sticky
General FAQ и полезные ссылки по Exchange Server. RRS feed

  • Общие обсуждения

  •  1. Что такое ретрансляция (Relay)?

       
    Ретранслирование – это возможность перенаправлять почту в домены, отличные от основного. Фактически, ретрансляция выполняется при использовании входящего SMTP-подключения к вашему серверу для отправки почтовых сообщений внешним получателям.

     

    2. Как Exchange 2003 server опознает авторизованный домен SMTP?
     

    В Exchange Server 2003  для определения авторизованного SMTP-домена используются настройки политики получателя (Recipient Policy). За контроль обработки сервером Exchange2003 входящих сообщений отвечает пункт  «This Exchange Organization is responsible for all mail delivery to this address». Дополнительная информация доступна в следующей статье базы знаний:

    Setting up SMTP domains for inbound and relay e-mail in Exchange 2000 Server and in Exchange Server 2003

    http://support.microsoft.com/kb/260973

     

    3. Что такое Open Relay (анонимное ретранслирование)? 

     

    Открытый режим ретрансляции позволяет любому пользователю подключаться к серверу Exchange и отправлять через него почту за пределы организации. По умолчанию Exchange Server 2003 разрешает отправку писем внешним получателям только для внутренних пользователей организации с использованием аутентификации. 

     

    4. Как настраивать ретрансляцию в Exchange 2003?


     

    Настройки ретрансляции Exchange 2003 базируются на двух  опциях виртуального сервера SMTP и опции SMTP-коннектора: 

     

    1)      Выбор компьютера, которому разрешена ретрансляция через данный виртуальный сервер (Select which computer may relay through this virtual server.)

    ESM->Administrative Group->Server->Protocol->SMTP->Virtual Server->Access Tab->Relay Button

     

    Данный пункт определяет, какому из компьютеров разрешено или запрещено ретранслировать почту через виртуальный SMTP-сервер.

    2)     Разрешение всем компьютерам, прошедшим аутентификацию, кроме указанных в списке выше, осуществлять ретрансляцию через виртуальный SMTP-сервер (Allow all computer which successfully authenticate to relay, regardless of the list above)

     

    ESM->Administrative Group->Server->Protocol->SMTP->Virtual Server->Access Tab->Relay Button

     

    Данный пункт определяет, позволено ли авторизованному пользователю ретранслировать сообщения через виртуальный SMTP-сервер. Если данный пункт не отмечен, ретрансляция будет запрещена для всех пользователей вне зависимости от статуса аутентификации. При снятии отметки с данного пункта становится доступной кнопка Пользователи (Users), при помощи которой можно назначить разрешения на ретрансляцию через виртуальный SMTP-сервер для определенных пользователей.

     

    3)      Разрешение на перенаправление почтовых сообщений в указанные домены (Allow message to be relayed to these domains)

     

    ESM->Administrative Group->Routing Group->Connectors->SMTP connector->Address Space tab

     

    При выборе данного пункта почтовое сообщение отсылается в настроенное на SMTP-коннекторе адресное пространство вне зависимости от того, был ли пользователь аутентифицирован. Таким образом, если в настройках адресного пространства SMTP-коннектора  стоит (*), не отмечайте пункт  Allow message to be relayed to these domains. В противном случае, Exchange Server будет находиться в открытом режиме ретрансляции.

     

    5. Как устранить проблему, вызывающую сообщение NDR «5.7.1 unable to relay»?

     

    Чтобы устранить проблему, следуйте приведенной общей процедуре:

     

    1)     Необходимо знать, какой сервер сгенерировал сообщение. Информацию можно получить из заголовка сообщения или при помощи журнала Message Tracking. Учтите, что сообщение NDR генерируется на сервере, который получил его последним.

    2)     

    3)     После выявления нужного сервера, задействуйте журналирование протокола SMTP на  виртуальном SMTP-сервере. После этого воспроизведите проблему и проверьте журнал SMTP-протокола чтобы убедиться в успешной аутентификации локального сервера на удаленном, что позволяет ретранслировать почтовые сообщения.

    4)    

    3)      Если сервер успешно прошел аутентификацию, но ретрансляция сообщений недоступна, проверьте настройки ретрансляции на удаленном сервере.

     

    Замечание: Если сообщение “5.7.1 unable to relay” появляется сразу же при попытке получения сообщения от клиента, вы также можете включить журналирование SMTP-протокола на виртуальном сервере SMTP ,к которому подключается клиент, чтобы определить, проходит ли клиент аутентификацию.

     

     

    6. Сколько стандартных компонентов маршрутизации (Routing Components) доступно в Exchange server 2003?

     

    Компоненты маршрутизации позволяют настраивать топологию и маршруты, используемые для доставки почты как вовне организации, так и внутри нее.  Маршрутизация зависит от следующих компонентов, определяемых в рамках создаваемой топологии:

     

    ·         Группы маршрутизации: логическая коллекция серверов, используемых для контроля почтовых потоков и ссылок на общие папки. Группы маршрутизации совместно используют одно или больше физических соединений. Все сервера в пределах группы маршрутизации общаются и передают сообщения напрямую.

     

    ·         Коннекторы: предустановленные пути между группами маршрутизации, пути в интернет или к другим почтовым системам. Каждому коннектору соответствует односторонний тракт  до места назначения.

     

    ·         Информация о состоянии связей: Информация о группах маршрутизации, коннекторах и их конфигурациях, служащих для определения наиболее эффективного пути доставки сообщений.

     

    ·         Внутренние компоненты маршрутизации: в частности, механизм маршрутизации, предоставляющий и обновляющий топологию маршрутизации для серверов Exchange 

     

    7. Каковы минимальные требования Exchange server 2003 для получения потока интернет-почты?

    ·         Постоянное подключение к сети интернет.

     

    ·         На внешних серверах DNS для текущего домена должны присутствовать MX-записи, указывающие на текущие почтовые сервера, либо, при работе через интернет-провайдера (ISP) или внешнюю систему, на данной системе должны присутствовать MX-записи для текущего домена , а также механизм перенаправления почты на Exchange-сервера этого домена.

     

    ·         Почтовый сервер должен быть доступен для других серверов сети интернет. При работе через ISP либо внешнюю систему, для обеспечения доставки почты данная система должна иметь возможность доступа к серверам Exchange.

     

    ·        Политики получателя должны быть правильно настроены. Для получения интернет-почты необходимо сконфигурировать  политику получателя, содержащую адресное пространство для домена SMTP. Кроме того, структура Exchange должна быть назначена ответственной за доставку почты адресату (установка по умолчанию). Например, для получения интернет-почты для адресата ted@example.com, необходимо настроить политику получателя, содержащую @example.com. Однако, для данного правила существуют исключения.

     

    8. Как происходит процесс обработки потока входящей почты?


    1)      SMTP-сервер отправителя запрашивает DNS-сервер на предмет наличия MX-записи SMTP-сервера получателя. Данная MX-запись разрешает запись соответствующего хоста (A-запись), которая разрешает IP-адрес SMTP-сервера получателя.
     
    2)      SMTP-сервер отправителя устанавливает связь с сервером получателя по порту 25. На шлюзе Exchange сервером-получателем является виртуальный SMTP-сервер, поднятый на сервере Exchange, настроенном для приема входящей почты.
     
    3)      Если сообщение предназначено для получателя данного почтового домена SMTP, то оно будет принято сервером на основании политик получателя.
     
    4)      После того, как сообщение принято, оно хранится в папке \Queue на сервере Exchange. Виртуальный SMTP-сервер передает сообщение в Advanced Queuing Engine, который затем передает сообщение в категоризатор.

    5)      Категоризатор сообщений проверяет получателей сообщения, правильность атрибутов получателя, применяет ограничения и запреты, помечает сообщения для внутренней доставки и затем возвращает сообщения в Advanced Queuing Engine.
     
    6)      Advanced Queuing Engine передает сообщение в очередь внутренней доставки.

