配置跨林连接器

 

适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3

上一次修改主题: 2012-07-23

您可以使用 EMC 或命令行管理程序配置发送连接器和接收连接器,以启用跨林通信。若要在不同 Active Directory 林中运行 Microsoft Exchange 的服务器之间建立直接邮件流,必须配置发送连接器和接收连接器。

本主题将介绍如何为以下方案配置跨林连接器:

  • Exchange Server 2010 到 Exchange Server 2010

  • Exchange 2010 到 Exchange Server 2003

您必须先获得权限,然后才能执行此过程。若要查看所需的权限,请参阅传输权限主题中的“发送连接器”和“接收连接器”条目。

在此方案中,将在位于不同 Active Directory 林中的两个 Exchange 2010 组织内的集线器传输服务器之间创建跨林连接器。基本身份验证或外部身份验证机制提供不同林中服务器之间的身份验证和授权。如果使用基本身份验证,则可以从以下两种方法中选择以便也可以使用传输层安全性 (TLS):

  • 将智能主机身份验证方法设置为基于 TLS 的基本身份验证。此方法可提供接收服务器的机密性和身份验证。如果您选择此智能主机身份验证方法,发送服务器将作为邮件流的要求验证接收服务器的证书。

  • RequireTLS 参数设置为 $true。此方法可提供机密性,但不对接收服务器进行身份验证。

若要在两个 Exchange 2010 组织中的集线器传输服务器之间配置跨林连接器,必须满足以下先决条件:

  • 每个林中必须存在具有 Exchange 2010 服务器的 Exchange 组织。

  • 如果使用基本身份验证,则每个林中都必须有一个可用于基本身份验证的域帐户。例如,提供一个用户主体名称 (UPN) 为 FourthCoffee@Contoso.com 的用户帐户作为凭据,向 Contoso 域中的 Exchange 服务器发送邮件时,Fourth Coffee 域中的 Exchange 服务器必须使用这些凭据进行身份验证。

  • 如果使用基于 TLS 的基本身份验证,则必须将目标服务器配置为使用所包含的完全限定的域名 (FQDN) 与接收连接器的 FQDN 相同的 X.509 证书。

  • 如果使用外部身份验证,则集线器传输服务器之间必须存在受信任网络连接。此连接可能是 IPsec 关联或 VPN。或者,服务器可能驻留在受信任的物理控制网络中。

若要在林之间建立邮件流,请按照以下步骤进行操作:

  1. 在每个林中创建一个用户帐户,用来对第二个林中的接收服务器进行身份验证。

  2. 创建发送连接器。

  3. 设置发送连接器的权限。

  4. 为外部安全连接器创建一个新的接收连接器。

    注释注意:
    如果使用基于 TLS 的基本身份验证,则必须在智能主机设置中提供远程集线器传输服务器的 FQDN。不能使用 IP 地址。

通过使用基本身份验证或外部身份验证,下列过程将在 Contoso.com 和 FourthCoffee.com 林中的 Exchange 2010 集线器传输服务器之间建立跨林邮件流。必须在每个林中执行互逆过程。

您必须先获得权限,然后才能执行此过程。若要查看所需的权限,请参阅传输权限主题中的“发送连接器”和“接收连接器”条目。

  • 在每个林中创建用户帐户,然后将帐户添加到 Exchange 服务器通用安全组。发送连接器使用该帐户对第二个林中的接收服务器进行身份验证。

    重要重要说明:
    该帐户被授予与 Exchange 服务器关联的权限。务必保护该帐户的凭据以避免误用。可以将该帐户配置为仅允许登录特定的计算机。

  1. 在控制台树中,导航到“组织配置”>“集线器传输”,然后在操作窗格中单击“新建发送连接器”。

  2. 在新建 SMTP 发送连接器向导的“简介”页上的“名称”字段中,键入连接器的唯一名称。

  3. 从“选择此发送连接器的预期用法”下拉列表中选择“内部”,然后单击“下一步”。

  4. 在“地址空间”页上,单击“添加”。在“SMTP 地址空间”对话框中键入远程 SMTP 域的名称,然后单击“下一步”。

  5. 在“网络设置”页上,仅能选择“通过下列智能主机路由邮件”设置。单击“添加”。

  6. 在“添加智能主机”对话框中的“IP 地址”或“完全限定的域名(FQDN)”字段中,键入远程林中的集线器传输服务器的 FQDN,然后单击“确定”。若要将多个集线器传输服务器指定为智能主机,请单击“添加”,输入其他 FQDN,然后单击“下一步”。

