南京ITPro俱乐部09年5月23日活动
—如何提高Exchange Server
在企业中的安全应用
以下是活动当天的PPT截图,希望该PPT对大家有所帮助!
参考链接:http://www.itprocity.com/event/edm/edm20090523_nanj.htm
Exchange2007的发布
一、在DMZ
区域部署边缘传输服务器(Edge Server
)
部署
Edge Server
,不需要加入到域,它是一台独立的服务器,如同一台硬件级的邮件网关,负责垃圾邮件的过滤及收件人筛选。前期准备要安装
.net framework2.0
、
MMC3.0
、
Windows management shell
、
.net framework2.0 hotfix
、
ADAM with SP1
组件。
1
、确保
Edge Server
能够解析到内部网络中的集线器传输服务器(
Hub Server
),所以
Edge Server
要配置内网中
DNS
地址,反之,也要能解析公网的邮件域,所以
Edge Server
也要有公网的
DNS
地址,分别输入首选
DNS
和备用
DNS
来指向公网和内网的
DNS
地址。
2
、因为
Edge Server
在工作组中,所以集线器传输服务器(
Hub Server
)也要能解析到
Edge Server
,我们要在
Edge Server
上的计算机名中添加一个
DNS
后缀(内网中的域名),然后,在内网中的
DNS
服务器上,配置一条
A
记录来指向
Edge Server
。
二、在ISA2006
配置规则,以便于能和内网中的DNS
、AD
用户数据库、集线器传输服务器(Hub Server
)通讯,再发布Edge Server
面向公网
1
、允许
HUB Server
(
IP
)到
Edge Server
(
IP
)的
25
端口访问
2
、允许
Edge Server
(
IP
)到公网邮件服务器
25
端口访问;
3
、允许
Edge Server
(
IP
)到公网的
DNS
服务发出
53
端口查询;
4
、采用
ISA2006
中的发布邮件服务器规则(服务器到服务器通讯),把
Edge Server
的
25
端口发布到公网;
5
、允许
Edge Server
(
IP
)到内网中的
Hub Server
(
IP
)
25
端口的访问;
6
、允许
Edge Server
(
IP
)到内网中的
DNS
服务器发出
53
端口查询;
7
、允许内网中
Hub Server
(
IP
)到
Edge Server
(
IP
)发出
50636
(
LDAPS
)端口访问;
在
ISA2006
上配置完成后,我们可以通过
Telnet 25
端口命令分别测试从
Hub Server
到
Edge Server
以及从
Edge Server
到公网邮件服务器是否成功,如果成功,说明发布
Exchange2007
成功。
8
、在
EdgeServe
上启用边缘订阅功能,在
Exchange2007 Manangement Shell
中输入
New-Edgesubscription
命令,在命令提示过程中生成
*.XML
文件到本地磁盘。
9
、把
*.XML
文件通过网络复制到
Hub Server
上去,在
Hub Server
上打开
Exchange2007
的管理控制台,在组织配置级别中,打开集线器传输选项,在右边中有一个边缘订阅按钮,然后新建边缘订阅,最后把复制过来的
*.XML
文件加载进去即可。
10
、边缘订阅功能已经实现,通常
HubServer
和
EdgeServe
每
60
分钟同步一次,如果我们不想等待,可以在
HubServer
上,打开
Exchange2007 Manangement Shell
中输入
Start-EdgeSynchronization
命令立即同步。
10
、所谓边缘订阅就是把活动目录的收件人列表,同步到
Edge Server
上,以便于在
Edge Server
可以配置收件人策略。
三、在ISA2006
中发布客户端访问的SMTP
及POP3
,以便于Outlook Express
用户来收发邮件
1
、缺省在
Exchange2007
中
POP3
服务是禁用的,所以要在内网中的邮件服务器上启用
POP3
服务。
2
、缺省在
Exchange2007
中
POP3
是被加密的,采用的是
995
端口来访问,所以要有在
Exchange2007 Manangement Shell
中输入
set-popsettings –logintype plaintextlogin
命令,把安全登录改为明文登录,并重新启动
POP3
服务。
3
、在
ISA2006
中发布
客户端访问的
SMTP
及
POP3
,并指向内网中的
Hub Server
的
IP
地址。
4
、在
Outlook Express
配置
SMTP
和
POP3
连接。
POP3
和
SMTP
地址分别指向
ISA2006
的公网网卡。
四、在ISA2006
中发布Exchange 2007
的OWA
(一)
HTTP
传输
1
、在
ISA2006
中,选择发布
Exchange Web
客户端访问;
2
、选择发布
exchnge2007
的
outlook web access
;
3
、选择发布一台单一服务器或是一台服务器场;
4
、选择不安全的连接发布
Web
服务;
5
、输入内部站点中客户端访问服务器的
FQDN
名;
6
、输入发布到公网上的域名;
7
、新建一个
WEB
侦听器;
(
1
)选择不需要与客户端建立
SSL
连接;
(
2
)选择
ISA
外网口为侦听端口;
(
3
)在身份验证中选择
HTML
窗体身份验证,在下面的如何验证客户端凭据选择
LDAPS
(
Active Directory
);
(
4
)单一登录名(
SSO
)输入内网中的域名;
8
、
ISA
服务器对
WEB
服务器身份验证使用方法选择基本身份验证
9
、在客户端访问服务器上打开
Exchange
管理控制台,在服务器级别中选中客户端访问,在右边中五个虚拟目录的身份验证全部选为基本身份验证和集成身份验证。
10
、在
IIS
中,对默认网站身份验证选择启用匿名以及选择基本和集成身份验证,在
OWA
虚拟目录中的身份验证只选择基本身份验证;
(二)
HTTPS
传输
1
、要在内网中的集线器传输服务器上申请一张证书,并且证书的公用名为这台
CSA
服务器的域名(如:
CAS.nj-hitech.com
)
;
2
、确保证书被本地受信任。
3
、在
IIS
的
OWA
虚拟目录中启用
SSL
安全加密;
4
、在
IIS
中创建一个网站,并且选择目录安全性,选择服务器证书,再次为
ISA
申请一张证书,并且导出这张证书到桌面为
*.PFX
格式,把此文件复制到
ISA
的桌面,输入
MMC
,打开证书管理单元,把这张申请的证书作一个用户证书的导入操作,并把这张证书作为受信任的根证书来导入操作。
5
、在
ISA2006
中,选择发布
Exchange Web
客户端访问;
6
、选择发布
exchnge2007
的
outlook web access
;
7
、选择发布一台单一服务器或是一台服务器场;
8
、选择安全的连接发布
Web
服务;
9
、输入内部站点中客户端访问服务器的
FQDN
名;
10
、输入发布到公网上的域名;
11
、新建一个
WEB
侦听器;
(
1
)选择需要与客户端建立
SSL
连接;
(
2
)选择
ISA
外网口为侦听端口;
(
3
)在身份验证中选择
HTML
窗体身份验证,在下面的如何验证客户端凭据选择
LDAPS
(
Active Directory
);
(
4
)单一登录名(
SSO
)输入内网中的域名;
12
、
ISA
服务器对
WEB
服务器身份验证使用方法选择基本身份验证。
13
、在客户端访问服务器上打开
Exchange
管理控制台,在服务器级别中选中客户端访问,在右边中五个虚拟目录的身份验证全部选为基本身份验证。
14
、在
IIS
中,对默认网站身份验证选择启用匿名以及选择基本和集成身份验证,在
OWA
虚拟目录中的身份验证只选择集成和基本身份验证;
五、配置
RPC over HTTPS
功能
此功能是把
RPC
的协议封闭在
HTTP
上进行加密传输,能达到像在企业内部一样来访问自己的邮件。
1
、在内网中的
CAS Server
上打开添加删除程序,添加组件,选择网络服务,安装
RPC
的代理服务。
2
、打开
IIS
管理控制台,查看
RPC
的虚拟目录是否被正确安装。并为
RPC
虚拟目录启用
SSL
。
3
、打开
Exchange2007
管理控制台,找到服务器级别的客户端访问,在右边启用
outlook anywhere
功能。此时服务器上的配置基本完成。
4、在客户端打开outlook2003,找到工具菜单中的电子邮件设置,并查看电子邮件设置,展开之后选择其它设置,在其它设置对话框中选择连接,并选中“使用HTTP连接到我的邮箱”,再点击“Exchange代理服务器设置”,对弹出对话框中,使用此URL连接到我的Exchange代理服务器中输入HTTPS://www.nj-hitech.com,并选中启用SSL连接时相互难会话,在代理服务器主体名称中输入:msstd:www.nj-hitech.com,其它为默认即可。