从手册中查到AddReplicaToPFRecursive.ps1这个脚本可以批量添加服务器角色

该命令的help

但是这个命令有个bug，TopPublicFolder参数竟然不认空格。

例如：某个目录的名称为 Office NewsGroup， 当在命令中里面输入 –TopPublicFolder “\Office NewsGroup”， 竟然不认。

解决方法就是再套 ‘’符号， 也就是命令为 –TopPublicFolder “’ \Office NewsGroup’” .

在Exchange帮助文档中，关于群集网络有三种模式，如下描述，其中关于专用网络，数据库更新通讯使用此网络，这个数据库更新通讯到底是指什么呢？是否就是日志传输？

再继续查Help文档

冗余群集网络上的连续复制

在 Microsoft Exchange Server 2007 的正式发布 (RTM) 版本中，CCR 环境中的所有事务日志文件复制和种子设定都发生在公用网络上。此配置具有下列限制：

1. 如果被动节点不可用达几个小时，可能会产生大量需要转输的日志。应该在被动节点可用时应尽可能快地移动这些日志。通过公用网络复制日志，日志的移动会与客户端通信争用资源。这将影响客户端通信并使重新同步变慢。
2. 在公用网络出现故障时，即使日志数据可用，故障转移也会丢失数据。
3. 使用孤立的网络进行日志通信时，可以为邮件数据提供安全性而无需使用加密，也不会引起与其相关的性能损失。
4. 在某些情况下，可能出现日志风暴。出现日志风暴时，系统会遇到不同寻常的高复制负担。如果日志数据必须在用于和客户端进行通信的网络上进行通信，可能会导致客户端资源不足。

所有这些问题并非都会以相同频率出现。但是，由于被动节点会因定期维护活动而脱机，第一个问题实际上肯定没几个月就会发生一次。

Exchange 2007 SP1 允许管理员在群集中创建一个或多个混合网络（例如，支持内部群集检测信号通信和客户端通信的群集网络）来进行日志传送，最大限度地减少了上述问题的影响。Exchange 2007 SP1 还允许管理员指定用于种子设定的特定网络。

用于日志传送和种子设定的群集网络必须配置为混合网络。混合网络是为群集（检测信号）和客户端访问通信而配置的任何群集网络。此外，在使用连续复制主机名配置的网络适配器上，管理员必须选中"高级 TCP/IP"属性对话框上的"在 DNS 中注册此连接的地址"复选框。网络适配器使用的 DNS 服务器可以位于公用或专用网络上；但是，无论其位置如何，它必须可以被两个节点访问，以便可以进行主机名解析。

支持在混合网络上进行日志文件复制是使用一个称为 Enable-ContinuousReplicationHostName 的新 cmdlet 来配置的。与此类似，关闭此功能使用 Disable-ContinuousReplicationHostName cmdlet 来完成。群集邮箱服务器位于 CCR 环境中之后，管理员可以在群集的两个节点上运行 Enable-ContinuousReplicationHostName 并指定其他 IP 地址和主机名，之后将在与每个节点相关的专用群集组中创建这些 IP 地址和主机名。执行此任务之后，Microsoft Exchange 复制服务将在成功配置和确认新网络正常运行之后立即开始使用新创建的网络进行日志复制。如果创建了多个新网络，Microsoft Exchange 复制服务将随机从中选择一个网络。如果指定的网络不可用，Microsoft Exchange 复制服务将自动开始使用其他复制网络，如果这些网络都不可用，它将在 5 分钟内开始使用公用网络进行日志传送。(Microsoft Exchange 复制服务每 5 分钟进行一次网络检测。）当首选复制网络重新可用时，Microsoft Exchange 复制服务将自动恢复为使用该网络进行日志传送。

那现在明了了，RTM中，日志传输是通过公用网络传输，SP1后，可以通过混合网络。因此如果我们如果要将日志文件通过心跳线传输，需要设置为混合网络。只是关于之前专用网络中的数据库更新通讯到底是指什么，还要再继续查下资料

