Exchange 2010 教学笔记V4.docx

Exchange 2010 教学笔记1. Exchange 2010概述Exchange Server 2010 分为标准版和企业版。企业版可支持每台服务器处理50个数据库；标准版被限制在每台服务器处理5个数据库。并由产品密钥定义的两种许可版本。1.1. Exchange 2010的角色1（1）客户端访问服务器角色（CAS）从名称上就可以看起来，这是处理客户端访问请求的角色，与Exchange 2007的CAS角色相比，Exchange2010的CAS角色发生了不小的变化。在Exchange 2007中，如果客户端使用的是Outlook，那么客户可以使用连接到邮箱服务器上，但如果使用的是其他方式访问邮箱，如POP3、OWA、IMAP4、Activesync等，他们是不能直接访问到邮箱服务器的，他们是直接连接到客户端访问服务器，然后此服务器再将用户定位到邮箱服务器上。但在Exchange 2010中，所有的客户端访问请求都要连接到CAS服务器，经过身份验证之后，再通过代理转到相应的邮箱服务器。高可用性要求：关于客户端访问服务器角色的高可用性，微软推荐使用硬件设备实现，但在中小企业中，也可以使用Windows NLB实现。部署要求：此角色在Exchange邮件系统中必须存在，并且必须加入到AD DS域中（2）集线器传输角色（HT）-路由和策略集线器传输角色的主要作用是完成邮件传递（收发）、邮件传输规则、邮件日志规则等应用，在组织内部，集线器传输角色负责不同MBX之间的邮件传送，如果没有安装边缘传输服务器角色，集线器传输角色还将转发和接收Internet邮件。如果安装有边缘传输服务器角色，则Internet外部邮件由此角色负责，但组织内部邮件始终由集线器传输角色负责。高可用性要求：集线器传输角色的高可用性不需要单独配置，只要在同一个AD站点中部署多台集线器传输角色服务器，则多台服务器之间能够自动实现负载均衡。部署要求：此角色和CAS角色一样，在Exchange邮件系统中必须存在，并加入到AD DS域中。当网络规模不大时，此角色可以和CAS角色部署在同一台服务器。（3）邮箱数据库角色（MBX）此角色的主要作用是负责装载邮箱数据库、公共文件夹数据库；负责产生脱机通讯录；以及地址列表、邮件保留策略等基于邮箱数据库级别的管理。此服务器角色负责将客户端邮箱的内容存储到数据库中，包括用户的邮箱和公共文件夹等，并不在邮箱之间传输邮件等内容。高可用性要求：此角色的高可用性是通过部署在Windows群集上的DAG实现，一个DAG可以部署16个邮箱数据库副本，副本之间通过复制技术实现数据同步。部署要求：此角色在Exchange邮件系统中必须存在，并且必须加入到AD DS域中（4）边缘传输服务器角色（EDGE）边缘传输服务器角色一般部署于DMZ区域中，其作用是负责所有Internet上邮件的发送和接收，向外部发送邮件时，会由组织内部的集线器传输角色将邮件转发到边缘传输服务器角色来完成外部邮件发送。接收外部邮件时，则先传递到边缘传输服务器角色，经过反垃圾邮件和防病毒检查后，转发至内部的集线器传输角色上。因此，需要同步复制收件人列表及相关的设置信息。部署要求：此角色必须以独立服务器角色存在，在一般环境中为可选服务器角色。（5）统一通讯服务器角色（UM）-实现语音邮件此角色负责将邮件与语音的结合。早在Exchange 2007时语音邮件就已经出现，目前版本里此技术一直在发展，特别是和LYNC结合，功能强大。举个例子来说，对方打一个电话进来，如果用户不在，电话没人接。对方可以留言。留言的内容就可以转换为一封语音邮件。用户点开之后，可以自动播放。部署要求：部署此角色时，必须加入 AD DS域，如果没有统一信息需求时，此角色不需要部署1.2. Exchange 2010在不同企业中的部署（1）小型企业小型企业会将投入成本作为主要参考因素，一般来说小型企业没有语音邮件需求，因此不需要安装统一通讯服务器角色，但需要有此类要求，则需要将此角色单独部署在一台服务器上。同样，基于成本考虑不安装边缘传输服务器角色，而是直接使用集线器传输角色实现Internet邮件的收发、反垃圾邮件、防病毒邮件等。因此就可以将MBX、CAS、HT三个角色安装在同一台服务器上（2）中型企业（100-500人）性能、成本同样中型企业也需要根据语音企业的需求来决定是否安装统一通讯服务器角色，如果不需要，则不安装。基于成本考虑不安装边缘传输服务器角色。但考虑到服务器性能，则建议将MBX角色单独部署在一台服务器上，将CAS和HT合并到一台服务器上。如果考虑到扩展性，在费用允许的情况下，可以再加入服务器实现DAG高可用性，而合并的CAS、HT也可以实现CAS Array。