Exchange2010手册.doc

TechNet动手实验营Exchange Server 2010新体验实验手册目录实验准备：4实验环境1:4实验环境2：4开始实验：5课程概述5课程目标5先决条件5目标人群：6练习1：使用管理控制台配置和管理Exchange Server 20107为Exchange Server 2010安装并配置证书服务器7为Exchange Server 2010服务器申请证书8为客户端访问分配证书11练习2：配置数据库可用性组（DAG）实现邮箱服务器高可用12练习3：配置AD RMS与Exchange Server 2010集成，实现邮件传输保护15安装AD权限管理服务15配置AD权限管理服务并实现与Exchange Server 2010的集成16练习4：配置邮件传输规则实现邮件传输控制23实现自动邮件权限控制23实现邮件自动审阅25练习5：使用OWA及ECP实现用户邮箱访问及邮箱自助管理25练习6：配置Mail Tips（邮件小贴士）27查看Mail Tips（邮件小贴士）27自定义Mail Tips（邮件小贴士）28练习7：配置Outlook 2010访问Exchange Server 201028练习8：将Exchange Server 2003升级到Exchange Server 201030实验准备：为确保完成所有实验模块，请务必阅读下列信息： 虚拟机本实验将使用Windows Server 2008 R2中的Hyper-V技术。该应用技术支持在同一物理硬件上运行多台虚拟机。您将于实验过程中在不同窗体之间进行切换，而每个窗体均包含运行Windows Server 2008 R2或Windows 7的独立虚拟机。在开始实验前，请务必熟悉有关Hyper-V的下列基本操作：要启动虚拟机，请在Hyper-V Manager中选中某一台虚拟机，然后右键点击“启动”要连接到虚拟机进行实验，请在Hyper-V Manager中选中某一台虚拟机，然后右键点击“连接在虚拟机窗体内，请使用“CtrlAlt-End”组合键代替“CtrlAlt-Del”组合键。如欲切换到全屏模式或从全屏模式返回窗体模式，请按组合键“CtrlAlt-Break”。实验环境1:虚拟机操作系统角色内存IPWS2008R2DCWindows Server 2008 R2域控制器、DNS1GEx2010AWindows Server 2008 R2Exchange 2010邮箱、集线器传输、客户端访问服务器2G0000Ex2010BWindows Server 2008 R2Exchange 2010邮箱服务器2G0000Windows7Windows 7+Office 2010客户端1G0实验环境2：虚拟机操作系统角色内存IPExchange2003Windows Server 2003 SP2域控制器、DNS、Exchange Server 20031.6GEx03-10Windows Server 2008 R2域成员服务器2G0UpclientWindows 7+Outlook 2007客户端1G00开始实验：在开始任何一个实验模块之前，均应首先启动虚拟计算机，并执行登录操作。您只要启动各项练习所使用的虚拟计算机。登录到虚拟机：按下“CtrlAlt-End”组合键（而非“CtrlAlt-Del”组合键）打开登录对话框。输入以下信息： 用户名： Contosoadministrator 密码： password01!然后按下“Enter”键现在即可开始完成实验手册中的练习。祝实验顺利！课程概述课程目标完成本次实验之后，您将能够： 了解Exchange Server 2010的新特性 掌握如何使用Exchange Server 2010管理控制台及Exchange Management Shell对Exchange Server 2010进行管理 掌握如何配置活动目录权限管理服务器与Exchange Server 2010集成实现邮件传输安全保护 掌握如何为Exchange Server 2010配置证书，实现客户端访问加密 掌握如何配置数据库可用性组（DAG）实现Exchange Server 2010的邮箱服务器高可用 掌握Exchange Server 2010的邮件传输规则，实现邮传输控制 掌握通过OWA、Windows Mobile及Outlook 访问Exchange Server 2010 掌握Exchange Server 2010的个人归档功能，实现企业邮箱的在线个人归档 掌握如何从Exchange Server 2003升级到Exchange Server 2010先决条件在开始实验之前，您必须具备： 具备一定的命令行环境操作能力 了解活动目录及活动目录的日常管理 了解Exchange Server的基本概念 熟悉Exchange Server的日常管理任务目标人群：本实验是为企业中负责Exchange Server邮件系统管理的IT专业人士设计的， 在本实验中，您将学习如何配置和使用微软全新一代邮件系统平台Exchange Server 2010。