Share via

Verwenden der Kompatibilitätssuche zum Durchsuchen aller Postfächer in Exchange Server

  • Artikel

Mit dem Feature "Kompatibilitätssuche" in Exchange Server können Sie alle Postfächer in Ihrem organization durchsuchen. Im Gegensatz zu Compliance-eDiscovery, wo Sie bis zu 10.000 Postfächer durchsuchen können, gibt es keine Grenzwerte für die Anzahl der Zielpostfächer bei einem einzelnen Suchvorgang. Für Szenarien, bei denen Sie organisationsübergreifende Suchvorgänge ausführen müssen, können Sie das Cmdlet New-ComplianceSearch verwenden, um alle Postfächer zu durchsuchen. Anschließend können Sie die Workflowfeatures von In-Place eDiscovery verwenden, um andere eDiscovery-bezogene Aufgaben auszuführen, z. B. das Anhalten von Postfächern und das Exportieren von Suchergebnissen. Angenommen, Sie müssen alle Postfächer durchsuchen, um bestimmte Verwalter zu identifizieren, die auf einen Rechtsfall reagieren. Sie können das Cmdlet New-ComplianceSearch verwenden, um alle Postfächer in Ihrem organization zu durchsuchen, um diejenigen zu identifizieren, die auf den Fall reagieren. Anschließend können Sie diese Liste der verwaltungsberechtigten Postfächer als Quellpostfächer für eine Compliance-eDiscovery verwenden. Mit In-Place eDiscovery können Sie auch diese Quellpostfächer speichern, Suchergebnisse in ein Ermittlungspostfach kopieren und die Suchergebnisse exportieren.

Dieses Thema enthält ein Skript, das Sie ausführen können, um eine Compliance-eDiscovery-Suche mithilfe der Liste der Quellpostfächer und der Suchabfrage aus einer Compliancesuche zu erstellen, die durch Ausführen des Cmdlets New-ComplianceSearch erstellt wird.

Schritt 1: Ausühren des Cmdlets „New-ComplianceSearch" zum Durchsuchen aller Postfächer

Der erste Schritt besteht darin, die Exchange-Verwaltungsshell zu verwenden, um eine Konformitätssuche zu erstellen, die alle Postfächer in Ihrer organization durchsucht. Es gibt keine Beschränkung für die Anzahl von Postfächern für eine einzelne Konformitätssuche. Geben Sie eine geeignete Schlüsselwort (keyword) Abfrage (oder eine Abfrage für vertrauliche Informationstypen) an, damit die Suche nur die Quellpostfächer zurückgibt, die für Ihre Untersuchung relevant sind. Verfeinern Sie bei Bedarf die Suchabfrage, um den Bereich der zurückgegebenen Suchergebnisse und Quellpostfächer einzugrenzen.

Hinweis

Wenn die Compliancesuche keine Ergebnisse zurückgibt, wird keine Compliance-eDiscovery erstellt, wenn Sie das Skript in Schritt 3 ausführen. Sie müssen die Suchabfrage möglicherweise abändern und dann die Compliancesuche erneut ausführen, um Suchergebnisse zurückzugeben.

Hier sehen Sie ein Beispiel für die Verwendung des Cmdlets New-ComplianceSearch zum Durchsuchen aller Postfächer in Ihrem organization. Die Suchabfrage gibt alle Nachrichten zurück, die zwischen dem 1. Oktober 2015 und dem 31. Oktober 2015 gesendet wurden und die den Ausdruck "Finanzbericht" in der Betreffzeile enthalten. Der erste Befehl erstellt die Suche, und der zweite Befehl führt die Suche aus.

New-ComplianceSearch -Name "Search All-Financial Report" -ExchangeLocation all -ContentMatchQuery 'sent>=01/01/2015 AND sent<=06/30/2015 AND subject:"financial report"'

Start-ComplianceSearch -Identity "Search All-Financial Report"

Weitere Informationen finden Sie unter New-ComplianceSearch.

Wichtig

Wenn Sie mit dem Cmdlet New-ComplianceSearch eine Konformitätssuche erstellen, wird eine Schattensuche In-Place eDiscovery erstellt (aber nicht gestartet) und auf der Seite In-Place eDiscovery & Hold im Exchange Admin Center (EAC) angezeigt. Die Zurückgabe erfolgt auch mithilfe des Cmdlets Get-MailboxSearch. Diese Postfachsuche heißt ComplianceSearchName -shadow. Es wird empfohlen, dass Sie die Shadow-Compliance-eDiscovery-Suche löschen und das Skript in Schritt 3 zum Erstellen der Compliance-eDiscovery-Suche verwenden. Die Funktionalität zum Erstellen einer Shadow-Suche wird in einem kumulativen Update für Exchange 2016 entfernt.

Eine Compliancesuche gibt maximal 500 Quellpostfächer zurück, die Suchergebnisse enthalten. Wenn es mehr als 500 Postfächer gibt, die Inhalte aufweisen, die mit der Suchabfrage übereinstimmen, sind nur die 500 Postfächer, die die meisten Suchergebnisse enthalten, in der Compliancesuche vorhanden, die Sie im vorherigen Schritt erstellt haben. Falls also mehr als 500 Postfächer Suchergebnisse enthalten, sind einige dieser Postfächer nicht in der Liste der Quellpostfächer enthalten, die in die neue in Schritt 3 erstellte Compliance-eDiscovery-Suche kopiert wurde.

Damit Sie eine Compliancesuche erstellen können, die maximal 500 Quellpostfächer enthält, befolgen Sie die folgenden Schritte, um ein Skript auszuführen, dass die Anzahl der Quellpostfächer (welche Suchergebnisse enthalten) anzeigt, die von der in Schritt 1 erstellten Compliancesuche zurückgegeben werden.

  1. Speichern Sie den folgenden Text in einer Windows PowerShell-Skriptdatei mithilfe des Dateinamensuffixes „.ps1". Sie können als Dateinamen beispielsweise „SourceMailboxes.ps1" wählen.

    [CmdletBinding()]
Param(
     [Parameter(Mandatory=$True,Position=1)]
     [string]$SearchName
)
$search = Get-ComplianceSearch $SearchName
if ($search.Status -ne "Completed")
{
                "Please wait until the search finishes.";
                break;
}
$results = $search.SuccessResults;
if (($search.Items -le 0) -or ([string]::IsNullOrWhiteSpace($results)))
{
                "The compliance search " + $SearchName + " didn't return any useful results.";
                break;
}
$mailboxes = @();
$lines = $results -split '[\r\n]+';
foreach ($line in $lines)
{
    if ($line -match 'Location: (\S+),.+Item count: (\d+)' -and $matches[2] -gt 0)
    {
        $mailboxes += $matches[1];
    }
}
"Number of mailboxes that have search hits: " + $mailboxes.Count

  2. Wechseln Sie in der Exchange-Verwaltungsshell zum Ordner mit dem im vorherigen Schritt erstellten Skript, und führen Sie es aus. Beispiel:

    .\SourceMailboxes.ps1

  3. Wenn Sie vom Skript dazu aufgefordert werden, geben Sie den Namen der Compliancesuche ein, die Sie in Schritt 1 erstellt haben.

    Das Skript zeigt die Anzahl der Quellpostfächer an, die Suchergebnisse enthalten.

Wenn mehr als 500 Quellpostfächer vorhanden sind, versuchen Sie, zwei (oder mehrere) Compliancesuchvorgänge zu erstellen. Durchsuchen Sie beispielsweise die eine Hälfte der Postfächer in Ihrer Organisation in einer Compliancesuche und die andere Hälfte in einer anderen Compliancesuche. Sie können auch die Suchkriterien ändern, um die Anzahl der Postfächer zu verringern, die Suchergebnisse enthalten. Sie können z. B. einen Datumsbereich angeben oder die Schlüsselwort (keyword) Abfrage verfeinern.

Im nächsten Schritt wird ein Skript ausgeführt, das eine vorhandene Compliancesuche in eine Compliance-eDiscovery-Suche konvertiert. Die folgenden Aufgaben werden vom Skript durchgeführt:

  • Fordert Sie zur Eingabe des Namens der zu konvertierenden Compliancesuche auf.

  • Es stellt sicher, dass die Compliancesuche abgeschlossen wird. Wenn die Compliancesuche keine Ergebnisse zurückgibt, wird In-Situ-eDiscovery nicht erstellt.

  • Speichert eine Liste der Quellpostfächer aus der Compliancesuche mit den Suchergebnissen in einer Variablen.

  • Erstellt eine neue In-Situ-eDiscovery-Suche mit den folgenden Eigenschaften. Beachten Sie, dass die neue Suche noch nicht gestartet wurde. Sie werden diese in Schritt 4 starten.

    • Name: Der Name der neuen Suche verwendet dieses Format: <Name der Konformitätssuche>_MBSearch1. Wenn Sie das Skript erneut ausführen und dieselbe Quellkonformitätssuche verwenden, erhält die Suche den Namen <Name der Kompatibilitätssuche>_MBSearch2.

    • Quellpostfächer: Alle Postfächer aus der Konformitätssuche, die Suchergebnisse enthalten.

    • Suchabfrage: Die neue Suche verwendet die Suchabfrage aus der Kompatibilitätssuche. Berücksichtigt die Compliancesuche alle Inhalte (leere Suchabfrage), so ist in der neuen Suche die Suchabfrage leer und es werden alle in den Quellpostfächern enthaltenen Inhalte berücksichtigt.

    • Suche nur schätzen: Die neue Suche wird als reine Schätzungssuche markiert. Die Suchergebnisse werden nicht in ein Discoverypostfach kopiert, nachdem Sie es starten.

  1. Speichern Sie den folgenden Text in einer Windows PowerShell-Skriptdatei mithilfe des Dateinamensuffixes „.ps1". Sie können als Dateinamen beispielsweise „MBSearchFromComplianceSearch.ps1" wählen.

    [CmdletBinding()]
Param(
    [Parameter(Mandatory=$True,Position=1)]
    [string]$SearchName,
    [switch]$original,
    [switch]$restoreOriginal
)
$search = Get-ComplianceSearch $SearchName
if ($search.Status -ne "Completed")
{
   "Please wait until the search finishes";
   break;
}
$results = $search.SuccessResults;
if (($search.Items -le 0) -or ([string]::IsNullOrWhiteSpace($results)))
{
   "The compliance search " + $SearchName + " didn't return any useful results";
   "A mailbox search object wasn't created";
   break;
}
$mailboxes = @();
$lines = $results -split '[\r\n]+';
foreach ($line in $lines)
{
    if ($line -match 'Location: (\S+),.+Item count: (\d+)' -and $matches[2] -gt 0)
    {
        $mailboxes += $matches[1];
    }
}
$msPrefix = $SearchName + "_MBSearch";
$I = 1;
$mbSearches = Get-MailboxSearch;
while ($true)
{
    $found = $false;
    $mbsName = "$msPrefix$I";
    foreach ($mbs in $mbSearches)
    {
        if ($mbs.Name -eq $mbsName)
        {
            $found = $true;
            break;
        }
    }
    if (!$found)
    {
        break;
    }
    $I++;
}
$query = $search.KeywordQuery;
if ([string]::IsNullOrWhiteSpace($query))
{
    $query = $search.ContentMatchQuery;
}
if ([string]::IsNullOrWhiteSpace($query))
{
   New-MailboxSearch "$msPrefix$i" -SourceMailboxes $mailboxes -EstimateOnly;
}
else
{
   New-MailboxSearch "$msPrefix$i" -SourceMailboxes $mailboxes -SearchQuery $query -EstimateOnly;
}

  2. Wechseln Sie in der Exchange-Verwaltungsshell zum Ordner mit dem im vorherigen Schritt erstellten Skript, und führen Sie es aus. Beispiel:

    .\MBSearchFromComplianceSearch.ps1

  3. Geben Sie bei Aufforderung durch das Skript den Namen der Compliancesuche ein, die Sie in eine Compliance-eDiscovery-Suche konvertieren möchten (z. B. die Suche, die Sie in Schritt 1 erstellt haben), und drücken Sie anschließend die EINGABETASTE.

    Wenn das Skript erfolgreich ausgeführt wird, wird eine neue In-Situ-eDiscovery-Suche mit dem Status NotStarted erstellt. Führen Sie den Befehl aus Get-MailboxSearch <Name of compliance search>_MBSearch1 | FL , um die Eigenschaften der neuen Suche anzuzeigen.

Das Skript, das Sie in Schritt 3 ausführen, erstellt eine neue Compliance-eDiscovery-Suche, startet diese aber nicht. Der nächste Schritt ist das Starten der Suche, damit Sie eine Schätzung der Suchergebnisse abrufen können.

  1. Wechseln Sie im Exchange Admin Center (EAC) zu Complianceverwaltung>In-Place eDiscovery & Halten.

  2. Wählen Sie in der Listenansicht die In-Situ-eDiscovery-Suche aus, die Sie in Schritt 3 erstellt haben.

  3. Klicken Sie auf Suchen (Suchsymbol).>Schätzen Sie die Suchergebnisse, um die Suche zu starten und eine Schätzung der Gesamtgröße und Anzahl der von der Suche zurückgegebenen Elemente zurückzugeben.

    Die Schätzungen werden im Detailbereich angezeigt. Klicken Sie auf Aktualisieren (Symbol aktualisieren),um die im Detailbereich angezeigten Informationen zu aktualisieren.

  4. Um eine Vorschau der Ergebnisse anzuzeigen, nachdem die Suche abgeschlossen ist, klicken Sie im Detailbereich auf Vorschau der Suchergebnisse anzeigen.

Tipp

Alternativ können Sie die Exchange-Verwaltungsshell verwenden, um die In-Place eDiscovery-Suche zu starten. z. B Start-MailboxSearch -Identity <Name of compliance search>_MBSearch1. .

Nach dem Erstellen und Starten der In-Situ-eDiscovery-Suche, die mit dem Skript in Schritt 3 erstellt wurde, können Sie den normalen In-Situ-eDiscovery-Workflow zum Durchführen verschiedener eDiscovery-Aktionen an den Suchergebnissen verwenden.

Erstellen eines In-Situ-Archivs

  1. Wechseln Sie im EAC zu Complianceverwaltung>In-Situ eDiscovery & Halten.

  2. Wählen Sie in der Listenansicht die In-Place eDiscovery-Suche aus, die Sie in Schritt 3 erstellt haben, und klicken Sie dann auf Bearbeiten (Symbol Bearbeiten).

  3. Aktivieren Sie auf der Seite Compliance-Archive das Kontrollkästchen Inhalt, der in ausgewählten Postfächern mit der Suchabfrage übereinstimmt, aufbewahren, und wählen Sie eine der folgenden Optionen:

    • Unbegrenzt halten: Wählen Sie diese Option aus, um von der Suche zurückgegebene Elemente auf unbestimmte Zeit zu platzieren. Aufbewahrte Elemente werden solange beibehalten, bis Sie das Postfach aus der Suche entfernt oder die Suche entfernt haben.

    • Angeben der Anzahl von Tagen, die Elemente relativ zum Empfangsdatum enthalten sollen: Wählen Sie diese Option aus, um Elemente für einen bestimmten Zeitraum zu halten. Der Zeitraum beginnt mit dem Datum, an dem das Postfachelement empfangen oder erstellt wurde.

  4. Klicken Sie auf Speichern, um das Compliance-Archiv zu erstellen und die Suche neu zu starten.

Kopieren der Suchergebnisse

  1. Wechseln Sie im EAC zu Complianceverwaltung>In-Situ eDiscovery & Halten.

  2. Wählen Sie in der Listenansicht die In-Situ-eDiscovery-Suche aus, die Sie in Schritt 3 erstellt haben.

  3. Klicken Sie auf Suchen (Suchsymbol). Klicken Sie dann in der Dropdownliste auf Suchergebnisse kopieren .

  4. Wählen Sie unter Suchergebnisse kopieren aus den folgenden Optionen:

    • Nicht durchsuchbare Elemente einschließen: Aktivieren Sie dieses Kontrollkästchen, um Postfachelemente einzuschließen, die nicht durchsucht werden konnten (z. B. Nachrichten mit Anlagen von Dateitypen, die von der Exchange-Suche nicht indiziert werden konnten).

    • Deduplizierung aktivieren: Aktivieren Sie dieses Kontrollkästchen, um doppelte Nachrichten auszuschließen. Es wird nur eine einzelne Instanz einer Nachricht in das Discovery-Postfach kopiert.

    • Vollständige Protokollierung aktivieren: Aktivieren Sie dieses Kontrollkästchen, um ein vollständiges Protokoll in die Suchergebnisse aufzunehmen.

    • E-Mail senden, wenn die Kopie abgeschlossen ist: Aktivieren Sie dieses Kontrollkästchen, um eine E-Mail-Benachrichtigung zu erhalten, wenn die Suche abgeschlossen ist.

    • Ergebnisse in dieses Ermittlungspostfach kopieren: Klicken Sie auf Durchsuchen , um das Ermittlungspostfach auszuwählen, in das die Suchergebnisse kopiert werden sollen.

  5. Klicken Sie auf Kopieren, um den Prozess zum Kopieren der Suchergebnisse in das angegebene Discoverypostfach zu starten.

  6. Klicken Sie auf Aktualisieren (Symbol aktualisieren),um die Informationen zum Kopieren status zu aktualisieren, die im Detailbereich angezeigt werden.

  7. Wenn der Kopiervorgang abgeschlossen ist, klicken Sie auf Öffnen, um das Discoverypostfach zu öffnen und die Suchergebnisse anzuzeigen.

Exportieren der Suchergebnisse

  1. Wechseln Sie im EAC zu Complianceverwaltung>In-Situ eDiscovery & Halten.

  2. Wählen Sie in der Listenansicht die Compliance-eDiscovery-Suche aus, die Sie in Schritt 3 erstellt haben, und klicken Sie anschließend auf In eine PST-Datei exportieren.

  3. Wählen Sie in der Listenansicht die Compliance-eDiscovery-Suche aus, deren Ergebnisse Sie exportieren möchten, und klicken Sie auf die Option In eine PST-Datei exportieren.

  4. Gehen Sie im Fenster eDiscovery-PST-Exporttool folgendermaßen vor:

    • Klicken Sie auf Durchsuchen, und geben Sie das Verzeichnis an, in das die PST-Datei heruntergeladen werden soll.

    • Klicken Sie auf das Kontrollkästchen Entfernung von Duplikaten aktivieren, um doppelte Nachrichten auszuschließen. Es wird nur eine einzelne Instanz einer Nachricht in die PST-Datei aufgenommen.

    • Aktivieren Sie das Kontrollkästchen Nicht durchsuchbare Elemente einschließen , um Postfachelemente einzuschließen, die nicht durchsucht werden konnten (z. B. Nachrichten mit Anlagen von Dateitypen, die von der Exchange-Suche nicht indiziert werden konnten). Nicht durchsuchbare Elemente werden in eine separate PST-Datei exportiert.

  5. Klicken Sie auf Start, um die Suchergebnisse in eine PST-Datei zu exportieren.

    Es wird ein Fenster angezeigt, das Statusinformationen über den Exportvorgang anzeigt.