如下图所示：（3）大型企业（500人以上）大型企业则财大气粗，直接按功能要求，将每个角色单独安装在一台服务器上。并且CAS角色推荐使用硬件设备实现高可用；MBX角色使用DAG实现高可用；多台HT角色之间需要实现协同运行；Edge角色可以通过在DNS中添加多条MX记录实现协同操作。如下图所示2. Exchange 2010安装2.1. Exchange 2010安装需要注意的事项（1）Exchange Server和 活动目录紧密结合，必须做好AD DS的部署工作，以满足Exchange Server正常运行的需要。（2） Exchange Server2010与Exchange Server 2007一样，使用AD DS中的AD站点拓扑及设置来控制信息路由的调度、复制间隔及成本等。因此，在安装及规划Exchange Server之前，需要确认AD DS站点规划满足Exchange在跨越低速连接时的需求。（3）另外还需要保证全局编录服务器GC的正常，因为客户端访问服务器角色在查找客户端邮箱的邮箱数据库以及客户端使用到全局地址列表时，都需要连接到全局编录服务器。因此，应保证每个AD 站点至少规则一台GC。考虑到GC的可用性和性能问题，可设置多台2.2. Exchange 2010安装要求（1）硬件要求： CPU：Inter EM64T或者AMD64硬件平台 内存：至少4GB内存。建议一个CPU核数乘以1GB，在此建议使用4核CPU。单独MBX角色则以4GB为起点，每加上每用户邮箱2-10MB内存累计估算。在此我们部署的是CAS+HT+MBX三合一角色服务器。则以8GB为基础，再加上每用户邮箱2-10MB内存累计估算。 磁盘空间：至少1.5GB以上，文件系统必须是NTFS。 （2） 软件要求： 1）对AD 的要求2）对AD健康状态的检测 3）操作系统：必须是Windows Server2008 X64的标准版或企业版 SP2以上，或者是Windows Server 2008 R2标准版或企业版。如果安装在Windows Server 2012上则需要打Exchange Server 2010 SP3补丁。 其他： NET Framework 3.51 SP1、PowerShell2.0、Windows Remote Managerment2.0、Office 2010 Filter Packs。其中NET Framework 3.51 SP1、PowerShell2.0、Windows Remote Managerment2.0 在Windows Server 2008 R2中已经自带，不需要下载安装，这就使得部署起来简化许多。 我们在此就使用Windows Server 2008 R2 企业版 SP1。如果仅在Windows Server 2008 R2上安装Exchange Server 2010 SP1则需要事先安装必要的Hotfix，如KB79099、KB979744、KB982867、KB983440、KB977020等，但幸运的是我们在此使用Windows Server 2008 R2 企业版 SP1，早这些Hotfix也不必下载安装。在将承载集线器传输服务器角色（HUB）与邮箱服务器角色的服务器（MBX）上，安装 Microsoft Filter Packs。2.3. Exchange 2010安装具体步骤（1）AD域（2）安装Microsoft Office Filter Packs下载地址：/downloads/zh-cn/details.aspx?FamilyID=5cd4dcd7-d3e6-4970-875e-aba93459fbee（3）利用PowerShell安装IIS组件 用户需要按照不同的Exchange 服务器角色安装不同的IIS组件，首先必须先开启Windows PowerShell命令行环境，在完成Import-Module ServerManager命令的执行之后，便可以开始针对不同Exchange Server 2010服务器角色的安装需求，来执行以下的不同命令与参数需求。具体安装的命令，视角色不同而不同，可以参考：/zh-CN/library/bb691354(v=exchg.141).aspx本示例中我们是将客户端访问服务器角色、集线器传输角色和邮箱服务器角色集成在一台服务器上，所以执行下面的代码，安装组件成功后，服务器将重启。