我的exchange2000部署经历

我的exchange2000部署经历
很早就想记录下自己的经历与大家共享，无奈工作太忙，最近又搬家。终于抽空写出来了。如果大家有什么问题，或者需要下文附带图片的.DOC文档，可以与我联系，因为我这里发图片很奇怪，上传一幅图片那个上传条就不见了！
文中有我的email地址。嘻嘻！
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
背景：跳槽到一家公司（就是现在这家），要求马上实现无纸办公，包括：部署邮件系统，带领几个部下整理所有办公用的机器，使大家统一工作环境。培训员工使用outlook客户端。
故事开始了……
hawkkong诞生在一个破旧的小村庄里面，身边放着一台“服务器”，一张exchange2000光碟，一张windows2000 advanced server光碟，一张ISA光碟，他望着这些东东发了一会儿呆，咬咬牙，决定因陋就简，先做了再说。（sorry，最近玩RPG游戏比较多。。。）
固然，机器稳定性是非常重要的，这在hawkkong后来的经历中得到了痛苦的印证。EXCHANGE“服务器”的配置如下：
CPU：CIII 1 G
硬盘：西部数据 40 G
内存：现代 512 M
磁带机：HP DATA8i
其他：略。。。。。。

原有网络环境：以前的网络管理人员建立了一个域，叫做OLD_DOMAIN，有几百个用户（与公司实际情况有关），并且没有做任何规划，全部丢在“树根”下面，连一个自己的OU都没有建过。。。在这个域中有两台DC，其中一台通过ADSL拨号连接INTERNET，因此没有固定IP，使用WINGATE做代理。
考虑到这个域很混乱，而且我还不太清楚有什么其他职能（后来发现没什么其他职能。。。昏倒），于是重新建立了一个域叫做NEW_DOMAIN（实际上是新建立了一个森林），并且计划把办公人员都加入到这个新域中。
计划部署邮件系统的步骤：
1、 在连接INTERNET的机器（叫做ISA_SERVER，下同）上部署ISA，用于控制人员访问INTERNET，发布邮件服务器。
2、 在EXCHANGE“服务器”（叫做EX_SERVER，下同）上安装系统、exchange2000。
3、 由于ISA_SERVER和EX_SERVER不在同一个森林，而办公人员的机器都和EX_SERVER在同一个森林，为了在ISA_SERVER上作用户身份验证，就需要在这2个森林之间建立信任关系。

信任关系篇
先将两台DC做成DNS服务器，然后，让他们成为各自的辅助DNS服务器，目的是为了让他们能够互相找到。（不知道有没有更好的办法。只好先这样做了。）
在AD DOMAIN AND TRUST里面建立单向不可传递的不同森林中的域信任关系，然后验证，成功。

EXCHANGE篇
1、 安装EXCHANGE2000。没什么好说的，新建立一个组织，下一步下一步。因为是在DC上装，很顺利装完。然后在AD USERS AND COMPUTERS里面添加新的用户和组，会发现多了很多属性条目，并且在创建的时候会询问是否为该用户（或组）建立邮箱。这个时候，内部局域网的用户都已经可以通过OUTLOOK互相发送接收信件了。当然，这并不能让我们满足。

2、 设置具体参数。首先是在RECIPIENT POLICIES里面的DEFAULT POLICY中更改（或者添加一条）SMTP邮件地址。

因为在默认的策略中，SMTP的邮件地址是你建立的AD域的名字。如我这个域就是：@NEW_DOMAIN，我将NEW_DOMAIN改成了公司申请的域名：@COMPANY。SMTP的地址简单的说就是意味着别人把信发到这里你才能收到。（当然，这还只是你要收到外部信件的必须做的一步）

