同步多个 Exchange 2003 目录林

 

上一次修改主题: 2006-08-17

本主题提供有关同步多个 Microsoft® Exchange Server 林的信息。在执行本主题所列的步骤之前,强烈建议您先阅读 Planning a Microsoft Exchange Server 2003 Messaging System(规划 Microsoft Exchange Server 2003 邮件系统)(http://go.microsoft.com/fwlink/?linkid=21766)。此规划指南介绍了在多个林中运行 Exchange 组织时所基于的概念。请在熟悉这些概念后再阅读本部分内容,以了解如何同步多个 Exchange 组织。

具体地说,本主题将提供以下信息:

  • 提供在 Microsoft Identity Integration Server (MIIS) 2003 中使用 GAL Synchronization 功能的必需要求。
  • 介绍如何在林间配置邮件流。
  • 介绍如何配置扩展邮件功能(如共享 SMTP 域命名空间)。
  • 介绍如何使用组织间复制工具同步忙/闲数据以及复制公用文件夹。
  • 介绍如何跨林管理邮件系统(例如,如何使用迁移向导在林间移动邮箱)。

上述前两项对于基本的邮件功能来说是必需的。其余各项是专用于多林方案的扩展邮件功能。从根本上讲,目标是使最初仅为单林使用而设计的功能可以跨多林使用。

虽然建议使用单林拓扑,因为它提供了最丰富的邮件功能集,不过在一些情况下还是需要实现多林。例如:

  • 您有多个要求数据和服务隔离的业务单位。
  • 您有多个具有不同架构需求的业务单位。
  • 您面临着合并、收购或资产剥离。

在多林方案中(图 1),某公司有多个 Microsoft Active Directory® 目录服务林,每个林都包含一个 Exchange 组织。在此方案中,用户帐户并不与他们的邮箱分开,而是与其关联的邮箱位于同一个林中。但是,因为 GAL 是针对单个林的,所以用户无法看到其他林中的用户、组或联系人。

2c4b3dc0-c1e1-40b8-941c-4ed604ef11ce

大多数邮件功能最初都仅设计用于单个林。因此,为了确保这些功能可用于多林环境,必须克服许多设计上的限制。如果用户位于不同的林中,诸如委派邮箱访问权限和查看日历等一些高级功能将不可用。表 1 列出了多林环境中的可用邮件功能。

表 1 多林环境中的可用功能

功能 是否可以跨林使用?

基本邮件流

可以。不要求林之间存在信任关系。

公用全局地址列表 (GAL)

可以,使用 Microsoft Identity Integration Server (MIIS) 2003。

忙/闲数据同步

可以,使用组织间复制工具。在 Microsoft Office Outlook® 中,会议组织者可将来自其他林的与会者添加到会议请求中,并且可以在“计划”选项卡上检查与会者的可用性。

公用文件夹同步

可以,使用组织间复制工具。

会议请求转发

可以。如果已配置 GAL Synchronization 并设置了 SMTP 身份验证。

通讯组

可以。另一个林中的通讯组表示为联系人。可以向另一个林中的通讯组发送邮件,但无法查询该组的成员身份。

安全/多用途 Internet 邮件扩展(Secure/Multipurpose Internet Mail Extensions,简称 S/MIME)

可以,通过手动配置。默认情况下,用户证书不会跨林进行同步。必须配置 userCertificate 以启用 S/MIME。多林环境不支持 Exchange 2000 和 Exchange 5.5 中的密钥管理服务。

已送达/已读回执

可以。如果正确配置了全局设置。(配置全局设置时有多个选项可供选择;请参阅本主题后面的“配置林之间的邮件流”。)

跨林共享 SMTP 命名空间

可以。如果除共享的命名空间外,每个组织还有一个唯一的 SMTP 域命名空间。在每个林中添加指定唯一 SMTP 代理地址的收件人策略。(如果在林中运行 Exchange 5.5,则只要设置了双向连接协议,Active Directory 连接器 (ADC) 就会将第二个代理地址复制到 Exchange 5.5 目录中。)

公用文件夹权限

不可以。使用组织间复制工具复制公用文件夹时,每个林的管理员必须设置这些文件夹的权限。

规则

不可以。在跨林的邮箱移动过程中规则将不起作用,并且在移动后需要重新创建规则。

邮箱委派

不可以。由于将另一个林中的用户或组表示为联系人,因此,无法将邮箱访问权限委派给另一个林中的某个人。在设置邮箱的访问权利时,不能指定联系人。此外,将邮箱从一个林移动到另一个林时,不保留邮箱委派权限。

查看日历

不可以。虽然可以跨林同步忙/闲信息并使用该信息安排会议日程,但不能使用 Outlook 中的“打开其他用户的文件夹”功能查看另一个林中的用户的详细日历信息。

查看组成员身份

不可以。由于将另一个林中的组表示为联系人,因此无法查看该组的成员。在电子邮件送达相应源林之后,组成员身份才会展开。

连接到外部邮件系统的连接器

可以。如果一个林连接到外部邮件系统,并且您使用了 MIIS 2003,则可以将外部邮件系统的联系人复制到其他林。

代理发送

不可以。用户必须位于同一个林。

对多个林使用前端服务器

不可以。前端服务器无法代理发送到另一个林中的后端服务器的请求。如果您对 Outlook Web Access 或 Outlook Mobile Access 使用前端服务器,将会受到这种限制的制约。

Exchange 2000 即时消息服务

可以。但多个林不能共享同一个命名空间。

默认情况下,全局地址列表 (GAL) 包含来自单个林的邮件收件人。如果存在多林环境,可以使用 Microsoft Integration Identity Server (MIIS) 2003 中的 GAL Synchronization 功能来确保任何指定林中的 GAL 都包含其他林的邮件收件人。此功能可创建已启用邮件的联系人来表示其他林中的收件人,因此用户可以在 GAL 中查看这些收件人并发送邮件。例如,林 A 中的用户在林 B 中显示为联系人,林 B 中的用户在林 A 中也显示为联系人。然后,目标林中的用户可以选择表示另一个林中的收件人的联系人对象,以发送邮件。