    7)      Из очереди внутренней доставки сообщение передается в хранилище Exchange. 
     
    8)      Почтовые сообщения доставляются почтовому клиенту (например, Outlook, Outlook Express, или Outlook Web Access).

     

    9. Как происходит процесс обработки потока исходящей почты?

     

    Исходящая почта проходит через Exchange Server следующим образом:

    1)      Почтовые сообщения, отправленные из почтового клиента (например, Outlook, Outlook Express, или Outlook Web Access), попадают в локальное хранилище Exchange. 
     
    2)      Из хранилища Exchange сообщение передается в Advanced Queuing Engine. 
     
    3)      Advanced Queuing Engine передает сообщение в категоризатор.
     
    4)      Категоризатор проверяет получателей сообщения, правильность атрибутов получателя, применяет ограничения и запреты, помечает сообщения для внутренней или удаленной доставки и затем возвращает сообщение в Advanced Queuing Engine. 
     
    5)      Сообщения, предназначенные для внутренней доставки, Advanced Queuing помещает в очередь на внутреннюю доставку, откуда оно попадает в хранилище Exchange.
     
    6)      Сообщения, предназначенные для удаленной доставки, передаются от Advanced Queuing Engine механизму маршрутизации. Механизм маршрутизации определяет максимально эффективный маршрут доставки почты и возвращает сообщение в Advanced Queuing Engine, где оно помечается для удаленной доставки. Сообщения отсылаются через SMTP-сервер удаленному SMTP-узлу в сети интернет.

     

    10. Как работают внешние DNS-запросы? 

    Если DNS-клиенту необходимо разрешить имя сервера, он отправляет запрос к серверам DNS. Каждый отправленный клиентом запрос преимущественно направлен на  получение от DNS-сервера нужной информации. Клиент указывает тип запроса, который может отображать как тип записи ресурса, так и выполнять специализированную операцию запроса.  Например, чтобы найти SMTP-сервер из сети интернет, необходимо указать тип запроса MX (mail exchanger resource record). 

     

    Рассмотрим ситуацию, когда указанное имя принадлежит внешнему домену, например example.microsoft.com, а тип искомого запроса – MX-запись для данного имени. Клиент обращается к серверу с двумя вопросами: 1) «Существует ли MX-запись для домена'example.microsoft.com?»; 2) «Если существует, возможно ли разрешить MX-запись в А-запись и получить IP-адрес?». После того, как клиент получит ответ от сервера, он считает и интерпретирует МХ-запись и получает А-запись, после чего разрешает  IP-адрес компьютера.

     

    11. Как проверять конфигурацию МХ-записей при помощи Nslookup?
     
    1.       В командной строке наберите nslookup, нажмите Enter.

    2.       Наберите server <IP address>,где <IP address> - IP-адрес внешнего DNS-сервера.

    3.       Наберите set q=MX, нажмите ENTER.

    4.       Наберите <domain name>, <domain name> - имя вашего домена и нажмите ENTER. Должна отобразиться МХ-запись для указанного домена. Если этого не произошло, DNS настроен неверно.

     

    Следующий пример показывает отображение MX-записи для фиктивного домена example.com.

    C:\> nslookup

    Default Server:  pdc.corp.example.com

    Address:  192.168.6.13

    > server 172.31.01.01

    Default Server:  dns1.example.com

    Address:  172.31.01.01

    > set q=mx

    > example.com.

    Server:  dns1.example.com

    Address:  10.107.1.7

    example.com   MX preference = 10, mail exchanger = mail1.example.com

    example.com   MX preference = 10, mail exchanger = mail2.example.com

    example.com   MX preference = 10, mail exchanger = mail3.example.com

    example.com   MX preference = 10, mail exchanger = mail4.example.com

    example.com   MX preference = 10, mail exchanger = mail5.example.com

    mail1.example.com     internet address = 172.31.31.01

    mail2.example.com     internet address = 172.31.31.02

    mail3.example.com     internet address = 172.31.31.03

    mail4.example.com     internet address = 172.31.31.04

    mail5.example.com     internet address = 172.31.31.05

    В данном примере DNS-сервер находится за прокси-сервером. Таким образом, для обработки данного запроса используется внешний DNS-сервер либо DNS-сервер интернета с адресом 172.31.01.01. Далее тип запроса устанавливается в MX для обнаружения почтовых обменников домена example.com. В данном примере используется 5 SMTP-серверов с равномерно сбалансированной нагрузкой, каждый с персональным IP-адресом. У вашего домена может быть и только одна точка входа, как показано в следующем примере: 

     

    contoso.com   MX preference = 10, mail exchanger = mailbox.contoso.com

    mailbox.contoso.com     internet address = 10.57.22.3

     

    12. Как настроить перенаправление сайта по умолчанию в виртуальный каталог OWA?

     

    Для IIS6.0

    1.      Откройте IIS Manager.

    2.      Перейдите в раздел Web Site-Default Web Site.

    3.      Щелкните правой кнопкой мыши на пункте Default Web Site и выберите Properties.

    4.      Перейдите на вкладку Home Directory.

    5.      Поставьте отметку в пункте A redirection to a URL.

    6.      В поле Redirect to: наберите /OWA.

    7.      Проверьте каталог для данной ссылки.

    8.      Из командной строки выполните iisreset /noforce.

     

    Для IIS7.0

    1.      Откройте IIS Manager.

    2.      Перейдите в раздел Web Site-Default Web Site

    3.      В правой части окна Default Web Site Home найдите объект HTTP Redirect.

    4.      Щелкните на HTTP Redirect.

    5.      Проверьте запросы на перенаправление к месту назначения:

    6.      В пустой строке ниже наберите / OWA

    7.      В правой панели Actions нажмите Apply.

    8.      Из командной строки выполните iisreset /noforce.

     

    Для ISA

    1.      Откройте ISA.

    2.      Найдите правило OWA Web Publishing.

    3.      Щелкните правой кнопкой на правиле и выберите Properties.

    4.      Перейдите на вкладку Path.

    5.      Нажмите Add, чтобы открыть окно Path Mapping.

    6.      Для внутреннего пути наберите / OWA \.

    7.      Для внешнего пути наберите /* .

     

     

     

    13. Как получить доступ к OWA без использования имени домена?

     

    В Exchange 2003:

     

    При попытке пользователя войти в Outlook Web Access выдается окно с запросом реквизитов входа. По умолчанию имя пользователя в этом окне должно вводиться в следующем формате: Имя_домена\Имя_пользователя.

     

    Фактически же, мы можем настроить Exchange Server 2003 так, чтобы пользователи могли получать доступ к OWA без ввода доменного имени.

     

    Подробно необходимые действия описаны в следующей статье базы знаний:

    http://support.microsoft.com/?id=903942

     
    В Exchange 2007:

    1), Разверните EMC

    2), В разделе Server Configuration выберите Client Access и щелкните на вкладке Outlook Web Access.

    3), Выберите OWA (Default Web Site) и нажмите Properties.

    4), Выберите вкладку Authentication.

    5), В разделе Use forms-based authentication: выберите User name only.

    6), Нажмите Browse и выберите имя домена, например, mycompany.com

    7), Нажмите OK.

    8), Нажмите Apply и OK, будет выдано предупреждение о необходимости перезапуска IIS для применения изменений.

    9), Из командной строки или Power Shell выполните iisreset /noforce.

     

    14. Как получить доступ к электронной почте, меню занят/свободен, конкретной папке при помощи прямой ссылки? ---Формат ссылок в OWA 2007 изменился?

     

    для OWA 2003

    https://server name/exchange/username or SMTP address/calender

    для OWA 2007

    https://<server name>/owa/?cmd=contents&module=calendar

    Разделы справки:

    How to Use Outlook Web Access Web Parts

    http://technet.microsoft.com/en-us/library/bb232199(EXCHG.80).aspx

    How to grant other users to access the exchange account - см инструкцию, основанную на следующем разделе:

    http://technet.microsoft.com/en-us/library/bb676551(EXCHG.80).aspx 

     

    15. Можно ли синхронизировать другие папки помимо папки Входящие?