您还将学习Exchange Server 2010所带来的全新灵活可靠、随时随地访问及保护合规方面的特性。您将在动手实验中学习Exchange Server 2010的管理控制台、管理命令行，Exchange Server 2010与活动目录权限管理服务集成，数据库可用性组的创建，传输规则的定制，还有如何从Exchange Server 2003升级到Exchange Server 2010。练习1：使用管理控制台配置和管理Exchange Server 2010为Exchange Server 2010安装并配置证书服务器在此任务中，您将安装活动目录证书颁发机构，活动目录证书颁发机构可以为Exchange Server 2010提供公钥基础架构，可以为Exchange服务器颁发证书，用于Exchange服务器客户端访问及邮件传输的加密开始这个任务，使用Contosoadministrator账户和密码password01!登录到WS2008R2DC虚拟机1、 打开开始菜单，点击管理工具，然后点击服务器管理器2、 在服务器管理器中，点击角色3、 在角色控制面板中，选择添加角色4、 在弹出的添加角色向导页面，点击下一步5、 在选择服务器角色页面，选择Active Directory证书服务，并点击下一步 首先为当前环境部署AD证书服务，通过AD证书服务才能够为Exchange服务器颁发证书，实现客户端访问及邮件传输加密。如果不安装Windows Server 2008内置的证书服务，也可以向Internet证书颁发机构申请购买证书用于Exchange服务器。6、 在Active Directory证书服务简介页面，选择下一步7、 在选择角色服务页面，确认证书颁发机构已经勾选，并且勾选证书颁发机构Web注册 证书颁发机构Web注册可以实现基于Web页面的证书申请流程8、 在弹出的添加角色向导页面，选择添加所需的角色服务，并点击下一步 证书颁发机构Web注册需要Internet信息服务的支持，在Windows Server 2008 R2添加角色过程中，添加角色向导会根据添加的角色自动找到所需的相关角色服务，如证书颁发机构Web注册需要IIS服务。9、 在指定安装类型页面，选择企业（E），并点击下一步10、 在指定CA类型页面，选择根CA（R），并点击下一步11、 在设置私钥页面，选择新建私钥，并点击下一步12、 在为CA配置加密页面，点击下一步13、 在配置CA名称页面，查看此CA的公用名称（C）为contoso-WS2008R2DC-CA，点击下一步14、 在设置有效期页面，保持证书选择有效期为5年，点击下一步15、 在配置证书数据库页面，点击下一步 在生产环境中，建议将证书的数据库及数据库日志位置设置在非系统分区，非系统磁盘阵列上面，以便于数据的备份和灾难恢复16、 在Web服务器（IIS）页面，点击下一步 角色添加向导会自动将所需角色服务的添加过程加入到当前安装过程中17、 在选择角色服务页面，点击下一步18、 在确认安装选择页面，核对之前所配置及选择的信息是否正确，在核实准确无误后，点击安装，开始IIS、远程服务器管理工具及AD证书服务的安装19、 在安装结果页面，点击关闭，并重新启动WS2008R2DC虚拟计算机为Exchange Server 2010服务器申请证书在此任务中，您将通过Exchange Server 2010的管理控制台为Exchange服务器创建证书申请，并且通过Web的方式完成向证书颁发机构申请证书的过程，通过Exchange管理控制台可以实现证书申请的图形化界面操作，简化了证书申请的任务操作 开始这个任务，使用Contosoadministrator账户和密码password01!登录到Ex2010A虚拟机1、 打开开始菜单，点击所有程序，在Microsoft Exchange Server 2010中选择Exchange Management Console2、 在Exchange管理控制台中， 展开Microsoft Exchange的内部部署，在弹出的Exchange 2010服务器许可中，点击确定3、 点击服务器配置，在Exchange证书窗口中，查看当前已有一张自签名的Microsoft Exchange证书 Exchange Server 2010的安装过程中，会自动为Exchange服务器创建一张自签名的证书，以用于客户端访问及邮件传输的加密，但因为该证书为服务器的自签名证书，默认不被客户端及其他服务器所信任，因此在完成Exchange Server 2010的安装后，需要为服务器申请一张证书替换默认的自签名证书。