目 录
1. 修改对象的属性,必须在架构主机上
2. 限制用户不能发送邮件
3. 关于部分用户的使用不同的邮件域名问题
4. 如果某个域控制器无法启动,需手工删除该域控制器
5. 恢复AD
6. 如何远程安装附加的域控制器DC2
7. 出差人员登录
8. 在域之间移动对象
9. 组策略
10. 批量建立用户
11. 存储目录设置
12. 设定IIS的证书及设置OWA修改密码功能
13. 设置身份验证
14. 设定主页为默认的exchange.
15. 设定SCL的阈值,以阻止UCE
16. 设置邮件跟踪与管理
17. 备份与恢复Exchange邮箱
18. 建立服务器性能参数
19. 添加免责声明
20. S/MIME操作步骤
21. 设置samba服务器加入win2003活动目录
22. 多域控制器环境下Active Directory灾难恢复
23. Exchange 使用的端口
24. 疑难技巧
25. Exchange工具集
regsvr32 c:\windows\system32\schmmgmt.dll 然后MMC
1、Exchange服务器上,新建SMTP Connector,命名为ToAll
2、在ToAll的General页面
a、选择"Use DNS route to each address space on this connector"
b、点击Add,将本地的Exchange服务器添加为本地桥头服务器(bridgeheads)
3、切换到Address Space页面
a、点击Add,在弹出的对话框中选择SMTP
b、输入*,点击OK
4、切换到Delivery Restrictions。有两种设定方式:
a、如果需要禁止的用户较多,则选择All Messages are rejected,然后将允许的用户添加到
Accept messages from的列表中;
b、反之,选择All Messages are accepted,将需要限制的用户添加到Reject messages from列表中。
5、设置完成后,在Windows的服务管理器中重新启动SMTP服务和Microsoft Exchange Routing Engine服务。
注意:如果您设置完成,并且重新启动上述服务后,发现传递限制没有起作用,应该被限制的用户依然可
以向Internet发送邮件,请参考下面的步骤,修改注册表。
1、打开注册表编辑器(regedit)
2、找到下面的键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RESvc\Parameters
3、在右边添加一个新值
类型:DWORD
名称:CheckConnectorRestrictions
值:1
4、关闭注册表编辑器
5、重新启动SMTP服务和Microsoft Exchange Routing Engine服务
选择“新增收件者原则” 举例ABCD用户使用TEST.COM,选择“修改”把ABCD账号加入 把原来SMTP的邮件域名改成@TEST.COM与ABCD账号建立邮箱然后,在系统管理员中,把下图“recipient update service”两项立即更新 查看用户账号邮件地址
步骤:重新启动主域控制器,进入活动目录恢复模式,输入ntdsutil,输入:metadata cleanup 输入:connection 输入:connect to server servername FQDN,输入:quit 输入:select operation target 输入:list sites 输入:select site sitenamber 输入:list domains in site 输入:select domain domainnumber 输入:quit 输入:remove selected domain 输入:quit即可
注:域控制器可以在本域中更改名称,但如果跨域改名时,需要先降级然后再升级为新域的控制器
1、原始恢复用于重建域中的第一个域控制器。步骤:进入目录恢复模式,在向导页面使用“高级模式”,并选择“当还原复制的数据集时,将……….所有副本的主要数据”。(如安装新硬盘时损坏数据库)
2、正常恢复(非授权恢复)用于恢复受损的AD数据库。步骤:进入目录恢复模式,然后执行恢复
3、授权恢复 把AD恢复到先前的一个状态 步骤:进入目录恢复模式,恢复活动目录到原始位置,然后在不重新启动的情况下运行ntdsutil.exe,然后输入:authoritative restore然后输入:restore subtree OU=testou,DC=cml,DC=com,DC=cn 然后输入:quit退出后重新启动服务器即可