  7. 在“配置智能主机安全设置”页上,选择“基本身份验证”或“基于 TLS 的基本身份验证”,键入将用于验证连接身份的用户名和密码,然后单击“下一步”。

  8. 在“源服务器”页上,单击“添加”。在“选择集线器传输服务器和订阅的边缘传输服务器”对话框中,选择组织中的一个或多个集线器传输服务器,单击“确定”,再单击“下一步”。

  9. 在“新建连接器”页中,单击“新建”。

  10. 在“完成”页上,检查下列内容,然后单击“完成”关闭向导:

    • “已完成”状态表示向导已成功完成任务。

    • “失败”状态表示任务未完成。如果任务失败,请查看摘要获得相应说明,然后单击“上一步”进行配置更改。

此示例将创建从 Contoso.com 到 FourthCoffee.com 的发送连接器,并使用基于 TLS 的基本身份验证为接收服务器提供机密性和身份验证。

  1. 此命令存储用于身份验证的凭据。

    $mycred = Get-Credential
    
  2. 在出现的对话框中,输入 Fourth Coffee 域中用户帐户的凭据。使用域\用户格式或 UPN 格式输入用户名并提供用户密码。

  3. 单击“确定”。

  4. 此命令创建发送连接器。

    New-SendConnector -Name "Cross-Forest" -Usage Internal -AddressSpaces FourthCoffee.com -SmartHosts Hub1.FourthCoffee.com, Hub2.FourthCoffee.com -SmartHostAuthMechanism BasicAuthRequireTLS -AuthenticationCredential $mycred -SourceTransportServers HubA.Contoso.com, HubB.Contoso.com -DNSRoutingEnabled $false
    

此示例将创建从 Contoso.com 到 FourthCoffee.com 的发送连接器,并使用基于 TLS 的基本身份验证仅提供机密性。

  1. 此命令存储用于身份验证的凭据。

    $mycred = Get-Credential
    
  2. 在出现的对话框中,输入 Fourth Coffee 域中用户帐户的凭据。使用域\用户格式或 UPN 格式输入用户名并提供用户密码。

  3. 单击“确定”。

  4. 此命令创建发送连接器。

    New-SendConnector -Name "Cross-Forest" -Usage Internal -AddressSpaces FourthCoffee.com -SmartHosts Hub1.FourthCoffee.com, Hub2.FourthCoffee.com -SmartHostAuthMechanism BasicAuth -AuthenticationCredential $mycred -SourceTransportServers HubA.Contoso.com, HubB.Contoso.com -RequireTLS $true -DNSRoutingEnabled $false
    

有关语法和参数的详细信息,请参阅 New-SendConnector

注释注意:
不能使用 EMC 设置发送连接器的权限。

此示例使用命令行管理程序中的 Enable-CrossForestConnector.ps1 脚本设置发送连接器的权限。

.\Enable-CrossForestConnector.ps1 -Connector "Cross-Forest" -user "ANONYMOUS LOGON"

您必须先获得权限,然后才能执行此过程。若要查看所需的权限,请参阅传输权限主题中的“发送连接器”和“接收连接器”条目。

  1. 在控制台树中,导航到“组织配置”>“集线器传输”,然后在操作窗格中单击“新建发送连接器”。

  2. 在新建 SMTP 发送连接器向导的“简介”页上的“名称”字段中,键入连接器的唯一名称。从“选择此发送连接器的预期用法”下拉列表中选择“内部”,然后单击“下一步”。

  3. 在“地址空间”页上,单击“添加”。在“SMTP 地址空间”对话框中键入远程 SMTP 域的名称,然后单击“下一步”。

  4. 在“网络设置”页上,仅能选择“通过下列智能主机路由邮件”设置。单击“添加”。

  5. 在“添加智能主机”对话框中的“IP 地址”或“完全限定域名 (FQDN)”字段中,键入远程林中的集线器传输服务器的 IP 地址或 FQDN,然后单击“确定”。若要将多个集线器传输服务器指定为智能主机,请单击“添加”,输入其他 IP 地址或 FQDN,再单击“下一步”。