Add-WindowsFeature NET-Framework,RSAT-ADDS,Web-Server,Web-Basic-Auth,Web-Windows-Auth,Web-Metabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-Process-Model,RSAT-Web-Server,Web-ISAPI-Ext,Web-Digest-Auth,Web-Dyn-Compression,NET-HTTP-Activation,Web-Asp-Net,Web-Client-Auth,Web-Dir-Browsing,Web-Http-Errors,Web-Http-Logging,Web-Http-Redirect,Web-Http-Tracing,Web-ISAPI-Filter,Web-Request-Monitor,Web-Static-Content,Web-WMI,RPC-Over-HTTP-Proxy Restart（4）启用服务器的远程管理功能，包括TCP端口的自动共享、服务器的远程管理以及为远程管理开放防火墙端口设置。此功能应在所有的Exchange Server 2010服务器角色上进行设置。确认e服务的启动类型设置为“自动”。（5）AD DS域扩展，此步骤可以使用 Setup /ps、Setup /p、Setup /pd命令，也可以Exchange Server在安装过程中直接安装1）2）setup /p 3）4）Setup /pd（6）Exchange Server 2010 SP1的安装2.4. Exchange 2010安装后的验证（1）输入产品密钥Get-Exchangeserver -identity Mail | fl productid查看Exchange 2010版本（2）运行Get-ExchangeServer | form-list 显示服务器角色 （4）查看服务（5）使用OWA收发邮件测试【问题】如何与组织外的邮件系统进行邮件收发则需要在DNS服务器上建立相关的邮件MX记录和主机A记录2.5. 为Exchange 2010安装证书（1）（2） 2.6. 为Exchange 2010创建发送连接器现在还没有安装EDGE服务器，HT服务器则起到组织内部对外部接收和发送电子邮件的功能，以及负责邮件在Exchange组织内不同站点之间的消息路由。只是AD站点之间的HT连接器是自动生成，无法查看和管理。2.7. 为Exchange 2010修改接收连接器负责接收来自Internet邮件的是连接器是Default2.8. 启用Outlook AnyWhere 若要实现Outlook Anywhere功能，则需要安装HTTP代理上的RPC功能，才能够将RPC协议封装在HTTPS协议中3. Exchange 用户邮箱的管理3.1. Exchange 2010邮箱的类型（1）用户邮箱这是最常用的邮箱类型，也就是一般用户所拥有的邮箱。主要是用来发送和接收电子邮件，不过此类邮箱无法提供资源使用日程安排。（2）会议室邮箱用于安排会议日程的邮箱，不是由个别用户所拥有。会议室邮箱作为资源包含在会议邀请中，并可以设置为自动处理传入的请求。如果在AD中为会议室邮箱新建关联的用户帐号，则此帐号将被禁用。 （3）设备邮箱设备邮箱与会议很相似，都不是由个别用户所拥有，而是用作资源邮箱。以便安排日程会议。设备邮箱可以作为资源包含在会议邀请中，并可以设置为自动处理传入的请求。 （4）链接邮箱此邮箱是不同信任林中的用户可以访问的用户邮箱类型，但是需要在exchange所在林中建立用户帐号。如果需要在林中部署exchange组织，则需要建立链接的邮箱。如此一来，便可以实现在单一林中集中管理exchange，也可以让一个或多个林中的用户帐号访问exchange资源。3.2. Exchange 2010用户邮箱的创建（1）常规（2）使用EMS（3）批量创建用户邮箱首先按照如下格式创建一个csv格式的文件已完成的 Exchange 命令行管理程序命令:New-Mailbox -Name lizhou -Alias lizhou -UserPrincipalName - 已用时间: 00:00:00 （4）批量启用已存在AD用户的邮箱3.3. Exchange 2010用户邮箱的禁用和删除（1）禁用与删除的区别禁用：此任务将删除 Active Directory 中的用户对象的所有 Exchange 属性。Exchange 存储将基于已删除邮件保留策略保留用户对象的邮箱数据。删除：删除邮箱时，将从其关联用户帐户断开邮箱连接，然后从 Active Directory 中删除该用户。邮箱将在邮箱数据库中保留一段指定的时间。默认情况下，Exchange 会将已断开连接的邮箱保留 30 天。