4、 在控制台右侧的操作窗口中，选择新建Exchange证书5、 在新建Exchange证书页面，输入证书的友好名称（E）中，输入Exchange2010CA，并点击下一步 证书的友好名称可以根据需要自行设定6、 在域作用域页面中，确认没有勾选启用通配符证书（E），点击下一步 因为本实验环境为单域结构，没有子域环境，且没有其他特殊需求，因此无需为服务器申请通配符证书。7、 在Exchange配置页面，展开客户端访问服务器（Outlook Web App）， 选中Outlook Web App已连接到Intranet，在用于内部访问Outlook Web App的域名中，输入Ex2010A.选中Outlook Web App已连接到Internet，在用于访问Outlook Web App的域名中，输入8、 展开客户端访问服务器（Exchange ActiveSync）， 选中已启用Exchange活动同步，在用户访问Exchange ActiveSync的域名中，输入9、 展开客户端访问服务器（Web服务、Outlook Anywhere和自动发现）， 确认选中已启用Exchange Web服务、已启用Outlook Anywhere，在组织的外部主机名输入，在Internet上使用的自动发现设置为长URL，要使用的自动发现URL设置为 可以展开其他服务器证书配置选项，如集线器传输服务器、旧版本Exchange服务器等，为集线器传输服务器、旧版本Exchange服务器或者统一消息服务器设置证书10、 点击下一步，进入证书域页面11、 在证书域页面，确认证书的域列表中包含、和，点击下一步12、 在组织和位置页面，依下表输入单位Microsoft组织单位China国家/地区中国市/县北京省/市/自治区北京13. 在证书请求文件路径中，选择浏览，选择桌面，将证书请求文件保存在桌面，输入文件名为CARequest，点击保存14. 点击下一步进入证书配置页面15. 查看证书的配置是否与之前的设置相同，如无问题选择新建16. 点击完成，完成证书申请文件的创建。 证书申请文件的创建完成，接下来需要将申请文件发送给证书颁发机构，以申请证书，因为之前安装了证书颁发机构Web注册，因此可以通过IE浏览器的方式完成证书的注册17. 打开开始菜单，选择所有程序，打开Internet Explorer18. 在IE浏览器中地址栏中，输入/certsrv19. 在弹出的Windows安全对话框中，输入用户名administrator，密码password01!20. 在弹出的安全警告中，点击添加，将添加到可信站点中21. 进入AD证书Web申请页面，选择申请证书22. 选择高级证书申请23. 选择使用base64编码的CMC或PKCS#10文件提交一个证书申请，或使用base64编码的PKCS#7文件续订证书申请24. 找到桌面上之前创建的证书申请文件carequest.req，使用记事本打开该文件25. 选中如下图所示选中的内容，并复制所选中的内容26. 在IE浏览器提交一个证书申请或续订申请页面，将复制的内容粘贴到Base-64编码的证书申请（CMC或PKCS#10或PKCS#7）中，并在证书模板中，选择Web服务器，点击提交27. 证书会自动颁发，选择下载证书，将证书certnew.cer保存到桌面，关闭IE浏览器。 Exchange证书的Web申请完成，因为此证书是向之前搭建的WS2008R2DC证书颁发机构所申请的，该证书颁发机构默认是不被其他服务器所信任的，因此需要将该证书颁发机构导入到Exchange服务器的受信任的根证书颁发机构28. 打开IE浏览器，在地址栏中输入/certsrv，使用用户administrator，密码password01!登录29. 选择下载CA证书、证书链或CRL30. 选择下载CA证书，将CA证书保存到桌面，命名为CA.cer31. 打开开始菜单，选择运行，输入MMC32. 在控制台中，选择文件，添加/删除管理单元，并将证书添加到所选管理单元，选择计算机账户，点击下一步，选择本地计算机（运行此控制台的计算机），点击完成，点击确定33. 展开证书（本地计算机）-受信任的根证书颁发机构证书，右键证书，选择所有任务导入34. 在欢迎使用证书导入向导页面，点击下一步35. 在要导入的文件页面，选择浏览，并选择桌面的ca.cer文件，点击下一步36. 在证书存储页面，点击下一步，并点击完成，将WS2008R2加入到Exchange服务器的受信任的根证书颁发机构，关闭控制台37. 