根据您的描述，我对这个问题的理解是：
您想知道如何清除域内长期没有登录的计算机对象。
如果我的理解有误，请告诉我。
您可以使用一个叫oldcmp的工具，它能够根据你设置的条件过滤用户帐户或者计算机账户，然后你可以设置如何处置这些过期账户，是删除、移动、还是锁定。该工具的下载地址在
http://www.joeware.net/freetools/tools/oldcmp/index.htm
您需要在命令行环境下执行它，查询命令行的方式是 oldcmp /?
您可以参考下面的这篇文章，上面有详细的图文解说如何使用oldcmp清除旧的计算机帐户：
下面我举一个例子来说明使用OldCmp来清除域中长时间不使用的计算机帐户。
将工具OldCmp.exe 复制 到C盘根目录，打开命令行窗口。接下来我要把AD中超过60天没有更新计算机账户密码的计算机账户挑选出来并禁用，等过一段时间，若没有用户报告出现问题，就可以统统从域中清除了。
注：默认情况下，计算机账户密码每30天自动更新一次。那也就是说我可以认为60天没更新的计算机已经是无效的了。该工具默认是90天，当然您可以根据需要自己设定。
在命令行窗口定位到C:\> 然后运行下面的命令：
oldcmp –age 60 –disable –unsafe –forreal
注释：
运行了命令后在工具所在的目录内会出现一份html报告，内容非常详尽。下面介绍一下参数含义
-age 60 ：超过60天未更新计算机账户密码的的计算机账户
-disable ：禁用计算机账户
-unsafe ：比如你有100个符合条件的对象会被执行，但默认情况下只对前10个做了操作，加了这个参数后就是对所有符合条件的对象操作，这么做的目的只有一个，安全。
-forreal ：加了这个参数，所有的操作才真正的执行。默认情况下你的操作都只是出现一份报告，告诉你操作的结果，让你可以有个了解。该工具的使用是需要非常小心的，所以该工具作者认为有必要多一个参数来保护。
命令运行后，刷新一下OU，你就发现符合条件的计算机账户都被禁用了。过了一段时间一切都运作正常，那么我就来删除当初禁用的这些电脑。 只需要运行下面的命令：
oldcmp -onlydisabled -delete -unsafe -forreal
参数Onlydisabled就是仅仅对被禁用的计算机账户操作。
另外您还可以借助于脚本去查询并删除过期的计算机帐户。 下面是一个脚本的例子，
您可以到我们的MSDN 论坛咨询脚本相关的问题
http://www.rlmueller.net/MoveOldComputers.htm
希望我的回答对您有所帮助，如果有不清楚的地方，请告诉我。
感谢您选择微软产品并使用微软合作伙伴在线技术支持！
马宁
在线合作伙伴支持工程师
合作伙伴支持部
微软全球技术支持中心

今天才发现Exchange 2007取消OMA功能了，这个功能以前一直不注意，因为手机是Windows mobile的，现在手机换了nokia塞班，倒想起这个功能了，结果竟然取消了…

关于收到自己给自己发的垃圾邮件这个问题，我们可以使用以下方法来阻止这些邮件：

1. 打开边缘服务器上adam ADSIEDIT。（开始->运行->输入ADSIEDIT.msc）,连接端口要设定为50389，默认是389，这个让我查了半天
2. 浏览到Configuration->Services->Microsoft Exchange->First Organization->Adminstrative Groups->Exchange Administrative Group ->Servers->server_name-(边缘服务器)>Protocols->SMTP Receive Connector。
3. 在右边点击Default接受连接器，右击打开属性。
4. 点击Security选项卡，选择Anonymous Logon。
5. 在权限列表中的Accept Authoritative Domain Sender，勾选Deny。
6. 重启Transport服务。
这样的话，凡是发件人是自己域的信都不可以从SMTP发过来。

参考

http://technet.microsoft.com/en-us/library/cc779052(WS.10).aspx

 

更正，经过测试边缘服务器ADAM adsiedit没有安全选项卡， 需要通过下列命令设定。

Remove-ADPermission –Identity "Default Internal Receive Connector EXEDGE" -User "NT AUTHORITY\ANONYMOUS LOGON" –ExtendedRights ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
或者：
Add-ADPermission –Identity "Default Internal Receive Connector EXEDGE" -User "NT AUTHORITY\ANONYMOUS LOGON" –ExtendedRights ms-Exch-SMTP-Accept-Authoritative-Domain-Sender -Deny

