（如果加入域自动信任ca，可以直接申请）编辑勾选ssl;【客户端信任ca，同时导入web服务器证书（共享的方式）】除非邮件加密和数字签名，可以省略。自动发现：（客户端和服务器web网站共同控制访问方式加密或不加密）只允许https方式连接；如果是（EXCHANGE ACTIVESYNC）OWA ，自

10、动发现 ）协议，服务器端先删除原来的（原来的证书无效但是可以加密）然后申请新的网站保护证书；编辑勾选ssl。pop3 ，imp4：默认情况下必须以加密的方式连接服务器，所以服务器端无需多加设置；客户端 【账户属性】勾选此服务器要求安全连接；发送邮件服务器我的服务器要求安全连接 。3邮件加密和数字签名：如果是通过http和https方式，服务器端信任ca，申请网站保护证书；客户端信任ca，申请网站保护证书（下载证书链）利用证书来加密和数字签名。如果是通过pop3，imap协议，服务器端不用设置；客户端信任ca，申请用户保护证书，利用证书来加密和数字签名。数字签名和加密 OFFICE OUTLOO

11、K的设置 1.网关设置 2.如果是域用户会自动输入用户名 邮件申请证书 1.通过mmc控制台申请， 2.通过浏览器申请用户证书 邮件加密签名（此处自动生成不用配置） 1首先申请用户证书 2.邮件】选项】信任中心】电子邮件安全行】设置】 加密必须获得对方的一封邮件后才可以加密。安装用户证书：由谁申请就颁发给谁而不是由谁登陆颁发给谁，Owa方式没有数字签名和加密。自动安装用户证书：数字签名与加密过程：1. 服务器端安装证书颁发机构，用户端信任ca，安装用户证书（域环境可以实现全自动）。2. 如果要使用加密，必须接收过对方的一封邮件，而且对方安装过用户证书这样才能利用对方的公钥加密。4客户端访问协议

12、及配置方法POP3，imp4 （office outlook） 允许https和http方式；这两者的邮件保护证书就是用户保护证书。（EXCHANGE ACTIVESYNC）OWA ， OUTLOOKANYWHERE，允许https和http方式；这两者的邮件保护证书就是网站保护证书。客户端访问协议：pop3， IMAP4 （默认情况下客户端必须以加密的形式连接，但无需信任ca并安装证书） OE与OUTLOOK都可以以这两种方式来接连。owa， OUTLOOKANYWHERE客户端必须信任ca （https方式客户端最好信任ca并安装证书）ACTIVESYNC（https方式客户端最好信任ca

13、并安装证书） 自动发现（只有https方式，客户端最好信任ca并安装证书）；自动发现账户不允许空账号，而且证书颁发机构必须有效。以上情况如果需要将邮件加密或数字签名，必须信任ca，pop3和imap4申请邮件保护证书或http方式申请网站保护证书。 5如何使用http方式连接pop3，imp4默认是使用https方式连接设置验证机制 set-popsettings logintype plaintextlogin取消验证机制set-popsettings logintype plaintextauthentication设置验证机制端口993set-imapsettings logintype

14、 plaintextlogin取消验证机制端口143set-imapsettings logintype plaintextauthenticationrestart-service *pop3*restart-services *imap* 6. 身份验证情况分析 smtp +pop3接收：Smtp启用匿名，并且有本地域发送：允许任何； 允许某台计算机；允许所有通过基本验证的用户（这是一般情况）OE 将用户名和密码提交给smtp验证，此时OE必须勾选我的服务器要求身份验证。二邮箱策略每个用户只能绑定一个邮箱用户，可以设置恢复密码，可以设置登录次数。三Mobile配置方法（EXCHANGE A

15、CTIVESYNC）加密与不加密方式加密方式：手机设置加密首先下载信任证书（这个证书同时也是网站保护证书），然后在手机上用 这个名称进行同步； 服务器端先删除原来的证书然后申请新的网站保护证书，编辑勾选ssl，重新启动iis服务。第四讲：一：1. 发送连接器以上第一种情况以上第二种情况两个站点间的传递站点内域之间的传递站点内只有一台EXCHANGE SERVER的情况2.接受连接器只要 ip 、端口 、远程端口不同就可以创建。3.管理接收域：权威域，内部中继域，外部中继域。管理员可以通过拒绝所有不是发往组织的权威域中的收件人的电子邮件来阻止此开放中继方案。但是，在有些方案中，组织希望合作伙伴或

