Johnny Yao WorkSpace

Exchange 2007 SP2 新功能 瞭解 Exchange Server 2007 Service Pack 2 中的 Mailbox Access Auditing 存取稽核實作在 Microsoft Exchange Store.exe 處理程序中，這是信箱資料庫裡的郵件存取點。「存取稽核」代表一組事件日誌的事件，這些事件是設計來提供系統管理員有關於使用者已開啟之信箱資源的資訊。 這些是新的事件，不會修改現有的事件 (現有的事件可能用於其他目的)。 存取稽核是以 [Microsoft Exchange IS] 資源的一組 [診斷記錄] 類別啟用，每個類別對應到不同的資源存取類型。可以獨立啟用每個類別。這讓系統管理員能夠選擇適合特定組織的資訊等級 (以及記錄它所造成的對應負載)。 [資料夾存取] 類別可讓您記錄對應到開啟資料夾的事件，例如 [收件匣]、[寄件匣] 或 [寄件備份] 等資料夾。 [郵件存取] 類別可讓您記錄對應到明確開啟郵件的事件。 [延伸以下列傳送] 類別可讓您記錄對應到以擁有信箱功能的使用者身分傳送郵件的事件。 [延伸傳送代理者] 類別可讓您記錄對應到代表擁有信箱功能的使用者傳送郵件的事件。 存取稽核不會稽核郵件刪除，只會稽核郵件存取。 存取稽核著重於反映用戶端取得對實際訊息資料之存取的事件，或是執行影響訊息資料之權限的事件。例如： 藉由開啟資料夾，用戶端取得了對實際資料的存取權。 藉由開啟郵件，用戶端取得了對實際資料的存取權。 登入信箱即是隱含取得對資料夾之存取權的作業。存取稽核讓您忽略在 IPM 樹狀子目錄底下發生的作業，例如空閒/忙碌快取查閱作業。此外，存取稽核會忽略 Exchange 系統處理程序的存取。存取稽核也可以只記錄特定類別的存取。Windows 稽核與存取稽核之間的交換在於組態處理程序。Windows 稽核可以用原則來設定。存取稽核是由 Microsoft Exchange 資訊儲存庫的診斷類別來控制。 每個類別支援從 0 (未啟用) 到 5 (最大記錄) 的記錄等級。較高的記錄等級會增加記錄資料的數量和詳細程度。

如何停用Exchange 2007 HUB 間的 SMTP TLS? (Part 1)   資料路徑安全性參照 Hub Transport Server 間的所有流量都會使用含有自行簽署憑證的 TLS 進行加密 ，這些憑證是由 Exchange 2007 安裝程式預設安裝的。 Hub Transport Server 之間的流量是使用 Kerberos 驗證來驗證。 選擇輸出匿名 TLS 憑證 Hub Transport Server 之間的 SMTP 工作階段，目的在於只以公開金鑰加密。 對於 Hub Transport Server 之間的通訊，會使用 匿名 TLS 和憑證的公開金鑰來加密工作階段 。但接下來的驗證是 Kerberos 驗證。 在建立 SMTP 工作階段時，接收伺服器會初始化憑證選擇程序，以決定在 TLS 交涉時要使用的憑證。接收伺服器也會執行憑證選擇程序 。 相關的討論 1. Hub Transport routing between servers 2. Disable TLS 3. How to disable Exchange 2007 SMTP X-ANONYMOUSTLS encryption? 4. Exchange 2007 HUB to HUB 传输 傳輸層安全性 在 SMTP 通訊協定交談期間， 用戶端會發出 SMTP STARTTLS 命令 ，來要求針對此工作階段交涉 TLS。用戶端在 TLS 通訊協定交涉過程中會從伺服器接收 X.509 憑證。接著用戶端驗證原則會決定是否應該驗證接收伺服器憑證，以及是否應該將其他任何準則套用至憑證 (如名稱比對)。 TLS 交涉過程中可選擇讓接收伺服器也向傳送伺服器要求憑證。如果傳送伺服器將憑證傳送給接收伺服器，則接收伺服器上的本機原則會決定如何驗證憑證 ，以及因驗證而授與傳送伺服器的權限。 將 TLS 用於

