Exchange 2010 系統

一、 安裝

簡單一點，確保域控什麼的都是Windows2003 SP1以上的。

注意，新安裝要用一個頂級域的企業管理員身份登錄再安裝。

如果還有Exchange 2003， 需要運行PrepeareLegacyPermision，

簡單的話就在Schema Master的site和domain裏運行，一般是setup /PrepareLegacyPermission 會準備所有林中的域。 還要確保2003的organization是native模式的，打上最新的SP。 爲了和2003或2007共存，部署的順序是先安裝client access再hub transport 再mailbox

然後prepare schema

在一臺64位機器上，和schema master在同一個site裏的。運行setup /PrepareSchema

（要調出schema 的MMC，別忘了先運行regsvr32 schmmgmt.dll）

然後準備AD:  setup /PrepareAD /organizationName:OrgName   如果是新安裝，還沒有指定organization的就要那個第二個選項 OrganizationName。 這一步運行後本地domain已經被準備好了，也就是不要再PrepareDomain。

如還有其他的域或者後來又加了新的域，則setup /PrepareDomain 或者 setup /PrepareAllDomains

安裝：在Windows2008 R2上面安裝比較簡單，如果是2008 SP2的就要下載安裝 .NET framework 3.5， Power Shell 2.0 之類的東西。

2007 Office systemConverter MS Filterpack是安裝hub transport必須的。

還有很多roles and features，根據exchagne角色不同也有不同。 用命令 servermanagercmd.exe -ip name.xml -restart 可以快速安裝好這些東東， 所用的xml文件在安裝盤s的cripts目錄下。

如果是CAS，還要配置NET.TCP port sharing service 服務自動啓動。

Set-Service -Name NetTcpPortSharing -StartupType Automatic

安裝注意，你必須在每個site裏都有mailbox hubtransport 和CAS，除非這個site沒有郵件需求。 你必須是Organization Management Role組的用戶才能安裝。

安裝命令 setup.com /mode:install /role:Mailbox, Hubtransport

安裝完成後，還要配置OAB， 配置ActiveSync，配置收信的internet域等工作

常見端口： 25  135  80 443， 這些端口windows自身的防火牆在安裝時已自動配置好。

驗證日誌：一般在C:\ExchangeSetupLogs\ExchangeSetup.log  或者用shell 命令：

Get-ExchangeServer -Identity VAN-EX1 | Format-List

二， 數據庫和地址簿

Exchange 2010 已經摒棄了storage group的概念。 在2007 的時候推薦的是一個存儲組方一個數據庫，而現在已經沒有存儲組了。

數據庫不再是附屬於某一個服務器，而是直接在organization底下，整個組織內，數據庫名必須唯一。

數據庫文件 .edb ; checkpoint 文件 .chk ; 日誌文件 .log  ; 保留的日誌文件.jrs 僅在空間不足時使用。

創建，然後加載

Mount-Database -Identity

Dismount-Database -Identity

標準版Exchange 2010 的數據庫大小限制默認50GB，企業版不設限制。  可以在註冊表裏修改此限制。首先要知道GUID

Get-MailboxDatabase -Identity "<server name>\<database name>" | Format-Table Name,GUID

然後註冊表 HKLM\System\CurrentControlSet \Services\MSExchangeIS\servername\Private-GUID， 創建或修改鍵值 Database Size Limit in GB

Public Folder是outlook 2003 需要的，如果安裝服務器時未指明要創建，也可以手工創建。

New-PublicFolderDatabase  一個服務器最多只能有一個public folder DB

Global Adress List 和Offiline Address Book都是在mailbox Role上，由SA服務維護更新的。  默認會創建出來，並且OAB每天更新一次。

可以創建自定義的GAL 和 OAB。

OAB的更新也可以更換，EMC裏選中OAB，然後選Move.

或者是 Move-OfflineAddressbook 命令

移動用戶的郵箱，這個使用的shell命令和以前不一樣，是

New-MoveREquest -Identity -TargetDatabase, 還可以使用-Whatif 這個開關檢查郵箱是否準備好遷移。

import / export 到 PST 文件

這個和以前的2007 也有很大不同。

要求你有一臺64位機器裝了exchange 管理工具和outlook 2010 64 bit。 可以把.pst 文件輸出到網絡共享文件夾。 該共享文件夾必須給這個組 ： “Exchagne TRusted Subsystem” 以讀寫權限。

給操作者導出導入權限：new-managementRoleAssignment -Role "Mailbox Import Export" -user "***"

