本文发表在 rolia.net 枫下论坛第一章
第二章 Exchange 2000 安装和设置
第一节 安装前的准备工作
1. 检查服务器硬件配置
2. 检查服务器是否是已经安装了AD的域控制器(DC)
3. 检查服务器的网卡及网络设置
4. 检查DNS对应是否设置完成
5. 检查服务器的IIS中是否安装好了SMTP service 和NNTP service
6. 检查是否安装Windows2000 service pack 1
7. 服务器页面文件设置为较大值
第二节 安装Exchange 2000
1. 注意,将Exchange 2000安装在空间较大的驱动器上
2. 安装过程中出现的Organization name中,输入公司名,比如“wagon”,这个名字将成为Exchange管理工具中的“根”
3. 安装过程中将提示你,安装程序将扩展Windows 2000的Active Directory,选择确定
4. 安装完成
第三节 安装Exchange 2000的后续工作
1. 安装完成,可以根据自己的喜好自定MMC控制台中的管理工具
2. 管理权限的设定:在Exchange管理工具的“根”上点右键,选Delegate control,进行添加和控制管理员权限的动作。可以专门为Exchange的管理员们建立一个群组。
第三章 信箱及群组整合规划
1. 安装完成Exchange 2000后,在Exchange服务器上使用Active Directory管理工具建立使用这帐号,同时建立他的信箱。姓氏:杨 名字:文杰 全名:电脑室-杨文杰
2. 建立方法及组织机构如下二图所示
3. 在“用户”的属性中的“Exchange General”属性页里,可以设置用户邮箱的容量限制(Incoming和Outgoing的Use default limit中的Default limit在Exchange管理工具的Global settingsàMessage Deliveryà属性àDefault页中设置)、delivery options以及delivery restrictions。其中,delivery options中可以设置转发和监督转发,并且可以设置允许用户一次发给收信者的数量。Delivery Restrictions中可以设置用户发送信件和接收信件的大小,可以限制不允许某些人发信给这个使用者。
4. 可以通过设置Global settingsàMessage Deliveryà属性中的Defaults属性页来设置邮件服务器防止邮件炸弹的攻击
5. 建立群组,并为其建立信箱,将用户加入这个群组后,这些用户中的每个人都能收到发给这个群组信箱的信。
6. 可以建立联系人来为Exchange用户建立公用的通讯录。并且可以为这些联系人建立群组,如下图所示。这些联系人都可以在Outlook2000中公用。
7. 信箱原则:可以在RecipientsàRecipient Policies中设置,可以修改Default Policy,也可以建立新的Policy。
8. 可以建立帐号模板来比较轻松的建立用户帐号。
9. 建立大量使用者的方法:使用Windows 2000 Resource Kit中的Addusers.exe命令来完成这个工作。
Addusers命令格式:addusers [计算机名] [/c] [file path] /p:l/c/e/d
参数意义如下:
计算机名:要建立帐号的计算机名
/c:使用文件引入用户列表
file path:加/c参数后,指定文件路径
/p:l/c/e/d:帐号选项,其中:
l:使用者下次登录时需更改密码
c:使用者不得变更密码
e:密码永远有效
d:帐号暂停使用
例如:addusers \\wgcnms1 /c c:\user.txt /p:e
用户列表文件格式如下:
[User]
<用户帐号1>,<全名>,<用户密码>,<Home drive>,<Home path>,<User profile>,<登录脚本>
<用户帐号2>,<全名>,<用户密码>,<Home drive>,<Home path>,<User profile>,<登录脚本>
…………………………
[Global]
<新全局组名1>,<该组说明>,<加入该组的用户帐号1>,<加入该组的用户帐号2>,……,
<新全局组名2>,<该组说明>,<加入该组的用户帐号1>,<加入该组的用户帐号2>,……,
…………………………
[Local]
<新本地组1>,<该组说明>,<加入该组的用户帐号1>,<加入该组的用户帐号2>,……,
<新本地组2>,<该组说明>,<加入该组的用户帐号1>,<加入该组的用户帐号2>,……,
………………
注意:addusers.exe不能识别中文,在上述文件内不可有中文字符,就连说明文字也不能是中文的。群组每一行的结尾必须加“逗号”
例子:
[User]
ywj,YangWenjie,1975,,,,,
xxj,Xiaoxiaojun,1978,,,,,
limin,limin,1976,,,,,
[Global]
[Local]
建立多用户帐号后,可以“群选”这些用户后,单击右键,执行“Exchange tasks”命令来建立他们的邮箱
10.在ServersàFoldersàPublic Folders下可以建立公用资料夹。也可以通过Outlook2000由用户直接建立公用资料夹。建立了公用资料夹,别忘记设置它的权限。
建立用户帐号的示例
组织用户帐号的示例 建立联系人和联系人群组的示例