     

    После первой синхронизации папки Входящие можно настроить синхронизацию и для остальных папок. Это делается при помощи Exchange ActiveSync как на стационарной машине, так и на мобильных устройствах. Чтобы настроить синхронизацию папок, в Outlook выберите  Menu – Tools – Manage Folders. 

     

    16. Можно ли синхронизировать несколько календарей или папок контактов? 


     

    Нет, синхронизация возможно только для папок календаря, контактов и задач, заданных по умолчанию. 

     

    17. Можно синхронизировать одно мобильное устройство с несколькими учетными записями Exchange одновременно? 

     

    Нет. Устройство можно синхронизировать не более чем с одним почтовым ящиком Exchange одновременно. 

     

    18. Как развернуть Exchange ActiveSync?


     

    Deploying Windows Mobile 6 Devices with Microsoft Exchange Server 2007

    http://technet.microsoft.com/en-us/library/cc182308.aspx

     

    Step-by-Step Guide to Deploying Windows Mobile-based Devices with Microsoft Exchange Server 2003 SP2

    http://technet.microsoft.com/en-us/library/cc182239.aspx
     

    19. Как выявить и устранить проблемы NLB в Exchange server 2007?


    1)      Убедитесь, что NLB развернут корректно [CAS NLB ; HUB NLB ]

    2)      Убедитесь что в NLB используется коммутатор второго уровня (Layer-2 Switch) [KB 193602 ]

    3)      Попробуйте отключить настроенный по умолчанию SNP, чтобы исключить проблемы с сетью[KB 948496 ]

    4)      Проверьте, возможно ли выполнить команду ping и подключиться к 25 порту Telnet через виртуальный IP-адрес NLB [VIP]

    5)      Отправьте сообщение при помощи Outlook, затем отследите его при помощи “Message Tracking”

    6)      Для дальнейшего анализа соберите следующие данные:

    Ø  Проверьте журналы NLB Manager и журналы приложений в диспетчере событий

    Ø  Выполните NLB display из командной строки на всех узлах NLB и зафиксируйте результат

    Ø  Выполните Net start WLBS из командной строки, проверьте, нет ли ошибок.


    Network Load Balancing - Concept and Notes

     

    20. Как устранить проблему, когда процесс Store.exe использует 100% ресурсов процессора?

    Exchange использует столько памяти, сколько необходимо ему для создания эффективного кэша с целью повышения производительности. Если память требуется другим процессам, Exchange сократит размер кэша, соответственно снижая потребление памяти.
     
    1)     Сначала используйте утилиту Process Explorer чтобы проверить, используется ли store.exe Exchange Server.
     
    Process Explorer доступен по следующей ссылке:

    http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/ProcessExplorer.mspx  

    2)     Затем попробуйте изменить максимальный размер кэша базы данных. Подробно эта операция рассмотрена здесь:


    Settings on maximum size of the database cache

    http://technet.microsoft.com/en-us/library/bb691304(EXCHG.80).aspx 

     

    3)     На производительности отражается наличие в системе Windows 2003 Scalable Networking pack. Некоторые новые структурные дополнения, представленные в этом пакете (TCP Chimney Offload, Receive-side Scaling (RSS) и NetDMA), отрицательно влияют на производительность. Подробная информация доступна по следующей ссылке: 

     

    Windows 2003 Scalable Networking pack and its possible effects on Exchange

    http://msexchangeteam.com/archive/2007/07/18/446400.aspx   

     

    4)     Проверьте, не установлено ли на той же машине антивирусное ПО McAfee. Местоположение файлов данных должно быть исключено из области его сканирования.

     

    5)     Если вышеперечисленные процедуры не дали результата, рекомендуется запустить ADPlus для получения файла дампа и связаться с техподдержкой Microsoft.

     

    How to use ADPlus to troubleshoot "hangs" and "crashes"

    http://support.microsoft.com/kb/286350  

     

    Дополнительная информация:

    The Store.exe process uses almost 100 percent of CPU resources, and the size of the public folder store increases quickly in Exchange Server 2007

    http://support.microsoft.com/kb/925252/en-us

     

    Why is Exchange Store.exe so RAM hungry?

    http://msexchangeteam.com/archive/2004/08/02/206012.aspx   


    • Изменено Vinokurov Yuriy 2 февраля 2010 г. 10:43
    • Перемещено Tina_Tian 19 марта 2012 г. 8:12 forum merge (От:Exchange Server 2007)

Все ответы

  • Маленькое замечание по п.9 ( "9. Как происходит процесс обработки потока исходящей почты? ")

    В части касаемой подпункта 1. SMTP клиент работает при отправке напрямую - минуя стадию размещения в локальном хранилище, т.е. аналогично приему любого smtp сообщения ( на протокольном уровне )


    Exchange MVP. _ This posting is provided "AS IS" with no warranties, and confers no rights.
  • Маленькое дополнение\замечание по п.2

    Настройки политики адресов производимые из консоли управления сервером записываются в AD, после механизма репликации (DS2MB) оные настроки (касаемые части адреса) записываются в метабазу IIS, данные из которой и берет SMTP-IIS (проблемы на мой взгляд редкие , но они встречаются - в части касаемой этой самой репликации )


    Exchange MVP. _ This posting is provided "AS IS" with no warranties, and confers no rights.
  • Спасибо за уточнения!
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
  • 1. Как пересинхронизироваться   с сервером Exchange ?
    2. Что делать с ошибкой 0
    x 85010004 при синхронизации мобильного устройства с сервером Exchange ?
    3. Как сбросить виртуальный каталог, относящийся к  
    OWA ?
    4. Как решить проблему с паролями?
    5. Каковы основные этапы устранения проблем с
    Outlook ?
    6. Как изменить отображаемое имя пользователя из
    AD ?
    7. Как решить проблему
    NDR при создании запроса на встречу, либо при ответе на такой запрос?
    8. Как ограничить пользователям доступ к
    OWA ?
    9. Как устранить ошибку 0х8004010
    F при загрузке адресной книги Outlook в Exchange 2007?
    10. Как решить проблему “Unable to view or publish Free/Busy” на серверах Exchange 2000/2003?
    11. Как устранить проблему с репликацией общих папок?
    12. Что означает рейтинг
    SCL ( Spam Confidence Level )?
    13. Как и когда транспортные сервера
    Exchange Server 2007 используют БД ESE ? В чем отличие от Exchange Server 2003?
    14.
    Каковы основные шаги при аварийном восстановлении граничных транспортных серверов ?
    15. Какие транспортные журналы есть в Exchange Server 2007?
    16. Как разрешить анонимную ретрансляцию на приемном коннекторе?
    17. Что такое
    Poison Message Queue (очередь подозрительных сообщений)?
    18. Что такое
    P 1 Address и P 2 Address ?
    19. Для чего нужна функция
    ResolveP 2?
    20. Какие настройки по умолчанию у функции
    ResolveP 2 на серверах Exchange 2003 2007 и как управлять ими?
    21. Что делать, если был получен спам с внутреннего адреса организации, но отправитель не отсылал этого письма?

     

     

    1. Как пересинхронизироваться   с сервером Exchange ?

     

    Подробное руководство приведено тут:
    http ://msexchangeteam .com /archive /2008/01/30/447971.aspx

     

    2. Что делать с ошибкой 0 x 85010004 при синхронизации мобильного устройства с сервером Exchange ?

    При попытке синхронизации с сервером Exchange , на мобильном устройстве отображается следующее сообщение:

    Your account in Microsoft Exchange Server does not have permission to synchronize with your current settings. Contact your Exchange Server administrator. Support Code: 0x85010004

    A : При постоянном появлении ошибки 0 x 85010004:

    Ошибка 0x8501004 означает то же , что и HTTP_403 Forbidden . Появляется по следующим причинам :

    1. Виртуальный каталог Microsoft - Server - ActiveSync на сервере настроен на использование SSL , при этом мобильное устройство не использует SSL .
    2. Виртуальный каталог Exchange настроен на использование SSL.
    3.
    Файрволл мобильного устройства не настроен на разрешение доступа для Microsoft - Server - ActiveSync . Более подробная информация приведена   в этой статье .