如果每个林至少包含一个 Exchange 2003 服务器,则可以使用 MIIS 2003 来同步运行 Exchange 5.5、Exchange 2000 和 Exchange 2003 的任意组合的林。(GAL Synchronization 在纯 Exchange 5.5 林中不起作用。)即使源林或目标林处于混合模式中并运行 Active Directory 连接器 (ADC),MIIS 2003 也会同步 GAL。在源林中,ADC 将 Exchange 5.5 对象与 Active Directory 同步。然后,MIIS 2003 使用 Active Directory 中的对象来创建要与其他林同步的元目录对象。在目标林中,ADC 将联系人复制到 Exchange 5.5 目录中。

若要启用 GAL Synchronization,应创建管理代理,以便将已启用邮件的用户、联系人和组从指定的 Active Directory 服务导入到中心元目录。在元目录中,已启用邮件的对象表示为联系人。组表示为没有任何关联的成员身份的联系人。然后,管理代理将这些联系人导出到指定目标林中的组织单位。

源林提供给 MIIS 2003 的已启用邮件的对象由它自己控制。如果对目标林中对象的属性进行了更改,则这些更改不会传播回源林。

设置 GAL Synchronization 时应考虑下列因素:

  • 每个管理代理负责在一个林和 MIIS 2003 元目录间执行复制。因此,单管理代理不能进行从一个林向另一个林的端到端复制。因此,参加同步的每个林都需要一个单独的管理代理。
  • 为了确保管理代理可以将联系人导出到目标林,在每个参与的林中,运行 MIIS 2003 的服务器必须通过 LDAP(端口 389)连接到一个域控制器。由于 MIIS 2003 GAL Synchronization 中设置的规则,管理代理必须访问域控制器。
  • 设置管理代理时,必须指定一个具有适当域管理员权限的帐户。
  • 如果某个林包含连接到外部邮件系统的连接器,则默认情况下,联系人由该林控制;但是,可以更改此设置。
  • 用户不能从一个林向另一个林中的通讯组列表发送加密邮件。如果使用 SMTP 连接器建立林之间的连接,并使用 GAL Synchronization 同步这些林,则通讯组列表将在目标林中表示为联系人,并且无法展开其成员身份。

运行 MIIS 2003 的服务器和 Exchange 林必须按网状或中心辐射型配置进行排列。此外,还支持这两种配置的组合。但是,不能将林连接成链状结构。图 2 和 3 显示了所支持的拓扑。

important重要提示:
MIIS 2003 GAL Synchronization 功能不能在用户帐户与其邮箱位于不同林的资源林模型中运行。虽然可以配置 MIIS 以提供资源林和帐户林之间必需的对象,但不能使用 MIIS 2003 中的 GAL Synchronization 功能来实现。不过,可以使用 GAL Synchronization 来同步资源林和其他 Exchange 林。
a820a785-ca35-47de-92ac-f529e8afd217

在中心辐射型拓扑中(图 2),单个服务器运行 MIIS 2003,读取有关所有林的所有数据,评估更改和冲突,并将更改传播到每个林。建议使用该拓扑,因为它采用集中式管理,并且是最容易部署的拓扑。

important重要提示:
为运行 MIIS 2003 的服务器配置的帐户必须对所有林都有写入权限。对于某些组织,这可能会导致安全问题。
c66f2005-072b-4f2d-83f1-7e54d080916c

在网状拓扑中,每个林都包含一台运行 MIIS 2003 的服务器。每个林都负责设置从该林中运行 MIIS 2003 的服务器到其他每个林的连接。此拓扑很复杂,在未进行全面的试验性测试的情况下,建议不要采用这种配置。选择此拓扑的主要原因是,其他林不必允许对其目录有写入权限。但是,仍然要求读取权限。应配置管理代理以便读取其他所有林中的目录信息。

有关如何在 MIIS 2003 中安装和配置 GAL Synchronization 功能的完整信息,请参阅下列资源:

设置 GAL Synchronization 后,必须确保邮件在组织与 Internet 之间正确流动。对于基本的邮件流,唯一的要求是可以将路由解析给每个相邻的林。不要求林之间存在信任关系。

邮件流由林之间的网络连接以及配置 SMTP 代理地址的方式决定。理想的配置是在林之间建立直接的网络连接,而不设置防火墙。(如果林之间存在防火墙,则必须打开相应的端口。)

note注意:
林之间不共享任何链路状态信息或路由拓扑信息。

还必须在林之间设置 SMTP 连接器。而且,建议您启用跨林的身份验证。启用身份验证具有下列好处:

  • 林间的用户名解析(ResolveP2 注册表项)是自动进行的,这意味着用户的电子邮件地址会解析为 Active Directory 中存储的用户名。
  • 可以使用其他日历功能和邮件功能(如邮件转发)。

为了防止伪造标识(电子欺骗),Exchange 2003 要求进行身份验证,以便将发件人的名称解析为 GAL 中的相应显示名。因此,在多林环境中,建议您配置身份验证,以便将从一个林向另一个林发送邮件的用户解析为 GAL 中的相应显示名,而不是解析为其 SMTP 地址。

若要在 Exchange 2003 中启用跨林邮件协作,需要进行附加的配置步骤,以便将组织外的联系人解析为 Active Directory 中的相应显示名。可以使用下列两个选项启用这些联系人的解析:

  • 选项 1(建议) 使用身份验证,以便对从一个林向另一个林发送邮件的用户进行身份验证,并且他们的名称将解析为 GAL 中的相应显示名。
  • 选项 2 限制对用于跨林协作的 SMTP 虚拟服务器进行访问,然后将 Exchange 配置为解析匿名电子邮件。也支持此配置,但不建议使用它。默认情况下,在此配置中,如果从一个林向另一个林发送邮件,则不保留 Exch50 邮件属性(它是邮件的扩展属性)。

要了解配置跨林邮件协作的优点,请考虑下面关于匿名邮件提交和跨林身份验证的邮件提交的方案。

如果提交是匿名的,则不解析电子邮件地址。因此,如果匿名用户试图欺骗(伪造)内部用户的标识并发送邮件,则返回地址不会解析为其在全局地址列表 (GAL) 中的显示名。

示例:

Kim Akers 是 Northwind Traders 的合法内部用户。在 GAL 中她的显示名为 Kim Akers,她的电子邮件地址为 kim@northwindtraders.com。