首先备份域控制器DG1的系统状态为system.bkf,然后复制到远程计算机DC2上c:\system.bkf,然后以管理员登录到该计算机,选择还原,注:将文件还原到“备用位置”,备用位置输入:c:\backup。保持DC1开机状态,在DC2上运行dcpromo /adv,选择“附加的域控制器”,并指定还原的备份的位置 c:\backup完成即可
使用UPN即用户登录主名进行登录,域控制器会自动进行路由。操作:
1、 Active Directory域和信任关系----à右键“Active Directory域和信任关系”属性---à添加一个UPN后缀。这样在建立用户的时候,可以选择加入的哉名
2、 需要建立信任关系(Active Directory域和信任关系--à选择cml.com.cn属性---à选择“信任”,选择信任域的属性-----à选中“名称后缀路由”确认路由功能启用即可)。可以简化管理和用户登录过程
使用Active Directory 迁移工具(安装光盘i386\ADMT\下有安装文件),使用Ldp.exe查看对象的SID、GUID和SID历史
1、默认刷新时间为90分钟(windows2003成员服务器及没有配置成域控制器的计算机),允许30分钟时间偏移量,域控制器每5分种刷新一次。可以更改计算机和用户的管理模板来改变默认的刷新值。
2、手工强制更新: gpupdate /force
3、使用组策略管理控制台gpmc.msi
使用csvde建立用户 csvde –i –f d:\temp\user.csv
导出用户:csvde –f d:\temp\user.csv
邮箱及共用文件夹存储在单独的驱动器上,日志文件存储在单独的驱动器上,步骤:直接点击邮箱存储或公用文件夹存储上的右键,选择“属性”,然后选择“数据库”,直接浏览指定的目录即可,系统会自动进行迁移。一般每个数据库不要超过50GB。注:企业版可以建立四个存储组,每个存储组只能建立5个邮箱存储。
12. 设定IIS的证书及设置OWA修改密码功能
注:可以使用 OWA管理工具进行设置 https://192.168.2.14/owaadmin(需安装OWA管理工具包OWAAdmin.MSI)
一.配置SSL功能
1.安装证书服务
2.安装服务器证书(使用证书向导)
a.在IIS中,打开默认站点的属性页——目录安全性——安全通信(服务器证书)——新建证书,根据向导的提示完成证书的申请,记录下应答文件的路径!
b.在浏览器中:输入地址http://localhost/certsrv/进入证书申请界面。
c.申请证书——高级——使用Base64编码……——在“保存的申请”中填入应答文件的内容,证书模版选择“web服务器”,至此,证书将被颁发。
d.下载Base64编码的证书并安装。在证书导入向导中,将所有证书存储在“企业信任”下。
3.制作颁发证书的应答文件
a.进入证书颁发机构,在“颁发的证书”中,打开刚才被颁发的证书,在“详细信息”中,到处到一个cer文件,当然,编码要选择Base64编码的。
b.到处成功,记住路径。
4.让IIS自动处理挂起的证书请求
a.在IIS的“安全通信”中,打开“服务器证书向导”,处理挂起——选择应答文件。
b.完成咯。
5.配置使用SSL。
a.在“安全通信”的“编辑”中,选择“要求SSL”
6.至此你的服务器站点的所有网站都必须通过SSL认证才能访问,访问exchange时,需要输入URL(https://*****/exchange)
二.配置OWA的密码功能
1.进入AdminScripts目录(cd c\:inetpub\AdminScripts)
2.允许修改OWA密码adsutil.vbs set w3svc/passwordchangeflags 1
以上都是在命令行完成的
3.建一个虚拟目录IISADMPWD,物理路径在c:\winnt\system32\inetsrv\iisadmpwd
4.修改虚拟目录的“应用程序池”,在虚拟目录的属性中,修改应用程序池(ExchangeApplicationPool)
三.显示修改密码的button
1.进入注册表, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeWeb\OWA
2.Value name: DisablePassword
Value type: REG_DWORD
Data: 0
四.重起服务
Exchange Information Store Service
