概述
Exchange2007/2010的客户端访问服务器为用户提供了多种访问方式,如OWA、OutlookAnywhere、ExchangeActiveSync、POP3等,为保证安全性,通常会为这些访问方式启用SSL加密,这就涉及到用于加密证书的配置。本文介绍了如何进行证书申请及配置。
Exchange架构简述
客户端访问服务器在Exchange2007/2010系统中是一个重要角色,因此通常部署至少两台,配置网络负载均衡群集来实现高可用性,本文就以这样的架构来进行描述。假设域名为company1.com,两台客户端访问服务器分别为cas1和cas2。
证书申请
在Exchange2007/2010中,绝大多数的客户端访问功能是通
灾难场景:
在企业内Exchange2007服务器(Exchange2007)上存储组(SG1)中的邮箱数据库(MDB1)出现故障,此数据库库下的用户此时都不能收发邮件,而您希望恢复它,数据库MDB1系统文件和日志文件放在G:\SG1目录下,数据库文件放在F:\MDB1目录下。(管理员有对数据库MDB1做备份任务计划)
恢复方法简介:
数据库MDB1损坏后。
1,我们将与数据库MDB1相关的文件全部删除,加载空的数据库MDB1(简称拨号音数据库)。
2,然后创建恢复存储组,将之前对MDB1数据库做的备份还原到恢复存储组中。
3,接下来将恢复存储组数据库和拨号音数据库进行交换(交换的目的是拨号音数据库是我们临时建立的一个数据库比恢复存储组数据库要小很多,这样可以减少恢复存储组数据库到拨号音数据库合并的时间)。
4,最后将恢复存储组数据库合并到拨号音数据库中。
5,删除恢复存储组。
实现步骤:
将任何与MDB1数据库对应的文件移动到一个临时文件夹中,也就是G:\SG1目录下和F:\MDB1目录下的文件,包括(日志文件、系统文件,数据文件)全部移到一个临时文件夹下。(以方便进一步的恢复操作可能需要这些文件)
将与邮箱数据库MDB1相关的日志文件、系统文件、数据文件全部删除。
现在MDB1就成了一个空数据库,重新装载MDB1数据库,此时系统会警告我们即将创建一个空的数据库,此警告是正常的,继续操作完成数据库装载。(这个数据库我们简称为拨号音数据库)
到这一步后,我们可以发现MDB1数据下的用户已经可以正常收发邮件,但用户不能看到数据库崩溃之前的邮件,要想让用户看到之前的邮箱,我们需要继续完成以下步骤。
(1)是创建恢复存储组,我们取名存储组为rsg1,日志文件我们这里放在E:\RSG\rsglog目录下,数据库文件放在F:\MDB1\MDB1data目录下(方便存储组数据库和拨号音数据库交换后,不影响数据库存储路径),使用new-storagegroup命令创建恢复存储组,如图:
(3)再使用new-mailboxdatabase在恢复存储组中创建你要恢复的数据库,数据库文件放在F:\MDB1\MDB1data目录下,如图:
(3)最后用set-mailboxdatabase来设置新数据库可以被覆盖,如图:
(4)将故障数据库中的任何日志文件复制到恢复存储组rsg1中的日志文件夹下(也就是将我们放在临时文件夹中存放的日志文件复制到E:\RSG\rsglog目录下),以便可以对已还原的数据库播放这些日志文件。
(5)接下来,我们将最近对数据库MDB1做的备份进行还原,数据库文件将会被自动还原到恢复存储组下。还原完成后,再用mount-database启用恢复存储组的数据库,如图:
(6)利用恢复存储组进行还原操作,我们用EMC来进行还原操作。首先要点击EMC中的数据库恢复管理工具,如图:
在接下来的页面中输入EXCHANGE服务器和域控制器的名称,如图:
下一步,选择(以数据库交换“拨号提示音”方案),如图:
选择(收集合并信息),如图:
选择(执行合并前的任务),如图:
数据库交换成功,如图:
(7)到这一步,我们完成了将恢复存储组与拨号音数据库进行交换,恢复存储组rsg1下的数据库MDB1变成了默认数据库,此时我们的用户也可以看到数据库崩溃之前的邮件了,但是我们在数据库崩溃这段时间存放到拨号音数据库下的邮件却不能看到,接下来的操作是将拨号音数据库跟恢复存储组下的数据库进行合并。
(8)将拨号音数据库中的内容与现在活动的已恢复数据库进行合并,返回任务中心,选择“合并或复制邮箱内容”,如图:
选择“收集合并信息”,如图:
选择“执行合并前任务”,如图:
选择“执行合并操作”,如图:
成功完成数据合并,如图:
完成以上操作后,用户就可以看到数据库崩溃前后的邮件了,接下来的操作是删除恢复存储组
(1),首先用Dismount-database停用恢复存储组中的数据库
再用Remove-mailboxdatabase来删除恢复存储中的数据库
然后用Remove-storagegroup来删除恢复存储组,如图所以:
最后删除恢复存储组的文件夹:E盘文件夹RSG,F盘下MDB1文件夹下的数据(MDB1data文件除外),OK,完成
过Web方式来实现的,如OWA、OutlookAnywhere、ExchangeActiveSync、自动发现、忙闲信息更新、脱机地址簿等等,这些功能需要访问特定的主机地址,如Autodiscover、客户端访问服务器计算机名,因此除了提供给用户直接访问的域名地址外,还需要在证书中添加额外的域名。
概述
Exchange2007/2010系统中由集线器传输服务器负责进行邮件的传递,默认情况下,Exchange2007/2010关闭了匿名中继功能。企业在特定的情况下,需要授予指定来源计算机能通过Exchange服务器匿名发送邮件到互联网,也就是通常所说的匿名中继。本文讲述如何在Exchange2007/2010系统中开启匿名中继功能。
匿名发送邮件与匿名中继
Exchange2007/2010系统遵循了SMTP标准协议,发送和接受邮件均使用匿名身份验证,也就是说Exchange与互联网其他邮件系统之间使用匿名身份来传递邮件。
而中继则是指除Exchange自身以外的用户或计算机通过Exchange发送邮件到其他邮件系统的行为,包括常见的内部用户通过POP3/SMTP方式发送邮件也是中继。为加强安全性,避免Exchange服务器被利用来发送非法邮件,Exchange对中继行为启用了强制身份验证,匿名用户默认将不能再通过Exchange服务器发送邮件。
在Exchange2007/2010系统中,通过集线器传输服务器的接收连接器来对邮件的接受和中继进行控制,即使在接收连接器上允许了匿名身份验证,也无法通过Exchange服务器进行匿名中继,除非提供合法的身份。也就是说,在接收连接器上启用匿名身份验证,仅允许外部系统匿名发送邮件到Exchange邮件系统内部用户。
配置匿名中继
假设企业现在需要允许内部一台计算机能通过Exchange服务器匿名中继邮件,首先我们需要在集线器传输服务器上创建接收连接器,允许从该计算机匿名发送邮件;然后通过特殊的权限设置,允许该接收连接器进行匿名中继。
创建接收连接器:
1.执行下列步骤之一:
a)若要在安装了边缘传输服务器角色的计算机上创建接收连接器,请选择“边缘传输”,然后在工作窗格中单击“接收连接器”选项卡。
b)若要在集线器传输服务器角色上创建接收连接器,请在控制台树中展开“服务器配置”,然后选择“集线器传输”。在结果窗格中,选择要创建连接器的服务器,然后单击“接收连接器”选项卡。
2.在操作窗格中,单击“新建接收连接器”。此时将启动“新建接收连接器”向导。
3.在“简介”页上,执行下列步骤:
a)在“名称”字段中为此连接器键入有意义的名称。此名称用于标识该连接器。
b)在“选择此接收连接器的预期用法”字段中选择“自定义”。
c)单击“下一步”。
4.在“本地网络设置”页上,按照下列步骤操作:
a)选择现有的“所有可用IPv4”条目,然后单击删除。