  6. 在“配置智能主机身份验证设置”页中,选择“外部安全(例如,使用 IPsec)”,然后单击“下一步”。

  7. 在“源服务器”页上,单击“添加”。在“选择集线器传输服务器和订阅的边缘传输服务器”对话框中,选择组织中的一个或多个集线器传输服务器,单击“确定”,再单击“下一步”。

  8. 在“新建连接器”页中,单击“新建”。

  9. 在“完成”页上,检查下列内容,然后单击“完成”关闭向导:

    • “已完成”状态表示向导已成功完成任务。

    • “失败”状态表示任务未完成。如果任务失败,请查看摘要获得相应说明,然后单击“上一步”进行配置更改。

此示例创建从 Contoso.com 到 FourthCoffee.com 的发送连接器。

New-SendConnector -Name "Cross-Forest" -Usage Internal -AddressSpaces FourthCoffee.com -SmartHosts Hub1.FourthCoffee.com, Hub2.FourthCoffee.com -SmartHostAuthMechanism ExternalAuthoritative -SourceTransportServers HubA.Contoso.com, HubB.Contoso.com -DNSRoutingEnabled $false

有关语法和参数的详细信息,请参阅 New-SendConnector

  1. 在控制台树中,导航到“服务器配置”>“集线器传输”,然后在操作窗格中单击“新建接收连接器”。

  2. 在新建 SMTP 接收连接器向导的“简介”页上,在“名称”字段中键入连接器的唯一名称。

  3. 从“选择此接收连接器的预期用法”下拉列表中选择“内部”,然后单击“下一步”。

  4. 在“远程网络设置”页上,删除所有网络范围条目,然后单击“添加”。

  5. 在“添加远程服务器的 IP 地址”对话框中,键入远程集线器传输服务器的 IP 地址,单击“确定”,再单击“下一步”。

  6. 在“新建连接器”页上,单击“新建”。

  7. 在“完成”页上,检查下列内容,然后单击“完成”关闭向导:

    • “已完成”状态表示向导已成功完成任务。

    • “失败”状态表示任务未完成。如果任务失败,请查看摘要获得相应说明,然后单击“上一步”进行配置更改。

此示例为 Contoso.com 创建接收连接器,以便从 FourthCoffee.com 接收邮件。

New-ReceiveConnector -Name "Cross-Forest" -Server HubA -PermissionGroups ExchangeServers -RemoteIPRanges <IP address of Fourth Coffee Hub Transport server> -AuthMechanism ExternalAuthoritative -Bindings 0.0.0.0:25

有关语法和参数的详细信息,请参阅 New-ReceiveConnector

注释注意:
如果在步骤 2 中使用命令行管理程序创建接收连接器,则不需要此步骤。如果在步骤 2 中使用 EMC,则此步骤是必需的。
  1. 在控制台树中,导航到“服务器配置”>“集线器传输”。

  2. 在结果窗格中,选择要修改的接收连接器,然后在操作窗格中单击“属性”。

  3. 单击“身份验证”选项卡。

  4. 清除“传输层安全性 (TLS)”和“Exchange Server 身份验证”复选框,然后选择“外部安全(例如,使用 IPsec)”。

  5. 单击“确定”。

您必须先获得权限,然后才能执行此过程。若要查看所需的权限,请参阅传输权限主题中的“发送连接器”和“接收连接器”条目。

在此方案中,将在具有运行 Exchange 2010 的 Exchange 组织的 Active Directory 林和另一个具有运行 Exchange 2003 的 Exchange 组织的 Active Directory 林之间创建跨林连接器。可以在 Exchange 2010 边缘传输服务器和 Exchange 2003 桥头服务器之间或在 Exchange 2010 集线器传输服务器和 Exchange 2003 桥头服务器之间创建发送连接器和接收连接器。

若要在林之间建立邮件流,请按照以下步骤进行操作:

  1. 在每个林中创建用户帐户,以便对发送服务器进行身份验证。如果使用外部身份验证,则不需要此步骤。

  2. 创建发送连接器,选择“内部”作为 Exchange 2010 边缘传输服务器或集线器传输服务器上此连接器的用法。

  3. 修改用于新的发送连接器的身份验证。

  4. 在 Exchange 2003 上创建 SMTP 连接器。

  5. 如果使用外部身份验证,则在 Exchange 2003 服务器上修改注册表以允许 Exchange 2003 服务器匿名收发 XEXCH50 属性。

下列过程将使用基本身份验证或外部身份验证在 Contoso.com 林中的 Exchange 2010 传输服务器和 FourthCoffee.com 林中的 Exchange 2003 桥头服务器之间建立跨林邮件流。建议您执行下列过程之一后,通过在两个组织之间发送邮件以测试邮件流。此外,您还应检查协议日志以验证 XEXCH50 数据是否已传播到 Exchange 2003。

您必须先获得权限,然后才能执行此过程。若要查看所需的权限,请参阅传输权限主题中的“发送连接器”和“接收连接器”条目。

在 Exchange 2003 林中,创建一个用户帐户。将该用户帐户添加到 Exchange Domain Servers 安全组,该安全组位于将充当该连接器的智能主机的 Exchange 2003 服务器所驻留的域中。

重要重要说明:
该帐户被授予与 Exchange 服务器关联的权限。务必保护该帐户的凭据以避免误用。可以将该帐户配置为仅允许登录特定的计算机。

在 Exchange 2010 林中创建用户帐户。将用户帐户添加到域中的 ExchangeLegacyInterop 安全组,将作为智能主机从 Exchange 2003 接收邮件的 Exchange 2010 服务器驻留在该域中。

  1. 在控制台树中,导航到“组织配置”>“集线器传输”,然后在操作窗格中单击“新建发送连接器”。

  2. 在新建 SMTP 发送连接器向导的“简介”页上的“名称”字段中,键入连接器的唯一名称。从“选择此发送连接器的预期用法”下拉列表中选择“内部”,然后单击“下一步”。

  3. 在“地址空间”页上,单击“添加”。在“SMTP 地址空间”对话框中键入远程 SMTP 域的名称,然后单击“下一步”。

  4. 在“网络设置”页上,仅能选择“通过下列智能主机路由邮件”设置。单击“添加”。

  5. 在“添加智能主机”对话框的“IP 地址”或“完全限定域名 (FQDN)”字段中,键入远程林中的 Exchange 2003 桥头服务器的 IP 地址或 FQDN,然后单击“确定”。若要将多个桥头服务器指定为智能主机,请单击“添加”,输入其他 IP 地址或 FQDN,再单击“下一步”。

  6. 在“配置智能主机安全设置”页中的“基本身份验证”或“基于 TLS 的基本身份验证”中,键入将用于验证连接身份的用户名和密码,然后单击“下一步”。

  7. 在“源服务器”页上,单击“添加”。在“选择集线器传输服务器和订阅的边缘传输服务器”对话框中,选择组织中的一个或多个集线器传输服务器,单击“确定”,再单击“下一步”。

  8. 在“新建连接器”页中,单击“新建”。

  9. 在“完成”页上,检查下列内容,然后单击“完成”关闭向导:

    • “已完成”状态表示向导已成功完成任务。

    • “失败”状态表示任务未完成。如果任务失败,请查看摘要获得相应说明,然后单击“上一步”进行配置更改。

如果将 Exchange 2010 发送连接器配置为使用基于 TLS 的基本身份验证,或通过将 RequiredTLS 参数设置为 $true 来使用基本身份验证,则 Exchange 2003 服务器必须先公布正确的证书,然后才能进行身份验证。可以通过查看虚拟服务器的属性来验证是否已将证书导入 Exchange 2003 SMTP 虚拟服务器。若要查看或导入服务器证书,请选择“访问”选项卡,再单击“证书”。

  1. 此命令存储用于身份验证的凭据。在 Exchange 2010 林中,打开边缘传输服务器或集线器传输服务器上的命令行管理程序,并运行下列命令。

    $mycred = Get-Credential
    

    在出现的对话框中,输入在 Exchange 2003 林中创建的用户帐户的凭据。使用域\用户格式或 UPN 格式输入用户名并提供用户密码。单击“确定”。

  2. 在命令行管理程序中,使用下列命令之一创建发送连接器。

    • 此示例将创建发送连接器,以使用基于 TLS 的基本身份验证为接收服务器提供机密性和身份验证。

      New-SendConnector -Name "Legacy Forest" -SmartHostAuthMechanism BasicAuthRequireTLS -AuthenticationCredential $mycred -AddressSpaces FourthCoffee.com -SmartHosts Bridgehead1.FourthCoffee.com, Bridgehead2.FourthCoffee.com -SourceTransportServers HubA.Contoso.com, HubB.Contoso.com -DNSRoutingEnabled $false
      
