管理員經常使用 Identity Lifecycle Manager 2007 (ILM 2007) 在企業 Active Directory (AD) 和 Exchange 平臺上置備用戶、聯系人和郵箱。利用 ILM 2007 和 Forefront Identity Manager 2010 (FIM 2010) 等身份管理工具，可以消除在 AD 和 Exchange 中創建帳戶和郵箱時涉及的容易出錯的手動任務。

ILM 2007 和 FIM 2010 不僅可以自動置備帳戶和郵箱，還可以合并業務邏輯。這樣可以執行一些功能，例如根據用戶的業務小組或物理位置在特定服務器上創建郵箱；基于用戶的角色設置初始郵箱大小和限制；以及在可用空間最大的郵件存儲中置備新的用戶郵箱。FIM 2010 提供了更復雜的業務邏輯，這種邏輯包含審批工作流和高級功能（如無代碼置備）。

Exchange 環境中最常見的 ILM 2007 實現是同步位于兩個不同 AD 林中的全局地址列表 (GAL)；置備和取消置備用戶的郵箱；以及在將郵件遷移到新 Exchange 版本時同步兩個企業 Exchange 環境中的目錄。

置備方案中 ILM 2007 和 FIM 2010 的實現可能會因網絡基礎結構、安全策略和 Exchange 配置的不同而異。本文概述了使用這兩種產品在 Exchange 環境中進行置備的過程，還深入剖析了使用 Exchange 2003、2007 和 2010 簡化置備過程的主要功能。

結構概述

ILM 2007 和 FIM 2010 可以在 Exchange 2003、2007 和 2010 中創建啟用郵件的對象。但是請注意，并非 Exchange 的每個版本都支持 ILM 的所有發行版。下表顯示了版本支持明細：

（您可以在 Exchange 服務器可支持性矩陣中找到大量兼容性信息。）

若要啟用 Exchange 置備，必須設置用于創建啟用郵件的對象的置備過程，還必須配置與 Active Directory 和 Exchange 交互的 Active Directory Management Agent (ADMA) 以便置備啟用郵件的對象。#p#

置備過程概述

Exchange 2003

對于 Exchange 2003，ILM 2007 和 FIM 2010 使用 Exchange 的收件人更新服務 (RUS) 完成置備過程。在導出過程中，ADMA 連接到可用或首選域控制器，然后將啟用郵件的對象（由置備配置確定）直接添加到目錄。

RUS 監視對目錄中啟用郵件的對象的更改，并完成 ILM 2007 和 FIM 2010 創建的每個啟用郵件的對象的置備過程。Exchange 將每個對象寫入目錄，這些對象都帶有創建對象所需的最小屬性集。RUS 將 Exchange 策略應用到這些對象并添加其余必需的屬性，使這些對象能夠支持完整的 Exchange 功能集。

置備 Exchange 2003 時，ILM 2007 和 FIM 2010 不需要直接連接到 Exchange 服務器，只需要連接到 Active Directory 域控制器 (ADDC) 即可。（請參見圖 1。）

圖 1 Exchange 2003 置備

Exchange 2007

對于 Exchange 2007，ILM 2007 Feature Pack 1 (ILM 2007 FP1) 和 FIM 2010 使用 Update-Recipient Windows PowerShell cmdlet（Exchange 2007 管理工具的一部分）完成置備過程。在導出過程中，ADMA 連接到可用或首選域控制器，然后將啟用郵件的對象（由置備配置確定）添加到目錄。

將啟用郵件的對象置備到目錄后，ILM 2007 和 FIM 2010 將在 ILM/FIM 服務器上調用 Update-Recipient cmdlet。

圖 2 Exchange 2007 置備

Exchange 2007 置備（請參見圖 2）需要 ILM 2007 FP1 或更高版本或者 FIM 2010。此外，安裝必須滿足以下要求：

• ILM 2007/FIM 2010 同步服務帳戶必須是域帳戶。
• ILM 2007 FP1 管理代理 (MA) 的服務帳戶必須是 Exchange 收件人管理員組的成員。
• ILM 2007/FIM 2010 同步服務器必須已經加入域。不過，不必加入將執行 Exchange 置備的域。
• Windows PowerShell 1.0 必須已安裝在 ILM/FIM 服務器上。
• Exchange 管理工具必須已安裝在 ILM/FIM 服務器上。

Exchange 2010

對于 Exchange 2010，ILM 2007 Feature Pack 1 Service Pack 1 和 FIM 2010 使用 Update-Recipient cmdlet 完成置備過程。但是與 Exchange 2007 的置備過程不同的是，在此過程中，cmdlet 使用 Windows PowerShell 2.0 和遠程執行直接在 Exchange 服務器上運行。（請參見圖 3。）