您可以在指定的该时间段内，将邮箱重新连接到其用户帐户（2）邮箱的禁用EMS命令Disable-Mailbox （3）邮箱的恢复 （4）邮箱的删除与恢复1）启用AD回收站开启AD回收站需要2008 R2的林功能级别，我们可以使用PS来完成 加载AD模块：Import-module ActiveDirectory，提升林的功能级别 开启AD回收站功能Enable-ADOptionalFeature Identity CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=xh,DC=edu Scope ForestOrConfigurationSet Target 恢复3.4. Exchange 2010邮箱数据库的创建（1）Exchange安装完成后，会创建一个默认的邮箱数据库名称应该是Mailbox Database。（2）为了日后管理方便，也可以创建自定义的邮箱数据库3.5. Exchange 2010用户邮箱的移动此界面是设置在移运过程出现故障的解决方法。在此我们选择“跳过”，然后根据提示，即可完成邮箱的移动操作3.6. Exchange 2010修改收件人范围3.7. 筛选器【案例】描述：在邮箱数量很多的时候，那么管理员如果希望找到一个特定的邮箱，怎么办？那么就可以利用“筛选器”来缩小搜索范围。而且管理员可以使用单一筛选器也可以使用复合筛选器。也就相当于数据库中的select语句中可以任意加where条件一样。还可以单击添加表达式可创建带有多个表达式的筛选器。新添加的表达式可以更加严格地限制筛选器。如果有多个表达式，则多个表达式之间是AND的关系，如果是同一个字段，则默认为OR 。3.8. 用户邮箱的配额限制（1）邮箱数据库级别的限制（2）单个用户设置邮箱配额（级别高）在对单个用户做配额限制时可能不会立即生效，建议重启Exchange信息复制服务3.10. 用户邮件大小的限制【案例】设置jack发送的单封邮件最大为15MB，接收的邮件最大为20MB。【EMS】Set-Mailbox -MaxSendSize 10MB -MaxReceiveSize 15MB -Identity /hr/1如果是限制所有用户的邮件大小，则使用的命令：Get-Mailbox | Set-Mailbox MaxsendSize 发送邮件容量限制 MaxReceiveSize 接收邮件容量限制/zh-cn/library/bb124345(EXCHG.80).aspx3.11. 自动答复提示ECP自助服务【案例】当用户出差或休假时，可以将个人邮件设置为“自动答复”，以提示对方注意。在此我们针对jack这个用户从03.20号开始-03.31号结束，设置自动回复3.12. 用户邮箱的导入导出Exchange管理员可以针对重要用户的邮箱导出其内容，当用户的邮件误删除后，可以使用导出的内容进行恢复方法：Microsoft Exchange Server 2010 Service Pack 1 （SP1）开始就 引入了导入和导出邮箱的新方法。使用 MailboxImportRequest 或 MailboxExportRequest cmdlet 集，可以从 .pst 文件导入数据或将数据导出到该文件。发出邮箱导入或导出请求后，由 Microsoft Exchange 邮箱复制服务 （MRS)）异步完成该过程。MRS 驻留在所有 Exchange 2010 客户端访问服务器（CAS）上，该服务负责移动邮箱、导入和导出 .pst 文件以及还原已禁用和软删除的邮箱。默认情况下，任何内置的角色组（如组织管理角色组）中都不包括 Mailbox Import Export 管理角色。若要导入或导出邮箱数据，需要向角色组添加 Mailbox Import Export 管理角色【过程】（1）我们要创建共享文件夹并授予权限，Exchange仅支持共享文件夹方式存储 为 Exchange 信任子系统组“Exchange Trusted Subsystem”授予读/写权限，如果不授予此权限，将收到一条错误消息，指示 Exchange 无法与目标邮箱建立连接（2）因为不能向内置角色组添加角色，所以需要创建一个可以向其添加 Mailbox Import Export 管理角色的角色组。 打开ECP，使用管理员登录，选择“管理我的组织”-“角色和审核”-“管理员角色”，在下面的角色组中会显示当前所有角色。导入3.13. Exchange 2010 通讯组的管理通讯组可以一次性给多个用户发送邮件。邮件列表3.13.1 通讯组的创建（1）常规添加成员（2）EMS3.13.2 动态通讯组的创建3.14. 员工离职的IT流程自从学了PMP，我越来越意识到流程标准化的重要性。小编我看过的离职流程没有10个也有8个不同版本。作为一个邮件方向的技术人员，我觉得有必要说一下在人员离职后，如何保护邮箱的安全。以下步骤适用于Exchange 2010/Exchange 2013/Exchange Online（命令行）首先，禁用Windows账户，以防止离职用户登陆和访问AD数据。