在打開網頁版地址時。需要輸入https://mail.test.cn/owa,現在來把它簡化成mail.test.cn
A)在EX01服務器上,打開管理工具內IIS管理器
B)在默認網站內,點擊HTTP重定向
A) 如圖配置
B) 打開SSL設置
C) 取消"要求SSL"
D) 取消除默認網站外其他所有頁面重定向,
E) EX02同樣按以上步驟操作,即可通過mail.test.cn訪問郵箱地址
打開OWA頁面會發現,登錄用戶名里會提示輸入域\用戶名,現在來修改只輸入用戶名來登錄
A) 訪問Exchange管理中心:http://mail.test.cn\ecp
B) 點擊服務器-虛擬目錄,如圖選擇
C) 點擊身份驗證選擇僅用戶名,如圖配置
D) 點擊保存后重啟IIS
E) 重啟完成后修改完成,注:兩個服務器均需設置并重啟服務
F) 重啟IIS服務器,打開PowerShell輸入命令iisreset.exe
數據庫可用性組 (DAG) 最高16個 Exchange 郵箱服務器, 可從數據庫、服務器或網絡故障中自動執行數據庫級恢復。 DAG 使用連續復制和部分 Windows 故障轉移群集技術,提供高可用性。 DAG 中的郵箱服務器相互進行故障監視。 添加到 DAG 后,郵箱服務器便會與 DAG 中的其他服務器協同工作,自動執行數據庫級故障恢復
A) 創建見證目錄
創建見證目錄要求
a) 見證服務器不能是DAG成員
b) 見證服務器必須與DAG位于同一個AD林中
c) 見證服務器必須是server2008及以上版本
d) 單個服務器可用充當多個DAG見證,但是每個DAG都要有自己的見證目錄
B) 將DAG成員計算機加見證服務器的本地管理員組
C) 打開exchange管理中心,導航到服務器-數據可用性組-+
D) 輸入DAG名稱、見證服務器名稱、見證目錄路徑,并劃分一個IP地址
E) 參照截圖,添加DAG成員
F) 將2臺Exchange服務器都加入DAG里面,如圖所示
業務網段和心跳網段需要在網絡層面劃分為不同的VLAN。
如果機器為雙網卡,可以配置一個單獨的網卡用于數據庫復制,
a) 創建一個用于DAG的專用網卡,打開虛擬交換機管理
b) 如圖配置
c) 添加網卡到EX01和EX02服務器
d) 配置DAG復制網絡網卡
e) 配置IP地址EX01為192.168.1.21,EX02為1.22
f) 如圖選擇
g) 勾選手動配置數據庫可用性組網絡
h) 新建數據庫可用性網絡組
i) 配置192.168.1.0的IP段
j) 重啟exchange服務
k) 禁用DAG網絡組以外的復制
l) 再次重啟exchange服務
m) 顯示如下狀態
a) 如圖選擇添加數據庫
b) 如圖配置添加新的數據庫
c) 添加完成
d) 重啟"Microsoft Exchange Active Directory拓撲"服務
e) 創建數據庫副本,如圖選擇
f) 選擇服務器
g) 添加完成
設置加域電腦打開Outlook后自動發現郵箱配置
a) 打開Exchange管理中心,到服務器選項,如圖界面
b) 定位到Outlook Anywhere,如圖配置
c) EX02服務也如上操作,
a) Exchange管理中心內打開虛擬目錄設置
b) 更改所有虛擬目錄內部外部URL
a) 打開 Exchange Shell
b) 輸入命令查詢目前Autodiscover的URL路徑:Get-ClientAccessService | select Name,AutoDiscoverServiceInternalUri
c) 輸入命令修改EX01的和EX02的AutodiscoverURL路徑:Set-ClientAccessService -Identity testex2016mbx01 -AutoDiscoverServiceInternalUri https://mail.test.com/Autodiscover/Autodiscover.xml
d) 路徑修改完成
a) 點擊管理工具-打開服務
b) 重啟"Microsoft Exchange Active Directory拓撲"服務
發送連接器用于把郵件發出到公網
A) 打開exchange管理中心,創建發送連接器如圖
B) 輸入名稱,選擇類型
C) 選擇MX記錄
D) 如圖,添加地址空間
E) 輸入完全限定域名
F) 選擇"作用域發送連接器"
G) 添加關聯服務器
基本信息
必要軟件
顯示計算機、網絡圖標,在運行窗口輸入
rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,0
桌面壁紙顯示ip地址信息
https://learn.microsoft.com/zh-cn/sysinternals/downloads/bginfo
Boot Time: <Boot Time>
OS Version: <OS Version>
Host Name: <Host Name>
Logon Domain: <Logon Domain>
Machine Domain: <Machine Domain>
CPU: <CPU>
Memory: <Memory>
IP Address: <IP Address>
DHCP Server: <DHCP Server>
MAC Address: <MAC Address>
Subnet Mask: <Subnet Mask>
DNS Server: <DNS Server>
Default Gateway: <Default Gateway>
Volumes: <Volumes>
A .NET框架4.8
https://download.visualstudio.microsoft.com/download/pr/014120d7-d689-4305-befd-3cb711108212/0fd66638cde16859462a6243a4629a50/ndp48-x86-x64-allos-enu.exe
B.Visual C++ Redistributable Package for Visual Studio 2012
https://www.microsoft.com/download/details.aspx?id=30679
C.在 Windows PowerShell 中運行以下命令,安裝遠程工具管理包:
Install-WindowsFeature RSAT-ADDS
D.Exchange Server 2019 CU12 (2022H1)補丁包
