Johnny Yao WorkSpace

Disable TLS (原討論) Reply: I would like to disable TLS, as I would like to disable the encryption between Hub Transport server for some reason. 1. What is the best approach if I have three Hub Transport servers? Mailbox Server A using Hub Transport Server A Mailbox Server B using Hub Transport Server B Mailbox Server C using Hub Transport Server C 1. Disable Opportunistic TLS on your Receive Connectors.  Your Receive Connectors don't "require" TLS either way as -RequireTLS is set to $false.  Opportunistic TLS just attempts TLS first and if TLS is not possible, it accepts the mail anyways. 2. Do have have to disable both "Send Connector" and "Receive Connector" on all Hub Transport servers? 2. No, just Receive Connector due to what I said in #1 . 3. What about Mailbox Servers, do I have to disable it on all Mailbox servers as well? 3. No, all my flows through Hub Transports and gets delivered right to th...

How to Configure Directory Service Access Auditing and Policy Change Auditing on Windows Server 2008 續 LAB: Exchange 2007 如何變更 Exchange 稽核記錄等級 (Exchange Auditing) – 1 1. Serve 2008 上的Exchange Auditing 2. Auditpol /get /category: * (檢視稽核原則) 3. Windows PowerShell [PS]: Auditpol /get /category:"Ppolicy Change" (確認 "Audit Policy Change" 啟用) 4. [PS]: Auditpol /get /category:”DS Access” 6. [PS]: Auditpol /set /subcategory:”Directory Service Chagnes” /Success:enable /Failure:enable   7. 8. Blog 相關文章 1.  Ref: 瞭解 Exchange Server 2007 Service Pack 2 中的 Mailbox Access Auditing 2.  LAB: Exchange 2007 如何變更 Exchange 稽核記錄等級 (Exchange Auditing) – 1   More Information 1. Service Pack 2 Highlight: Mailbox Access Auditing 2. White Paper: Configuration and Mailbox Access Auditing for Exchange 2007 Organizations 3. Understanding Mailbox Access Audit...

請先閱讀 Ref: 瞭解 Exchange Server 2007 Service Pack 2 中的 Mailbox Access Auditing 1. 使用 Exchange 管理主控台來設定記錄等級 0、1、3 或 5 訊息存取 資料夾存取 延伸以下列傳送 延伸傳送代理者 2. 開啟Server Configuration – Mailbox 3. 設定診斷記錄 4. 設定記錄項目及等級 5. 啟用郵件及資料夾存取 6. 設定完成 7. 重啟IS Service 8. Exchange Auditing 9. 無法開啟 10. TBC….. More Information 1. Service Pack 2 Highlight: Mailbox Access Auditing 2. White Paper: Configuration and Mailbox Access Auditing for Exchange 2007 Organizations 3. Understanding Mailbox Access Auditing with Exchange Server 2007 Service Pack 2

Exchange 2007 SP2 新功能 瞭解 Exchange Server 2007 Service Pack 2 中的 Mailbox Access Auditing 存取稽核實作在 Microsoft Exchange Store.exe 處理程序中，這是信箱資料庫裡的郵件存取點。「存取稽核」代表一組事件日誌的事件，這些事件是設計來提供系統管理員有關於使用者已開啟之信箱資源的資訊。 這些是新的事件，不會修改現有的事件 (現有的事件可能用於其他目的)。 存取稽核是以 [Microsoft Exchange IS] 資源的一組 [診斷記錄] 類別啟用，每個類別對應到不同的資源存取類型。可以獨立啟用每個類別。這讓系統管理員能夠選擇適合特定組織的資訊等級 (以及記錄它所造成的對應負載)。 [資料夾存取] 類別可讓您記錄對應到開啟資料夾的事件，例如 [收件匣]、[寄件匣] 或 [寄件備份] 等資料夾。 [郵件存取] 類別可讓您記錄對應到明確開啟郵件的事件。 [延伸以下列傳送] 類別可讓您記錄對應到以擁有信箱功能的使用者身分傳送郵件的事件。 [延伸傳送代理者] 類別可讓您記錄對應到代表擁有信箱功能的使用者傳送郵件的事件。 存取稽核不會稽核郵件刪除，只會稽核郵件存取。 存取稽核著重於反映用戶端取得對實際訊息資料之存取的事件，或是執行影響訊息資料之權限的事件。例如： 藉由開啟資料夾，用戶端取得了對實際資料的存取權。 藉由開啟郵件，用戶端取得了對實際資料的存取權。 登入信箱即是隱含取得對資料夾之存取權的作業。存取稽核讓您忽略在 IPM 樹狀子目錄底下發生的作業，例如空閒/忙碌快取查閱作業。此外，存取稽核會忽略 Exchange 系統處理程序的存取。存取稽核也可以只記錄特定類別的存取。Windows 稽核與存取稽核之間的交換在於組態處理程序。Windows 稽核可以用原則來設定。存取稽核是由 Microsoft Exchange 資訊儲存庫的診斷類別來控制。 每個類別支援從 0 (未啟用) 到 5 (最大記錄) 的記錄等級。較高的記錄等級會增加記錄資料的數量和詳細程度。 ...