    B : При периодически появляющейся ошибке 0 x 85010004:

    Возможная причина заключается в использовании сервером большого IP- адресов . После подключения мобильного устройства к / Microsoft - Server - ActiveSync   в этом случае отсутствует возможность подключиться к каталогу / exchange   из каталога / Microsoft - Server - ActiveSync   для доступа к почтовому ящику на сервере.

    Если сервер использует большое количество IP -адресов  для поддержки различных веб-сайтов, предлагается для веб-сатов, не являющихся сайтами по умолчанию ( дополнительных сайтов ) использовать заголовки хоста .

    Если сервер поддерживает дополнительные сайты, требующие SSL и порт 443 используется веб-сайтами по умолчанию, либо если есть необходимость в использовании большого количества IP -адресов, предлагается установить дополнительную сетевую карту в сервер, назначить на нее специфичные IP -адреса и в свойствах сетевого подключения запретить регистрацию этих IP -адресов в DNS .

    Нужно убедиться, что веб-сайту по умолчанию, поддерживающему OWA и ActiveSync не сопоставлены IP -адреса и заголовок хоста.

    Обсуждение этого вопроса можно найти в следующей ветке форума:
    https ://forums .microsoft .com /TechNet /ShowPost .aspx ?PostID =1075005&SiteID =17

     

    3. Как сбросить виртуальный каталог, относящийся к   OWA ?

    Если не удается решить проблему с OWA , рекомендуется выполнить сброс виртуального каталога, относящегося к OWA .

    Замечание: Прежде, чем выполнить сброс, сделайте резервную копию настроек IIS , внутренних и внешних URL и прочих настроек, сделанных на внешнем сервере/сервере клиентского доступа.

    Для Exchange 2007:
    Reset OWA related Virtual Directory
    http://support.microsoft.com/kb/941201/en-us

    Кроме того, можно попробовать удалить и заново установить CAS для возврата к настройкам по умолчанию.

    Для Exchange 2003
    How to reset the default virtual directories that are required to provide Outlook Web Access, Exchange ActiveSync, and Outlook Mobile Access services in Exchange Server 2003
    http://support.microsoft.com/kb/883380

     

    How to create and manage configuration backups in Internet Information Services 7.0
    http://support.microsoft.com/kb/954872

     

    How To Create a Metabase Backup by Using IIS 6.0 in Windows Server 2003
    http://support.microsoft.com/kb/324277


  • 4. Как решить проблему с паролями ?

    1.     Пароль не отвечает требованиям сложности.

     

    1. Из командной строки запустите RSOP . msc и подождите некоторое время.
    2. В появившейся консоли Result Set of policy разверните Computer Configuration - Windows Settings - Security Settings - Account Policy .
    3. В правой части панели результатов проверьте, включена ли опция Password must meet complexity requirements . Обратите внимание на значение параметра Source Policy

    4. Если опция включена , дважды щелкните по ней , на вкладке Explain this settings ознакомьтесь с предъявляемыми к паролю требованиями и измените свой пароль в соответствии с ними .

    Если применение данного требования в текущем окружении не является необходимым, настройки необходимо изменить. Для этого лучше всего установить на контроллер домена консоль управления.

    1.     Откройте оснастку   Active Directory Users and Computers .

    2.     Щелкните правой кнопкой на имени домена и выберите Properties .

    3.     В пункте Group Policy найдите объект, упомянутый в пункте Source Policy ранее. Нажмите Edit .”

    4.     Разверните Computer Configuration - Windows Settings - Security Settings - Account Policy.   В правой части панели результатов найдите опцию Password must meet complexity requirements .

    5.     Дважды щелкните поэту опцию и в разделе Security policy Setting включите либо отключите ее.

     Users Receive a Password Complexity Requirements Message That Does Not Specify Character Group Requirements for a Password
    http://support.microsoft.com/kb/821425

    6.     Применение функции изменения пароля

     

    1. При помощи Outlook Web Access for OWA 2003 and OWA 2007 , можно выполнить следующую команду для включения функции изменения пароля в OWA 2007:

    Set-CASMailbox -identity adam@contoso.com - OWAChangePasswordEnabled:$True

    Замечание: после выполнения этой команды проверьте работоспособность остальных функций. Возможно , потребуется включить их снова .

    Если это не сработает, воспользуйтесь нижеприведенной ссылкой на статью базы данных, чтобы развернуть виртуальный каталог IISADMPWD для OWA 2003 и OWA 2007.

    Implementing the Change Password feature with Outlook Web Access
    http://support.microsoft.com/kb/297121/

    Кроме того, необходимо выбрать в качестве веб-расширения Active Server Pages .

    2. При помощи OWA , опубликованного через ISA

    Возможность смены пароля поддерживается, если клиенты используют для ввода учетных данных аутентификацию на основе форм и ISA -сервер проверяет учетные данные при помощи механизма аутентификации AD или LDAP .

    На странице свойств WEB -прослушивателя, созданного для использования с правилом публикации Outlook Web Access , настройте для пользователей возможность изменения пароля. Дополнительно настройте предупреждение об окончании срока действия пароля .

    Configuring and Troubleshooting the Password Change Feature in ISA Server 2006
    http://technet.microsoft.com/en-us/library/cc514301.aspx

     

    Password Change with FBA
    https://blogs.technet.com/isablog/archive/2007/08/23/password-change-with-fba.aspx

    C. Password Notification

    1. Данное извещение   включается либо отключается в разделе Security Policy Setting .
    2. В свойствах метабазы
    PasswordChangeFlags Microsoft Internet Information Services 6 находятся значения, определяющие срок действия пароля и обработку смены пароля между клиентом и сервером. По умолчанию свойства метабазы PasswordChangeFlags могут быть выставлены на 6.

    The PasswordChangeFlags metabase property may be set to 6 in IIS 6
    http://support.microsoft.com/kb/920723

    Для управления свойствами учетной записи пользователя используется флаг UserAccountControl. Проверьте значение этого флага .

    How to use the UserAccountControl flags to manipulate user account properties
    http://support.microsoft.com/kb/305144

     


  • 5. Каковы основные этапы устранения проблем с Outlook ?

    Безопасный режим

    Попробуйте запустить Outlook в безопасном режиме – при этом следующие функции будут недоступны:

    • Настройки панелей инструментов.
    • Клиентские расширения
    Exchange .
    • Функция опроса для новой почты.
    • Панель предварительного просмотра.
    • Wordmail ( справедливо для версий Office 97-2003)
    Пользовательские словари .

    Для запуска Outlook в безопасном режиме нажмите и удерживайте Ctrl, после чего запустите Outlook и выберите безопасный режим .

    Если при запуске Outlook в безопасном режиме проблема исчезнет, то для ее окончательного устранения воспользуйтесь рекомендациями, приведенными ниже:

    1.     Переименуйте файлы outcmd . dat , views . dat , frmcache . dat и extend . dat

    2.     Отключите все надстройки COM в диспетчере надстроек.

    3.     Запустите Outlook 2007.

    4.     В меню Tools выберите Trust Center .

    5.     В появившемся диалоговом окне выберите вкладку Add - ins .

    6.     В раскрывающемся списке Manage   выберите COM Add - ins и нажмите Go .

    7.     В диалоговом окне COM Add - Ins снимите отметки со всех надстроек.

    8.     Перезапустите Outlook в обычном режиме и проверьте, устранена ли неисправность.

    9.     Сделайте резервную копию реестра, после чего удалите ключи надстроек Outlook , находящиеся в следующих ветках:

    HKCU\Software\Microsoft\Office\Outlook\Addins\
    HKLM\Software\Microsoft\Office\Outlook\Addins

    10.  При помощи диспетчера задач (Пуск-Выполнить- taskmgr или Ctrl + Shift + Esc ) посмотрите, какие процессы запускаются вместе с Outlook . Если такие есть, удалите ПО, вызывающее данный процесс.