導出： New-MailboxExportRequest -mailbox "***" -Filepath \\svr\path

批量導出： foreach ($i in (Get-Mailbox)) { New-MailboxExportRequest -Mailbox $i -FilePath "\\AZUA\Exports\$($i.Alias).pst" }
或創建一個csv名單，裏面有Alias欄目，內容是各用戶的郵箱alias。命令：

foreach ($i in (Import-Csv .\exports.csv)) { New-MailboxExportRequest -Mailbox $i.Alias -FilePath "\\AZUA\Exports\$($i.Alias).pst" }

導入： New-MailboxImportRequest

這些命令要安裝了outlook 2010 以後纔會可用。

Exchange 控制面板

這個在server configuration/client access/exchange control panel裏設置屬性。

客戶端用瀏覽器訪問，一般是https://servername/ecp

功能有設置自己的郵件規則，可以申請加入某個組，當然那個組要開放加入申請。

關於安裝證書

你如果用域裏面自己建立的CA創建一個證書，給exchagne安裝上，可能會出現它說 他the certificate is invalid for exchange server usage. 這個是因爲你沒有把域裏面CA的根證書導入到本機。 你要瀏覽到CA的certsrv頁面，點擊download a CA certificate certificate chain or CRL,如果是一個CA就直接下載ertificate，如果是經過中間CA頒發，就要下載整個chain。 然後在本機certificate mmc裏面，把它導入trusted root Certification Authorities

三，Transport

Send Connector 默認不創建，Receive Conenctor默認會創建2個，都可以在organization/hub transport裏創建。

Accepted Domain是exchange可以接受的郵件域名列表，也是可以以之爲域名發送的郵件地址列表。

Email Address Policy

用於自動生成郵件地址，通常外部的郵件地址都不會是AD的域名，需要手工改，所以這個設置了很有用。

在EMC 裏面 organization \Hub transport， Email Address Policies裏面，可以修改默認的那個，也可以創建新的。 選擇對哪些用戶生效，怎樣構成郵件地址，域名用什麼。  完成後可以立即使用，也可以設置以後使用。  生效後，不光現有的用戶會修改，以後新創建的或改動過的用戶都會自動更新地址。

但注意，刪除一個policy不會刪除已經生成的郵件地址。

shell 命令 New-EmailAddressPlicy

如果只是爲某一個用戶增加地址，用：

Set-Mailbox sjohn@domain.com -EmailAddresses @{add=s[email protected]}

Update-EmailAddressPolicy, 用於更新

Edge Trasnport

安裝前要確保以下組件已安裝

.NET FrameWork 3.51
Remote System Administration Tools for Active Directory Directory Services
Active Directory Lightweight Directory Services

還有確保主機域名已配置好。

EdgeSync是單向的，從Hub導向Edge， 設置了EdgeSync Subscription後，某些操作在edge服務器上就不能做了，比如SendConnector AcceptedDoamin RomoteDomain等

防火牆上打開 25 和 50636

創建Sync方式先在Edge上運行，導出的文件拷貝到Hub，再在Hub上new一個Subcription，導入那些文件。

Clone Edge transport 服務器，這是爲了有統一配置的外部服務器。

先在源服務器上ExportEdgeConfig.ps1， xml稍作修改，在目標機器上ImportEdgeConfig.ps1

EdgeSync配置還是要單獨對每個做一遍。

傳輸隊列的監控

可用命令 Get-Queue, 可以用Filter

Get-Queue -Filter{MessageCount -gt 50}

Get-Queue -Filter{NextDomain -eq "***"}

大括號裏可用的參數類型有：

DileveryType    Identity  LastError   LastRetryTime   MessageCount   NextHopConnector   NextHopDomain   NextRetryTime   Statut

其他監控

Mailbox的狀態

Diable-Mailbox 將郵箱置於disconnected狀態（即無AD用戶與之關聯）

Conenct-MAilbox 將郵箱置於conencted狀態（即有AD用戶關聯）

Clean-MailboxDatabase 掃描數據庫，將狀態未正確設置的郵箱修復正確設置。

可以用telnet 25 端口看郵件是否正常，但只能連接到配置了receive conenctor的transport服務器，receive設置是允許anonymous 或basic authentication

用telnet測試SMTP服務器方法：

telnet

set localecho   打開回顯

open  hostname/ip 25

收到歡迎消息， 鍵入 EHLO domainname

MAIL FROM：address

RCPT TO：address  NOTIFY=success，failure

DATA

輸入SUBJECT， 然後回車，huiche，輸入內容

輸入. 回車

關於日誌

connectivity log 記錄發送往外部的郵件連接事件，默認是關的

ptotocol log 記錄SMTP 通訊，針對每個send/receive connector 單獨設置，但是同一服務器上所有receive或send connector 共用同一個log 文件。

