目前Exchange Server 2010已釋出的Service Pack 1是一項非常重要的更新,除了整合用戶端Outlook與OWA以及行動通訊上的改善設計外,也讓系統管理人員的負擔更加簡化。對此,本文將深入介紹Exchange Server 2010升級為Service Pack 1後的7個進階管理技巧。
訊息傳遞安全是現今企業在資安落實上的重要議題,它涵蓋了對於訊息的監視、封存、生命週期以及追蹤等等。然而,回顧過去Exchange Server新版本或重大更新的推出,都會發現它在這方面創新設計上的突破,而這些突破性的設計許多都是來自於使用者的回饋。
如果曾經使用過Exchange Server 2010,甚至於早已更新至Service Pack 1以上的版本,但卻不知道這項更新究竟可以為企業在訊息管理政策的落實上帶來哪些實質幫助,那麼接下來介紹的幾項進階管理技巧,便是身為頂尖IT專業人員所必須俱備。
TOP1:如何在ECP網站管理日誌規則
我想要在Exchange Server 2010伺服端上針對特定部門往來的郵件,全部自動封存到指定的信箱內,請問該怎麼進行呢?
在Exchange Server 2010當中有一項「日誌」功能非常適合用來解決這項需求,因為它還能夠自動為已被IRM加密的郵件進行解密然後再封存,如此一來,管理人員便可以很方便地查閱每一封郵件的內容與附件檔案。
關於「日誌」功能的使用,可以在「Exchange管理主控台」中設定,如果Exchange Server 2010已經更新到Service Pack 1,也可以到「Exchange控制台」網站內設定。這裡以後者的操作為例進行講解。
首先,以瀏覽器連線登入到「Exchange控制台」網站,並選取「管理我的組織」項目。然後,如圖1所示點選「郵件控制」頁面內的「日誌」選項,就可以看到所有曾經新增過的日誌設定項目了。
若想要修改現有的日誌設定,則在選取之後點選「詳細資料」。在此,以開啟一個現有的日誌設定來做說明。
|
▲圖1 日誌管理。 |
如圖2所示,此處必須設定「如果訊息傳送至或來自」、「日誌下列郵件」或「傳送日誌報告至」。第一個選項是用來決定所要進行日誌封存的對象,它可以是某位使用者或是某個部門的通訊群組等等。
|
▲圖2 編輯日誌規則。 |
至於如圖3所示的「日誌下列郵件」下拉式選單,則可選擇針對【所有郵件】、【僅內部郵件】、【僅外部郵件】等設定來進行範圍內的日誌封存動作。
|
▲圖3 日誌範圍設定。 |
最後,還必須設定用以儲存日誌封存郵件的收件者信箱,以便於IT管理者或法規人員可以隨時到此信箱內檢視日誌郵件內容。
TOP2:如何在ECP網站上管理傳輸規則
以往公司對於使用者寄送到外部的郵件,都會要求他們在簽名檔之後貼上公司要求的免責聲明文字,為了方便管理,請問在Exchange Server 2010內是否有什麼方法可以集中設定免責聲明文字的內容?