马海宾 （Jason Ma）
MCSE

根据您的进一步要求，我又做了一些研究并且经过测试后，得出下面的方法来应用到多个用户。
1．首先，假设这些用户都在同一个名叫MVP的组织单元(OU)下。
2．我们先运行下面这个命令：
Get-GlobalAddressList "Default Global Address List" |fl
在得到的结果中，记下它的DistinguishedName。类似如下：
CN=Default Global Address List,CN=All Global Address Lists,CN=Address Lists Container,CN=<OrganizationName>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=contoso,DC=com
3. 接着运行：
$gal = "CN=Default Global Address List,CN=All Global Address Lists,CN=Address Lists Container,CN=<OrganizationName>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=contoso,DC=com"
即用$gal表示前面得到的这个名字。
4．最后运行：
Get-User –OrganizationalUnit MVP | Foreach { Add-ADPermission –Identity &gal –User $_.Name –AccessRights GenericRead –ExtendedRights Open-Address-Book –Deny:$True }
注：简单解释下这条命令，先是用Get-User来get所有在MVP这个组织单元下的用户，然后对每个用户分别执行下Add-ADPermission的命令从而禁止MVP下的所有用户访问GAL。

2．不能访问公用文件夹
如要禁止用户访问公用文件夹，我们可以先用Administrator账号登陆Outlook然后右键点击一个公用文件夹，选择“更改共享权限”，然后再添加指定账户并且将其权限等级设为“无”。然而这样的操作需要在每一个顶层文件夹上都执行一遍。
考虑到您的环境中公用文件夹数量可能较大，因此，我又想到了另外一种方法。
您可以在命令行管理程序中运行下列命令：
Get-PublicFolder –recurse | Add-PublicFolderClientPermission –AccessRights None –User <用户名>

正是因为考虑到不去影响outlook 2003及以前版本的使用，我没有建议直接在Public Folder Hierarchy上将用户的访问公用文件夹权限直接去掉。因为，Outlook 2003及以前版本的用户依赖于公用文件夹来获取一些重要信息（例如：脱机地址簿，忙/闲信息等存在系统文件夹内的信息）。
因此，我们只能在非系统的公用文件夹上对用户一一限制权限，这样的话是不会影响到脱机地址簿等信息的。
至于同时禁止一组用户访问所有非系统的公用文件夹，经我测试，可以在我之前提供的方法上稍作改进：
1．首先，建立一个启用邮件的分发组
打开Exchange管理控制台，收件人配置->通讯组，这里新建一个分发组（假设名叫usergroup）
双击打开该分发组，点击“成员”标签，将您需要限制的用户添加进去。
然后再在命令行管理程序中运行：
Get-PublicFolder –recurse | Add-PublicFolderClientPermission –AccessRights None –User usergroup
注：这里最后的usergroup即刚才新建的分发组。
这样的话，所有该组内的成员都无法访问公用文件夹了，并且不影响到其它使用。

黄 波
在线合作伙伴支持工程师
合作伙伴支持部
微软全球技术支持中心

1. 打开边缘服务器上adam ADSIEDIT。（开始->运行->输入ADSIEDIT.msc）,连接端口要设定为50389，默认是389，这个让我查了半天
2. 浏览到Configuration->Services->Microsoft Exchange->First Organization->Adminstrative Groups->Exchange Administrative Group ->Servers->server_name-(边缘服务器)>Protocols->SMTP Receive Connector。
3. 在右边点击Default接受连接器，右击打开属性。
4. 点击Security选项卡，选择Anonymous Logon。
5. 在权限列表中的Accept Authoritative Domain Sender，勾选Deny。
6. 重启Transport服务。
这样的话，凡是发件人是自己域的信都不可以从SMTP发过来。

参考

http://technet.microsoft.com/en-us/library/cc779052(WS.10).aspx

更正，经过测试边缘服务器ADAM adsiedit没有安全选项卡， 需要通过下列命令设定。

Remove-ADPermission –Identity "Default Internal Receive Connector EXEDGE" -User "NT AUTHORITY\ANONYMOUS LOGON" –ExtendedRights ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
或者：
Add-ADPermission –Identity "Default Internal Receive Connector EXEDGE" -User "NT AUTHORITY\ANONYMOUS LOGON" –ExtendedRights ms-Exch-SMTP-Accept-Authoritative-Domain-Sender -Deny

由于Edge是处在公司外部网络中的，因此POP3用户无法通过Edge经由DC来进行身份验证，而必须连接到HUB服务器上

另外根据以前项目的经验，可以采用二个公网ip地址的方式。

客户咨询在Exchange 2007中需要清除一封发送给所有用户的邮件。

将命令发送给客户 get-mailbox | export-mailbox –subjectKeywords “邮件主题 " –targetmailbox administrator –targetfolder export -DeleteContent

客户反映测试执行export-mailbox命令后，用户的所有邮件都导入到administrator邮箱了，没有按照主题来筛选。

不可能啊,我这里测试，一切正常，从客户发过来的运行截图来看，也都正常，没有问题。

再查询下2007help文档，在export-mailbox中发现有下面一段：

如果您使用任何关键字参数，Export-Mailbox cmdlet 将首先导出所有的邮件，包括转储程序中的邮件，然后搜索目标邮箱寻找符合关键字条件的邮件。源邮箱上转储程序中的邮件会转换为目标邮箱上"已删除邮件"文件夹中的常规邮件，并且也要按关键字进行搜索。然后，Export-Mailbox cmdlet 将删除目标邮箱中与关键字条件不匹配的邮件。如果同时使用 DeleteContent 参数，则 Export-Mailbox 将删除源邮箱中与关键字条件匹配的邮件。

赶紧询问客户是不是执行测试命令时候使用ctrl+c中断过，果然是这个状况。这下问题原因找出来了。

按照这样看来，Export-mailbox和以前exmerge的工作模式还是有所区别的，像今天这个客户的情况，如果用户邮件数量比较多的话，执行这个命令恐怕得要花不少时间了。

逐步来排错。

首先怀疑可能是证书的地方配置的有些不正确，重新申请配置证书(之前的证书在subjectname上按照help的格式有点问题，建议不要设定subjectname,它会套用domainname的第一个值)

New-ExchangeCertificate -GenerateRequest -Path c:\certrequest.req -SubjectName "cn=mail.contoso.msft" -DomainName mail.contoso.msft,servername,servername.contoso.msft,autodiscover.contoso.msft -PrivateKeyExportable $true

mail.contoso.msft是外部访问域名，当前环境域名和SMTP域名一致

复制certrequest文本中的内容

进入企业CA证书申请页面,申请证书--高级证书申请--使用 base64 编码的 CMC 或 PKCS #10 文件提交 一个证书申请，或使用 base64 编码的 PKCS #7 文件续订证书申请。

下载证书，Base64编码

导入证书

Import-ExchangeCertificate -Path c:\certnew.cer

启用服务

Enable-ExchangeCertificate -Thumbprint  -Services "POP,IMAP,SMTP,IIS"

证书重新配置好后，导入ISA，结果ROH测试仍然失败，先从内部测试ROH，DNS服务器里面添加mail.contoso.msft记录。

客户端配置好ROH连接后，能连到exchange,奇怪，难道还是ISA问题？Ctrl+右键点击outlook工具栏图标--连接状态，只有邮件是通过HTTPS方式的，

其他目录连接还是通过TCP/IP方式。重新调整客户端网络设置，去除DNS服务器，在Host文件里面添加一条mail.contoso.msft记录，这次不能再连接到Exchange.

看来，问题还是在Exchange上面

在网上找到了相关的资料，确实在Windows2008+Exchange2007环境上存在这样一个Bug, 因为DSproxy组件侦听6004端口但不支持IPv6，因此需要关闭IPv6.

Exchange 2007 sp1 rollup4据说已经修复这个问题，不过更新好rollup4后，问题依旧。

那就关闭IPv6吧

1. 网卡属性中取消IPv6选项。(这个之前就已经关闭)

2. HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters下建立32位Dword, DisabledComponents 0xFF

3. 重启电脑

如果CAS和MailBox在一台机器上，还需要关闭loopback interface的IPv6

在host文件中，记录 :::1    localhost 前添加注释符#

添加 Ip   hostanme记录

添加 ip    FQDN记录

保存host文件

至此问题解决，外部能正常访问outlook anywhere

通过Get-ContentFilterConfig命令可以看到里面有BypassedSenders和BypassedSenderDomains二个参数

可以使用Set-ContentFilterConfig –BypassedSenders jiang.cr211@gmail.com

或者Set-ContentFilterConfig –BypassedSenderDomains gmail.com

参考：http://exchangepedia.com/blog/2007/01/exchange-2007-content-filter-whitelist.html

Isinteg 通常在运行 Eseutil 修复操作后使用。Isinteg 工具执行以下两项主要任务：

• 从脱机备份还原后修补信息存储。
  
• 测试信息存储中的错误，并有选择地进行修复。

Isinteg 可以在应用程序级别修复信息以及邮箱、文件夹、邮件和附件之间的关系。

   To resolve this issue:

1.	Start Registry Editor (Regedt32.exe).
2.	Locate and click the following registry key: HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Resvc/Parameters/
3.	On the Edit menu, click Add Value, and then add the following registry value: Value Name: CheckConnectorRestrictions Data Type: REG_DWORD Radix: Hexadecimal Value: 1
4.	Quit Registry Editor.
5.	Restart the Microsoft Exchange Routing Engine service and the Simple Mail Transfer Protocol (SMTP) services for this change to take effect.

