管理員經(jīng)常使用 Identity Lifecycle Manager 2007 (ILM 2007) 在企業(yè) Active Directory (AD) 和 Exchange 平臺(tái)上置備用戶、聯(lián)系人和郵箱。利用 ILM 2007 和 Forefront Identity Manager 2010 (FIM 2010) 等身份管理工具，可以消除在 AD 和 Exchange 中創(chuàng)建帳戶和郵箱時(shí)涉及的容易出錯(cuò)的手動(dòng)任務(wù)。

ILM 2007 和 FIM 2010 不僅可以自動(dòng)置備帳戶和郵箱，還可以合并業(yè)務(wù)邏輯。這樣可以執(zhí)行一些功能，例如根據(jù)用戶的業(yè)務(wù)小組或物理位置在特定服務(wù)器上創(chuàng)建郵箱；基于用戶的角色設(shè)置初始郵箱大小和限制；以及在可用空間最大的郵件存儲(chǔ)中置備新的用戶郵箱。FIM 2010 提供了更復(fù)雜的業(yè)務(wù)邏輯，這種邏輯包含審批工作流和高級(jí)功能（如無代碼置備）。

Exchange 環(huán)境中最常見的 ILM 2007 實(shí)現(xiàn)是同步位于兩個(gè)不同 AD 林中的全局地址列表 (GAL)；置備和取消置備用戶的郵箱；以及在將郵件遷移到新 Exchange 版本時(shí)同步兩個(gè)企業(yè) Exchange 環(huán)境中的目錄。

置備方案中 ILM 2007 和 FIM 2010 的實(shí)現(xiàn)可能會(huì)因網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)、安全策略和 Exchange 配置的不同而異。本文概述了使用這兩種產(chǎn)品在 Exchange 環(huán)境中進(jìn)行置備的過程，還深入剖析了使用 Exchange 2003、2007 和 2010 簡(jiǎn)化置備過程的主要功能。

結(jié)構(gòu)概述

ILM 2007 和 FIM 2010 可以在 Exchange 2003、2007 和 2010 中創(chuàng)建啟用郵件的對(duì)象。但是請(qǐng)注意，并非 Exchange 的每個(gè)版本都支持 ILM 的所有發(fā)行版。下表顯示了版本支持明細(xì)：

（您可以在 Exchange 服務(wù)器可支持性矩陣中找到大量兼容性信息。）

若要啟用 Exchange 置備，必須設(shè)置用于創(chuàng)建啟用郵件的對(duì)象的置備過程，還必須配置與 Active Directory 和 Exchange 交互的 Active Directory Management Agent (ADMA) 以便置備啟用郵件的對(duì)象。#p#

置備過程概述

Exchange 2003

對(duì)于 Exchange 2003，ILM 2007 和 FIM 2010 使用 Exchange 的收件人更新服務(wù) (RUS) 完成置備過程。在導(dǎo)出過程中，ADMA 連接到可用或首選域控制器，然后將啟用郵件的對(duì)象（由置備配置確定）直接添加到目錄。

RUS 監(jiān)視對(duì)目錄中啟用郵件的對(duì)象的更改，并完成 ILM 2007 和 FIM 2010 創(chuàng)建的每個(gè)啟用郵件的對(duì)象的置備過程。Exchange 將每個(gè)對(duì)象寫入目錄，這些對(duì)象都帶有創(chuàng)建對(duì)象所需的最小屬性集。RUS 將 Exchange 策略應(yīng)用到這些對(duì)象并添加其余必需的屬性，使這些對(duì)象能夠支持完整的 Exchange 功能集。

置備 Exchange 2003 時(shí)，ILM 2007 和 FIM 2010 不需要直接連接到 Exchange 服務(wù)器，只需要連接到 Active Directory 域控制器 (ADDC) 即可。（請(qǐng)參見圖 1。）

圖 1 Exchange 2003 置備

Exchange 2007

對(duì)于 Exchange 2007，ILM 2007 Feature Pack 1 (ILM 2007 FP1) 和 FIM 2010 使用 Update-Recipient Windows PowerShell cmdlet（Exchange 2007 管理工具的一部分）完成置備過程。在導(dǎo)出過程中，ADMA 連接到可用或首選域控制器，然后將啟用郵件的對(duì)象（由置備配置確定）添加到目錄。

將啟用郵件的對(duì)象置備到目錄后，ILM 2007 和 FIM 2010 將在 ILM/FIM 服務(wù)器上調(diào)用 Update-Recipient cmdlet。

圖 2 Exchange 2007 置備

Exchange 2007 置備（請(qǐng)參見圖 2）需要 ILM 2007 FP1 或更高版本或者 FIM 2010。此外，安裝必須滿足以下要求：

• ILM 2007/FIM 2010 同步服務(wù)帳戶必須是域帳戶。
• ILM 2007 FP1 管理代理 (MA) 的服務(wù)帳戶必須是 Exchange 收件人管理員組的成員。
• ILM 2007/FIM 2010 同步服務(wù)器必須已經(jīng)加入域。不過，不必加入將執(zhí)行 Exchange 置備的域。
• Windows PowerShell 1.0 必須已安裝在 ILM/FIM 服務(wù)器上。
• Exchange 管理工具必須已安裝在 ILM/FIM 服務(wù)器上。

Exchange 2010

對(duì)于 Exchange 2010，ILM 2007 Feature Pack 1 Service Pack 1 和 FIM 2010 使用 Update-Recipient cmdlet 完成置備過程。但是與 Exchange 2007 的置備過程不同的是，在此過程中，cmdlet 使用 Windows PowerShell 2.0 和遠(yuǎn)程執(zhí)行直接在 Exchange 服務(wù)器上運(yùn)行。（請(qǐng)參見圖 3。）

圖 3 Exchange 2010 置備

Exchange 2010 置備需要 ILM 2007 FP1 SP1 或更高版本或者 FIM 2010。此外，安裝必須滿足以下要求：

• ILM 2007/FIM 2010 同步服務(wù)帳戶必須是域帳戶。
• ILM 2007 FP1 MA 的服務(wù)帳戶必須是 Exchange 收件人管理員組的成員。
• ILM 2007/FIM 2010 同步服務(wù)器必須已經(jīng)加入域。不過，不必加入將執(zhí)行 Exchange 置備的域。
• Windows PowerShell 2.0 必須已安裝在 ILM/FIM 服務(wù)器上，并且必須已安裝在 Exchange 2010 客戶端訪問服務(wù)器 (CAS) 上且已針對(duì)遠(yuǎn)程訪問進(jìn)行配置。

置備

若要啟用 Exchange 置備，必須使用腳本置備或無代碼置備來配置用于創(chuàng)建啟用郵件的對(duì)象的過程。下表顯示了置備 FIM 2010 以及各種版本的 ILM 支持的類型：

使用 ExchangeUtils 進(jìn)行腳本置備

ExchangeUtils 類提供了一組實(shí)用工具方法，可用來在連接器空間中創(chuàng)建新的郵件對(duì)象。若要設(shè)置所需的郵箱，用戶對(duì)象中至少需要具有以下屬性：

• DN – DN（可分辨名稱）屬性是字符串表示，用于唯一標(biāo)識(shí) AD 服務(wù)器中的對(duì)象。
• mailNickname – 此屬性是一個(gè)別名，Exchange 用來標(biāo)識(shí)啟用郵件的對(duì)象。
• homeMDB – homeMDB 屬性指定收件人的郵箱存儲(chǔ)的 URL。

下面是 Visual Basic .NET 和 Visual C# .NET 中用到的屬性的示例：

Visual Basic .NET：

Public Sub Provision(ByVal mventry As MVEntry) _
    Implements IMVSynchronization.Provision

    Dim adMA As ConnectedMA
    Dim csentry As CSEntry
    Dim nickName, mailboxMDB As String
    Dim dn as ReferenceValue

    try
        adMA = mventry.ConnectedMAs("Fabrikam AD MA")

        nickName   = mventry("mailNickname").Value
        mailboxMDB = mventry("homeMDB").Value

        ' Construct the distinguished name
        dn = adMA.EscapeDNComponent("CN=" + mventry("cn").Value).Concat("ou=mailboxes,dc=fabrikam,dc=com")

        If 0 = adMA.Connectors.Count then
            csentry = ExchangeUtils.CreateMailbox(adMA, dn, nickName, mailboxMDB)
        End If

        ' Handle any exceptions
        Catch ex As Exception
            '...
    End Try
End Sub

Visual C# .NET：

void IMVSynchronization.Provision (MVEntry mventry)
{
    ConnectedMA adMA;
    CSEntry csentry;
    String nickName, mailboxMDB;
    ReferenceValue dn;

    try
    {
        adMA = mventry.ConnectedMAs["Fabrikam AD MA"];

        nickName   = mventry["mailNickname"].Value;
        mailboxMDB = mventry["homeMDB"].Value;

        // Construct the distinguished name
        dn = adMA.EscapeDNComponent("CN=" + mventry["cn"].Value).Concat("ou=mailboxes,dc=fabrikam,dc=com");

        if(0 == adMA.Connectors.Count)
        {
            csentry = ExchangeUtils.CreateMailbox(adMA, dn, nickName, mailboxMDB);
        }
    }

    // Handle any exceptions
    catch(Exception ex)
    {
        //...
    }
}

（您可以在此處找到有關(guān) ExchangeUtils 類的詳細(xì)信息。有關(guān)使用 ExchangeUtils 的示例，請(qǐng)轉(zhuǎn)到此處。

Exchange 2007 的腳本置備要求與 Exchange 2003 相同。Exchange 2003 啟用郵件的對(duì)象的現(xiàn)有腳本置備無需針對(duì) Exchange 2007 置備過程進(jìn)行更改即可工作。但是，對(duì)于 Exchange 2010，您將需要為 msExchHomeServerName 屬性添加屬性流，我們將在本文有關(guān) Exchange 2010 和 msExchHomeServerName 的部分介紹此屬性。

自定義腳本置備

雖然 ExchangeUtils 提供了一個(gè)簡(jiǎn)單方法來創(chuàng)建啟用郵件的對(duì)象，但您可能需要更好地控制置備過程。所有 ExchangeUtils 方法都返回 CSEntry 對(duì)象，利用該對(duì)象可以設(shè)置對(duì)象的附加屬性。建議您允許 ExchangeUtils 創(chuàng)建啟用郵件的對(duì)象并使用返回的 CSEntry 對(duì)象指定附加屬性。

若要?jiǎng)?chuàng)建啟用郵箱的用戶（該用戶具有默認(rèn)密碼并且可以登錄），需要使用 ExchangeUtils 生成郵箱，然后使用返回的 CSEntry 對(duì)象添加 unicodepwd 和 userAccountControl 屬性，如以下針對(duì) Visual Basic .NET 和 Visual C# .NET 的示例所示：

Visual Basic .NET：

Public Sub Provision(ByVal mventry As MVEntry) _
    Implements IMVSynchronization.Provision