關於集中設定郵件免責聲明文字的方法,在Exchange Server 2010 RTM版本中,可以透過切換至「Exchange 管理主控台」介面內的「組織組態」→「集線傳輸」節點來新增「傳輸規則」設定。
而Exchange Server 2010在更新至Service Pack 1之後,則可以選擇透過「Exchange控制台」網站來進行傳輸規則的管理。
作法很簡單,先以瀏覽器連線登入「Exchange控制台」網站,然後選取「管理我的組織」項目,再點選至「郵件控制」頁面中。接著,便可以在如圖4所示的「規則」頁面內,看到目前所有曾經建立過的傳輸規則項目,然後點選「新增」連結繼續。
|
▲圖4 傳輸規則管理。 |
隨後,在「新增規則」頁面內至少必須完成「如果?」與「執行下列動作?」設定,而「除非?」設定則為選用。
如圖5所示,在這個範例中筆者先在「如果」選單內設定【收件者是在以下的範圍中】,並在「收件者」選單內選擇【在組織外】,然後按下〔確定〕。
|
▲圖5 選取範圍。 |
最後,如圖6所示在「執行下列動作」下拉選單內選擇【將免責聲明附加到此郵件】選項,並且輸入「指定免責聲明文字」。最後,按下〔儲存〕按鈕即完成設定。完成以上設定之後,立即寄一封郵件到外部的E-mail信箱測試,以確認設定結果。
|
▲圖6 免責聲明文字。 |
TOP3:如何稽核使用者信箱的一舉一動
我們公司非常重視資訊安全的管理,因此對於郵件訊息的控管,除了做到保留與封存原則的功能外,也希望可以進一步對使用者信箱上所執行過的相關操作進行稽核,請問這部分的需求在Exchange Server 2010可以做得到嗎?該如何設定呢?
在Exchange Server 2010的Service Pack 1更新中,新增了「信箱稽核記錄(Mailbox Audit Logging)」功能,它可以有效追蹤使用者從登入信箱到進行各種操作的記錄,而這些記錄都會在系統隱藏的「Recoverable Items/Audit」子資料夾內保留90天(預設值),如果想要改變這項預設期限,透過AuditLogAgeLimit命令針對指定的信箱進行修改即可。
但須注意的是,倘若使用者的信箱已經啟用訴訟暫止功能,則信箱稽核記錄將不會自動刪除,直到訴訟暫止功能停用為止。
首先說明如何啟用指定信箱的稽核功能。在這個範例中,筆者以下列命令參數針對FoxMulder這位使用者設定啟用稽核功能。
表1 信箱稽核記錄動作一覽表
緊接著,透過下列命令針對相同的使用者查看啟用信箱稽核之後,預設稽核了哪些動作項目。如圖7所示,將可以看到稽核的對象包含管理員(Admin)、委派者(Delegate)及擁有者(Owner),並且在預設的狀態下已針對管理員與委派者設定了所要稽核的動作項目(可參考左下表1)。
|
▲圖7 查看信箱稽核設定。 |
接下來介紹其他三個進階的信箱稽核啟用範例,讀者就會更清楚。以下命令是針對DanaScully使用者啟用信箱稽核功能,並且唯一針對委派者設定稽核SendAs與SendOnBehalf動作。
下列命令則是針對CancerMan使用者啟用信箱稽核功能,並且唯一針對管理員設定訊息項目的開啟與預覽以及資料夾的存取進行稽核記錄。
而以下命令為針對信箱擁有者JoviKu本身,設定當系統從「可復原的項目」隱藏資料夾中永久刪除郵件項目時留下稽核記錄。