  参考以下信息

XCON: Connector Delivery Restrictions May Not Work Correctly
http://support.microsoft.com/kb/277872/en-us

 有关如何修改send as权限的详细信息，请参考下面的链接：

HOW TO: 在 Exchange 2000 Server 中授予“代理发送”和“代表发送”权限

http://support.microsoft.com/kb/327000/zh-cn

http://technet.microsoft.com/en-us/library/bb124345.aspx

• Origanizational Limit
• Global Limit
• Connector Limit
• Server Limit
• User Limit

在沒有Edge的情況下，Organizational以及User的收及發都是未設限，亦即Unlimited

假設整個ORG中你只有一台Hub Transport，以及只有一條Send Connector的話

那麼預設使用者寄出去及收進來都只有10MB．

因為預設Hub Transport上的Send & Receive Connector的最大message size都是10MB

你可以利用Set-SendConnector -MaxMessageSize以及Set-ReceiveConnector -MaxMessageSize cmdlet來改變預設的郵件傳送及接收大小

至於OWA預設在選取要加入的附件檔案的大小是30000 KB，你可以依照下面的作法做適當的修改

http://technet.microsoft.com/en-us/library/aa996835.aspx

要注意的是，即使OWA預設可上傳的附件檔大小為30000KB,不代表使用者就可以真的將30000KB大小的附件檔寄出

因為還是會受限於Send Connector預設10MB大小的限制

 

解決方法：使用ADSI EDIT設定

Configuration-->CN=Service-->CN=Microsoft Exchange-->CN=<Exchange ORG. Name>-->CN=Global Settings-->CN=Message Delivery-->滑鼠右鍵-->內容

delivContLength：<10240>                       (0~2097151KB)  　預設值為10MB，最大可以設為2097151KB (2GB)
  submissionContLenght：<10240>             (0~2097151KB)     同上
  msExchReciplimit：<5000>                      (0~2147483647)   不用改

Exchange 2007傳送大小，使用MAPI時會受限於Global limits、Organizational limits、使用者信箱傳送大小的限制、Pickup大小的限制、集線傳輸規則的附件檔大小限制、Connector limits、OWA 2007 (Web.config file)的上傳下載大小限制。

    傳送大小的限制原則是：使用者的傳送大小或接收大小取決於使用者信箱的傳送大小限制之設定，若保持預設(沒有特別指定)，再由Global及ORG.兩者的傳送大小限制來決定，但預設上，Global是限制10MB，而ORG是沒有限制，因此Global與ORG之間再取最小值，所以若使用者信箱沒有特別設定傳送大小限制，預設值會被限制在10MB。

 以上為純Exchange 2007安裝時的情況,若是由Exchange 2003或Exchange 2000升級上來的,則Global會保留原有設定, 一般人比較容易疏忽的是Global設定,因為這是舊版本Exchange的設定,只能由Exchange 2000或2003的管理介面去檢視或設定,若是純Exchange 2007的安裝,並沒有直接的管理介面或指令去指定,必須透過ADSI工具至AD的Configuration中設定。

Best regards.

Frank Hsieh

Exchange server 2007已經開啟POP3、IMAP4服務，

LoginType 採用預設的 SecureLogin 加密方式，

用戶端使用 Outlook Express & Windows Mail，

在進階的部分也都開啟了使用 SSL 加密 port 的選項，

使用 POP3 或 IMAP4 收信也都正常，

但是在某部分使用者寄信的時候，會出現下列錯誤而無法寄出郵件

 ====

無法傳送郵件，因為伺服器拒絕寄件者的電子郵件地址。寄件者的地址是 abc@abc.com.tw'。主旨 '1', 帳戶: 'abc', 伺服器: 'cas.abc.com.tw', 通訊協定: SMTP, 伺服器回應: '550 5.7.1 Client does not have permissions to send as this sender', 連接埠: 25, 安全(SSL): 是, 伺服器錯誤: 550, 錯誤碼: 0x800CCC78

====

看起來似乎是調整一下權限即可，

不過卻不知道從何下手，請問有人解決過這個問題嗎？

Hi Joseph,

再仔細分析你的情況,假設是Exchange 2000 或Exchange 2003升級上來的,那麼曾經加入或現在還是Enterprise Admins或Domain Admins的帳號,在升級至Exchange 2007後,最有可能發生這情況,那是因為加入了這些群組後,AD的繼承自動會被拿掉,因此會造成升級後OWA及POP3有問題。Administrator、Enterprise admins、Domain Admins等帳號或群組的成員有許多權限是被設為『拒絕』的。

你可以使用『Active Directory使用者及電腦』程式,將檢視選擇為『進階功能』,然後點選『有問題的帳號』-->內容-->安全性標籤,檢查看看有沒有SELF帳號,若沒有把它加進來(選擇新增-->手動輸入SELF-->確定),正常應有此帳號,接著在『安全性』標籤頁選擇『進階』,檢查一下『允許從父項繼承權限套用到這個物件和所有的子物件,包括明確定義於此的項目(A)』選項是否未勾選,一般的帳號應會勾選起來,若沒有勾選,接著直接點選『預設』按鈕,會自動勾選起來,然後再按確定-->等同步後再重試一次寄信,記得按『預設』按鈕,它會把原來該有的權限加入。

即使有SELF帳號,『允許從父項繼承權限套用到這個物件和所有的子物件,包括明確定義於此的項目(A)』選項也有勾選,也應按一下『預設』按鈕,因為有些權限有可能某些因素被拿掉。

Best regards,

Frank Hsieh

Categorizer

分类进程从递交队列中提取邮件，在递交队列中总是更早的邮件被优先提取。

在边缘服务器，分类进程仅仅处理收件人地址是否符合这一条件，然后邮件直接传递到传输队列。通过传输队列，邮件路由到中心传输服务器。

在中心传输服务器上，分类进程执行下列的任务：

1.       判断和检查收件人

2.       多收件人邮件进行分叉

3.       判断路由路径

4.       转换内容格式

5.       应用组织邮件策略

单个AD站点中邮件的传递流向工作

1．  当一份邮件递交到邮箱服务器邮箱存储上时，邮件流开始。如果客户端是office outlook客户端，邮件通过MAPI提交，邮件直接写在用户outbox中。

2．  当Microsoft Exchange Mail Submission service检测到邮件可用(在outbox中)，它选择一台可用的中心传输服务器角色，递交一个邮件通知给Store Driver

3．  Store Driver(中心传输服务器的传输服务组件)使用MAPI连接到用户的outbox,收集所有需要发送的邮件。将邮件递交到递交队列，然后将邮件从outbox移动到已发送邮箱。

4．  当邮件目的是同一个AD站点的邮箱服务器，邮件被提交到Local Delivery Queue，然后store driver 通过MAPI传递邮件到邮箱服务器角色。

5．  当邮件目的是另一个AD站点的邮件服务器，中心传输服务器使用AD站点链接信息来判断到目的站点的路由，当路径确定后，中心传输服务器会直接连接到远程站点的服务器。如果在目的站点没有中心传输服务器可用，邮件将被路由到离目的站点最近的中心传输服务器。

6．  当邮件目的是Internet，中心传输服务器提交邮件到边缘服务器。

1. 打开 IIS 管理器，然后导航到“网站/默认网站”。右键单击“默认网站”，然后单击“属性”。

2. 单击“主目录”选项卡，然后单击“重定向到 URL”选项。

3. 在“重定向到”中，键入 /目录名称。例如，若要将 https://服务器名称 请求重定向到 https://服务器名称/exchange，请在“重定向到”中键入 /exchange。

   • 如果将使用 Outlook Web Access 访问的所有邮箱均位于 Exchange 2007 服务器上，可以将 /exchange 替换为 /owa。这样可以将所有 https://服务器名称 请求重定向到 https://servername/owa。
     

4. 在“客户端将定向到:”列表中，选择“输入的 URL 下的目录”。

HTTP访问方式重定向到HTTPS

1. 打开 IIS 管理器，然后导航到“网站/默认网站”。右键单击“默认网站”，然后单击“属性”。

2. 单击“主目录”选项卡，然后选择“重定向到 URL”。

3. 在“重定向到”中输入 /Exchange。

4. 选择“客户端将定向到: 输入的 URL 下的目录”。

5. 单击“自定义错误”选项卡，然后在表中找到 HTTP 错误 403;4。通过单击选中 403;4，然后单击“编辑”。

6. 单击“浏览”找到此步骤开始时创建的文件。

7. 单击“确定”保存更改。

8. 打开命令提示符窗口，然后键入 iisreset /noforce 以重新启动 IIS