16、分支机构通过 Exchange 服务器中继电子邮件。在 Exchange 2007 中，可以将接受域配置为中继域。组织接收电子邮件，然后将邮件中继到其他电子邮件服务器。第一：使用情况：为合作伙伴或分支机构（其他林）初步处理安全防护。相当与smtprelay。内部中继域：源主机，创建发送连接器，启用匿名（有接受域）中继主机上面，首先配置 GAL 同步，创建发送连接器，启用匿名（创建接收域）Dns配置为：源域mx记录指向中继主机。对比Smtprelay方式：外部中继域接收域与邮件地址策略必须配置一个接受域，才能在电子邮件地址策略中使用该 SMTP 地址空间。创建接受域时，可以在地址空间使用通配符，

17、来表示 Exchange 组织还接受 SMTP 地址空间的所有子域。例如，要将 C 及其所有子域配置为接受域，请输入 *.C 作为 SMTP 地址空间。但是，如果将在电子邮件策略中使用子域名，则每个子域必须具有明确的接受域条目。该接受域条目自动在电子邮件地址策略中可用。第二：如果邮件地址策略中要使用子域或其他的域必须创建此接收域。如果删除电子邮件策略中使用的接受域，则该策略不再有效，具有该 SMTP 域中电子邮件地址的收件人将无法发送或接收电子邮件。二自动发现1. 服务器端Dns创建autodiscover 别名记录，如果是域环境不用做任何操作。客户端将自动配置。2. 客户端配置网关和dns，

18、然后测试注意：三父域与子域之间 已经统一了后缀名，3子域只能创建子域的用户。四安装监视工具，查看sid和guid号以上每讲都有一个重点第二部分第五讲数据库备份和还原安全级别：数据 NTFS EFS BITLOCKEK 备份还原 审核应用程序 不同的应用程序 操作系统 打补丁 杀毒软件 uac 防火墙 强秘密内部网络 ipsec nap （评估计算机的健康状态,允许健康的计算机接入网络）边界网络 isa物理安全 监控 门锁等安全意识 数据库备份还原：创建两封邮件备份删除一封邮件创建恢复存储组还原firststoragegroup分析合并如何移动数据库 （同活动目录数据库的移动用命令，sql数据库

19、的移动式先分离复制再移动）（为防止万一移动之前最好先进行备份） 移动存储组必须先卸载所有的数据库；如果要移动某个数据库，卸载该数据库。然后再装入数据库。如何备份数据库（活动目录备份的是系统状态用系统备份还原工具，08必须用命令备份和还原；sql用系统备份还原工具；如何按照计划进行备份（如何还原数据库1.必须勾选这两行以备有效还原，这两项的作用就是防止没有备份就还原。2.必须先卸载数据库。负载平衡：启用本地连续复制功能，可以定义两个存储路径。第六讲1HT与EDGE的区别2邮件传输规则企业邮件传输规则常见配置：1对特定个人发送或接收的邮件进行跟踪或存档，将收件人发件人为（某个部门的邮件或某些人）的

20、邮件秘抄到管理员（administrator（管理员）domain（管理员） master （主人）monitor （班长）manager（负责人 主任 经理） boss（老板）2筛选机密组织信息：来自于内部和外部的邮件包含某些敏感词汇秘抄送到管理员（针对具体进行设置）3防止不适当的内容进入或离开组织：组织内部到外部（公司内部资料，公司机密信息）秘抄送到管理员，组织外部到内部（招聘信息，虚假广告）自动删除4在传递之前重定向入站和出站邮件以便进行检查。拒绝某用户发送邮件， 并将文件备份到特定的用户进行处理。5对组织内部发往组织外部邮件应用免责声明注意实现邮件用户属于组织内部，邮件联系人属于组织外

21、部。一般情况下批量创建邮箱用户，或批量将邮件用户转化为邮箱用户，然后将这些用户转化为邮箱用户，批量创建邮件联系人。3反垃圾邮件功能优化配置：优先级从上到下依次降低IP 阻止列表提供程序， 导入反垃圾邮件联盟常见的反垃圾邮件程序（提供程序名提供程序服务的名称以便管理员识别；查找域提供查询ip阻止列表信息的域名称）阻止列表：如果常见的垃圾域名地址 ，没有在阻止列表 在此添加ip允许列表：如果合作伙伴被列入阻止列表 在此添加ip如果有发件人和收件人的特殊情况，可以添加进发件人和收件人筛选（域或邮件地址）。内容筛选和发件人ID发件人信誉配合使用：一般在内容筛选自定义单词 操作如下设置：第七讲1邮件记录

