1.1. Enterprise Vault 10.0.4安装环境

Computer Name

Role

Software pre-installed

Ev10.dwcml.com.cn

192.168.40.40

SQL Server

Win SERVER 20012R2

SQL SERVER 2012 SP1

SQL Reporting Service

Ev10.dwcml.com.cn

192.168.40.40

Enterprise Vault Server 10.0.4

Win SERVER 20012R2

Ex2013.dwcml.com.cn

192.168.40.35

Exchange Server 2013

Win SERVER 20012R2

Exchange 2013 SP1

Ex2013.dwcml.com.cn

192.168.40.35

Exchange Server 2013

Win SERVER 20012R2

Exchange 2013 SP1

Account

Role

Password

evsysmbx

EV 系统归档管理帐号

qwe@123

evservice

Exchange 管理员+sql管理员

qwe@123

evjournalmbx

Exchange 日记帐号

qwe@123

USEREV001

邮箱归档测试账号1

1qaz!QAZ

USEREV002

邮箱归档测试账号2

1qaz!QAZ

1.2. Enterprise Vault 10.0.4安装前提

1. 准备MSMQ环境

安装MSMQ

启动服务器管理器,单击左窗格中的“功能”,单击右窗格中的“添加功能”“添加功能”向导启动时,请单击“消息队列”,然后单击“下一步”,Enterprise Vault 需要的唯一的 MSMQ 功能是“消息队列服务器”

clip_p_w_picpath002

单击“安装”,完成MSMQ的安装

clip_p_w_picpath004

调整MSMQ存储路径

打开服务器管理器,进入功能项并打开消息队列属性窗口,在存储项窗口中修改消息队列的保存路径。(消息队列原保存路径是C:\Windows\System32\msmq\storage ,在系统分区中。为性能考虑建议将路径更改为非系统分区。注意下图中的MSMQ目录不要手动创建)

clip_p_w_picpath006

调整MSMQ内存参数

在EV服务器上打开注册表编辑器,创建或修改以下键值

● HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\

Memory Management\PoolUsageMaximum(DWORD) = 600x3C

● HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\

Memory Management\PagedPoolSize (DWORD) = 0xFFFFFFFF

● HKEY_LOCAL_MACHINE\Software\Microsoft\MSMQ\Parameters\

KernelMemThreshold (DWORD) = 95 (0x5F)

2. 禁用Strick Name CheckingLookback Check

在EV服务器上打开注册表编辑器,创建以下键值

● HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\

DisableLoopbackCheckDWORD=1

● HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\

parameters\DisableStrictNameCheckingDWORD=1

3. 防火墙设置

在Windows 2012 R2系统上,即使关闭的防火墙功能,Enterprise Vault Deployment Scanner扫描系统的时候仍旧提示DCOM错误,如下图所示

clip_p_w_picpath008

解决方案请看KB:http://www.symantec.com/docs/TECH87314 。在防火墙高级设置中添加入站规则,规则为设置本地端口为135的TCP/UDP协议允许连接。

clip_p_w_picpath010

4. Microsoft .NET Framework

需要在 Enterprise Vault 服务器上安装 Microsoft .NET Framework 4.5

clip_p_w_picpath012

5. Internet 信息服务 (IIS)

在 Windows Server 2008 中使用“添加角色向导”来安装 IIS,则将获得默认安装,该安装包含最少的一组角色服务。Enterprise Vault 至少需要下列与 IIS 相关的角色服务:


Web 服务器常见 HTTP 功能

静态内容

默认文档

目录浏览

HTTP 错误

HTTP 重定向

应用程序开发

ASP.NET

.NET 扩展

ASP

ISAPI 扩展

ISAPI 筛选器

运行状况和诊断

HTTP 日志记录

日志记录工具

请求监控器

正在跟踪

安全性

基本身份验证

Windows 验证

URL 授权

请求筛选

IP 和域限制

性能

静态内容压缩(针对性能的建议,但并不强制)