可以通过ADUC图形界面完成，也可以使用以下PS命令：Disable-ADAccount -Identity “CN=离职用户,OU=IT,OU=Users,DC=EXCHANGECN,DC=COM”第二，将邮箱置于合法保留（ Litigation Hold）状态，以防止离职用户篡改或删除邮件，并且对这些操作建立追溯机制。Exchange的缓存数据可以让离职的用户在一段时间内不需要重新建立连 接，你肯定不希望他们在回家的路上通过手机连接ActiveSync把邮箱清理干净，通过以下命令可以将邮箱置于挂起状态。Set-Mailbox Identity 离职用户 LitigationHoldEnabled $True -RetentionComment “Employee terminated on 9-July-2015相关资料：了解合法保留第三，调整邮箱配额防止继续收发邮件也是非常有必要的，有时离职用户会试图将含有私密信息的企业邮件转发到自己的个人邮箱：Set-Mailbox Identity 离职用户 ProhibitSendQuota 0 ProhibitSendReceiveQuota 0第四，离职用户可能在组织内部及外部有一定的业务关系，你需要为外部用户建立自动回复，为内部用户建立预提醒（MailTip）,以便让相关客户知道接下来要联系谁或怎么做。Set-MailboxAutoReplyConfiguration Identity 离职用户 InternalMessage Mr.X no longer works for us. Talk to HR if you want to know why!” ExternalMessage Mr.X is no longer an employee of this company. Please contact Mr.Y at ” AutoReplyState EnabledSet-Mailbox -Identity 离职用户 -MailTip Mr.X has left the building. Dont bother sending email”当然更高级的玩法是建立一个通讯组，然后针对这个通讯组建立传输规则，一旦有人员离职，就把他邮箱丢到这个组里。New-TransportRule “Block Email to Disabled Mailboxes” -SentToMemberOf “Disabled and Retained Mailboxes” -RejectMessageEnhancedStatusCode “5.7.929” -RejectMessageReasonText “Regretfully the user that you attempted to contact is no longer with E” -Enabled $True第五，许多管理员都知道要从所有的邮件组中将离职用户移除掉，然后请记得把它从全局地址列表里隐藏掉，缓存模式用户的离线地址簿大概在一到两天的时间内会更新。做的到位一点的话可以把SMTP地址也改掉。Set-Mailbox Identity 离职用户 HiddenFromAddressListsEnabled $True第六，这里建议将离职用户的邮箱移到别的数据库上，这是打断当前登录强制重连的最有效办法，这对第二个步骤做了很好的补充，当然由于迁移数据库需要 等待MRS服务完成所有邮件的复制，需要一段时间，这也就是为什么需要在第二步先将邮箱置于合法保留状态的原因。许多公司都有一个存放离职用户邮箱的数据 库，当然这个操作仅适用于内部部署，不适用Exchange Online：New-MoveRequest Identity 离职用户 -TargetDatabase DisabledMailboxesDB第七，启用邮箱审计。虽然用户本人的Windows账户被禁用了，但用户可能有委派的代理发送人可以代表用户本人发邮件，包括管理员也是有这个权限的，这就需要开启审计：Set-Mailbox Identity 离职用户 AuditEnabled $True第八，使用Clear-MobileDevice（适用于Exchange 2013）或Clear-ActiveSyncDevice（适用于Exchange 2010）以清理该邮箱所关联的当前ActiveSync设备的连接：Get-MobileDevice Mailbox 离职用户 | Clear-MobileDevice然后禁止这些设备连接邮箱（第一条命令为查看移动设备名和设备类型）Get-MobileDeviceStatistics -Mailbox 离职用户 | Select DeviceType, DeviceIDSet-CASMailbox -Identity 离职用户 -ActiveSyncBlockedDeviceIDs