根据您的描述，我对这个问题的理解是：您想知道在装有Edge服务器的情况下如何使用户使用POP、SMTP方式正常收发邮件。如果我的理解有误，请告诉我。
在Exchange 2007 Hub服务器上，预设有一个接收连接器“Client <服务器名>”(打开Exchange管理控制台->"服务器配置"->"集线器传输"->"接收连接器")。对比我们常用的使用25端口的“Default <服务器名>”，“Client <服务器名>”使用
587端口从而避免了与Edge服务器的端口冲突。
因此，您只需要对公网发布587端口，启用Client <服务器名>并进行相应的配置，然后让POP3用户设置使用587端口来替代25端口进行发信。
下面这篇我们Exchange团队的blog中讲述了这种情形供您参考，抱歉只有英文版本：
Quick-Start Guide to Configuring POP3 and IMAP4 in Exchange 2007
http://msexchangeteam.com/archive/2007/05/16/439093.aspx

 

由于Edge是处在公司外部网络中的，因此POP3用户无法通过Edge经由DC来进行身份验证，而必须连接到HUB服务器上

另外根据以前项目的经验，可以采用二个公网ip地址的方式。

客户咨询在Exchange 2007中需要清除一封发送给所有用户的邮件。

将命令发送给客户 get-mailbox | export-mailbox –subjectKeywords “邮件主题 " –targetmailbox administrator –targetfolder export -DeleteContent

客户反映测试执行export-mailbox命令后，用户的所有邮件都导入到administrator邮箱了，没有按照主题来筛选。

不可能啊,我这里测试，一切正常，从客户发过来的运行截图来看，也都正常，没有问题。

再查询下2007help文档，在export-mailbox中发现有下面一段：

如果您使用任何关键字参数，Export-Mailbox cmdlet 将首先导出所有的邮件，包括转储程序中的邮件，然后搜索目标邮箱寻找符合关键字条件的邮件。源邮箱上转储程序中的邮件会转换为目标邮箱上"已删除邮件"文件夹中的常规邮件，并且也要按关键字进行搜索。然后，Export-Mailbox cmdlet 将删除目标邮箱中与关键字条件不匹配的邮件。如果同时使用 DeleteContent 参数，则 Export-Mailbox 将删除源邮箱中与关键字条件匹配的邮件。

赶紧询问客户是不是执行测试命令时候使用ctrl+c中断过，果然是这个状况。这下问题原因找出来了。

按照这样看来，Export-mailbox和以前exmerge的工作模式还是有所区别的，像今天这个客户的情况，如果用户邮件数量比较多的话，执行这个命令恐怕得要花不少时间了。

在Window 2008远程桌面中，默认一个用户只能享用一个会话，往往在远程操作时会被别人踢下来，比较讨厌。

通过在终端配置中，取消限制每个用户只能进行一个会话的设置，可以恢复回原先Windows 2003的模式。

ISA2006发布Exchange ROH, 因为之前已经发布好了OWA，所以按照发布ROH向导，一步步完成，结果测试，竟然不行。

逐步来排错。

首先怀疑可能是证书的地方配置的有些不正确，重新申请配置证书(之前的证书在subjectname上按照help的格式有点问题，建议不要设定subjectname,它会套用domainname的第一个值)

New-ExchangeCertificate -GenerateRequest -Path c:\certrequest.req -SubjectName "cn=mail.contoso.msft" -DomainName mail.contoso.msft,servername,servername.contoso.msft,autodiscover.contoso.msft -PrivateKeyExportable $true

mail.contoso.msft是外部访问域名，当前环境域名和SMTP域名一致

复制certrequest文本中的内容

进入企业CA证书申请页面,申请证书--高级证书申请--使用 base64 编码的 CMC 或 PKCS #10 文件提交 一个证书申请，或使用 base64 编码的 PKCS #7 文件续订证书申请。

下载证书，Base64编码

导入证书

Import-ExchangeCertificate -Path c:\certnew.cer

启用服务

Enable-ExchangeCertificate -Thumbprint  -Services "POP,IMAP,SMTP,IIS"

证书重新配置好后，导入ISA，结果ROH测试仍然失败，先从内部测试ROH，DNS服务器里面添加mail.contoso.msft记录。

客户端配置好ROH连接后，能连到exchange,奇怪，难道还是ISA问题？Ctrl+右键点击outlook工具栏图标--连接状态，只有邮件是通过HTTPS方式的，

其他目录连接还是通过TCP/IP方式。重新调整客户端网络设置，去除DNS服务器，在Host文件里面添加一条mail.contoso.msft记录，这次不能再连接到Exchange.

看来，问题还是在Exchange上面

在网上找到了相关的资料，确实在Windows2008+Exchange2007环境上存在这样一个Bug, 因为DSproxy组件侦听6004端口但不支持IPv6，因此需要关闭IPv6.