若要发送邮件,Kim 必须经过身份验证。因为她经过身份验证,所以 Kim 邮件的收件人可以看到发件人是 Kim Akers。另外,Kim Akers 的属性显示为她的 GAL 条目。但是,如果 Ted Bremer 通过在“发件人”行使用 kim@northwindtraders.com 试图伪造 Kim 的地址,然后向 Northwind Traders 的 Exchange 2003 服务器发送邮件,则该电子邮件地址不会解析为 Kim 的显示名,因为 Ted 未经过身份验证。因此,该电子邮件显示在 Outlook 中时,发件人地址会显示为 kim@northwindtraders.com;它不会解析为 Kim Akers,因为经过身份验证的 Kim 的邮件才会解析为 Kim Akers。

假设有一个拥有两个林的公司:Adatum 林和 Fabrikam 林。这两个林都是单域林,分别具有 adatum.com 和 fabrikam.com 域。为了允许进行跨林邮件协作,Adatum 林中的所有用户作为 Fabrikam 林的 Active Directory 中的联系人。同样,Fabrikam 林中的所有用户作为 Adatum 林的 Active Directory 中的联系人。

如果 Adatum 林中的用户向 Fabrikam 林发送邮件,并且邮件是通过匿名连接提交的,那么尽管发件人作为联系人存在于 Active Directory 和 Outlook GAL 中,也不会解析发件人的地址。这是因为 Adatum 林中的用户不是 Fabrikam 林中已通过身份验证的用户。

示例:

Kim Akers 是 Adatum 林中的邮件用户,她的电子邮件地址为 kim@adatum.com,她的 Outlook GAL 显示名为 Kim Akers。Adam Barr 是 Fabrikam 林中的用户,他的电子邮件地址为 adam@fabrikam.com,他的 Outlook GAL 显示名为 Adam Barr。由于 Adam 作为 Active Directory 联系人存在于 Adatum 林中,因此 Kim 可以查看 Adam 的电子邮件地址并将它解析为 Outlook GAL 中的显示名 Adam Barr。当 Adam 收到来自 Kim 的邮件时,不会解析 Kim 的地址;Adam 看到的是 Kim 的未经解析的电子邮件地址 kakers@adatum.com,而不是她在 GAL 中的相应显示名。因为 Kim 是作为匿名用户发送邮件,所以不会解析她的电子邮件地址。虽然发送邮件时 Kim 经过身份验证,但这两个林间的连接未经过身份验证。

为了确保一个林中的发件人能向另一个林中的收件人发送邮件,并确保他们的电子邮件地址解析为其在 GAL 中的显示名,应启用跨域邮件协作。以下部分说明在两个林间配置邮件协作时可用的两个选项。

若要启用跨林 SMTP 身份验证,必须在使用其他林的经身份验证的帐户的每个林中创建连接器。这样,已通过身份验证的用户在两个林之间发送的任何邮件都将解析为 GAL 中的相应显示名。此部分说明如何启用跨林的身份验证。

使用 Adatum 林和 Fabrikam 林的示例(参阅前一部分的“跨林邮件提交”方案),执行下列步骤来设置跨林身份验证:

  1. 在 Fabrikam 林中创建一个具有 Send As 权限的帐户。(对于 Adatum 林中的所有用户,在 Fabrikam 林中都存在一位联系人;因此该帐户允许 Adatum 用户发送经过身份验证的邮件。)在接受来自 Adatum 的传入邮件的所有 Exchange 服务器上配置这些权限。
  2. 在 Adatum 林中的 Exchange 服务器上,创建需要身份验证(使用该帐户)的连接器,以便发送出站邮件。

同样,若要设置从 Fabrikam 林到 Adatum 林的跨林身份验证,请重复以上这些步骤,在 Adatum 中创建帐户,并在 Fabrikam 中创建连接器。

在连接林中设置连接器之前,必须在目标林(要连接到的林)中创建具有 Send As 权限的帐户。在目标林中的所有服务器上配置这些权限,这些服务器将接受连接林中的入站连接。

有关详细步骤,请参阅如何在另一个目录林中创建有“Send As”权限的用户帐户

在目标林中创建具有适当权限的帐户后,在连接林中创建连接器并使用刚创建的帐户要求身份验证。

有关详细步骤,请参阅如何为跨目录林身份验证创建连接器并要求身份验证

配置 Exchange 以便将组织外的联系人解析为其在 Active Directory 中的显示名的另一种方式是,将 Exchange 配置为解析匿名电子邮件。假设您公司有两个林,一个是 Adatum 林,另一个是 Fabrikam 林。

important重要提示:
将 Exchange 服务器配置为解析匿名邮件提交,将允许恶意用户提交带有伪造的返回地址的邮件。收件人无法区别可信邮件和欺骗邮件。要使这种可能性降到最低,请确保对 SMTP 虚拟服务器的访问仅限于访问 Exchange 服务器的 IP 地址。

执行下列步骤可以将 Adatum 用户的联系人解析为其在 Fabrikam 林中的显示名:

  1. 在 Adatum 林中创建一个连接到 Fabrikam 林的连接器。有关详细步骤,请参阅如何为跨目录林身份验证创建连接器并要求身份验证
  2. 在 Fabrikam 林的接收桥头服务器上,限制通过 IP 地址对 SMTP 虚拟服务器的访问。这样,可以确保只有 Adatum 林中的服务器可以向此服务器发送邮件。有关详细步骤,请参阅如何按 IP 地址限制对接收桥头服务器的访问
  3. 在驻留连接器的 SMTP 虚拟服务器上,启用“解析匿名电子邮件”设置。有关详细步骤,请参阅如何将 SMTP 虚拟服务器配置为解析匿名电子邮件地址
  4. 更改注册表项,以确保扩展邮件属性(Exch50 属性)在各个林中继续存在。否则,您将丢失重要的邮件信息。有关如何使 Exchange Server 能够接受匿名发送的扩展邮件属性的详细步骤,请参阅如何使 Exchange Server 能够接受匿名发送的扩展邮件属性。有关如何使 SMTP 虚拟服务器能够接受匿名发送的扩展邮件属性的详细步骤,请参阅如何使 SMTP 虚拟服务器能够接受匿名发送的扩展邮件属性

完成上述步骤之后,从 Adatum 林向 Fabrikam 林发送邮件的所有用户都将解析为他们在 Fabrikam GAL 中的相应显示名。接下来,需要对 Fabrikam 林重复步骤 1 到步骤 3。