Device1ID, Device2ID, Device3ID ActiveSyncAllowedDevices $Null ActiveSyncEnabled $FalseGet-MobileDevice Mailbox 离职用户 | Remove-MobileDevice最后，将用户所有可能的连接协议禁用掉：Set-CASMailbox Identity 离职用户 EWSEnabled $False IMAPEnabled $False POPEnabled $False -MAPIEnabled $False OWAEnabled $False -OWAForDevicesEnabled $False -EWSAllowMacOutlook $False -EWSAllowOutlook -EWSAllowEntourage $False $False -MAPIBlockOutlookRpcHttp $True -ECPEnabled $False上述所有步骤完成后，您可以选择保留邮箱或将邮件导出到PST。作为一个强烈反对PST的攻城狮（原因请看我的另一篇文章：悉数PST的四宗罪），我建议保留邮箱，因为你一旦使用PST抛弃邮箱，邮件就再不会被eDiscovery搜索到了，从全局管理的角度看，这个邮箱就成了信息孤岛。再无足轻重的员工，哪怕是实习生，他的邮件也可能包含了公司内部信息，客户信息。任何员工的邮箱都是公司的财富，在有人员离职时，我们既要考虑财富的安全性，也要考虑完整性，二者不可偏废。4. Exchange 2010地址列表的维护地址列表类似于生活中的黄页，给用户一个清晰且有条理的目录，方便用用户查找定位。前提是需要你有一个完善的AD组织架构！4.1. Exchange 2010中建立地址列表根据组织架构建立地址列表测试4.2. Exchange 2010中实用技巧（1）代表发邮件总经理:苏月秘书：sdxh09邮箱属性-邮件流设置（2）查看用户邮箱管理完全访问权限场景：最近公司的重要资料被泄露，经理sdxh06调查 （3）邮件存档1）在客户端Outlook设置，邮件存储在本地2）在服务端启用存档邮箱服务器上必须要存在两个或两个以上的邮箱数据库启用存档之后，可以对重要的邮件做备份，转移之后的邮件会释放原有所占用的邮件空间。（4）限制邮件大小邮件大小限制1）不能突破邮箱大小的限制2）组织配置-集线器传输-全局配置*3）组织配置-集线器传输-发送连接器-邮件大小设置4）服务器配置-集线器传输-接收连接器-邮件大小最大值5）客户端（outlook)，突破默认大小限制HKEY_CURRENT_USERSoftwareMicrosoftOffice15.0OutlookPreferencesMaximumAttachmentSize=dword:000000006）修改OWA默认允许发送的邮件大小-服务端在C:Program FilesMicrosoftExchange ServerV14ClientAccessOwa目录里找到web.config打开修改maxRequestLength修改后面的数值，默认是30000（30M）5. Exchange Server 2010的传输规则如何有效的防范电子邮件的安全性，防止公司重要文件泄漏5.1. Exchange 2010中传输概述个5.2. Exchange 2010传输新特性（1）Mail Tips（邮件小贴士）是用户撰写邮件时向其显示的提示性消息使用邮件小贴士的功能，对用户在邮件发送过程中，进行提示，以防止邮件发送后出现相应的问题 邮件小贴士功能可以在发件人发送邮件之前，针对邮件的情况进行特殊情况的提示，如收件人设置了自动回复，收件人不在组织内部，收件人是很多用户等，默认情况Exchange Server 2010开启了部分Mail Tips功能【案例演示】自定义Mail Tips（邮件小贴士）可以针对特殊的用户邮箱，如企业公共邮箱，IT技术支持邮箱设置特定的Mail Tips，从而使用户在向这些邮箱发送邮件之前获得相应的信息提示1. 以用户contosoadministrator 密码password01!登录到虚拟机EX2010A2. 打开Exchange Management Shell，输入如下命令Set-Mailbox Identity ITSupport MailTip “本邮箱为公司的IT技术支持邮箱” -Identity 参数指定邮箱。-MailTip MailTip 参数指定发件人开始草拟发往此收件人的电子邮件时，显示给发件人的消息。MailTip 参数消息不能超过 250 个字符。 3. 登录虚拟机Windows 7 打开IE浏览器，登录OWA 4. 以用户contosowangqi 密码password01！登录OWA5. 