部署 Exchange Server 2003 管理包

项目
10/25/2013

上一次修改主题： 2006-04-10

Exchange 管理包提供的配置向导可帮助您完成配置任务。通过配置向导可以很方便地配置各个运行 Microsoft® Exchange Server 2003 的服务器，并确保其顺利地与 Microsoft Operations Manager (MOM) 2005 配合工作。该向导生成一个配置文件 (Configuration.xml)，可以通过编辑该文件来调整监视解决方案，然后使用 ExchangeMPConfig.exe 命令行工具应用该文件。

开始新安装或开始升级之前，建议记录现有的配置，从 Exchange 2000 管理包升级时更是如此。有关新安装和升级的更多说明，请参阅本节中的下文。

若要部署 Exchange 管理包，必须熟悉下列内容：

如何安装 Exchange 管理包 可以将 Exchange 管理包安装在新的 Exchange 2003 环境中，也可以将其安装在从 Exchange 2000 升级的 Exchange 2003 环境中。还可以将 Exchange 2000 管理包升级到 Exchange 管理包。了解这两种安装类型的详细信息有助于成功地部署管理包。
如何配置 Exchange 管理包 可以在文本编辑器中手动编辑用于部署的配置文件，也可以通过命令行界面手动编辑。在复杂方案中或在排除故障时，命令行工具很有用。

准备部署 Exchange 管理包

在部署 Exchange 管理包之前，应利用一些时间来评估组织的监视要求以及 Exchange 组织拓扑。通过规划阶段可以明确监视目标，了解性能期望，定义升级过程，以及优化 Exchange 管理包部署。

若要准备进行部署，应执行下列步骤：

确定将接收 Exchange 管理包所生成的警报的用户。
为安装和配置监视服务器和受监视服务器创建部署计划。

注意：
大多数环境是通过以下方式配置的：Exchange 管理包中的默认监视设置即可满足组织需要。但是有时，可能需要对环境中的监视执行需求分析。分析将包括创建性能基准，以及为 MOM 代理在 Exchange 服务器上运行的规则确定自定义阈值。有关如何创建性能基准的详细信息，请参阅 https://go.microsoft.com/fwlink/?linkid=47576 上的 Exchange Server 2003 Performance and Scalability Guide（英文）。

大多数环境是通过以下方式配置的：Exchange 管理包中的默认监视设置即可满足组织需要。但是有时，可能需要对环境中的监视执行需求分析。分析将包括创建性能基准，以及为 MOM 代理在 Exchange 服务器上运行的规则确定自定义阈值。有关如何创建性能基准的详细信息，请参阅 https://go.microsoft.com/fwlink/?linkid=47576 上的 Exchange Server 2003 Performance and Scalability Guide（英文）。

确定将接收 Exchange 管理包所生成的警报的用户

确定要监视的邮件功能并计算基准行为和性能阈值之后，必须确定出现警报时将通知的用户、执行通知所使用的方法以及将触发警报的严重性级别。

若要简化管理，应执行下列步骤：

确定 Exchange 出现问题时必须通知的管理员。
将各个管理员添加到 MOM Operators 安全组中。
为各个管理员配置正确的传呼计划和邮件计划。
将各个管理员添加到 Mail Administrators 通知组中。

为安装和配置监视服务器和受监视服务器创建部署计划

计划的最后一步是创建有关如何在环境中部署 Exchange 管理包的计划。此计划必须考虑下列事项：

将受监视的服务器。
将进行监视的服务器。
将执行安装的用户。
所需的权限。
将采用的计划。
可能遇到的风险以及如何降低这些风险。

有关如何创建部署计划的详细信息，请参阅 https://go.microsoft.com/fwlink/?linkid=39530 上的 Microsoft Solutions Framework 文档（英文）。

保护部署

在安装 Exchange 管理包之前，必须保护您的监视环境。必须在安装之前进行保护，因为 Exchange 管理包将对这些问题生成警报。如果不在安装 Exchange 管理包之前保护您的环境，就会在验证这些安全配置时收到警报。