建立一个CONNECTOR用来连接。

把DEFAULT SMTP VIRTUAL SERVER添加到LOCAL BRIDGEHEADS列表。

添加一个名字空间，“*”代表：不管发往哪里的信件都会通过这个CONNECTOR。

由于要解决通过防火墙发布的问题才能实现收到INTERNET发来的邮件，所以先考虑把邮件发出去的问题。

3、 如何把邮件发到外面去：
A、 原理就是：每个INTERNET上的邮件服务器都有自己的地址，而直接以域名结尾的邮件地址（比如：@163.COM）还必须有MX记录指向承载这些邮箱的邮件服务器。因此，只要你的邮件服务器能够最终解析到INTERNET上的邮件服务器的地址就可以把信发往那个地址去。这也就是为什么你用USERNAME@IP_ADDRESS的方式也可以发送信件的原因。大部分时候我们是在@后面写域名，这就要求你的邮件服务器可以解析INTERNET上的域名。
B、 具体做法：首先把EX_SERVER的DNS服务器启用转发，指向ISA_SERVER，而ISA_SERVER的DNS服务器是转发到电信的DNS服务器的。然后，在EXCHANGE SYSTEM MANAGERSERVERSEX_SERVER（你的服务器名）PROTOCOLSSMTPDEFAULT SMTP VIRTUAL SERVER 属性DELIVERYADVANCEDCONFIGUREADD EXTERNAL DNS在这里填入外部DNS服务器的IP，比如你的ISP提供给你的DNS服务器。

C、 ISA_SERVER要做的：测试阶段，我在PROTOCOL RULES里面建立了一条允许EX_SERVER通过所有的协议的规则，在IP PACKET FILTERS里面建立了一条允许所有TCP包外出的规则。
D、 验证设置：在EX_SERVER中运行NSLOOKUP，结果如下

此时可以发现，通过EX_SERVER已经能正常的解析到163.COM的MX记录了。
好啦！打开OUTLOOK，新建一封邮件叫做：CONGRATULATIONS!发送到我的油箱：hawkkong@vip.sina.com 收到！呵呵！习惯性的点“回复”，很可惜，信被退回来了。。。还没有发布邮件服务器嘛！退回来是必然的。
4、 如何收到INTERNET上发来的邮件：原理和发信到INTERNET是一回事，反过来想就是只需要别人的服务器能解析到你的服务器地址就可以了。做法：打电话到ISP那里，教导他：打开DNS控制台，在我们公司的域下面添加一条MX记录，哎呀，中文就是邮件交换器啦！……%￥*……%*〉〉。。。优先级不用管，主机或域也不用填，代表邮件是发往@DOMAIN_NAME的，而不是发往域里面的一台主机，邮件服务器填写EX_SERVER.VICP.NET（这是我在傲锐申请的动态域名，客户端安装在ISA_SERVER上，由于暂时没有固定公网IP使用，所以考虑使用了动态域名解析）。这样，MX记录就做好了。

注明：动态域名解析系统（DDNS）的原理：在ISA_SERVER上安装DDNS客户端，作用是每当客户端启动的时候就会检测机器的IP地址，然后发往DDNS服务器，客户端同时对应了你申请的XXX.VICP.NET的域名，这样，在DDNS服务器上就能保证XXX.VICP.NET这个域名能对应到你不断变化的IP地址。（断线、断电以及重启机器都会导致ADSL拨号的IP变化）直观地看就是，PING XXX.VICP.NET总是能PING到你目前的IP。

回到我们设置的MX记录来看，就是发往@COMPANY的信件其实通过MX记录指向了EX_SERVER.VICP.NET，然后，EX_SERVER.VICP.NET又指向我目前的ISA_SERVER的外部IP地址，这样，所有发往@CAMPANY的信件都发到了ISA_SERVER上，这个时候，只要ISA_SERVER发布了EX_SERVER，信件就会继续通过ISA_SERVER传送到EX_SERVER上进行处理了。
MX记录建立好了，剩下的就是发布邮件服务器。这是ISA的事情了。

ISA篇
先把EX_SERVER安装成FWC。
目前ISA上的规则是测试环境的，并没有做过多过细的限制，允许了EX_SERVER所有的协议通过。这样做是为了方便排错。
开始发布EX_SERVER吧！

我选择了SECURE MAIL SERVER
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

选上自己需要发布的功能。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

在这里填入外部的IP地址，如果你的ISA_SERVER有固定的公网地址，就填写那个就可以了，如果像我一样是动态的，就点击BROWSE…会看到你目前拥有的IP地址，选择公网的那个。（我这里随便填写了一个）这个地址也就是EX_SERVER.VICP.NET对应的动态变化的IP。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

选择内部邮件服务器的IP地址，如果你的邮件服务器和ISA在同一台机器上就选择ON THE LOCAL HOST。~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