    11.  Попробуйте выполнить «чистую загрузку», чтобы отключить любые сторонние приложения.

    Чистая загрузка позволяет изолировать любые драйверы устройств либо программы, запускающиеся при старте системы, которые могут вызвать конфликт с другими драйверами и программами, установленными на компьютере. Чтобы выполнить чистую загрузку:

    1.     Запустите MSCONFIG . EXE . ( MSCONFIG – встроенный инструмент ОС Windows XP \2003).

    2.     Во вкладке Services нажмите Hide All Microsoft Services , а затем Disable All .

    3.     Во вкладке Startup нажмите Disable All . Нажмите OK . (Данное действие позволит временно запретить запуск сторонних программ при старте системы)

    4.     Перезапустите компьютер. Осталась ли проблема?

    Если проблема исчезла, это означает, что она возникала из-за какого-то отключенного приложения или службы. Для выявления виновника постепенно включайте одну за одной отключенные службы и программы.

    6. Чтобы сравнить загружаемые в обычном и безопасном режиме Outlook библиотеки, можно использовать утилиту listdlls .

    Listdlls
    http://www.sysinternals.com/utilities/listdlls.html

    На диске C :   создайте папку Listdlls   Разархивируйте утилиту в эту папку

    1). Откройте Outlook
              a.
    В командной строке перейдите в папку c:\listdlls
              b.
    Наберите   listdlls.exe Outlook.exe > Outlooknormal.txt. Будет сформирован файл отчета Outlooknormal.ext
    2).
    Повторите шаги a и b , чтобы получить список библиотек для безопасного режима.
    3). Сравните содержимое файлов и определите различия.

    7. Отключите использование Microsoft Word в качестве редактора сообщений электронной почты. В меню Mail Format снимите галочки с пунктов  Use Microsoft Office Word 2003 to read and edit e - mail messages и Use Microsoft Office Word 2003 to read Rich Text e - mail messages (иногда, если формат текста в сообщениях искажается, можно отметить эти пункты, чтобы проверить причину).

    8. Попробуйте запустить   Outlook с ключом / nopreview . Если проблема исчезнет, то скорее всего в ящике есть поврежденные сообщения.

    Сканирование данных

    1. Исключите файлы данных Outlook (*. pst и *. ost ) из области сканирования антивирусных приложений. Также можно временно отключить , или удалить антивирус .

    Замечание : файлы данных находятся в папке C:\Documents and Settings\<User_Name>\Local Settings\Application Data\Microsoft\Outlook . Чтобы найти эту папку, может потребоваться сначала включить отображение системных файлов и папок.

    2. После этого можно использовать SCANOST . EXE или SCANPST . EXE для проверки файлов данных Outlook на наличие ошибок. Данные утилиты находятся в каталоге установки Office (обычно это % SystemRoot %\ Program Files \ Microsoft Office \ Office < version >).

    Замечание : Перед применением утилит сделайте резервные копии файлов *. ost и *. pst . При сбое операции проверки откат действий будет невозможен.

    Пересоздание профилей

    Попробуйте пересоздать профиль Outlook . Если это не помогает, для тестовых целей можно создать новый профиль пользователя и в нем создать профиль Outlook .  

    6. Как изменить отображаемое имя пользователя из AD ?

    Иногда требуется изменить отображаемое имя пользователя AD . При создании нового пользователя или контакта в AD поле Full Name создается в формате < FirstName , LastName >.   На основе этого поля генерируется отображаемое имя. В таком же формате отображается имя пользователя в глобальной адресной книге.

    В
    Exchange 2003 для изменения представления отображаемого имени можно использовать утилиту ADSI Edit . Для этого необходимо изменить значение атрибута CreateDialog объекта CN = user - Display в контейнере CN = DisplaySpecifiers , CN =409.

    Замечание: 409 – это идентификатор для языка   U . S . English . Если используется многоязыковая среда, то необходимо внести изменения для всех языковых групп. Более подробно данная информация изложена в   следующих статьях :

    http://technet.microsoft.com/en-us/library/aa998290.aspx
    http://support.microsoft.com/default.aspx/kb/250455

    В Exchange 2007 можно создавать новые почтовые ящики в EMC , создав нового пользователя, что позволяет создать новую учетную запись пользователя AD непосредственно из EMC . Однако, формат отображаемого и полного имени в этом случае не зависит от значения атрибута CreateDialog . При создании учетной записи таким образом, без использования оснастки Active Directory Users and Computers , отображаемое имя будет ВСЕГДА генерироваться в формате < FirstName , LastName >.

    Нераспознавание атрибута   CreateDialog   у объектов с классом DisplaySpecifier является техническим ограничением Exchange Server 2007 EMC .   Для обхода этого ограничения рекомендуется создавать учетные записи пользователей при помощи оснастки Active Directory Users and Computers .


  • 7. Как решить проблему NDR при создании запроса на встречу, либо при ответе на такой запрос ?

    В данном сценарии пользователь test 1 был удален из AD . При этом   test 2 получает NDR при отправке запроса на встречу, либо ответе на такой запрос от test 3 . В данной ситуации наиболее вероятная причина ошибки – назначение кем-либо пользователя test 1 в качестве делегата, либо то, что учетная запись удаленного пользователя не удалена из AD .

    Чтобы решить эту проблему, в первую очередь нужно при помощи утилиты ADSI Edit   проверить, что учетная запись несуществующего пользователя удалена из AD . Если это так , тогда проверяется наличие делегирования . Учтите , что делегат представлен скрытым в почтовом ящике правилом .

    Решение состоит из двух частей: удаление правил делегирования в каталоге Schedule и удаление ссылки на папку-приемник в классе IPM . SCHEDULE . MEETING .

    1. Удаление правил делегирования:
    =========================
    a . Запустите MFCMapi в почтовом ящике, находящемся в режиме Online . against the mailbox with an Online mode profile
    b . Выберите Session -> Logon and Display Store table
    c . Выберите Profile и нажмите OK
    d . Дважды щелкните хранилище почтового ящика
    e . Разверните контейнер Root .
    f . Щелкните правой кнопкой Schedule и выберите Open Associated Contents Table
    g . Удалите все сообщения из данной таблицы.

    2. Удаление ReceiveFolder Association :
    =============================
    a . Запустите MFCMapi в почтовом ящике, находящемся в режиме Online
    b . Выберите Session -> Logon and Display Store table
    c . Выберите Profile и нажмите OK
    d . Дважды щелкните хранилище почтового ящика
    e . Разверните контейнер Root
    f . Убедитесь, что ассоциации папки-приемника настроены, перейдя в MDB -> Display ->
    Receive Folder Table .
    f 1. Если маппирование настроено, в списке будет один объект со значением поля Message Class равным IPM . SCHEDULE . MEETING
    f 2. Закройте Receive Folder Table
    g . Щелкните правой кнопкой Schedule и выберите Set Receive Folder
    h . Введите в поле значение IPM . SCHEDULE . MEETING
    i . Щелкните Delete Association
    j . Щелкните OK .
    k . Повторите шаг " f ", чтобы убедиться, что ассоциация IPM . SCHEDULE . MEETING удалена.

    После выполнения обоих пунктов при назначении нового делегата может потребоваться один раз переназначить новое делегирование, чтобы изменения были применены.

    8. Как ограничить пользователям доступ к OWA ?

    Наиболее оптимальным методом для достижения этой цели будет установка ISA Server в среде организации и настройка правил доступа к публикуемым веб-сайтам применительно к пользователям и группам AD .

    Инструкция для ISA server 2004:
    http ://technet .microsoft .com /zh -cn /library /cc 713316(en -us ).aspx

    В параграфе Create a mail publishing rule под номером 11, вы найдете описание того, как ограничить пользователям доступ к OWA из внешней среды.