圖 3 Exchange 2010 置備

Exchange 2010 置備需要 ILM 2007 FP1 SP1 或更高版本或者 FIM 2010。此外，安裝必須滿足以下要求：

• ILM 2007/FIM 2010 同步服務帳戶必須是域帳戶。
• ILM 2007 FP1 MA 的服務帳戶必須是 Exchange 收件人管理員組的成員。
• ILM 2007/FIM 2010 同步服務器必須已經加入域。不過，不必加入將執行 Exchange 置備的域。
• Windows PowerShell 2.0 必須已安裝在 ILM/FIM 服務器上，并且必須已安裝在 Exchange 2010 客戶端訪問服務器 (CAS) 上且已針對遠程訪問進行配置。

置備

若要啟用 Exchange 置備，必須使用腳本置備或無代碼置備來配置用于創建啟用郵件的對象的過程。下表顯示了置備 FIM 2010 以及各種版本的 ILM 支持的類型：

使用 ExchangeUtils 進行腳本置備

ExchangeUtils 類提供了一組實用工具方法，可用來在連接器空間中創建新的郵件對象。若要設置所需的郵箱，用戶對象中至少需要具有以下屬性：

• DN – DN（可分辨名稱）屬性是字符串表示，用于唯一標識 AD 服務器中的對象。
• mailNickname – 此屬性是一個別名，Exchange 用來標識啟用郵件的對象。
• homeMDB – homeMDB 屬性指定收件人的郵箱存儲的 URL。

下面是 Visual Basic .NET 和 Visual C# .NET 中用到的屬性的示例：

Visual Basic .NET：

Public Sub Provision(ByVal mventry As MVEntry) _
    Implements IMVSynchronization.Provision

    Dim adMA As ConnectedMA
    Dim csentry As CSEntry
    Dim nickName, mailboxMDB As String
    Dim dn as ReferenceValue

    try
        adMA = mventry.ConnectedMAs("Fabrikam AD MA")

        nickName   = mventry("mailNickname").Value
        mailboxMDB = mventry("homeMDB").Value

        ' Construct the distinguished name
        dn = adMA.EscapeDNComponent("CN=" + mventry("cn").Value).Concat("ou=mailboxes,dc=fabrikam,dc=com")

        If 0 = adMA.Connectors.Count then
            csentry = ExchangeUtils.CreateMailbox(adMA, dn, nickName, mailboxMDB)
        End If

        ' Handle any exceptions
        Catch ex As Exception
            '...
    End Try
End Sub

Visual C# .NET：

void IMVSynchronization.Provision (MVEntry mventry)
{
    ConnectedMA adMA;
    CSEntry csentry;
    String nickName, mailboxMDB;
    ReferenceValue dn;

    try
    {
        adMA = mventry.ConnectedMAs["Fabrikam AD MA"];

        nickName   = mventry["mailNickname"].Value;
        mailboxMDB = mventry["homeMDB"].Value;

        // Construct the distinguished name
        dn = adMA.EscapeDNComponent("CN=" + mventry["cn"].Value).Concat("ou=mailboxes,dc=fabrikam,dc=com");

        if(0 == adMA.Connectors.Count)
        {
            csentry = ExchangeUtils.CreateMailbox(adMA, dn, nickName, mailboxMDB);
        }
    }

    // Handle any exceptions
    catch(Exception ex)
    {
        //...
    }
}

（您可以在此處找到有關 ExchangeUtils 類的詳細信息。有關使用 ExchangeUtils 的示例，請轉到此處。

Exchange 2007 的腳本置備要求與 Exchange 2003 相同。Exchange 2003 啟用郵件的對象的現有腳本置備無需針對 Exchange 2007 置備過程進行更改即可工作。但是，對于 Exchange 2010，您將需要為 msExchHomeServerName 屬性添加屬性流，我們將在本文有關 Exchange 2010 和 msExchHomeServerName 的部分介紹此屬性。

自定義腳本置備

雖然 ExchangeUtils 提供了一個簡單方法來創建啟用郵件的對象，但您可能需要更好地控制置備過程。所有 ExchangeUtils 方法都返回 CSEntry 對象，利用該對象可以設置對象的附加屬性。建議您允許 ExchangeUtils 創建啟用郵件的對象并使用返回的 CSEntry 對象指定附加屬性。

若要創建啟用郵箱的用戶（該用戶具有默認密碼并且可以登錄），需要使用 ExchangeUtils 生成郵箱，然后使用返回的 CSEntry 對象添加 unicodepwd 和 userAccountControl 屬性，如以下針對 Visual Basic .NET 和 Visual C# .NET 的示例所示：

Visual Basic .NET：

Public Sub Provision(ByVal mventry As MVEntry) _
    Implements IMVSynchronization.Provision

