Exchange 2013 就地發現

如果您的組織遵循法律發現要求（與組織政策、合規性或訴訟相關），Microsoft Exchange Server 2013 就地電子資料展示可以幫助您對 Exchange 2013 郵箱内的相關内容執行發現搜尋。

就地電子資料展示使用的是由 Exchange 搜尋建立的内容索引。基于角色的通路控制 (RBAC) 提供了 發現管理 角色組，以便将發現任務委派給非技術人員，而無需提供提升的權限，提升的權限可能會允許使用者對 Exchange 配置進行任何操作性的更改。Exchange 管理中心 (EAC) 為非技術人員（如法律和合規事務主管、記錄管理者和人力資源 (HR) 專家等）提供易于使用的搜尋界面。

1）估計搜尋結果 擷取搜尋會傳回的估計郵件數，包括關鍵字統計資訊以确定搜尋中使用的關鍵字有效性并在需要時調整搜尋參數。

2）預覽搜尋結果 

3）将搜尋結果中傳回的郵件複制到發現郵箱。

Exchange 2013 還提供聯合搜尋功能以及與 Microsoft SharePoint 2013 的內建。使用“電子資料展示中心”可以搜尋并就地保留與某個案例相關的所有内容（SharePoint 2013 網站、文檔、SharePoint 編入索引的檔案共享、Exchange 中的郵箱内容以及來自單個位置的存檔 Lync 2013 内容）。

Exchange 搜尋

就地電子資料展示使用的是由 Exchange 搜尋建立的内容索引。在 Exchange 2013 中，Exchange 搜尋已重新設計為使用 Microsoft Search Foundation。使用 Microsoft Search Platform 可提高索引和查詢性能并改進搜尋功能。因為 Microsoft Search Foundation 也由其他 Office 産品（包括 SharePoint 2013）使用，是以它可在這些産品間提供更好的互操作性和相似的查詢文法。

使用單一内容索引引擎，當 IT 部門收到電子資料展示請求時，無需使用其他資源便可針對就地電子資料展示進行爬網和索引郵箱資料庫。

就地電子資料展示使用關鍵字查詢語言 (KQL)，這是一種查詢文法，類似于 Microsoft Outlook 和 Outlook Web App 中的即時搜尋使用的進階查詢文法 (AQS)。熟悉 KQL 的使用者可以輕松建構強大的搜尋查詢以搜尋内容索引。

發現管理角色組和管理角色

對于執行就地電子資料展示搜尋的使用者，您必須将其添加到 發現管理 RBAC 角色組。此角色組由下面兩個管理角色構成：郵箱搜尋角色（使使用者可執行就地電子資料展示搜尋）和合法保留角色（使使用者可将郵箱置于就地保留或訴訟保留狀态）。

預設情況下，不會向任何使用者或 Exchange 管理者配置設定執行與就地電子資料展示相關的任務所需的權限。作為組織管理角色組成員的 Exchange 管理者可向發現管理角色組添加使用者，并可建立自定義角色組，将發現管理者的作用域限制為使用者的子集。有關将使用者添加到發現管理角色組的詳細資訊，請參閱将使用者添加到“發現管理”角色組。

RBAC 角色更改的稽核（預設情況下會啟用）可確定保留了适當的記錄，以便跟蹤發現管理角色組的配置設定。

發現郵箱

建立就地電子資料展示搜尋之後，您可以将搜尋結果複制到目标郵箱。通過 EAC 可以選擇發現郵箱作為目标郵箱。發現郵箱是一種特殊類型的郵箱，它具有以下功能：

1）更加輕松安全的目标郵箱選擇   當您使用 EAC 複制就地電子資料展示搜尋結果時，隻有發現郵箱可作為存儲搜尋結果的存儲庫。無需在可能很長的組織可用郵箱清單中費心挑選。這也消除了發現管理者出現以下錯誤的可能性：即不小心選擇了其他使用者的郵箱或可能存儲了敏感郵件的不安全郵箱。

2）大型郵箱存儲配額   目标郵箱應能夠存儲就地電子資料展示搜尋可能傳回的大量郵件資料。預設情況下，發現郵箱的郵箱存儲配額為 50 千兆位元組 (GB)。您可以修改配額，以使其滿足自己的需要。