    Инструкция для ISA server 2006 : .
    http://www.isaserver.org/tutorials/Publishing-Exchange-2007-OWA-Exchange-ActiveSync-RPCHTTP-2006-ISA-Firewall-Part6.html

    В пункте 10 приведена инструкция по настройке прав внешнего пользователя на доступ к OWA .

    Кроме того, ограничения можно настроить в IIS вручную. Детальное описание это процедуры   можно найти по нижеприведенной ссылке:
    http ://www .microsoft .com /technet /prodtechnol /WindowsServer 2003/Library /IIS /130228a 0-68a 7-440c -9194-5bcee 964ffe 2.mspx

     

  • 9. Как устранить ошибку 0х8004010 F при загрузке адресной книги Outlook в Exchange 2007 ?

    Процесс создания OAB для Outlook 2007 выглядит следующим образом:

    Сначала служба Microsoft System Attendant публикует файлы данных OAB в общий ресурс C:\Program Files\Microsoft\Exchange Server\ExchangeOAB   в подкаталоги <oabguid> . Затем служба FDS , запущенная на CAS- сервере подхватывает эти файлы   и копирует их в подкаталоги <oabguid> каталога   C:\Program Files\Microsoft\Exchange Server\ClientAccess\OAB, после чего создает указатели на все файлы ОАВ в файле oab.xml , который ассоциирован с локальным веб - каталогом ОАВ . Затем автономна я адресная книга распространяется из виртуального каталога ОАВ .

    Outlook 2007 получает URL , указывающий на oab . xml для связи с OAB ,  при помощи службы Autodiscover .

    Детальная информация доступна по следующей ссылке:
    http ://blogs .msdn .com /dgoldman /archive /2006/08/25/How -Exchange -2007-OAB -Files -are -replicated -to -a -Client -Access -Server -for -download .aspx

    Этапы устранения ошибки :

    A. Проверьте , что служба Web Distribution включена , выполнив в EMS команду running get-offlineaddressbook |fl .
    B.
    Проверьте , что с хранилищем почтового ящика вашего клиента проассоциирована OAB.
    C.
    Если проблема не исчезла , удалите подкаталоги в C:\Program files\Microsoft\Exchange Server\ExchangeOAB и C:\Program files\Microsoft\Exchange Server\Client Access\OAB. Затем проделайте следующее :

    1. Откройте EMC->Organization Configuration->Mailbox
    2.
    Во вкладке Offline Address Book щелкните правой кнопкой по Default Offline Address Book и нажмите Update

    3. Далее проверьте , что в каталоге C:\Program files\Microsoft\Exchange Server\ExchangeOAB\ сервера , генерирующего OAB, создались подкаталоги .

    4. Если OAB- файл успешно сгенерировался , перезапустите службу Microsoft Exchange File Distribution на CAS- сервере . Затем проверьте , реплицировался ли   ОАВ - файл в каталог C:\Program files\Microsoft\Exchange Server\Client Access\OAB на CAS- сервере .

    5. Если репликации ОАВ-файла прошла успешно, запустите Outlook 2007 чтобы проверить, устранена ли неполадка.

    D . Если неполадка осталась, проверьте связь Outlook с OAB . Для этого в EMS выполните команду test - outlookwebservices | fl .

    10. Как решить проблему “Unable to view or publish Free/Busy” на серверах Exchange 2000/2003 ?

    1. Запустите на проблемной машине Outlook с ключом / cleanfreebusy .   Это удалит все сообщения Free / Busy и переопубликует данные Free / Busy .

    Замечание: этот способ хорош при проблемах с календарем делегатора.
    Связанные
    симптомы / ошибки : “Unable to open the freebusy message”

    2. При помощи Internet Explorer ( IE ) проверьте, существуют ли данные FB для проблемного пользователя в каталоге FB . Также проверьте наличие дубликатов сообщений FB и если таковые присутствуют, удалите более старые из них.

    a . В IE перейдите по адресу http ://server .domain .com /public /non _ipm _subtree
    b . В общем каталоге Schedule + Free / Busy разверните каталог / o = OrgName / ou = AGName , найдите FB -сообщение пользователя в формате / cn = Recipients / cn = AliasOfUser в правой панели.

    Связанные симптомы/ошибки: Данные FB отображаются “неверно” или “данные недоступны”

    3. Убедитесь, что репликация FB настроена верно.
      
    Замечание
    : общий каталог Schedule+ Free/Busy создается на первом сервере Exchange с правами на чтение и запись . Для повышения производительности в некоторых организациях используется репликация FB , что может привести к появлению ошибок FB , фактически связанных с проблемами репликации.

    4. Получите LDP dump от рабочего и проблемного пользователей . Сравните результат .
    5. В статье базы знаний KB 958443 найдите решение, относящееся к вашей ситуации.

    Замечание: данное решение требует запуска Outlook в “ Online Mode ” а не в “ Cached Mode

    6. Соберите относящиеся к проблеме данные для дальнейшего анализа:

    a . Найдите и исследуйте в логах приложений и системы ошибки либо предупреждения, специфичные для данной проблемы.
    b . Запустите Exchange Best Practices Analyzer

     

    Дополнительная информация:
    • Если пользователь получает ошибку
    FB при подключении к серверу Exchange , см. статью KB286783 .
    • Если ошибка FB специфична для Office 2003 SP 2, либо установлен Office 2003 SP 3 и обновление безопасности 949031 ( MS 08-015), см. статью KB951982 .
    • Если некая информация FB не попадает во временной интервал, модифицируйте топологию и интервал публикации. В различных топологиях рассинхронизация пользователей может составлять от 15 до 105 минут.
    • Для повторной публикации отсутствующих данных
    FB используйте Updatefb .exe
    • Способ сброса системных папок [Для Exchange 2000 , Exchange 2003 ]


  • 11. Как устранить проблему с репликацией общих папок ?

    Факторы, оказывающие наиболее сильное влияние на репликацию общих папок: Хранилище, AD , транспорт, стороннее ПО

    Общие рекомендации:
    1. Отключите все стороннее ПО на серверах общих папок
    2. Поднимите уровень диагностики на максимум для отслеживании процесса репликации между проблемным и рабочим серверами общих папок.

    Exchange 2003: В свойствах проблемного сервера переключите Replication Incoming и Replication Outgoing на Maximum при помощи EMS [Описание ]
    Exchange 2007: Используйте команду Set -EventLogLevel в EMS для установки MSExchangeIS \9001 Public \ Replication Incoming Messages и MSExchangeIS \9001 Public \ Replication Outgoing Messages " на уровень Expert .

    [ Замечание : После решении проблемы не забудьте выставить уровень журналирования на исходный ]


    3. После включения журналирования внесите изменения в общую папку (в соответствии с проблемой) и подождите 10-15минут.

    Замечание: Если сервер-источник отправит, либо сервер-получатель получит сообщение репликации, необходимо подтвердить выполнение при помощи Message Tracking Center . SMTP -адрес общего хранилища выглядит так:
    Exchange 2003: ServerName -IS @DomainName .com
    Exchange 2007: PublicFolderName @DomainName .com

     

    Справочная информация :
    • Общие концепции и термины репликации можно найти в разделе
    Controlling Public Folder Replication данного документа


    Более детальное описание решения проблем с общими папками [блог команды
    MS Exchange ]

     

    12. Что означает рейтинг SCL (Spam Confidence Level)? ?

    Spam Confidence Level        

     

    Категория спама

    -1

    Зарезервирован в Microsoft Exchange Server для внутренних сообщений . Значение «-1» не должно изменяться, т.к. оно используется для выявления фальшивых подтверждений внутренней почты.

    0

    Сообщение не является спамом .

    1

    Вероятность того, что сообщение является спамом, очень мала.

    9

    Вероятность того, что сообщение является спамом, очень велика.

     

    13. Как и когда транспортные сервера Exchange Server 2007 используют БД ESE ? В чем отличие от Exchange Server 2003 ?

    Роли Exchange Server 2007 Hub Transport и Edge Transport хранят свою конфигурацию (списки разрешений и прочую информацию, используемую почтовыми агентами Exchange ) в хранилище ESE ; также это хранилище используется для временного хранения маршрутизированных сообщений. Основная роль ESE на любом транспортном сервере – временное хранилище почтовых сообщений. Active Directory Application Mode ( ADAM ) также хранится в БД ESE , но только на граничных серверах. Почтовые сервера  также хранят общие папки и почтовые ящики в БД ESE .


  • 14. Каковы основные шаги при аварийном восстановлении граничных транспортных серверов ?

    a . Экспортируйте конфигурацию сервера при помощи задачи ExportEdgeConfig , чтобы создать корректный клон-файл конфигурации.
    b . Сохраните клон-файл на подходящий носитель ( SAN , NAS , DAS , лента и т.д.)
    c . Выполните установку граничного сервера «с нуля».
    d . Приостановите службу транспорта и экспортируйте все сообщения из очереди.
    e . Разверните клонированную конфигурацию из сохраненного файла.
    f . Заново настройте Edge Subscription через AD (если эта подписка ранее использовалась).
    g . Смонтируйте очередь почтовых сообщений

    15. Какие транспортные журналы есть в Exchange Server 2007?
    • Журнал подключений:
      Журнал подключений – это запись активности SMTP -соединения   при доставке сообщений из очереди исходящих к целевым почтовым серверам, смарт-хостам и доменам. Журналирование подключений доступно на серверах с ролями Edge Transpot и Hub Transport . По умолчанию журнал подключений отключен .

    • Журнал протоколов:   Журнал протоколов – это запись SMTP -активности между серверами сообщений, как части процесса доставки. Активность SMTP наблюдается на коннекторах-отправителях и коннекторах-получателях, настроенных на серверах с ролями Hub Transport и Edge Transport . По умолчанию журналирование протоколов отключено .

    • Журнал отслеживания сообщений:   Журнал отслеживания сообщений – детальный журнал всей активности сообщений передаваемых с и на компьютер, на котором запущен Exchange . Данный журнал доступен на серверах с ролями Edge Transport , Hub Transport и Mailbox . По умолчанию отслеживание сообщений включено .

      • Журнал агентов:   Журнал агентов предназначен для отслеживания всех действий, совершаемых в отношении сообщения анти-спам- и антивирус-агентами  Exchange 2007. Как правило эти агенты включены на серверах с ролью Edge Transport , но могут быть включены также и на серверах Hub Transport . По умолчанию журнал агентов включен .

    Журнал таблиц маршрутизации Журнал таблиц маршрутизации предназначен для периодической записи « снимков » таблицы маршрутов , используемой серверами Edge Transport и Hub Transport для доставки сообщений . По умолчанию данный журнал включен .


  • 16. Как разрешить анонимную ретрансляцию на приемном коннекторе?


    В Exchange 2007 ретрансляция как правило осуществляется с использованием списка разрешенных доменов, который настраивается на серверах Edge Transport и Hub Transport . Разрешенные объекты дополнительно делятся на внутренние и внешние ретрансляционные домены.

    Ограничить анонимную ретрансляцию можно также на основе источника сообщений. Данный метод полезен, если неавторизованное приложение или сервер сообщений (например, MOSS 2007) должны использовать в качестве серверов ретрансляции сервера Hub transport и Edge Transport .

    Для выполнения операций настройки, ваша учетная запись должна обладать следующими полномочиями:

    • Exchange Server Administrator и   Local Administrator на целевом сервере

    При создании коннектора-приемника, настроенного на анонимную ретрансляцию, на него должны быть наложены следующие ограничения:

    • Настройки локальной сети:   ограничьте прослушивание сети коннектором только нужным адаптером на сервере Hub Transport или Edge Transport .

    • Настройки удаленной сети:   ограничьте коннектору список серверов, с которыми разрешается устанавливать соединение. Данное ограничение необходимо, т.к. коннектор-приемник изначально настроен на прием ретрансляции от анонимных пользователей. Ограничение серверов-источников по IP -адресу – это единственная мера защиты, доступная на коннекторе-приемнике.

    Для разрешения ретрансляции анонимным пользователям можно воспользоваться одной из приведенных ниже стратегий, у каждой из которых есть свои плюсы и минусы:

    Предоставление разрешения на ретрансляцию для анонимных подключений.

    Эта стратегия включает в себя следующие шаги:

    • Создание нового коннектора-приемника с типом использования Custom .
    • Добавление на коннекторе группы разрешений
    Anonymous .
    • Назначение на коннекторе разрешений на ретрансляцию для субъекта безопасности
    Anonymous Logon .

    Группа разрешений Anonymous   дает субъекту безопасности Anonymous Logon на коннекторе-приемнике следующие разрешения:

    • Ms-Exch-Accept-Headers-Routing
    • Ms-Exch-SMTP-Accept-Any-Sender
    • Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
    • Ms-Exch-SMTP-Submit

    Однако, для разрешения анонимной ретрансляции на данном коннекторе необходимо также добавить субъекту Anonimous Logon следующие разрешения:

    • Ms-Exchange-SMTP-Accept-Any-Recipient

    Плюсы стратегии – предоставление минимума необходимых прав для ретрансляции на удаленые IP -адреса.

    Минусы у этой стратегии таковы:

    • Назначение прав ретрансляции для анонимного пользователя на коннекторе-приемнике возможно только при помощи Exchange Management Shell ( EMS ) уже после создания коннектора-приемника.

    • Сообщения, приходящие с указанных IP -адресов распознаются как анонимные. Т.о., эти сообщения не обходят проверку на спам, проверку на размер; также анонимные отправители не могут быть сопоставлены. Процесс сопоставления анонимных отправителей инициирует попытку сопоставления электронного адреса отправителя и соответствующего отображаемого имени в глобальном списке адресов.

    Для создания нового коннектора-приемника, предоставляющего разрешения на ретрансляцию для анонимных подключений, при помощи EMS :

    1. Выполните следующую команду:

    New-ReceiveConnector -Name <Name> -Usage Custom -PermissionGroups AnonymousUsers -Bindings <LocalIPAddress:25> -RemoteIpRanges <SourceServer>

    Например, для создания нового коннектора-приемника с именем « Anonymous Relay », прослушивающего локальный IP -адрес 10.2.3.4 на порту 25 от сервера-источника с IP -адресом 192.168.5.77, команда будет выглядеть так:

    New-ReceiveConnector -Name "Anonymous Relay" -Usage Custom -PermissionGroups AnonymousUsers -Bindings 10.2.3.4:25 -RemoteIpRanges 192.168.5.77

    2. Выполните следующую команду , подставив имя коннектора , созданного на шаге 1:

    Get-ReceiveConnector "Anonymous Relay" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"

    Настройка коннектора-приемника в качестве защищенного извне Configure the Receive Connector as Externally Secured

    Эта стратегия включает в себя следующие шаги:

    • Создание нового коннектора-приемника с типом использования Custom .
    • Добавление на коннекторе группы разрешений
    ExchangeServers .
    Добавление на коннекторе механизма проверки подлинности ExternalAuthoritative .

    Группа разрешений ExchangeServers необходима при установке механизма проверки подлинности ExternalAuthoritative . Данная комбинация позволяет установить на коннекторе-приемнике следующие разрешения для любых входящих соединений   is required when you select the ExternalAuthoritative authentication mechanism . This combination of authentication method and permission group grants the following permissions to any incoming connection that is permitted on the Receive connector:

    • Ms-Exch-Accept-Headers-Routing
    • Ms-Exch-SMTP-Accept-Any-Sender
    • Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
    • Ms-Exch-SMTP-Submit
    • Ms-Exch-Accept-Exch50
    • Ms-Exch-Bypass-Anti-Spam
    • Ms-Exch-Bypass-Message-Size-Limit
    • Ms-Exch-SMTP-Accept-Any-Recipient
    • Ms-Exch-SMTP-Accept-Authentication-Flag

    Плюсы стратегии :

    • Легкость настройки
    • Сообщения от указанного
    IP -адреса рассматриваются как доверенные. Это позволяет им  обходить проверку на спам и размер, а также сопоставлять анонимных отправителей.