首先取消用户wangqi的外出状态，然后新建邮件，选择收件人为ITSupport6. 在发送邮件的窗口中，可以看到刚刚为ITSupport邮箱设定的自定义的Mail Tips Mail Tps功能可以根据用户或者企业邮箱的需要，进行灵活的设置和定制，通过设置合理的Mail Tips可以有效降低企业中无效或者错误邮件的发送当向外部联系人发送邮件时启用邮件提示功能【EMS】PS C:Set-OrganizationConfig -MailTipsExternalRecipientsTipsenabled $truePS C:get-OrganizationConfig | ft *mailtips*（2）仲裁传输-实现邮件自动审阅当前很多企业都面临着普通用户超级申报或者越级审批的难题，我们可以通过Exchange服务器对企业内部的邮件流进行自动控制通过Exchange Server 2010的传输规则，实现邮件的自动审阅功能【案例演示】1. 打开Active Directory用户和计算机，查看用户yaoming的属性，在组织属性页中，查看用户yaoming的经理是用户lina2. 新建传输规则在简介页面，输入传输规则的名称IT Moderation3. 在条件页面，勾选发件人为用户，并且选择用户为 ，点击下一步4. 在操作页面，勾选将邮件转发给发件人的经理进行审阅，点击下一步5. 测试 Exchange Server 2010的传输规则提供了邮件的审阅功能，通过邮件审阅功能，可以防止企业内部的邮件越级申报，可以有效地控制企业内部的邮件传输（3）传输规则与AD RMS集成Exchange2010为你提供创建规则的能力，该规则需要基于关键字或模式提供AD权限管理服务（AD RMS）保护（4）端到端的使用u ECP的使用n 新的基于web的简单管理窗口n 面向最终用户，主机租户和专门人员（5）卷影冗余 影子冗余类似Transport Dumpster 增强可靠性的同时而不增加硬件成本 缺省是启用的 数据会被保留在上一跳服务器上直到转发成功 当下一跳传输失败被侦测到，上一跳会重新提交传输 如果传输服务器出现故障，你可以将其从生产环境中删除，而不会清空其队列或丢失邮件（6）支持WAN拓扑禁用TLS5.3. 配置AD RMS与Exchange Server 2010集成AD RMS【Active Directory 权限管理服务】是一种与应用程序协作来保护数字内容的安全技术，专为那些需要保护敏感的 Web 内容、文档和电子邮件的用户而设计。用户可以严格规定哪些用户可以打开、读取、修改和重新分发特定内容。组织可以创建权限策略模板，以实施用户应用于内容的策略。将Exchange Server 2010与活动目录权限（right）管理服务（AD RMS）集成，从而实现对Exchange邮件传输的加密及权限控制，通过AD RMS与Exchange的集成，可以实现对邮件传输的实时保护使用 Active Directory 权限管理服务 (AD RMS) 和 AD RMS 客户端，可通过永久使用策略（始终随信息一同存在，无论是否移动信息）保护信息，从而增强组织的安全策略。可以使用 AD RMS 来帮助防止敏感信息（如财务报表、产品说明、客户数据及机密电子邮件）被有意或意外地用于不当用途。与权限管理服务（Rights Management Services/RMS）集成是 Exchange Server 2010 的新功能，也是一大亮点。Exchange Server 2010 与 RMS 集成通过 IRM，即：信息权限管理/Information Rights Management 来具体实现。安装 RMS 之后，才可以使用 IRM。在 Exchange Server 2010 中，可使用信息权限管理 (IRM) 功能对邮件和附件应用持久保护。 通过与 RMS 的集成，Exchange 邮件用户可以控制收件人对电子邮件拥有的权限，允许或限制某些收件人操作，例如向其他收件人转发邮件、打印邮件或附件，或者是通过复制和粘贴提取邮件或附件内容。用户可在 Microsoft Outlook 或 Outlook Web App 中应用 IRM 保护，或者可以根据组织的邮件策略并使用传输保护规则或 Outlook 保护规规则应用 IRM 保护。与其他电子邮件加密解决方案不同，IRM 还允许组织解密受保护的内容，以强制执行策略遵从性。IRM 可以实现： 防止受 IRM 保护的内容的授权收件人转发、修改、打印、传真、保存或剪切和粘贴该内容； 用与邮件相同的保护级别保护所支持的附件文件格式； 支持受 IRM 保护的邮件和附件的过期，使其在指定时间段之后，无法再进行查看； 防止使用 Windows 中的截图工具复制受 IRM 保护的内容。