管理工具IIS 管理控制台

IIS 管理脚本和工具

管理服务

IIS 6 管理兼容性

IIS 6 元数据库兼容性

IIS 6 WMI 兼容性

IIS 6 脚本工具

IIS 6 管理控制台

6. MSXML

有 Enterprise Vault 服务器计算机都需要 MSXML。MSXML 随 Internet Explorer 7.0 和更高版本自动安装。

当您安装 Enterprise Vault 服务组件时,如果 MSXML 6.0 不存在,Enterprise Vault 安装程序将安装它,而不提示确认信息。

7. Windows PowerShell

Windows 2012 R2已自带Windows PowerShell,Windows 2003需要额外安装。


8. SQL Server 软件

SQL Server如果和归档服务器不在同一台服务器上,归档服务器上建议安装同版本的SQL Server Native Client

9. SQLXML

在数据库服务器上安装SQLXML 4.0及以上版本

10. 创建Enterprise Vault Service Account

· 在域控制器上添加一个域用户账户: EVSYSMBX ,此域用户帐户不需要成为域管理员组的成员。

· 将账户DWCML\EVSYSMBX 添加到归档服务器EV10和邮件服务器EX2013的本地管理员组中。

· 在邮件服务器EX2013上,为EV服务账户EVSYSMBX创建用户邮箱。

11. 创建SQL登录账户

在SQL Server中新建登录账户DWCML\EVSYSMBX

clip_p_w_picpath014

选择“Windows 身份验证”

clip_p_w_picpath016

单击服务器角色”,选中 dbcreatorsysadmin角色旁边的复选框

clip_p_w_picpath018

在工具栏中,单击新建查询”输入以下脚本:

use Master

GRANT VIEW SERVER STATE TO "domain\vsa_account"

GRANT ALTER ANY LOGIN TO "domain\vsa_account"

GO

其中 domain\vsa_account 是 Vault Service 帐户的域和名称。单击“执行”。

clip_p_w_picpath020

可以按下列方式检查 Vault Service 帐户是否具有 dbcreator 角色:

· 在树状结构中,选择“安全性”>“服务器角色”

· 在右侧窗格中,双击 dbcreator 角色

· Vault Service 帐户应当出现在成员身份列表中

可以按下列方式检查 Vault Service 帐户是否具有 VIEW SERVER STATE 和 ALTER ANY LOGIN 权限:

· 在树状结构中,右键单击最高级别的 SQL Server 对象,再选择“属性”

· 选择“权限”页

· 在“登录或角色”之下,选择 Vault Service 帐户然后单击“有效权限”。检查 VIEW SERVER STATE 和 ALTER ANY LOGIN 是否包含于权限列表中。

12. SQL Server 2010 数据库中分配权限和角色

除非为 Vault Service 帐户分配 SQL 系统管理员 (sysadmin) 角色,否则您必须将 Vault Service 帐户添加到 msdb 系统数据库,向帐户授予所需的权限并将数据库角色 SQLAgentUserRole 分配给帐户。

将 Vault Service 帐户添加到 msdb 数据库

  1. 在 SQL Server 计算机上,启动 SQL Server Management Studio。

  2. 选择所需的 SQL Server。

  3. 浏览至“数据库”>“系统数据库”> msdb >“安全性”>“用户”。

  4. 右键单击“用户”,然后单击“新建用户”。

  5. 在“用户名”框中输入新的用户名。

  6. 在“登录名称”框中,输入 Vault Service 帐户的域和用户名(以 domain\user_name 形式)。

  7. 单击“确定”。

clip_p_w_picpath022

向 Vault Service 帐户授予权限

  1. 右键单击刚才创建的新用户,然后单击“属性”。

  2. 选择“安全对象”页。

  3. 将以下 msdb 表格添加到 securables 列表,然后向 Vault Service 帐户授予对它们的“选择”权限:      

    • sysjobs

    • sysjobschedules

    • sysjobservers

    • sysjobsteps


clip_p_w_picpath024

将 SQLAgentUserRole 分配给 Vault Service 帐户

  1. 浏览至“数据库”>“系统数据库”> msdb >“安全性”>“角色”>“数据库角色”。

  2. 右键单击 SQLAgentUserRole,然后单击“属性”。

  3. 在“常规”页面上,单击“添加”,然后指定刚才创建的 Vault Service 帐户。

clip_p_w_picpath026

13. 创建 Enterprise Vault DNS 别名

建议您为每个 Enterprise Vault 服务器计算机创建 DNS 别名。运行 Enterprise Vault 配置向导时,系统会要求输入非限定别名,例如 evserver1。在站点中的第一台计算机上配置 Enterprise Vault 时,Enterprise Vault 将使用为该计算机输入的 DNS 别名自动创建保管库站点别名。该保管库站点别名由 Enterprise Vault 软件用于指代 Enterprise Vault 站点。