保护您的环境包括下列事项：

运行 IIS 锁定
配置 SSL
验证邮件跟踪日志分享是否已锁定
验证 SMTP 目录是否位于 NTFS 文件系统分区
验证 SMTP 是否无法进行匿名中继

运行 IIS 锁定

应在所有前端服务器上运行 IIS 锁定工具。此工具搜索安全漏洞，并帮助您配置面向 Internet 的服务器，以减少其受到恶意攻击的可能性。

有关如何安装和运行 IIS 锁定工具的详细信息，请参阅 https://go.microsoft.com/fwlink/?linkid=3052&kbid=325864 上的 Microsoft 知识库文章 325864“如何安装和使用 IIS 锁定向导”。

Exchange 管理包检测是否已运行 IIS 锁定工具，如果检测到通常被此工具保护的任何安全漏洞，就会向您发送警报。

配置 SSL

若要对 Exchange 2003 使用前端服务器可用性监视功能，前端服务器必须为所有 Microsoft Office Outlook® Web Access、Outlook Mobile Access 和 Exchange ActiveSync® 虚拟目录配置 SSL。若要配置 SSL，请在前端服务器上执行下列高级步骤：

设置证书。
将 certsrv 添加到受信任根证书。
在 Outlook Web Access、Outlook Mobile Access、Exchange ActiveSync 网站上启用“要求 SSL”。
启用基于窗体的验证。

有关配置 SSL 的详细信息，请参阅 https://go.microsoft.com/fwlink/?linkid=34216 上的 Exchange Server 2003 and Exchange 2000 Server Front-End and Back-End Topology 指南（英文）。

验证邮件跟踪日志分享是否已锁定

启用邮件跟踪时，SMTP 处理的所有邮件均将记录到每台 Exchange 服务器上的邮件跟踪日志文件中。默认情况下，邮件跟踪日志文件位于 c:\program files\exchsrvr\服务器名称.log。因为此文件夹是共享文件夹，所以管理员可以从任何 Exchange 系统管理器控制台查看其信息。应配置对此共享文件夹的权限，不明确授予 Everyone 组任何权限。如果已经授予 Everyone 组对邮件跟踪日志共享的权限，则应删除该组。Exchange 管理包将检测此配置，如果在共享上发现 Everyone 组，将向您发送警报。

验证 SMTP 目录是否位于 NTFS 分区

因为 SMTP 邮件并非总是安全的，所以，应通过将其存储在 NTFS 分区上以帮助保护其内容。可以通过在 Windows 资源管理器中找到 SMTP 目录并访问其属性，验证该目录是否位于 NTFS 分区。“常规”选项卡指出正在使用的文件系统。

如果 SMTP 目录不在 NTFS 分区上，则应移动目录或将此分区配置为使用 NTFS。

若要移动 SMTP 目录，请参阅 https://go.microsoft.com/fwlink/?linkid=3052&kbid=318230 上的 Microsoft 知识库文章 318230“How to change the Exchange 2000 SMTP Mailroot directory location”（英文）。

若要将分区配置为使用 NTFS，请参阅 Windows Server™ 2003 帮助。

Exchange 管理包检测此配置，如果 SMTP 目录不在 NTFS 分区上，将向您发送警报。

验证 SMTP 是否无法进行匿名中继

默认情况下，SMTP 虚拟服务器配置为只中继经过身份验证的用户所提交的邮件。

验证此配置是否未更改

启动 Exchange 系统管理器并找到要禁止邮件中继的服务器对象。
在左窗格的服务器对象下，展开“协议”，然后展开 SMTP。
在左窗格中，用鼠标右键单击要禁止邮件中继的 SMTP 虚拟服务器，然后单击“属性”。
在“属性”对话框中，单击“访问”选项卡，然后单击“中继”。
在“中继限制”对话框中，验证下列条件是否为真：
- 选中“仅以下列表”，并且此列表框为空
- 选中“不管上表中如何设置，所有通过身份验证的计算机都可以进行中继”复选框。
如果不希望进行任何更改，则单击“取消”。

Exchange 管理包检测此配置，如果 SMTP 服务器配置为允许匿名中继，将向您发送警报。