IIS Admin Service
四、设置用户验证方式
打开IIS,选择默认站点-->Exchange-->右键-->属性-->目录安全性-->匿名访问和验证控制-->编辑-->选择基本验证和集成windows验证,填写你的基本验证域,就是服务器AD域名称。
打开IIS,打开Exchange虚拟目录的属性,打开“目录安全性“,点击最下面的一个“编辑”按钮,在跳出的对话框中选中'需要安全通道'复选框。
通过这样的设置后,已经可以在用户前端界面的选项中看到'修改密码'按钮了,但是你试着更改密码,会提示你“密码太短,或不满足密码唯一性限制”的错误信息(这个错误信息有些误导,有时候并不是该原因出错,注意密码最短使用期限的设置),仍然无法正常修改密1 : 密码必须符合复杂性要求 已禁用
2 : 密码长度最小值 6 (可以根据你的要求调整 )
3 : 密码最短使用期限 可立即更改(注意这里,默认是24小时才可以修改)
4 : 密码最长使用期限 30 (根据你的需要调整)
5 : 强制密码历史 没有定义
6 : 用可还原的加密来储存密码 没有定义码。这是由于域安全策略的问题,打开域安全策略后,设置参考如下:
大功告成,接下来你就可以正常修改密码了。如果以上修改未能生效,请重新启动下IIS admin service 和 Microsoft Exchange Information Store Service
使用SELFSSL为OWA建立一个自签名证书 :
http://blog.donews.com/winmagyinjie/archive/2005/10/28/605953.aspx
在使用EXCHANGE自带的OWA(OUTLOOK WEB ACCESS)时,默认情况下是使用NTLM验证的,这时会弹出一个窗口要求用户输入用户、密码和域,这和我们的习惯有些不相似。在EX2003里,OWA带来了一种和我们平常上网使用的表单一样的登录方式,我们称为表单登录。然而表单登录因为使用的是明文传输,所以需要对密码进行加密,一般使用SSL来加密通信,这时我们就需要给OWA站点建立一个证书,通常情况下,我们是借助企业CA或独立CA来建立自己的证书,这样不仅要安装CA服务器,还需要完成很多的工作,尤其是当OWA运行在公网的时候,这些操作无疑是复杂的。现在好了,我们可以借助SELFSSL来给OWA站点签发自签名的证书而不需要CA服务器了。
过程
首先我们要完成这个工作,需要找到SELFSSL这个工具,别着急,且听我慢慢道来。在微软下载中心下载IIS6 资源工具包(http://www.microsoft.com/downloads/details.aspx?familyid=56FC92EE-A71A-4C73-B628-ADE629C89499&displaylang=en),在其中有SELFSSL这个工具。
下载完毕后,在安装有OWA站点的服务器上安装它,因为我们只需要SELFSSL这个工具,所以我们选择定制安装(当然你要想使用所有工具,也可以完全安装)
op_stop(); ;op_start();
接下来选择安装的路径,可修改。
op_stop(); ;op_start();
在安装的组件里选择SELFSSL。
op_stop(); ;op_start();
等待安装完成,你可以去喝点COFFEE,^_^ 安装完成后,系统会在开始菜单里建立对应的程序组,其中我们看到了SELFSSL的影子。
op_stop(); ;op_start();
注意:SELFSSL是个命令行工具!!
打开SELFSSL,可以看到SELFSSL的帮助页,如图:
op_stop(); ;op_start();
这里我们主要关心的参数是公用名称,这是要和你的OWA域名一样的。还有就是有效时间,一般为365天(1年),如果你有兴趣可以设置个100年,呵呵。。其他要注意的参数就是/K(密钥长度,不要超过1024位),还有/T(自动增加信任列表)
现在请你输入:SELFSSL /N:CN=owa.mydomain.com /T /V:365
以上命令表示我们将建立一个公用名称为owa.mydomain.com,时间为365天的证书。
SELFSSL将询问你是否将证书应用到指定的WEB站点(/S可指定站点ID)上,输入“Y”以确认。
op_stop(); ;op_start();
现在你可以打开IIS的管理工具的OWA虚拟目录exchange,应该可以看到在站点上已经有了SSL证书了。打开exchange虚拟目录的属性
op_stop(); ;op_start();
打开证书里的编辑。
op_stop(); ;op_start();