2010年2月22日
今天一个客户反映DNS中有很多重复的记录,要如何做清理,回复邮件的时候,顺便把blog也一并写了
在DNS服务器中,可以针对DNS记录做老化和清理的工作。
首先要了解一个概念,时间戳
对于每个动态更新记录,会基于当前的DNS服务器时间创建一个时间戳,但DHCP客户端服务或者DHCP服务器为此区域中的A记录进行动态更新时,会刷新时间戳。手动创建的资源记录会分配一个空的时间戳记录,代表他们不会老化.
我们可以在DNS管理控制台中打开查看的高级选项,然后查看DNS记录。
动态更新记录的刷新周期请参阅如下表格
在DNS区域中有老化的设置
无刷新间隔定义
当无刷新间隔对特定资源记录起作用时,动态刷新其时间戳的尝试将被 DNS 服务器制止。老化/清理机制的该特征能防止服务器对老化资源记录的不必要刷新。这些以前的刷新尝试,如果不如此解决,可能会增加与处理 DNS 区域更改相关的 Active Directory 复制通信。
要确保记录不会过早刷新,“无刷新间隔”与每个资源记录的当前刷新间隔在时间长度上必须对应。例如,如果将“刷新间隔”增加到更大的值,则必须同样增加无刷新间隔。
在多数情况下,7 天的默认间隔就足够了,无需进行更改。
服务器不接受记录刷新的时间(服务器仍接受更新),这个值是最后一次刷新和最早可以再次刷新之间的间隔
刷新间隔定义
当刷新间隔对资源记录起作用时,自动刷新其时间戳的尝试被 DNS 服务器接受和处理。设置该间隔时,所使用的时间长度要比包含在区域中的任何资源记录的最大可能刷新周期长,这一点非常重要。该周期相当于在基于生成记录刷新的特定来源的正常网络环境下刷新记录可能需要的最长时间。
从上面的定义来看,刷新间隔,我们设定的这个值一般可以依据最长的DHCP服务器刷新,>=DHCP租约50%
无刷新间隔,设定太长会增加过期记录的保留时间,设定太短会引起不必要的AD复制通讯,因此基本设定与刷新间隔相同。
因此如果依照默认的设定,在时间戳后14天(7天+7天),记录将被标志为过期记录。
当然上面的操作,只是将记录标志为过期,还没有执行清理的操作。
1.自动清理
2.手动清理(一次性,非重复)
那针对我那客户的状况,还有点特殊,客户是以前自己手动添加的记录,那我们针对手动的记录可以勾选Delete this record when it becomes stale这个选项。
当记录过期时间到了后也能通过自动清理或手动清理,删除掉。
当然这个操作还是要手动一个记录一个记录改,有这个时间都可以直接删除记录了,嘿嘿!
posted @
2010-02-22 11:13 joyclear 阅读(794) |
评论 (0) |
编辑 收藏
2009年9月15日
一直是习惯用图形界面迁移邮箱,最近在做项目中,要用到大量的迁移工作,就仔细看了下move-mailbox命令,发现命令里面的一些参数功能很强大。
1.MaxThreads(0-30),图形界面中默认是4个线程,在命令行中可以选择0-30,0估计就是默认值。当然微软有提醒:要使用的线程的可接受范围由 Exchange 组织的性能确定。建议在同时移动多个邮箱之前,先进行有效性测试来确定环境的可接受范围。
2.ConfigurationOnly,可以用于数据库移到新位置,加这个参数来修改AD中的属性,这个参数在SCR中用到过,倒是没想到可以用在迁移用户邮箱中,要先做个测试。
其他还有些AllcontentKeywords,ContentKeywords,SubjectKeyword根据关键字移动邮件,可以赶上export-mailbox命令了,不错不错。
posted @
2009-09-15 11:11 joyclear 阅读(519) |
评论 (0) |
编辑 收藏
2009年9月8日
Exchange 2007服务器公用文件夹做复制,通过SP1的管理界面可以一个个目录来设定,但是效率太低,如果公用文件夹多的话,就比较麻烦。
从手册中查到AddReplicaToPFRecursive.ps1这个脚本可以批量添加服务器角色
该命令的help
但是这个命令有个bug,TopPublicFolder参数竟然不认空格。
例如:某个目录的名称为 Office NewsGroup, 当在命令中里面输入 –TopPublicFolder “\Office NewsGroup”, 竟然不认。
解决方法就是再套 ‘’符号, 也就是命令为 –TopPublicFolder “’ \Office NewsGroup’” .
posted @
2009-09-08 15:50 joyclear 阅读(485) |
评论 (0) |
编辑 收藏
2009年7月29日
这二天在重新做一下CCR的实验,突然想到之前有客户问,CCR的数据库日志是否可以选择心跳线传输,减少网络压力。
在Exchange帮助文档中,关于群集网络有三种模式,如下描述,其中关于专用网络,数据库更新通讯使用此网络,这个数据库更新通讯到底是指什么呢?是否就是日志传输?
再继续查Help文档
冗余群集网络上的连续复制
在 Microsoft Exchange Server 2007 的正式发布 (RTM) 版本中,CCR 环境中的所有事务日志文件复制和种子设定都发生在公用网络上。此配置具有下列限制:
- 如果被动节点不可用达几个小时,可能会产生大量需要转输的日志。应该在被动节点可用时应尽可能快地移动这些日志。通过公用网络复制日志,日志的移动会与客户端通信争用资源。这将影响客户端通信并使重新同步变慢。
- 在公用网络出现故障时,即使日志数据可用,故障转移也会丢失数据。
- 使用孤立的网络进行日志通信时,可以为邮件数据提供安全性而无需使用加密,也不会引起与其相关的性能损失。
- 在某些情况下,可能出现日志风暴。出现日志风暴时,系统会遇到不同寻常的高复制负担。如果日志数据必须在用于和客户端进行通信的网络上进行通信,可能会导致客户端资源不足。
所有这些问题并非都会以相同频率出现。但是,由于被动节点会因定期维护活动而脱机,第一个问题实际上肯定没几个月就会发生一次。
Exchange 2007 SP1 允许管理员在群集中创建一个或多个混合网络(例如,支持内部群集检测信号通信和客户端通信的群集网络)来进行日志传送,最大限度地减少了上述问题的影响。Exchange 2007 SP1 还允许管理员指定用于种子设定的特定网络。
用于日志传送和种子设定的群集网络必须配置为混合网络。混合网络是为群集(检测信号)和客户端访问通信而配置的任何群集网络。此外,在使用连续复制主机名配置的网络适配器上,管理员必须选中"高级 TCP/IP"属性对话框上的"在 DNS 中注册此连接的地址"复选框。网络适配器使用的 DNS 服务器可以位于公用或专用网络上;但是,无论其位置如何,它必须可以被两个节点访问,以便可以进行主机名解析。
支持在混合网络上进行日志文件复制是使用一个称为 Enable-ContinuousReplicationHostName 的新 cmdlet 来配置的。与此类似,关闭此功能使用 Disable-ContinuousReplicationHostName cmdlet 来完成。群集邮箱服务器位于 CCR 环境中之后,管理员可以在群集的两个节点上运行 Enable-ContinuousReplicationHostName 并指定其他 IP 地址和主机名,之后将在与每个节点相关的专用群集组中创建这些 IP 地址和主机名。执行此任务之后,Microsoft Exchange 复制服务将在成功配置和确认新网络正常运行之后立即开始使用新创建的网络进行日志复制。如果创建了多个新网络,Microsoft Exchange 复制服务将随机从中选择一个网络。如果指定的网络不可用,Microsoft Exchange 复制服务将自动开始使用其他复制网络,如果这些网络都不可用,它将在 5 分钟内开始使用公用网络进行日志传送。(Microsoft Exchange 复制服务每 5 分钟进行一次网络检测。)当首选复制网络重新可用时,Microsoft Exchange 复制服务将自动恢复为使用该网络进行日志传送。
那现在明了了,RTM中,日志传输是通过公用网络传输,SP1后,可以通过混合网络。因此如果我们如果要将日志文件通过心跳线传输,需要设置为混合网络。只是关于之前专用网络中的数据库更新通讯到底是指什么,还要再继续查下资料
posted @
2009-07-29 16:47 joyclear 阅读(1160) |
评论 (0) |
编辑 收藏
2009年7月27日
装了windows 7后,想安装telnet工具,结果找了半天找不到原来的控制面板,添加/删除了,
只好通过命令行来安装了
pkgmgr /iu:TelnetClient
posted @
2009-07-27 15:25 joyclear 阅读(915) |
评论 (0) |
编辑 收藏
2009年7月2日
您的描述中,我理解到您想实现每次开启rpc over http Outlook客户端时,不用手动输入用户名和密码。
如果我理解错了,请告诉我
根据我的经验,我想共享给您两种方法,您可以根据您的情况来决定使用那个方法:
方法一:
=======
这种方法主要是将rpc over http用户的密码存储下来,这样以后每次开启rpc over http Outlook客户端时,就不用手动输入用户名和密码了。
具体步骤如下:
在rpc over http 客户端做一下步骤:
1. 打开 控制面板,双击 Mail
2. 打开对应邮箱帐户的属性,然后点击 More Settings
3. 切换到 Security 选项卡,确保Always Prompt for logon
credentials没有启用.
4. 点击 开始, 点击 运行. 输入下面的命令然后点击 确定
control keymgr.dll
5. 在“Stored user names and passwords” 窗口内, 点击 Add.
6. 然后添加Exchange RPC server 名字, 输入 用户名和密码
然后点击 OK
7. 重启电脑
测试一下是否工作。
方法二:
=======
为rpc over http启用 NTLM authentication. 这种方法要求很苛刻:
1. Exchange RPC server 必须启用NTLM authentication
2. rpc over http 客户端Windows系统登陆用户和邮箱用户用的是同一个账号和密码
3. Exchange RPC server 和rpc over http 客户单之间如果有防火墙,防火墙必须支持NTLM authentication通过.
注释:根据我的经验, 大多数的防火墙都不支持NTLM authentication通过.
马海宾 (Jason Ma)
MCSE
posted @
2009-07-02 12:45 joyclear 阅读(670) |
评论 (1) |
编辑 收藏
2009年6月26日
问题描述
=======
Exchange 2007服务器上的POP3用户无法发送邮件给域外的用户。
问题原因
=======
Cisco防火墙上的Mailguard功能导致EHLO命令无法识别。Outlook会用HELO命令继续发送邮件。这样,用户不会去做验证,而邮件会被当成是从匿名用户发来的,然后被Exchange 2007服务器拒绝。
解决方法
=======
将Cisco防火墙上的Mailguard功能禁用。
叶际帆
MCSE 2003
posted @
2009-06-26 17:32 joyclear 阅读(523) |
评论 (0) |
编辑 收藏
问题描述
=======
Microsoft Exchange System Attendant和Microsoft Exchange Information
Store服务无法自动启动。
问题原因
=======
默认情况下,这两个服务都是依靠在下面这些服务上的:
Event Log
NT LM Security Support Provider
Remote Procedure Call (RPC)
Server
Workstation
由于上述这些服务中的某个或某几个没有很快的启动,导致Microsoft Exchange System Attendant和Microsoft
Exchange Information Store启动超时,并无法自动启动。
解决方案
=======
1. 添加BootPause键值来延迟Microsoft Exchange System
Attendant服务在开机时的启动。这样给了别的服务充分的时间来启动。
2. 修改DependOnService键值使Microsoft Exchange Active Directory Topology
Service和Microsoft Exchange Information Store服务依靠在Microsoft Exchange System
Attendant服务上。
具体设置请参阅之前的blog
http://www.cnitblog.com/joyclear/archive/2008/07/25/47130.html
posted @
2009-06-26 17:26 joyclear 阅读(1236) |
评论 (0) |
编辑 收藏
根据您的描述,我对这个问题的理解是:您想限制一些用户的邮件功能。如果我的理解有误,请告诉我。
下面我将一一为您解答:
1.不能访问全球地址簿
您可以在命令行管理程序中运行下列命令来禁止某特定用户访问全球地址簿:
Get-GlobalAddressList "Default Global Address List" | Add-ADPermission -User "<用户名>" -AccessRights GenericRead -ExtendedRights Open-Address-Book -Deny:$True
注:请将<用户名>替换成您想禁止的用户帐号。
这样的话,该用户就无法在Outlook内打开并查看默认全球地址簿了。但是,若该用户以前登陆过他的邮箱的话,在他的电脑上可能会存有脱机地址簿。这样的话,除非他新建一个Outlook配置文件,不然的话他还是能够看到以前的默认全球地址簿(只不过无法看到最新的)。
根据您的进一步要求,我又做了一些研究并且经过测试后,得出下面的方法来应用到多个用户。
1.首先,假设这些用户都在同一个名叫MVP的组织单元(OU)下。
2.我们先运行下面这个命令:
Get-GlobalAddressList "Default Global Address List" |fl
在得到的结果中,记下它的DistinguishedName。类似如下:
CN=Default Global Address List,CN=All Global Address Lists,CN=Address Lists Container,CN=<OrganizationName>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=contoso,DC=com
3. 接着运行:
$gal = "CN=Default Global Address List,CN=All Global Address Lists,CN=Address Lists Container,CN=<OrganizationName>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=contoso,DC=com"
即用$gal表示前面得到的这个名字。
4.最后运行:
Get-User –OrganizationalUnit MVP | Foreach { Add-ADPermission –Identity &gal –User $_.Name –AccessRights GenericRead –ExtendedRights Open-Address-Book –Deny:$True }
注:简单解释下这条命令,先是用Get-User来get所有在MVP这个组织单元下的用户,然后对每个用户分别执行下Add-ADPermission的命令从而禁止MVP下的所有用户访问GAL。
2.不能访问公用文件夹
如要禁止用户访问公用文件夹,我们可以先用Administrator账号登陆Outlook然后右键点击一个公用文件夹,选择“更改共享权限”,然后再添加指定账户并且将其权限等级设为“无”。然而这样的操作需要在每一个顶层文件夹上都执行一遍。
考虑到您的环境中公用文件夹数量可能较大,因此,我又想到了另外一种方法。
您可以在命令行管理程序中运行下列命令:
Get-PublicFolder –recurse | Add-PublicFolderClientPermission –AccessRights None –User <用户名>
正是因为考虑到不去影响outlook 2003及以前版本的使用,我没有建议直接在Public Folder Hierarchy上将用户的访问公用文件夹权限直接去掉。因为,Outlook 2003及以前版本的用户依赖于公用文件夹来获取一些重要信息(例如:脱机地址簿,忙/闲信息等存在系统文件夹内的信息)。
因此,我们只能在非系统的公用文件夹上对用户一一限制权限,这样的话是不会影响到脱机地址簿等信息的。
至于同时禁止一组用户访问所有非系统的公用文件夹,经我测试,可以在我之前提供的方法上稍作改进:
1.首先,建立一个启用邮件的分发组
打开Exchange管理控制台,收件人配置->通讯组,这里新建一个分发组(假设名叫usergroup)
双击打开该分发组,点击“成员”标签,将您需要限制的用户添加进去。
然后再在命令行管理程序中运行:
Get-PublicFolder –recurse | Add-PublicFolderClientPermission –AccessRights None –User usergroup
注:这里最后的usergroup即刚才新建的分发组。
这样的话,所有该组内的成员都无法访问公用文件夹了,并且不影响到其它使用。
黄 波
在线合作伙伴支持工程师
合作伙伴支持部
微软全球技术支持中心
posted @
2009-06-26 17:23 joyclear 阅读(486) |
评论 (0) |
编辑 收藏