Exchange 2007 sp1 rollup4据说已经修复这个问题，不过更新好rollup4后，问题依旧。

那就关闭IPv6吧

1. 网卡属性中取消IPv6选项。(这个之前就已经关闭)

2. HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters下建立32位Dword, DisabledComponents 0xFF

3. 重启电脑

如果CAS和MailBox在一台机器上，还需要关闭loopback interface的IPv6

在host文件中，记录 :::1    localhost 前添加注释符#

添加 Ip   hostanme记录

添加 ip    FQDN记录

保存host文件

 

至此问题解决，外部能正常访问outlook anywhere

Exchange2007针对发件人或域名添加白名单，在边缘管理工具上找了一下竟然没发现，还是只能在命令行界面设置。

通过Get-ContentFilterConfig命令可以看到里面有BypassedSenders和BypassedSenderDomains二个参数

可以使用Set-ContentFilterConfig –BypassedSenders jiang.cr211@gmail.com

或者Set-ContentFilterConfig –BypassedSenderDomains gmail.com

 

参考：http://exchangepedia.com/blog/2007/01/exchange-2007-content-filter-whitelist.html

Alejendro, this blogs for you!

Unfortunately, there is nothing within the IE User Interface itself that tells you a WPAD file was downloaded for use by IE.  However, we can provide you a quick method of verification…

First, clear any cached data from the Temporary Internet Files directory:

NOTE:  Please do NOT attempt to delete your cookies!

Next, pick a small web site to connect to and add it to the Start->Run dialog:

Click OK to load web site in IE.  Now open the Internet Properties dialog using the below screen shots to open a window displaying files located within the Temporary Internet Files folder:

Notice the outlined file located in the TIF (Temporary Internet Files) folder.  This is the WPAD file (the proxy configuration file) that was downloaded due to Automatic detection being enabled.  You can easily copy/paste the file into a temp directory renaming it to have a .TXT extension.  From there you can load the file in notepad.exe to see that the file content and logic within, if you wish.

NOTE:  Do NOT open any files directly from the Temporary Internet Files folder!

I hope this answers your question Alejendro!

Regards,

The IE support Team

今天一个客户反映DNS中有很多重复的记录，要如何做清理，回复邮件的时候，顺便把blog也一并写了

 

在DNS服务器中，可以针对DNS记录做老化和清理的工作。

首先要了解一个概念，时间戳

对于每个动态更新记录,会基于当前的DNS服务器时间创建一个时间戳，但DHCP客户端服务或者DHCP服务器为此区域中的A记录进行动态更新时，会刷新时间戳。手动创建的资源记录会分配一个空的时间戳记录，代表他们不会老化.

我们可以在DNS管理控制台中打开查看的高级选项，然后查看DNS记录。

动态更新记录的刷新周期请参阅如下表格

 

在DNS区域中有老化的设置

无刷新间隔定义

当无刷新间隔对特定资源记录起作用时，动态刷新其时间戳的尝试将被 DNS 服务器制止。老化/清理机制的该特征能防止服务器对老化资源记录的不必要刷新。这些以前的刷新尝试，如果不如此解决，可能会增加与处理 DNS 区域更改相关的 Active Directory 复制通信。

要确保记录不会过早刷新，“无刷新间隔”与每个资源记录的当前刷新间隔在时间长度上必须对应。例如，如果将“刷新间隔”增加到更大的值，则必须同样增加无刷新间隔。

在多数情况下，7 天的默认间隔就足够了，无需进行更改。

服务器不接受记录刷新的时间(服务器仍接受更新)，这个值是最后一次刷新和最早可以再次刷新之间的间隔

刷新间隔定义

当刷新间隔对资源记录起作用时，自动刷新其时间戳的尝试被 DNS 服务器接受和处理。设置该间隔时，所使用的时间长度要比包含在区域中的任何资源记录的最大可能刷新周期长，这一点非常重要。该周期相当于在基于生成记录刷新的特定来源的正常网络环境下刷新记录可能需要的最长时间。

 

 

从上面的定义来看，刷新间隔，我们设定的这个值一般可以依据最长的DHCP服务器刷新，>=DHCP租约50%

无刷新间隔，设定太长会增加过期记录的保留时间，设定太短会引起不必要的AD复制通讯，因此基本设定与刷新间隔相同。

 

因此如果依照默认的设定，在时间戳后14天(7天+7天)，记录将被标志为过期记录。

 

当然上面的操作，只是将记录标志为过期，还没有执行清理的操作。

1.自动清理

2.手动清理(一次性，非重复)

 

那针对我那客户的状况，还有点特殊，客户是以前自己手动添加的记录，那我们针对手动的记录可以勾选Delete this record when it becomes stale这个选项。

当记录过期时间到了后也能通过自动清理或手动清理，删除掉。

当然这个操作还是要手动一个记录一个记录改，有这个时间都可以直接删除记录了，嘿嘿！