如前所述,如果邮件在林间匿名发送,则并不传输邮件的扩展邮件属性。对于实现跨林方案的单独公司来说,因为有关邮件的信息可能丢失,所以必须传输这些邮件属性。例如,SCL 属性(一种扩展 Exchange 属性)包括由第三方解决方案生成的未经请求的商业垃圾邮件(垃圾邮件)分级。匿名发送邮件时,并不传输此属性。所以,如果在 Adatum 林中部署了第三方反垃圾邮件解决方案,并且此林中接收的邮件被发往 Fabrikam 林中的收件人,则第三方解决方案在邮件上标记 SCL 属性;但是,如果邮件传输到 Fabrikam 林,则不保留包括垃圾邮件分级的扩展属性。

如果 Exchange 服务器仅用作跨林通信的桥头服务器,则可能需要在服务器级别配置该设置。

有关详细步骤,请参阅如何使 Exchange Server 能够接受匿名发送的扩展邮件属性

如果在此 Exchange 服务器上有其他 SMTP 虚拟服务器,则考虑仅在 SMTP 虚拟服务器上设置该注册表项。有关详细步骤,请参阅如何使 SMTP 虚拟服务器能够接受匿名发送的扩展邮件属性

note注意:
如果在 Exchange 服务器上启用此注册表项,则该设置将应用于 Exchange 服务器上的所有 SMTP 虚拟服务器。如果要以此设置配置单一 SMTP 虚拟服务器,请在 SMTP 虚拟服务器上启用此注册表项。

许多公司具有 Internet 连接以及一个或多个已公布的域名。如果每个 Exchange 组织都维持一个单独的命名空间,在组织之间同步的联系人将只需要一个 SMTP 地址即可进行正确的路由。不过,您可能有若干个 Exchange 组织,但在 Internet 上只有一个表示您公司的命名空间(如 contoso.com)。这种情况下,要在保留多个不同林命名空间的同时仍然能将邮件正确地路由到各个林,必须区分不同的林。

此外,若要启用或禁用外出答复、自动答复、传递报告等邮件功能,可能必须配置全局设置。

当 GAL Synchronization 根据源林中的邮件收件人创建联系人时,将使用 SMTP 地址为每个联系人创建一个 TargetAddress 属性。因此,当林中的用户向某个联系人发送邮件时,该邮件将传递给联系人的 TargetAddress 属性所指向的地址,即使用户手动输入了主答复地址也是如此。为了确定应该为联系人分配哪个 TargetAddress,GAL Synchronization 会将收件人的 ProxyAddresses 属性与 Exchange 组织负责的 SMTP 地址进行对照。每个组织都必须有一个唯一的 SMTP 域命名空间,以便联系人收到唯一的 TargetAddress。如果您的林没有唯一的命名空间,可以为包含要跨林复制的用户的每个 Exchange 组织添加适当的收件人策略,并在该策略中添加唯一的 SMTP 地址。之后,发送到联系人的邮件将直接路由到源林,由它负责将目标地址解析为实际的邮箱并传递邮件。

还可以在每个林的基础上路由联系人。当为 GAL synchronization 设置管理代理时,可以选择是否应将发送到已导入林的联系人的邮件通过源林重新路由回来。如果有连接到外部邮件系统的连接器,默认情况下,原定于发送给某个联系人的邮件将路由到源林(即管理连接器的林);但是,林管理员可以更改此路由配置。

note注意:
如果在林中运行 Exchange 5.5,那么,只要设置了双向连接协议,ADC 便会将第二个代理地址复制到 Exchange 5.5 目录中。

为了举例说明多林环境中的 SMTP 路由,请考虑这样两个林:每个林都有一个默认收件人策略,指定其 SMTP 代理地址为 contoso.com。若要设置唯一的命名空间,应在每个 Exchange 组织中执行下列操作:

  • 在组织 1 中,将 SMTP 代理地址 Org1.contoso.com 添加到其默认收件人策略中。
  • 在组织 2 中,将 SMTP 代理地址 Org2.contoso.com 添加到其默认收件人策略中。

在这两种情况下,添加代理地址时,均应选中“此 Exchange 组织负责处理传递到此地址的所有邮件”复选框。此外,应保留将 contoso.com 代理地址用作主地址,以便当用户发送邮件时,其答复地址为 user@contoso.com(而不是 user@Org1.contoso.com 或 user@Org2.contoso.com)。

另一个示例说明了中心辐射型拓扑中的邮件流。在该示例中,有多个 Exchange 组织,但所有用户的邮件地址都可以位于一个域空间(如 @example.com)中。在本例中,发送到 @example.com 的所有外部邮件都流入名为 OrgA 的中心集线器组织。OrgA 配置了一些辅助的 SMTP 代理地址,用以表示中心以外的每个组织。其中之一是 @OrgB.example.com。当发送到 UserB@example.com 的邮件到达 OrgA 时,邮件将解析给联系人,并且邮件将重定向到 OrgB。当邮件离开 OrgA 时,“收件人”行将更改为 TargetAddress 属性所指向的地址以便进行路由,但是“答复”地址仍然为 UserB@example.com。

由于下列原因,将收件人从一个组织移动到另一个组织不会导致用户无法答复旧的电子邮件:

  • 邮件保留 legacyExchangeDN 属性,以便收件人可以答复邮件。
  • GAL Synchronization 会为已移动的用户创建辅助的 X.500 代理地址,以便可以基于 legacyExchangeDN 属性将旧邮件正确路由到用户的新邮箱。

例如,UserA 将邮件发送到同一个组织中的 UserB。之后,UserA 移动到了另一个组织。最初由 UserA 发送的邮件仍然指定了 UserA 的 legacyExchangeDN 属性。GAL Synchronization 在原组织中为 UserA 创建联系人,并分配具有旧的 legacyExchangeDN 属性的 X.500 地址。这样,UserB 就可以答复旧邮件,而旧邮件又会正确路由到 UserA 的 TargetAddress 属性所指向的地址。如果邮箱移动多次,则辅助代理地址列表可能会变得很大。