    Dim adMA As ConnectedMA
    Dim csentry As CSEntry
    Dim nickName, mailboxMDB As String
    Dim dn as ReferenceValue

    try
        adMA = mventry.ConnectedMAs("Fabrikam AD MA")

        nickName   = mventry("mailNickname").Value
        mailboxMDB = mventry("homeMDB").Value

        ' Construct the distinguished name
        dn = adMA.EscapeDNComponent("CN=" + mventry("cn").Value).Concat("ou=mailboxes,dc=fabrikam,dc=com")

        If 0 = adMA.Connectors.Count then
            csentry = ExchangeUtils.CreateMailbox(adMA, dn, nickName, mailboxMDB)
            csentry("unicodepwd").Values.Add("p@ssword1")
            csentry("userAccountControl").IntegerValue = 512
        End If

        ' Handle any exceptions
        Catch ex As Exception
            '...
    End Try
End Sub

Visual C# .NET：

void IMVSynchronization.Provision (MVEntry mventry)
{
    ConnectedMA adMA;
    CSEntry csentry;
    String nickName, mailboxMDB;
    ReferenceValue dn;

    try
    {
        adMA = mventry.ConnectedMAs["Fabrikam AD MA"];

        nickName   = mventry["mailNickname"].Value;
        mailboxMDB = mventry["homeMDB"].Value;

        // Construct the distinguished name
        dn = adMA.EscapeDNComponent("CN=" + mventry["cn"].Value).Concat("ou=mailboxes,dc=fabrikam,dc=com");

        if(0 == adMA.Connectors.Count)
        {
            csentry = ExchangeUtils.CreateMailbox(adMA, dn, nickName, mailboxMDB);
            csentry["unicodepwd"].Values.Add("p@ssword1");
            csentry["userAccountControl"].IntegerValue = 512;
        }
    }

    // Handle any exceptions
    catch(Exception ex)
    {
        //...
    }
}

無代碼置備

如果您使用的是 FIM 2010，則可以選擇使用無代碼置備，該方法允許您在置備某個對象的過程中指定添加到該對象的屬性，而無需編寫 VB 或 C# 代碼。若要創建郵箱，至少需要使用以下初始屬性流配置同步規則：

• DN – DN（可分辨名稱）屬性是字符串表示，用于唯一標識 AD 服務器中的對象。
• mailNickname – 此屬性是一個別名，Exchange 用來標識啟用郵件的對象。
• homeMDB – HomeMDB 屬性指定收件人的郵箱存儲的 URL。

若要創建啟用郵箱的用戶（該用戶具有默認密碼并且可以登錄），還需要提供 unicodepwd 和 userAccountControl 的初始屬性流，如圖 4 所示。

圖 4 出站屬性流配置

Exchange 2010 和 msExchHomeServerName

置備 Exchange 2010 時，創建啟用郵件的用戶對象需要附加屬性（即 msExchHomeServerName），必須在置備代碼中提供該屬性。Exchange 使用此屬性來確定將啟用郵件的對象的郵件傳送到何處。

若要在使用 ExchangeUtils 的置備或您自己開發的置備中提供 msExchHomeServerName，需要添加以下示例中以粗體顯示的代碼行：

Visual Basic .NET：

Public Sub Provision(ByVal mventry As MVEntry) _
    Implements IMVSynchronization.Provision

    Dim adMA As ConnectedMA
    Dim csentry As CSEntry
    Dim nickName, mailboxMDB As String
    Dim dn as ReferenceValue

    try
        adMA = mventry.ConnectedMAs("Fabrikam AD MA")

        nickName   = mventry("mailNickname").Value
        mailboxMDB = mventry("homeMDB").Value

        ' Construct the distinguished name
        dn = adMA.EscapeDNComponent("CN=" + mventry("cn").Value).Concat("ou=mailboxes,dc=fabrikam,dc=com")

        If 0 = adMA.Connectors.Count then
            csentry = ExchangeUtils.CreateMailbox(adMA, dn, nickName, mailboxMDB)

	' Add msExchHomeServerName
csentry("msExchHomeServerName").Value = "<value of msExchHomeServerName>"
        End If

        ' Handle any exceptions
        Catch ex As Exception
            '...
    End Try
End Sub

Visual C# .NET：

void IMVSynchronization.Provision (MVEntry mventry)
{
    ConnectedMA adMA;
    CSEntry csentry;
    String nickName, mailboxMDB;
    ReferenceValue dn;

    try
    {
        adMA = mventry.ConnectedMAs["Fabrikam AD MA"];

        nickName   = mventry["mailNickname"].Value;
        mailboxMDB = mventry["homeMDB"].Value;

        // Construct the distinguished name
        dn = adMA.EscapeDNComponent("CN=" + mventry["cn"].Value).Concat("ou=mailboxes,dc=fabrikam,dc=com");

        if(0 == adMA.Connectors.Count)
        {
            csentry = ExchangeUtils.CreateMailbox(adMA, dn, nickName, mailboxMDB);