    Минусы стратегии в том, что IP -адрес удаленного компьютера рассматривается как полностью доверенный. Разрешения, предоставленные этому IP -адресу, позволяют удаленному серверу отсылать сообщения так, как если бы они исходили от внутренних отправителей организации.

    Чтобы создать коннектор, настроенный в качестве защищенного извне, при помощи Exchange Management Console ( EMC ), выполните следующую команду:

    New-ReceiveConnector -Name <Name> -Usage Custom -AuthMechanism ExternalAuthoritative -PermissionGroups ExchangeServers -Bindings <LocalIPAddress:25> -RemoteIpRanges <SourceServer>

    Например, для создания нового коннектора-приемника с именем « Anonymous Relay », прослушивающего локальный IP -адрес 10.2.3.4 на порту 25 от сервера-источника с IP -адресом 192.168.5.77, команда будет выглядеть так:

    New-ReceiveConnector -Name "Anonymous Relay" -Usage Custom -AuthMechanism ExternalAuthoritative -PermissionGroups ExchangeServers -Bindings 10.2.3.4:25 -RemoteIpRanges 192.168.5.77

    17. Что такое Poison Message Queue (очередь подозрительных сообщений)?

    В Exchange 2003 могут вынудить категоризатор или другой транспортный компонент постоянно вызывать сбои службы SMTP . Чтобы устранить эту проблему, сообщение  должно быть обнаружено и вручную удалено с NTFS -раздела или из почтового ящика   SMTP . В Exchange Server 2007 введена новая функция – Poison Message (Подозрительные сообщения), помогающая опознавать и удалять сообщения из обработки при возникновении сбоя.

    Когда сообщение вызывает сбой, значение счетчика PoisonCount для данного сообщения увеличивается. Когда значение PoisonCount достигнет порогового значения PoisonThreshold , ассоциированного с настройками транспортного сервера, сообщение удаляется и помещается в очередь подозрительных сообщений. По умолчанию значение PoisonThreshold для службы транспорта установлено на 2. Это значение может быть изменено при помощи EMS .

    Сообщения, помещенные в Poison Message Queue остаются там до тех пор, пока срок их пребывания не превысит времени, определенного значением MessageExpirationTimeout , ассоциированным с настройками транспортного сервера (по умолчанию 2 дня ). Для экспорта копий сообщения можно использовать задачу Export - Message
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
  • 18. Что такое P1 Address и P2 Address ?

    P 1 = значение команды MAIL FROM для SMTP -соединения (конверт), согласно RFC 2821.
    P2 = Почтовый адрес в теле сообщения , согласно RFC 2822. Сюда входят поля FROM, REPLY TO и SENDER.

    Использование Р1 и Р2 приведено в следующем наборе команд SMTP :

    HELO server
    MAIL FROM
    this_is@my_p1_address.com
    RCPT TO:
    recipient@domain.com
    DATA
    FROM: this_is@my_p2_address.com
    TO: recipient@domain.com
    SUBJECT: This is a description on P1 and P2

    Адрес P1 используется дл маршрутизации и не отображается . Адрес Р2 отображается в Outlook и других почтовых клиентах.

    19. Для чего нужна функция ResolveP 2 ?

    ResolveP 2 сообщает серверу Exchange : «если на сервере хранится содержимое типа MIME и его необходимо преобразовать  в свойства MAPI , нужно попытаться сопоставить адреса SMTP полям  RFC 822 и преобразовать их в Exchange Distinguished Names ( DN )».

    Сопоставленный адрес не отображается в Outlook :
    From : < First _ name Last _ name >

    Несопоставленный адрес отображается в Outlook следующим образом:
    From : < First _ name Last _ name > [ first _ name . last _ name @ domain . com ]

    20. Какие настройки по умолчанию у функции ResolveP 2 на серверах Exchange 2003 2007 и как управлять ими?

     

    По умолчанию Exchange 2003 и 2007 не сопоставляют адрес отправителя, если письмо получено через анонимный канал.

    В Exchange 2003 для сопоставления анонимного адреса отправителя достаточно включить опцию Resolve anonymous e-mail. Также функцией ResolveP 2 можно управлять при помощи соответствующего ключа реестра:

    http://support.microsoft.com/kb/288635

    В Exchange 2007 данная опция отсутствует. Вместо нее можно воспользоваться опцией Externally secured .

    Более детальная информация доступна в следующей статье:

    Allowing application servers to relay off Exchange Server 2007
    http://msexchangeteam.com/archive/2006/12/28/432013.aspx

    Замечание: ключ реестра ResolveP 2 в Exchange Server 2007 не действует.

    21. Что делать, если был получен спам с внутреннего адреса организации, но отправитель не отсылал этого письма ?

    В первую очередь нужно проверить, с какого адреса пришло письмо. Это делается путем просмотра заголовка и журнала отслеживания сообщений. Если письмо пришло извне, то есть несколько способов выявления проблемы:

    A . По умолчанию Exchange не выполняет сопоставление адресов анонимных отправителей. Кроме того, несопоставленное имя пользователя отображается иначе, чем сопоставленное. Тем не менее, для конечного пользователя выявить проблему будет затруднительно.
    B . Для выявлении проблемы можно использовать Reverse Domain Name System Lookups или фильтр Sender ID . Тем не менее, некоторые доверенные отправители могут не иметь зарегистрированной записи Reverse Domain Name System или SPF . Следовательно, данный метод может ошибочно блокировать некоторые сообщения.
    C . Также для выявления проблемы можно использовать следующий метод :

    Для Exchange 2003:
    Создайте Sender Filter для собственного SMTP- домена , например *@mydomain.com и включите этот фильтр на виртуальном сервере SMTP, используемом для получения внешних ( анонимных ) сообщений .

    Замечание: после включения фильтра все сообщения от указанного домена будут блокированы, даже если пользователь находится в списке доверенных.  Т.о., если для какого-то из POP 3-пользователей будет нужно разрешить прием сообщений, необходимо создать еще один виртуальный SMTP -сервер и отключить для пользователей POP 3 опцию Anonymous user .

    Для Exchange 2007:
    Просто выполните следующую команду для удаления права
    ms - exch - smtp - accept - authoritative - domain - sender у анонимного пользователя на коннекторе-приемнике, настроенном на получение интернет-почты:

    Get-ReceiveConnector "Internet Receive Connector" | Get-ADPermission -user "NT AUTHORITY\Anonymous Logon" | where {$_.ExtendedRights -like "ms-exch-smtp-accept-authoritative-domain-sender"} | Remove-ADPermission
  • Хотел бы добавить информацию по проблеме 9. Как устранить ошибку 0х8004010 F при загрузке адресной книги Outlook в Exchange 2007 ?

    Так же при проверке генерации ОАВ необходимо удостовериться с помощью командлета Get-ExchangeCertificate |fl что сертификат включен так же для IIS. В случае если в списке сервисов IIS отсутствует, его необходимо включить с помощью командлета Enable-ExchangeCertificate

    14 января 2010 г. 7:42
  • Полезные ссылки на ресурсы по Exchange Server:

    Доклады на сайте TechDays.ru - подборка докладов начального и среднего уровня по Exchange 2007/2010
    Microsoft Exchange TechCenter -  сайт с большим количеством контента по Exchange 2003-2010
    Документация по Exchnage 2007 - подборка документации в библиотеке TechNet
    Документация по Exchange 2010

    Заметки об Exchange и Active Directory - блог Владимира Гребеника, одного из разработчиков Exchange
    You had me at EHLO... - блог команды Exchange. Шикарный ресурс с большим количеством информации и полезных ссылок. Читать обязательно!


    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    2 февраля 2010 г. 10:39