  Exchange 2007 路由至外部網域 HUB <--> HUB – SMTP 置入佇列以傳遞至遠端 Active Directory 站台的郵件，則是使用 SMTP 進行傳輸。轉送郵件之前，分類程式的路由元件必須選取最低成本路由路徑。 Hub <--> MBS – MAPI 儲存區驅動程式會將置入佇列中以進行本機傳遞的郵件提交給目的信箱儲存區。使用 Exchange RPC，可以將郵件從 Hub Transport Server 傳輸至 Mailbox Server。 您可以為一個傳送連接器設定多個來源伺服器，以提供在該傳送連接器上定義之位址空間的負載平衡和容錯。不過， 每個 Exchange 2007 來源傳輸伺服器的 Active Directory 目錄服務站台成員資格必須相同。 路由傳送郵件至外部收件者時，Microsoft Exchange 傳輸服務的路由元件必須選取用來路由傳送郵件的最佳傳送連接器，然後計算到達該傳送連接器的最低成本路由路徑。 連接器範圍 路由只會考量在傳送伺服器之範圍內的連接器。 依預設，不會套用範圍限制到傳送連接器，組織中所有的 Hub Transport Server 都能夠使用連接器 。 不過，系統管理員可以為傳送連接器指定本機範圍。 如果您設定傳送連接器為有範圍的，則只有與傳送連接器之來源伺服器在同一個 Active Directory 站台中的 Hub Transport Server 才能使用傳送連接器 。在 Exchange 2003 和 Exchange 2000 當中，可以將連接器的可用性範圍限制在路由群組。   選取到外部收件者的路由路徑 傳送郵件至外部收件者時，Exchange 2007 必須選取一個用來路由傳送郵件的傳送連接器 。路由一律會選取用來傳送郵件的單一連接器。依照所選之傳送連接器的來源伺服器是 Exchange 2007 或 Exchange 2003 伺服器，選項會稍有不同。 如果有多個傳送連接器設定了具有符合外部收件者路由需求的位址空間，Exchange 2007 路由會選取用來路由傳送郵件的單一連接器。

  Exchange 2007 中的郵件路由概觀 · 代理程式處理提交的郵件 收到郵件要進行分類時，就會在 Hub Transport Server 上執行某些代理程式處理。此階段提供的代理程式，包括選用的 Forefront Security for Exchange Server 防毒代理程式與日誌代理程式。 · 收件者解析 進行此階段時，會解析收件者的電子郵件地址， 以判斷該收件者擁有的是 Exchange 組織內的信箱，或者是外部電子郵件地址。 · 路由 完成解析收件者的資訊之後，分類程式的路由元件會判斷郵件的 最終目的地以及前往該目的地的路由、選取下一個進行郵件轉送的區段或躍點 ，然後將下一個躍點資訊解析成實際的伺服器及 IP 位址清單。 · 內容轉換 在將郵件轉送至下一個躍點之前， 要執行內容轉換 ，如此才能以收件者能夠閱讀的格式傳送郵件。「內容轉換」程序可將電子郵件從某種格式轉換成另一種格式，以用於郵件流程或儲存 (例如， 從 MAPI 轉換成 MIME，或是從 UUENCODE 轉換成 Base64 編碼 )，或者，用於電子郵件用戶端特有的適當轉換 (例如，從 HTML 轉換為 RTF 或純文字)。 · 代理程式處理路由郵件 決定了特定郵件的路由決策後， 傳輸規則代理程式及日誌代理程式便會套用至 Hub Transport Serve r。提交郵件以及路由郵件時，都會套用日誌代理程式，如此傳輸規則代理程式對郵件所做的任何變更 (例如修改傳遞位址或套用郵件特定的日誌需求)，才不會略過日誌代理程式。 · 封裝郵件和產生 DSN 組合已完成分類的郵件， 然後將它移至傳遞佇列。傳遞狀態通知 (DSN) 也會在此階段產生 。   下列是內部郵件路由的重要組態和服務元件： Active Directory 站台     Active Directory 站台代表 Hub Transport Server 的路由界限。Hub Transport Server 會直接傳遞給 Mailbox Server、通訊群組擴充伺服器，並傳遞給本機 Active Directory 站台內連接器的來源伺服器，以及傳遞給訂閱該站台的 Edge Transport Server。不過，Hub