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-2022-h1-cumulative-updates-for-exchange-server/ba-p/3285026
下載地址https://www.microsoft.com/en-us/download/details.aspx?id=30679
E.IIS URL 重寫模塊
IIS 的 URL 重寫模塊需要在累積更新 11 或更高版本中使用。
下載地址https://www.iis.net/downloads/microsoft/url-rewrite
F.添加所需的 Lync Server 或 Skype for Business Server 組件:
Install-WindowsFeature Server-Media-FoundationG.安裝 Unified Communications Managed API 4.0。此程序包可供下載并位于 Exchange Server 媒體的\UCMARedist 文件夾中。
https://www.microsoft.com/download/details.aspx?id=34992
H.使用 Exchange 安裝程序安裝所需的 Windows 組件,請在 Windows PowerShell 中運行以下命令之一
#把window2019的安裝ios加到到本電腦上的z磁盤
Install-WindowsFeature NET-Framework-45-Features, Server-Media-Foundation, RPC-over-HTTP-proxy, RSAT-Clustering, RSAT-Clustering-CmdInterface, RSAT-Clustering-Mgmt, RSAT-Clustering-PowerShell, WAS-Process-Model, Web-Asp-Net45, Web-Basic-Auth, Web-Client-Auth, Web-Digest-Auth, Web-Dir-Browsing, Web-Dyn-Compression, Web-Http-Errors, Web-Http-Logging, Web-Http-Redirect, Web-Http-Tracing, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Lgcy-Mgmt-Console, Web-Metabase, Web-Mgmt-Console, Web-Mgmt-Service, Web-Net-Ext45, Web-Request-Monitor, Web-Server, Web-Stat-Compression, Web-Static-Content, Web-Windows-Auth, Web-WMI, Windows-Identity-Foundation, RSAT-ADDS -Source Z:\sources\sxs
#擴展AD架構
\Setup.exe /IAcceptExchangeServerLicenseTerms /PrepareSchema
\Setup.exe /IAcceptExchangeServerLicenseTerms /PrepareAD /OrganizationName:"tyun"
#在AD用戶與計算機上,你會發現 Microsoft Exchange Security Groups
\Setup.exe /IAcceptExchangeServerLicenseTerms /PrepareAllDomains
I.批量發送郵件給自己
send-mailmessage -to administrator@tyun.cn -subject "TEST49" -Body "請注意!SRVEX 磁碟空間目前已剩下不到 78% 的可用空間 " -smtpserver srvex.ianext.com -from administrator@tyun.cn -Encoding Unicode
J.單exchange服務停止批量啟動
#查看exchange服務
Get-Service -Name "MSExch*"
#顯示完成的exchange名稱
Get-Service -Name "MSExch*" | ft -auto
# 直接重啟 Exchange 已經停止的服務
Get-Service -Name "MSExchange*" | Where-Object {$_.Status -eq "Stopped"} | Restart-Service
K.exchange用戶信息
#用戶登錄Exchange信息
Get-Mailbox -ResultSize Unlimited -RecipientTypeDetails UserMailbox, SharedMailbox | Get-MailboxStatistics | Sort-Object Lastlogontime -Descending | Select-Object DisplayName,MailboxTypeDetail,LastLogonTime,ServerName
#查看目前有架構下所有的 Exchange Server 完整主機名稱等等信息
Get-ExchangeServer | Select FQDN, ServerRole,AdminDisplayVersion,IsEdgeServer
#查看本機所有 Exchange 服務的執行狀態
Get-Service -Name *Exchange* | Select Status, DisplayName | Sort Status | FT -Auto
#測試主機連接smtp服務是否正常
Test-NetConnection srvex.tyun.cn -Port 25 -InformationLevel "Detailed"
#測試連接的所有網絡、來源地址、目的地址以及路由信息
Test-NetConnection -ComputerName srvex.tyun.cn -DiagnoseRouting -InformationLevel Detailed
#Exchange DNS 查看
Get-TransportService | FL *dns*
#把ad用戶導入到exchange
Get-User -RecipientTypeDetails User -Filter { UserPrincipalName -ne $Null } | Enable-Mailbox
L.批量導出AD用戶