    • 此示例创建发送连接器,来使用基于 TLS 的基本身份验证以仅提供机密性。

      New-SendConnector -Name "Legacy Forest" -SmartHostAuthMechanism BasicAuth -AuthenticationCredential $mycred -AddressSpaces FourthCoffee.com -SmartHosts Bridgehead1.FourthCoffee.com, Bridgehead2.FourthCoffee.com -SourceTransportServers HubA.Contoso.com, HubB.Contoso.com -RequireTLS $true -DNSRoutingEnabled $false
      

有关语法和参数的详细信息,请参阅 New-SendConnector

注释注意:
不能使用 EMC 设置发送连接器的权限。

此示例使用命令行管理程序中的 Enable-CrossForestConnector.ps1 脚本设置发送连接器的权限。

.\Enable-CrossForestConnector.ps1 -Connector "Legacy Forest" -user "ANONYMOUS LOGON" -genericMTA

  1. 在 Exchange 2010 林中创建用户帐户。将该用户帐户添加到 ExchangeLegacyInterop 安全组。

    重要重要说明:
    该帐户被授予与 Exchange 服务器关联的权限。务必保护该帐户的凭据以避免误用。可以将该帐户配置为仅允许登录特定的计算机。
  2. 在 Exchange 2003 林中,打开 Exchange 系统管理器。右键单击位于将驻留此连接器的服务器所在的路由组中的“连接器”容器,选择“新建”,再选择“SMTP 连接器”。

  3. 选择“常规”选项卡。在“名称”字段中,键入此连接器的唯一名称。

  4. 选择“将通过此连接器的所有邮件转发到下列智能主机”,然后键入 Exchange 2010 边缘传输服务器或集线器传输服务器的 IP 地址或 FQDN。如果输入 IP 地址,则必须将其括在方括号中,例如:[192.168.1.1]。

  5. 单击“添加”以添加本地桥头服务器。在“添加桥头”对话框中,选择一个或多个 Exchange 2003 服务器。

  6. 选择“地址空间”选项卡,再单击“添加”创建地址空间。在“添加地址空间”对话框中,选择 SMTP,再单击“确定”。

  7. 在“Internet 地址空间属性”页中,输入 Exchange 2010 林的 SMTP 域名,然后单击“确定”。

  8. 选择“高级”选项卡,再单击“出站安全”。在“出站安全”对话框中,选择“基本身份验证”,再单击“修改”。

  9. 在“出站连接凭据”对话框中,输入在 Exchange 2010 林中创建的帐户的用户名和密码,然后单击“确定”。

  10. 单击“确定”关闭“出站安全”对话框。单击“确定”。

您必须先获得权限,然后才能执行此过程。若要查看所需的权限,请参阅传输权限主题中的“发送连接器”和“接收连接器”条目。

  1. 在控制台树中,导航到“组织配置”>“集线器传输”。

  2. 在操作窗格中,单击“新建发送连接器”。

  3. 在新建 SMTP 发送连接器向导的“简介”页上的“名称”字段中,键入连接器的唯一名称。从“选择此发送连接器的预期用法”下拉列表中选择“内部”,然后单击“下一步”。

  4. 在“地址空间”页上,单击“添加”。在“SMTP 地址空间”对话框中键入远程 SMTP 域的名称,然后单击“下一步”。

  5. 在“网络设置”页上,仅能选择“通过下列智能主机路由邮件”设置。单击“添加”。

  6. 在“添加智能主机”对话框的“IP 地址”或“完全限定域名 (FQDN)”字段中,键入 Exchange 2003 林中的桥头服务器的 IP 地址或 FQDN,然后单击“确定”。若要将多个桥头服务器指定为智能主机,请单击“添加”,输入其他 IP 地址或 FQDN,再单击“下一步”。