如何停用Exchange 2007 HUB 間的 SMTP TLS? (Part 1)   資料路徑安全性參照 Hub Transport Server 間的所有流量都會使用含有自行簽署憑證的 TLS 進行加密 ，這些憑證是由 Exchange 2007 安裝程式預設安裝的。 Hub Transport Server 之間的流量是使用 Kerberos 驗證來驗證。 選擇輸出匿名 TLS 憑證 Hub Transport Server 之間的 SMTP 工作階段，目的在於只以公開金鑰加密。 對於 Hub Transport Server 之間的通訊，會使用 匿名 TLS 和憑證的公開金鑰來加密工作階段 。但接下來的驗證是 Kerberos 驗證。 在建立 SMTP 工作階段時，接收伺服器會初始化憑證選擇程序，以決定在 TLS 交涉時要使用的憑證。接收伺服器也會執行憑證選擇程序 。 相關的討論 1. Hub Transport routing between servers 2. Disable TLS 3. How to disable Exchange 2007 SMTP X-ANONYMOUSTLS encryption? 4. Exchange 2007 HUB to HUB 传输 傳輸層安全性 在 SMTP 通訊協定交談期間， 用戶端會發出 SMTP STARTTLS 命令 ，來要求針對此工作階段交涉 TLS。用戶端在 TLS 通訊協定交涉過程中會從伺服器接收 X.509 憑證。接著用戶端驗證原則會決定是否應該驗證接收伺服器憑證，以及是否應該將其他任何準則套用至憑證 (如名稱比對)。 TLS 交涉過程中可選擇讓接收伺服器也向傳送伺服器要求憑證。如果傳送伺服器將憑證傳送給接收伺服器，則接收伺服器上的本機原則會決定如何驗證憑證 ，以及因驗證而授與傳送伺服器的權限。 將 TL...

  Exchange 2007 路由至外部網域 HUB <--> HUB – SMTP 置入佇列以傳遞至遠端 Active Directory 站台的郵件，則是使用 SMTP 進行傳輸。轉送郵件之前，分類程式的路由元件必須選取最低成本路由路徑。 Hub <--> MBS – MAPI 儲存區驅動程式會將置入佇列中以進行本機傳遞的郵件提交給目的信箱儲存區。使用 Exchange RPC，可以將郵件從 Hub Transport Server 傳輸至 Mailbox Server。 您可以為一個傳送連接器設定多個來源伺服器，以提供在該傳送連接器上定義之位址空間的負載平衡和容錯。不過， 每個 Exchange 2007 來源傳輸伺服器的 Active Directory 目錄服務站台成員資格必須相同。 路由傳送郵件至外部收件者時，Microsoft Exchange 傳輸服務的路由元件必須選取用來路由傳送郵件的最佳傳送連接器，然後計算到達該傳送連接器的最低成本路由路徑。 連接器範圍 路由只會考量在傳送伺服器之範圍內的連接器。 依預設，不會套用範圍限制到傳送連接器，組織中所有的 Hub Transport Server 都能夠使用連接器 。 不過，系統管理員可以為傳送連接器指定本機範圍。 如果您設定傳送連接器為有範圍的，則只有與傳送連接器之來源伺服器在同一個 Active Directory 站台中的 Hub Transport Server 才能使用傳送連接器 。在 Exchange 2003 和 Exchange 2000 當中，可以將連接器的可用性範圍限制在路由群組。   選取到外部收件者的路由路徑 傳送郵件至外部收件者時，Exchange 2007 必須選取一個用來路由傳送郵件的傳送連接器 。路由一律會選取用來傳送郵件的單一連接器。依照所選之傳送連接器的來源伺服器是 Exchange 2007 或 Exchange 2003 伺服器，選項會稍有不同。 如果有多個傳送連接器設定了具有符合外部收件者路由需求的位址空間，Exchange 2007 路由會選取用來路由傳送郵件的單一連接器。...

  Exchange 2007 中的郵件路由概觀 · 代理程式處理提交的郵件 收到郵件要進行分類時，就會在 Hub Transport Server 上執行某些代理程式處理。此階段提供的代理程式，包括選用的 Forefront Security for Exchange Server 防毒代理程式與日誌代理程式。 · 收件者解析 進行此階段時，會解析收件者的電子郵件地址， 以判斷該收件者擁有的是 Exchange 組織內的信箱，或者是外部電子郵件地址。 · 路由 完成解析收件者的資訊之後，分類程式的路由元件會判斷郵件的 最終目的地以及前往該目的地的路由、選取下一個進行郵件轉送的區段或躍點 ，然後將下一個躍點資訊解析成實際的伺服器及 IP 位址清單。 · 內容轉換 在將郵件轉送至下一個躍點之前， 要執行內容轉換 ，如此才能以收件者能夠閱讀的格式傳送郵件。「內容轉換」程序可將電子郵件從某種格式轉換成另一種格式，以用於郵件流程或儲存 (例如， 從 MAPI 轉換成 MIME，或是從 UUENCODE 轉換成 Base64 編碼 )，或者，用於電子郵件用戶端特有的適當轉換 (例如，從 HTML 轉換為 RTF 或純文字)。 · 代理程式處理路由郵件 決定了特定郵件的路由決策後， 傳輸規則代理程式及日誌代理程式便會套用至 Hub Transport Serve r。提交郵件以及路由郵件時，都會套用日誌代理程式，如此傳輸規則代理程式對郵件所做的任何變更 (例如修改傳遞位址或套用郵件特定的日誌需求)，才不會略過日誌代理程式。 · 封裝郵件和產生 DSN 組合已完成分類的郵件， 然後將它移至傳遞佇列。傳遞狀態通知 (DSN) 也會在此階段產生 。   下列是內部郵件路由的重要組態和服務元件： Active Directory 站台     Active Directory 站台代表 Hub Transport Server 的路由界限。Hub Transport Server 會直接傳遞給 Mailbox Server、通訊群組擴充伺服器，並傳遞給本機 Active Directory 站台內連接器的來源伺服器，以及傳遞給訂閱該站台的 Edge...