每個hub transport 上面都有一個默認的隱藏的intra organization send  connector， 可以打開或關閉protocol log

Set-TransportServer –IntraOrgConnectorProtocolLoggingLevel Verbose  打開

Set-TransportServer –IntraOrgConnectorProtocolLoggingLevel None       關閉

對於其他的send/receive conenctor， 則是用

set-receiveconnector   set-sendconnecotor 來設定 protocolLoggingLevel 參數。

默認ptotocol log日誌文件路徑

Receive connector protocol log files C:\Program Files\Microsoft\
Exchange Server\V14\TransportRoles\Logs\ProtocolLog\SmtpReceive
Send connector protocol log files  C:\Program Files\Microsoft\Exchange
Server\V14TransportRoles\Logs\ProtocolLog\SmtpSend

可以修改路徑

Set-TransportServer –Identity SVR-EX1 -ReceiveProtocolLogPath C:\ProtocolLogs\Receive

Set-TransportServer –Identity SVR-EX1 -SendProtocolLogPath C:\ProtocolLogs\Send

agent log  是反病毒反垃圾郵件軟件寫的log， 默認放在C:\Program Files\Microsoft\
Exchange Server\V14\TransportRoles\Logs\AgentLog.  默認在transport 服務器上是打開的。

Exchange store logging 又叫transaction logging,  是屬於重做日誌，以Enn名字加log後綴名，文件名的數字是16進制的。 每個文件都是1MB大小。 重做日誌的circular logging默認是關的。

administrator audit logging， 記錄每個運行過的EMS命令，什麼時候誰運行的，帶什麼參數等。可以打開或關閉，用命令

Set-AdminAuditLogConfig -AdminAuditLogEnabled $True 或 $False

還要指定一個郵箱用於存儲此日誌

Set-AdminAuditLogConfig -AdminAuditLogMailbox adminname@domain.com

Routing Table Logging 日誌定期或在某個特定事件時記錄下此時的郵件路由表的快照。 默認路徑是 C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\Routing  使用Routing Log Viewer圖形工具來看。 默認日誌是開的。

Event Log Level可以設，最低是lowest（只記錄嚴重事件）  low  medium high  最高是expert（記錄最詳細）Set-EvetnLogLevel 可以對很多中對象設置日誌詳細級別。

Message TRacking Log 默認在所有transport和Mailbox服務器上打開 默認路徑是C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\MessageTracking

默認是LOG裏會記錄郵件的標題，如果不想記錄，用命令

Set-TransportServer –Identity VAN-EX2 -MessageTrackingLogSubjectLoggingEnabled $false   或$true記錄標題。

Journaling Mailbox

如果要監控某些或所有郵箱的收發的郵件，可以用Journaling Mailbox。  需要創建一個用戶和郵箱，創建一個規則 New-JournalRule 來監控。 具體看微軟文檔。

反垃圾郵件和病毒

在Edge transport上面，郵件要經過多個transport agent

Connection Filtering agent               主要是IP允許和組織列表
Address Rewriting Inbound agent  
Edge Rule agent
Content Filter agent                       給郵件內容評估打分，分越高越可能是垃圾郵件。
Sender ID agent                           查找DNS服務器判斷髮郵件的ip是否合法，給出一個分數。
Sender Filter agent
Recipient Filter agent                    阻止某些收件人
Protocol Analysis agent
Attachment Filtering agent            可以根據附件文件後綴名決定過濾
Address Rewriting Outbound agent

IP組織和允許，首先要讓IPAllowListConfig和IPBlockListConfig的Enabled 選項都是true

然後可以加入允許/組織的ip段，或者天界一個IP列表的provider

Add-IPAllowListEntry   Add-IPAllowListProvider Remove-IPAllowListProvider 等命令。

可以設置Block通知：

Set-IPBlockListProvider "Trey Block List Provider" -RejectionResponse "Your message was
rejected because the IP address of the server sending your message is in the block list
of the Trey Block List Provider service."

打開內容分析過濾

Set-ContentFilterConfig -Enabled $true   默認是開的

設置拒絕垃圾郵件的SCL評估值

Set-ContentFilterConfig -SCLDeleteEnabled $true -SCLDeleteThreshold 9
Set-ContentFilterConfig -SCLRejectEnabled $true -SCLRejectThreshold 7
Set-ContentFilterConfig -SCLQuarantineEnabled $true -SCLQuarantineThreshold 5