但是，IRM 无法防止： 第三方屏幕捕获程序； 使用照相机等图像处理设备对显示在屏幕上的受 IRM 保护的内容进行照相； 用户记住或手动抄录信息。要使用 RMS，特别是进行解密工作，需要特殊的权限；Exchange 为了简化管理，并且减少 Exchange 与 RMS 直接的访问请求（用于获得 RMS 授权），在安装Exchange Server 2010 时，会在活动目录中创建一个专门的用户帐号，显示名称为 FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042。将这个帐号加入到 RMS 的 Super Users 组中即可获得相应的权限。Exchange 与 RMS 的集成主要分为3个步骤： 安装RMS并注册服务连接点（Service Connection Point/SCP）； 设置 Exchange 在 RMS 服务上能够使用的权限； 创建并配置 RMS 的 Super Users 组。（0）为RMS服务器向CA申请证书1）在CA中单独为RMS服务器创建证书模板2）为RMS服务器向CA申请计算机证书（1）安装AD权限管理服务 为AD RMS服务创建一个服务管理账户rmsadmin，注意不能选择默认的域管理员作为AD RMS的管理账户 将用户rmsadmin加入到domain admins组之中 注意此操作将创建的rmsadmin用户加入了域管理员组，只有AD RMS服务安装在域控制器时，才需要进行此操作，如果AD RMS服务器仅安装在域成员服务器上，则无需将rmsadmin加入域管理员组 安装如下：、 此操作为配置RMS客户端与AD RMS服务器之间通讯所采用的方式，建议采用SSL加密所有数据通信，以确保数据传输的安全保护在注册AD RMS服务连接点页面，选择立即注册AD RMS服务连接点，点击下一步在Web服务器（IIS）页面，点击下一步在选择服务角色页面，保持默认选择，点击下一步在确认安装选择页面，确认安装设置与之前设置相同，点击安装开始AD RMS服务的安装过程确认所有安装任务成功后，点击关闭完成AD RMS的安装过程（2）配置AD权限管理服务并实现与Exchange Server 2010的集成 打开EMC，创建安全通讯组SuperRMSUsers 此操作将为AD RMS创建一个超级用户组，AD RMS超级用户组的成员可以对使用RMS加密的内容进行解密 运行DSA.msc 找到用户FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042，将该用户加入到SuperRMSUsers组中默认Exchange Server 2010集线器传输服务器会使用该用户身份对所有收发的RMS加密邮件进行解密尝试，因此需要将该用户加入到AD RMS超级用户组之中，才能够确保Exchange集线器传输服务器能够对RMS加密的邮件进行反垃圾和反病毒邮件检查和筛选 进入AD RMS界面，在安全策略中启用超级用户必须使用之前安装AD RMS群集时设置的管理账号登录AD RMS服务器进入AD RMS界面，在安全策略中启用超级用户 在中间窗口选择更改超级用户组，选择浏览，指定SuperRMSUsers为超级用户组 将之前创建的SuperRMSUsers用户组设置为超级用户组，确保Exchange能够与AD RMS进行集成，实现如OWA RMS加密，RMS邮件传输检查等功能 打开IIS管理器，展开Default Web Site，并浏览里面的certification 在certification文件夹中，右键点击ServerCertification.asmx文件，选择属性安全 在ServerCertification.asmx属性安全选项中，点击继续，在ServerCertification.asmx的权限页面，点击添加，添加Authenticated Users组，确保Authenticated Users组对ServerCertification.asmx文件有读取和执行、读取的权限，点击确定完成权限的设置 Exchange OWA在使用RMS权限设置时，会通过Web的方式读取AD RMS服务器上的ServerCertification.asmx文件中存储的权限相关信息，默认仅有System对ServerCertification.asmx文件具有读取权限，因此需要为Authenticated Users组赋予对该文件的读取权限，以确保在Exchange OWA中可以正常使用RMS功能 在Exchange Management Shell中输入 ，查看当前Exchange组织的权限管理设置情况InternalLicensingEnable： False 表示当前Exchange组织内部没有启用RMS功能E