Exchange 2010/HUB/AD Site IP 站台連結概觀 Active Directory 站台之間的關係是由 IP 站台連結所定義的。IP 站台連結由兩個或多個 Active Directory 站台組成。連結的所有 Active Directory 站台都是以相同的成本進行通訊。IP 站台連結內容包含成本指派、排程與間隔。排程與間隔內容僅用於決定 Active Directory 複寫頻率。 如果有多條路徑可到達目的地，Exchange 2007 就會使用指派的成本來決定流量可流經的最低成本路由。路由成本是加總傳輸路徑的所有站台連結所得到的。Active Directory 系統管理員會比較其他的可用連線，依據相對的網路速度和可用頻寬來指派連結的成本。 依預設，Hub Transport Server 永遠會嘗試直接連接到其他 Active Directory 站台的 Hub Transport Server。 傳輸中的郵件不會經由站台連結路徑中的每一部 Hub Transport Server 來轉送。然而，路由路徑沿線之中繼 Active Directory 站台中的 Hub Transport Server 會在下列情況中執行郵件轉送： 當最低成本路由路徑沿線存在中樞站台時，Hub Transport Server 之間不會發生直接轉送 。 您可以將 Active Directory 站台設定為 中樞站台 ，以便先將該郵件路由傳送到要處理的中樞站台，再將郵件轉送到目標伺服器 。本主題稍後會討論中樞站台。 與目的地 Exchange 2007 站台通訊失敗 時，Active Directory 會使用 IP 站台連結資訊所衍生的路由路徑。若目的地 Active Directory 站台的 Hub Transport Server 皆未回應，則會延著最低成本路由路徑往回傳遞郵件，直到延著路由路徑來連接到 Active Directory 站台中的 Hub Transport Server 為止。 系統會將郵件排入該 Active Directory 站台的佇列中， 且該佇列會

Exchange 2007/2010/ AD Site/HUB 問題探討 1. AD 路由上 Bifurcation 效應? 2. Explicit Hub Sites 的作用?  (覆蓋預設的AD 路由?) 3. 是否要停用 Link State ? 4. 目前AD forest 因沒有default site，要評估是否需啟用及設定哪個site 當成HubSite(中樞站台)? 指定中樞站台 依預設，位在 Active Directory 站台並位在來源伺服器與目的伺服器間之路徑中的 Hub Transport Server，不會用任何方式來處理或轉送郵件。 您可以使用 Set-AdSite 指令程式將 Active Directory 站台設定為中樞站台 ，以覆寫此行為。 當中樞站台存在於兩個 Hub Transport Server 間的最低成本路由傳送路徑時，會將郵件路由傳送至中樞站台，以在將它們轉送至目的伺服器之前進行處理。 若要發生此路由傳送行為，中樞站台必須位在兩個 Hub Transport Server 之間成本最低的路由傳送路徑。唯有當網路拓撲需要此組態 (例如當 Active Directory 站台之間存在防火牆，並防止直接轉送簡易郵件傳送通訊協定 (SMTP) 通訊) 時，才必須使用該組態。 HubSiteEnabled ? Microsoft Exchange 2007 Hub Transport Server 使用 Active Directory 站台及指派給 Active Directory 站台連結的成本，來決定從組織中之每個 Hub Transport Server 到組織中之每個其他 Hub Transport Server 的最低成本路由傳送路徑。 決定最低成本路由傳送路徑後，來源 Hub Transport Server 會將郵件直接轉送至目的 Hub Transport Server。依預設，位在 Active Directory 站台並位在來源伺服器與目的伺服器間之路徑

How Exchange 2010 Uses Site Membership Exchange 2010 is a site-aware application. Site-aware applications can determine their own Active Directory site membership and the Active Directory site membership of other servers by querying Active Directory. Exchange 2010 uses site membership to determine which domain controllers and global catalogs servers to use for processing Active Directory queries. Additionally, when an Exchange server has to determine the Active Directory site membership of another Exchange server, it can query Active Directory to retrieve the site name. In Exchange 2010, the Microsoft Exchange Active Directory Topology service is responsible for updating the site attribute of the Exchange server object. Because the Active Directory site membership is a server object attribute , Exchange does not have to query DNS to resolve a server address to a subnet that is associated with an Active Directory site. Stamping the Active Directory site attribute on an Exchange