DNS 别名中不能包含特殊字符。如 RFC-1034 中所规定,仅允许使用以下字符:[a-z]、[A-Z]、[0-9]、连字符 (-) 和英文句点 (.)。最后一个字符不能是连字符和英文句点。

使用非限定 DNS 别名为将来更改运行 Enterprise Vault Services 的计算机时带来了灵活性

1.3. Enterprise Vault 10.0.4归档Exchange 2013前提

1. Enterprise Vault 服务器上安装 Outlook

要从 Exchange Server 2013进行归档,必须安装带修补程序 KB968858 (和KB2475891)的 Outlook 2007 SP3

还需要安装http://support.microsoft.com/kb/2596598

clip_p_w_picpath028

2. Enterprise Vault 服务器计算机上创建 Outlook 配置文件

在 Enterprise Vault 服务器上安装 Outlook 时,必须在安装 Enterprise Vault 之前创建配置文件并连接到 Exchange Server 邮箱

3. 创建 Enterprise Vault 系统邮箱

Enterprise Vault 系统邮箱是连接到 Exchange Server 时,由 Exchange 邮箱任务、Exchange 日记记录任务和 Exchange 公用文件夹任务使用的邮箱。

必须在希望 Enterprise Vault 归档的每个 Exchange Server 上创建一个 Enterprise Vault 系统邮箱。    

注意:

如果您在 Exchange Server 2010 环境中使用数据库可用性组 (DAG),则必须在整个 DAG 中复制的数据库中创建每个 Enterprise Vault 系统邮箱。


另请注意下列要求:

  • Enterprise Vault 任务要求独占使用此邮箱,因此不得将该邮箱用于任何其他目的。

  • 不能在地址列表中隐藏该邮箱。

  • 不能禁用与 Enterprise Vault 系统邮箱相关联的帐户。

创建 Exchange Server 归档任务时,Enterprise Vault 会提示您输入该邮箱的名称。

创建 Enterprise Vault 系统邮箱后,可能需要经过一定时间该邮箱才可用。添加 Exchange Server 归档任务之前该邮箱必须可用。


在EV10环境中为EV服务账户DWCML\EVSYSMBX创建用户邮箱作为EV的系统邮箱。

给管理架构权限

clip_p_w_picpath030

4. 删除 Windows Server 2008 域控制器对 NSPI 连接的限制

Windows Server 2008 域控制器将 NSPI 连接数量限制为每个用户最多 50 个并发连接。Windows Server 操作系统的早期版本对 NSPI 并发连接数量没有限制。您必须删除此限制,才能防止 Enterprise Vault 的 Exchange 归档任务失败。

删除对 NSPI 并发连接的限制

1. 在 Windows Server 2008 域控制器上,在以下注册表项下创建称为 NSPI max sessions per user 的新注册表 DWORD 值:

HKEY_LOCAL_MACHINE
\System
 \CurrentControlSet
  \Services
   \NTDS
    \Parameters

2. 将 NSPI max sessions per user 设为 0xffffffff。

此操作会将 NSPI max sessions per user 设为最大值,从而删除对每个用户的 NSPI 并发连接的限制。有关限制的详细信息,请参阅以下 Microsoft 知识库文章:

http://support.microsoft.com/kb/949469

5. Vault Service 帐户配置 Exchange 2013 限制策略

从EV安装包Symantec Enterprise Vault 10.0.4\Server\Uncompressed Files\PowerShellScripts下将脚本文件SetEVThrottlingPolicy.ps1复制到邮件服务器EX2013上

打开Exchange Management Shell,运行命令:

.\SetEVThrottlingPolicy.ps1 -user dwcml\EVSYSMBX

clip_p_w_picpath034

6. Vault Service 帐户授予对系统邮箱的“发送为”权限

打开Exchange Management Shell,运行命令:

Add-ADPermission -Identity EVSYSMBX -User DWCML\EVSYSMBX -Acce***ights ExtendedRight -ExtendedRights "send as"

clip_p_w_picpath036

7. 使用脚本设置EV服务账号权限

Symantec提供了脚本文件SetEVExchangePermissions.PS1,可以通过运行该脚本文件设置EV服务器账号所需要的Exchange相关权限

打开Exchange Management Shell,运行命令:

.\SetEVExchangePermissions.ps1 -user dwcml\EVSYSMBX

clip_p_w_picpath040

8、开启NET.TCP服务

clip_p_w_picpath042