22、管理（MRM）邮件记录管理实际上就是重新创建一个托管默认文件夹类型，这个文件夹通过设置过期时间可以实现删除和保留的目的。这个文件夹一般定义为个人文件夹。邮件分类 ： 发件箱 收件箱 已发送 已删除 草稿箱 垃圾邮件 日历 任务 便笺 rss源。删除过期邮件： 默认邮件删除14天 邮箱删除 30天保留必要文件：设置：组织配置】邮箱】建立托管文件】 建立托管文件内容】建立策略】将策略绑定到用户】；2服务器配置【邮箱】【server属性】设定时间这是必选项，3.重启邮箱助理服务】则可立即生效；2日记管理基本日记记录 只能针对所有用户建立日记规则。高级日记记录 可以针对某个人或组织建立日记规则，也可以

23、针对全局内部外部建立日记规则。但同时只能选择一样。日记规则产生日记报告传到指定的电子邮件地址。前者服务器配置】邮箱】 后者组织配置】集线器传输 】两者之间独立设置各不干扰。最好只设立后者。如果勾选记录收件人的邮件，则只会针对某个用户或某个组设置日志记录。3工具箱邮件流故障排除工具；数据库疑难解答程序；性能疑难解答程序；最佳实践分析工具：查看服务器是否需要更新性能分析器邮件跟踪:跟踪用户队列查看器：查看排队的邮件第八讲：一公用文件夹1.文件夹类型默认公用文件夹系统公用文件夹常用设置：为各个部门创建公用文件夹文件信息启用邮件地址，限定公用文件夹的大小管理各个文件夹的权限公用文件夹的重要作用：向一个

24、群体发送共享文件。发送有两种方式，一是点到公用文件夹目标目录，新建邮件添加附件。而是以邮件的形式发送邮件到公用文件夹邮箱。拥有此邮箱权限的用户，都能收到此邮件。邮箱权限的设置：部门管理权限为发行编辑】，下属为作者】，添加企业其他部门所有员工为用户组（everyone）权限为【投稿者】。同时督促部门管理人员在owa或是在outlook中创建所有下属的子文件夹。2.三种创建方式 管理控制台OwaOffice outlook创建abc-1233.权限管理：读取写入 删除邮件xx二Outlook anywhere服务器设置1. 安装CA；2. 安装网络服务RPC over INTERNET；3. 服务

25、器配置】客户端访问】启用outlookanyWHERE；客户端设置1. 客户端必须信任ca，所以服务器上面的证书必须有效。2. 账户设置第九讲：邮箱服务器高可用一LCR （本地）二CCR（多数节点集）（推荐）1一台主域控，两台配置完全相同的服务器加入域作为成员服务器2创建在其中一台成员服务器上安装群集 注意在 仲裁】节点一定选择 多数节点集】（这个群集组必须是域管理员组）3域控：共享文件mns设置共享权限为完全控制注意:设置好共享文件夹后我们一定要转到MAILONE（Node1）,在CMD里敲入以下两条命令:群集创建服务器第一台群集服务器运行：cluster res “多数节点集” /priv

26、 mnsfileshare=dcmns （也就是共享文件夹的网络路径）4安装角色： 安装角色时设置的静态ip地址和群集名称应和第二步创建的不同。5测试转移节点：cluster group “群集组” /movePing静态ip地址三scc（共享存储群集服务）共享存储的两天计算机要么同为域控要么同为成员服务器。1主域控辅助域控2让两台计算机共享存储系统。Server1安装Iscsi注销，server2安装Iscsi注销，共享存储系统安装wintarget（conmpmgmt.msc创建host再创建disk）注销；server1上链接到所要使用的磁盘并将磁盘初始化,关机，server2上链接到所要使用的磁盘并将磁盘初始化,关机，给机箱充电。然后依次启用两台计算机。3在server1上创建群集，仲裁】节点一定选择 磁盘xx】第十讲：串讲一、架构：单域多域环境的确定，如果不在同一