如何提升Exchange Server在企業中的安全應用

南京ITPro俱樂部09年5月23日活動

 —如何提升Exchange Server

              在企業中的安全應用

如下是活動當天的PPT截圖，但願該PPT對你們有所幫助！

參考連接：http://www.itprocity.com/event/edm/edm20090523_nanj.htm

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Exchange2007的發佈

 

1、在DMZ 區域部署邊緣傳輸服務器（Edge Server ）

部署 Edge Server ，不須要加入到域，它是一臺獨立的服務器，如同一臺硬件級的郵件網關，負責垃圾郵件的過濾及收件人篩選。前期準備要安裝 .net framework2.0 、 MMC3.0 、 Windows management shell 、 .net framework2.0 hotfix 、 ADAM with SP1 組件。

1 、確保 Edge Server 可以解析到內部網絡中的集線器傳輸服務器（ Hub Server ），因此 Edge Server 要配置內網中 DNS 地址，反之，也要能解析公網的郵件域，因此 Edge Server 也要有公網的 DNS 地址，分別輸入首選 DNS 和備用 DNS 來指向公網和內網的 DNS 地址。

2 、由於 Edge Server 在工做組中，因此集線器傳輸服務器（ Hub Server ）也要能解析到 Edge Server ，咱們要在 Edge Server 上的計算機名中添加一個 DNS 後綴（內網中的域名），而後，在內網中的 DNS 服務器上，配置一條 A 記錄來指向 Edge Server 。

 

2、在ISA2006 配置規則，以便於能和內網中的DNS 、AD 用戶數據庫、集線器傳輸服務器（Hub Server ）通信，再發布Edge Server 面向公網

1 、容許 HUB Server （ IP ）到 Edge Server （ IP ）的 25 端口訪問

2 、容許 Edge Server （ IP ）到公網郵件服務器 25 端口訪問；

3 、容許 Edge Server （ IP ）到公網的 DNS 服務發出 53 端口查詢；

4 、採用 ISA2006 中的發佈郵件服務器規則（服務器到服務器通信），把 Edge Server 的 25 端口發佈到公網；

5 、容許 Edge Server （ IP ）到內網中的 Hub Server （ IP ） 25 端口的訪問；

6 、容許 Edge Server （ IP ）到內網中的 DNS 服務器發出 53 端口查詢；

7 、容許內網中 Hub Server （ IP ）到 Edge Server （ IP ）發出 50636 （ LDAPS ）端口訪問；

 

在 ISA2006 上配置完成後，咱們能夠經過 Telnet 25 端口命令分別測試從 Hub Server 到 Edge Server 以及從 Edge Server 到公網郵件服務器是否成功，若是成功，說明發布 Exchange2007 成功。

8 、在 EdgeServe 上啓用邊緣訂閱功能，在 Exchange2007 Manangement Shell 中輸入 New-Edgesubscription 命令，在命令提示過程當中生成 *.XML 文件到本地磁盤。

9 、把 *.XML 文件經過網絡複製到 Hub Server 上去，在 Hub Server 上打開 Exchange2007 的管理控制檯，在組織配置級別中，打開集線器傳輸選項，在右邊中有一個邊緣訂閱按鈕，而後新建邊緣訂閱，最後把複製過來的 *.XML 文件加載進去便可。

10 、邊緣訂閱功能已經實現，一般 HubServer 和 EdgeServe 每 60 分鐘同步一次，若是咱們不想等待，能夠在 HubServer 上，打開 Exchange2007 Manangement Shell 中輸入 Start-EdgeSynchronization 命令當即同步。

10 、所謂邊緣訂閱就是把活動目錄的收件人列表，同步到 Edge Server 上，以便於在 Edge Server 能夠配置收件人策略。

 

3、在ISA2006 中發佈客戶端訪問的SMTP 及POP3 ，以便於Outlook Express 用戶來收發郵件

1 、缺省在 Exchange2007 中 POP3 服務是禁用的，因此要在內網中的郵件服務器上啓用 POP3 服務。

2 、缺省在 Exchange2007 中 POP3 是被加密的，採用的是 995 端口來訪問，因此要有在 Exchange2007 Manangement Shell 中輸入 set-popsettings  –logintype  plaintextlogin 命令，把安全登陸改成明文登陸，並從新啓動 POP3 服務。

3 、在 ISA2006 中發佈 客戶端訪問的 SMTP 及 POP3 ，並指向內網中的 Hub Server 的 IP 地址。

4 、在 Outlook Express 配置 SMTP 和 POP3 鏈接。 POP3 和 SMTP 地址分別指向 ISA2006 的公網網卡。

 

4、在ISA2006 中發佈Exchange 2007 的OWA

（一） HTTP 傳輸

1 、在 ISA2006 中，選擇發佈 Exchange Web 客戶端訪問；

2 、選擇發佈 exchnge2007 的 outlook web access ；

3 、選擇發佈一臺單一服務器或是一臺服務器場；

4 、選擇不安全的鏈接發佈 Web 服務；

5 、輸入內部站點中客戶端訪問服務器的 FQDN 名；

6 、輸入發佈到公網上的域名；

7 、新建一個 WEB 偵聽器；

（ 1 ）選擇不須要與客戶端創建 SSL 鏈接；

（ 2 ）選擇 ISA 外網口爲偵聽端口；

（ 3 ）在身份驗證中選擇 HTML 窗體身份驗證，在下面的如何驗證客戶端憑據選擇 LDAPS （ Active Directory ）；

（ 4 ）單一登陸名（ SSO ）輸入內網中的域名；

8 、 ISA 服務器對 WEB 服務器身份驗證使用方法選擇基自己份驗證

9 、在客戶端訪問服務器上打開 Exchange 管理控制檯，在服務器級別中選中客戶端訪問，在右邊中五個虛擬目錄的身份驗證所有選爲基自己份驗證和集成身份驗證。

10 、在 IIS 中，對默認網站身份驗證選擇啓用匿名以及選擇基本和集成身份驗證，在 OWA 虛擬目錄中的身份驗證只選擇基自己份驗證；

 

（二） HTTPS 傳輸

1 、要在內網中的集線器傳輸服務器上申請一張證書，而且證書的公用名爲這臺 CSA 服務器的域名（如： CAS.nj-hitech.com ） ;

2 、確保證書被本地受信任。

3 、在 IIS 的 OWA 虛擬目錄中啓用 SSL 安全加密；

4 、在 IIS 中建立一個網站，而且選擇目錄安全性，選擇服務器證書，再次爲 ISA 申請一張證書，而且導出這張證書到桌面爲 *.PFX 格式，把此文件複製到 ISA 的桌面，輸入 MMC ，打開證書管理單元，把這張申請的證書做一個用戶證書的導入操做，並把這張證書做爲受信任的根證書來導入操做。

5 、在 ISA2006 中，選擇發佈 Exchange Web 客戶端訪問；

6 、選擇發佈 exchnge2007 的 outlook web access ；

7 、選擇發佈一臺單一服務器或是一臺服務器場；

8 、選擇安全的鏈接發佈 Web 服務；

9 、輸入內部站點中客戶端訪問服務器的 FQDN 名；

10 、輸入發佈到公網上的域名；

11 、新建一個 WEB 偵聽器；

（ 1 ）選擇須要與客戶端創建 SSL 鏈接；

（ 2 ）選擇 ISA 外網口爲偵聽端口；

（ 3 ）在身份驗證中選擇 HTML 窗體身份驗證，在下面的如何驗證客戶端憑據選擇 LDAPS （ Active Directory ）；

（ 4 ）單一登陸名（ SSO ）輸入內網中的域名；

12 、 ISA 服務器對 WEB 服務器身份驗證使用方法選擇基自己份驗證。

13 、在客戶端訪問服務器上打開 Exchange 管理控制檯，在服務器級別中選中客戶端訪問，在右邊中五個虛擬目錄的身份驗證所有選爲基自己份驗證。

14 、在 IIS 中，對默認網站身份驗證選擇啓用匿名以及選擇基本和集成身份驗證，在 OWA 虛擬目錄中的身份驗證只選擇集成和基自己份驗證；

 

5、配置 RPC over HTTPS 功能

此功能是把 RPC 的協議封閉在 HTTP 上進行加密傳輸，能達到像在企業內部同樣來訪問本身的郵件。

1 、在內網中的 CAS Server 上打開添加刪除程序，添加組件，選擇網絡服務，安裝 RPC 的代理服務。

2 、打開 IIS 管理控制檯，查看 RPC 的虛擬目錄是否被正確安裝。併爲 RPC 虛擬目錄啓用 SSL 。

3 、打開 Exchange2007 管理控制檯，找到服務器級別的客戶端訪問，在右邊啓用 outlook anywhere 功能。此時服務器上的配置基本完成。

4、在客戶端打開outlook2003，找到工具菜單中的電子郵件設置，並查看電子郵件設置，展開以後選擇其它設置，在其它設置對話框中選擇鏈接，並選中「使用HTTP鏈接到個人郵箱」，再點擊「Exchange代理服務器設置」，對彈出對話框中，使用此URL鏈接到個人Exchange代理服務器中輸入HTTPS://www.nj-hitech.com，並選中啓用SSL鏈接時相互難會話，在代理服務器主體名稱中輸入：msstd:www.nj-hitech.com，其它爲默認便可。