參考https://www.cnblogs.com/wulongy/p/14924907.html
表格樣例
AD域管理工具
https://osdn.net/projects/sfnet_adbulkadmin/downloads/ADBulkAdmin/1.1.0.33/ADBulkAdmin-v1.1.0.33.zip/
https://zh.osdn.net/projects/sfnet_adbulkadmin/releases/
導出it組織單元下的所有用戶
Get-ADUser -Filter * -Properties * -SearchBase "DC=it,DC=tyun,DC=cn" |Select-Object name,SamAccountName,Givenname,surname,Displayname,title,mobile,CanonicalName,Created,Department,DistinguishedName,EmailAddress,homeMDB,mail,mailNickname,MemberOf,msExchCoManagedObjectsBL,msExchHomeServerName,PasswordLastSet,PrimaryGroup,proxyAddresses,UserPrincipalName,whenCreated,whenChanged,MobilePhone,telephoneNumber,employeeNumber,postalCode,company |Export-Csv C:\AllADUser20221001.csv -Encoding UTF8 –NoTypeInformation
ldifde -f "c:\alldbauser.ldf" -d "DC=it,DC=tyun,DC=cn" -r objectClass=user -l "name,SamAccountName,Givenname,surname,Displayname,title,mobile,CanonicalName,Created,Department,DistinguishedName,EmailAddress,homeMDB,mail,mailNickname,MemberOf,msExchCoManagedObjectsBL,msExchHomeServerName,PasswordLastSet,PrimaryGroup,proxyAddresses,UserPrincipalName,whenCreated,whenChanged,MobilePhone,telephoneNumber,employeeNumber,postalCode,company"
M.獲取AD密碼策略域過期時間
#獲取AD域服務器密碼策略信息
Get-ADDefaultDomainPasswordPolicy
ComplexityEnabled:密碼必須符合復雜性要求
MaxPasswordAge:密碼最長使用期限
MinPasswordAge:密碼最短使用期限
MinPasswordLength:最小密碼長度
PasswordHistoryCount:強制密碼歷史
密碼最長使用期限是 24 天;
Set-ADDefaultDomainPasswordPolicy -Identity tyun.cn -ComplexityEnabled $True -MaxPasswordAge 180.00:00:00
#獲取已經過期的用戶
Get-Aduser -Filter * -Properties * | where {$_.PasswordExpired -eq $true} | FT Name
#獲取所有標識密碼過期時間的用戶
Get-ADUser -Filter {Enabled -eq $True -and PasswordNeverExpires -eq $False} -Properties * | Select-Object -Property "Name", @{n="ExpiryDate";e={$_.PasswordLastSet.AddDays((Get-ADDefaultDomainPasswordPolicy).MaxPasswordAge.Days)}} | Sort-Object ExpiryDate
#獲取指定標識密碼過期時間的用戶
Get-ADUser -Filter {name -like "king"} -Properties * | Select-Object -Property "Name", @{n="ExpiryDate";e={$_.PasswordLastSet.AddDays((Get-ADDefaultDomainPasswordPolicy).MaxPasswordAge.Days)}} | Sort-Object ExpiryDate
#獲取所有用戶密碼屬性信息
Get-ADUser -Filter * -Properties * | Sort-Object Name | ft Name,PasswordLastSet,PasswordExpired,PasswordNeverExpires
#刪除單個用戶
Remove-ADUser -Identity king -Confirm:$false
#SAM 賬戶名刪除屬于子項/子集/子樹的用戶對象
Get-ADUser -Identity king | foreach{Remove-ADObject -Identity $_.ObjectGUID -Recursive -Confirm:$False}
#搜索并刪除指定組織單位(OU)容器內的用戶對象
Get-ADUser -Filter * -SearchBase "OU=cnList,OU=testGroup,DC=tyun,DC=cn" | foreach{Remove-ADObject -Identity $_.ObjectGUID -Recursive -Confirm:$False}
#刪除子項(子樹)需要使用如下刪除域對象
Remove-ADObject -Identity king -Recursive
導入 CSV 數據列表刪除用戶對象
import-csv .\del.csv | foreach{Get-ADUser -Identity $_.name} | foreach{Remove-ADObject -Identity $_.ObjectGUID -Recursive -Confirm:$False}
Get-ADUser king
可以參考https://hexingxing.cn/tag/active-directory/page/2/
https://github.com/phillips321/adaudit/blob/master/AdAudit.ps1
N.存儲規劃
Database Name | 用戶屬性 | 單位空間 最大容量 | MAil server01 | |
Level1 | 集團高管、董事會、總裁辦公室 | 20G | 主400G | |
Level2 | 業務單元總經理辦公人員 | 15G | 主400G | |
Level3 | 部門主管、負責人、核心員工 | 10G | ||
Level4 | 普通員工 | 4G | ||
Level5 | 不活躍用戶 | 500M | ||
Level6 | 公共郵箱、系統郵箱、功能郵箱 | 視情況而定 | ||
Level7 | 離職員工 | |||
Level8 | 郵件離職 |
Exchange2019的步驟
IP地址 | 主機名 | 服務器用途 | 備注 |
10.30.21.64 | SH-Srv-AD | 域控服務器(主域控) | |
10.30.21.77 | SH-Srv-AC | 域控服務器(額外域控) | |
10.30.21.78 | SH-Srv-MBX01 | 郵件服務器01 | |
10.30.21.83 | SH-Srv-MBX02 | 郵件服務器02 |
架構圖展示
第一步:安裝AD主域控
01 AD域控PDC時間
#查詢域控PDC服務器
netdom query fsmo
#配置PDC使用ntp服務器同步時間
w32tm /config /manualpeerlist:"server0.cn.pool.ntp.org,0x8 server1.cn.pool.ntp.org,0x8 time.windows.com,0x8" /syncfromflags:manual /reliable:yes /update
#查看當前Windows Time運行情況
w32tm /query /status
#查看當前ntp時間服務器設置
w32tm /query /peers
#查看PDC服務器ntp同步狀態,和ntp服務器時間差
w32tm /stripchart /computer:time.windows.com /samples:100 /dataonly
#AD 域客戶端同步域服務器時間
net time \\192.168.232.10 /set /y
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\ /v SpecialPollInterval /t REG_DWORD /d 1200 /f
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters /v NtpServer /d ntp1.aliyun.com /f
net stop w32time
net start w32time02 服務器重置下SID信息
自建打開C:\Windows\System32\Sysprep目錄運行sysprep.exe,重置SID后重啟服務器
如果是aliyun服務器請下載
https://docs-aliyun.cn-hangzhou.oss.aliyun-inc.com/assets/attach/40846/cn_zh/1542010494209/AutoSysprep.ps1?spm=a2c4g.11186623.0.0.293f5f53EeEej3&file=AutoSysprep.ps1
.\AutoSysprep.ps1 -help
重新初始化服務器的SID并重啟服務器
.\AutoSysprep.ps1 -ReserveHostname -ReserveNetwork -SkipRearm -PostAction "reboot"03 開始安裝主域控
密碼策略配置
使用Powershell命令添加AD細粒度密碼策略
New-ADFineGrainedPasswordPolicy -Name "PasswordSetting3" -Precedence 1 -ComplexityEnabled $true -Description "The Domain Users Password Policy" -DisplayName "PasswordSetting3" -LockoutDuration "0.00:30:00" -LockoutObservationWindow "0.00:30:00" -LockoutThreshold "5" -MaxPasswordAge "24.00:00:00" -MinPasswordAge "1.00:00:10" -MinPasswordLength "7" -PasswordHistoryCount "24"
優先級:1(最高)
強制最短密碼長度:7(個字符)
強制密碼歷史記錄:24(個歷史密碼)
密碼復雜性要求:啟用
強制密碼最短期限:1(天)
強制密碼最長期限:24(天)
強制賬號鎖定策略:30(分鐘)內5次(登錄失敗)鎖定30(分鐘)第二步:安裝AD輔域控
重啟服務器后
測試主輔域連接是否正常
netdom query fsmo
診斷AD信息是否正常
repadmin /showrepl
第三步:安裝exchange2019
以次安裝服務ndp48-x86-x64-allos-enu.exe、vcredist_x64.exe(2012和2013)、urlrewrite2.exe、UcmaRuntimeSetup_API4.0.exe
#安裝遠程工具管理包
Install-WindowsFeature RSAT-ADDS
#安裝 Server Media Foundation 窗口功能
Install-WindowsFeature Server-Media-Foundation
# Exchange 安裝程序安裝所需的 Windows 組件
Install-WindowsFeature NET-Framework-45-Features, Server-Media-Foundation, RPC-over-HTTP-proxy, RSAT-Clustering, RSAT-Clustering-CmdInterface, RSAT-Clustering-Mgmt, RSAT-Clustering-PowerShell, WAS-Process-Model, Web-Asp-Net45, Web-Basic-Auth, Web-Client-Auth, Web-Digest-Auth, Web-Dir-Browsing, Web-Dyn-Compression, Web-Http-Errors, Web-Http-Logging, Web-Http-Redirect, Web-Http-Tracing, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Lgcy-Mgmt-Console, Web-Metabase, Web-Mgmt-Console, Web-Mgmt-Service, Web-Net-Ext45, Web-Request-Monitor, Web-Server, Web-Stat-Compression, Web-Static-Content, Web-Windows-Auth, Web-WMI, Windows-Identity-Foundation, RSAT-ADDS -Source G:\sources\sxs
#重啟下服務器后安裝下面的命令操作
先加載window server 2019鏡像,打開powershell窗口進入g:
\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareSchema
\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAD /OrganizationName:"tyun"
\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains根據提示重啟服務器,然后再執行一次安裝
\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareSchema
Exchange2019服務器再次重啟
開始安裝Exchange2019CU12
或者是通過命令來執行
#將許可證Exchange SRV2019-MBX 的服務器
Set-ExchangeServer SRV2019-MBX -ProductKey YCQY7-BNTF6-R337H-69FGX-P39TY
#重新啟動 Microsoft Exchange信息存儲服務
Restart-Service MSExchangeIS
#驗證證書屬性
Get-ExchangeServer SRV2019-MBX | Format-List Name,Edition,*Trial*
Get-ExchangeServer | Format-Table -Auto Name,Edition,*Trial*各版本的秘鑰信息
Enterprise: YCQY7-BNTF6-R337H-69FGX-P39TY
Standard: G3FMN-FGW6B-MQ9VW-YVFV8-292KP修復0Day漏洞
.*autodiscover\.json.*\@.*Powershell.*條件輸入{REQUEST_URI}.\iisreset.exe -restart
第四步:配置證書
add-pssnapin microsoft.exchange*
查詢EXCHANGE服務器數據庫和日志文件路徑
Get-MailboxDatabase -Server SRV2019-MBX| Select Name,EdbFilePath,LogFolderPath | fl
#查看Exchange Server版本號
Get-ExchangeServer | Format-List Name,Edition,AdminDisplayVersion
安裝完成exchange服務后重啟下服務器,發現exchange服務是停止狀態,通過命令重新啟動
打開地址https://mail.tyun.cn/ecp
Install-WindowsFeature Web-Client-Auth輸入window+q鍵 inetmgr 進入Internet Information Services (IIS) 管理器
點擊owa虛擬目錄,雙擊SSL設置
選擇 Microsoft-Server-ActiveSync 虛擬目錄,選擇SSL 設置
Cmd 打開regedit注冊表修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\SslBindingInfo>Cmd 打開regedit注冊表修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\SslBindingInfo\0.0.0.0:443 1<.0.0.0:443 1
%windir%\system32\inetsrv\appcmd.exe set config "Default Web Site/owa/" -section:system.webserver/security/access /sslFlags:"Ssl, SslRequireCert" /commit:apphost
%windir%\system32\inetsrv\appcmd.exe set config "Default Web Site/ecp/" -section:system.webserver/security/access /sslFlags:"Ssl, SslRequireCert" /commit:apphost
%windir%\system32\inetsrv\appcmd.exe set config "Default Web Site/Microsoft-Server-ActiveSync/" -section:system.webserver/security/access /sslFlags:"Ssl, SslRequireCert" /commit:apphost
頒發自簽證書
New-ExchangeCertificate -FriendlyName "Contoso Exchange Certificate" -SubjectName CN=srv2019-mbx -DomainName mail.tyun.cn,autodiscover.tyun.cn,srv2019-mbx.tyun.cn -Services SMTP,IIS -PrivateKeyExportable $true
New-ExchangeCertificate -FriendlyName "Contoso Exchange Certificate2019" -SubjectName CN=mail -DomainName mail.tyun.cn,autodiscover.tyun.cn,srv2019-mbx.tyun.cn -Services SMTP,IIS -PrivateKeyExportable $true
查詢證書信息
Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $true} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter
續自簽證書
Get-ExchangeCertificate -Thumbprint BC37CBE2E59566BFF7D01FEAC9B6517841475F2D | New-ExchangeCertificate -Force -PrivateKeyExportable $true
頒發機構續訂
#如果需要將證書續訂請求文件 的內容 發送到 CA,請使用以下語法創建 Base64 編碼的請求文件
$txtrequest = Get-ExchangeCertificate -Thumbprint <Thumbprint> | New-ExchangeCertificate -GenerateRequest [-KeySize <1024 | 2048 | 4096>] [-Server <ServerIdentity>]
[System.IO.File]::WriteAllBytes('<FilePathOrUNCPath>\<FileName>.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))
#如果需要將 證書續訂請求文件 發送到 CA,請使用以下語法創建 DER 編碼的請求文件
$binrequest = Get-ExchangeCertificate -Thumbprint <Thumbprint> | New-ExchangeCertificate -GenerateRequest -BinaryEncoded [-KeySize <1024 | 2048 | 4096>] [-Server <ServerIdentity>]
[System.IO.File]::WriteAllBytes('<FilePathOrUNCPath>\<FileName>.pfx', $binrequest.FileData)
#若要找到您想續訂的證書的指紋值,請運行以下命令:
Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter
#此示例為具有指紋值 5DB9879E38E36BCB60B761E29794392B23D1C054的現有證書創建 Base64 編碼的證書續訂請求:
$txtrequest = Get-ExchangeCertificate -Thumbprint 5DB9879E38E36BCB60B761E29794392B23D1C054 | New-ExchangeCertificate -GenerateRequest
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\ContosoCertRenewal.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))
#此示例為同一證書創建 DER (二進制) 編碼的證書續訂請求:
$binrequest = Get-ExchangeCertificate -Thumbprint <Thumbprint> | New-ExchangeCertificate -GenerateRequest -BinaryEncoded
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\ContosoCertRenewal.pfx', $binrequest.FileData)
#在用于存儲證書請求的服務器上的 Exchange 命令行管理程序 中,運行以下命令:
Get-ExchangeCertificate | where {$_.Status -eq "PendingRequest" -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint
第五步:配置AD CS
服務器重啟
注:如果重啟之后發現打開https://主機名/ecp/ 出現503錯誤的話
修改成對應的ssl證書信息
第六步:導入CA證書
瀏覽器輸入網址https://mail/centsrv/Default.asp或者http://localhost/certsrv/default.asp
如果訪問出錯的話配置
http://localhost/certsrv/default.asp
$txtrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -FriendlyName "Mail.tyun.cn Cert" -SubjectName "CN=mail.tyun.cn"
[System.IO.File]::WriteAllBytes('\\SRV2019-MBX\Data\Mail.tyun.cn Cert.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))
#查看exchange2019存儲證書信息
Get-ExchangeCertificate | where {$_.Status -eq "PendingRequest" -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint擴大exchange2019證書年限
計算機\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\tyun-SRV2019-MBX-CA 下面的值ValidityPeriodUnits
先停止服務,然后再啟動服務
右鍵復制模版,把有效期改成20年
模版名稱修改為Exchange Server 2019
新建 要頒發的證書模版 選擇Exchange Server 2019
導入證書到excange2019
Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\SRV2019-MBX\Data\certnew.cer'))ad域服務器下發證書
出現導入成功后,強制刷新下組策略 gpupdate /force