  7. 在“配置智能主机身份验证设置”页中,选择“外部安全(例如,使用 IPsec)”,然后单击“下一步”。

  8. 在“源服务器”页上,单击“添加”。在“选择集线器传输服务器和订阅的边缘传输服务器”对话框中,选择组织中的一个或多个集线器传输服务器,单击“确定”,再单击“下一步”。

  9. 在“新建连接器”页中,单击“新建”。

  10. 在“完成”页上,检查下列内容,然后单击“完成”关闭向导:

    • “已完成”状态表示向导已成功完成任务。

    • “失败”状态表示任务未完成。如果任务失败,请查看摘要获得相应说明,然后单击“上一步”进行配置更改。

此示例创建从 Contoso.com 到 FourthCoffee.com 的发送连接器。

New-SendConnector -Name "Legacy Forest" -Usage Internal -AddressSpaces FourthCoffee.com -SmartHosts Hub1.FourthCoffee.com, Hub2.FourthCoffee.com -SmartHostAuthMechanism ExternalAuthoritative -SourceTransportServers HubA.Contoso.com, HubB.Contoso.com -DNSRoutingEnabled $false

有关语法和参数的详细信息,请参阅 New-SendConnector

  1. 在控制台树中,导航到“服务器配置”>“集线器传输”,然后在操作窗格中单击“新建接收连接器”。

  2. 在新建 SMTP 接收连接器向导的“简介”页上,在“名称”字段中键入连接器的唯一名称。

  3. 从“选择此接收连接器的预期用法”下拉列表中选择“内部”,然后单击“下一步”。

  4. 在“远程网络设置”页上,删除所有网络范围条目,然后单击“添加”。

  5. 在“添加远程服务器的 IP 地址”对话框中,键入 Exchange 2003 组织中的桥头服务器的 IP 地址,单击“确定”,再单击“下一步”。

  6. 在“新建连接器”页上,单击“新建”。

  7. 在“完成”页上,检查下列内容,然后单击“完成”关闭向导:

    • “已完成”状态表示向导已成功完成任务。

    • “失败”状态表示任务未完成。如果任务失败,请查看摘要获得相应说明,然后单击“上一步”进行配置更改。

此示例为 Contoso.com 创建接收连接器,以便从 FourthCoffee.com 接收邮件。

New-ReceiveConnector -Name "Legacy Forest" -Usage Internal -Server HubA -PermissionGroups ExchangeServers -RemoteIPRanges <IP address of Fourth Coffee Hub Transport server> -AuthMechanism ExternalAuthoritative -Bindings 0.0.0.0:25

有关语法和参数的详细信息,请参阅 New-ReceiveConnector

注释注意:
如果在步骤 2 中使用命令行管理程序创建接收连接器,则不需要此步骤。如果在步骤 2 中使用 EMC,则此步骤是必需的。
  1. 在控制台树中,导航到“服务器配置”>“集线器传输”。

  2. 在结果窗格中,选择要修改的接收连接器,然后在操作窗格中单击“属性”。

  3. 单击“身份验证”选项卡。

  4. 清除“传输层安全性(TLS)”和“Exchange Server 身份验证”复选框,选择“外部安全(例如 IPsec)”,然后单击“确定”。

小心警告:
不正确地编辑注册表时,可能导致出现严重问题,从而需要重新安装操作系统。因不正确地编辑注册表而导致出现的问题是能够解决的问题。在编辑注册表之前,请备份任何有用数据。
  1. 打开注册表编辑器。

  2. 定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SMTPSVC\XEXCH50

  3. 右键单击 XEXCH50,再选择“新建”|“DWORD 值”。键入 SuppressExternal 作为值名称。默认情况下,值数据为“0”,表明已将 XEXCH50 属性匿名传输到远程服务器。

  4. 右键单击 XEXCH50,再选择“新建”|“项”。键入 SMTP 虚拟服务器实例的编号作为项值。例如,默认的虚拟服务器实例是 1,则在服务器上创建的第二个 SMTP 虚拟服务器是 2

  5. 右键单击刚才创建的项,指向“新建”,再单击“DWORD 值”。

  6. 在详细信息窗格中,键入值名称 Exch50AuthCheckEnabled。默认情况下,值数据为 0,表明匿名发送电子邮件后已传输 XEXCH50 属性。

 © 2010 Microsoft Corporation。保留所有权利。
显示: