江小帅Microsoft技术日志 MVP&MCT

这篇Tip技术文档主要帮助大家了解用户可以采用收发邮件的方式，以及使用不同的邮件收发方式之间的区别。这样大家可以对Outlook组件及邮件系统有一个更宏观的了解。

一、 背景知识：
通过Dong, Xin的Outlook training course，大家应该对E-mail电子邮件的收发有了一定的了解。其实Mail系统最基本的功能就是：用户公司网络中的一台Mail Server为公司的每个用户都提供了一个存储邮件的mailbox空间，这个空间用来作为用户处理邮件的存储容器。每一个用户的邮箱都会有一个地址，地址的形式是“用户的标识@公司的域名”。HP员工的默认地址形式应该是“名.姓@hp.com”，例如我的邮箱地址就是zhiliang.jiang@hp.com。有了电子邮箱及地址就可以实现用户之间、用户与Internet上的合作伙伴/customer之间的消息传递（邮件系统被开发出来，本身的定义就是应用此系统会增加人与人的Communication，或者使Communication的过程变的简单，容易。有了communication世界才会进步，人类才能文明J）。除此之外Mail系统本身还提供了一些额外功能，比如说允许用户去设置日历提醒、设置自己的联系人、任务定制等。也就是说只要用户能够连接到自己的邮箱就能够处理其内的邮件，同时也可以是使用部分或全部的额外邮件系统功能。所以邮件系统应该由2个部分组成：邮件客户端工具和Mail Server工具。一般客户端基本上都采用Outlook这个Office组件来连接到邮件服务器上的邮箱。而提供邮件服务的Mail Server，企业一般会采用微软公司的消息协作产品Exchange Server，当然IBM公司的lotus domino也是一种不错的邮件系统解决方案体系（GSD的很多Account都在使用这个产品）。
那么企业中的用户可以使用几种方式去与公司的邮件服务器取得联系呢？
二、 收发电子邮件的方式：
根据邮件客户端与Mail Server之间通讯的方式，我总结了3种一般情况下企业用户经常会采用的连接mailbox的方式，另外还有一种特殊的邮件发送方式。HP公司网络本身也已经使用这些方式来为不同条件的用户与HP的Exchange Mail Server取得联系。理解这3种常规连接方式可以更好的便于大家在HP网络中工作，同时对大家了解Account的邮件设置也是很有帮助的。3种常用的方式为：
1、用户在公司的内部网络，利用计算机上Outlook直接联系Exchange邮件服务器（每天我们都在使用的方式）
2、用户在公司的外部（在家或出差）通过internet，采用IE浏览器，使用OWA（Outlook Web Access）的方式与企业内部网络中的Exchange邮件服务器联系
3、用户在公司的外部（在家或出差）通过internet，利用计算机上的Outlook，采用RPC Over HTTP的方式连接到企业内部网络中的Exchange邮件服务器（GE Team的Agent在troubleshooting GE的Account时，需要将自己的计算机切换进入到GE公司的网络来完成trouble Shooting，但同时还需要利用Outlook访问HP公司Mail Server邮箱中的邮件，他们就使采用这样的方式来访问自己HP邮箱的）
下面我对每一种连接方式做一一介绍
三、 Outlook直接访问Exchange邮件服务器：
我们HP的员工天天都在使用这种方式连接到位于上海的HP Exchange Mail Server（上海和大连包括所有的HP公司其他地区的分部都共同在一个大的惊人的内部网络里，这个网络是HP自己建立的）。这种方式实际上Outlook是使用RPC（Remote Procedure Call远程调用）这个协议与Exchange Mail Server通讯的。这个协议的特点是RPC协议的端口是随机的（更安全），而且连接的速度快。使用RPC协议可以让用户使用Mail Server上提供的所有完整功能（包括联系人、公共文件夹、任务、通讯薄等全部功能）。
四、 OWA（Outlook Web Access）方式：
这种方式经常发生在当用户不在企业网络内部，但是还想访问用户在企业内部网络中的邮箱。用户是利用IE浏览器，并且在IE的地址栏中输入地址信息如图

五、 RPC Over HTTP方式：请参看微软Technet相关配置信息

六、 命令行方式收发电子邮件：
这种方式收发电子邮件多数是用来完成测试的目的，比如你可以测试一下邮件服务器的SMTP服务（该服务用来外发邮件的）是否正常工作。下面我分两类来总结，第一种情况是公司内部利用exchange邮件服务器来实现命令行收发电子邮件（HP的网络中普通的用户是没有submit mail的权利的，所以不能在HP的网络中使用命令行的方式来完成电子邮件的收发）。第二种情况是在Ineternet上利用Internet邮件提供商的邮件服务器来完成命令行上的邮件发送.

P&G用户使用VPN建立连接登录域后无法解析内部主机
Q：一些用户在外地或在家利用本地的ADSL连接，使用VPN拨号软件拨入到连接到VPN服务器，并且访问内部网络的资源。用户可以成功建立VPN连接，但是却无法将内部网络中的服务器DNS名字解析成IP地址，这是为什么？

A： 可能这样的问题在HP很少出现，因为HP为每个客户端计算机配制VPN拨号软件时是利用“连接管理器”创建的VPN拨号连接。这样的VPN拨号软件已经考虑到了在建立连接后可能出现的问题。一些我们GSD的Customer使用的是与HP不同的VPN拨号客户端，比如P&G使用的是利用XP系统VPN连接向导创建出来的VPN连接，GE/DOW等公司使用的是Cisco VPN Adapter这样的适配器（也是利用软件实现的）。使用XP系统中的VPN连接向导创建出来的VPN连接最容易出现上述的问题。

解决以上问题需要了解VPN拨号连接的建立过程和DNS原理解析过程及路由表的知识。我尽量在此处以“问题原因”、“分析问题”、“解决问题”为过程分别做详细的讲解

问题原因：无法解析内部网络的主机名，原因是用户在建立VPN连接之后并没有使用VPN连接的DNS服务器来做默认解析，而是使用了ADSL连接的DNS服务器（ISP指派的）来解析造成的。因为ISP的DNS服务器不可能将企业内网的主机名解析出来，所以VPN客户端在访问内部资源时失败。

知识点：
主机DNS的解析顺序及路由原理：
1、单一网络适配器：默认使用该网络适配器上TCP/IP协议中设置的DNS服务器地址来解析主机名（有的是静态分配，有的是利用DHCP分配），如果该网络适配器上被分配了多个DNS服务器地址，则默认使用第一个DNS服务器（Primary DNS），如果Primary DNS解析不到目标主机，则不会使用Secondary DNS来进一步解析。只有在Primary DNS不可联系（数据包无法送到）或无应答（数据包送到了，但服务器没有个出任何回答信息）的情况才会使用Secondary DNS来继续解析。

2、多网络适配器：默认使用第一块网络适配器上的Primary DNS来解析，如果该DNS服务器不可联系或无应答，则使用该网络适配器上的Secondary DNS来继续解析，如果仍然不可联系或无应答则使用第二块网络适配器上的Primary DNS来解析，如果仍不能联系或得到任何肯定或否定的应答则使用第二块网络适配器上的Secondary DNS服务器来解析。依次类推，在此不做过多的介绍。更多网络适配器解析过程有兴趣各位可以参考《Windows 2000 资源大全》中的“第三卷 AD与活动目录中的-Internet DNS介绍章节”

3、在右击“网络邻居”出现的“网络连接”中的所有连接都会被Windows做以上的调用，当然要看该连接是否建立（启用）以及他们的优先级别设置，那么如何设置某网络适配器是第一网络适配器或某网络适配器是第二网络适配器呢？可以在“网络连接”中的菜单栏“高级”-“高级设置”中将“远程连接”切换到“本地连接”上，来允许计算机在建立远程访问连接之后将优先使用远程访问连接上的DNS设置。

4、如果数据是利用ADSL接口发出的，则数据是不需要加密的。如果数据是利用VPN接口发出的，那么数据是需要加密的。

5、如果主机具有多个网络连接，会有一个网络连接的缺省网关被设置为缺省路由（Level 200的培训中介绍过这个概念），如果要查看本机的缺省路由可以使用“route print”命令来查看

上述几点是分析问题原因的原理部分。通过上面的原理部分可以解答在建立VPN连接后数据的发送接口及发送过程

案例分析：

问题的关键出现在下面的两个方面

1、ADSL连接和VPN连接都被分配了DNS服务器地址，ADSL连接被分配的是电信的DNS服务器地址，而VPN连接被分配的是企业内部的DNS服务器地址。那么先使用哪个连接来作为默认解析呢？如何控制他们的先后解析顺序呢？
2、ADSL连接和VPN连接都被分配了缺省网关，ADSL被分配的是电信的Router地址，而VPN连接被分配的企业的VPN连接的网关。那么哪个网管是该计算机的最终缺省网关呢？操作系统是如何控制哪个连接作为最终的缺省网关呢？

下面我以HP的VPN客户端为案例，分析一下数据是如何解析及路由的。我在Home的计算机HostXP（工作组计算机）上安装并配置了HP的VPN客户端软件及相应的智能卡ActiveKey的驱动。HostXP上有三个连接：“Local Area Connection”、“ADSL”、“VPN”。这三个网络连接的TCP/IP设置均为“自动获得IP地址”。

1、首先，连接上“Local Area Connection”连接。由于网络上没有DHCP服务器来分配IP地址，所以“Local Area Connection”连接会自动利用APICA自动IP编址技术来随机给自己分配一个169.254.0.0/16段的IP地址

2、建立ADSL连接，如下图所示

注意此时的“VPN”（红色区域部分）连接的连接状态为“Disconnected”，并没有建立“VPN”连接。

此时各网络连接的IP地址信息如下图所示：

由于“Local Area Connection”为自适应地址，所以无缺省网关，无DNS服务器地址，只有一个“169.254.0.0/16”段的IP地址。而ADSL建立的连接，被ISP电信分配了一个“59.44.72.83”的IP地址。并配置了缺省网关和两个DNS服务器地址：219.150.32.132和219.146.0.130

各网络连接的路由表信息如下图所示

注意上图中默认的“缺省路由”（即“0.0.0.0”行）为ADSL连接，意味着所有的数据都会利用ADSL的接口发送出去。此时解析Internet上的主机名正常，Internet上的Web网站浏览应该正常。

3、建立VPN连接，如下图所示

注意此时的“VPN”（红色区域部分）连接的连接状态为“Connected”，“VPN”连接已经建立。

此时各网络连接的IP地址信息如下图所示：

PPP adapter HPQ VPN Client v4-AsiaPacific连接就是VPN网络连接，这个网络连接被分配了“16.186.194.6”的IP地址。也被分配了缺省网关和两个DNS服务器地址。所以此时HostXP计算机的三个网络连接都有了IP及选项配置信息。

下图是建立VPN连接后的路由表信息

注意上图中的HostXP主机的路由表信息，默认路由有两条，但第一条“0.0.0.0 0.0.0.0 16.186.194.6 16.186.194.16 1”为默认路由，所以上图中最下面的“Default Gateway”字段对应的只是“16.186.194.6”.
注意ADSL连接的条目（0.0.0.0 0.0.0.0 59.46.240.199 59.46.240.199 2）在“Metric”项目与只建立ADSL连接（（0.0.0.0 0.0.0.0 59.46.240.199 59.46.240.199 1）的路由表相对比，被自动+1，变成了2。默认“Metric”越小，级别越优先。也就是最先使用该连接发送数据。

4、下图是运行nslookup.exe命令的提示

如何解释上图中的现象？我利用知识点中提及的知识点来进行解释。当运行nslookup命令后，出现的两个超时说明默认主机使用的是ADSL的DNS设置来进行解析的，但是却使用VPN接口来发送的数据（注意在VPN连接的路由表我们已经分析了，此时VPN连接是默认的缺省路由），所以所有的数据都是利用VPN加密的，所以是无法和ISP的两个DNS服务器（219.150.32.132和219.146.0.130）通信的。这两个超时还说明了，默认主机是使用ADSL的DNS服务器地址列表作为优先解析，并且依次尝试失败（无法联系，对方无应答），所以最后使用了企业内部的DNS服务器来进行解析。并且解析Internet上的www.google.com成功，解析HP内网的athp.hp.com也成功

5、下图是在建立VPN连接后，访问HP内网的视图

解决问题：

上例中使用哪个连接的DNS服务器进行地址解析已经不重要，重要的是使用建立后的VPN连接作为默认缺省路由。所以VPN连接无法在建立连接之后自动的将其他连接的“Metric”加“1”，而让自己的“Metric”值最小。这样VPN连接才是缺省路由。所有的数据无论如何都要从这个VPN连接发送出去。这样就可以解析到内部主机的IP地址了。如果用户要解析Internt主机的IP地址，那么内部的DNS服务器会帮助用户进行解析的。上面的案例就是这样的，www.google.com主机的IP是可以解析出来的。并且也是可以使用VPN连接发送出去的。如果用户使用的VPN拨号客户端是Cisco System Adapter的话，其中在TCP/IP属性中可以自动设置“Metric”的值。所以解决的办法是将ADSL的连接的“Metric”值要高于VPN连接的“Metric”值。

问题解决，如果大家对上面对的解答有疑问或自己的见解，可以发mail给我，我们一起开一个新mail进行讨论。也可以share给大家很多知识的。
注：更改远程访问连接的邦定顺序，可以参考微软KB http://support.microsoft.com/default.aspx?scid=kb;en-us;

Q：用户在一次使用正确的用户账户和密码登录计算机之后出现如下图的提示，然后用户的桌面全部变样了。如何帮助用户解决？

A：每个登录在Windows2000/XP/2003计算机的用户都会在Documents and Settings目录下建立一个与用户登录名一致的文件夹，这个文件夹就是用户的配制文件，配置文件包含了用户的工作环境、桌面快捷方式等设置。用户第一次在计算机上登录，系统会自动利用模板用户配置文件（Default User & All Users）创建一个新的用户配置文件，该配置文件一般是以用户的登录名命名的。一般情况下用户的配置文件都可以正常的加载，但有时可能系统的一些服务或应用组件调用了用户会话的一些进程，或注册表出现占用，这个时候能够导致用户的配置文件不能加载的情况。所以系统会为用户创建一个临时的用户配置文件，而且该临时配置文件的名字不是用户的登录名而是Temp。这个临时的配置文件会在用户注销的时候被系统删除，所以用户对该配置文件的所有操作和编辑都不会被保存。

在“事件查看器”中可以看到如下的报错信息

知道了问题出现的原因，解决的思路就有了。出现的这个问题的原因可能是系统的一些服务或应用组件调用了用户会话的一些进程，或注册表出现占用，也就是“用户会话”在用户登录之前运行了。所以系统无法调用原来用户已经有的配置文件，所以只能为用户创建临时的配置文件了。有两个办法可以解决：

方法一：以本机管理员的身份登录计算机，安装一个工具UPHClean-Setup.msi。这个工具会自动在系统中创建一个服务，这个服务的只要目的就是在用户注销的时候正确结束用户的会话，使用户的配置文件完整，这样下一次登录就不会出现上面的情况了。

方法二：以本机管理员的身份登录计算机，使用一个工具Profwiz.exe。操作步骤如下
1、运行该工具，将弹出“User Profile Wizard”如下图

2、点击“Next”下一步出现“User Account Information”如下图

确认选中该用户账户所在的域及该用户账户的“用户登录主名”（一般的企业公司都会将用户的登录主名做成与用户的e-mail地址形式相同）。

3、点击“Next”下一步出现“Select a User Profile”如下图

该界面罗列出这台计算机上的已经存在的所有的用户配置文件，注意要高亮选中需要赋予在上一步中选中的用户使用的配置文件。

4、点击“Next”下一步出现“Configuring Profile”如下图

5、电击“Next”下一步完成操作，如下图

6、然后使用该用户的账户和密码重新登录该计算机。问题基本可以解决。

3月1日星期四晚23:00才回到沈阳,周五跟manager请了一天假.因为签证就预约在3月2日.整个春节在韩国过的,除了玩和吃饭早把预约签证的事儿给忘了.2月24日临走的时候才想到预约签证的事情,顿时万分紧张.女朋友帮我在韩国预约的3月2日上午8点签证.好在老天帮忙.

23:00到沈阳的家,我的DS-156/DS-157还没添写呢,赶紧吃了点东西充饥,拼命添完.
24:00准备一些英语可能遇到的问题.
1:00的时候在网上瞎转,不知道怎么就转到了沈阳美国领事馆的网站.无意间发现一条2006年1月份的重要通知:从2006年1月起,非移民签证的DS-156表格全部实行电子程序登记.我靠,而我还刚刚用手写的那个.赶紧在领事馆的网站上注册了一个电子的.好在上帝也帮忙.
1:30注册完成之后将ds156.pdf保存到U盘上.
7:00起床,吃了点昨天晚上的剩饭.(沈阳就我一个人,没办法,糊弄吧)
7:20梳洗完毕,穿上西装,扎好领带,整理一下随身的证件列表
---------------------
Passport
身份证
DS-157/DS-156
Microsoft MVP 2007峰会Invitated Letter
MVP 2005/MVP 2006证书
与公司的合同书
工资证明
职位证明
房产证明
Microsoft MVP 2007峰会的注册信息确认信
一些去欧洲,香港,美国,韩国的照片(没结婚,主要想确认与女朋友的关系)
预约830元的收据
U盘
-----------------------
7:30打车从家出发
7:45到达沈阳美国领事馆
7:50找了个领事馆对面的打印社把U盘中昨晚现做的DS-156PDF打印出来,一共3张,每张要价10元,纯属趁火儿打劫,没办法,给30大米后用目光把所有打印社的服务小姐都分别日了一下才出来排队.
8:00开始排队,我排到第8个.跟大家聊天,这时出来一个牛BI哄哄的宪兵(没记错的话,感觉2年前就应该是他),个人感觉该宪兵有点儿自恋并急切需要群众关注.非让我们30多人排成一行,而且不能有弯儿.
8:20大家开始排队,我被挤到了12个.我前面一个陪签的男子,吉林人,我们聊的很好.他是为他的小外甥女签,小女孩儿的父母都在美国工作.上次的签证申请应该是被check了.
8:30签证官陆续到达.跟2年前不一样的是,这次所有签证官都是走来的,居然没有专车接送.
8:40进入领事馆,前面各种登记墨迹.然后要搜查,我把打火机/PDA/Marlboro/U盘/若干硬币寄存.总体感觉所有在领事馆工作的中国员工素质都有所提高,当他为你搜完身,你说谢谢,他会跟你说不客气.没有太多的距离感(同事广宇曾曰过:都是干服务行业的)
9:00开始交DS-156/DS-157还有Invitated Letter和收据,收材料的女的,相貌十分生猛,跟母狮子一样,透过玻璃窗冲我喊到“下一个……上来……就你一个？……去过没？(美国)……材料拿来……”由于新的DS-156需要中文补充,所以我又落后了几个人,号码变成了021号.反正叫号不是按顺序的,无所谓了.
9:10开始叫号.我坐在位置上跟那个赔签的人聊天.他的小外甥女儿在看我的照片.
9:20一个白衣女子跑到我身边请求我帮她填一个东西,她实在不知道如何写.
9:30大家开始看领事馆发的杂志.我也拿了一本<美国见>
9:40喊到021号了,旁边的那个人推了我一下.我才发现到我了.拿起材料到4号柜台.是个金发的女签证官.我一边向摆材料一边说"Good morning madam, I come to apply B1 VISA".立正站好.微笑,直视
VO示意我要先做指纹,左右手食指
VO:"您好,江先生您去美国干吗?"
ME:"to attend Microsoft Most Valuable Professional 2007 Global Summit"
VO扭头看电脑,劈里啪啦的敲了一通.
ME:"This is the second time,the first time was in 2005"我主动补充到
VO:"上一次您停留了多少时间?这一次呢"
"9days, this time it'll be 5 days"
VO又开始敲电脑,劈里啪啦
VO对我扭过头用中文说:浩的.奖显圣,您地神情通国了.请您吓屋是点赖区灰您的证件
ME:thank you very much
前后没用40秒,我准备的资料她连看都没看,问也没问.

下午4点来取签证的时候除了一对老夫妇,上午认识的人都没有看到.不过在刺骨的寒风中又被那个宪兵队长"虐待"了一下军姿才拿到签证.
Issue Date:02MAY2007 Expiration Date:01MAY2008
entries M

机票定了11日飞西雅图 :)

最近一直在GE的办公室办公，IT Jian-Feng上周周末在临去上海之前Training GE的Agents：在已经建立了到GE的VPN连接之后还想收取HP Mailbox中的邮件应该如何配置Outlook2003（大概是Agents在做case的时候需要察看自己的HP Mailbox）。我大概看了一下具体的设置，该功能是采用Exchange Server 2003的RPC Over HTTP实现的。反正也是为以后的Level 300准备Meterial和Resource，所以小帅搭建出一个前端/后端的邮件服务器环境。其实说白了HP将一台Exchange Server 2003放在两个防火墙之间的DMZ区作为前端Exchange Server（当然HP绝对不会用两个软墙），然后让VPN到其他Account的HP员工可以利用Account本地的Internet连接再连接到该前端Exchange Server，通过该Server将Mailbox的请求发送到一台后端Exchange Server从而实现读取HP Mailbox中的邮件（HP员工的Mailbox实际上是存储在后端的Exchange Server上的）。这样可以避免采用切换物理网络接口的方式造成活动的网络连接断开。

(未整理完)
-----------------------------------
IP configration and Topology
-----------------------------------

小帅这点儿英国幼儿园中下水平英语写出的文章.请大家多多担待^%$#%#$%

This article describes how to implement to change domain user password over OWA in exchange server 2003 cluster environment by Jiang, Xiao-Shuai.The lab environment is composed of six vmware virtual machines running on my physical computer named Host.

-----------------------------------------------------------------
IP Configuration of Virtual PC & Physical PC and Topology:
-----------------------------------------------------------------

dc01.jzlld.org (OS: Windows.Server.2003.Enterprise.SP1 Role: DC/GC/DNS )
Local Connection Adapter switched to the vmnet1
IP: 10.0.0.1/8
DNS: 10.0.0.1
DG: 10.0.0.101
ca01.jzlld.org (OS: Windows.Server.2003. Enterprise.SP1 Role: CA)
Local Connection Adapter switched to the vmnet1
IP: 10.0.0.2/8
DNS: 10.0.0.1
DG: 10.0.0.101
ex01.jzlld.org (OS: Windows.Server.2003.Enterprise.SP1/Exchange.Server.Enterprise.2003+SP2 Role: Mail Server/Cluster node)
Public Adapter switched to the vmnet1
IP: 10.0.0.11/8
DNS: 10.0.0.1
DG: 10.0.0.101
Private Adapter switched to the vmnet2
IP: 20.0.0.11/8
DNS: null
DG: null
ex02.jzlld.org (OS: Windows.Server.2003.Enterprise.SP1/Exchange.Server.Enterprise.2003+SP2 Role: Mail Server/Cluster node)
Public Adapter switched to the vmnet1
IP: 10.0.0.12/8
DNS: 10.0.0.1
DG: 10.0.0.101
Private Adapter switched to the vmnet2
IP: 20.0.0.12/8
DNS: null
DG: null
---------------------------
cluster.jzlld.org
10.0.0.10/8
excluster.jzlld.org (EVS)
10.0.0.100/8
----------------------------
xp01.jzlld.org
Local Connection switched to the vmnet1
IP: 10.0.0.3/8
DNS: 10.0.0.1
DG: 10.0.0.101
isa-router
Internal Adapter switched to the vmnet1
IP: 10.0.0.101/8
DNS; null
DG: null
External Adapter switched to the vmnet0
IP: 192.168.0.2/24
DNS: null
DG: null
ADSL (pppoe) Connection
IP: auto
DNS: auto
DG: auto

-------------------------
Implementing Steps:
-------------------------
1、Firstly I deploy windows server 2003 cluster. Add the .vmx file of the two-nodes one entry :“disking.lock=false”.
2、Deploy the exchange two-nodes cluster, about setting up two-nodes exchange cluster you can refer to the processes in “Deploying Enterprise Level Virtual Microsoft Network” article that I wrote.About deploying SP2 for your exchange cluster; please refer to the processes in the “Deploying Enterprise Level Virtual Microsoft Network” article that I wrote.
3、After the exchange cluster is deployed successfully, stop respectively the Default Web Site of each node in IIS Management Console.
4、Shut down ex02.jzlld.org node, and then create the IISADMPWD Virtual Directory under the Exchange Virtual Server Web Site of the “ex01.jzlld.org” node.
5、Request a SSL certificate for the Exchange Virtual Server Web Site from the ca01.jzlld.org, and then install it on the exc01.jzlld.org.
6、Only enable SSL on the IISADMPWD Virtual Directory.
7、Configure the IISADMPWD Virtual Directory Default Document and modify the registry to show “change password” button in the OWA.
About changing password over OWA, please refer to the processes in the “Changing Domain User Password Over OWA ” article that I wrote.
8、Remove “C:\Program Files\Exchsrvr\bin\davex.dll” from the App Mappings tab on the IISADMPWD Virtual Directory. Otherwise you’ll receive the error “HTTP 503 Service Unavailable” when trying to change the user's password over OWA.
9、Shut down the ex01.jzlld.org,and then restart the ex02.jzlld.org(make sure that exchange cluster group has deliver to the ex02.jzlld.org ). Repeat 4-8 step on the ex02.jzlld.org. The name of certificate required of Exchange Virtual Server Web Site on the ex02.jzlld.org should be same with the ex01.jzlld.org.
10、Publish the OWA site of the exchange cluster on the isa-router. About how to publish the OWA site on the ISA Server 2004, Please refer to the article that Feng, Jian-Zi has written in the www.isacn.org site.
10、Try to access the OWA site to change domain user passowrd from the internet. It will be good work.
-------------------------------
Cause
-------------------------------
I find some information about the Davex.dll file from Microsoft :The OWA uses the Davex.dll file or Exprox.dll file (the Exprox.dll file for front-end servers and the Davex.dll file for back-end servers) to intercept requests to that Web Site and process those requests for the OWA.

By default, if you create a IISADMPWD Virtual Directory under the Exchange Virtual Server Web Site in the exchange cluster environment, that Virtual Directory inherits properties from the parent. One of the properties that the virtual directory inherits is the list of extensions. The list of extensions includes the Davex.dll or Exprox.dll file, depending on whether the server is a back-end server or a front-end server.
If you create the IISADMPWD Virtual Directory under a Default Web Site in non-exchange cluster environment, the Davex.dll will not appear in the App Mappings tab of the default Web Site. The Davex.dll will not inherit to IISADMPWD Virtual Directory, also. I think it is real reason to receive the error “HTTP 503 Service Unavailable” in the exchange cluster environment.
---------------------------------------------
Microsoft KB:
---------------------------------------------
http://support.microsoft.com/kb/282230/en-us
http://support.microsoft.com/kb/328242/en-us

喜欢许巍及台湾的信乐团早期作品（后期完蛋了）。但最近听Soler着迷了。不知道还能否有机会再次去香港看孪生兄弟Julio和Dino现场的Live。《罗马冬假》、《紧箍咒》、《陌生人》这几首特别的好听。在Channel[V]第一次看他们的现场《失魂》，豁然开朗，节奏感强，现场特别好的那种Pop-Rock。这个夏天自己的耳朵又可以放松了。

最近TMD诸多不顺，今天回来的路上又让暴雨给拍了！拍的一点儿脾气都没有，立毛儿被拍顺了，鼻子尖儿滴水，袜子成了湿抹布，衣服和裤子干脆回家用来拖地，NND。我把身上唯一的电子产品藏在接近裆部的位置回家了……去年我从Microsoft的CompanyShop买了一把看起来象卖冰棍儿的大黑伞，上面印有微软的LOGO。毛毛雨的时候打起来还是很不错的，暴风骤雨的情况下以我的体重是万万使不得的。

讨厌肥男人，拖了衣服去掉脑袋看跟更年期的妇女没区别。尤其是他们光着膀子奋力招手的时候极其恐怖，腋下的两把黑色的“小刷子”很是抢眼。世界杯期间晚上9点到凌晨3点五里河街上到处都是这样的人。黄建翔发彪那场我实在是太饿了就出去买点儿烤串啤酒什么的打包。人太多伙计忙个不停，只好坐在那儿边吸烟边等。一个体积相当于俩付彪的肥裸男背对着我，突然转过头来，一边咀嚼着嘴里的肉串，一边冲我招手儿喊：“小伙儿，帮我把这两串儿鸡头热一下呗”。看着他微颤下垂的巨乳我的声音也微颤了：“大哥……俺也是来买鸡头的……”

前几天接到一个电话（138********），我们喂了半天，没喂出个四五六儿。主要是他说的方言我根本就听不懂，背景还特吵，但我敢肯定他不是外国人。最可气的就是这位应该是四十多岁的汉子，上来就一句：“喂，你哪儿？”（均为四声）----我气儿就TMD不顺：“我哪儿？？我哪儿你不知道啊你，还我哪儿，你说我哪儿？”

Audilm同志到一家公司工作了，星期一他上班的时候我们打电话闲聊：
“你们公司有MM吗？”
“……没有”（Audilm这小子TMD属狮子的，太护食）
“胡扯！你们公司能没有MM？”
“……真没有”（他很委屈，跟我装）
“你们公司干的什么业务？搓澡啊？”
“……”
晚上跟他吃饭的时候才得知：他们公司确实没有MM，原来每天伴随他的是一群“月球女郎”。

2006年7月份我又当选了Microsoft Most Valuable Professional（MVP），明年3月份又可以去美国西雅图了，而且可以看到世界上最有钱的人：Bill Gates。以后不搞微软技术也无憾了。

一、实验环境：
1、虚拟机配置：dc01.jzlld.org（10.0.0.1/8），exchange01.jzlld.org（10.0.0.2/8)，xp01.jzlld.org（10.0.0.3/8）。dc01、exchange01操作系统均为2003SP1，xp01操作系统为XPSP2。
2、角色配置：dc01提供域控制器及企业级别CA服务，exchange01邮件服务器，xp01为用户OWA修改密码的测试计算机。
二、操作步骤：
1、建立jzlld.org域及邮件服务器环境：
在dc01上创建新域jzlld.org并将exchange01、xp01加入到域，在exchange01上安装exchange2003（操作步骤省略）。在dc01上创建一个测试帐户test，其密码为P@ssw0rd。注意一定要清除掉该用户属性中的“用户不能更改密码”复选框。该用户为测试帐户。

2、在域中配置并安装CA：
将dc01配置为企业级别根CA，不需要在安装CA之前安装www服务，因为建立的是企业级别的CA，申请证书的也都是企业中的安全主体。如果需要在安装CA之后安装www服务，可以使用certutil.exe /vroot密令来重新建立Web发布及共享文件夹。次处操作步骤省略。
3、在exchange01上配置iisadmpwd虚拟目录：
打开IIS管理控制台，右击“默认站点”-“新建”-“虚拟目录”-在目录别名中输入“iisadmpwd”-然后在目录路径中输入“c:\windows\system32\inetsrv\iisadmpwd”，设置“读取”及“运行脚本”权限。创建完成之后在该虚拟目录的属性“虚拟目录”中的“应用程序池”处修应用程序池为“ExchangeApplicationPool”。

4、设置iisadmpwd虚拟目录的默认文档：
右击iisadmpwd“属性”-“文档”中将默认的文档修改为aexp2b.asp。注意：如果是仅仅利用OWA的形式修改密码，此处的操作可以省略。
5、 为exchange01上的默认站点申请SSL通讯使用的证书：
在IIS控制台中，右击“默认站点”-在属性中的“目录安全性”中，选择“服务器证书”-“新建立一个证书”-然后在“延迟或立即请求”中选择“立即将证书请求发送到联机证书办法机构”。其他设置遵循默认设置即可。没必要启用“默认网站”或其他虚拟目录的SSL功能，除非希望当用户访问的时候必须要求SSL通讯。
6、在exchange01上修改注册表显示“更改密码”按扭：
修改注册表位置为：在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeWeb下找到DisablePassword，将其值设置为0，即为启用“更改密码”按扭。该值为1为删除掉“更改密码”按扭（默认设置）。
7、有的时候需要修改IIS Metabase元数据中的PasswordChangeFlags值，该值为0：要求通过 SSL 密码更改，该值为1：允许通过非安全端口密码更改，该值为2：禁用密码更改，该值为4：禁用密码过期通知。默认为该值为0。如果需要修改可以使用以下命令：

8、修改默认的域策略中的帐户策略：
将jzlld.org域中，默认域GPO中的“计算机配置”-“Windows设置”-“安全设置”“帐户策略”-“密码策略”中的“密码最短使用期限”设置为0天。该值默认为1，意味着密码变化24小时之后才可以更改新的密码，修改为0天，意味着可以立刻更改密码，否则可能在修改密码的时候出现“密码太短，或不满足密码唯一性限制”。另外也可以将“强制密码历史”设置为0，即不保留密码历史。为了域的安全性考虑小帅只做这两处的修改就可以了，没有修改密码复杂度要求。

注意：每个域必须在默认域策略或链接到域根的新策略中定义帐户策略，并且帐户策略要优先于由组成该域的域控制器强制实施的默认域控制器策略。域控制器总是从域的根目录中获取帐户策略，即使存在应用于包含域控制器的 OU 的其他帐户策略。
这一点小帅曾经在2004年的日志中《应用在OU上的GPO帐户策略》文章中提及到这个问题，请参考该链接：http://desperado.blogdriver.com/desperado/122626.html
9、测试利用OWA形式修改Test@jzlld.org帐户的密码为P@ssw0rd1

 
利用Web环境修改Test@jzlld.org的密码为原来的P@ssw0rd

注意红色圈中的部分

三、相关链接
1、certutil.exe命令行参：
http://support.microsoft.com/default.aspx?scid=kb;en-us;185195
2、FIX：当您使用 IIS 6.0 中的密码改变页时，遇到不同的问题：
http://support.microsoft.com/?scid=kb;zh-tw;833734&spid=2097
3、实现与 OutlookWebAccess 更改密码功能
http://support.microsoft.com/kb/297121/

五一陪柳小冰还有姐姐去香港扫货，刚下飞机。累死了，NND，看出来了男人就是劳工！

第二次的感受：

1、素质决定民族命运；2、超喜欢香港真正的民主先锋：陈方安生；3、HongKong Disney不错，不过美国、日本的一定更不错；4、香港人都很清醒，因为啤酒很贵；5、说好英语行万里路啊；6、香港的小混混都很帅别说美女了；7、人民币不是钱；8、看见阿Sir腰上挎着的一堆设备（警棍、对讲……）就知道在香港屁股大的才能当警察；9、美女是需要仰视的（TMD太高了）；10、墉记退步了，跟北京烤鸭彻底没法儿比了。

这个话题起因是Winmag论坛里dnsfans兄的一句留言贴“如果我没记错的话，如果以后森林结构发生变化，例如其中一个森林创建了一个新的域.那么森林信任需要重做新，域不自动继承森林间的信任”。真像dnsfans兄说的那样吗？小帅的第一个反映是微软绝没那么粗心（MVP峰会的时候看见微软AD开发团队的那几个人一个比一个“驴”）。非要到微软找个官方的说法不可。搜索了半天没有一点儿头绪到是找到了这句话的源头，原来是论坛里面的一个贴子名字是“张东辉新作2：Windows Server 2003的信任关系”里的最后一句：【最后的说明】实验中发现，建立林信任关系后，再在林中添加域。要想使新的域也获得传递的林信任关系，需要重新建立林信任关系。
看来dnsfans兄应该看了这篇文章才这么说的。小帅决定也在实验中发现发现。

一、建立林jzlld.org中的第一个域jzlld.org并提升至2003林功能级别。如图01

dc01（10.0.0.1/8），本机管理员密码为P@ssw0rd1，提升之后为dc01.jzlld.org，域管理员密码为P@ssw0rd1。

二、建立林lxl.org中的第一个域lxl.org并提升至2003林功能级别。如图02

dc02（10.0.0.2/8），本机管理员密码为P@ssw0rd2，提升之后为dc02.lxl.org，域管理员密码为P@ssw0rd2（为什么要设置不同的密码继续看就会明白小帅的用意了）。

三、建立林jzlld.org中的第二个域suba.jzlld.org

dc03（10.0.0.3/8），本机管理员密码为P@ssw0rd3，提升为jzlld.org域的子域的时候出现如图3错误提示。

这并不是DNS配置错误导致的，DNS配置绝对没有问题，而且在dc03上做nslookup命令查询正常，这是什么原因的？这是因为dc03（目前还为工作组状态）的本机管理员（密码为P@ssw0rd3）没有资格去浏览jzlld.org森林中域的列表，别忘了dc01.jzlld.org的域管理员的密码是P@ssw0rd1。而通常我们都会使用相同的管理员密码来操作该步骤。使用net use命令与dc01建立一个空连接IPC$或访问一下dc01的共享该步骤即可通过。如图04

注意，在安装快要结束的时候如果不将已经建立好的IPC$连接删除，仍然会出现如图05的错误。

要在图04之前单击下一步的时候使用net use /delete命令将IPC$空连接删除。这样就不会出现图05的错误了。以下建立DC依此规则。

提升之后为dc03.sub.jzlld.org，域管理员密码为P@ssw0rd3。

自动创建了林内部的可传递、双向信任关系。如图06

四、设置DNS互相转发，建立林jzlld.org与林lxl.org的林信任关系，两个林均为“全林性身份验证”。（操作步骤略）

此时林jzlld.org（域jzlld.org、子域suba.jzlld.org）林lxl.org（域lxl.org）三个域全部双向信任。在dc03上建立一个文件夹Test赋予lxl.org域的Domain Users组权限测试一下信任关系如图07

五、建立林lxl.org中的第二个域subb.lxl.org

DC：dc04.subb.lxl.org（10.0.0.4/8），该域管理员密码设置为P@ssw0rd4

等待一段时间让dc01和dc02收敛，重新启动也可以。然后在dc03赋予administrator@subb.lxl.org在Test文件夹上的权限、在dc04赋予administrator@suba.jzlld.org在Test文件夹上的权限来测试信任的传递。如图08、09

林信任即使不重新建立suba和subb两个域也有了信任关系。（并不象张东辉文章中的结论一样，小帅没有重新建立林的信任关系，只是重新启动dc01和dc02并给了一些时间，信任传递了）

到此我们整理一下以上的思路，理解一些概念并将所有的信任及登录是的下拉对话框总结一下。

TDO（Trust Domain Object）：存在于活动目录中，用以代表两个域或森林之间信任的对象。当森林信任存在时，TDO被标记为 “森林”（TOD也可以代表“外部信任”的）。它也包含了一些其他的附加“森林信任信息”属性。“森林信任信息”属性包含了关于远程森林中的所有域、目录树名称以及任何可选名称后缀的信息。该信息用于发送身份验证并在需要时查找远程森林。该信息被传播到全局编录，使域控制器可以搜索。TDO 存储在 Active Directory “Domain”容器中的“System”容器中。

如图10是小帅在dc01上查看已经建立的林信任的TDO及属性，其中展开的是“msDS-TrustForestTrustInfo”属性值，这个属性就是上面提到的“森林信任信息”属性，可惜TMD无法查看其内容，其内容为8位组字符串。
http://windowssdk.msdn.microsoft.com/library/default.asp?url=/library/en-us/adschema/adschema/a_msds_trustforesttrustinfo.asp 到是给了这个属性一个很好的解释。随着森林拓扑的变化，该属性应该变化的，因为其内包含了信任林的所有域、目录树名称，更新此属性值是需要时间的。

DomainInfo 记录：包含DNS 名称，网络基本输入/输出系统 （NetBIOS） 名称，以及每个域的 SID 。（可以使用netdom来参看）

还有一些概念“TLN（Top Level Name顶级名称）”，“TLNEx（顶级名称排除）”（这两项都是可以通过使用netdom命令来管理的）、 “UPN”（使用ADUC管理）等请参阅
http://www.microsoft.com/china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/fedffin2.mspx的附录部分。
“显式UPN”、“隐式UPN”不要混淆，请参阅小帅以前发表在Blog上的一篇引用文章http://desperado.blogdriver.com/desperado/381206.html。

到此为止我们整理一下所有域中DC及成员计算机的登录界面如图11。应该可以总结出规律了。注意：跨林登录是要使用UPN登录的，林信任可以使用显式UPN、隐式UPN都可以，外部信任只能使用隐式的。

如图12是在一台subb域的成员计算机srv01上，利用suba域的administrator帐户的UPN隐式登录的样子。

六、建立林lxl.org中的第二棵树2ndtree.org看看是否传递信任

DC：dc05.2ndtree.org（10.0.0.5/8），管理员密码设置为P@ssw0rd5，提升为DC的时候安装DNS，然后注意DNS的转发设置，在dc01、dc02上添加新的条件转发2ndtree.org到10.0.0.5，在dc05上设置两个条件转发jzlld.org到10.0.0.1，lxl.org到10.0.0.2。

如图13显示的是dc05的DNS，注意_msdcs.lxl.org这个DNS区域是从dc01复制过来的（别忘了小帅写的《2003应用程序目录分区深入了解》，看来知识是需要联系起来的）。

看看信任，到dc01上看信任关系，注意此时信任还没有在域2ndtree.org与林jzlld.org之间传递，因为到树2ndtree.org的路由还没有启用。如图14

启用到2ndtree.org目录树的路由，点击启用即可启用传出/入路由，等待一段时间让森林之间自行收敛。

测试：在dc05上创建一个文件夹Test，赋予suba、jzlld域内的管理员权限如图15。

最后小帅使用netdom trust命令查看各森林根的“DomainInfo 记录”（上面小帅提到过）。（注意/NameSuffixes参数只能在森林的根域运行）。大家可以利用密码的不同来区别不同域（这就是小帅为什么要在此实验中为每一个域使用不同的密码）。如图16、17

由此说明：不需要在林中域的结构发生变化之后重新创建林信任。有了TDO，有了DomainInfo记录，森林信任已经包含了足够的信息来判别哪些服务或用户驻留在哪个位置。实践是检验成功的唯一真理。

七、林信任的其他特性

选择性身份验证：请参看张东挥的文档，在Winmage的精华区里面。

SIDHistory及ISD过滤：小帅在《ADMT2.0迁移第二版》中讨论过这两个东东。

八、经验总结及相关链接

1、林信任的建立需要使用ADDT管理组件来进行操作，netdom命令是不能创建林信任的，但是可以创建外部信任。

2、小心设置你的GC，2003森林模式要求你的GC和域命名主控必须要能够通讯正常，另外DNS名称解析也是非常重要的，如果在防火墙的环境中部署，上面的参考链接中已经给出了DC通讯的端口说明。

3、立刻出现信任的传递那是不可能的，尤其是在复杂型多域、多林、多站点的网络环境中。林根DC/GC间的通讯应该畅通，在有多站点设置的环境中尽量让GC作为桥头堡服务器。

相关链接

信任工具之间的比较
http://technet2.microsoft.com/WindowsServer/en/Library/108124dd-31b1-4c2c-9421-6adbc1ebceca1033.mspx
跨域资源访问
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/116d34e5-5615-4fb8-a8ef-47b94c294b58.mspx?mfr=true
跨林资源访问
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/116d34e5-5615-4fb8-a8ef-47b94c294b58.mspx?mfr=true
Security Considerations for Trusts
http://technet2.microsoft.com/WindowsServer/en/Library/1f33e9a1-c3c5-431c-a5cc-c3c2bd579ff11033.mspx