了解多邮箱搜索

项目
03/06/2017

适用于： Exchange Server 2010 SP2, Exchange Server 2010 SP3

上一次修改主题： 2016-11-28

如果您的组织遵循法律发现要求（与组织策略、遵从性或诉讼相关），Microsoft Exchange Server 2010 多邮箱搜索可以帮助您对 Exchange 邮箱内的相关内容执行发现搜索。

多邮箱搜索使用的是由 Exchange 搜索创建的内容索引。Exchange 控制面板 (ECP) 为非技术人员，如法律法规事务主管、记录管理员和人力资源 (HR) 专家等，提供易于使用的搜索界面。基于角色的访问控制 (RBAC) 提供了发现管理管理角色组，该角色组将发现任务委派给非技术人员，而无需提供提升的权限，提升的权限会允许用户对 Exchange 配置进行任何操作性的更改。

用于多邮箱搜索

Exchange 搜索和高级查询语法

发现管理角色组和管理角色

发现邮箱

执行发现搜索

查看搜索结果

发现搜索的日志记录

诉讼保留和发现

要查找与多邮箱搜索相关的管理任务吗？请参阅管理多邮箱搜索。

用于多邮箱搜索

以下是多邮箱搜索的常见用法：

法律发现 遵循邮件记录的法律发现请求是卷入诉讼的组织最重要的任务之一。如果没有专用的工具，在可能位于不同邮箱数据库中的多个邮箱内搜索邮件记录将是一项非常耗费时间和资源的任务。使用多邮箱搜索，您能够搜索来自一个或多个 Exchange 2010 服务器的多个邮箱中存储的大量电子邮件，并且这些服务器很可能位于不同的位置。
**内部调查：**多邮箱搜索有助于将管理员或法律部门请求简化为内部调查的一部分。
人力资源监视 多邮箱搜索有助于简化 HR 的请求，例如标准电子邮件监视请求或特定搜索。

返回顶部

Exchange 搜索和高级查询语法

多邮箱搜索使用的是由 Exchange 搜索创建的内容索引。为了提供多邮箱搜索需要的广泛搜索功能，还向 Exchange 搜索中添加了新功能。使用单一内容索引引擎，当 IT 部门收到发现请求时，无需使用其他资源便可在多邮箱搜索中进行爬网和索引邮箱数据库。

有关 Exchange 搜索的详细信息，请参阅了解 Exchange 搜索。

多邮箱搜索还使用高级查询语法 (AQS)，即 WindowsMicrosoft 和 Outlook 2010 中的“Office Outlook 2007 搜索”和“即时搜索”常用的查询语法。精通 AQS 的用户可以轻松构建强大的搜索查询以搜索内容索引。

有关 AQS 的详细信息，请参阅以编程方式使用高级查询语法。

返回顶部

发现管理角色组和管理角色

对于执行发现搜索的用户，您必须将其添加到发现管理 RBAC 角色组。此角色组由下面两个管理角色构成：“邮箱搜索”角色（使用户可执行发现搜索）和“合法保留”角色（使用户可对邮箱进行诉讼保留）。有关发现管理 RBAC 角色组的详细信息，请参阅发现管理。有关 RBAC 的详细信息，请参阅了解基于角色的访问控制。

默认情况下，发现管理角色组中没有任何成员。不会向任何用户分配执行与发现相关的任务所需的权限。此外，默认情况下，Exchange 管理员也没有执行发现搜索所需的权限。作为 Exchange 管理角色组成员的组织管理管理员可向发现管理角色组添加用户，并可创建自定义角色组，将发现管理员的范围限制在一小部分用户中。审核 RBAC 角色更改可确保保留了适当的记录，以便跟踪发现管理角色组的分配。有关详细信息，请参阅管理员审核日志记录概述。

重要说明：
如果用户未添加到发现管理角色组或未分到邮箱搜索角色，则不会在 ECP 中向用户显示多邮箱搜索用户界面，且 Exchange 命令行管理程序中的多邮箱搜索 cmdlet 不可用。

有关将用户添加到发现管理角色组的详细信息，请参阅将用户添加到“发现管理”角色组。

警告：
多邮箱搜索是一项强大的功能，利用它，具有相应权限的用户可能可以访问存储在 Exchange 2010 组织中的所有邮件记录。控制和监视发现活动是很重要的，这些活动包括将成员添加至发现管理角色组或任何其他具有邮箱搜索管理角色的角色组，以及分配邮箱搜索管理角色和对发现邮箱的邮箱访问权限。

返回顶部

发现邮箱

执行发现搜索时，必须指定要存储搜索结果的目标邮箱。发现邮箱是一种特殊类型的 Exchange 2010 邮箱，它具有以下功能：

**更加轻松安全的目标邮箱选择：**当您使用 ECP 创建发现搜索时，只有发现邮箱可作为存储搜索结果的存储库。无需在可能很长的组织可用邮箱列表中费心挑选。这也消除了发现管理员出错的可能性，例如不小心选择了其他用户的邮箱或可能存储了敏感邮件内容的不安全邮箱。
大型邮箱存储配额 目标邮箱应能够存储大量发现搜索可能返回的邮件数据。默认情况下，发现邮箱的邮箱存储配额为 50 千兆字节 (GB)。尽管可以增加此配额，但不支持大于 50 GB 的发现邮箱。

注意：

在 Exchange 2010 Service Pack 1 (SP1) 中，发现管理员可以估计搜索结果以确定发现搜索所返回项目的总数和大小。

注意：
在 Exchange 2010 Service Pack 1 (SP1) 中，发现管理员可以估计搜索结果以确定发现搜索所返回项目的总数和大小。

**默认安全：**与所有邮箱类型一样，发现邮箱具有关联的 Active Directory 用户帐户。但是默认情况下，此帐户为禁用状态。只有被显式授权访问发现邮箱的用户可以访问。发现管理角色组的成员具有对默认发现邮箱的完全访问权限。对于您创建的任何其他发现邮箱，未将邮箱访问权限分配给任何用户。

重要说明：
在 Exchange 2010 SP1 中，您可以启用邮箱审核日志记录来审核邮箱所有者、邮箱代理人和邮箱管理员对邮箱的访问权限以及诸如访问和删除文件夹或邮件等操作。有关更多详细信息，请参阅了解邮箱审核日志记录。

电子邮件传递已禁用 虽然电子邮件在 Exchange 地址列表中可见，但用户不能将其发送至发现邮箱。使用传递限制可禁止对发现邮箱进行电子邮件传递。这可保留搜索结果的完整性。

Exchange 2010 安装程序创建了一个显示名称为“发现搜索邮箱”的发现邮箱。可以使用命令行管理程序创建其他发现邮箱。默认情况下，对于您创建的其他发现邮箱，不会分配任何邮箱访问权限。有关如何创建发现邮箱的详细信息，请参阅创建发现邮箱。

多邮箱搜索还将使用显示名称为“SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9}”的系统邮箱来保留多邮箱搜索元数据。系统邮箱在 Exchange 管理控制台 (EMC) 或 Exchange 地址列表中不可见。在删除多邮箱搜索系统邮箱所在的邮箱数据库之前，必须将该邮箱移动到其他邮箱数据库。

返回顶部

执行发现搜索

已添加至发现管理角色组的用户可以执行发现搜索。有关发现管理角色组的详细信息，请参阅本主题前面的发现管理角色组和管理角色。

在 ECP 中可以使用基于 Web 的界面执行发现搜索，如下图所示。这可以使非技术人员，如记录管理员、法规事务主管或法律和 HR 专家可以更加轻松地使用多邮箱搜索。还可以使用命令行管理程序执行发现搜索。

注意：
在混合部署（即有些邮箱存在于内部部署邮箱服务器，有些邮箱存在于基于云的组织中的环境）中，可以在内部部署组织中使用 ECP 对基于云的邮箱执行发现搜索。如果要将邮件复制到发现邮箱，则必须选择一个内部部署发现邮箱。来自搜索结果中返回的基于云的邮箱的邮件会被复制到指定的内部部署发现邮箱。有关混合部署的更多详细信息，请参阅了解共存。

在混合部署（即有些邮箱存在于内部部署邮箱服务器，有些邮箱存在于基于云的组织中的环境）中，可以在内部部署组织中使用 ECP 对基于云的邮箱执行发现搜索。如果要将邮件复制到发现邮箱，则必须选择一个内部部署发现邮箱。来自搜索结果中返回的基于云的邮箱的邮件会被复制到指定的内部部署发现邮箱。
有关混合部署的更多详细信息，请参阅了解共存。

发现搜索界面

执行搜索时，将在 Exchange 2010 中创建一个搜索对象。可以通过操纵该对象来启动、停止、修改或删除搜索。发现搜索返回的项目将被复制到选作搜索目标邮箱的发现邮箱中。可以同时运行多个搜索。

注意：
多邮箱搜索是一项 Exchange 2010 功能。使用多邮箱搜索只能搜索位于 Exchange 2010 服务器上的邮箱。要优化您的搜索结果，我们建议您在单个搜索中搜索不超过 2500 个邮箱。要搜索 2500 个以上的邮箱，您可以创建多个搜索。例如，您可以搜索通讯组或动态通讯组中用户的邮箱。多邮箱搜索不会搜索 .pst 文件中的邮件。为了减少管理和法律发现的费用，我们建议为用户提供存档邮箱。有关存档邮箱的详细信息，请参阅了解个人存档。

多邮箱搜索是一项 Exchange 2010 功能。使用多邮箱搜索只能搜索位于 Exchange 2010 服务器上的邮箱。要优化您的搜索结果，我们建议您在单个搜索中搜索不超过 2500 个邮箱。要搜索 2500 个以上的邮箱，您可以创建多个搜索。例如，您可以搜索通讯组或动态通讯组中用户的邮箱。
多邮箱搜索不会搜索 .pst 文件中的邮件。为了减少管理和法律发现的费用，我们建议为用户提供存档邮箱。有关存档邮箱的详细信息，请参阅了解个人存档。

以下内容适用于执行发现搜索：

关键字：可以指定关键字和短语来搜索邮件内容。还可以使用逻辑运算符 AND、OR 和 NOT。若要搜索包含多个单词的短语的完全匹配项，必须在该短语前后加上引号。例如，搜索短语“计划和竞争”将返回包含该短语的完全匹配项的邮件，而指定计划和竞争则将返回任何地方包含单词“计划”和“竞争”的邮件。还可以使用 AQS。有关详细信息，请参阅以编程方式使用高级查询语法。有关高级关键字搜索的详细信息，请参阅高级关键字搜索。

注意：

多邮箱搜索不支持正则表达式。

逻辑运算符必须使用大写，以将其作为运算符而非关键字处理，例如 AND 和 OR。我们建议对任何混用多个逻辑运算符（AND、OR、NOT 等）的查询使用显式圆括号，以避免出现错误或误解。例如，如果要搜索包含 WordA 或 WordB 以及 WordC 或 WordD 的邮件，则必须使用 (WordA OR WordB) AND (WordC OR WordD)。
发件人或收件人 若要缩小搜索范围，可以指定邮件的发件人或收件人。可以使用电子邮件地址、显示名称或域名来搜索发送到或来自指定域中每个用户的邮件。例如，若要查找由任何用户发送至 Contoso, Ltd. 的电子邮件，可以在 ECP 的“发件人”字段中指定 @contoso.com。还可以在命令行管理程序的 Senders 参数中指定 @contoso.com。
**日期范围：**默认情况下，多邮箱搜索不限制搜索的日期范围。若要搜索某个特定日期范围内发送的邮件，可以通过指定开始和结束日期来缩小搜索范围。如果不指定结束日期，则每次重新启动搜索时将返回最新结果。
**邮箱：**多邮箱搜索可以搜索所有位于 Exchange 2010 组织中的 Exchange 邮箱服务器上的邮箱，或者您可以指定要搜索的邮箱。还可以指定一个通讯组，以包含作为该组成员的邮箱用户。
**个人存档：**默认情况下，如果对邮箱用户启用了个人存档，则多邮箱搜索还会搜索存档邮箱。ECP 中没有覆盖此设置的选项。若要排除存档邮箱，必须使用命令行管理程序创建或修改搜索。
**邮件类型：**默认情况下，只搜索电子邮件。但是，也可以包括以下要搜索的邮件类型：联系人、文档、即时消息对话、日记、会议和便签。
**附件：**多邮箱搜索能够搜索受 Exchange 搜索支持的附件。通过安装搜索筛选器（也称为 iFilter），可以添加对邮箱服务器上的其他文件类型的支持。
**不可搜索的项目：**不可搜索的项目是指 Exchange 搜索无法通过索引找到的邮箱项目。原因包括未对附加文件安装搜索筛选器、筛选器错误和加密邮件。创建发现搜索时，搜索结果中可以包含不可搜索的项目。
**安全列表：**某些文件类型不包含可编入索引的内容，因此未编入 Exchange 搜索的索引。这些文件类型不属于不可搜索的项目。不可搜索项目的列表中不返回包含这些文件类型的邮箱项目。有关更多详细信息，请参阅Exchange 搜索的默认筛选器。
**加密项目：**因为 Exchange 搜索未将使用 S/MIME 加密的邮件编入索引，所以多邮箱搜索不会搜索这些邮件。如果选择了在搜索结果中包括失败项目的选项，则这些使用 S/MIME 加密的邮件将作为失败项目返回。

注意：
多邮箱搜索不支持正则表达式。

**受 IRM 保护的项目：**Exchange 搜索将使用信息权限管理 (IRM) 保护的邮件编入了索引，因此它们将包括在发现搜索结果中。必须使用 Active Directory 权限管理服务 (AD RMS) 服务器保护邮件，此服务器应与 Active Directory 邮箱服务器处于同一 Exchange 2010 林中。有关 IRM 的详细信息，请参阅权限保护。

重要说明：
当由于解密失败或 IRM 被禁用，Exchange 搜索无法将受 IRM 保护的邮件编入索引时，不会将受保护的邮件添加到失败项目的列表。如果选择了在搜索结果中包括失败项目的选项，则结果中可能不包括无法解密的受保护邮件。若要在搜索中包括受 IRM 保护的邮件，可以创建其他发现搜索以返回包含 .rpmsg 附件的邮件。可以使用查询字符串 `attachment:rpmsg` 搜索所有受保护的邮件。这将返回来自所搜索邮箱的所有受 IRM 保护的邮件，无论这些邮件是否已编入索引。当某个搜索返回与搜索条件匹配的邮件时，搜索条件为包括成功编入索引的受保护邮件，这可能会导致部分搜索结果重复。该搜索不会返回无法编入索引的受保护邮件。对所有受保护邮件执行的第二次搜索还包括第一次搜索返回的成功编入索引的受保护邮件。此外，第二次搜索返回的受保护邮件可能与用于第一次搜索的搜索条件（如关键字）不匹配。

重要说明：

当由于解密失败或 IRM 被禁用，Exchange 搜索无法将受 IRM 保护的邮件编入索引时，不会将受保护的邮件添加到失败项目的列表。如果选择了在搜索结果中包括失败项目的选项，则结果中可能不包括无法解密的受保护邮件。
若要在搜索中包括受 IRM 保护的邮件，可以创建其他发现搜索以返回包含 .rpmsg 附件的邮件。可以使用查询字符串 attachment:rpmsg 搜索所有受保护的邮件。这将返回来自所搜索邮箱的所有受 IRM 保护的邮件，无论这些邮件是否已编入索引。当某个搜索返回与搜索条件匹配的邮件时，搜索条件为包括成功编入索引的受保护邮件，这可能会导致部分搜索结果重复。该搜索不会返回无法编入索引的受保护邮件。对所有受保护邮件执行的第二次搜索还包括第一次搜索返回的成功编入索引的受保护邮件。此外，第二次搜索返回的受保护邮件可能与用于第一次搜索的搜索条件（如关键字）不匹配。

删除重复 在 Exchange 2010 SP1 中，您可以启用发现搜索结果的“删除重复”功能，从而仅将特定邮件的一个实例复制到发现邮箱。删除重复具有下列优点：
- 由于减少了复制的邮件数，因此降低了存储要求并缩小了发现邮箱的大小。
- 减轻了发现管理员、法律顾问或参与审核发现搜索结果的其他人员的工作负荷。
- 降低了发现成本，具体取决于搜索结果中的重复项数量。
如果选择的发现邮箱位于尚未升级到 Exchange 2010 SP1 的 Exchange 2010 服务器上，则不能对搜索结果执行删除重复。若要使用删除重复，必须选择位于 Exchange 2010 SP1 邮箱服务器上的发现邮箱。

搜索结果估计 在 Exchange 2010 SP1 中创建发现搜索时，发现管理员可以选择该选项以在决定是否将搜索返回的邮件复制到发现邮箱之前，对搜索结果进行估计。搜索结果估计包括搜索返回的项目总数、这些项目的总大小以及针对每个指定关键字所返回项目的细目。搜索估计具有以下优势：

发现管理员能够确定搜索查询的有效性。通过使用搜索估计，发现管理员可以对搜索查询和关键字执行 what-if 分析，然后创建更为有效的查询。
发现管理员可以避免复制大量可能不满足搜索要求或目的但仍需审核的项目。
在搜索查询导致需要复制大量项目的情况下，发现管理员可以与 Exchange 管理员协同工作来确定发现邮箱内是否具备足够的存储空间来存储这些结果。

注意：
在计算搜索结果估计时不考虑删除重复。当再次运行该搜索并选择将邮件复制到发现邮箱时，所复制邮件的实际数目可能比使用仅估计选项所提供的估计数目要少。

有关如何执行发现搜索的详细信息，请参阅创建发现搜索。

返回顶部

查看搜索结果

会将搜索结果复制到被选择作为搜索操作的目标邮箱的发现邮箱中。如果使用默认发现搜索邮箱以外的目标邮箱，必须将邮箱访问权限分配给已授权用户，以使其可以访问该发现邮箱。已授权用户可以使用 Microsoft OfficeOutlook Web App 或 Outlook 访问该邮箱。

有关如何分配某个邮箱的完全访问邮箱权限的信息，请参阅管理完全访问权限。

如果发现管理员选择将搜索结果复制到发现邮箱的选项，那么将在目标邮箱中创建一个与该搜索同名的文件夹。为了存储从该邮箱返回的邮件，将为每个搜索的邮箱创建一个子文件夹。文件夹名称由邮箱用户的显示名称和搜索创建时的日期和时间组成。邮件将复制到名称与其在搜索邮箱中的位置相同文件夹中。例如，如果搜索名称为 Discovery-ProjectContoso，返回的邮件位于 Paul Shen 主邮箱的收件箱文件夹中，则在发现邮箱中创建的文件夹层次结构将为“Discovery-ProjectContoso -> Paul Shen-9/4/2009 3:57:10 PM -> 主邮箱 > 收件箱”。将保留所有邮件标志，包括已读/未读状态和跟进标志。

注意：
如果发现管理员选择了删除重复选项，那么会将在所有被搜索邮箱的多个位置上找到的邮件的单个实例复制到“结果 - <timestamp>”文件夹。如果发现管理员选择了搜索的完整日志记录选项，那么该搜索日志将包含对应于每个邮件实例的条目。

批注

在 Exchange 2010 SP1 中，当发现管理员审核复制到发现邮箱的邮件时，他（或她）可以向此邮件添加批注。然后，发现管理员可以在发现邮箱中搜索带有包含特定单词或短语的批注的邮件。

发现管理员可以使用批注将一个案例号或其他唯一标识符与邮件进行关联，以便于搜索具有该编号的所有项目。

注意：
批注与邮件一起存储在发现邮箱中。如果向第三方传递邮件，请考虑第三方可能可以访问批注中的信息。建议不要在批注中存储任何机密信息。

返回顶部

发现搜索的日志记录

有两种类型的日志记录可用于发现搜索：

**基本日志记录：**默认情况下将为所有邮箱搜索启用基本日志记录。基本日志记录包含有关搜索和搜索执行人员的信息。使用基本日志记录捕获的信息会显示在发送到存储搜索结果的邮箱的电子邮件正文中。此邮件位于为存储搜索结果而创建的文件夹中。
**完整日志记录：**完整日志记录包含搜索返回的所有邮件的信息。此信息以逗号分隔值 (.csv) 文件的形式提供，该文件附加到包含基本日志记录信息的电子邮件中。搜索的名称将用作 .csv 文件的名称。出于遵从性或保留记录的目的，可能需要此信息。若要启用完整日志记录，必须在 ECP 中选择“启用完整日志记录”，或使用命令行管理程序中的 LogLevel 参数指定日志记录级别。在 Exchange 2010 SP1 中，.csv 日志文件包含在压缩 (.zip) 文件中。

注意：
还可以在使用命令行管理程序创建或修改搜索时禁用日志记录。

有关详细信息，请参阅多邮箱搜索日志记录。

返回顶部

诉讼保留和发现

作为发现请求的一部分，您可能需要将邮箱内容保留至诉讼解决之后。若要保留邮箱内容，还必须保留邮箱用户已删除或更改的邮件。在 Exchange 2010 中，这是通过使用诉讼保留来完成的。

对邮箱使用诉讼保留时，用户删除的邮件和其他邮箱项目以及对邮箱项目的某些属性所作的所有更改实例，都将保留在“可恢复邮件”文件夹中。有关诉讼保留的详细信息，请参阅了解诉讼保留。有关如何将邮箱放到诉讼保留中的详细信息，请参阅将邮箱置于合法保留中。

返回顶部

保留发现的邮箱

员工离开组织时，一般会禁用或删除其邮箱。在禁用了邮箱后，会将其从用户帐户断开，但仍会将其保留在数据库中一段时间（默认为 30 天）。托管文件夹助理不会处理断开的邮箱，并且在此期间不会应用任何保留策略或托管文件夹邮箱策略。您将无法搜索断开的邮箱的内容。达到了被删除邮箱保留期时，会将该邮箱从数据库中清除。

如果组织要求对已离开组织的员工的邮件应用保留设置，或者需要保留前员工的邮箱供当前或未来发现搜索使用，则不应禁用或删除邮箱。可以执行以下步骤以确保邮箱不能访问，并且不会向其传递新邮件。

使用“Active Directory 用户和计算机”或其他 Active Directory 或帐户的设置工具或脚本，禁用 Active Directory 用户帐户。这样可以阻止使用关联的用户帐户登录邮箱。

重要说明：
具有完全邮箱访问权限的用户仍然可以访问邮箱。为了防止他人访问，必须从邮箱中删除其访问权限。有关如何删除对邮箱的完全访问权限的详细信息，请参阅管理完全访问权限。

将邮箱用户可以发送或接收的邮件的邮件大小限制设置为一个很小的值，如 1 KB。这样可阻止通过该邮箱发送和接收新邮件。有关如何为邮箱配置邮件大小限制的详细信息，请参阅配置邮箱或已启用邮件的公用文件夹的邮件大小限制。
配置邮件的传递限制，使任何人都无法向其发送邮件。有关详细信息，请参阅配置邮件传递限制

重要说明：
必须执行以下步骤以及组织要求的任何其他帐户管理流程，但不禁用或删除邮箱或关联的用户帐户。

在计划为邮件保留管理或发现实施邮箱保留时，必须考虑员工流动率。长期保留前员工的邮箱需要邮箱服务器上的额外存储，还会导致 Active Directory 数据库增大，因为要求将关联的用户帐户也保留相同的时间。此外，还可能要求更改组织的帐户设置和管理流程。