b)单击“添加”。在“添加接收连接器绑定”对话框中,选择“指定IP地址”。键入一个IP地址,该地址将分配给与远程邮件服务器通信能力最强的本地服务器上的网络适配器。在“端口”字段中,键入25,然后单击“确定”。将“指定此连接器为响应HELO或EHLO将提供的FQDN”保留为空。
c)单击“下一步”。
5.在“远程网络设置”页上,执行下列步骤:
a)选择现有的0.0.0.0-255.255.255.255条目,然后单击删除。
b)单击“添加”或“添加”旁边的下拉箭头,键入允许在此服务器上中继邮件的远程邮件服务器的IP地址或IP地址范围。输入完IP地址后,单击“确定”。
c)单击“下一步”。
6.在“新建连接器”页上,复查该连接器的配置摘要。如果要修改设置,则单击“上一步”。若要使用配置摘要中的设置创建接收连接器,请单击“新建”。
7.在“完成”页上,单击“完成”。
8.在工作窗格中,选择您创建的接收连接器。
9.在操作窗格中该接收连接器的名称下,单击“属性”打开“属性”页。
10.单击“权限组”选项卡。选择“匿名用户”。
11.单击“确定”保存更改并退出“属性”页。
授予匿名中继权限:
此示例将检索指定接收连接器的信息,并通过管道将结果传递给Add-ADPermissioncmdlet,从而向新接收连接器上的匿名连接授予中继权限。
Get-ReceiveConnector"AnonymousRelay"|Add-ADPermission-User"NTAUTHORITY\ANONYMOUSLOGON"-ExtendedRights"Ms-Exch-SMTP-Accept-Any-Recipient"
1)在客户端访问服务器cas1上,运行PowerShell命令生成CAS服务器IIS证书申请:
New-ExchangeCertificate-DomainNamemail.company1.com,autodiscover.company1.com,cas1.company1.com,cas2.company1.com-GenerateRequest:$True-privatekeyExportable:$true
注:域名可以填多个,但一般将首选使用的域名放在第一位;
此证书中将包含多个域名地址,供不同功能访问时使用。
2)复制命令输出文本并保存到文本文件,在服务器上打开IE访问企业根CA的地址(或提交至商业证书颁发机构),申请高级证书,并选择使用BASE#64格式的申请文件来申请,将文本提交到企业根CA申请Web服务器证书,并保存为cer格式;
证书配置
申请下来的证书,需要在所有的客户端访问服务器上导入,并在Exchange系统中启用。
1)在生成证书申请的客户端访问服务器cas1上使用PowerShell命令导入该证书到IIS网站:
Import-ExchangeCertificate-PathD:\certnew.cer|Enable-ExchangeCertificate-ServicesIIS
该命令将导入刚申请完成的证书,并在Exchange系统中为IIS这个服务启用该证书。
注:导入新证书后一定要将Exchange管理控制台中的OutlookAnywhere先禁用后再启用,后再重启IIS服务,使OutlookAnywhere功能强制使用新的证书;
2)在生成证书申请的CAS服务器上打开MMC,导入计算机证书管理器,将刚申请的证书私钥导出,并设置密码;将生成的certnew.pfx文件复制到另一台客户端访问服务器cas2;
3)在客户端访问服务器cas2上使用PowerShell命令导入该证书:
Import-ExchangeCertificate-PathD:\certnew.pfx-password:(Get-Credential).password|Enable-ExchangeCertificate-ServicesIIS
过程中将会弹出密码输入框,在用户名处输入任意字符,在密码处输入导出证书时设置的密码;