本页内容
症状
原因
解决方案
更多信息
跨林身份验证方案
这篇文章中的信息适用于:
症状如果您的 Exchange 组织包含 Microsoft Exchange 2000 Server 计算机和 Microsoft Exchange Server 2003 计算机,并且您将某用户的邮箱从 Exchange 2000 移到 Exchange 2003,则在其邮箱现在存储在 Exchange 2003 中的用户使用 Microsoft Outlook 打开 Exchange 2000 用户发送的邮件时,发件人的电子邮件地址将不会得到正确的解析。该电子邮件地址显示为简单邮件传输协议 (SMTP) 地址,如以下示例所示: "Don Hall"
即使全球通讯簿中包含发件人的关联 Microsoft Active Directory 服务帐户,该电子邮件地址也没有更多可用的信息。
原因如果以匿名方式提交邮件(如从 Internet)并且邮件的发件人是伪造的,则会发生此问题。默认情况下,Exchange2003 保留原始 SMTP 邮件提交方法,并且在匿名提交 SMTP 的情况下不解析发件人的地址。 如果要允许将匿名提交的地址解析为其各自的全球通讯簿条目,可以使用 Exchange 2003 中一个名为“解析匿名发件人”的新功能。使用该功能可以解析 SMTP 虚拟服务器匿名接收的邮件。 解析匿名发件人功能取代了 Exchange 2000 中的 ResolveP2 功能。
有关 Microsoft Exchange 2000 中 ResolveP2 功能的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章: Q288635 XIMS:Exchange 2000 Server 中的 ResolveP2 功能
解决方案如果要将匿名提交的地址解析为其各自的全球通讯簿条目,必须在 SMTP 虚拟服务器上打开“解析匿名电子邮件”选项。为此,请按照下列步骤操作: 1.
单击“开始”,单击“程序”,指向“Microsoft Exchange”,然后单击“系统管理器”。
2.
在“系统管理器”中,展开“服务器”,然后展开目标服务器。
3.
展开“协议”,然后展开“SMTP”。
4.
右键单击 SMTP 虚拟服务器,然后单击“属性”。
5.
在“属性”对话框中,单击“访问”选项卡,单击“身份验证”,然后单击以选中“解析匿名电子邮件”复选框。
注意:Microsoft 建议您不要在从 Internet 接收邮件的所有 Exchange 计算机上打开“解析匿名电子邮件”选项。如果打开“解析匿名发件人”选项,则任何用户都可以通过 SMTP 服务器发送匿名邮件,并且呈现给收件人的电子邮件似乎是经身份验证的邮件。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章: 288635 XIMS:Exchange 2000 Server 中的 ResolveP2 功能
更多信息此问题仅影响匿名提交的邮件。 使用 Outlook 通过 Microsoft Outlook Web access (OWA)、Distributed Authoring Version (DAV) 或 MAPI 提交的邮件都是经身份验证的邮件提交方法,如以下示例所示: %26#8226;
经身份验证的发件人:Jane Doe
%26#8226;
匿名发件人:“Jane Doe”
这种 SMTP 功能类似于 Exchange 2000 中的 ResolveP2 功能。但是,在 Exchange 2003 中,这些注册表设置已被取代。默认情况下,Exchange 2003 保留每个服务器协议会话期间的 SMTP 提交方法(匿名或经身份验证)。
此外,Internet 边界 SMTP 网关必须接受来自 Internet 邮件流的匿名连接。恶意用户可以通过在网关处将发件人地址伪装成 Active Directory 中的有效用户来伪造邮件。在 Exchange 2003 中,当匿名提交的邮件遍历组织中的邮件服务器时会被跟踪。
注意:如果打开“解析匿名电子邮件”选项,则任何用户都可以通过 SMTP 服务器发送匿名邮件,并且呈现给收件人的电子邮件似乎是经身份验证的邮件。
跨林身份验证方案 启用跨林身份验证
要启用跨林或组织间 SMTP 身份验证,必须在使用其他林中经身份验证的帐户的每个林中创建连接器。这样,经身份验证的用户在两个林之间发送的所有邮件都会解析为全球通讯簿中的相应显示名。这一节说明如何启用跨林身份验证。 在此示例中,有两个分别名为 OrgA 和 OrgB 的林。 1.
在 OrgA 林中创建一个具有“代理发送”权限的帐户。(OrgA 林中也有一个针对 OrgB 林中所有用户的联系人;因此,该帐户允许 OrgB 林中的用户发送经身份验证的邮件。)必须在 OrgA 中的、从 OrgB 林接受传入邮件的所有 Exchange 服务器上配置具有“代理发送”权限的新帐户。
2.
在 OrgB 林中的 Exchange 服务器上,创建一个连接器,该连接器需要使用在 OrgA 林中创建的帐户进行身份验证以发送出站邮件。
要建立从 OrgA 林到 OrgB 林的跨林身份验证,请重复这些步骤以在 OrgB 林中创建一个帐户,并在 OrgA 林中创建一个连接器。
在目标林中创建一个具有“代理发送”权限的用户帐户
在正在连接的林中创建连接器之前,必须在目标林(要连接到的林)中创建一个帐户,并向该帐户授予“代理发送”权限。在位于目标林并将从正在连接的林接受入站连接的所有服务器上配置这些权限。下列过程介绍了如何在 OrgA 林中创建帐户,在 OrgB 林中创建连接器,这使得 OrgB 林中的用户可以用解析后的电子邮件地址将邮件发送到 OrgA 林。
创建用于跨林身份验证的帐户 1.
在目标林(OrgA 林)的“Active Directory 用户和计算机”中,创建一个用户帐户。该帐户必须是活动帐户,但不需要以下权限: %26#8226;
本地登录
%26#8226;
通过终端服务器登录
2.
在将从正在连接的林接受传入连接的每个 Exchange 服务器对象上,为该帐户配置“代理发送”权限。
注意:在创建密码策略时一定要小心谨慎。如果设置过期密码,则确保有一个在密码过期日期之前更改它的策略规则。如果此帐户的密码过期,则跨林身份验证将会失败。 a.
单击“开始”,依次指向“所有程序”、“Microsoft Exchange”,然后单击“系统管理器”。
b.
在“系统管理器”控制台树中,展开“服务器”,右键单击将从正在连接的林接受传入连接的 Exchange 服务器,然后单击“属性”。
c.
在“ServerName 属性”对话框的“安全”选项卡上,单击“添加”。
d.
在“选择用户、计算机或组”中,添加刚创建的帐户,然后单击“确定”。
e.
在“安全”选项卡的“组或用户名”下,选择刚创建的帐户。
f.
在“权限”下,单击“代理发送”旁边的“允许”复选框。
为跨林身份验证配置连接器并要求进行身份验证 1.
单击“开始”,依次指向“所有程序”、“Microsoft Exchange”,然后单击“系统管理器”。
2.
在控制台树中,右键单击“连接器”,指向“新建”,然后单击“SMTP 连接器”。
3.
在“常规”选项卡的“名称”框中,键入连接器的名称。
4.
单击“将通过此连接器的所有邮件转发到下列智能主机”,然后键入接收 Exchange 2003 桥头服务器的完全限定域名或 ip 地址。
5.
单击“添加”以选择本地桥头服务器和要承载连接器的 SMTP 虚拟服务器。
6.
在“高级”选项卡上,单击“出站安全”,然后单击“集成 Windows 身份验证”。
7.
在“出站连接凭据”的“帐户”框、“密码”框和“确认密码”框中,指定帐户和密码。
注意:所指定的帐户和密码必须满足下列条件: %26#8226;
该帐户位于目标林 (OrgA) 中。
%26#8226;
该帐户具有“代理发送”权限。
%26#8226;
该帐户是经身份验证的 OrgA 帐户。
对该帐户名使用以下格式: domain\username
在该格式中,domain 是目标林中的域,username 表示目标林中的帐户,该帐户对目标林中将接受来自该连接器的邮件的所有 Exchange 服务器具有“代理发送”权限。
这篇文章中的信息适用于:%26#8226;
Microsoft Exchange Server 2003 EnterPRise Edition
%26#8226;
Microsoft Exchange Server 2003 Standard Edition
关键字:
kbinfo KB828770
本文转自:http://support.microsoft.com/?scid=kb;zh-cn;828770,