    Dim adMA As ConnectedMA
    Dim csentry As CSEntry
    Dim nickName, mailboxMDB As String
    Dim dn as ReferenceValue

    try
        adMA = mventry.ConnectedMAs("Fabrikam AD MA")

        nickName   = mventry("mailNickname").Value
        mailboxMDB = mventry("homeMDB").Value

        ' Construct the distinguished name
        dn = adMA.EscapeDNComponent("CN=" + mventry("cn").Value).Concat("ou=mailboxes,dc=fabrikam,dc=com")

        If 0 = adMA.Connectors.Count then
            csentry = ExchangeUtils.CreateMailbox(adMA, dn, nickName, mailboxMDB)
            csentry("unicodepwd").Values.Add("p@ssword1")
            csentry("userAccountControl").IntegerValue = 512
        End If

        ' Handle any exceptions
        Catch ex As Exception
            '...
    End Try
End Sub

Visual C# .NET：

void IMVSynchronization.Provision (MVEntry mventry)
{
    ConnectedMA adMA;
    CSEntry csentry;
    String nickName, mailboxMDB;
    ReferenceValue dn;

    try
    {
        adMA = mventry.ConnectedMAs["Fabrikam AD MA"];

        nickName   = mventry["mailNickname"].Value;
        mailboxMDB = mventry["homeMDB"].Value;

        // Construct the distinguished name
        dn = adMA.EscapeDNComponent("CN=" + mventry["cn"].Value).Concat("ou=mailboxes,dc=fabrikam,dc=com");

        if(0 == adMA.Connectors.Count)
        {
            csentry = ExchangeUtils.CreateMailbox(adMA, dn, nickName, mailboxMDB);
            csentry["unicodepwd"].Values.Add("p@ssword1");
            csentry["userAccountControl"].IntegerValue = 512;
        }
    }

    // Handle any exceptions
    catch(Exception ex)
    {
        //...
    }
}

無代碼置備

如果您使用的是 FIM 2010，則可以選擇使用無代碼置備，該方法允許您在置備某個(gè)對(duì)象的過程中指定添加到該對(duì)象的屬性，而無需編寫 VB 或 C# 代碼。若要?jiǎng)?chuàng)建郵箱，至少需要使用以下初始屬性流配置同步規(guī)則：

• DN – DN（可分辨名稱）屬性是字符串表示，用于唯一標(biāo)識(shí) AD 服務(wù)器中的對(duì)象。
• mailNickname – 此屬性是一個(gè)別名，Exchange 用來標(biāo)識(shí)啟用郵件的對(duì)象。
• homeMDB – HomeMDB 屬性指定收件人的郵箱存儲(chǔ)的 URL。

若要?jiǎng)?chuàng)建啟用郵箱的用戶（該用戶具有默認(rèn)密碼并且可以登錄），還需要提供 unicodepwd 和 userAccountControl 的初始屬性流，如圖 4 所示。

圖 4 出站屬性流配置

Exchange 2010 和 msExchHomeServerName

置備 Exchange 2010 時(shí)，創(chuàng)建啟用郵件的用戶對(duì)象需要附加屬性（即 msExchHomeServerName），必須在置備代碼中提供該屬性。Exchange 使用此屬性來確定將啟用郵件的對(duì)象的郵件傳送到何處。

若要在使用 ExchangeUtils 的置備或您自己開發(fā)的置備中提供 msExchHomeServerName，需要添加以下示例中以粗體顯示的代碼行：

Visual Basic .NET：

Public Sub Provision(ByVal mventry As MVEntry) _
    Implements IMVSynchronization.Provision

    Dim adMA As ConnectedMA
    Dim csentry As CSEntry
    Dim nickName, mailboxMDB As String
    Dim dn as ReferenceValue

    try
        adMA = mventry.ConnectedMAs("Fabrikam AD MA")

        nickName   = mventry("mailNickname").Value
        mailboxMDB = mventry("homeMDB").Value

        ' Construct the distinguished name
        dn = adMA.EscapeDNComponent("CN=" + mventry("cn").Value).Concat("ou=mailboxes,dc=fabrikam,dc=com")

        If 0 = adMA.Connectors.Count then
            csentry = ExchangeUtils.CreateMailbox(adMA, dn, nickName, mailboxMDB)

	' Add msExchHomeServerName
csentry("msExchHomeServerName").Value = "<value of msExchHomeServerName>"
        End If

        ' Handle any exceptions
        Catch ex As Exception
            '...
    End Try
End Sub

Visual C# .NET：

void IMVSynchronization.Provision (MVEntry mventry)
{
    ConnectedMA adMA;
    CSEntry csentry;
    String nickName, mailboxMDB;
    ReferenceValue dn;

    try
    {
        adMA = mventry.ConnectedMAs["Fabrikam AD MA"];

        nickName   = mventry["mailNickname"].Value;
        mailboxMDB = mventry["homeMDB"].Value;

        // Construct the distinguished name
        dn = adMA.EscapeDNComponent("CN=" + mventry["cn"].Value).Concat("ou=mailboxes,dc=fabrikam,dc=com");

        if(0 == adMA.Connectors.Count)
        {
            csentry = ExchangeUtils.CreateMailbox(adMA, dn, nickName, mailboxMDB);

// Add msExchHomeServerName
csentry["msExchHomeServerName"].Value = "<value of msExchHomeServerName>";

        }
    }

    // Handle any exceptions
    catch(Exception ex)
    {
        //...
    }
}

若要在同步規(guī)則中提供 msExchHomeServerName，請(qǐng)?zhí)砑訄D 5 中顯示的初始屬性流。

圖 5 出站初始屬性流配置

管理代理配置

若要正確置備啟用郵件的對(duì)象，Active Directory 管理代理必須與 AD 和 Exchange 交互。這要求您配置 Exchange 置備選項(xiàng)（選擇“配置擴(kuò)展”，然后在“創(chuàng)建管理代理”對(duì)話框的右側(cè)窗格中進(jìn)行配置，如圖 6 所示）。

圖 6：配置規(guī)則擴(kuò)展

您還必須確保從“管理代理設(shè)計(jì)器”窗格中選擇“選擇屬性”，然后在對(duì)話框的右側(cè)窗格中選取所需的屬性。有關(guān)選取哪些屬性的指導(dǎo)，我們提供了一個(gè)圖表，其中顯示各種對(duì)象類型的屬性。

從 Exchange 2003 升級(jí)到 2007：ILM 2007 FP1

ILM 2007 FP1 增加了用于置備 Exchange 2007 啟用郵件的對(duì)象的功能。如圖 7 所示，可以通過從“創(chuàng)建管理代理”對(duì)話框的左側(cè)窗格中選擇“配置擴(kuò)展”，然后在右側(cè)窗格中標(biāo)記相應(yīng)的復(fù)選框來啟用 Exchange 2007 GAL 管理代理的置備。

圖 7 創(chuàng)建自定義管理代理

這將導(dǎo)致在導(dǎo)出時(shí)，ILM 2007 FP1 會(huì)在本地調(diào)用 Update-Recipient cmdlet，從而完成置備過程。不必執(zhí)行其他配置操作。

從 Exchange 2003 升級(jí)到 2007：ILM 2007 FP1 SP1/FIM 2010

除了可以置備 Exchange 2007 啟用郵件的對(duì)象外，使用 ILM 2007 FP1 SP1 和 FIM 2010 還可以顯式指定要執(zhí)行置備的 Exchange 2007 服務(wù)器。“創(chuàng)建管理代理”對(duì)話框的“配置擴(kuò)展”窗格中包含一個(gè)下拉菜單，可供選擇 Exchange 版本。

如果選擇 Exchange 2007，則會(huì)顯示一個(gè)文本框，您可在其中輸入 Exchange 2007 服務(wù)器的名稱（請(qǐng)參見圖 8）。例如，對(duì)于使用防火墻并需要更好地控制網(wǎng)絡(luò)流量的用戶，可以使用此附加配置。保留服務(wù)器名稱為空將導(dǎo)致 cmdlet 查找 Exchange 服務(wù)器。請(qǐng)注意，如果 cmdlet 無法聯(lián)系您指定的服務(wù)器，將失敗并返回錯(cuò)誤。

圖 8 使用“配置擴(kuò)展”中的下拉列表選擇 Exchange 版本

從 Exchange 2003 或 2007 升級(jí)到 2010

如上文所述，使用 ILM 2007 FP1 SP1 和 FIM 2010 可以置備 Exchange 2010 啟用郵件的對(duì)象。由于該過程通過 Windows PowerShell 使用遠(yuǎn)程執(zhí)行（如前面討論的“置備過程概述”的 Exchange 2010 子部分中所述），因此您必須提供服務(wù)器名稱。如圖 9 所示，單擊“創(chuàng)建管理代理”對(duì)話框左側(cè)的“配置擴(kuò)展”后，可以從右側(cè)窗格的下拉菜單中選擇要置備的 Exchange 版本。

選擇 Exchange 2010，然后在出現(xiàn)的文本框（請(qǐng)參見圖 9）中輸入 Exchange 2010 遠(yuǎn)程 PowerShell (RPS) 服務(wù)器的 URI。請(qǐng)注意，不能將此字段留空。此值的格式應(yīng)為 http://<cas server>/powershell。

圖 9 從 Exchange 2003/2007 升級(jí)到 2010

Exchange 2007 以及將 ILM 2007 FP1 升級(jí)到 SP1

升級(jí)到 ILM 2007 FP1 SP1 后，ILM 2007 FP1 部署中的現(xiàn)有管理代理將保持完全正常運(yùn)行，而無需執(zhí)行附加配置或額外步驟。如果需要，可以在“配置擴(kuò)展”中指定服務(wù)器名稱，控制 Update-Recipient cmdlet 將聯(lián)系的 Exchange 服務(wù)器，但這不是必要的。

#p#

導(dǎo)出過程

正確配置 ILM 2007 和 FIM 2010 的 Exchange 置備后，ILM 2007 和 FIM 2010 將在導(dǎo)出過程中連接到 Active Directory 和 Exchange，然后創(chuàng)建啟用郵件的對(duì)象。對(duì)于每個(gè)版本的 Exchange，此過程都有所不同。

Exchange 2003

對(duì)于 Exchange 2003，ILM 2007 和 FIM 2010 使用 Exchange 2003 的 RUS 功能來完成置備過程。在導(dǎo)出過程中，ADMA 連接到可用域控制器，然后將啟用郵件的對(duì)象（由置備配置確定）添加到目錄。

如前所述，RUS 監(jiān)視對(duì)目錄中啟用郵件的對(duì)象的更改，并完成由 ILM 2007 和 FIM 2010 創(chuàng)建的每個(gè)對(duì)象的置備過程。再次重申，Exchange 將每個(gè)對(duì)象寫入目錄，這些對(duì)象都帶有創(chuàng)建對(duì)象所需的最小屬性集。因此，RUS 將 Exchange 策略應(yīng)用到這些對(duì)象并添加其余必需的屬性，使這些對(duì)象能夠支持完整的 Exchange 功能集。

最后，與前面一樣，置備 Exchange 2003、ILM 2007 和 FIM 2010 時(shí)，只需要連接到 ADDC；不需要直接連接到 Exchange 服務(wù)器。

Exchange 2007

此處的信息實(shí)際上與“置備過程概述”下的“Exchange 2007”子部分中介紹的信息相同，但為了方便起見，我們?cè)谶@里重復(fù)一下。對(duì)于 Exchange 2007，ILM 2007 FP1 和 FIM 2010 使用 Update-Recipient cmdlet 完成置備過程。在導(dǎo)出過程中，ADMA 連接到可用或首選域控制器，然后將啟用郵件的對(duì)象（由置備配置確定）添加到目錄。

將啟用郵件的對(duì)象置備到目錄后，ILM 2007 和 FIM 2010 將使用以下命令行在 ILM/FIM 服務(wù)器上調(diào)用 Update-Recipient PowerShell cmdlet：

Update-Recipient -Identity "<ExportedDN>"-Credential <PSCredential> -DomainController <Fqdn>

其中，尖括號(hào)中的占位符將按照以下列表所示進(jìn)行替換：

• ExportedDN–This is the Distinguished Name of the recently exported object.
• PSCredential–This is replaced with a PowerShell Credential object constructed using the domain, username and password configured for the ADMA.
• Fqdn–The actual value for this parameter is the fully qualified domain name of the domain controller to which the recently exported object was written.

此外，ILM 2007 FP1 SP1 和 FIM 2010 支持 Update-Recipient 的 –Server 參數(shù)。如果已使用 Server 值配置 MA，ILM 2007 FP1 SP1 和 FIM 2010 將使用以下命令行在 ILM/FIM 服務(wù)器上調(diào)用 Update-Recipient cmdlet：

Update-Recipient -Identity "<ExportedDN >" -Credential <PSCredential> -
DomainController <Fqdn> -Server <ServerIdParameter>

其中，尖括號(hào)中的占位符將按照上述列表所示進(jìn)行替換，但增加了以下內(nèi)容：

• ServerIdParameter–The name of the server entered in the Management Agent configuration dialog is put in place of this parameter.

Exchange 2010

如“置備過程概述”的“Exchange 2010”子部分中所述，對(duì)于 Exchange 2010，ILM 2007 FP1 SP1 和 FIM 2010 使用 Update-Recipient cmdlet 完成置備過程。但是與 Exchange 2007 的置備過程不同的是，在此過程中，cmdlet 使用 Windows PowerShell 2.0 和遠(yuǎn)程執(zhí)行直接在 Exchange 服務(wù)器上運(yùn)行。

將啟用郵件的對(duì)象置備到目錄后，ILM 2007 FP1 SP1 和 FIM 2010 將使用以下命令行（該命令行中的替代內(nèi)容與前面討論的尖括號(hào)中的項(xiàng)的替代內(nèi)容相同）在 Exchange 2010 服務(wù)器上遠(yuǎn)程調(diào)用 Update-Recipient cmdlet：

          Update-Recipient -Identity "<ExportedDN>" -DomainController <Fqdn> 

打開到 Exchange 服務(wù)器的遠(yuǎn)程連接時(shí)，將使用在 ADMA 中配置的憑據(jù)，因此這些憑據(jù)在命令行上并不是必需的。

#p#

故障排除

常見錯(cuò)誤

在本故障排除示例和后面的其他故障排除示例中，斜體文本顯示事件日志在導(dǎo)出過程中記錄的部分錯(cuò)誤消息。錯(cuò)誤消息后面的羅馬字體（非斜體）文本給出了可能原因。

消息：

Event Type: Error 
Event Source: MIIServer
Event Category: Server
Event ID: 6801
.
.
.
Description: The extensible extension returned an unsupported error in MIIS. The stack trace is: Microsoft.MetadirectoryServices.ExtensionException: ExternalEmailAddress is mandatory on MailUser.The mail contact and mail user must have a valid external e-mail address. at Exch2007Extension.Exch2007ExtensionClass.AfterExportEntryToCd....

原因：

這是在導(dǎo)出過程中報(bào)告的最常見錯(cuò)誤。Update-Recipient cmdlet 嘗試使用指定的 DN 為對(duì)象啟用郵件功能。Cmdlet 通過檢查啟用郵件的對(duì)象的各種屬性來處理這些對(duì)象。最后一步，它將嘗試將對(duì)象轉(zhuǎn)換為 MailUser。缺少郵件屬性或郵件屬性無效的用戶對(duì)象通常將返回此錯(cuò)誤，因?yàn)?Update-Recipient 無法將該對(duì)象轉(zhuǎn)換為啟用郵箱的用戶。如果 MA 和 Update-Recipient 與不同的域控制器通信，則也可能出現(xiàn)此錯(cuò)誤。

以下問題之一都很可能是導(dǎo)致此錯(cuò)誤的原因：

• 您導(dǎo)出的 homeMDB 值可能缺失或無效。請(qǐng)確保要導(dǎo)出的對(duì)象的 homeMDB 值存在并指向有效的郵箱數(shù)據(jù)庫。
• 如果在使用 Exchange 2010 時(shí)看到此錯(cuò)誤但 homeMDB 是正確的，則 msExchHomeServerName 可能缺失或無效。請(qǐng)確保要導(dǎo)出的對(duì)象的 msExchHomeServerName 值存在并指示有效的 Exchange 服務(wù)器。
• 如果未在 ILM/FIM 服務(wù)器上安裝 Exchange 2007 管理工具 SP2 或更高版本，則可能會(huì)針對(duì) Exchange 2007 顯示此消息。有關(guān)詳細(xì)信息，請(qǐng)參見知識(shí)庫文章 963679。
• 如果未在 ILM/FIM 服務(wù)器上安裝 Exchange 2007 管理工具 Rollup 4 或更高版本，則也可能會(huì)針對(duì) Exchange 2007 顯示此錯(cuò)誤。有關(guān)詳細(xì)信息，請(qǐng)參見知識(shí)庫文章 949858。

Exchange 2007 和 ILM 2007 FP1 錯(cuò)誤

消息：

Event Type: Error
Event Source: MIIServer
Event Category: Server
Event ID: 6801
.
.
.
Description: The extensible extension returned an unsupported error. The stack trace is: 
Microsoft.MetadirectoryServices.ExtensionException:  System.IO.FileNotFoundException: Could not load file or assembly 'System.Management.Automation, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35' or one of its dependencies. The system cannot find the file specified....

原因：

這表明 ILM 2007 FP1 服務(wù)器上未安裝 Exchange 2007 管理工具。ILM 2007 FP1 嘗試加載 Update-Recipient cmdlet，但 PowerShell 未找到該 cmdlet。

Exchange 2007、FIM 2010 和 ILM 2007 FP1 SP1 錯(cuò)誤

消息：

Event Type: Error
Event Source: MIIServer
Event Category: Server
Event ID: 6801
.
.
.
Description: The extensible extension returned an unsupported error. The stack trace is: Microsoft.MetadirectoryServices.ExtensionException: Windows PowerShell snap-in Microsoft.Exchange.Management.PowerShell.Admin is not installed on the machine....

原因：

如果未在 ILM 2007 FP1 SP1 服務(wù)器上安裝 Exchange 2007 管理工具，則會(huì)出現(xiàn)此消息。ILM 2007 FP1 SP1 嘗試加載 Update-Recipient cmdlet，但 PowerShell 未找到該 cmdlet。Microsoft 對(duì)加載處理稍微進(jìn)行了更改，因此對(duì)于相同的情形，ILM 2007 FP1 SP1 和 FIM 2010 返回的錯(cuò)誤與 ILM 2007 返回的錯(cuò)誤略有不同。

Exchange 2010

消息：

Event Type: Error
Event Source: MIIServer
Event Category: Server
Event ID: 6801
.
.
.
Description: The extensible extension returned an unsupported error. The stack trace is:Microsoft.MetadirectoryServices.ExtensionException: Could not load type 'System.Management.Automation.Runspaces.WSManConnectionInfo' from assembly 'System.Management.Automation, Version=1.0.0.0, Culture=neutral, PublicKeyToken=....

原因：

如果 ILM 2007 FP1 SP1 服務(wù)器上未安裝 Windows PowerShell 2.0，您將收到與此類似的消息。ILM 2007 FP1 SP1 嘗試遠(yuǎn)程加載和執(zhí)行 Update-Recipient cmdlet，但 ILM 2007 FP1 SP1 無法打開支持遠(yuǎn)程執(zhí)行的 PowerShell 會(huì)話。

消息：

Event Type: Error 
Event Source: MIIServer 
Event Category: Server 
Event ID: 6801 
Description: The extensible extension returned an unsupported error. The stack trace is:Microsoft.MetadirectoryServices.ExtensionException:Microsoft.MetadirectoryServices.ExtensionException: Invalid URI: The format of the URI could not be determined....
   at Exch2010Extension.Exch2010ExtensionClass.BeginExportToCd(String connectTo, String domain, String server, String user, String password)

原因：

在 ILM 2007 FP1 SP1 的“配置擴(kuò)展”對(duì)話框中輸入的 CAS 服務(wù)器值的格式不正確。正確格式為 http://<cas server>/powershell。

消息：

Event Category: Server 
Event ID: 6801 
Description: The extensible extension returned an unsupported error. The stack trace is:Microsoft.MetadirectoryServices.ExtensionException:Microsoft.MetadirectoryServices.ExtensionException: Connecting to remote server failed with the following error message : WinRM cannot process the request. The following error occured while using Kerberos authentication: The network path was not found.

原因：

• 指定的用戶名或密碼無效。
• 使用了 Kerberos 但未指定身份驗(yàn)證方法或用戶名。
• Kerberos 接受域用戶名但不接受本地用戶名，而您提供的是本地用戶名。
• 遠(yuǎn)程計(jì)算機(jī)名稱和端口的服務(wù)主體名稱不存在。
• 客戶端和遠(yuǎn)程計(jì)算機(jī)位于不同的域中，并且這兩個(gè)域之間不存在信任。

檢查完剛提到的問題后，請(qǐng)嘗試以下操作：

• 檢查事件查看器中的與身份驗(yàn)證相關(guān)的事件
• 更改身份驗(yàn)證方法，并將目標(biāo)計(jì)算機(jī)添加到 WinRM TrustedHosts 配置設(shè)置或者使用 HTTPS 傳輸

請(qǐng)注意，TrustedHosts 列表中的計(jì)算機(jī)可能未進(jìn)行身份驗(yàn)證。有關(guān) WinRM 配置的更多幫助，請(qǐng)運(yùn)行命令：winrm help config。有關(guān)詳細(xì)信息，請(qǐng)參見 about_Remote_Troubleshooting 幫助主題。

如果您在 ILM 2007 FP1 SP1 的“配置擴(kuò)展”對(duì)話框中輸入的 CAS 服務(wù)器值不正確，或者尚未為遠(yuǎn)程 PowerShell 執(zhí)行配置 CAS 服務(wù)器，則將看到此錯(cuò)誤。ILM 2007 FP1 SP1 嘗試遠(yuǎn)程加載和執(zhí)行 Update-Recipient cmdlet，但 ILM 2007 FP1 SP1 無法連接到 CAS 服務(wù)器上的遠(yuǎn)程 PowerShell 會(huì)話。

注意事項(xiàng)

ILM 2007 和 FIM 2010

Exchange 置備是 ILM 2007 和 FIM 2010 以及 ADMA 的一項(xiàng)主要功能。只需最少的配置，您便可以將啟用郵件的對(duì)象輕松置備到 Exchange 2003、2007 和 2010。需要注意的是，如果 ILM 或 FIM 服務(wù)器與 Exchange 之間存在防火墻，則可能需要執(zhí)行附加配置，而這些配置可能不為您的部署所接受。

例如，Exchange 服務(wù)器與 ILM 之間的防火墻實(shí)現(xiàn)在 Exchange 資源林實(shí)現(xiàn)中尤為常見。此設(shè)置要求用戶登錄到帳戶林，且 Exchange 服務(wù)器必須在資源林（不同的 AD 林）中承載。

在此方案中，通常在帳戶林中實(shí)現(xiàn) ILM 服務(wù)器。因此，除了置備 AD 用戶帳戶所要求的操作外，在 Exchange 中置備啟用郵件或啟用郵箱的對(duì)象還要求您打開防火墻端口。

通信協(xié)議和端口

ILM 要求下表中顯示的端口將帳戶置備到 AD，但它需要附加端口以便在 AD/Exchange 2007 環(huán)境中置備啟用郵件或啟用郵箱的用戶對(duì)象。

Exchange 2007

如本文前面所述，ILM 2007 FP1 利用 Update-Recipient PowerShell cmdlet 完成置備過程。該 cmdlet 在 ILM 服務(wù)器上執(zhí)行，用于對(duì) Exchange 2007 中的帳戶啟用郵件或郵箱功能。除了要求連接到 AD 域控制器之外，該 cmdlet 還要求連接到全局編錄 (GC) 和 Exchange RUS 服務(wù)器。此方案更為復(fù)雜，這是因?yàn)?Update-Recipient 在由 ILM 2007 FP1 使用時(shí)具備 RUS 選擇算法，該算法最終可以選擇環(huán)境中的任何 RUS 服務(wù)器。這要求為所有 Exchange RUS 服務(wù)器打開多個(gè) RUS 端口。（請(qǐng)參見圖 10。）

圖 10 帶有防火墻的 Exchange 2007 置備

下表顯示在 Exchange 2007 環(huán)境中置備啟用郵件或啟用郵箱的帳戶時(shí)需要在防火墻上打開的端口。

對(duì)于帶有 DNS 的 DC/GC：

對(duì)于 RUS（郵箱服務(wù)器）：

Exchange 2010

如本文前面所述，ILM 2007 FP1 利用 Update-Recipient PowerShell cmdlet 完成置備過程。該 cmdlet 在 ILM 上執(zhí)行，用于對(duì) Exchange 2010 中的帳戶啟用郵件或郵箱功能。在此版本的 Exchange 中，所有 cmdlet 都使用 PowerShell 的遠(yuǎn)程執(zhí)行功能來遠(yuǎn)程執(zhí)行。這意味著，此方案所需的端口將根據(jù) PowerShell 的遠(yuǎn)程執(zhí)行要求進(jìn)行限制，如圖 11 所示。

圖 11 帶有防火墻的 Exchange 2010 置備

下面各表顯示在 Exchange 2010 環(huán)境中置備啟用郵件或郵箱的帳戶時(shí)必須打開的防火墻端口。

對(duì)于帶有 DNS 的 DC/GC：

對(duì)于 CAS（郵箱服務(wù)器）：

自定義 PowerShell 腳本

稍后我們將探討 PowerShell 腳本，該腳本在指定域中查找當(dāng)前未啟用郵箱的用戶帳戶，然后對(duì)這些用戶帳戶啟用郵箱。該腳本需要在 AD 域控制器上運(yùn)行，您可以使用任務(wù)計(jì)劃程序設(shè)置腳本將運(yùn)行的時(shí)間。正如您在圖 12 中看到的，ILM 2007 FP1 仍可以將用戶帳戶置備到 AD 域控制器，而且它利用 PowerShell 腳本對(duì)用戶帳戶啟用郵件功能。

圖 12 Exchange 2007/2010 置備手動(dòng)腳本

請(qǐng)注意，雖然您可以使用此腳本為 ILM 置備的用戶啟用郵箱，但該腳本僅適用于不含 homeMDB 或 mailNickname 屬性的對(duì)象。

$domain = "LDAP://" + "DC=Fabrikam,DC=Com"

# Open a connection object to AD
$root = New-Object System.DirectoryServices.DirectoryEntry($domain)

# Create a query object 
$query = new-Object System.DirectoryServices.DirectorySearcher($root) 

# Construct a filter string to retrive all objects which are not mailenabled or mailbox-#enabled
$filter = "(&(objectClass=user)(!(legacyExchangeDN=*)))"

# Define filter in the query object
$query.filter = $filter
	
#Retrive objects which met the filter property
$objects = $query.findAll()


foreach($usr in $objects)
{     	
	$properties = $usr.Properties 
	$DN = $properties.distinguishedname[0]
	$dbLoc = "Fabrikam\First Storage group\Mailbox Database"
	Enable-Mailbox -identity $DN -database $dbLoc

	#more informaton on Enable-mailbox here at 
	#http://technet.microsoft.com/enus/library/aa998251(EXCHG.80).aspx
		
}

若要在不使用 homeMDB 值或 mailNickname 的情況下創(chuàng)建用戶，您可以

1. 使用腳本置備：使用管理代理 Connectors 屬性的 StartNewConnector() 方法對(duì)象而不是使用 ExchangeUtils.CreateMailbox()。
2. 使用無代碼置備：不在同步規(guī)則中包含初始屬性流。

或者，要完成置備過程，您可以對(duì) Exchange 組織中的部分或所有對(duì)象實(shí)施電子郵件地址策略。以下簡(jiǎn)短腳本將對(duì)組織中的所有對(duì)象實(shí)施所有電子郵件地址策略：

Get- EmailAddressPolicy | Update-EmailAddressPolicy

遺憾的是，這是一項(xiàng)成本很高的更新，而且可能需要數(shù)分鐘時(shí)間，具體取決于環(huán)境的復(fù)雜程度。您可以改為使用此腳本（將 AddressPolicy01 替換為特定電子郵件地址策略的標(biāo)識(shí)）對(duì)組織中的所有對(duì)象實(shí)施特定電子郵件地址策略：

Update-EmailAddressPolicy -Identity AddressPolicy01

如果您要置備通訊組，則需要附加腳本來更新組織中的通訊簿。以下腳本將更新組織中的所有通訊簿：

Get- AddressList | Update-AddressList
Get- GlobalAddressList  | Update-GlobalAddressList

但是，這也是一項(xiàng)成本很高的更新，而且也可能需要數(shù)分鐘時(shí)間，具體取決于環(huán)境的復(fù)雜程度。作為替代方法，您可以使用：

Update-AddressList -Identity "All Contacts\AddressList01"
Update-GlobalAddressList -Identity "My Global Address List"

此腳本將僅更新組織中的特定通訊簿。若要使用該腳本，請(qǐng)將 All Contacts\AddressList01 替換為要更新的通訊簿的標(biāo)識(shí)，并將 My Global Address List 替換為要更新的全局通訊簿的標(biāo)識(shí)。

利用 Exchange 2003 服務(wù)器

建議使用 ILM 2007 或 FIM 2010 與 Exchange PowerShell 來啟用 Exchange 置備，但組織的安全要求可能不允許通過防火墻進(jìn)行所需的通信。這種情況下，您可以使用 Exchange 2003 服務(wù)器完成 Exchange 置備。

對(duì)于 Exchange 2007 部署，您可以同時(shí)運(yùn)行 Exchange 2003 服務(wù)器和 Exchange 2007，通過 Exchange 2003 服務(wù)器為它所在的域提供 RUS 功能。執(zhí)行此操作后，ILM 2007 和 FIM 2010 都可以使用 Exchange 2003 置備模型來置備 Exchange。（請(qǐng)參見圖 13。）

圖 13：使用 RUS 置備 Exchange 2007

RUS 將按照在 Exchange 2003 置備模型中的操作方式，標(biāo)識(shí)并完成 ILM 和 FIM 導(dǎo)出的任何啟用郵件的對(duì)象的置備。RUS 將對(duì) Exchange 2007 和 2003 的聯(lián)系人和用戶啟用郵件。它還將完成郵箱的置備，而且如果 homeMDB 指向 Exchange 2003 服務(wù)器，RUS 將置備 Exchange 2003 郵箱。如果您僅需要 Exchange 2003 郵箱以及啟用郵件的用戶和聯(lián)系人，并假設(shè)我們介紹的其他方法不適合您的部署，則您可以考慮使用 Exchange 2003。

但是請(qǐng)注意，如果您這樣做，Exchange 2007 郵箱的置備將不完整。如果 homeMDB 指向 Exchange 2007 郵箱，則將置備該郵箱，但該郵箱不包含 Exchange 2007 所需的所有屬性。您必須使用 Exchange 2007 置備機(jī)制來置備 Exchange 2007 郵箱。如果解決方案要求您置備 Exchange 2007 郵箱，請(qǐng)考慮使用 ILM 或自定義 PowerShell 腳本。

若要了解有關(guān) Exchange 2003 和 Exchange 2007 共存的更多信息，請(qǐng)查看 TechNet 文章“如何在現(xiàn)有 Exchange Server 2003 組織中安裝 Exchange 2007”。

推薦

如果環(huán)境中具有 ILM 2007 FP1 或 FIM 2010，則可以利用其置備郵箱，因?yàn)樗鼈儾粌H可以減少手動(dòng)管理任務(wù)，而且可以提高最終用戶的工作效率和增強(qiáng)安全性。但是，如上所述，如果您的特定方案要求在 Exchange 2007 和 ILM 2007 FP1 服務(wù)器之間使用防火墻，則您可能需要借助外部進(jìn)程來增強(qiáng) ILM 2007 FP1 或 FIM 2010 與 Exchange 2007 的功能。您可以選擇使用 ILM 2007 FP1 在 AD 中置備用戶或聯(lián)系人對(duì)象，然后利用 PowerShell 腳本對(duì) ILM 已置備的對(duì)象啟用郵件或郵箱功能。PowerShell 腳本在以下情況下可發(fā)揮作用：例如組織的策略不允許將 Exchange 收件人管理員權(quán)限授予 ILM 2007 或 FIM 2010 利用的服務(wù)帳戶。

原文：http://technet.microsoft.com/zh-cn/magazine/ff472471.aspx

來源：微軟TechNet中文站