如果你指定了Reject值，那麼也可以設置一個RejectionMEssage

如果指定了Quarantine，那麼需要創建一個QuarantineMailboc並設置。

recipient filter設置要複雜一些，添加一個block地址要這樣

$Listing = Get-RecipientFilterConfig
$Listing.BlockedRecipients += "abc@company.com"
Set-RecipientFilterConfig -BlockedRecipients $Listing.BlockedRecipients

sender filter 這個默認是打開的 Set-SenderFilterConfig -Enabled $true

senderFilterConfig的參數主要有 BlockedSenders, BlockedDomains, BlockedDomainsAndSubdomains

添加方法同上。

Set-SenderIDConfig 設置Sender ID agent， 默認是打開的。

Set-SenderReputationConfig -Enabled $true   默認打開。

反病毒軟件，Exchange服務器上安裝此類軟件要小心，有可能誤報或鎖定某些文件造成Exchange死鎖。 與Exchange有關的一切文件夾必須列入不掃描的列表，相關進程要列入不掃描之列。

系統冗餘

DAG是一組服務器組成的，最多16個服務器。  一個服務器只能屬於一個DAG！ 在organization裏先定義好DAG再把服務器往裏加。可以在EMC裏 rganization configuration\Mailbox 或者用shell 創建DAG，

New-DatabaseAvailabilityGroup –Name DAG-ALPHA –DatabaseAvailabilityGroupIpAddresses
10.10.0.100 –WitnessServer 'ht.adatum.com' –WitnessDirectory 'c:\witness'

這裏要用到一個witness server，這最好是一個hub transport並且上面沒有mailbox role的服務器。 此服務器不屬於任何DAG，一個witness服務器有可能監控多個DAG，但是每個必須有獨立的witness 數據目錄。

DAG成員服務器必須是enterprise 或 datacenter的，每個成員OS版本要一樣，普通版windows不行，因爲DAG用到了cluster的功能。DAG裏有了成員之後，就可以添加MAilbox copy

可以用EMC加， organization oncifguration \ mailbox，選中數據庫然後選擇添加DB copy。

命令行： Add-MailboxDatabaseCopy –Identity 'ResearchMailDBta' –MailboxServer 'S-MBX02'
–ActivationPreference '2'

拷貝建立好以後，可以用Update方法讓它和一個數據庫拷貝 update或叫seed，獲得數據庫裏的數據。

需要的時候可以把active拷貝轉移到其他服務器上，這個時候有一個override mount dial setting

其中Lossless花時間長單保證沒有丟失數據， Good Availability， Best Effort這個立即激活但可能丟失很多數據， Best Availibility

數據拷貝的複製過程可以暫停或繼續，可以在EMC裏，也可以命令：

Suspend-MailboxDatabaseCopy –Identity DB-ALPHA\VAN-MBX

Resume-MailboxDatabaseCopy –Identity DB-ALPHA\VAN-MBX

系統備份和恢復

用Windows自帶的備份工具，可以備份系統狀態和文件目錄，如果Exchange服務運行，可以備份Exchange數據，如果沒有運行只能作爲文件備份。

RDB 是用來把數據臨時恢復到一個數據庫裏，用來恢復部分內容，如誤刪的郵件或郵箱。

New-MailboxDatabase -Recovery -Name RecoverDB -Server S-W08-EX1  先要創建一個RDB

你可以把windows server backup的內容回覆到一個目錄，不是原始目錄，然後用eseutil檢查和修復，然後才new一個RDB，直接建在這個目錄上，這樣就有數據了。

RDB只能用於備份恢復2010格式的郵箱數據庫。

Get-Mailbox -Database MyDatabase | Restore-Mailbox -RecoveryDatabase RecoverDB 此命令可以一個一個的把郵箱從RDB裏面merge到原來的位置，即MyDatabase裏面。 Resoter-Mailbox 加上identity 選項可以恢復merge單個郵箱。

把數據庫轉移到新的服務器上去：

先創建一個DB：

New-MailboxDatabase -Name MyNewDatabase -Server W08-EX2 -EdbFilePath
C:\Databases\MyNewDatabase\MyNewDatabase.edb -LogFolderPath C:\Databases\MyNewDatabase

設置可以restore

Set-MailboxDatabase MyNewDatabase -AllowFileRestore:$true

然後把edb和log文件都拷貝過去， 再mount

Mount-Database MyNewDatabase

把郵箱指向新的DB：

Get-Mailbox -Database MyOldDatabase | where {$_ObjectClass -NotMatch
'(SystemAttendantMailbox|ExOleDbSystemMailbox)'} | Set-Mailbox -Database MyNewDatabase

disconnect的郵箱默認在DB裏面保持30天，這個可以通過查看maildB的 mailboxretention參數知道。  30天以內可以用EMC或EMS恢復郵箱。

恢復單個條目，這個在2007裏叫dumpster。 刪除的題目放在特殊目錄裏供恢復用。