// Add msExchHomeServerName
csentry["msExchHomeServerName"].Value = "<value of msExchHomeServerName>";

        }
    }

    // Handle any exceptions
    catch(Exception ex)
    {
        //...
    }
}

若要在同步規則中提供 msExchHomeServerName，請添加圖 5 中顯示的初始屬性流。

圖 5 出站初始屬性流配置

管理代理配置

若要正確置備啟用郵件的對象，Active Directory 管理代理必須與 AD 和 Exchange 交互。這要求您配置 Exchange 置備選項（選擇“配置擴展”，然后在“創建管理代理”對話框的右側窗格中進行配置，如圖 6 所示）。

圖 6：配置規則擴展

您還必須確保從“管理代理設計器”窗格中選擇“選擇屬性”，然后在對話框的右側窗格中選取所需的屬性。有關選取哪些屬性的指導，我們提供了一個圖表，其中顯示各種對象類型的屬性。

從 Exchange 2003 升級到 2007：ILM 2007 FP1

ILM 2007 FP1 增加了用于置備 Exchange 2007 啟用郵件的對象的功能。如圖 7 所示，可以通過從“創建管理代理”對話框的左側窗格中選擇“配置擴展”，然后在右側窗格中標記相應的復選框來啟用 Exchange 2007 GAL 管理代理的置備。

圖 7 創建自定義管理代理

這將導致在導出時，ILM 2007 FP1 會在本地調用 Update-Recipient cmdlet，從而完成置備過程。不必執行其他配置操作。

從 Exchange 2003 升級到 2007：ILM 2007 FP1 SP1/FIM 2010

除了可以置備 Exchange 2007 啟用郵件的對象外，使用 ILM 2007 FP1 SP1 和 FIM 2010 還可以顯式指定要執行置備的 Exchange 2007 服務器。“創建管理代理”對話框的“配置擴展”窗格中包含一個下拉菜單，可供選擇 Exchange 版本。

如果選擇 Exchange 2007，則會顯示一個文本框，您可在其中輸入 Exchange 2007 服務器的名稱（請參見圖 8）。例如，對于使用防火墻并需要更好地控制網絡流量的用戶，可以使用此附加配置。保留服務器名稱為空將導致 cmdlet 查找 Exchange 服務器。請注意，如果 cmdlet 無法聯系您指定的服務器，將失敗并返回錯誤。

圖 8 使用“配置擴展”中的下拉列表選擇 Exchange 版本

從 Exchange 2003 或 2007 升級到 2010

如上文所述，使用 ILM 2007 FP1 SP1 和 FIM 2010 可以置備 Exchange 2010 啟用郵件的對象。由于該過程通過 Windows PowerShell 使用遠程執行（如前面討論的“置備過程概述”的 Exchange 2010 子部分中所述），因此您必須提供服務器名稱。如圖 9 所示，單擊“創建管理代理”對話框左側的“配置擴展”后，可以從右側窗格的下拉菜單中選擇要置備的 Exchange 版本。

選擇 Exchange 2010，然后在出現的文本框（請參見圖 9）中輸入 Exchange 2010 遠程 PowerShell (RPS) 服務器的 URI。請注意，不能將此字段留空。此值的格式應為 http://<cas server>/powershell。

圖 9 從 Exchange 2003/2007 升級到 2010

Exchange 2007 以及將 ILM 2007 FP1 升級到 SP1

升級到 ILM 2007 FP1 SP1 后，ILM 2007 FP1 部署中的現有管理代理將保持完全正常運行，而無需執行附加配置或額外步驟。如果需要，可以在“配置擴展”中指定服務器名稱，控制 Update-Recipient cmdlet 將聯系的 Exchange 服務器，但這不是必要的。

#p#

導出過程

正確配置 ILM 2007 和 FIM 2010 的 Exchange 置備后，ILM 2007 和 FIM 2010 將在導出過程中連接到 Active Directory 和 Exchange，然后創建啟用郵件的對象。對于每個版本的 Exchange，此過程都有所不同。

Exchange 2003

對于 Exchange 2003，ILM 2007 和 FIM 2010 使用 Exchange 2003 的 RUS 功能來完成置備過程。在導出過程中，ADMA 連接到可用域控制器，然后將啟用郵件的對象（由置備配置確定）添加到目錄。

如前所述，RUS 監視對目錄中啟用郵件的對象的更改，并完成由 ILM 2007 和 FIM 2010 創建的每個對象的置備過程。再次重申，Exchange 將每個對象寫入目錄，這些對象都帶有創建對象所需的最小屬性集。因此，RUS 將 Exchange 策略應用到這些對象并添加其余必需的屬性，使這些對象能夠支持完整的 Exchange 功能集。