3）預設情況下更加安全   與所有郵箱類型一樣，發現郵箱具有關聯的 Active Directory 使用者帳戶。但是預設情況下，此帳戶為禁用狀态。隻有顯式授權可通路發現郵箱的使用者可以通路。發現管理角色組的成員具有對預設發現郵箱的完全通路權限。建立的任何其他發現郵箱都不會将郵箱通路權限配置設定給任何使用者。

4）電子郵件傳遞已禁用   雖然電子郵件在 Exchange 位址清單中可見，但使用者不能将其發送至發現郵箱。使用傳遞限制來禁止對發現郵箱進行電子郵件傳遞。這可保持複制到發現郵箱的搜尋結果的完整性。

Exchange 2013 安裝程式會建立一個顯示名為“發現搜尋郵箱”的發現郵箱。可以使用指令行管理程式建立其他發現郵箱。預設情況下，建立的發現郵箱不會配置設定有任何郵箱通路權限。可以為發現管理者配置設定完全通路權限以通路複制到發現郵箱的郵件。

就地電子資料展示還使用顯示名為“SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9}”的系統郵箱來保留就地電子資料展示中繼資料。系統郵箱在 EAC 或 Exchange 位址清單中不可見。在删除就地電子資料展示系統郵箱所在的郵箱資料庫之前，必須将該郵箱移動到其他郵箱資料庫。如果删除或損壞了該郵箱，則發現管理者無法執行電子資料展示搜尋，直到重新建立該郵箱。有關詳細資訊，請參閱重新建立發現系統郵箱。

與 SharePoint Server 2013 內建

Exchange 2013 提供與 SharePoint 2013 的內建，進而使發現管理者可以在 SharePoint 中使用電子資料展示中心來執行以下任務：

1）從單個位置搜尋和保留内容 授權發現管理者可以跨 SharePoint 和 Exchange 搜尋和保留内容，包括 Lync 内容（如 Exchange 郵箱中存檔的即時消息對話和共享會議文檔）。

2）案例管理 電子資料展示中心使用案例管理方法進行電子資料展示，進而使您可以建立案例并針對每個案例跨不同内容庫保留内容。

導出搜尋結果 發現管理者可以使用電子資料展示中心導出搜尋結果。包含在搜尋結果中的郵箱内容會導出到 PST 檔案中。

SharePoint 還使用 Microsoft Search Foundation 進行内容索引和查詢。無論發現管理者是使用 EAC 還是電子資料展示中心搜尋 Exchange 内容，都會傳回相同郵箱内容。

在使用 SharePoint 中的電子資料展示中心搜尋 Exchange 郵箱之前，必須在兩個應用程式之間建立信任。在 Exchange 2013 和 SharePoint 2013 中，這使用 OAuth 身份驗證來完成。從 SharePoint 執行的電子資料展示搜尋通過 Exchange 使用 RBAC 進行授權。若要 SharePoint 使用者能夠執行 Exchange 郵箱的電子資料展示搜尋，必須在 Exchange 中向他們配置設定委派發現管理權限。若要能夠預覽使用 SharePoint 電子資料展示中心執行的電子資料展示搜尋中傳回的郵箱内容，發現管理者必須在相同 Exchange 組織中擁有郵箱。

使用就地電子資料展示

已添加至發現管理角色組的使用者可以執行就地電子資料展示搜尋。可以在 EAC 中使用基于 Web 的界面執行搜尋。這可以使非技術人員（如記錄管理者、合規事務主管或是法律和 HR 專家）可以更加輕松地使用就地電子資料展示。還可以使用指令行管理程式執行搜尋。

EAC 中的“就地電子資料展示和保留”向導使您可以建立就地電子資料展示搜尋，還可使用就地保留将搜尋結果置于保留狀态。在建立就地電子資料展示搜尋時，會在就地電子資料展示系統郵箱中建立搜尋對象。可以通過操縱該對象來啟動、停止、修改或删除搜尋。在建立搜尋之後，可以選擇擷取搜尋結果的估計，這包括可幫助确定查詢有效性的關鍵字統計資訊。還可以對搜尋中傳回的項目進行實時預覽，進而使您可以檢視郵件内容、從每個源郵箱傳回的郵件數以及郵件總數。可以使用此資訊在需要時進一步微調查詢。