第四章 Exchange 2000通信协议的设置和管理
1.新闻组NNTP暂且不表。
2.关于Outlook Web Access(OWA)
3.OWA的虚拟目录:
/exchweb OWA网页使用的图片和辅助文件
/exadmin Exchange系统管理工具界面
/exchange 用户信箱根目录
/public 公用资料夹
4.OWA中使“变更密码”可用的方法:
1) 确认你的企业安装了凭证服务器(CA server)
2) 安装IIS的SSL功能。在“默认Web站点”属性中选择“目录安全”属性页,选择“服务器凭证”来安装SSL安全功能。
3) 检查、winnt\system32\inetsrv下是否有iisadmpwd目录和文件。
4) 在“默认Web站点”建立虚拟目录iisadmpwd,其实际位置指向winnt\system32\inetsrv\iisadmpwd,存取权限为“读取”和“执行脚本”。
5) 完成
5.让OWA可以使用语音邮件和视频邮件的方法。
6.Pop3虚拟服务器的Connection选项需要控制。
7.SMTP虚拟服务器要防止成为别人的代理发送服务器。方法如下:
在SMTP虚拟服务器的属性中的Access属性页中,使用Authentication来验证发邮件用户。在客户端给出用于验证的用户名和口令。
在SMTP虚拟服务器的属性中的Access属性页中,使用Relay(转寄)限制功能来阻止自己网络以外的IP地址使用该SMTP转寄邮件。
8.SMTP虚拟服务器的属性中的Access属性页中,可以使用Connection按钮来限制允许使用该服务的用户地址或网域。
第四节 虚拟电子邮件主机概念及设置
一、新增虚拟服务器
虚拟服务器是Exchange 2000上的新功能,主要使同一台服务器上的不同IP地址上可以独立的执行下列的通信协议服务:POP3,NNTP,HTTP,SMTP,IMAP4等。新增虚拟服务器(@mouse.com)有下列步骤:
1.在服务器的网卡上设置第二个IP地址。
2.在DNS服务器上建立新的区域mouse.com,并建立A记录mail.mouse.com和MX记录mouse.com,并对应到主机mail.mouse.com上
3.在Exchange管理界面里宣告新的SMTP服务器(@mouse.com)。ServersàServeràProtocolsàSMTPà新增SMTP Virtual Server。并使用对应的IP地址。
4.在新增的SMTP Virtual Server的属性设置里,更改Delivery 属性页下的Advanced里的Fully-qualified domain name为mouse.com。并检查安全性设置。
5.在Exchange管理界面里宣告新的POP3服务器(@mouse.com)。ServersàServeràProtocolsàPOP3à新增POP3 Virtual Server。并使用对应的IP地址。
6.在Exchange管理界面里建立mouse.com专用的储存信息数据库。ServersàServerà新增Storage Group,并命名为Mouse Storage Group。(只有企业板才可以建立多个Storage group。)
7.在新增的Mouse Storage Group上点右键,新增Mailbox Store。命名为Mouse Mailbox Store。
8.设置Mouse Storage Group其它的属性,按“确定”。提示是否要载入(mount)这个信箱数据库。选择“是”来载入。经过一会儿等待,提示载入成功。
9.建立电子邮件位置原则(Recipient Policies)。
10.首先要建立原来企业的电子邮件位置原则。Recipient Policiesà新增Recipient Policiesà命名为“伟光企业电子邮件位置原则”。Modifyà在“寻找”对话框里,General选项卡里仅选择“Users with Exchange mailbox”和“Groups”,Storage选项卡里选择“Mailboxes in this mailbox store”,并浏览选中对应的Storage Database。然后按“确定”,出现提示“Apply this policy now”,按“确定”,回到新增原则的“Propities”对话框。选中“E-mail Address”选项卡,确认SMTP地址为“@wagon.com.cn”,X400地址中国家为CN。按“确定”结束“新增原则对话框”,出现提示,问是否更改原用户的X400地址,按“是”来更改之,完成设置。
11.建立mouse.com电子邮件位置原则。Recipient Policiesà新增Recipient Policiesà命名为“Mouse.com企业电子邮件位置原则”。Modifyà在“寻找”对话框里,General选项卡里仅选择“Users with Exchange mailbox”和“Groups”,Storage选项卡里选择“Mailboxes in this mailbox store”,并浏览选中第7步中新增的Mouse Mailbox store。然后按“确定”,出现提示“Apply this policy now”,按“确定”,回到新增原则的“Propities”对话框。选中“E-mail Address”选项卡,确认SMTP地址为“@mouse.com”,X400地址中国家为CN。按“确定”结束“新增原则对话框”,出现提示,问是否更改原用户的X400地址,按“是”来更改之,完成新增邮件位置原则Mouse.com。