如果您要使用 SMTP 中继服务器将所有邮件从 Internet 路由到正确的林,建议您设置 SMTP 中继服务器。在 SMTP 中继服务器上,创建用于连接到其他所有林的 SMTP 连接器,以便将邮件直接路由到每个林。这种配置使得您可以根据负载平衡需求来添加 SMTP 服务器。您还可以添加 SMTP 连接器,以便通过新的林路由所有出站 Internet 邮件。有关如何设置 SMTP 中继服务器和 SMTP 连接器的详细信息,请参阅“Exchange Server 2003 管理指南”中的“配置 SMTP”(http://go.microsoft.com/fwlink/?linkid=21769)。

在 Exchange 2003 中,如果 Active Directory 对象设置为已启用邮箱或启用邮件,则收件人更新服务将自动维护基于服务器的地址列表(如 GAL)。具体地说,收件人更新服务为所有已启用邮箱或启用邮件的收件人对象(如用户帐户、组和联系人)指派默认的电子邮件地址。收件人策略确定已生成的电子邮件地址的格式。

如果要保留现有的收件人信息,则必须调整默认的收件人策略或新建一个具有更高优先级的策略,该策略应用于所有相关的对象,并指派与先前邮件系统中的地址对应的默认电子邮件地址。使用 Exchange 系统管理器调整默认收件人策略中的设置。(展开“收件人”,再单击“收件人策略”。在详细信息窗格中将列出“默认策略”。)

若要调整默认收件人策略设置,请使用“默认策略属性”中的“电子邮件地址(策略)”选项卡。在此选项卡上,可以更改各种地址生成规则(例如,SMTP 地址的生成规则)。具体地说,可以在电子邮件地址生成规则中使用占位符。例如,如果要将默认地址格式 <用户登录名>@<域名> 更改为 <名>.<姓>@<域名> 地址格式(例如 Frank.Miller@contoso.com),则必须为名和姓使用占位符。本示例中,需执行下列步骤:

  1. 在“电子邮件地址”选项卡的“生成规则”下,选择“SMTP”,然后单击“编辑”。
  2. 在“SMTP 地址属性”的“地址”框中,键入 %g.%s 作为地址定义的开头(例如 %g.%s@contoso.com)。此外,还可以指定使用多少个字符(例如 %g%1s@contoso.com 会生成 FrankM@contoso.com)。表 2 列出了地址生成规则占位符。

    表 2 地址生成规则中的占位符

    占位符 描述

    %d

    显示名

    %g

    %i

    缩写

    %m

    别名

    %s

因为忙/闲数据存储在公用文件夹中,所以必须使用组织间复制工具在林间复制忙/闲数据。

note注意:
若要使用组织间复制工具复制忙/闲数据,服务器必须配置为使用相同的语言。

也可使用组织间复制工具在林间复制全部或部分公用文件夹内容。具体地说,可以使用该工具执行下列操作:

  • 指定单独文件夹或一组文件夹和子文件夹,具有非常明显的灵活性。
  • 从发布者向订阅者(或双向)复制公用文件夹。
  • 配置复制频率。
  • 配置邮件和文件夹复制的日志记录。
  • 配置要用于复制进程的处理器资源量。

可以从 Downloads for Exchange 2003(有关 Exchange 2003 的下载)网站 (http://go.microsoft.com/fwlink/?linkid=25097) 下载组织间复制工具。

若要从一个 Exchange 2000 或 Exchange 2003 林向另一个 Exchange 2000 或 Exchange 2003 林迁移帐户和邮箱,建议首先使用 Active Directory 迁移工具 (ADMT),按照 Exchange 迁移向导中的指导进行操作。

首先,运行 ADMT 以便在 Active Directory 中创建活动的用户帐户。建议选择用于迁移安全标识符 (SID) 的选项,以便 ADMT 可以向新目标帐户的 SID 历史记录属性中添加源帐户的 SID。(在下一步,迁移向导将使用 SID 使邮箱与帐户匹配。)

note注意:
若要迁移 SID,目标 Microsoft Windows® 域必须处于纯模式。

另外,建议运行 ADMT 时不要在源林中禁用用户帐户。Exchange 2003 不支持没有关联的外部帐户的已禁用邮箱帐户。

迁移帐户后,使用迁移向导迁移邮箱。如果在运行 ADMT 后迁移了 SID,迁移向导将使用 SID 使邮箱与新的帐户匹配,然后将该帐户转换为已启用邮箱的用户帐户。如果在第一步中未迁移 SID,迁移向导将无法使邮箱与帐户匹配,而会创建禁用的用户帐户来与邮箱关联。

某些情况下,可能必须在迁移帐户之前迁移邮箱。在这些情况下,迁移向导会创建禁用的用户帐户以保留邮箱,并将新邮箱与外部 Microsoft Windows NT® 帐户关联。随后,当您使用 ADMT 迁移 Windows NT 帐户时,将在 Active Directory 中创建新帐户。因此,Active Directory 中包含与同一个用户有关的两个对象。若要合并这些重复的对象,应使用 Active Directory 帐户清理向导 (Adclean.exe)。Adclean.exe 随 Exchange 一起安装,可通过 Exchange 系统管理器访问它(单击“开始”,依次指向“程序”、“Microsoft Exchange”、“部署”,再单击“Active Directory 帐户清理向导”)。

可以从 Microsoft 下载中心 (http://go.microsoft.com/fwlink/?LinkId=22161)下载 Active Directory 迁移工具 (ADMT) 2.0 版。

有关 ADMT 的详细信息,请参阅下列资源:

  • Windows 2000 帮助
  • Microsoft Windows Server™ 2003 帮助

运行 ADMT 以迁移用户帐户后,可以使用 Exchange 迁移向导迁移邮箱。有关如何使用 Exchange 迁移向导的详细步骤,请参阅如何运行 Exchange Server 迁移向导

此部分的剩余内容将提供以下有关使用 Exchange 迁移向导的信息:

  • 新建用户帐户时要执行的任务
  • 如何选择要迁移的帐户
  • 运行迁移向导所需的权限
  • 迁移向导能够迁移哪些数据,不能迁移哪些数据
  • 如何在默认模式下运行迁移向导
  • 如何在克隆模式下运行迁移向导
  • 如何使用 Exchange 配置文件更新工具 (Exprofre.exe)
  • 如何以批处理方式运行迁移向导
  • 迁移向导日志文件

如果使用迁移向导新建用户帐户,迁移向导将执行下列任务:

  • 如果 Active Directory 中当前没有匹配的用户对象,则创建用户对象。
  • 如果要迁移的邮件系统目录包括 Active Directory 中已有的信息,则该信息将迁移到 Active Directory 中。但是,迁移向导不会覆盖现有的 Active Directory 信息。仅填充空字段或多值字段。
  • 如果用户对象没有邮箱,则创建邮箱。
  • 如果存在匹配的联系人对象,迁移向导将删除该联系人对象。

若要选择要迁移的帐户,请使用迁移向导的“帐户迁移”页。

另外,可以使用“创建和关联 Windows 帐户”页查看任何匹配的帐户。如有必要,在该页上可使用下列选项更改帐户信息:

  • 若要撤消“现有 Windows 帐户”列中显示的匹配帐户,并创建新的用户帐户,请使用“新建帐户”页。
  • 若要编辑新 Windows 帐户的全名和登录 ID,请双击该帐户打开“邮件帐户属性”,再编辑帐户信息。
note注意:
若要撤消硬匹配(即匹配的电子邮件地址),请返回“帐户迁移”页并清除该用户。然后,开始迁移过程前,在迁移邮件系统中编辑用户的电子邮件地址或编辑 Active Directory 用户对象的电子邮件地址,以使这些地址不再匹配。

表 3 列出了运行迁移向导所需的权限

表 3 运行迁移向导所需的源林和目标林权限

所需的权限或角色

目标林管理员

  • 在组织级别应用的 Exchange 管理员(完全控制)角色
  • 域管理员
  • 本地计算机管理员

源林管理员

  • 在组织级别应用的 Exchange 管理员(完全控制)角色

表 4 列出了可从一个 Exchange 2000 或 Exchange 2003 林迁移到另一个林的数据。表 5 列出了不能迁移的数据。

表 4 可以从 Exchange 2000 或 Exchange 2003 迁移的数据

数据 注释

目录信息

迁移向导从源目录复制用户信息,搜索 Active Directory 以查找匹配内容,然后将信息添加到匹配对象中或基于迁移的信息新建对象。

邮箱内容

迁移向导可以迁移“日历”、“联系人”、“已删除邮件”、“草稿”、“收件箱”、“日记”、“便笺”、“已发送邮件”、“任务”和自定义文件夹中的邮件和信息。

服务器端规则

迁移向导迁移用户配置的所有服务器端规则。

“外出”邮件

当运行在克隆模式下时,迁移向导迁移每个邮箱的外出邮件。

脱机文件夹文件

当运行在克隆模式下时,迁移向导保留用户的脱机文件夹文件 (.ost)。

脱机通讯簿

迁移用户的邮箱后,必须更新其脱机地址。有关详细信息,请参阅本主题中的“Exchange 配置文件更新工具”部分。

表 5 不能从 Exchange 2000 或 Exchange 2003 迁移的数据

数据 注释

公用文件夹

迁移向导不迁移公用文件夹内容或公用文件夹层次结构。这包括存储在公用文件夹中的邮件和其他项目(如表单)。

公用文件夹权限

迁移向导不维护被迁移邮箱的公用文件夹属性或权限。迁移之后,管理员必须在目标站点中更新被迁移邮箱的公用文件夹权限。

签名验证

迁移向导不维护签名验证。具有高级安全性的用户可能无法验证迁移之前发送的邮件上的签名。

加密邮件

迁移之后,现有加密密钥将不可用。为避免丢失邮件的密钥后无法访问邮件的风险,用户应当在迁移之前将加密邮件解密。

如果可能,在运行迁移向导之前,应减少要迁移的数据量。可以减少目录信息和邮件数据。通过下列操作可达到此目的:

  • 指导用户删除旧的邮件和日历数据。
  • 指导用户删除旧的联系人数据。
  • 从 Exchange 服务器中删除旧的邮箱。
  • 建议用户不要在迁移过程中登录到邮箱。

另外,在迁移过程中,也可以使用迁移向导减少所迁移的数据量。在“帐户迁移”页上,确保仅选择要迁移的用户帐户。然后在“迁移信息”页上,使用下列选项指定应迁移哪些数据:

note注意:
如果以克隆模式运行迁移向导,则无法按日期范围或特定主题筛选数据。
  • 若要迁移某个日期范围内的邮件,请选中“迁移下列日期范围内的邮件”复选框。然后,若要指定日期范围,请在“日期范围”框中键入开始日期,并在“到”框中键入结束日期。
  • 若要避免迁移具有具体主题(如一组单词或字母)的邮件,请选中“不迁移具有下列特定主题的邮件”复选框。然后在“主题列表文件”旁,单击“浏览”找到包含要筛选的主题的文件。
    note注意:
    “主题列表文件”中的文件必须以 Unicode 文件格式保存。

某些功能只有在迁移向导运行在特定模式下才可用。表 6 列出了迁移向导模式,并说明了各个模式下可用的功能。

表 6 迁移向导默认模式和批模式功能

模式 功能

默认模式

  • 克隆模式
  • 目标地址
  • 迁移向导日志记录

批(命令行)模式

  • 克隆模式
  • 目标地址
  • 迁移向导日志记录
  • 运行多个迁移向导实例的能力
  • 密码模式

默认模式下,迁移向导在邮箱中执行邮件合并。如果存在现有邮箱,将不会复制邮箱数据。复制邮件之前,迁移向导检查邮件的上一次修改日期;如果目标副本比源副本新,该向导将不会复制邮件。这在邮箱副本逐渐增加或者迁移失败的情况下很有用。例如,如果上一次迁移由于失败而未能完成,则迁移向导现在将跳过已成功复制的现有邮件。还可以使用迁移向导导入在上一次迁移过程中或迁移之后传递到源邮箱的邮件。

在默认模式下使用迁移向导时,应考虑与跨林移动邮箱有关的下列局限性:

  • 如果在默认模式下运行迁移向导,用户将在您迁移邮箱后失去其 .ost 文件。因此,用户必须再次同步其 .ost 文件。
  • 如果之前使用其他工具复制了目标邮件,则除非这些工具保留 PR_SEARCH_KEY,否则迁移向导将不会运行。
  • 迁移向导日志文件不会针对已跳过的邮件和已替换的邮件产生相应的计数器。
  • 跨林移动过程中不保留委派权限。
  • 移动过程中不迁移已发布的证书。此外,移动后您将无法恢复密钥管理服务证书。只有包含域名的证书能够恢复。
  • 跨林移动过程中不保留客户端规则。