啟用使用者信箱稽核功能後,當被稽核的對象(例如委派者)在這些信箱中進行某些設定為稽核的動作時,這些稽核記錄都會在隱藏的資料夾之中保留90天。
至於如何進行信箱稽核記錄的查詢與內容的檢視呢?先以系統管理員權限連線登入到「Exchange控制台」網站,然後在「角色和稽核」頁面中切換至〔稽核〕活頁標籤。
在此有關於信箱稽核功能的項目為「執行非擁有者信箱稽核報告」、「匯出信箱稽核記錄」以及「匯出系統管理員稽核紀錄」。這裡先點選「執行非擁有者信箱稽核報告」。
如圖8所示在「搜尋由非擁有者存取的信箱」畫面中,先決定搜尋的開始與結束日期,然後點選〔選取信箱〕針對特定的信箱稽核進行搜尋,或是保留空白不輸入也可以。
|
▲圖8 搜尋非擁有者的稽核記錄。 |
而在「搜尋存取依據」區域內,可設定「所有非擁有者」、「外部使用者」、「系統管理員和委派的使用者」以及「系統管理員」四種類型。
執行「搜尋」功能之後,將可以在搜尋結果中看到符合在這段期間內的信箱清單,選取任一信箱後,還可以在右邊窗格內查看稽核的內容,並且可以列印出來。
緊接著來到「匯出信箱稽核記錄」畫面中,同樣必須設定開始與結束日期,並且指定所要搜尋的信箱和依據項目,最後則設定接收傳送稽核報告的使用者。最後,點選「匯出」連結繼續。
接下來,開啟接收稽核報告的使用者信箱,此時便會看到信箱稽核記錄搜尋訊息,內容中還會有一個附加檔案,請加以選取。
選取附加檔案之後,在預設的情況下,將會詢問是否要預覽檔案。按下〔預覽檔案〕按鈕後,將會看到整個信箱稽核報告的完整原始內容。如此看來,還是在「Exchange控制台」網站上進行查看比較理想。
而在「匯出系統管理員稽核紀錄」部分,如圖9所示,同樣必須設定開始與結束日期,不過由於僅針對系統管理員的存取進行稽核,因此只要設定接收稽核報告的使用者即可。設定好了之後,點選「匯出」連結。
|
▲圖9 匯出系統管理員稽核記錄。 |
最後,說明如何使用「Exchange命令主控台」進行信箱稽核的搜尋作業。首先,使用以下命令來進行如圖10所示的稽核記錄搜尋,這個範例中主要是針對FoxMulder這位使用者信箱的稽核記錄進行搜尋,而搜尋的對象類型為系統管理員和委派者,並且只針對指定日期範圍內的20筆記錄。
|
▲圖10 執行搜尋信箱稽核。 |
至於以下命令範例則是針對JoviKu這位使用者信箱的稽核記錄進行搜尋,而搜尋的對象類型為他自己本身,並且只針對指定日期範圍內以及已經從系統「可復原的項目」隱藏資料夾內永久刪除郵件項目的行為。
如果想要讓稽核信箱記錄搜尋的完整記錄郵寄給指定的使用者進行查看,則須透過以下的New-MailboxAuditLogSearch命令來完成。
如圖11所示,在這個範例中係針對FBI組織容器內的兩個信箱進行稽核記錄搜尋,而搜尋的對象類型為系統管理員和委派者,並且只針對指定日期範圍內的記錄郵寄給joviku@msft.com。
|
▲圖11 建立信箱稽核搜尋。 |
TOP4:如何匯入與匯出使用者信箱資料
為何我在Exchange Server 2010升級Service Pack 1之後,無法繼續在Exchange命令主控台中使用Export-Mailbox與Import-Mailbox這兩個命令?此外,該如何設定才能夠讓使用者的Outlook封存檔案(*PST)匯入到他們線上的封存信箱呢?
將Exchange Server 2010升級至Service Pack 1後,便會有兩個新的命令來取代舊有的這個兩個命令,這兩個新命令分別是New-MailboxImportRequest與New-MailboxExportRequest。
使用這兩個命令時,系統管理員不需要預先在管理主控台的電腦上安裝Outlook,並且能夠直接將使用者舊有的PST封存檔案內容匯入到他們各自新建的線上封存信箱內。
使用這項功能時,必須先確定「服務」管理員中的「Microsoft Exchange Mailbox Replication」服務已經在「已啟動」的狀態下。
如果後續準備用來存放匯出信箱檔案的資料夾是在網域內共用,那麼就必須如圖12所示確認已經設定好讓系統內建的「Exchange Trusted Subsystem」安全性群組擁有讀寫的存取權限。
|
▲圖12 權限配置。 |
然後,在開始進行有關信箱內容的匯入與匯出操作之前,由於必須先讓指定的管理員擁有Mailbox Import Export Role Group角色的權限,因此建議先建立一個專屬的角色群組,然後再將這些擁有此管理權限的使用者加入。
透過以下命令語法便可以完成建立新角色群組,並且指定角色的成員與管理者,而當指定的使用者有好多位的時候,只要以逗號區隔開來即可:
圖13中的範例,是筆者透過Get-MenagementRole命令來查看內建的這個Mailbox Import Export管理角色是否存在。
|
▲圖13 查看角色權限。 |
接著,再透過Get-RoleGroup命令查看目前新增的Mailbox Import Export Role Group已配置哪些管理角色的權限。如果想要查看詳細的欄位資訊,可以搭配管線與FL命令來執行。
接下來說明如何將指定的PST檔案信箱匯入至指定的信箱內,如圖14所示,執行以下命令與參數,將預先準備好的Archive2007.pst檔案指定匯入到JoviKu這位使用者的線上封存信箱內。
|
▲圖14 匯入PST檔案。 |
緊接著,便可透過Get-MailboxImportRequest命令查看匯入作業的執行狀態。從範例中可以看出,初步的狀態是正在處理進行中(InProgress),等過了幾秒或幾分鐘後再執行,便會發現已經完成匯入作業,所以呈現的狀態便是Completed。
然後,便可以開啟「顧大俠」這位使用者的信箱,查看是否真的已經成功匯入PST檔案中的資料。如圖15所示,展開其線上封存信箱時,便會發現來自這個PST檔案匯入的所有資料,並且不會影響到現有的郵件項目或資料夾。關於信箱匯入與匯出命令的使用方式可參考表2的說明。
|
▲圖15 查看匯入的封存郵件。 |
表2 信箱匯入與匯出命令說明
接下來要執行的是信箱的匯出作業。在如圖16所示的範例中,則是執行如下的命令參數,將JoviKu這位使用者的主要信箱匯出到指定網路共用路徑下的新PST檔案以進行存放。
|
▲圖16 信箱匯出作業。 |
緊接著,若想要匯出JoviKu這位使用者的線上封存信箱至PST檔案,只要執行以下的命令與參數即可,其中最關鍵的地方便是加入-IsArchive參數設定。
若想知道目前匯出作業的執行狀態,透過Get-MailboxExportRequest命令即可查看。
對於所要匯出的信箱內容,如果只是想要針對特定的郵件項目進行匯出,那麼可以參考以下範例。在這個範例中,進一步搭配了-ContentFilter參數來篩選所要的郵件項目內容,如此一來,只有含「開封府」與「test」關鍵字的郵件項目會被匯出。
最後,如果只要匯出指定的系統資料夾的內容,例如預設的收件夾,那麼可以執行以下的命令參數,其中關鍵的參數值表示法是"#Inbox#",無論使用者信箱的語系為何,皆必須採用同樣的表示方法。
若是使用者所自行建立的資料夾,該如何匯出呢?方法很簡單,只要將表示法修改一下即可,例如有一個名為「老闆的信件」的郵件資料夾要匯出,那麼只要在-IncludeFolders參數之後加上\#老闆的信件\#即可。
圖17所示便是在前面匯出作業中所完成的信箱匯出到指定PST檔案,這些檔案也可作為備份使用,後續可以隨時將其匯入到任何的使用者信箱內。
|
▲圖17 信箱匯出檔案。 |
TOP5:追蹤資料庫和記錄檔的可用磁碟空間
請問當信箱資料庫不斷成長,該如何有效追蹤資料檔與交易記錄檔的成長情形,以避免發生因為這些檔案不斷成長而耗盡整個硬碟的可用空間?
目前只要將Exchange Server 2010 Service Pack 1更新之後,就可以在系統預設的手稿程式「C:\Program Files\Microsoft\Exchange Server\V14\Scripts」資料夾路徑內,看到新增了一個名為Troubleshoot-DatabaseSpace.ps1的手稿程式,此程式讓IT人員可以搭配Windows工作排程器設定工具或System Center Operations Manager 2007 R2,來追蹤資料庫和記錄檔的可用磁碟空間。
舉例來說,可以透過每15分鐘執行一次以下的命令與參數,讓診斷記錄將作業記錄檔寫入事件檢視器(「應用程式與服務記錄檔」→「Microsoft Exchange 疑難排解員」→「作業」),並且讓系統自動判斷,如果在3小時內硬碟可用空間(記錄檔磁碟與資料庫磁碟)可能低於20%,就自動隔離對磁碟空間使用率占用最大的使用者(隔離6小時),在此期間內,他們將無法存取電子郵件,以避免整個信箱資料庫運作停擺。
必須注意的是,若遭到隔離的使用者超過10個,即表示系統出現問題,需要立即緊急處裡。如圖18所示,在這些事件報告當中,將可知道每一個資料庫資料檔與交易記錄檔的磁碟剩餘空間,以及是否可能在指定的時間範圍內發生存取空間上的問題。
|
▲圖18 查看追蹤記錄。 |
TOP6:如何偵測與修復信箱功能
請問當Exchange Server 2010中的某些信箱在使用上有問題,例如無法正常使用搜尋資料夾功能時,該如何偵測與修復可能的信箱問題呢?
只要Exchange Server 2010已經更新到Service Pack 1的版本,便可以使用新加入的New-MailboxRepairRequest命令來偵測與修復損毀的信箱問題(圖19)。命令的執行方式可以針對特定信箱或信箱資料庫執行此命令。
|
▲圖19 信箱問題偵測與修復。 |
但必須注意的是,此工作執行時將會中斷對正在修復中的信箱連線存取階段。不過,如果是針對信箱資料庫執行此命令,則只會中斷目前正在修復中的信箱,而資料庫內的所有其他信箱仍可正常運作。
New-MailboxRepairRequest Cmdlet命令會偵測及修復下列各類型的信箱損毀:
·搜尋資料夾損毀
(對CorruptionType參數使用SearchFolder參數值)
·資料夾彙總計數不反映正確的值
(對CorruptionType參數使用AggregateCounts參數值)
·資料夾的檢視不傳回正確的內容
(對CorruptionType參數使用FolderView參數值)
·提供的資料夾錯誤地指向未提供的父資料夾
(對CorruptionType參數使用ProvisionedFolder參數值)
TOP7:如何發佈SMTP、POP3及IMAP的設定資訊
我們公司有少部分的用戶仍有使用POP3與IMAP的需求,因此他們通常會透過自身所熟悉的Outlook Express來進行收發郵件。請問該如何在Exchange Server 2010 SP1更新之後的OWA網站上發佈SMTP、POP3以及IMAP的連線設定,以利於他們後續可以根據這些資訊來自行完成設定?
若想在Exchange Server 2010 SP1更新後的OWA網站上發佈SMTP、POP3以及IMAP的連線設定功能,必須在伺服端完成一些必要的設定才能夠顯示。
如圖20所示,首先在Exchange命令主控台中下達「Get-PopSettings | FL」命令參數來查看ExternalConnectionSettings欄位是否已經完成設定。
|
▲圖20 查看POP3設定。 |
如果在上述的查詢中發現尚未設定,那麼必須如圖21所示以Set-PopSettings與Set-IMAPSettings命令分別搭配ExternalConnectionSettings參數,設定所要發佈的連線位址與通訊埠。
|
▲圖21 設定POP3與IMAP。 |
至於在SMTP連線資訊的發佈部分,則可以透過Set-ReceiveConnector命令針對現有的接收連接器設定AdvertiseClientSettings參數值為$true。
完成以上所有設定之後,使用者便可以開啟瀏覽器連線至OWA網站,然後在「選項」的「帳戶」頁面中,如圖22所示點選「POP、IMAP及SMTP存取的設定」連結。開啟之後,便可以看到所發佈的POP、IMAP及SMTP設定資訊。
|
▲圖22 連線至OWA網站。 |