12.建立mouse.com电子邮件使用者。建立时,注意选择对应的Mailbox store,应该为Mouse Storage Group/Mouse Mailbox Store。这样,新建立的用户邮件帐号就会是xxx@mouse.com,而不是xxx@wagon.com.cn了。
13.帐号建立技巧:使用模板帐号来建立用户帐号,省力,又不会因为选错Mailbox store而发愁了。
第五章 Exchange协同作业服务设置和管理
第一节 即时信息服务器
使用MSN作为用户端。
1.宣告和设置Instant Messaging Virtual Server。新增Instant Messaging Virtual Serverà输入名称,选择Web站点à输入Exchange 服务器的FQDN,如mail.mouse.com(如果Exchange 服务器本身又是DNS服务器,则可以输入域名,如mouse.com)à选择all this server to host user accountà完成。
2.设置用户帐号,使其IM服务可用。
3.注意,IM User address不是电子邮件地址,这个地址是该用户在IM服务器上作为识别的联络地址。如:Ywj@mail.mouse.com意思是:在IM服务器mail.mouse.com上的用户ywj。如果DNS服务器和Exchange服务器同在一台计算机上,则该用户的电子邮件地址和IM用户地址是一样的,都为ywj@mouse.com。
4.用户端软件使用MSN。安装MSN,电子邮件地址输入ywj@mail.mouse.comà选中“只使用Exchange Instant Messaging(不要透过Internet连线)”。
第三节 聊天服务器(Chat Server)
使用MS-Chat作为用户端
1. 宣告使用社群(Community):Exchange管理界面àPortocolsàIRCXà内容àAdd…àAdd Community选择“Default-Chat-Community”à指定IP地址àOK
2. 建立频道(Channel):Default-Chat-CommunityàChannelà 新增ChannelàName为“#Mouse Chat Room”,切记,一定要加“#”号,这是标准IRC命名格式àTopic为“杨氏企业技术支持聊天室”,Subject为“杨氏企业在线技术支持聊天室”,Content rating(PICS)为内容分级,Language为聊天室预设的语言,同HTML。Create This channel when the service starts为当IRC服务每次启动时自动建立该聊天室à设置其它参数,按“确定”àIRCXàStopàStart每次设置社群或频道的任何参数后,都要重新启动Chat Service。
3. 聊天室禁止入内原则(BAN):Default-Chat-CommunityàBANà新增Ban…à属性页中,Nickname对应用户端设置的“别名”,User name对应用户端设置里的电子邮件用户名。
4. 分类用户设置(Class):主要用于防止聊天服务器遭受攻击或惩罚在聊天室的调皮捣蛋者。
5. 建立新的社群的步骤:
1) 为网卡增加新的IP地址
2) Exchange管理界面àChat Communitiesà新增Chat Community
3) 宣告社群:Exchange管理界面àPortocolsàIRCXà内容àAdd…àAdd Community选择新增的社群,指定它使用新增的IP地址。搞定。
6. 客户端设置
1) 开启MS Chat,出现聊天连线画面。选择服务器,设置个人资料。
第四节 会议服务器(Conferencing Server)
使用Outlook2000 和Netmeeting作为用户端。
1. 选择完全安装来安装Conferencing Server。
2. 建立会议服务器存储组(Storage group)。Exchange2000管理工具àServersàServerà新增Storage Groupà命名为Conference Storage group完成
3. 建立用户信箱资料库:右键点选刚才建立的Conference Storage Groupà新增Mailbox Storeà命名为Conference Mailboxà设置相关属性à完成
4. 建立会议排程(Conference Calendar)邮件帐号:Conferencingà右键单击àManage…à选择会议管理站点à选择“是”来建立会议排程右键帐号,出现Conference Calendar mailbox对话框àCreatà给定Display name、Logon name、Password和Storage location(选择第三步中建立的Mailbox Store)àOKàClose完成会议排程邮件帐号的建立。
5. 建立会议资源(会议室)邮件帐号。ConferencingàDefault-First-Site-Name Conference Siteà右键à属性àResource选项卡àAdd…à在此添加会议室(会议资源),给定会议室的名称(Display Name,假设为“第一会议室”)、Logon name、Password、Storage locationà指定会议室可以使用的服务,包括Data Conferencing Provider和Video Conferencing Provider,并分别指定最大连接数à“第一会议室”创建完毕à如法炮制其它会议室。
6. 选择Conference Settings属性页,使用FQDN来给定访问会议服务时使用的URL。
7. 用户端的设置:使用Outlook2000召开会议,需要在用户计算机上登录一个注册键值。编辑一个aa.reg文件,在每台用户计算机上执行它,如下:
8. 用Outlook2000召开会议:以Exchange Server模式登录到Outlook2000,选择“行事历(工作计划)”,新建一个“会议邀请”,用“收件人”选择出席者、列席者、资源(会议室),并选择会议地点,选中“这是在线会议,使用Microsoft Exchange Conferencing,开始时间和结束时间以及信件内容,发信。
9. 被邀请人收到会议通知信,从信中获得会议地址的URL。按下“接受”,Outlook会把该会议加入到日程表中。
10. 当日会议的清单可以用IE5.0到下面的地址去查看:http://<服务器名称或IP地址>/Conferencing/List.asp
第六章 系统维护及故障排除
第一节 服务器性能监视
1. 当硬盘空间快用完时,发Email通知管理员的方法:ServersàServerà右键à属性àMonitoringàAdd…àFree disk space。
2. ToolsàMonitoring and statusàNotificationàEmail Notification…à设置监视主机、被监视主机、E-mail地址等选项àOK。
第二节 Exchange服务器的备份和还原
1. 使用Windows2000备份工具来备份AD和Exchange2000的资料库。
2. 还原AD时,必须将Windows2000启动到“目录服务还原模式”才可以进行AD的还原。
3. Exchange2000资料库的还原,必须要先将要还原的Storage Group的Mailbox Store和Public Folder Store做Dismount的动作,然后才可以还原。还原后,要将Mailbox Store和Public Folder Store做Mount动作。
4. Exchange2000资料库的还原,在“还原资料库存放”对话框里,记住一定要选择最下面的两个复选框“上次的备份组”和“还原完成后挂上数据库”,否则,在还原完成后,需要用Program Files\exchsrvr\bin下的Eseutil.exe工具来进行Hard Recovery的工作。
5. Eseutil.exe工具的功能:1)重整信息资料库。2)Hard Recovery。3)修复信息资料库。
6. 灾难重建准备工作
a) 所有服务器系统所使用的光盘应保留两个以上的拷贝。包括Windows2000,Exchange2000等。
b) 系统正常时候的完全备份硬盘或磁带。
c) 最新的服务器“系统状态”的备份。
d) Exchange2000上信息库的备份。
7. 灾难重建要领
a) 复原后的服务器(Recovery Server)不应该放置于灾难发生前的森林网域(domain forest)。应该放在不同的森林网域。
b) 复原服务器的主机名必须使用相同于灾难发生前原有服务器的主机名。在复原服务器上,在Exchange 2000上的储存群(Storage group)名字也必须和原来服务器的设置相同。
c) 还原的信息资料库名称必须和原来的信息资料库名称相同
d) 在复原服务器上,在Exchange 2000上的组织名称(Organization)必须和原来相同。
e) 在复原服务器上,在Exchange2000上的管理群组(Administrative group)名称必须和原有的服务器相同。
8. 灾难恢复步骤
a) 重新安装Windows 2000 Server
b) 利用前述Windows 2000备份工具工具和先前备份的档案或磁带进行还原先前的“系统磁区”的工作。
c) 利用Windows 2000备份工具和备份档案还原先前的“系统状态”。当完成这个步骤,并重新启动服务器时,将会收到一个错误信息“系统有一个以上错误发生,而无方启动相应的服务”。这个错误原因是SMTP服务或者和Exchange有关的服务所造成的。执行完下列步骤Exchange2000安装完成后即可解决这个问题。
d) 在灾难重建模式下安装Exchange2000服务器。将Exchange2000光盘放进光驱,从命令行执行系列命令:d:\setup\i386\setup.exe /DisasterRecovery。
e) 接着的安装过程,要特别注意一点是,选择的安装元件必须和原先的相同,同时,安装路径和硬盘必须也要和以前相同,否则,会因为Exchange找不到系统文件而导致Exchange服务器无法运行。
f) 在进行灾难恢复模式的安装过程中,会有一个对话框显示Active Directory必须先还原原有的Exchange服务物件,您才可以进行还原回存Exchange2000原由的物件及系统相关信息。否则,灾难恢复将失败。
第三节 故障排除
当你感觉这是无法解决的问题的时候,也就是自己能力不足的时候。
Exchange 2000援助交际资料大公开:Microsoft Technical Information。每月发行的技术资料光盘。
Exchange2000技术总网站:http://www.microsoft.com/exchange
Microsoft Technical Information技术文件搜寻网站:http://www.microsoft.com/technet 或者:
http://www.microsoft.com/technet/exchange
微软在线技术支持网站:http://support.microsoft.com/。通过错误代号搜索。
第七章 电子邮件数字证书和加密
第一节 安装微软证书服务器
1. 决定要安装的CA类型:企业根证书机构、企业次级证书机构、独立根证书机构、独立次级证书机构。
2. 从“新增删除程序”里安装CA。注意,安装了证书服务器之后,电脑无法重新命名,加入网域或者从网域中退出。
3. 选择安装类型。企业根CA和企业次级CA将和AD结合。独立根CA和独立次根CA则不需要AD。选中“高级选项”,点“下一步”。
4. 选择加密方法。
5. 输入CA识别信息。指定数据存放位置。复制档案,安装结束。
第二节 Exchange密钥管理服务
1. 安装Exchange密钥管理服务(Key management server)。准备工作:在Windows2000证书服务器上加入三个Exchange证书范本。开始à系统管理工具à证书管理器
2. 在证书管理器上:证书授权单位à目前的注册CAà原则设定值à新增à发行证书à增加“注册代理程序(电脑)”,“交换用户”,“只交换证书”三项。
3. 开始安装Exchange密钥管理服务。Exchange安装程序à增加Microsoft Exchange Key Management serviceà选择启动KM服务的方法:Manual password Entry和Read Password from disk。选择Manual password Entry,点“下一步”,Exchange安装程序给出一个密码,一定要记住这个密码à安装完成。
4. 设置管理权限给密钥管理服务(KMS):开始à系统管理工具à证书管理器à选中要管理的CAà右键à属性à安全页à新增安装了KMS的Exchange服务器àOK
5. 管理和维护密钥管理服务(KMS):Exchange2000管理界面àAdvanced SecurityàKey ManageràStart Serviceà出现要求输入启动密钥管理服务的密码的对话框,即第三步中Exchange安装程序给出的密码à输入密码,启动密钥管理服务
6. 更改预设的管理员密码:Exchange2000管理界面àAdvanced SecurityàKey Managerà属性à要求输入管理员密码à输入预设的密码为:passwordà点选Administrator页,又要求输入密码,再次输入密码为:password,进入Administrator选项卡à选定预设的管理者,并改变密码。这里也可以新增加管理员。
7. 自定义要求使用者进行注册的信息:点选Enrollment页,选中Send token in an e-mail,再点击Customize Message,将出现的对话框中的英文更改为如下:Subject——安全通行码通知信。Body——您好!您的安全通行码是%TOKEN%,数字式ID名称是Mouse CA。烦请按照下列步骤进行密钥注册:一、开启Outlook 2000/98,连线到Exchange2000服务器。二、选择“工具”菜单,选择“选项”。三、点选“安全”页。四、按下“取得数字ID”按钮。五、点选“在Exchange Server上设置我的安全性”。六、按下“确定”,输入上述的安全通行码和数字ID名称。按下确定,指定一个密码。Exchange服务器发认证后,发回一封经过加密的信。打开这封信,要求您输入密码,输入密码后,询问是否将这个证书存放到用户的电脑里,选择“是”,并输入密码。即可完成注册。感谢您的配合。——电脑室
8. 给使用者发布安全通行码。Active Directory用户及电脑à某用户à属性àExchange FeaturesàE-mail Security的属性à输入KM管理员密码à出现E-mail Security页àEnrollàSend Enrollment Messageà显示为用户分配的安全通行码,按“OK”à回到E-mail Security画面。有两个按钮可用:Recover…——重新给用户生成安全通行码;Revoke…——废止用户的安全通行码。
9. 可以对群体来或者储存群进行设置:Exchange管理工具àAdvanced SecurityàKey ManageràEnroll Userà输入管理员密码à选择核发安全通行码的方法。有两个选择:显示全局通讯录或者显示Mailbox stores。选择任一种方法à选择用户或者Mailbox storeà完成。
10. 重新申请安全通行码:Exchange管理工具àAdvanced SecurityàKey ManageràRecover Keys
11. 废止安全通行码:Exchange管理工具àAdvanced SecurityàKey ManageràRevoke Certificates
第三节 如何将数字证书和加密用于电子邮件
1. 用户如何向KMS取得证书和私钥:
a) 如第8步或第9步中,在Exchange服务器上的KMS发布安全通行码给指定用户
b) 使用Outlook2000的高级安全性取得证书和私钥。如第7步所述。更多精彩文章及讨论,请光临枫下论坛 rolia.net