在克隆模式下运行迁移向导可以将用户的数据、收件箱规则以及用户 ID 保留在其邮箱中。

此外,如果使用了缓存 Exchange 模式,也应在克隆模式下使用迁移向导来迁移用户邮箱(以保留用户的 .ost 文件),然后使用 Exchange 配置文件更新工具 (Exprofre.exe) 来更新用户的 Outlook 配置文件。有关 Exprofre.exe 的详细信息,请参阅本主题后面的“Exchange 配置文件更新工具”。

下面列举了跨林移动邮箱的局限性。请在规划时考虑这些因素,并告诉用户移动前后必须执行的操作:

  • 如果使用了缓存 Exchange 模式,则建议您在迁移邮箱后使用 Exchange 配置文件更新工具,以保留用户的 .ost 文件。
  • 要使迁移向导运行在克隆模式下,用户的目标邮箱不能存在于目标组织中。如果用户目标邮箱已存在,并且用户已登录邮箱,则迁移向导将切换到默认模式。
  • 迁移向导不支持按日期和主题来筛选邮件。
  • 迁移向导日志文件不会针对已跳过的邮件和已替换的邮件产生相应的计数器。
  • 跨林移动过程中不保留委派权限。
  • 移动过程中不迁移已发布的证书。此外,移动后您将无法恢复密钥管理服务证书。只有包含域名的证书能够恢复。
  • 跨林移动过程中不保留客户端规则。

Outlook 2003 的一个新功能是“缓存 Exchange 模式”。在缓存 Exchange 模式下,Outlook 2003 使用脱机文件夹存储文件 (.ost),该文件通常存储在用户的工作站上。如果在默认模式下运行迁移向导,则用户将失去其 .ost 文件。因此,用户必须再次同步其 .ost 文件。根据网络速度、硬件配置、用户数和其他因素,重新同步 .ost 文件可能很耗费时间并使性能降低。通过在克隆模式下运行迁移向导可以保留用户的 .ost 文件。然后,可以使用 Exchange 配置文件更新工具 (Exprofre.exe) 来更新用户的 Outlook 配置文件。

note注意:
若要在克隆模式下运行迁移向导,请在命令提示符下键入 D:\Program Files\Exchsrvr\bin\mailmig.exe /m(其中 D:\Program Files 是安装 Exchange 2003 的驱动器)。有关如何运行迁移向导的详细信息,请参阅本主题前面的“运行 Exchange 迁移向导”。

有关缓存 Exchange 模式的详细信息,请参阅配置 Exchange Server 2003 以接受客户端访问

在迁移向导中使用目标地址

在迁移过程中,如果邮箱被传入邮件实例化或初始化,则克隆模式将会取消。具体地说,是目标地址阻止迁移中的邮箱实例化或初始化。迁移向导分两个阶段移动邮箱:第一个阶段,该向导创建用户和邮箱,然后初始化邮箱并克隆邮箱数据。如果邮箱在迁移向导对它进行初始化之前收到邮件,则邮箱初始化,克隆模式被取消,并且迁移向导切换为默认模式。

要防止出现这种情况,可以使用目标地址命令在批(命令行)模式下运行迁移向导。目标地址命令获取源邮箱的地址,并用临时代理地址对它进行标记。这会导致任何传入邮件都被传递到源邮箱。然后可以在默认模式下再次运行迁移向导,以恢复源邮箱中的邮件数据。迁移完成后,迁移向导清除此临时代理地址。

note注意:
只有在批模式下运行迁移向导时,才能在迁移向导中使用目标地址匹配功能。有关在命令行和批文件迁移中使用目标地址的详细信息,请参阅Exchange Server 2003 的批处理文件和命令行迁移

如果为再次运行迁移向导而在迁移向导完成前将它取消,目录仍将包含部分或全部用户对象和邮箱。因此,由于部分或全部用户对象和邮箱已存在,因此当您下次启动迁移向导时,它将以默认模式(而不是克隆模式)运行。为避免出现这种情况,在取消迁移向导后,应首先从目录中手动删除用户对象,从邮箱存储中手动删除邮箱,然后再重新运行该向导。

Exchange 配置文件更新工具 (Exprofre.exe) 是独立的可执行文件,它自动更新用户的 Outlook 配置文件,从而使用户能够在邮箱跨 Exchange 组织或管理组移动后登录到其重新定位的邮箱。若要更新默认的 Outlook 配置文件来反映新的信息,必须在每个客户端计算机上运行 Exprofre.exe。建议使用登录脚本来运行此工具。

从“Downloads for Exchange Server 2003”(Exchange Server 2003 的下载)网站 (http://go.microsoft.com/fwlink/?linkid=25097)下载 Exchange 配置文件更新工具。

Exchange 配置文件更新工具可以与下列操作系统和应用程序一起使用:

  • Microsoft Windows® 2000(所有版本)
  • Microsoft Windows XP(所有版本)
  • Windows Server 2003(所有版本)
  • Outlook 2003 以及所有早期版本的 Outlook
note注意:
如果客户端计算机上正在运行 Outlook 或另一个 MAPI 应用程序,则 Exprofre.exe 不会运行。并且会出现一条警告,指出必须关闭 Outlook 才能运行该工具。

Exprofre.exe 使用 Active Directory 以及当前的默认 Outlook 配置文件中的信息来执行下列步骤:

  • 备份默认配置文件
  • 查找指示邮箱已移动的 X.500 电子邮件地址
  • 用新的用户和服务器属性更新默认配置文件
  • 使用新的 RPC over HTTP 前端服务器名重新配置默认配置文件(可选)
  • 清除用户的昵称文件(可选)
  • 如果 Outlook 的版本比 Outlook 2003 早,将删除或重命名脱机文件夹存储 (.ost) 文件
  • 删除或重命名收藏夹(.fav 或 .xml)文件
note注意:
Exprofre.exe 仅更新默认配置文件。Exprofre.exe 不会创建新的配置文件,它只会修改现有的配置文件。