當對搜尋結果滿意時，可以将結果複制到發現郵箱。還可以使用 Outlook 将發現郵箱或其中部分内容導出到 PST 檔案。

當建立就地電子資料展示搜尋時，必須指定以下參數：

1）名稱 搜尋名稱用于辨別搜尋。當将搜尋結果複制到發現郵箱時，會通過使用以唯一方式辨別發現郵箱中的搜尋結果的搜尋名稱和時間戳，在發現郵箱中建立檔案夾。

2）郵箱 可以選擇搜尋 Exchange 2013 組織中的所有郵箱或指定要搜尋的郵箱。如果還要使用相同搜尋将項目置于保留狀态，則必須指定郵箱。可以指定一個通訊組，以包含作為該組成員的郵箱使用者。組的成員資格會在建立搜尋時一次性進行計算，對組成員資格的後續更改不會自動反映在搜尋中。使用者的主郵箱和存檔郵箱包含在搜尋中。

3）搜尋查詢 可以包含指定郵箱中的所有郵箱内容，或使用搜尋查詢傳回與案例或調查更加相關的項目。可以在搜尋查詢中指定以下參數：

--關鍵字：可以指定關鍵字和短語來搜尋郵件内容。還可以使用邏輯運算符 AND、OR 和 NOT。此外，Exchange 2013 還支援 NEAR 運算符，進而使您可以搜尋與另一個單詞或短語接近的單詞或短語。

若要搜尋包含多個單詞的短語的完全比對項，必須在該短語前後加上引号。例如，搜尋短語“plan and competition”将傳回包含該短語的完全比對項的郵件，而指定“plan AND competition”則将傳回在郵件中任何位置包含單詞“plan”和“competition”的郵件。

Exchange 2013 還支援将關鍵字查詢語言 (KQL) 文法用于就地電子資料展示搜尋。

邏輯運算符必須使用大寫，以将其作為運算符而非關鍵字處理，例如 AND 和 OR。我們建議對任何混用多個邏輯運算符的查詢使用顯式圓括号，以避免出現錯誤或誤解。例如，如果要搜尋包含 WordA 或 WordB 以及 WordC 或 WordD 的郵件，則必須使用 (WordA OR WordB) AND (WordC OR WordD)。

--開始日期和結束日期 預設情況下，就地電子資料展示不按日期範圍限制搜尋。若要搜尋特定日期範圍内發送的郵件，可以通過指定開始和結束日期來縮小搜尋範圍。如果不指定結束日期，則每次重新啟動搜尋時将傳回最新結果。

--發件人和收件人 若要縮小搜尋範圍，可以指定郵件的發件人或收件人。可以使用電子郵件位址、顯示名稱或域名來搜尋發送到或發送自域中每個使用者的項目。例如，若要查找由任何使用者發送到或發送自 Contoso, Ltd. 的電子郵件，請在 EAC 的“發件人”或“收件人/抄送”字段中指定“@contoso.com”。還可以在指令行管理程式的 Senders 或 Recipients 參數中指定“@contoso.com”。

--郵件類型 預設情況下，搜尋所有郵件類型。可以通過選擇特定的郵件類型（如電子郵件、聯系人、文檔、日記、會議、便箋和 Lync 内容）來限制搜尋。

使用就地電子資料展示時，還需考慮以下事項：

4）附件 就地電子資料展示會搜尋 Exchange 搜尋支援的附件。通過為郵箱伺服器上的檔案類型安裝的搜尋篩選器（也稱為 iFilter），可以添加對其他檔案類型的支援。

5）不可搜尋的項目 不可搜尋的項目是指 Exchange 搜尋無法編入索引的郵箱項目。無法編入索引的原因包括未對附加檔案安裝搜尋篩選器、篩選器錯誤和加密郵件。若要實作成功的電子資料展示搜尋，組織可能需要包含這類項目以進行審閱。将搜尋結果複制到發現郵箱時，可以包含不可搜尋的項目。