打开Exchange管理控制台，在服务器配置界面，Exchange证书中，右键点击Exchange2010CA证书，选择完成搁置请求。38. 在完成搁置请求页面，选择浏览，打开桌面上的certnew.cer文件，点击完成，完成Exchange服务器证书的申请及导入操作39. 在Exchange证书页面，确认Exchange2010ca证书已经变更为不是自签名证书为客户端访问分配证书 在此任务中，将为客户端访问分配之前申请的证书，客户端对Exchange Server 2010的各种方式访问均通过证书加密完成，保证数据传输的安全性。1. 在Exchange管理控制台服务器配置页面中，右键点击之前申请和导入的证书Exchange2010CA，选择为证书分配服务2. 在将服务分配到证书页面中，确认已经添加了服务器Ex2010A，点击下一步3. 在选择服务页面中，选中简单邮件传输协议和Internet信息服务，并点击下一步 当前仅对SMTP和IIS服务分配了证书，可以根据实际情况，为邮局协议（POP3）、Internet邮件访问协议（IMAP4）或统一消息服务分配证书4. 在分配服务页面，点击分配，在弹出的确认框中选择是，使申请的证书覆盖默认的证书5. 点击完成，从而完成服务的证书分配6. 以用户contosoadministrator，密码password01!登录到虚拟机WS2008R2DC7. 点击开始菜单，选择管理工具，选择DNS8. 在DNS管理器中，展开WS2008R2DC正向查找区域，右键点击区域，选择新建别名（CNAME）9. 在新建资源记录中，设置别名为mail，在目标主机的完全合格的域名（FQDN）选择浏览，进入WS2008R2DC正向查找区域，选中Ex2010A，点击确定。为Ex2010A.创建一条别名记录 为Ex2010A.创建别名记录是为了便于客户端对Exchange服务器访问，客户端对Exchange进行访问均连接即可10. 以用户contosoadministrator，密码password01!登录到虚拟机Ex2010A11. 点击开始菜单，选择管理工具，选择Internet信息服务（IIS）管理器12. 在IIS管理器中，点击Ex2010A，展开网站Default Web Site13. 在页面中间功能视图中，选择HTTP重定向14. 在HTTP重定向页面中，选中将请求重定向到此目标，并输入/owa，并且选中将所有请求重定向到确切的目标（而不是相对于目标）、仅将请求重定向到此目录（非子目录）中的内容，在右侧操作窗格中选择应用15. 打开虚拟机Windows 7，默认会以admin用户登录16. 在虚拟机Windows7中，打开IE浏览器，在地址栏输入/certsrv，以用户contosoadministrator和密码password01!登录17. 选择下载CA证书、证书链或CRL18. 选择下载CA证书，将证书certnew.cer保存至桌面19. 双击桌面上的证书certnew.cer，选择安装证书，点击下一步，选择将所有的证书放入下列存储，浏览找到受信任的根证书颁发机构，点击确定，点击下一步，点击完成，在弹出窗口中选择是 将证书颁发机构导入到虚拟机Windows7的受信任的根证书颁发机构，以使客户端能够正常访问Exchange服务器20. 打开IE浏览器，在地址栏输入，准备登录Exchange服务器的OWA页面练习2：配置数据库可用性组（DAG）实现邮箱服务器高可用数据库可用性组（DAG）是Exchange Server 2010全新引入的针对邮箱服务器的高可用解决方案，替代了Exchange Server 2007中的群集连续复制（CCR）功能。在Exchange Server 2010中可以通过数据库可用性组（DAG）灵活设定邮箱数据库的副本，从而实现灵活的企业邮件服务器高可用方案。本练习您将完成数据库可用性组的配置，体验到极为简便快捷的邮箱高可用设置。数据库可用性组（DAG）的实现至少需要企业环境中有两台以上的Exchange Server 2010邮箱服务器，并且建议每台邮箱服务器至少有两块以上的物理网卡。在此任务中将为Exchange邮箱服务器配置数据库可用性组，实现邮箱的高可用。1. 以用户contosoadministrator，密码 password01! 登录虚拟机WS2008R2DC2. 点击开始菜单，选择管理工具，点击Active Directory用户和计算机3. 展开builtin，右键点击安全组administrators，点击属性，切换到成员选项卡，将安全组Exchange Trusted Subsystem加入为administrators组成员，加入完成后休息片刻。 Exchange Server 2010数据库可用性组（DAG）也是基于Windows Server 2008故障转移群集，因此在数据库存储在不同邮箱服务器进行切换的过程中，同样需要有见证服务器的支持，如果在创建数据库可用性组（DAG）的过程中不选择见证服务器，则系统会自动选择Exchange组织内部非邮箱服务器的集线器传输服务器作为见证服务器。但见证服务器也可以为非Exchange服务器，如果选择非Exchange作为见证服务器，则需要将安全组Exchange Trusted Subsystem加入到见证服务器的本地管理员组。本实验中我们选用WS2008R2DC作为见证服务器，WS2008R2DC同时也是域控制器，因此需要将安全组Exchange Trusted Subsystem加入到域中的administrators组中。4. 以用户contosoadministrator，密码password01! 登录到虚拟机Ex2010A5. 查看虚拟机EX2010A网卡设置情况EX2010A和EX2010B均包含两块网卡，其中网卡Public用于与其他服务器的正常数据通信，网卡Private用于数据库可用性组的内部数据复制和通讯，因此两块网卡的设置如下表所示：EX2010AEX2010BPublicIPV4地址0000Microsoft网络客户端是是Mircrosoft网络的文件和打印机共享是是QoS数据包计划程序是是IPV4DNS在DNS中注册此链接的地址是是IPV4WINS启用TCP/IP上的NetBIOS是是PrivateIPV4地址0000Microsoft网络客户端否否Mircrosoft网络的文件和打印机共享否否QoS数据包计划程序否否IPV4DNS在DNS中注册此链接的地址否否IPV4WINS启用TCP/IP上的NetBIOS否否 因为Private网卡用于数据库可用性组的内部复制和通讯，所以不需要在DNS中注册，也不需要配置为Microsoft网络客户端等。 Public网卡用于与其他服务器和客户端的通讯，一旦Public网络出现故障，数据库可用性组会对数据库进行故障转移，如果Private网络出现故障，数据库可用性组则会使用Public网卡进行内部通讯和复制6. 打开Exchange管理控制台，找到组织配置邮箱7. 在邮箱设置中，找到数据库可用性组选项，在右侧操作窗格中选择新建数据库可用性组8. 输入数据库可用性组的名称DAG01，并勾选见证服务器，输入见证服务器的名称9. 点击新建，开始创建新的数据库可用性组，完成操作后点击完成10. 打开Exchange Management Shell，输入如下命令Set-DatabaseAvailabilityGroup -Identity DAG01 DatabaseAvailabilityGroupIpAddresses 50 创建了数据库可用性组DAG01后，还需要为DAG01设置数据库可用性组的IP地址，数据库可用性组才能够正常对外提供高可用服务11. 在Exchange 管理控制台中，右键点击刚刚创建的数据库可用性组DAG01，选择管理数据库可用性组成员身份 不像Exchange Server 2007的群集连续复制（CCR）， 邮箱服务器不能够承载其它服务器角色，Exchange Server 2010的数据库可用性组的成员除必须为邮箱服务器外，还可以承载其它服务器角色，如集线器传输服务器、客户端访问服务器等，本实验中的EX2010A就为集线器传输服务器、客户端访问服务器和邮箱服务器12. 将EX2010A和EX2010B均添加到DAG01中，点击管理13. 等待一段时间后，点击完成，完成数据库可用性组成员的管理14. 在组织配置数据库管理中，找到Mailbox Database 0070398005（已装入邮箱服务器EX2010A），右键点击该数据库，选择添加邮箱数据库副本15. 在添加数据库副本页面，选择将数据库副本放置在服务器EX2010B上，点击添加16. 稍等片刻完成数据库副本的添加，数据库状态如下图所示：17. 登录虚拟机Windows7，并打开IE浏览器，访问进入OWA登录页面18. 以用户contosowangqi 密码password01!登录OWA，测试是否能够正常访问邮箱，是否能够正常收发邮件19. 确认正常后，切换到虚拟机EX2010A，在Exchange管理控制台，收件人配置邮箱，找到用户王琦，右键点击查看属性，在属性的常规页面中，确认王琦的邮箱数据库为Mailbox Database 0070398005重新启动Exchange管理控制台20. 在Exchange管理控制台，组织配置邮箱数据库管理，右键点击Mailbox Database 0070398005，选择移动活动邮箱数据库，在激活数据库副本中，选择EX2010B作为活动邮箱数据库副本的邮箱服务器主机，点击移动，并点击完成21. 切换到虚拟机Windows7，在OWA中查看wangqi是否能够正常访问邮箱，是否能够正常收发邮件 用户王琦的邮箱从EX2010A移动到了EX2010B，整个邮箱的移动过程对用户而言没有任何影响，用户几乎察觉不到后台邮箱数据库的变化，因此实现了高级别的邮箱可用性 Exchange Server 2010的数据库可用性组可以实现邮箱服务器的高可用，并且构建数据库可用性组的过程非常简便，数据库可用性组也不一定需要高级存储设备，如SAN等设备的支持，因此既简化了高可用方案的实施，又降低了企业的使用成本。练习3：配置AD RMS与Exchange Server 2010集成，实现邮件传输保护在本练习中，您将安装并配置活动目录权限管理服务，将Exchange Server 2010与活动目录权限管理服务集成，从而实现对Exchange邮件传输的加密及权限控制，通过AD RMS与Exchange的集成，可以实现对邮件传输的实时保护。安装AD权限管理服务开始这个任务，使用Contosoadministrator账户和密码password01!登录到WS2008R2DC虚拟机1. 点击开始菜单，选择管理工具，打开Active Directory用户和计算机2. 在Active Directory用户和计算机控制台中，展开users，在users容器中新建用户rmsadmin，密码password01! 在创建用户时，确保清除用户下次登录时须更改密码选项 为AD RMS服务创建一个服务管理账户，注意不能选择默认的contosoadministrator作为AD RMS的管理账户3. 将用户rmsadmin加入到domain admins组之中 注意此操作将创建的rmsadmin用户加入了域管理员组，只有AD RMS服务安装在域控制器时，才需要进行此操作，如果AD RMS服务器仅安装在域成员服务器上，则无需将rmsadmin加入域管理员组4. 点击开始菜单，选择管理工具，打开服务器管理器5. 在服务器管理器中，选择角色，并点击添加角色 首先要部署AD RMS服务，Exchange才能够实现邮件权限控制6. 在开始之前页面，点击下一步7. 在服务器角色页面，选中Active Directory Rights Management Services，在弹出的添加角色向导中，选择添加所需的角色服务，点击下一步8. 在Active Directory Rights Management Services页面中，点击下一步9. 在角色服务页面，确认已经选中了Active Directory权限管理服务器，点击下一步10. 在创建或加入AD RMS群集页面中，选择新建AD RMS群集，点击下一步11. 在配置数据库页面，选择在此服务器上使用Windows内部数据库，点击下一步12. 在服务账户页面，选择指定域用户账户，并输入之前创建的用户rmsadmin，密码password01! 点击下一步13. 在配置AD RMS群集键存储页面，选择使用AD RMS集中管理的密钥存储，点击下一步14. 在群集密钥密码页面，输入AD RMS群集密码password01!15. 在群集网站页面，确认选择为虚拟目录选择网站为Default Web Site，点击下一步16. 在指定群集地址页面，选择使用SSL加密连接（https:/），并且在完全限定的域名中，输入，并点击验证，看到网络中客户端的群集地址预览为 ，点击下一步 此操作为配置RMS客户端与AD RMS服务器之间通讯所采用的方式，建议采用SSL加密所有数据通信，以确保数据传输的安全保护17. 在服务器身份验证证书页面，选择为SSL加密选择现有证书（推荐），选择证书列表中的 点击下一步18. 在命名许可方证书页面，保持默认名称WS2008R2DC，点击下一步19. 在注册AD RMS服务连接点页面，选择立即注册AD RMS服务连接点，点击下一步20. 在Web服务器（IIS）页面，点击下一步21. 在选择服务角色页面，保持默认选择，点击下一步22. 在确认安装选择页面，确认安装设置与之前设置相同，点击安装开始AD RMS服务的安装过程23. 确认所有安装任务成功后，点击关闭完成AD RMS的安装过程配置AD权限管理服务并实现与Exchange Server 2010的集成AD RMS服务器的安装过程完成，接下来需要对AD RMS服务器进行配置，以使AD RMS服务器能够与Exchange Server 2010进行集成。1. 以用户contosoadministrator，密码password01!登录到虚拟机EX2010A2. 点击开始菜单，选择所有程序，展开Microsoft Exchange Server 2010，打开Exchange Management Console3. 选择收件人配置通讯组4. 在右侧操作窗口中选择新建通讯组5. 在新建通讯组页面，选择新建组，并点击下一步6. 在组信息页面，将组类型设置为安全，指定组的名称及别名为SuperRMSUsers，点击下一步，在新建通讯组页面点击新建 此操作将为AD RMS创建一个超级用户组，AD RMS超级用户组的成员可以对使用RMS加密的内容进行解密7. 以用户contosoadministrator，密码password01!登录虚拟机WS2008R2DC8. 点击开始菜单，选择管理工具，选择Active Directory用户和计算机9. 展开users，找到用户FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e04，将该用户加入到SuperRMSUsers组中 默认Exchange Server 2010集线器传输服务器会使用该用户身份对所有收发的RMS加密邮件进行解密尝试，因此需要将该用户加入到AD RMS超级用户组之中，才能够确保Exchange集线器传输服务器能够对RMS加密的邮件进行反垃圾和反病毒邮件检查和筛选10. 以用户contosormsadmin，密码password01!登录虚拟机WS2008R2DC 必须使用之前安装AD RMS群集时设置的管理账号登录AD RMS服务器11. 打开开始菜单，选择管理工具，选择Active Directory Rights Management Services12. 展开AD RMS群集，展开安全策略超级用户13. 右键点击超级用户，选择启用超级用户14. 在中间窗口选择更改超级用户组，选择浏览，指定SuperRMSUsers为超级用户组 将之前创建的SuperRMSUsers用户组设置为超级用户组，确保Exchange能够与AD RMS进行集成，实现如OWA RMS加密，RMS邮件传输检查等功能15. 点击开始菜单，选择管理工具，点击Internet信息服务（IIS）管理器16. 展开WS2008R2DC网站Default Web Site-_wmcscertification ,右键点击certification，选择浏览17. 在certification文件夹中，右键点击ServerCertification.asmx文件，选择属性安全18. 在ServerCertification.asmx属性安全选项中，点击继续，在ServerCertification.asmx的权限页面，点击添加，添加Authenticated Users组，确保Authenticated Users组对ServerCertification.asmx文件有读取和执行、读取的权限，点击确定完成权限的设置 Exchange OWA在使用RMS权限设置时，会通过Web的方式读取AD RMS服务器上的ServerCertification.asmx文件中存储的权限相关信息，默认仅有System对ServerCertification.asmx文件具有读取权限，因此需要为Authenticated Users组赋予对该文件的读取权限，以确保在Exchange OWA中可以正常使用RMS功能19. 以用户Contosoadministrator，密码password01! 登录到虚拟机Ex2010A20. 点击开始菜单，选择所有程序，展开Microsoft Exchange Server 2010，选择Exchange Management Shell21. 在Exchange Management Shell中输入get-IRMConfiguration，查看当前Exchange组织的权限管理设置情况InternalLicensingEnable： False 表示当前Exchange组织内部没有启用RMS功能ExternalLicensingEnable： False 表示当前Exchange组织外部没有启用RMS功能 因为已经配置完成了AD RMS服务，但Exchange还没有与AD RMS服务集成，因此需要在Exchange Management Shell中将Exchange与AD RMS集成在一起。22. 输入Set-IRMConfiguration InternalLicensingEnable $true在Exchange组织内部启用RMS功能23. 再使用get-IRMConfiguration查看Exchange组织的RMS配置情况，确保设置为InternalLicensingEnable： True 24. 以用户admin登录到虚拟机Windows 725. 打开IE浏览器，在IE地址栏输入进入Exchange的OWA页面26. 使用用户contosowangqi，密码password01!登录OWA27. 进入OWA页面后，选择新建邮件，确认可以在OWA中看到权限选项卡，如下图所示： 通过AD RMS与Exchange的集成，Exchange Server 2010用户可以在OWA或Outlook上使用权限功能，对邮件的权限进行控制，从而实现邮件传输和存储的实时安全保护。默认Exchange提供了一条不转发策略（如上图所示），可以在AD RMS服务器上对策略进行定义。28. 给用户libin发送一封测试邮件，并且将邮件权限设置为不转发29. 以用户contosolibin，密码password01!登录OWA，查看刚刚用户wangqi发送的测试邮件，确认所收到的测试邮件如下图所示，无法进行转发30. 以用户contosormsadmin，密码password01!登录虚拟机WS2008R2DC31. 打开AD RMS管理控制台，展开RMS群集 ，选择权限策略模板，选择创建分布式权限策略模板 通过AD RMS群集中的权限模板管理，可以为Exchange定制不同的权限策略，以便于灵活管理企业用户邮件的安全传输32. 在添加模板表示信息页面，选择添加，输入模板名称IT E-mail Policy，描述IT E-mail Policy，点击添加，点击下一步33. 在添加用户权限页面，点击添加，分别添加用户contosolibin和contosoliliang34. 在权限设置区域，为用户contosolibin设置完全控制权限，为用户contosoliliang设置查看权限35. 点击完成，完成权限模板的创建。 AD RMS策略模板添加完成，若在OWA中查看到该模板，需要等待一段时间，为了加快策略同步速度，可以重启虚拟机EX2010A36. 登录虚拟机Windows 7，打开IE浏览器，在IE地址栏输入进入OWA登录页面37. 以用户 contosowangqi，密码password01!登录OWA，选择新建邮件，确认在权限设置框中可以看到在AD RMS服务器上添加的IT E-mail Policy策略，如下图所示：发送一封测试邮件给用户contosoliliang和contosolibin，并设置权限为IE E-mail Policy38. 分别以用户Contosoliliang和Contosolibin登录OWA，查看刚才用户wangqi发送的测试邮件，对比两人收到的邮件李斌收到的测试邮件如下所示，可以进行完全控制李亮收到的测试邮件如下所示，仅可以查看而无法进行答复、转发等操作： 通过AD RMS权限模板的定制，企业管理员可以根据自身企业的需求，灵活定制权限模板，并且将AD RMS与Exchange Server 2010集成起来，从而实现严格合规且安全的企业邮件传输练习4：配置邮件传输规则实现邮件传输控制在本练习中，您将使用Exchange Server 2010集线器传输服务器的传输规则，对邮件的传输进行控制，从而实现邮件传输的服务器端控制。实现自动邮件权限控制以用户contosoadministrator 密码password01!登录到虚拟机EX2010A1. 打开Exchange管理控制台，组织配置集线器传输，找到传输规则页面2. 在传输规则页面，右侧操作窗口中，选择新建传输规则3. 在简介页面，输入新建传输规则的名称IT Policy ，确认启用规则已经勾选，点击下一步4. 在条件页面，查看可以选择的条件 Exchange Server 2010的传输规则相比Exchange Server 2007的传输规则，有了很多改进，例如可以对邮件附件的内容进行筛选，可以应用审阅功能，可以自动应用AD RMS模板等功能5. 勾选收件人为用户，并且选择用户和 点击下一步6. 在操作页面，勾选采用RMS模板的权限保护邮件，并且选择之前创建的IT E-Mail Policy为模板，点击下一步7. 在例外页面，点击下一步8. 在创建规则页面，点击新建，并点击完成，完成邮件传输规则的创建9. 登录虚拟机Windows 7，打开IE浏览器，访问OWA页面10. 以用户contosowangqi 密码password01!登录OWA11. 在OWA中，新建邮件，给用户liliang和libin发送一封测试邮件12. 分别以contosoliliang和contosolibin登录OWA查看wangqi发送的测试邮件Liliang收到的测试邮件如下图所示，无法进行邮件的转发、答复等操作Libin收到的测试邮件如下图所示，可以进行任意操作 为了避免用户由于疏忽或遗忘没有为发送邮件附加安全访