发布完之后会出现类似上面的发布规则。
好了！现在……………………静坐，发呆一分钟，思考一下还有什么没有做完的，然后在sina的油箱里给hawkkong@company回复信件！打开OUTLOOK，收到！
呼~~~~~~~~~~我的工作总算告一段落了。接下来，就是慢慢的去设置邮箱大小限制，ISA中用户访问站点和应用程序的限制等等杂活了。还有一个比较麻烦的事情就是：如果你坚持使用动态IP地址，那么，每当你的IP变化一次，你就需要手动在邮件服务器的发布规则里面去改一次当前IP。
由于公司不久之后就会搬到一个有很多固定公网IP可以用得好所在了，所以我考虑了一下，为了稳定性，决定不再使用动态域名解析，邮件服务暂时只对内部使用。

本以为hawkkong从此可以过上平静甜美的生活了，可是灾难总是发生在不可预知的瞬间……
灾难恢复篇

经过一段风平浪静，酝酿已久的风暴来临了。我只能说一句：我靠！该死的西部数据烂硬盘！
像往常一样，打开机器，居然报告找不到系统，重新启动仔细一看，居然连硬盘都不见了。当时的感受就是：完了，全白干了。因为我还没有做备份……
不死心，把电源全部拔掉，顺便打开机箱看看是不是硬盘被偷走了，结果失望的很，硬盘还好好的在那里（BOSS：难道丢掉你才高兴？！我%#$#*^ )。再次重新启动机器，还好，硬盘找到了，然后以极慢的速度开始启动系统，却发现在控制面板里面只有10来个图标了。我想应该是磁盘有坏道了。果然，当我关机挂上另外一个硬盘做GHOST的时候，报告说有坏道无法继续操作了。
唉。。。我开始后悔为什么没有备份系统先。在一个没有多块硬盘做阵列的机器上，即使有再快的磁带机也是需要一定的恢复时间的，何况我那慢得可怜的DATA8i。而且，当你花掉这些时间做恢复的时候，你会发现，即使在像我所处的这样要求不高的地方也会是抱怨连天的。所以奉劝各位，根据你所在的环境的要求规划使用硬件，而备份是灾难发生后的唯一救命稻草。
马后炮已经没用了，趁着这块烂硬盘还能启动，赶快把系统备份出来，我可不想把整个系统和用户重新来过！一边念“阿门”一边按下电源，总算是启动了，我知道这可是启动一次少一次的，连忙备份系统状态和系统盘，还有EXCHANGE的存储组。
换上新的硬盘，安装全新的系统，装在和以前那个系统一样的盘，硬件驱动、IE等装好之后，进入目录恢复模式，选择恢复系统状态和系统盘，AD恢复成功了。但是，EXCHANGE的M盘却不见了，555555怎么会这样呢？选择恢复EXCHANGE，结果发现没有任何作用。
冷静冷静。。。怎么办呢？我现在的目标是在最短的时间把邮件系统重新建立起来，不管那么多了！按照微软的指导文章，停掉EXCHANGE的所有服务，选择卸载EXCHANGE，然后使用ADSI删除了CONFIGURATION里面的与EXCHANGE相关的条目，然后重新安装EXCHANGE。终于，久违的M盘出现了，只是邮箱都已经没有了，接下来为所有用户新建了邮箱。还好，他们都把自己的信保存在本地的PST了。
安装SCSI卡驱动，弄好磁带机，开始备份，并制定备份计划，狠狠地瞪了那个坏硬盘一眼，从此以后再也不用西数的硬盘了。
一切搞定，已经入夜了，心中感慨：重建家园比新建家园难多了！而且有许多事情是做完之后才发现不可能再回复到以前状态的。
好啦！我已经忠实地记录下了我的行踪，希望能对各位看官有所帮助和借鉴。好的管理员会有条理的解决问题并获得轻松的回报，差的管理员会付出看上去很痛苦的杂乱的努力，但却无所收获，并要为了下一次痛苦而费脑筋！

Exchange服务器使用端口一览表

★原文转载自Certified版hikehilter的《Exchange服务器使用端口一览表》★
RPC
TCP/IP port 135

NetBIOS  
TCP/IP port 139

DNS utilizes
TCP/IP port 53

X.400 utilizes
TCP/IP port 102, 103, and 104

LDAP
TCP/IP port 389 (clear authentication) and 636 (SSL)

IMAP4
TCP/IP port 143 (Basic/NTLM) and 993 (SSL)

NNTP
TCP/IP port 119

SMTP
TCP/IP port 25

POP3
TCP/IP port 110 (Basic/NTLM) and 995 (SSL