最后，與前面一樣，置備 Exchange 2003、ILM 2007 和 FIM 2010 時，只需要連接到 ADDC；不需要直接連接到 Exchange 服務器。

Exchange 2007

此處的信息實際上與“置備過程概述”下的“Exchange 2007”子部分中介紹的信息相同，但為了方便起見，我們在這里重復一下。對于 Exchange 2007，ILM 2007 FP1 和 FIM 2010 使用 Update-Recipient cmdlet 完成置備過程。在導出過程中，ADMA 連接到可用或首選域控制器，然后將啟用郵件的對象（由置備配置確定）添加到目錄。

將啟用郵件的對象置備到目錄后，ILM 2007 和 FIM 2010 將使用以下命令行在 ILM/FIM 服務器上調用 Update-Recipient PowerShell cmdlet：

Update-Recipient -Identity "<ExportedDN>"-Credential <PSCredential> -DomainController <Fqdn>

其中，尖括號中的占位符將按照以下列表所示進行替換：

• ExportedDN–This is the Distinguished Name of the recently exported object.
• PSCredential–This is replaced with a PowerShell Credential object constructed using the domain, username and password configured for the ADMA.
• Fqdn–The actual value for this parameter is the fully qualified domain name of the domain controller to which the recently exported object was written.

此外，ILM 2007 FP1 SP1 和 FIM 2010 支持 Update-Recipient 的 –Server 參數。如果已使用 Server 值配置 MA，ILM 2007 FP1 SP1 和 FIM 2010 將使用以下命令行在 ILM/FIM 服務器上調用 Update-Recipient cmdlet：

Update-Recipient -Identity "<ExportedDN >" -Credential <PSCredential> -
DomainController <Fqdn> -Server <ServerIdParameter>

其中，尖括號中的占位符將按照上述列表所示進行替換，但增加了以下內容：

• ServerIdParameter–The name of the server entered in the Management Agent configuration dialog is put in place of this parameter.

Exchange 2010

如“置備過程概述”的“Exchange 2010”子部分中所述，對于 Exchange 2010，ILM 2007 FP1 SP1 和 FIM 2010 使用 Update-Recipient cmdlet 完成置備過程。但是與 Exchange 2007 的置備過程不同的是，在此過程中，cmdlet 使用 Windows PowerShell 2.0 和遠程執行直接在 Exchange 服務器上運行。

將啟用郵件的對象置備到目錄后，ILM 2007 FP1 SP1 和 FIM 2010 將使用以下命令行（該命令行中的替代內容與前面討論的尖括號中的項的替代內容相同）在 Exchange 2010 服務器上遠程調用 Update-Recipient cmdlet：

          Update-Recipient -Identity "<ExportedDN>" -DomainController <Fqdn> 

打開到 Exchange 服務器的遠程連接時，將使用在 ADMA 中配置的憑據，因此這些憑據在命令行上并不是必需的。

#p#

故障排除

常見錯誤

在本故障排除示例和后面的其他故障排除示例中，斜體文本顯示事件日志在導出過程中記錄的部分錯誤消息。錯誤消息后面的羅馬字體（非斜體）文本給出了可能原因。

消息：

Event Type: Error 
Event Source: MIIServer
Event Category: Server
Event ID: 6801
.
.
.
Description: The extensible extension returned an unsupported error in MIIS. The stack trace is: Microsoft.MetadirectoryServices.ExtensionException: ExternalEmailAddress is mandatory on MailUser.The mail contact and mail user must have a valid external e-mail address. at Exch2007Extension.Exch2007ExtensionClass.AfterExportEntryToCd....

原因：

這是在導出過程中報告的最常見錯誤。Update-Recipient cmdlet 嘗試使用指定的 DN 為對象啟用郵件功能。Cmdlet 通過檢查啟用郵件的對象的各種屬性來處理這些對象。最后一步，它將嘗試將對象轉換為 MailUser。缺少郵件屬性或郵件屬性無效的用戶對象通常將返回此錯誤，因為 Update-Recipient 無法將該對象轉換為啟用郵箱的用戶。如果 MA 和 Update-Recipient 與不同的域控制器通信，則也可能出現此錯誤。

以下問題之一都很可能是導致此錯誤的原因：

• 您導出的 homeMDB 值可能缺失或無效。請確保要導出的對象的 homeMDB 值存在并指向有效的郵箱數據庫。
• 如果在使用 Exchange 2010 時看到此錯誤但 homeMDB 是正確的，則 msExchHomeServerName 可能缺失或無效。請確保要導出的對象的 msExchHomeServerName 值存在并指示有效的 Exchange 服務器。
• 如果未在 ILM/FIM 服務器上安裝 Exchange 2007 管理工具 SP2 或更高版本，則可能會針對 Exchange 2007 顯示此消息。有關詳細信息，請參見知識庫文章 963679。
• 如果未在 ILM/FIM 服務器上安裝 Exchange 2007 管理工具 Rollup 4 或更高版本，則也可能會針對 Exchange 2007 顯示此錯誤。有關詳細信息，請參見知識庫文章 949858。