如果该工具未成功完成,Exprofre.exe 将在修改默认配置文件之前创建一个备份配置文件。备份配置文件名由旧的配置文件名与添加到末尾的“backup”组成。例如,如果默认配置文件名为“Ted Bremer”,则备份配置文件名将为“Ted Bremer backup”。如果需要还原备份配置文件,必须确保已更改的任何文件扩展名都重新更改为其原来的扩展名,并且(如有必要)文件名与备份配置文件名匹配。例如,当该工具创建备份配置文件时,它将 Ted Bremer 的收藏夹文件重命名为“Ted Bremer.exprofre”。若要还原 Ted Bremer 的备份配置文件,必须将该收藏夹文件的扩展名重新更改为 .fav,而将文件名更改为“Ted Bremer backup.fav”以便与备份配置文件名匹配。

将邮箱从一个 Exchange 组织移动到另一个 Exchange 组织,或者从一个管理组移动到另一个管理组之后,应运行 Exprofre.exe。可以使用登录脚本或组策略来为 Outlook 用户运行该工具。

note注意:
建议使用登录脚本运行 Exprofre.exe,以便在邮箱移动之后用户首次登录时更新用户的 Outlook 配置文件。有关命令示例,请参阅本主题后面的“跨 Exchange 组织移动邮箱的命令示例”和“跨管理组移动邮箱的命令示例”。

表 7 描述了无论从命令提示符还是从脚本内(例如从下面的脚本示例)运行 exprofre.exe 时均可使用的选项:

exprofre.exe [/?] [/targetgc=<global catalog server>] [/logfile=<path\filename>] [/v] [/f] [/a] [/r] [/o] [/p=<RPC over HTTP Proxy server>] [/n] [/s] [/q]

表 7 Exprofre.exe 命令选项

命令选项 描述

/?

显示帮助。

/targetgc

指定目标全局编录服务器(必需)。

/logfile

指定日志文件的路径和文件名。默认为 tmp 目录中的 exprofre.log,该文件保存在客户端计算机上。也可以通过使用 /logfile=<path\filename> 格式将日志文件重定向到服务器共享目录。

/v

打开详细输出。

/f

保留收藏夹文件(.fav 或 .xml)。如果不指定此选项,该工具会将收藏夹文件的扩展名重命名为 .exprofre。

/a

保留脱机通讯簿 (.oab) 文件。如果不指定此选项,该工具将删除 .oab 文件,并重置 Outlook 以检查服务器上是否有更新的 .oab 文件组。

/r

指定只读模式。

/o

删除(而不是重命名)脱机文件夹存储文件 (.ost)。如果不指定此选项,该工具会将 .ost 文件的扩展名重命名为 .exprofre。(对于 Outlook 2003 或更高版本,此选项不是必需的。Outlook 2003 或更高版本的 .ost 文件始终不变。)

/p

如果正在使用 Outlook 2003 并打开了 RPC/HTTP,则可以用此选项指定前端代理服务器。

/n

清除 Outlook 昵称文件(.nk2 或 .nick)。如果不指定此选项,该工具将保留昵称文件。

/s

基于服务器名的变化(而不是 legacyExchangeDN 属性的变化)更新配置文件。

跨 Exchange 组织移动邮箱的命令示例

如果要跨 Exchange 组织移动邮箱(跨林移动),建议您仅使用 /v/n 命令选项。其他所有选项都应被忽略,以使该工具使用其默认设置。由于用户要移动到新的林,因此存储在用户工作站上的大部分 Outlook 信息都将过时,并且必须用有关新林的信息来更新这些信息。默认情况下,该工具将删除大部分过时信息。

下面是跨 Exchange 组织移动邮箱时的命令示例:

Exprofre.exe /targetgc=<target global catalog server> /v /n /f

完成 Exchange 迁移后,应检查位于 Exchange 计算机上的安装日志(有关详细信息,请参阅 Exchange Server 2003 的批处理文件和命令行迁移)。迁移向导日志包含有关迁移的信息,并提供有关 Exchange 迁移的状态。

在迁移失败的情况下,可以使用该日志来确定哪些邮箱移动成功,哪些邮箱移动失败。另外,在迁移后,还可以查看已成功迁移、已部分迁移或在 Active Directory 中已更新但内容未移动的帐户的状态。

note注意:
执行迁移后,可以借助迁移向导日志所提供的信息仅对迁移失败的邮箱采取相应操作。

Exchange 迁移过程中会记录下列信息:

  • 将移动的帐户和邮箱列表。
  • 每次在 Active Directory 中更新帐户时记录的事件。
  • 开始迁移帐户时记录的事件。
  • 帐户迁移成功或失败时记录的事件。
note注意:
对于从 Exchange 5.5 或 Exchange 2000 到 Exchange 2003、且基于 MAPI 的迁移,只有 SP1 版的迁移向导才具备日志记录功能。

Exchange 迁移过程中不记录下列信息:

  • 由于迁移过程终止(无论是手动终止,还是由于出现致命错误)而未迁移邮箱
  • 从非 Exchange 源迁移

以下是迁移向导日志文件示例。

******************************************************

Microsoft Exchange Migration Wizard, v(version number)

Start Logging: [Time]

******************************************************

[Time] Mailboxes to be migrated from server <name server>

Ted Bremer

Kim Akers

Birgit Seidl

Pilar Ackerman

.

.

.

[Linefeed]

[Time] Updating Active Directory

[Time] Updated mailbox information for Ted Bremer in Active Directory on {DCNAME}

[Time] Failed to update mailbox information for Kim Akers in Active Directory on {DCNAME}. Mailbox will not be migrated.

[Time] Found existing mailbox information for Birgit Seidl in Active Directory on {DCNAME} for Birgit Seidl, no update needed

.

.

.

[Linefeed]

[Time] Migrating Mailboxes

[Time] Started migrating mailbox Ted Bremer to server <name server>

[Time] Completed migrating mailbox for Ted Bremer

[Time] Started migrating mailbox Birgit Seidl to server <name server>

[Time] Completed migrating mailbox for Birgit Seidl

[Time] Started migrating mailbox for Pilar Ackerman to server <name server>

[Time] Failed to migrate mailbox for Pilar Ackerman

.

.

.

[linefeed]

[Time] Exchange Migration Wizard completed

[linefeed]

note注意:
日志文件上的时间戳是当前的日期/时间格式,它以运行迁移向导的计算机的当前区域设置为根据。

使用控制文件和开关组合,可以配置迁移向导 (Mailmig.exe) 使其以批处理方式运行。有关特定迁移向导命令行参考、控制文件参数以及控制文件示例的信息,请参阅 Exchange Server 2003 的批处理文件和命令行迁移

 
显示: