exchange serverexchange安装配置指南最新最全.docx
《exchange serverexchange安装配置指南最新最全.docx》由会员分享,可在线阅读,更多相关《exchange serverexchange安装配置指南最新最全.docx(31页珍藏版)》请在冰点文库上搜索。
exchangeserverexchange安装配置指南最新最全
第一部分
无法装入数据库怎么办?
Ip组织列表提供程序。
Ou组织单元的设置。
批量处理:
如何批量禁用邮件用户,邮箱用户;如何批量删除邮件用户邮箱用户。
邮件联系人一禁用就删除了,邮箱用户禁用后不会删除。
用户和组的设置:
一般在dsa.msc建立安全组而不建立通讯组,然后根据需要在emc建立多个动态通讯组(以便于发送邮件时快速定位到用户)根据部门,根据地理位置,根据分支机构定义多个动态通讯组,实现快速查找公司成员。
主要知识点速记:
安装包1234.
一EXCHANGE安装过程:
服务器一安装集线器传输服务器,和客户端访问服务器,及邮箱服务器
步骤:
1装域控2安装netframework2.0,NDP20-KB926776-X86.exe(HotfixPackage),powershell(windowsserver2003-kb907265x86-chs(powershell)),WindowsServer2003-KB926139-v2-x86-ENU.exe.3.安装iis6.0,提升域功能级别到2000纯生,这台计算机必须是全局编录服务器。
4.安装exchange补充:
安装msxm16.msi用来实现统一通讯。
服务器二安装边缘服务器。
步骤:
1添加主域名,dns正确指向。
2安装netframework2.0,NDP20-KB926776-X86.exe(HotfixPackage),powershell,ENU.exe3.安装iis6.0,提升域功能级别到2000纯生这台计算机必须是全局编录服务器。
4.安装exchange补充安装ADAMSP1
服务器三安装exchangesp1.服务器。
在以上的基础上,再安装时区补丁,及一个授权工具:
PFVDADMIAN
二收发邮件:
1.服务器客户端模式:
利用outlookexpress收邮件:
1账户属性选择安全连接;2启用exchange上面的pop3服务;
利用outlookexpress发邮件:
1账户属性勾选[此服务器要求安全连接];[发送邮件服务器[我的服务器要求安全连接]]2.启用exchange上面的pop3服务;3启用defaultserver中的“匿名用户”。
(此处可以不选)
2.EXCHANGE与外部smtp的连接
步骤:
发邮件:
1创建邮件交换记录
2创建新的集线器传输发送连接器。
收邮件:
1创建邮件交换记录
2第一步启用匿名身份验证(这个设置一般用来隔离外部邮件的传入),第二步有接受域
对比:
允许某台计算机往外中继。
启用匿名(有接收域)
Smtprelay方式:
内部smtp服务器:
允许某台计算机往外中继并指明中继主机。
启用匿名,(有接收域)。
中继主机:
允许某台计算机往外中继。
启用匿名(创建接收域)。
注意事项:
smtp集成IIS方式发送连接器最好设置成允许某台主机中继到外部。
记住重启smtp服务。
3.EXCHANGE与外部smtp的连接使用边缘传输服务器的情况。
步骤:
1在边缘服务器上面生成订阅,同时通过指向dns和主域名地址实现自动更新。
NEW-EDGESUBSCRIPTION-FILEC:
\EDGE.XML
2在集线器传输服务器上面,利用生成的订阅进行同步,START-EDGESYCHONIZATION
3禁用原来的集线器传输连接器,重定向邮件交换记录到边缘服务器。
因为已经复制了内部的架构,这里不用启用内部的defaultserver匿名身份验证
4.EXCHANGE与外部收发邮件有isa的情况分析
EXCHANGE与外部smtp的连接使用边缘传输服务器的情况。
步骤:
1在边缘服务器上面:
同时通过指向dns和主域名地址实现自动更新;生成订阅NEW-EDGESUBSCRIPTION-FILEC:
\EDGE.XML;dns指向内部dns服务器。
2在集线器传输服务器上面:
利用生成的订阅进行同步,START-EDGESYCHONIZATION;禁用原来的集线器传输连接器,重定向邮件交换记录到边缘服务器,如果是实际环境使用外部注册的,dns指向自己配置转发器。
3isa上面:
修改模版创建发布规则,和访问规则
4客户端测试访问,客户端创建两个域,分别创建主机记录和邮件交换记录。
发布规则是:
发布边缘传输服务器到外部
访问规则是:
dns(内部到外部,dnz到内部)smtp(内部到dmz,dmz到内部,dmz到外部)50636(内部到dmz)
5.EXCHANGE与外部收发邮件无边缘传输服务器的情况分析.
三.Exchange特性:
安装条件:
如何检查是否正确安装
事件日志;开始菜单有没有管理工具;检查活动目录和计算机有没有多Ou;
边缘传输服务器的主要作用:
邮件处理;垃圾邮件和病毒防护;边缘传输规则设置;地址重写与修正;
集线器传输服务器的主要作用:
邮件处理;垃圾邮件和病毒防护;邮件规则设置;
[PS]C:
\ProgramFiles>cdMicrosoft
[PS]C:
\ProgramFiles\Microsoft>cd
[PS]C:
\ProgramFiles\Microsoft>cd'ExchangeServer'
[PS]C:
\ProgramFiles\Microsoft\ExchangeServer>cdScripts
[PS]C:
\ProgramFiles\Microsoft\ExchangeServer\Scripts>./install-AntispamAgents
.ps1
客户端访问工具:
利用OUTLOOK连接邮件服务器。
统一消息的设置及使用:
[组织配置]设置拨号计划和ip网关;[服务器配置]建立关联;[邮箱用户]启用统一通讯;
启动统一通讯服务;
OWA优化管理:
OWA基本设置,owa日历设置,约会和会议等。
创建约会创建会议:
分别对自己,对公司其他同事,创建周期性约会;
.电子邮件地址修正:
第二讲:
如何配置服务器系统
1如果是OE客户端;pop3方式和IMAP4方式服务器端设置成【采用非加密形式】推荐,或者统一公司客户端设置成加密形式(默认)。
2如果是OFFICEOUTLOOK系统(服务器端dns配置别名autodiscover(自动发现),客户端配置网关和dns)并且配置OUTLOOKANYWHERE;owa(服务器端上设置,默认必须采用https方式连接);
3如果是ACTIVESYNC。
1.配置整体架构,如上方(EXCHANGE与外部收发邮件有isa的情况分析
EXCHANGE与外部smtp的连接使用边缘传输服务器的情况。
)
安装四个角色,发布边缘传输服务器,发布内部客户端,创建访问规则,测试。
2.客户端连接方式:
最好配置上面所有这三种形式,利用isa发布这些访问方式。
上面的这些形式都可以不信任ca,和安装证书就可以进行https(加密)方式连接,但是最好还是信任和安装。
3.客户端邮件保护证书:
所有客户端信任ca,为所有的客户端申请邮件保护证书(用户证书)(用以数字签名和加密),或网站保护证书(用以安全连接网站)。
(域用户可以实现自动信任和安装用户证书)
如何自动安装邮件保护证书和网站保护证书呢?
如何要求公司所有的待发邮件进行数字签名和加密呢?
实验注意事项:
配置pop3:
发布owa:
1.配置:
网络,dns,网关,配置正确
2.服务器端:
为站点申请网站保护证书(如果加入域自动信任ca,可以直接申请));ISA利用ssl方式实现与内部站点的链接就必须安装网站保护证书和信任ca,最好的办法是导出共享导入。
ISA最好加入域,如果没有加入域测试用户必须在ISA上面创建。
3.发布owa:
证书颁发给谁,ISA上面的站点就是谁,公共名称就是谁,测试链接就是谁。
4.测试:
验证两次
第三讲:
一身份验证和邮件数字签名和加密
1.身份验证方式:
验证两次:
ISA和OWA先后验证:
(这个无委派意思就是验证二次)
身份验证(无委派客户端无法直接进行身份验证);侦听器(【属性【身份验证【高级选择要求所有用户进行身份验证,对于每个http请求验证凭据)侦听器】属性】选择html】;这样就可以进行两次身份验证。
第一次输入用户名是登陆ISA,用ISA本地账户即可,如果ISA已经加入域就用域账户。
第二次是登陆exchange使用邮箱用户。
身份验证(无委派,客户端可以直接进行身份验证)第一次由ISA替代exchange验证是否为exchange客户端,第二次登陆邮箱用户。
上面这一种情况必须ISA加入域中或者本地账户和域账户相同;否则无法由ISA替代验证登陆。
只验证一次:
只让exchange验证用户身份(实际上是由ISA替代exchange进行身份验证),不要启用上面的无委派选择【基本身份验证。
上面这一种情况必须ISA加入域中或者本地账户和域账户相同;否则无法由ISA替代验证登陆。
此时还要进行相应的设置,owa网站上面的设置必须与exchange客户端访问节点下的设置相同。
2.连接方式加密
ssl连接
https和http方式:
web服务器端首先信任ca;在网站上面申请,(如果加入域自动信任ca,可以直接申请)[编辑]勾选ssl;【客户端信任ca,同时导入web服务器证书(共享的方式)】除非邮件加密和数字签名,可以省略。
自动发现:
(客户端和服务器web网站共同控制访问方式加密或不加密)只允许https方式连接;
如果是(EXCHANGEACTIVESYNC)OWA,自动发现)协议,服务器端先删除原来的(原来的证书无效但是可以加密)然后申请新的网站保护证书;[编辑]勾选ssl。
pop3,imp4:
默认情况下必须以加密的方式连接服务器,所以服务器端无需多加设置;客户端【账户属性】勾选[此服务器要求安全连接];[发送邮件服务器[我的服务器要求安全连接]。
3.邮件加密和数字签名:
如果是通过http和https方式,服务器端信任ca,申请网站保护证书;客户端信任ca,申请网站保护证书(下载证书链)利用证书来加密和数字签名。
如果是通过pop3,imap协议,服务器端不用设置;客户端信任ca,申请用户保护证书,利用证书来加密和数字签名。
数字签名和加密
ØOFFICEOUTLOOK的设置1.网关设置2.如果是域用户会自动输入用户名
Ø邮件申请证书1.通过mmc控制台申请,2.通过浏览器申请用户证书
Ø邮件加密签名(此处自动生成不用配置)1首先申请用户证书2.邮件】选项】信任中心】电子邮件安全行】设置】加密必须获得对方的一封邮件后才可以加密。
注意事项:
安装用户证书:
由谁申请就颁发给谁而不是由谁登陆颁发给谁,Owa方式没有数字签名和加密。
自动安装用户证书:
数字签名与加密过程:
1.服务器端安装证书颁发机构,用户端信任ca,安装用户证书(域环境可以实现全自动)。
2.如果要使用加密,必须接收过对方的一封邮件,而且对方安装过用户证书这样才能利用对方的公钥加密。
4.客户端访问协议及配置方法
POP3,imp4(officeoutlook)允许https和http方式;这两者的邮件保护证书就是用户保护证书。
(EXCHANGEACTIVESYNC)OWA,OUTLOOKANYWHERE,允许https和http方式;这两者的邮件保护证书就是网站保护证书。
客户端访问协议:
pop3,IMAP4(默认情况下客户端必须以加密的形式连接,但无需信任ca并安装证书)OE与OUTLOOK都可以以这两种方式来接连。
owa,OUTLOOKANYWHERE客户端必须信任ca(https方式客户端最好信任ca并安装证书)
ACTIVESYNC(https方式客户端最好信任ca并安装证书)
自动发现(只有https方式,客户端最好信任ca并安装证书);自动发现账户不允许空账号,而且证书颁发机构必须有效。
以上情况如果需要将邮件加密或数字签名,必须信任ca,pop3和imap4申请邮件保护证书或http方式申请网站保护证书。
5.如何使用http方式连接pop3,imp4
默认是使用https方式连接
设置验证机制set-popsettings–logintypeplaintextlogin
取消验证机制
set-popsettings–logintypeplaintextauthentication
设置验证机制端口993
set-imapsettings–logintypeplaintextlogin
取消验证机制端口143
set-imapsettings–logintypeplaintextauthentication
restart-service*pop3*
restart-services*imap*
6.身份验证情况分析smtp+pop3
接收:
Smtp启用匿名,并且有本地域
发送:
允许任何;允许某台计算机;允许所有通过基本验证的用户(这是一般情况)
OE将用户名和密码提交给smtp验证,此时OE必须勾选我的服务器要求身份验证。
二邮箱策略
每个用户只能绑定一个邮箱用户,可以设置恢复密码,可以设置登录次数。
三Mobile配置方法(EXCHANGEACTIVESYNC)加密与不加密方式
加密方式:
手机设置加密首先下载信任证书(这个证书同时也是网站保护证书),然后在手机上用这个名称进行同步;服务器端先删除原来的证书然后申请新的网站保护证书,[编辑]勾选ssl,重新启动iis服务。
第四讲:
一:
1.发送连接器
以上第一种情况
以上第二种情况
两个站点间的传递
站点内域之间的传递
站点内只有一台EXCHANGESERVER的情况
2.接受连接器
只要ip、端口、远程端口不同就可以创建。
3.
管理接收域:
权威域,内部中继域,外部中继域。
管理员可以通过拒绝所有不是发往组织的权威域中的收件人的电子邮件来阻止此开放中继方案。
但是,在有些方案中,组织希望合作伙伴或分支机构通过Exchange服务器中继电子邮件。
在Exchange2007中,可以将接受域配置为中继域。
组织接收电子邮件,然后将邮件中继到其他电子邮件服务器。
第一:
使用情况:
为合作伙伴或分支机构(其他林)初步处理安全防护。
相当与smtprelay。
内部中继域:
源主机,创建发送连接器,启用匿名(有接受域)
中继主机上面,首先配置GAL同步,创建发送连接器,启用匿名(创建接收域)
Dns配置为:
源域mx记录指向中继主机。
对比Smtprelay方式:
内部smtp服务器:
允许某台计算机往外中继并指明中继主机。
启用匿名,(有接收域)。
中继主机:
允许某台计算机往外中继。
启用匿名(创建接收域)。
外部中继域
接收域与邮件地址策略
必须配置一个接受域,才能在电子邮件地址策略中使用该SMTP地址空间。
创建接受域时,可以在地址空间使用通配符,来表示Exchange组织还接受SMTP地址空间的所有子域。
例如,要将C及其所有子域配置为接受域,请输入*.C作为SMTP地址空间。
但是,如果将在电子邮件策略中使用子域名,则每个子域必须具有明确的接受域条目。
该接受域条目自动在电子邮件地址策略中可用。
第二:
如果邮件地址策略中要使用子域或其他的域必须创建此接收域。
如果删除电子邮件策略中使用的接受域,则该策略不再有效,具有该SMTP域中电子邮件地址的收件人将无法发送或接收电子邮件。
二自动发现
1.服务器端Dns创建autodiscover别名记录,如果是域环境不用做任何操作。
客户端将自动配置。
2.客户端配置网关和dns,然后测试
注意:
自动发现(只有https方式,客户端最好信任ca并安装证书);自动发现账户不允许空账号,而且证书颁发机构必须有效。
三父域与子域之间
已经统一了后缀名,3子域只能创建子域的用户。
四安装监视工具,查看sid和guid号
以上每讲都有一个重点
第二部分
第五讲
数据库备份和还原
安全级别:
数据NTFSEFSBITLOCKEK备份还原审核
应用程序不同的应用程序
操作系统打补丁杀毒软件uac防火墙强秘密
内部网络ipsecnap(评估计算机的健康状态,允许健康的计算机接入网络)
边界网络isa
物理安全监控门锁等
安全意识
数据库备份还原:
创建两封邮件——备份——删除一封邮件——创建恢复存储组——还原firststoragegroup——分析合并
如何移动数据库(同活动目录数据库的移动用命令,sql数据库的移动式先分离复制再移动)(为防止万一移动之前最好先进行备份)
移动存储组必须先卸载所有的数据库;如果要移动某个数据库,卸载该数据库。
然后再装入数据库。
如何备份数据库(活动目录备份的是系统状态用系统备份还原工具,08必须用命令备份和还原;sql用系统备份还原工具;)
如何按照计划进行备份(
如何还原数据库
1.必须勾选这两行以备有效还原,这两项的作用就是防止没有备份就还原。
2.必须先卸载数据库。
负载平衡:
启用本地连续复制功能,可以定义两个存储路径。
第六讲
1.HT与EDGE的区别
2.邮件传输规则
企业邮件传输规则常见配置:
1对特定个人发送或接收的邮件进行跟踪或存档,将收件人发件人为(某个部门的邮件或某些人)的邮件秘抄到管理员(
administrator(管理员)domain(管理员)
master(主人)monitor(班长)
manager(负责人主任经理)boss(老板))
2.筛选机密组织信息:
来自于内部和外部的邮件包含某些敏感词汇秘抄送到管理员(针对具体进行设置)
3.防止不适当的内容进入或离开组织:
组织内部到外部(公司内部资料,公司机密信息)秘抄送到管理员,组织外部到内部(招聘信息,虚假广告)自动删除
4.在传递之前重定向入站和出站邮件以便进行检查。
拒绝某用户发送邮件,并将文件备份到特定的用户进行处理。
5.对组织内部发往组织外部邮件应用免责声明
注意实现邮件用户属于组织内部,邮件联系人属于组织外部。
一般情况下批量创建邮箱用户,或批量将邮件用户转化为邮箱用户,然后将这些用户转化为邮箱用户,批量创建邮件联系人。
3.反垃圾邮件功能优化配置:
优先级从上到下依次降低
IP阻止列表提供程序,导入反垃圾邮件联盟常见的反垃圾邮件程序(提供程序名——提供程序服务的名称以便管理员识别;查找域——提供查询ip阻止列表信息的域名称)
阻止列表:
如果常见的垃圾域名地址,没有在阻止列表在此添加ip
允许列表:
如果合作伙伴被列入阻止列表在此添加ip
如果有发件人和收件人的特殊情况,可以添加进发件人和收件人筛选(域或邮件地址)。
内容筛选和发件人ID发件人信誉配合使用:
一般在内容筛选]自定义单词]操作]如下设置:
第七讲
1邮件记录管理(MRM)邮件记录管理实际上就是重新创建一个托管默认文件夹类型,这个文件夹通过设置过期时间可以实现删除和保留的目的。
这个文件夹一般定义为个人文件夹。
邮件分类:
发件箱收件箱已发送已删除草稿箱垃圾邮件日历任务便笺rss源。
删除过期邮件:
默认邮件删除14天邮箱删除30天
保留必要文件:
设置:
组织配置】邮箱】建立托管文件】建立托管文件内容】建立策略】将策略绑定到用户】;
2服务器配置【邮箱】【server属性】设定时间这是必选项,3.重启邮箱助理服务】则可立即生效;
2日记管理
基本日记记录只能针对所有用户建立日记规则。
高级日记记录可以针对某个人或组织建立日记规则,也可以针对全局内部外部建立日记规则。
但同时只能选择一样。
日记规则产生日记报告传到指定的电子邮件地址。
设置:
前者服务器配置】邮箱】后者组织配置】集线器传输】两者之间独立设置各不干扰。
最好只设立后者。
如果勾选记录收件人的邮件,则只会针对某个用户或某个组设置日志记录。
3工具箱
邮件流故障排除工具;数据库疑难解答程序;性能疑难解答程序;
最佳实践分析工具:
查看服务器是否需要更新
性能分析器
邮件跟踪:
跟踪用户
队列查看器:
查看排队的邮件
第八讲:
一公用文件夹
1.文件夹类型
默认公用文件夹
系统公用文件夹
常用设置:
为各个部门创建公用文件夹文件信息
启用邮件地址,
限定公用文件夹的大小
管理各个文件夹的权限
公用文件夹的重要作用:
向一个群体发送共享文件。
发送有两种方式,一是点到公用文件夹目标目录,新建邮件添加附件。
而是以邮件的形式发送邮件到公用文件夹邮箱。
拥有此邮箱权限的用户,都能收到此邮件。
邮箱权限的设置:
部门管理权限为发行编辑】,下属为作者】,添加企业其他部门所有员工为用户组(everyone)权限为【投稿者】。
同时督促部门管理人员在owa或是在outlook中创建所有下属的子文件夹。
2.三种创建方式
管理控制台
Owa
Officeoutlook创建
abc-123
3.权限管理:
读取
写入
删除邮件xx
二Outlookanywhere
服务器设置
1.安装CA;
2.安装网络服务RPCoverINTERNET;
3.服务器配置】客户端访问】启用outlookanyWHERE;
客户端设置
1.客户端必须信任ca,所以服务器上面的证书必须有效。
2.账户设置
第九讲:
邮箱服务器高可用
一LCR(本地)
二CCR(多数节点集)(推荐)
1一台主域控,两台配置完全相同的服务器加入域作为成员服务器
2创建在其中一台成员服务器上安装群集注意在仲裁】节点一定选择多数节点集】(这个群集组必须是域管理员组)
3域控:
共享文件mns设置共享权限为完全控制
注意:
设置好共享文件夹后我们一定要转到MAILONE(Node1),在CMD里敲入以下两条命令:
群集创建服务器{第一台群集服务器}运行:
clusterres“多数节点集”/privmnsfileshare=\\dc\mns(也就是共享文件夹的网络路径)
4安装角色:
安装角色时设置的静态ip地址和群集名称应和第二步创建的不同。
5测试
转移节点:
clustergroup“群集组”/move
Ping静态ip地址
三scc(共享存储群集服务)
共享存储的两天计算机要么同为域控要么同为成员服务器。
1主域控辅助域控
2让两台计算机共享存储系统。
Server1安装Iscsi注销,server2安装Iscsi注销,共享存储系统安装wintarget(conmpmgmt.msc创建host再创建disk)注销;server1上链接到所要使用的磁盘并将磁盘初始化,关机,server2上链接到所要使用的磁盘并将磁盘初始化,关机,给机箱充电。
然后依次启用两台计算机。
3在server1上创建群集,仲裁】节点一定选择磁盘xx】
第十讲:
串讲
一、
架构:
单域多域环境的确定,如果不在同一
升级会员 