由于企业办公需要，笔者在局域网内部署了DNS服务器，所有客户机上的DNS服务器地址参数都设置为该服务器的IP地址。并且还在DNS服务器中新建了一个名为“rtj.net”的域，供企业员工访问内部网站需要。

　　但经测试，用户可以正常访问企业内部网，但访问Internet上的网站时就会出现问题。笔者将客户机的DNS服务器地址修改为公网DNS服务器的 IP地址后，就可访问Internet上的网站，但又不能访问企业内部网站了。然而，为了节省经费，“rtj.net”域并没有在公网的DNS服务器上进行注册，只能靠企业网内部DNS服务器进行解析，难道没有一个两全其美的办法吗?

　　分析

　　DNS（Domain Name Server）是一个巨大的分布式数据库，它通过域名服务器提供一个指定域的信息来实现域名的解析，域名服务器负责将域名转换为IP地址。将 Internet中的所有域名信息都放在同一台计算机中是不可能的，因此DNS系统采用树形结构，将不同层次域的域名信息分别存储在不同的域名服务器中，最高层为根域服务器。

　　如要解析名为www.fyssz.net的域名，客户机首先要与本地域名服务器联系，如果查不到该域名信息，本地域名服务器会向根域服务器发送一个请求，查询www.fyssz.net的IP 地址，根域服务器发现该域名不属于自己的管辖区，而是属于net下的一个域，它就会通知域名服务器联系net域的域名服务器以获得更多的信息，并发给本地域名服务器一个所有net域名服务器的地址列表。接着本地域名服务器会继续向这些服务器发送解析请求，直到找到fyssz.net域所属的域名服务器并将www.fyssz.net的IP地址信息返回给客户。

　　由于笔者在局域网内的DNS服务器中创建了根域和net域，所以当DNS服务器收到不能解析的域名时，会错误地认为自己就是根域服务器，而无法找到Internet中真正的根域服务器，因此就会出现客户机不能使用域名访问网站的问题。

　　解决办法

　　首先在DNS服务器中删除根域、net域和rtj.net域，然后再重新创建一个rtj.net域，创建这个域是为了让客户机能够正常访问企业内部网站。同时注意除了企业内部网站所必须的域以外，应该尽量少创建域，防止DNS服务器错误解析域名或无法解析。

MDaemon是一款功能非常强大的邮件服务器软件，可运行于Windows9x/Me 和Windows NT/XP/2000/2003操作系统，特别适用于那些既需要在局域网中互相发送电子邮件，又需要同Internet互发邮件的用户。MDaemon服务器除SMTP/POP3外，还包括邮件清单、支持别名、自动回复、自动转发、多域名、远程管理等服务。无限制用户版本的MDaemon软件可以支持上千的用户数量，所以MDaemon可以适用于任何机构的邮件服务。下面我们就来说明在Windows 2003环境下MDaemon的安装、配置与管理。

　　一、Win 2003 Server MDaemon的安装

　　(1)在MDaemon安装开始时，系统将要求用户选择MDaemon控制界面所使用的语种。MDaemon的管理界面可以支持多个语种----英语、德语和法语。如果对英语熟悉一些，建议选择U.S.English语种进行安装。

　　(2)单击对话框中的OK按钮，将显示软件许可协议。如果要继续MDaemon的安装，就必须要接受该协议。

　　(3)单击“Agree”按钮，将显示选择MDaemon安装路径的安装向导。

　　在该安装路径下，将存放所有用户的邮件。因此建议将MDaemon安装到一个剩余磁盘空间大的分区内。单击Browse按钮，可进行新的安装路径的选择。

　　(4)单击Next按钮，将显示填写授权信息的安装向导对话框，在这里可以分别键入用户和单位名称。

　　(5)单击Next按钮，将进入选择需要安装的组件的界面。

　　MDaemon一共有以下3个安装选择组件。

　　MDaemon server for SMTP，POP and IMAP service是最基本的邮件服务器内容，所以必须选择安装。它能够提供SMTP邮件发送服务、POP3方式接收邮件服务以及IMAP服务。

　　MDaemon client for remote configuration services是用来远程管理邮件服务器的工具。

　　如果邮件服务器是以主机托管的方式存放在ISP那里，但无法经常操控到服务器，那么这个工具就是最好的选择。

　　WorldClient server for web based email and groupware services用来选择是否安装Web方式来收发电子邮件客户端服务。在MDaemon邮件服务内，WebMail就是WorldClient。其本意想必大家都知道，就是让用户可以在世界的任何角落都可以访问到这个邮件服务器。MDaemon基于B/S(浏览器/服务器)的方式进行邮件访问，而不需要安装任何的客户端软件，用户所需要的仅仅就是一个浏览器而已。

　　(6)单击Next按钮，将显示准备安装对话框，提示用户即将正式安装MDaemon。

　　(7)单击Next按钮，安装进程开始复制文件，以进行MDaemon的正式安装。在安装完毕后，将显示配置DNS对话框，在这里要求键入主DNS服务器以及备份DNS的IP地址。需要注意的是，对于拨号上网的用户来说，IP地址是不固定的，所以无需填写。选中Use Windows DNS settings复选框，将使用Windows中的网络设置。

　　(8)单击Next按钮，将显示建立第一个用户注册信息对话框，在各文本框中分别输入用户名全名(可接受中文)、邮箱账户名(不包括主机域名)和账户密码。其中This account is the Postmaster(该账户是管理员账户)和This accounth as Administrator level web access(这个账户是有Web方式管理员权限的)选项。如果想把此用户作为服务器的管理员和Web方式访问的管理员，这两项可分别进行选择。

　　(9)单击Next按钮，以询问是否把邮件服务添加到服务器的系统服务里。该复选框有必要选中，这样所建立的服务器在开机后不登录的情况下，就可以开始正常运行邮件系统。

　　(10)单击Next按钮，系统将提示是否进行高级选项的安装。选中I want to go through the setup process now复选框，安装程序将以向导方式对MDaemon邮件服务器进行配置。

　　(11)单击Next按钮，高级安装设置向导将首先显示一个说明文件。继续单击Next按钮，将显示设置邮件服务器所使用域名的对话框。在空白栏内键入一个域名。例如，如果申请的正式域名为ghq.org，那么在该处应当键入ghq.org。

　　(12)单击Next按钮，将显示设定E-mail代理的对话框。当MDaemon收取邮件时，借助于在这里键入的POP服务器地址(POP Host)以及用户名和密码，MDaemon将先连接至该信箱，并将邮件接收到本地服务器上，然后用户再从本地邮件服务器上收取邮件，也就是说，这是一种邮件代理功能。由于我们是为自己提供邮件服务，而不是用于实现任何邮件代理，所以保留空白而不填写任何内容。

　　(13)单击Next按钮，将显示设置MDaemon和ISP连接方式的安装向导。如果设置了邮件代理，这里就需要与ISP之间建立一个连接。如果没有设置邮件代理，这里也就无需作任何设置。取消对Yes,I want MDaemon to connect me to my ISP复选框的选中。

　　(14)单击Next按钮，系统提示MDaemon服务器已经成功安装，并显示安装成功对话框。其中的四个选项意思分别是启动MDaemon、查看说明文档、马上升级、以后自动监测升级版本。选中Start MDaemon和Check for future updates automatically复选框，系统将立即启动MDaemon，并自动到网上下载升级包，以实现对MDaemon的升级。

　　(15)单击Finish按钮以完成安装过程，同时并开启管理窗口的主界面。

　　二、MDaemon设置

　　MDaemon的管理界面很专业，它所提供的选择和设置项目非常多，但是实际上真正需要设置的选项并不是很多。

　　(1)双击任务栏托盘区的邮件图标，将显示出管理窗口主界面。若该图标未显示，可依次单击“开始”->“所有程序”->MDaemon->StartMDaemon选项，即可运行MDaemon邮件服务程序。

　　(2)在Setup菜单中选择WorldClient/RelayFax命令，将显示WorldClient设置对话框。

　　(3)选择该对话框中的Server Options选项卡，在这里可以设置邮件服务器的一些最基本参数如下：

　　Enable WorldClient Server：选中该复选框，将启动WorldClient服务，以使用户能够通过Web浏览器来收发电子邮件。

　　WorldClient is running under IIS：选中该复选框，当服务器安装有IIS时，WorldClient 将运行在IIS服务之下。

　　Run WorldClients server using this TCP port：在该文本框中指定访问WorldClient所使用的端口号。系统默认值为3000，即用户可通过http://mail.ghq.org:3000(其中mail.ghq.org指邮件服务器的域名)这种方式对WorldClient进行访问。当然，该端口号可以自行修改为任何还没有被系统占用的端口。

　　Sessions not composing a message expire after 20 inactive minutes：在该文本框中指定闲置连接超时的时间。例如，当设置为“20”时，如果客户端在20分钟内未执行任何邮件操作任务，那么系统即置该连接为超时。用户再连接该服务器时，需要重新验证用户名和密码。

　　Sessions composing a message expire after 20 inactive minutes：在该文本框中指定连接超时的时间。例如，当设置为120时，如果用户对邮件服务器连接操作超过了120分钟，则系统也认为为超时，将强行切断该连接，以要求该用户重新登录。该设置既有助于杜绝用户发送超大容量的附件，又有助于禁止用户发送大量的垃圾邮件。

　　Cache HTML templates to increase web server performance：选中该复选框，将把HTML模版装载到Cache中以提高Web服务的性能。

　　Use cookies to remember logon name，theme，and other properties：选中该复选框，系统将使用Cookies来存储用户名、用户自定义风格以及其他数据。系统默认使用了该选项，但是如果用户经常在公众场所----比如网吧上网，那么建议取消该项以增加安全性。

　　Require IP persistence throughout WorldClient session：选中该复选框，要求在同一IP地址上独立完成同一WorldClient进程。这一点也是处于安全考虑，所以建议把此选项也选中。

　　Bind WorldClient's web server to these IPs only....在该文本框中键入IP地址信息，以便将WorldClient绑定到该地址。如果拥有多个IP地址、设置了虚拟主机，并且希望用户通过不同的p地址来访问相同的一个WorldClient服务，那么可以将所有希望绑定的IP地址都填入该框，并且多个IP地址之间用逗号来隔开。如果留空则表明只是希望使用MDaemon本身的IP地址。

　　Restart WorlidClient：单击该按钮，将重新启动WorldClient。通常情况下，都是在修改了WorldClient端口或者其他选项后才使用它。

　　(4)选择Domain Options选项卡，在这里可以对域名作以下相关设置。

　　Select domain：在该下拉列表中选择WorldClient所使用的域名。如果只使用了一个域名，请选择Default选项。

　　Language：在该下拉列表中选择语言，如中文zh(Chinese)。系统本身支持中文的WorldClient界面，对英语基础不是很好的朋友来说，这无疑是一个非常好的设置。

　　Theme：在该下拉列表中选择页面风格。WorldClient自带了几种风格模板，可以在这里设置系统默认的模板。

　　Dateformat：在该下拉列表中选择日期格式。

　　Allow user to create new accounts：选中该复选框，将允许用户自己建立新账户。这就是一个MDaemon非常体贴用户的设计。由于允许用户自动申请信箱，这就免去了管理员手动添加用户的苦恼了。

　　New account creation password：在该文本框中键入新账户的默认密码。

　　Message listing show this many msgs per page：在该文本框中键入每页默认显示的由附数量。

　　Message listing refresh frequency：在该文本框中键入邮件信箱的默认刷新频率。

　　Save messages to‘Sent’folder：选中该复选框，将在发送邮件的同时在发送文件夹中保存一个副本。该选项可能会大量占用磁盘空间，但对于查找邮件内容却非常有用。

　　Compose in new browse rwindow：选中该复选框，将开启新窗口以编辑邮件。

　　Use advanced compose：选中该复选框，将使用高级编辑模式。

　　Enable ComAgent support：选中该复选框，将启用代理支持。

　　Enable Instant Messaging：选中该复选框，将直接发送邮件。

　　Log all IM traffic at the server level：选中该复选框，将记录所有传送记录到日志文件中。

　　IM buddy list includes members of other domains：选中该复选框，IM的好友清单可包含其他域名用户。

　　Display time using AM/PM：选中该复选框，使用AM/PM格式显示时间。

　　Empty trash on exit：选中该复选框，在退出时清空本人信箱中的回收站。

　　(5)单击“确定”按钮，以保存对设置所做的修改。

　　三、添加用户信箱

　　邮件服务器安装设置完毕后，接下来进行用户的创建，即个人邮箱的建立。
　　
　　1、添加用户

　　在MDaemon主窗口的Accounts菜单中单击New account命令，在这里先对要添加的邮件用户名以及密码进行设定。和安装MDaemon时一样，Full name文本框中填写的是用户名全称，下边的Maibox name填写用户ID。如果MDaemon设置了多个域名，那么在添加用户的时候可以选择将用户名添加到某一个域名之下。下边的Account password文本框中将填写用户密码。

　　2、用户参数设置

　　在建立用户对话框后，继续进行用户参数的相关设置。

　　MDaemon也可以对不同的用户进行磁盘配额控制，即允许邮件用户最大能够使用多少磁盘空间，以及最多能够有多少封邮件存放于信箱中。所有的磁盘配额属性都是在Quotas选项卡中进行设置的，因此必须要先切换到Quotas选项卡。下面对其中的选项具体来一一说明。

　　This account must observe these quota settings选项：启用磁盘配额控制，以表示该用户账户必须遵循磁盘配额设定。

　　Maximum number of messages stored at once：允许信箱中同时存放的邮件总数。

　　Maximum disk space allowed：设置了用户所能使用的最大信箱容量。

　　同时，MDeamon还支持自动删除账户以及邮件的功能。默认情况下此项功能是被关闭了的，如果需要，可以将此功能打开----即取消掉对Use defaults for this domain复选框的选择。取消该复选框了之后，下边的三个设置项目将变为可设置形式。

　　Automatically delete account if inactive for用来设置自动删除非使用账户的选项。如果在这里填写上30，就表示当用户在30天内都不对信箱进行访问，系统将自动删除该账户。如果设置为0表示永远不删除该账户。

　　Delete messages older than：该选项是用来设置自动删除旧邮件的。

　　如果设置为30，就表示系统将自动删除已经存放在信箱里超过30天的邮件。设置为0则表示不删除。

　　Delete deleted IMAP messages older than的用法和第二项类似，只不过这里是针对IMAP邮件而言的。

　　默认情况下，MDaemon程序允许所有的用户都能以WebMail方式来访问自己的信箱。如果有不同的需要，则可以在Web选项卡中对该选项进行修改。如果允许用户登录上WebMail之后可对自己的资料和设置进行修改，那么在这里就一定要选中Account can modify its own settings via WebAdmin复选框。如果想赋予此用户以邮件系统管理员权限，那么就请选中This account has administrator level access to WebAdmin&calendars复选框。这两项是两个大的设置项目，下面就是限制用户权限的小选项了。下面来一一作以说明。

　　Edit real name选项：是否允许用户修改自己的真实姓名。
　　Edit password：是否允许用户修改自己的个人信箱密码(建议允许)。
　　Edit mail directory location：是否允许用户修改个人邮件存放位置。
　　Edit forwarding address：是否允许用户修改转寄邮件地址(建议允许)。
　　Edita dvanced forwarding：是否允许用户修改转寄高级选项内容。
　　Edit encrypt mail setting：是否允许用户修改加密邮件设定。
　　Edit EVERYONE list setting：是否允许用户修改全体人员邮寄列表设定。
　　Edit mail restrictions：是否允许用户修改邮件限制设定。
　　Edit quota settings：是否允许用户修改个人磁盘配额设定。
　　Edit MultiPOP settings：是否允许用户修改多重POP设定。
　　Edit autoresponder settings：是否允许用户修改自动回复设定(建议允许)。
　　Edit allow changes via email：是否允许用户通过邮件进行设定。
　　Edit IMAP rules(PRO version only)：是否允许用户修改IMAP规则设定。

　　在用户参数设置完毕后，单击“确定”按钮，保存参数设置并退出。
　　
　　四、Web邮件的实现

　　MDaemon邮件服务器收发电子邮件的方式，可以分别采用Web方式及POP方式来实现。WorldClient就是MDaemon的 WebMail，如果想启用MDaemon的Web方式来收发邮件，就必须启用该功能。单击工具栏中的WorldClient/RelayFax按钮，将显示WorldClient/RelayFax Properties对话框。其中的Enable WorldClient Server默认状态下，是被选中的，即启动了Web方式来收发电子邮件。

　　如果要改变该页面中的任何参数，就必须要单击Restart WorldClient按钮，这样所做的修改才会立即生效。在Web浏览器的“地址”栏中键入http://mailserver:3000(如http://mail.ghq.org:3000)并回车后，将显示用户登录页面，在其中的E-mailAddress和Password文本框中，分别键入用户名(邮件地址“@”前的部分)和密码。然后单击Sign In按钮，系统将进入用户信箱，用户可在该Web页面下收发和读取电子邮件。

　　为了更方便用户的收发操作，可以改变其中的相关参数。可单击其中的Options(选项)按钮，将显示信箱的相应参数。

　　如把语言界面改为中文界面，在修改完成之后，单击Finish按钮，以保存所做的修改。相关收发电子邮件的操作不复赘述。
　　
　　五、Web远程管理

　　MDaemon提供了Web远程管理功能。这样以来无论身在何处，只要能接入局域网络就可以访问到MDaemon服务器，即可实现对邮件服务器的远程管理。

　　(1)在Web浏览器地址栏中键入http://mail_server_ip_address:3001并回车，将显示登录窗口。

　　(2)键入管理员的用户名和密码，并单击Logon按钮，将显示用户列表页面。

　　(3)单击其中的Add Accounts超级链接，将显示添加用户页面。在这里分别键入用户名、信箱名，选择域名并指定相应密码。

　　(4)然后单击Create按钮，以用于对该信箱进行详细设置。通常情况下，可采用系统的默认值。选中This Account Must Observe These Quota Settings复选框，启用磁盘配额限制功能，以避免用户滥用邮件服务器的空间。需要注意的是，与Windows Server 2003不同，MDaemon并不需要磁盘采用NTFS分区。在Maximum Messages Allowed In Mailbox框中设置允许该用户在服务器上存储的最多邮件数量，以及在Maximum Disk Space Allowed(KB)框中设置允许该用户使用的磁盘空间，其中的单位为KB。

　　(5)修改完成，并单击Save Changes按钮，即可创建一个新的用户信箱。

　　若要删除一个用户信箱，可直接在用户列表的用户信箱上单击Delete按钮；若要修改一个用户信箱，可在用户列表的用户信箱上单击Edit按钮。

一、概述

　　大家知道，邮件服务器系统由POP3服务、简单邮件传输协议(SMTP)服务以及电子邮件客户端三个组件组成。其中的POP3服务与SMTP服务一起使用，POP3为用户提供邮件下载服务，而SMTP则用于发送邮件以及邮件在服务器之间的传递。电子邮件客户端是用于读取、撰写以及管理电子邮件的软件。

　　Windows Server 2003操作系统新增的POP3服务组件可以使用户无需借助任何工具软件，即可搭建一个邮件服务器。通过电子邮件服务，可以在服务器计算机上安装POP3 组件，以便将其配置为邮件服务器，管理员可使用 POP3 服务来存储和管理邮件服务器上的电子邮件帐户。下面的内容是让我们来讨论邮件服务器的配置与管理。

　　二、配置POP3邮件服务器

　　Windows Server 2003初始安装完毕后，POP3服务组件并没有被安装。因此在配置POP3服务之前，必须首先要安装相应的组件，然后才可以进行诸如身份验证方法的设置、邮件存储区设置、域及邮箱的管理等工作。

　　POP3 服务提供三种不同的身份验证方法来验证连接到邮件服务器的用户。在邮件服务器上创建任何电子邮件域之前，必须选择一种身份验证方法。只有在邮件服务器上没有电子邮件域时，才可以更改身份验证方法。

　　1、本地Windows账户身份验证

　　如果邮件服务器不是活动目录域的成员，并且希望在安装了邮件服务的本地计算机上存储用户账户，那么可以使用“本地Windows 帐户”身份验证方法来进行邮件服务的用户身份验证。本地Windows账户身份验证将邮件服务集成到本地计算机的安全账户管理器(SAM)中。通过使用安全帐户管理器，在本地计算机上拥有用户账户的用户就可使用与由POP3服务提供的或本地计算机进行身份验证的相同的用户名和密码。

　　本地Windows账户身份验证可以支持一个服务器上的多个域，但是不同域上的用户名必须惟一的。例如，用户名为webmaster@ghq.net和webmaster@jscei.com的用户不能同时在一个服务器上存在的。

　　如果以相应的用户账户创建一个邮箱，则该用户账户将被添加到“POP3用户”本地组。即使在服务器上拥有相同的用户账户，“POP3用户”组的成员也不能在本地登录服务器。使用计算机的本地安全策略可以增强对本地登录的限制，因此仅授权的用户有本地登录权限，这样可以提高服务器的安全性。另外如果用户不能本地登录到服务器，并不影响其使用POP3服务。

　　本地Windows账户身份验证同时支持明文和安全密码身份验证(SPA)的电子邮件客户端身份验证。其中的明文以不安全和非加密的格式传输用户数据，所以不推荐使用明文身份验证。而SPA要求电子邮件客户端使用安全的身份验证传输用户名和密码，因此推荐使用该方法来取代明文身份验证。

　　2、Active Directory集成的身份验证

　　如果安装POP3服务的服务器是活动目录域的成员或者是活动目录域控制器，则可以使用活动目录集成的身份验证。同时，使用活动目录集成的身份验证，可以将POP3服务集成到现有的活动目录域中。如果创建的邮箱与现有的活动目录用户账户相对应，则用户就可以使用现有的活动目录域用户名和密码来收发电子邮件。

　　可以使用活动目录集成的身份验证来支持多个POP3域，这样就可以在不同的域中建立相同的用户名。例如，可以使用名为webmaster@ghq.net的用户和名为webmaster@jscei.com的用户。

　　在使用活动目录集成的身份验证，并且拥有多个POP3电子邮件域时，当创建一个邮箱时，应该确保考虑新邮箱的名称与其他POP3电子邮件域中现有邮箱的名称是否相同。每个邮箱都与一个活动目录用户账户相对应。

　　活动目录集成的身份验证同时支持明文和安全密码身份验证(SPA)的电子邮件客户端身份验证。

　　如果将一个正在使用本地Windows账户身份验证的邮件服务器升级到域控制器，必须按照下面的步骤来进行：
　　(1)删除POP3服务中所有现有的电子邮件账户及域。
　　(2)创建活动目录。
　　(3)将本地Windows账户身份验证方法更改为活动目录集成的身份验证方法。
　　(4)重新创建域及相应的邮箱。

　　需要注意的是，如果不按照以上推荐的升级过程，有可能会造成POP3服务不能正常工作。另外，当使用活动目录集成的身份验证时，同时若要管理POP3服务，则必须登录到活动目录域，而不是登录到本地计算机上。

　　采用以上两种身份验证机制的活动目录域，可以实现对客户端连接的身份验证机制。在“POP3服务”控制台右键单击计算机名，选择“属性”菜单项，将显示计算机属性对话框。选择其中的“对所有客户端连接要求安全密码身份验证(SPA)”复选框，即可启用该域中所有电子邮件客户端的身份验证。SPA仅支持活动目录集成的身份验证和本地Windows账户身份验证。如果启用了SPA，则用户的电子邮件客户端也必须配置为使用SPA。如果配置邮件服务器要求安全密码身份验证，只会影响POP3服务而不会影响简单邮件传输协议(SMTP)服务。
3、加密密码文件身份验证

　　“加密的密码文件”身份验证对于还没有安装活动目录，并且又不想在本地计算机上创建用户的大规模部署来说十分理想，同时从一台本地计算机上就可以很轻松地管理可能存在的大量账户。

　　加密密码文件身份验证将使用用户的密码来创建一个加密文件，该文件存储在服务器上用户邮箱的目录中。在用户的身份验证过程中，用户提供的密码将被加密，然后与存储在服务器上的加密文件进行比较。如果加密的密码与存储在服务器上的加密密码相匹配，则用户通过身份验证。如果是使用加密密码文件身份验证，则可以在不同的域中使用相同的用户名。

　　三、邮件服务器的管理

　　一）设置邮件存储位置

　　默认状态下，系统将用户邮件保存在C:InetpubmailrootMailbox文件夹中。由于系统分区的容量十分有限，因此通常需要将邮件存储位置修改为其他磁盘分区。如果想设置邮件的存储位置，则必须是本地计算机Administrators组中的成员，或者必须被委派适当的权限。如果将计算机加入到一个域中，则DomainAdmins组的成员可能也可以执行该项设置。

1)打开“管理您的服务器”窗口，在“邮件服务器(POP3，SMTP)”栏单击“管理此邮件服务器”超级链接，或者依次单击“开始”->“控制面板”->“管理工具”->“POP3服务”选项，将显示“POP3服务”控制台窗口。

　　(2)鼠标右键单击“计算机名”节点，并在弹出的快捷菜单中选择“所有任务”->“停止”子菜单，以停止电子邮件服务。

　　(3)鼠标右键单击“计算机名”节点，并在弹出的快捷菜单中选择“属性”子菜单，将显示邮件服务器属性对话框，在“根邮件目录”文本框中键入新的邮件存储文件夹及路径，例如D:Mailbox。也可以单击“浏览”按钮，以查找并定位要保存用户信箱的文件夹。

　　(4)然后单击“确定”按钮，将显示“POP3服务”警告框，提示已有的域将无法正确存储邮件，必须将域目录复制到新根邮件目录以保留当前账尸。

　　(5)单击“确定”按钮，将显示“POP3服务”提示框，在这里提醒用户需要重新启动POP3服务和SMTP服务才能使所做的更改生效。

　　(6)单击“是”按钮，以重新启动邮件服务。

　　(7)打开系统的Windows资源管理器，将域目录复制到新根邮件目录。例如，设置的域名为ghq.net，以及新的根邮件目录为D: Mailbox，那么就应当将C:Inetpubmailrootmailbox文件夹中的ghq.net子文件夹复制到D:Mailbox文件夹中。

　　(8)右键单击“计算机名”节点，并在弹出的快捷菜单中选择“所有任务”->“启动”子菜单，以启动电子邮件服务。

　　(9)鼠标右键单击“计算机名”节点，并在弹出的快捷菜单中选择“所有任务”->“刷新”子菜单，以使新的域目录生效。

　　另外在该对话框中，虽然还可以更改接收服务器端口(110)，但是不推荐这样做。原因很简单，这是因为当修改POP3的端口后，用户也不得不在E- mail客户端做相应的设置，无疑将增加用户的信箱设置难度。另外，只有重新启动POP3服务后，所作的更改设置才会生效。
　　
　　二）管理域

　　在邮件服务器安装过程中，将添加并设置一个新的域名，以将它用于E-mail服务。如果 企业申请有两个或多个域名，或者该服务器作为虚拟主机来提供邮件服务，也可以添加多个域名以实现多邮件虚拟服务的共存。

　　1、创建域

　　(1)首先打开“POP3服务”控制台，鼠标右键单击其中的“计算机名”节点，并在弹出的快捷菜单中选择“新建”->“域”选项，将显示“添加域”对话框，在其中的“域名”文本框中键入新域名，并确保该域名已经在DNS服务中设置好MX记录。

　　(2)单击该对话框中的“确定”按钮，以完成新域名的添加。

　　重复上述操作，可在邮件服务器中添加多个域名。

　　另外，在操作时应当注意以下几点：

　　POP3服务支持顶级以及三级域名，例如，ghq.net和js.ghq.net都是受支持的。

　　如果正在使用活动目录集成的身份验证，则必须登录到活动目录域(而不是本地计算机)才能执行此过程。
　　
　　2、管理域

　　在一个POP3控制台树中，可以对电子邮件域进行必要的管理，例如删除、锁定/解除锁定控制。

　　(1)删除域。在“POP3服务”控制台树中，单击“计算机名”，并且右键单击要删除的域，然后单击“删除”菜单命令，将显示确认删除该域的提示框。单击该提示框中的“确定”按钮，将删除该域、域中所有邮箱以及存储在域中的所有邮件。

　　(2)锁定/解除锁定域。鼠标右键单击要锁定的域，选择“锁定”菜单命令，即锁定了该域。在解除锁定域时，只需再在右键快捷菜单中选择“解除锁定”菜单命令即可。


3、管理邮箱

　　在建立了一个邮件域之后，就可以在该域中建立账户，即邮箱账户。

　　3.1创建邮箱

　　(1)打开“POP3服务”控制台窗口，选中要创建新邮箱的域，然后在右键快捷菜单中依次选择“新建”->“邮箱”子菜单或者选定要添加用户信箱的域，然后在右侧栏中右击空白处，在弹出的快捷菜单中选择“新建”->“邮箱”选项，将显示“添加邮箱”对话框，在其中的“邮箱名”文本框中键入邮箱名Webmaster(字母不区分大小写)，同时在“密码”及“确认密码”框中键入相同的用户名密码。例如，在ghq.net域中添加的一个邮箱名为 wxl，则该用户的E-mail地址就是wxl@ghq.net。

　　需要注意的是，如果使用本地Windows账户身份验证或活动目录集成的身份验证，除非与要创建的邮箱同名的用户账户已经存在，否则应当选中“为此邮箱创建相关联的用户”复选框，同时将创建一个新的用户，并赋予该用户登录域的权限。如果域中已经创建了一个与“邮箱名”相同的用户名，就应当清除该复选框。否则，将显示用户名已经存在提示框。

　　(2)单击其中的“确定”按钮，将显示“POP3服务”对话框，提示用户信箱已经添加成功。若不想显示该对话框，可选中“不再显示此消息”复选框。

　　(3)单击“确定”按钮，信箱已经添加完成。重复上述操作，可以为所有网络用户都添加一个电子信箱。
　　
　　3.2 删除邮箱

　　(1)打开“POP3服务”控制台，选择欲删除邮箱所在的电子邮件域，然后选中欲删除的邮箱，并单击鼠标右键，选择其中的“删除”菜单项(或者在选中了要删除的邮箱后，直接单击“删除邮箱”连接)。将显示“删除邮箱”对话框，以询问是否“同时也删除与此邮箱相关联的用户账户”。如果选中该复选框，则 Users组中的该用户同时被删除。这也就是说，将同时剥夺该用户访问发送电子邮件服务器和登录至域的权限。

　　(2)单击“是”按钮，删除该邮箱成功，同时也将删除该邮箱的邮件存储目录以及该目录中存储的所有电子邮件。
　　
　　3.3 锁定/解除锁定邮箱

　　如果需要暂时禁用某个邮箱账户，但又没必要删除，以备日后重新启用，这时可以暂时锁定该邮箱账户。当一个邮箱被锁定时，仍然能接收发送到邮件存储区的传入电子邮件。但是，该用户却不能连接到服务器检索电子邮件。锁定一个邮箱只是限制了该用户使其不能连接到服务器。但是管理员仍然可以执行所有的管理任务，例如删除邮箱或更改邮箱密码等。

　　在“POP3服务”控制台窗口中右击要锁定的信箱，并在弹出的快捷菜单中选择“锁定”子菜单，即可锁定该信箱。若要解除对该邮箱锁定，只需在弹出的快捷菜单中选择“解除锁定”子菜单即可。
　　
　　3.4 邮箱属性设置

用户对信箱最关心的事情莫过于其容量的大小以及安全问题。Windows Server 2003的POP3邮件服务器可以通过启用磁盘配额，来限制一个账户的磁盘空间，以实现对应的邮箱大小的设置。同时还可以更改邮箱初始密码，这有效地保障了服务器及用户的利益。既防止了用户无限制地使用磁盘空间，又保护了用户邮件的安全。需要注意的是，根邮件目录必须创建在NTFS格式的硬盘分区中，否则系统将无法实现磁盘配额。

　　邮箱大小设置

　　如果邮件服务器采用活动目录集成的身份验证或本地Windows账户身份验证，那么在为用户创建邮箱时，默认将创建一个配额文件，并启用相应的磁盘配额。因此，如果用户信箱采用默认的磁盘限额设置，就不必再为每个用户进行单独的设置。

　　(1)启用磁盘配额功能。由于该磁盘配额功能默认适用于全部电子信箱，因此应当充分考虑到磁盘的总容量、用户总数量等因素，以合理地设置磁盘限额功能。

　　(2)为个别用户单独设置磁盘限额。对于一些对信箱容量有特殊要求的用户，可以单独为其设置磁盘配额。为了简化操作，可以先创建一个邮箱和用户账户作为模板，并为其指定磁盘配额。然后，从域账户的邮件存储目录中将该配额文件拷贝到域中所有邮箱相对应的邮件存储目录中。或者使用命令winpop createquotafile username@domain[/user:usemame]，以使域中其他的指定账户将使用该磁盘配额选项。其中，winpop createquotafile用于创建配额文件，usemame@domain用于指定创建配额文件的用户，/user:username选项将参考现有用户账户的 配额文件来创建一个新的配额文件。

　　用命令进行操作

　　在命令提示符下键入命令：winpop changepwd username@domain newpassword，即可完成账户密码的更改。

　　实际上，有好多操作都可以在命令提示符下完成，举列如下：

　　创建域：winpop add domain_name
　　删除域：winpop delete domain_name
　　锁定域：winpop lock domain_nanle
　　解除锁定域：winpop unlock domain_name
　　创建邮箱：winpop add username@domain_name[/createuser:new_user's_password]
　　删除邮箱：winpop delete username@domain_name/deleteuser
　　锁定邮箱：winpop lock username@domain_name
　　解除锁定邮箱：winpop unlock username@domain_name

在所有的FTP服务器端软件中，Serv-U除了拥有其他同类软件所具备的大部分功能外，还支持断点续传、支持带宽限制、支持远程管理、支持远程打印、支持虚拟主机等，再加上良好的安全机制、友好的管理界面及稳定的性能，使它赢得了很高的赞誉，并被非常广泛地使用着。本文将从Serv-U的安装和设置方面入手，向你介绍这种优秀软件的最基本使用方法
。

　　一、Serv-U的基本情况

　　软件名称：Serv-U 4.0.0.4(共享软件，30天使用限制)

　　运行环境：除Windows 3.x之外的全系列版本Windows

　　

　　二、Serv-U的安装和卸载

　　1. Serv-U的安装

　　直接双击下载所得到的susetup1.exe文件即可开始安装工作。除了在出现使用协议那一步中需要先勾选中I have read and accept the above license agreement(我已经阅读并接受以上协议)再按Next(下一步)按钮之外，其他均使用其默认选项即可。

　　当安装完成后，系统将自动进入Serv-U Administrator(以下简称“管理器”)的窗口，同时出现Setup Wizard(安装向导)，此时就可以根据这个向导开始建立你的第一个FTP服务器了。

　　2. Serv-U的卸载

　　选“开始→程序→Serv-U FTP Server”下的Remove Serv-U(卸载)，再根据需要按提示操作即可。

　　三、建立第一个FTP服务器

　　为了说明方便起见，笔者在这里假设你的本机IP地址是192.168.0.1，本机计算机名为WY，你想在自己的局域网中建立一个只允许匿名访问(Anonymous)的FTP服务器，匿名用户登录后进入的将是D:＼wy目录。

　　在安装向导中，一般建议除了以下几个需要修改的地方之外，对于初学者来说，其他部分一律选其默认选项(直接按Next按钮)即可。

　　1.当进行到有Anonymous home directory(匿名用户的主目录)提示的一步时，单击其右侧的箱子图标选择好目标目录D:＼wy后再按Next(下一步)按钮继续。

　　2.当进行到有Create named account(建立名字账户)提示的一步时，选中No(不)一项后再按Next(下一步)按钮继续。

　　当配置完成后，即可以在管理器左边框架的Domains(域名)下看到有个Wizard Generated Domain项，其下的Users(用户)中就包含了一个名为Anonymous的账户，此账户登录后的虚拟根目录(主目录)即为D:＼wy目录。

　　此FTP服务器地址为192.168.0.1(或用此服务器的计算机名WY也可)，默认端口号为21，只允许用匿名账号Anonymous登录。

　　Serv-U安装向导主要内容详解

　　1. IP address ,leave blank for dynamic or unknown IP(IP地址，如果是动态IP或不知道IP则保持为空)：此项需要填入你欲为此FTP服务器绑定的IP地址。除非你的计算机有多个固定的IP地址，并且你只想其中一个被FTP服务器所使用时，才需要在此地输入那个相应的IP地址；否则一般建议，不管你是否有固定的IP地址，都请保留此项为空。

　　2. Domain name(域名)：此处填入你FTP服务器的域名。但域名是由DNS解析而不是由这里决定的，因此实际上你可以填入任意内容，比如像“我的第一个FTP服务器”这种对此FTP进行说明的文字。

　　3. Install as system service(作为系统服务安装吗)：此项对于操作系统是Windows NT/2000/XP的服务器有效。选择了Yes(是)，则Serv-U的FTP服务就会被添加到系统服务中(在“管理工具”下的“服务”中可以查看到)；选择了No(否)，则不会作为系统服务存在。如果你的FTP服务器是常年运行的，则建议选Yes(是)；如果只是需要时才运行，则建议选No (否)。

　　4. Allow anonymous access(接受匿名登录吗)：如果你想让此FTP服务器接受匿名登录，则此处必须选择Yes(是)；否则选No(否)。

　　5. Anonymous home directory(匿名用户的主目录)：此处可设定匿名用户登录后其虚拟根目录在FTP服务器上的真实位置。

　　6. Lock anonymous users in to their home directory(将匿名用户锁定到其主目录吗)：如果选择Yes(是)，则匿名用户只能访问其主目录及以下的目录树；如果选择No(否)，则它还可以访问其主目录的同级或更高级的目录树。从安全角度考虑，一般建议选Yes(是)。

　　7. Create named account(建立命名账户吗)：这里询问是否直接建立普通用户(相对匿名用户而言)账号。

　　四、常见基本操作

　　在根据安装向导建立好你的第一个FTP服务器后，只能实现Serv-U赋予的默认功能和权限，要真正让这个服务器能被你自己随心所欲地控制，则还需要经过以下后续操作。

　　1.客户端的连接

　　在IE浏览器(Internet Explorer)中，客户端的访问格式为ftp://192.168.0.1/，不需要输入用户名和密码；在DOS(或命令提示符)状态下，客户端的访问格式为ftp -A 192.168.0.1，也不需要输入用户名和密码；在专业的FTP客户端软件设置中，以CuteFTP Version 4.2中文版为例，在“站点管理器”的“FTP主机地址”处输入192.168.0.1，再选中“登录类型”下的“匿名连接”项即可，同样不需要输入用户名和密码。

　　说明

　　1.在以上客户端的连接中，IP地址192.168.0.1也可以用计算机名WY来代替。

　　2.除了在ftp -A 192.168.0.1中的“A”一定要大写外，其他地方均不区分大小写。

　　3.如果在DOS下用ftp 192.168.0.1的格式进行登录，则需要输入匿名登录的用户名Anonymous，此时密码为空(直接回车)或为其他任意值。

　　2.对FTP用户的管理

　　欲增加一个新用户(包括增加Anonymous用户)，则在管理器的左边框架中选中Users(用户)，然后单击右键，进入New User(新用户)，依次根据提示为它设置好User Name(用户名)、Password(密码)、Home directory(主目录)等即可完成。

　　欲删除一个用户，则在此用户上单击右键，选Delete User(删除用户)即可。

　　欲复制一个用户，则在此用户上单击右键，选Copy User(复制用户)，则会多出一个名字如Copy of xxx格式的新用户，它除了用户名和原来的用户不同外，其他部分(包括密码、主目录、目录权限等等)均与之完全一致。

　　欲暂时禁止一个用户的登录权限，只需先在左边框架中选中此用户，然后在右边框架中进入Account(账户)窗口，勾选中Disable account(禁止账户)即可。

　　3.对目录权限的管理

　　在管理器左边框架中选中用户名，再在右边框架中进入Dir Access(目录存取)窗口，然后在列表中选中相应目录后，就可以在窗口的右侧更改当前用户对它的访问权限了。

　　说明

　　1. Read(读)：对文件进行读操作(复制、下载，不含查看)的权力。

　　2. Write(写)：对文件进行写操作(上传)的权力。

　　3. Append(附加)：对文件进行写操作和附加操作的权力。

　　4. Delete(删除)：对文件进行删除(上传、更名、删除、移动)操作的权力。

　　5. Execute(执行)：直接运行可执行文件的权力。

　　6. List(列表)：对文件和目录的查看权力。

　　7. Create(建立)：建立目录的权力。

　　8. Remove(移动)：对目录进行移动、删除和更名的权力。

　　9. Inherit(继承)：如勾选中此项，则以上设置的属性将对当前Path(目录)及其下的整个目录树起作用；否则就只对其当前Path(目录)有效。

　　4.增加虚拟目录

　　比如匿名用户(Anonymous)的主目录为D:＼wy，想要能通过ftp://192.168.0.1/test的格式能访问到在E:＼all＼nodisk中的内容，则需要为它添加虚拟目录。操作步骤如下：

　　(1)在管理器左边框架中，选择Domains(域名)下的Settings(设置)，再在右边框架中转到General(常用)窗口。

　　(2)单击Virtual path mappings(虚拟目录映射)下的Add(增加)按钮，之后根据提示在Physical path(物理路径)下选择E:＼all＼nodisk，在Map Physical path to(映射物理路径到)下选择D:＼wy，在mapped path name(映射路径名)处输入test，即可添加此虚拟目录的映射记录。

　　(3)最后在管理器的左边框架中选中Anonymous用户，再在右边框架中转到Dir Access(目录存取)窗口，按Add(添加)按钮将目录E:＼all＼nodisk增加到列表中去。

如何建立一个FTP站点，当用户用他们的用户名和密码登陆时，他们登录到自己的目录位置。尽管他们可以回到根目录，但他们不能看到其他人目录里的内容。当匿名用户登陆时，他们只能浏览根目录，尽管可以看到其他目录，但是不能浏览内容。

　　要想实现上述功能,请按照如下步骤做：

　　1. 在User Manager中, 创建账户。

　　2. 使用 Windows NT Explorer, 在NTFS分区上, 给FTP的根目录赋予如下权力：

　　- Administrators: Full Control
　　- Everyone: Read
　　- System: Read

　　3. 为每个用户创建各自的目录，并赋予如下安全策略：

　　- 删除 Everyone group
　　- 该System account's folder's 完全控制
　　- 添加给用此目录的用户完全访问控制

　　通过以上几步就可以实现上述功能了。

有很多人对FTP的问题多多，大家参考、讨论一下。我的环境如下：

　　SERVER：ISA SP1，IIS
　　CLIENT：Windows 2000 and XP, CuteFTP

　　本文主要讨论ISA和FTP在同一台机器上的处理办法。

　　大多数的TCP服务是使用单个的连接，一般是客户向服务器的一个周知端口发起连接，然后使用这个连接进行通讯。但是，FTP协议却有所不同，它使用双向的多个连接，而且使用的端口很难预计。一般，FTP连接包括：

　　一个控制连接(control connection)

　　这个连接用于传递客户端的命令和服务器端对命令的响应。它使用服务器的21端口，生存期是整个FTP会话时间。

　　几个数据连接(data connection)

　　这些连接用于传输文件和其它数据，例如：目录列表等。这种连接在需要数据传输时建立，而一旦数据传输完毕就关闭，每次使用的端口也不一定相同。而且，数据连接既可能是客户端发起的，也可能是服务器端发起的。

　　在FTP协议中，控制连接使用周知端口21，因此使用ISA的IP PACKET FILTER就可以这种连接进行很好的安全保护。相反，数据传输连接的目的端口通常实现无法知道，因此处理这样的端口转发非常困难。FTP协议使用一个标准的端口21作为ftp-data端口，但是这个端口只用于连接的源地址是服务器端的情况，在这个端口上根本就没有监听进程。FTP的数据连接和控制连接的方向一般是相反的，也就是说，是服务器向客户端发起一个用于数据传输的连接。连接的端口是由服务器端和客户端协商确定的。FTP协议的这个特征对ISA 转发以及防火墙和NAT的配置增加了很多困难。

　　除此之外，还有另外一种FTP模式，叫做被动模式(passive mod)。在这种模式下，数据连接是由客户程序发起的，和刚才讨论过的模式(我们可以叫做主动模式)相反。是否采取被动模式取决于客户程序，在ftp命令行中使用passive命令就可以关闭/打开被动模式。

　　前面我们讲过，FTP协议的数据传输存在两种模式：主动模式和被动模式。这两种模式发起连接的方向截然相反，主动模式是从服务器端向客户端发起；被动模式是客户端向服务器端发起连接。

　　我们回到ISA的情况，如果采用被动模式，由于IIS是完全随机的选择一个端口，并告知客户，然后客户进行主动连接，这就意味着在ISA上，你要让所有的端口都允许动态入站连接才行，这样肯定不行，因为太危险了，等于打开了所有的端口连接。

　　如果采用主动模式（PORT Mode)，IIS选择好端口后，主动与客户进行连接，这时候不需要像PASV模式那样打开所有的动态入站连接，而且正好相反，我们需要打开所有的动态出站连接即可，安全性增加很多。而且由ISA的IP PACKET FILTER只对ISA本机起作用，不会造成局域网内的客户“放了羊”。

　　所以，我个人这样做的：

　　（1）由于IIS和ISA都在一台机器上，所以它俩都在侦听21号端口（IIS默认情况下会侦听所有地址的21端口），所以我们首先要让IIS只侦听内网地址的PORT 21，在DOS下，你可以通过NETSTAT -NA > abc.txt，然后打开这个文件，你会看到0.0.0.0 21 LISTENING字样。

　　输入如下命令：

　　net stop msftpsvc （停止FTP服务）
　　进入Inetpubadminscripts目录
　　cscript adsutil.vbs set msftpsvc/disablesocketpooling true （停止侦听）
　　net start msftpsvc （启动FTP服务）

　　（2）在IIS控制台里面，ftp->Property->FTP Site->IP Address改为内网地址。现在，FTP服务只侦听内网IP的21号端口了。

　　（3）大家可能这时候有疑问，如果是IIS主动连接客户端，那客户端的防火墙是不是会阻止这个连接（PASV模式不存在这个问题）。为了防止这种情况，我们可以强制IIS不能与客户端的任意端口进行连接，而只有客户端连接IIS的端口进行数据传输。这样就可以解决PORT MODE与客户端防火墙的冲突。方法：修改注册
表，HKEY_LOCAL_MACHINESystemCurrentControlSetServicesMsftpsvcParameters，将EnablePortAttack的值由0改为1，然后重新启动FTP服务。

　　（4）在ISA里面，使用SERVER PUBLISH的方法发布FTP服务，其中：IP address of internal server 填写ISA的内部网卡的IP，IP address of external server 填写ISA的外部网卡的IP，Mapped server protocol 选择 FTP Server。

　　（5）然后在IP Packet Filter建立一条新RULES，Protocol->TCP,Direction->Outbound,Local Port->Dymanic,Remote Port->All。

　　这是我的解决办法，但是并不完美，主要是：

　　（1）客户不能使用PASV方法进行连接，原因上面已经讲了。

　　（2）由于第五条，所以ISA服务器随着保证了对外部访问的限制，却无法限制ISA本机对外部的访问。

　　我也把我的方法做了一下实验，使用serv-u做的，有一点错误，不过终归做了出来，下面总结一下：

　　PASV服务器放在ISA后面，其实就是要解决两个问题：

　　1、PASV的端口。我上面的方法提出使用secondary connection，但事实证明不对，应该每个PASV端口都建立一条primary connection，然后分别建立server publishing rules，有多少个PASV端口，就要建立多少条。
这里还可以引出另一个话题，就是对Web publishing rules的运用，tony你应该知道，通过Web publishing rules也可以发布ftp服务器，但rule里面只给了一个ftp端口的选项，很明显，这是为PORT模式的FTP服务器准备的，因为PORT模式的数据连接是由服务器发起的，在服务器一边，不存在穿过防火墙的问题。

　　使用Web publishing rules还有一个很令人振奋的特性，就是支持动态公用IP用户，不需要象server publishing rules那样，每拨一次号都要修改一次外部地址。如果在Web publishing rules中也能搞定PASV问题，那么对于那些使用拨号上网而又想在内网发布PASV服务器的人来说，简直是天大的喜讯。

　　需要好好考虑的是如何通过那个只能填一个端口的选项来发布随机的PASV端口？我从今天的实验找到了一点灵感，就是也象上面说的那样，每个PASV端口都设置一条Web publishing rules！我还未做这个实验，还不能证实这样做行不行，相信晚上就会有结果了。

　　当然，还需要考虑如何控制PASV模式端口的范围，serv-u可以设定，而IIS的FTP不行。

　　2、是服务器向客户端传送IP的问题。当FTP客户端登录进入服务器的时候，PASV模式服务器会向客户端传送本机的IP地址和数据端口，当服务器放在内网中的时候，服务器会向客户端返回内网的IP，这当然是不能完成连接的，需要让服务器返回ISA的外网地址。本来，解决方法可以使用firwall client的application settings中的nameresolutionforlocalhost参数，设为P就可以让应用程序返回ISA的外网地址，但这个参数是供 firewall client使用的，而发布服务器不能安装firewall client，这很可惜。

　　幸好，还是有一个好消息，就是serv-u本身具有返回ISA外网地址这样的功能，方法是先选中新建FTP服务器的属性，在domain标签里选择 “enable dynamic dns”，此时会出现第二个标签，叫“dynamic dns”，然后到tz0.com申请动态域名，申请后会得到一个key，在此标签中填入此key即可。最后一步，是到新建服务器的settings属性中，选择advanced标签，选中“allow passive mode data transfer”，旁边的IP地址框留空。这个框对于拨号用户不用填，只有出口使用固定地址才需要填。

　　这样，serv-u向客户端返回IP和端口前，会先向tz0.com查询到ISA外网的地址，再发送给客户端。

　　解决了这两个问题，剩下的工作就简单了。

　　从以上内容也可以说明一点，从内网不能发布IIS的FTP服务器，因为IIS既没有选项可以选择PASV端口的范围，也没有办法让其返回ISA外网的地址。而serv-u这两条都可以满足。当然，在微软的网站上也可能有方法解决IIS的这两个问题。

　　发布FTP服务器的时候，要注意FTP服务器有PORT和PASV两种模式。两者的共同点，是都使用21端口进行用户验证及管理，差别在于传送数据的方式不同，PORT模式的FTP服务器数据端口固定在20，而PASV模式则在1025-65535之间随机。发布的时候要考虑这个差别。

　　如果FTP服务器在内部网络中，在建立server publish rules时（虽然Web publish rules也能发布ftp服务器，但它并没有提供对port和pasv模式的处理），protocol definitions中的21 inbound条目要建立一个secondary connection，为20端口上的inbound或1025-65535端口之间的inbound。

　　如果FTP服务器建立在ISA服务器上，就需要在ip packet filters中设置相关的条目，对于PORT模式，很简单，开放20 inbound就是，但pasv模式就麻烦一点，因为ip packet filters不能设置端口段，但我们也不可能把几万个端口逐个写一遍，只能把local port设置为dynamic，remote port设置为all ports，当然，对安全性这是个损害。

　　幸运的是，有些PASV模式的FTP服务器能够设置PASV模式端口的范围，比如serv-u，它能够把PASV模式端口控制在最多50个端口范围内，如果为serv-u设置的并发用户数不多，那么我们就可以为每个PASV端口写一条filter，不需要开放所有的端口了。如果使用IIS的FTP服务器，这个FTP服务器没有提供选择PASV模式端口的功能，只能如上所述那样，开放dynamic和all ports。

　　从你上面的出错信息来看，你应该是使用IE来访问FTP服务器吧。IE的FTP客户端与其它专业FTP客户端不同，不能够自动检测FTP服务器的类型以及根据服务器的类型改变客户端的种类。IE只提供了一个手工选项来改变PORT和PASV客户端角色，就是internet选项->高级- >为FTP站点启用文件夹视图，选择它，IE为PASV模式客户端，不选则为PORT客户端。你需要根据服务器的类型手工更改这个选项。如果服务器的出口是ADSL类的链路，还要把“使用被动FTP（为防火墙和DSL调制解调器兼容性）”一项选上，这两个选项只在IE5.5以上版本提供。

在使用Windows XP、Windows Server 2003架设FTP服务器时，如果使用的是标准的21端口，只要在ICF的设置里把“FTP 服务器”打上钩就行了。但是如果用的不是21端口，那么在ICF里打开相应端口之后客户端只能使用Port方式连接，无法使用Pasv模式，但是多数 FTP客户端软件默认就是Pasv模式，这样给用户带来了不便。

那么，难道使用非标准端口就不能使用Pasv模式了吗？当然不是，只要进行正确的设置，完全可以使用Pasv模式。

首先，我们需要有一个可以限制Pasv端口范围的FTP服务器软件，这里推荐Gene6 FTP Server（参考http://bbs.zzw.com.cn/viewthread.php?tid=256），一个比Serv-U更好的服务器端。

操作步骤：
首先打开G6FTP Server Administrator，打开域设置，切换到“IP绑定”项目，看动画设置：（其中的端口范围可以自行设定，不用太多，20个就够了）

This requires at least v3.1.0 build 70.

How-to

1. First, you'll have to create the tables, here are the tables structures :

* Mysql : http://www.g6ftpserver.com/files/odbc-sql-tables.sql
* Postgresql : http://www.g6ftpserver.com/files/odbc-sql-tables-postgresql.sql
* MS SQL (provided by ADutch1) : http://www.g6ftpserver.com/files/odbc-SQL-tables-mssql.sql

For instance, you can import these tables for Mysql with PhpMyAdmin.

2. Once the tables are created (you should have 8 tables), you'll have to create a file named account.ini in your installation directory and copy this to tell the server to use ODBC :

;-->-->-->-->-->-->-->-->-->-->-->-->-->-->-->-->

[Settings]
Storage=ODBC

[ODBC]
;ConnectionString=Provider=MSDASQL.1;Persist Security Info=False;Data Source=mysql-odbc
ConnectionString=DSN=mysql-odbc
UserID=
Password=
; Set to 0 if your sql server doesn't support foreign keys (e.g. mysql), set
; to -1 otherwise
ForeignKeys=0
; This setting tells the server how to quote values in SQL queries
; 0 = backslashes characters that need to be quoted in queries (e.g. 'O'reilly')
; 1 = double quotes in queries (e.g. 'O''reilly')
EscapeType=0

;-->-->-->-->-->-->-->-->-->-->-->-->-->-->-->-->

For MS SQL (provided by ADutch1) :

;-->-->-->-->-->-->-->-->-->-->-->-->-->-->-->-->

[Settings]
Storage=ODBC

[ODBC]
ConnectionString=DSN={whatever you named the SystemDSN in the ODBC control panel}
UserID={user account to connect to the DB in SQL}
Password={password if the user account above}
; Set to 0 if your sql server doesn't support foreign keys (e.g. mysql), set
; to -1 otherwise
ForeignKeys=-1
; This setting tells the server how to quote values in SQL queries
; 0 = backslashes characters that need to be quoted in queries (e.g. 'O'reilly')
; 1 = double quotes in queries (e.g. 'O''reilly')
EscapeType=1

;-->-->-->-->-->-->-->-->-->-->-->-->-->-->-->-->

3. Then you can create a system ODBC link with the name "mysql-odbc" linking to your mySQL database or you can change the ConnectionString with the parameters to connect to your SQL server.

4. Start the server and in "FTP Server/Logs & Reports/Main log" you should see the line "Accounts storage : 'ODBC v0.1'." instead of "Accounts storage : 'Inifiles v2.8'.".

If the ODBC source is not available the server will report a startup error in g6ftpserver-error.log and will use default inifile storage.

Uninstall

Stop the service and rename (or delete) the inifile, then restart the service.

Problem

Deleting users does not work :
http://www.g6ftpserver.com/forum/index.php?showtopic=1535

Duplicate entry error logged in G6FTPServer-error.log :
http://www.g6ftpserver.com/forum/index.php...indpost&p=10014

------------www.g6ftpserver.com