6）安全清單 某些檔案類型不包含可編入索引的内容，是以不會由 Exchange 搜尋編入索引。這些檔案類型不會被視為不可搜尋的項目，是以它們在選擇用于将不可搜尋的項目複制到發現郵箱的選項時不會包含在内。不可搜尋的項目的清單中不傳回包含這些檔案類型的郵箱項目。

7）加密項目 因為 Exchange 搜尋不會将使用 S/MIME 加密的郵件編入索引，是以就地電子資料展示不會搜尋這些郵件。如果選擇了用于在搜尋結果中包括不可搜尋的項目的選項，則這些使用 S/MIME 加密的郵件将複制到發現郵箱。

8）受 IRM 保護的項目 使用資訊權限管理 (IRM) 保護的郵件會由 Exchange 搜尋編入索引，是以在比對查詢參數時會包括在搜尋結果中。必須使用 Active Directory 權限管理服務 (AD RMS) 群集保護郵件，此群集應與郵箱伺服器處于同一 Active Directory 林中。

9）重複資料删除 在将搜尋結果複制到發現郵箱時，可以對搜尋結果啟用“重複資料删除”功能以便僅将特定郵件的一個執行個體複制到發現郵箱。重複資料删除具有以下好處：

--由于減少了複制的郵件數，是以降低了存儲要求并縮小了發現郵箱的大小。

--減輕了發現管理者、法律顧問或參與審閱搜尋結果的其他人員的工作負荷。

--降低了電子資料展示成本，具體取決于從搜尋結果中排除的重複項目數。

估計、預覽和複制搜尋結果

在完成就地電子資料展示搜尋之後，可以在 EAC 的詳細資訊窗格中檢視搜尋結果估計。估計包括傳回的項目數和這些項目的總大小。還可以檢視關鍵字統計資訊，這些統計資訊可傳回有關針對搜尋查詢中使用的每個關鍵字傳回的項目數的詳細資訊。此類資訊可用于确定查詢有效性。如果查詢範圍太廣，則可能傳回大得多的資料集，這可能需要更多資源用于審閱并會提高電子資料展示成本。如果查詢範圍太窄，則可能會顯著減少傳回的記錄數，或是完全不傳回任何記錄。可以使用估計和關鍵字統計資訊來微調查詢，以滿足要求。

還可以預覽搜尋結果，以便進一步確定傳回的郵件包含所搜尋的内容并在需要時進一步微調查詢。電子資料展示搜尋預覽會顯示從搜尋的每個郵箱中傳回的郵件數以及搜尋傳回的郵件總數。預覽會快速生成，而無需将郵件複制到發現郵箱。

在對搜尋結果的數量和品質滿意之後，可以将它們複制到發現郵箱。當複制郵件時，可以選擇以下選項：

1）包括不可搜尋的項目 有關被視為不可搜尋的項目類型的詳細資訊，請參閱上一節中的電子資料展示搜尋注意事項。

2）啟用重複資料删除 在搜尋的一個或多個郵箱中找到多個執行個體時，重複資料删除可僅包括特定記錄的單個執行個體，進而減小資料集。

3）啟用完整日志記錄 預設情況下，僅當複制項目時才啟用基本日志記錄。可以選擇完整日志記錄以包含搜尋傳回的所有記錄的有關資訊。

4）在複制完成時向我發送郵件 就地電子資料展示搜尋可能可傳回大量記錄。将傳回的郵件複制到發現郵箱可能需要較長時間。使用此選項可在複制過程完成時收到電子郵件通知。為了更友善地使用 Outlook Web App 進行通路，通知包含一個連結，該連結指向将郵件複制到的發現郵箱中的位置

日志記錄

有兩種類型的日志記錄可用于就地電子資料展示搜尋：

1）基本日志記錄 預設情況下将為所有就地電子資料展示搜尋啟用基本日志記錄。基本日志記錄包含有關搜尋和搜尋執行人員的資訊。使用基本日志記錄捕獲的資訊會顯示在發送到存儲搜尋結果的郵箱的電子郵件正文中。郵件位于為存儲搜尋結果而建立的檔案夾中。

2）完整日志記錄：完整日志記錄包含搜尋傳回的所有郵件的資訊。此資訊以逗号分隔值 (.csv) 檔案的形式提供，該檔案會附加到包含基本日志記錄資訊的電子郵件中。搜尋的名稱将用作 .csv 檔案的名稱。出于遵從性或保留記錄的目的，可能需要此資訊。若要啟用完整日志記錄，必須在 EAC 中将搜尋結果複制到發現郵箱時選擇“啟用完整日志記錄”選項。如果使用指令行管理程式，則使用 LogLevel 參數指定完整日志記錄選項。

除了在将搜尋結果複制到發現郵箱時包含的搜尋日志之外，Exchange 還記錄 EAC 或指令行管理程式用于建立、修改或删除就地電子資料展示搜尋的 cmdlet。此資訊記錄在管理者稽核日志條目中。

就地電子資料展示和就地保留

在 Exchange 2013 中，可以使用新的“就地電子資料展示和保留”向導來搜尋項目并将它們保留進行電子資料展示或滿足其他業務要求所需的時間長度。将相同搜尋用于就地電子資料展示和就地保留時，請注意以下事項：

1）不能使用搜尋所有郵箱的選項。必須選擇郵箱或通訊組。

2）如果某個就地電子資料展示搜尋還用于就地保留，則不能删除該搜尋。必須先在搜尋中禁用就地保留選項，然後才能删除該搜尋。

保留郵箱以用于就地電子資料展示

員工離開組織時，一般會禁用或删除其郵箱。在禁用了郵箱後，會将其從使用者帳戶斷開連接配接，但仍會将其保留在郵箱中一段時間（預設為 30 天）。托管檔案夾助理不會處理斷開連接配接的郵箱，并且在此期間不會應用任何保留政策。您将無法搜尋斷開的郵箱的内容。達到了為郵箱資料庫配置的已删除郵箱保留期時，會将該郵箱從郵箱資料庫中清除。

如果組織要求對已離開組織的員工的郵件應用保留設定，或者需要保留前員工的郵箱供目前或未來電子資料展示搜尋使用，請勿禁用或删除郵箱。可以執行以下步驟以確定郵箱不能通路，并且不會向其傳遞新郵件。

1）使用“Active Directory 使用者和計算機”或是其他 Active Directory 或帳戶設定工具或腳本，禁用 Active Directory 使用者帳戶。這樣可以阻止使用關聯的使用者帳戶登入郵箱。

2）将郵箱使用者可以發送或接收的郵件的郵件大小限制設定為一個很小的值，如 1 KB。這樣可阻止通過該郵箱發送和接收新郵件。

3）配置郵件的傳遞限制，使任何人都無法向其發送郵件。

在計劃為郵件保留管理 (MRM) 或就地電子資料展示實作郵箱保留時，必須考慮員工流動率。長期保留前員工的郵箱需要郵箱伺服器上的額外存儲，還會導緻 Active Directory 資料庫增大，因為要求将關聯的使用者帳戶也保留相同的時間。此外，還可能要求更改組織的帳戶設定和管理過程。

就地電子資料展示和限制政策

在 Exchange 2013 中，使用限制政策控制就地電子資料展示可以在郵箱伺服器上占用的資源。預設限制政策包含以下限制參數。可以修改預設限制政策的參數以适合您的要求，或是建立其他限制政策并将其配置設定給具有委派發現管理權限的使用者。

參數

描述

預設值

DiscoveryMaxConcurrency

使用者可以同時執行的最大就地電子資料展示搜尋數

2

DiscoveryMaxMailboxes

可以在單個就地電子資料展示搜尋中搜尋的最大郵箱數

50

DiscoveryMaxMailboxesResultsOnly

可以在單個就地電子資料展示搜尋以及複制到發現郵箱

的結果中搜尋到的最大郵箱數。

5000

DiscoveryMaxKeywords

可以在單個就地電子資料展示搜尋中指定的最大關鍵字數

500

DiscoveryMaxSearchResultsPageSize

在電子資料展示搜尋預覽的單個頁面上顯示的最大項目數。

200

EAC 中就地電子資料展示搜尋狀态的關鍵字統計資訊部

分中每頁顯示的最大關鍵字數。

25

本文轉自天鬼皇 51CTO部落格，原文連結：http://blog.51cto.com/ghostlan/1433128，如需轉載請自行聯系原作者