Exchange 2007 和 ILM 2007 FP1 錯誤

消息：

Event Type: Error
Event Source: MIIServer
Event Category: Server
Event ID: 6801
.
.
.
Description: The extensible extension returned an unsupported error. The stack trace is: 
Microsoft.MetadirectoryServices.ExtensionException:  System.IO.FileNotFoundException: Could not load file or assembly 'System.Management.Automation, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35' or one of its dependencies. The system cannot find the file specified....

原因：

這表明 ILM 2007 FP1 服務器上未安裝 Exchange 2007 管理工具。ILM 2007 FP1 嘗試加載 Update-Recipient cmdlet，但 PowerShell 未找到該 cmdlet。

Exchange 2007、FIM 2010 和 ILM 2007 FP1 SP1 錯誤

消息：

Event Type: Error
Event Source: MIIServer
Event Category: Server
Event ID: 6801
.
.
.
Description: The extensible extension returned an unsupported error. The stack trace is: Microsoft.MetadirectoryServices.ExtensionException: Windows PowerShell snap-in Microsoft.Exchange.Management.PowerShell.Admin is not installed on the machine....

原因：

如果未在 ILM 2007 FP1 SP1 服務器上安裝 Exchange 2007 管理工具，則會出現此消息。ILM 2007 FP1 SP1 嘗試加載 Update-Recipient cmdlet，但 PowerShell 未找到該 cmdlet。Microsoft 對加載處理稍微進行了更改，因此對于相同的情形，ILM 2007 FP1 SP1 和 FIM 2010 返回的錯誤與 ILM 2007 返回的錯誤略有不同。

Exchange 2010

消息：

Event Type: Error
Event Source: MIIServer
Event Category: Server
Event ID: 6801
.
.
.
Description: The extensible extension returned an unsupported error. The stack trace is:Microsoft.MetadirectoryServices.ExtensionException: Could not load type 'System.Management.Automation.Runspaces.WSManConnectionInfo' from assembly 'System.Management.Automation, Version=1.0.0.0, Culture=neutral, PublicKeyToken=....

原因：

如果 ILM 2007 FP1 SP1 服務器上未安裝 Windows PowerShell 2.0，您將收到與此類似的消息。ILM 2007 FP1 SP1 嘗試遠程加載和執行 Update-Recipient cmdlet，但 ILM 2007 FP1 SP1 無法打開支持遠程執行的 PowerShell 會話。

消息：

Event Type: Error 
Event Source: MIIServer 
Event Category: Server 
Event ID: 6801 
Description: The extensible extension returned an unsupported error. The stack trace is:Microsoft.MetadirectoryServices.ExtensionException:Microsoft.MetadirectoryServices.ExtensionException: Invalid URI: The format of the URI could not be determined....
   at Exch2010Extension.Exch2010ExtensionClass.BeginExportToCd(String connectTo, String domain, String server, String user, String password)

原因：

在 ILM 2007 FP1 SP1 的“配置擴展”對話框中輸入的 CAS 服務器值的格式不正確。正確格式為 http://<cas server>/powershell。

消息：

Event Category: Server 
Event ID: 6801 
Description: The extensible extension returned an unsupported error. The stack trace is:Microsoft.MetadirectoryServices.ExtensionException:Microsoft.MetadirectoryServices.ExtensionException: Connecting to remote server failed with the following error message : WinRM cannot process the request. The following error occured while using Kerberos authentication: The network path was not found.

原因：

• 指定的用戶名或密碼無效。
• 使用了 Kerberos 但未指定身份驗證方法或用戶名。
• Kerberos 接受域用戶名但不接受本地用戶名，而您提供的是本地用戶名。
• 遠程計算機名稱和端口的服務主體名稱不存在。
• 客戶端和遠程計算機位于不同的域中，并且這兩個域之間不存在信任。

檢查完剛提到的問題后，請嘗試以下操作：

• 檢查事件查看器中的與身份驗證相關的事件
• 更改身份驗證方法，并將目標計算機添加到 WinRM TrustedHosts 配置設置或者使用 HTTPS 傳輸

請注意，TrustedHosts 列表中的計算機可能未進行身份驗證。有關 WinRM 配置的更多幫助，請運行命令：winrm help config。有關詳細信息，請參見 about_Remote_Troubleshooting 幫助主題。

如果您在 ILM 2007 FP1 SP1 的“配置擴展”對話框中輸入的 CAS 服務器值不正確，或者尚未為遠程 PowerShell 執行配置 CAS 服務器，則將看到此錯誤。ILM 2007 FP1 SP1 嘗試遠程加載和執行 Update-Recipient cmdlet，但 ILM 2007 FP1 SP1 無法連接到 CAS 服務器上的遠程 PowerShell 會話。

注意事項

ILM 2007 和 FIM 2010

Exchange 置備是 ILM 2007 和 FIM 2010 以及 ADMA 的一項主要功能。只需最少的配置，您便可以將啟用郵件的對象輕松置備到 Exchange 2003、2007 和 2010。需要注意的是，如果 ILM 或 FIM 服務器與 Exchange 之間存在防火墻，則可能需要執行附加配置，而這些配置可能不為您的部署所接受。

例如，Exchange 服務器與 ILM 之間的防火墻實現在 Exchange 資源林實現中尤為常見。此設置要求用戶登錄到帳戶林，且 Exchange 服務器必須在資源林（不同的 AD 林）中承載。

在此方案中，通常在帳戶林中實現 ILM 服務器。因此，除了置備 AD 用戶帳戶所要求的操作外，在 Exchange 中置備啟用郵件或啟用郵箱的對象還要求您打開防火墻端口。

通信協議和端口

ILM 要求下表中顯示的端口將帳戶置備到 AD，但它需要附加端口以便在 AD/Exchange 2007 環境中置備啟用郵件或啟用郵箱的用戶對象。

Exchange 2007

如本文前面所述，ILM 2007 FP1 利用 Update-Recipient PowerShell cmdlet 完成置備過程。該 cmdlet 在 ILM 服務器上執行，用于對 Exchange 2007 中的帳戶啟用郵件或郵箱功能。除了要求連接到 AD 域控制器之外，該 cmdlet 還要求連接到全局編錄 (GC) 和 Exchange RUS 服務器。此方案更為復雜，這是因為 Update-Recipient 在由 ILM 2007 FP1 使用時具備 RUS 選擇算法，該算法最終可以選擇環境中的任何 RUS 服務器。這要求為所有 Exchange RUS 服務器打開多個 RUS 端口。（請參見圖 10。）

圖 10 帶有防火墻的 Exchange 2007 置備

下表顯示在 Exchange 2007 環境中置備啟用郵件或啟用郵箱的帳戶時需要在防火墻上打開的端口。

對于帶有 DNS 的 DC/GC：

對于 RUS（郵箱服務器）：

Exchange 2010

如本文前面所述，ILM 2007 FP1 利用 Update-Recipient PowerShell cmdlet 完成置備過程。該 cmdlet 在 ILM 上執行，用于對 Exchange 2010 中的帳戶啟用郵件或郵箱功能。在此版本的 Exchange 中，所有 cmdlet 都使用 PowerShell 的遠程執行功能來遠程執行。這意味著，此方案所需的端口將根據 PowerShell 的遠程執行要求進行限制，如圖 11 所示。

圖 11 帶有防火墻的 Exchange 2010 置備

下面各表顯示在 Exchange 2010 環境中置備啟用郵件或郵箱的帳戶時必須打開的防火墻端口。

對于帶有 DNS 的 DC/GC：

對于 CAS（郵箱服務器）：

自定義 PowerShell 腳本

稍后我們將探討 PowerShell 腳本，該腳本在指定域中查找當前未啟用郵箱的用戶帳戶，然后對這些用戶帳戶啟用郵箱。該腳本需要在 AD 域控制器上運行，您可以使用任務計劃程序設置腳本將運行的時間。正如您在圖 12 中看到的，ILM 2007 FP1 仍可以將用戶帳戶置備到 AD 域控制器，而且它利用 PowerShell 腳本對用戶帳戶啟用郵件功能。

圖 12 Exchange 2007/2010 置備手動腳本

請注意，雖然您可以使用此腳本為 ILM 置備的用戶啟用郵箱，但該腳本僅適用于不含 homeMDB 或 mailNickname 屬性的對象。

$domain = "LDAP://" + "DC=Fabrikam,DC=Com"

# Open a connection object to AD
$root = New-Object System.DirectoryServices.DirectoryEntry($domain)

# Create a query object 
$query = new-Object System.DirectoryServices.DirectorySearcher($root) 

# Construct a filter string to retrive all objects which are not mailenabled or mailbox-#enabled
$filter = "(&(objectClass=user)(!(legacyExchangeDN=*)))"

# Define filter in the query object
$query.filter = $filter
	
#Retrive objects which met the filter property
$objects = $query.findAll()


foreach($usr in $objects)
{     	
	$properties = $usr.Properties 
	$DN = $properties.distinguishedname[0]
	$dbLoc = "Fabrikam\First Storage group\Mailbox Database"
	Enable-Mailbox -identity $DN -database $dbLoc

	#more informaton on Enable-mailbox here at 
	#http://technet.microsoft.com/enus/library/aa998251(EXCHG.80).aspx
		
}

若要在不使用 homeMDB 值或 mailNickname 的情況下創建用戶，您可以

1. 使用腳本置備：使用管理代理 Connectors 屬性的 StartNewConnector() 方法對象而不是使用 ExchangeUtils.CreateMailbox()。
2. 使用無代碼置備：不在同步規則中包含初始屬性流。

或者，要完成置備過程，您可以對 Exchange 組織中的部分或所有對象實施電子郵件地址策略。以下簡短腳本將對組織中的所有對象實施所有電子郵件地址策略：

Get- EmailAddressPolicy | Update-EmailAddressPolicy

遺憾的是，這是一項成本很高的更新，而且可能需要數分鐘時間，具體取決于環境的復雜程度。您可以改為使用此腳本（將 AddressPolicy01 替換為特定電子郵件地址策略的標識）對組織中的所有對象實施特定電子郵件地址策略：

Update-EmailAddressPolicy -Identity AddressPolicy01

如果您要置備通訊組，則需要附加腳本來更新組織中的通訊簿。以下腳本將更新組織中的所有通訊簿：

Get- AddressList | Update-AddressList
Get- GlobalAddressList  | Update-GlobalAddressList

但是，這也是一項成本很高的更新，而且也可能需要數分鐘時間，具體取決于環境的復雜程度。作為替代方法，您可以使用：

Update-AddressList -Identity "All Contacts\AddressList01"
Update-GlobalAddressList -Identity "My Global Address List"

此腳本將僅更新組織中的特定通訊簿。若要使用該腳本，請將 All Contacts\AddressList01 替換為要更新的通訊簿的標識，并將 My Global Address List 替換為要更新的全局通訊簿的標識。

利用 Exchange 2003 服務器

建議使用 ILM 2007 或 FIM 2010 與 Exchange PowerShell 來啟用 Exchange 置備，但組織的安全要求可能不允許通過防火墻進行所需的通信。這種情況下，您可以使用 Exchange 2003 服務器完成 Exchange 置備。

對于 Exchange 2007 部署，您可以同時運行 Exchange 2003 服務器和 Exchange 2007，通過 Exchange 2003 服務器為它所在的域提供 RUS 功能。執行此操作后，ILM 2007 和 FIM 2010 都可以使用 Exchange 2003 置備模型來置備 Exchange。（請參見圖 13。）

圖 13：使用 RUS 置備 Exchange 2007

RUS 將按照在 Exchange 2003 置備模型中的操作方式，標識并完成 ILM 和 FIM 導出的任何啟用郵件的對象的置備。RUS 將對 Exchange 2007 和 2003 的聯系人和用戶啟用郵件。它還將完成郵箱的置備，而且如果 homeMDB 指向 Exchange 2003 服務器，RUS 將置備 Exchange 2003 郵箱。如果您僅需要 Exchange 2003 郵箱以及啟用郵件的用戶和聯系人，并假設我們介紹的其他方法不適合您的部署，則您可以考慮使用 Exchange 2003。

但是請注意，如果您這樣做，Exchange 2007 郵箱的置備將不完整。如果 homeMDB 指向 Exchange 2007 郵箱，則將置備該郵箱，但該郵箱不包含 Exchange 2007 所需的所有屬性。您必須使用 Exchange 2007 置備機制來置備 Exchange 2007 郵箱。如果解決方案要求您置備 Exchange 2007 郵箱，請考慮使用 ILM 或自定義 PowerShell 腳本。

若要了解有關 Exchange 2003 和 Exchange 2007 共存的更多信息，請查看 TechNet 文章“如何在現有 Exchange Server 2003 組織中安裝 Exchange 2007”。

推薦

如果環境中具有 ILM 2007 FP1 或 FIM 2010，則可以利用其置備郵箱，因為它們不僅可以減少手動管理任務，而且可以提高最終用戶的工作效率和增強安全性。但是，如上所述，如果您的特定方案要求在 Exchange 2007 和 ILM 2007 FP1 服務器之間使用防火墻，則您可能需要借助外部進程來增強 ILM 2007 FP1 或 FIM 2010 與 Exchange 2007 的功能。您可以選擇使用 ILM 2007 FP1 在 AD 中置備用戶或聯系人對象，然后利用 PowerShell 腳本對 ILM 已置備的對象啟用郵件或郵箱功能。PowerShell 腳本在以下情況下可發揮作用：例如組織的策略不允許將 Exchange 收件人管理員權限授予 ILM 2007 或 FIM 2010 利用的服務帳戶。

原文：http://technet.microsoft.com/zh-cn/magazine/ff472471.aspx

來源：微軟TechNet中文站