如何提高Exchange Server在企业中的安全应用
南京ITPro俱乐部09年5月23日活动
—如何提高Exchange Server
在企业中的安全应用
以下是活动当天的PPT截图,希望该PPT对大家有所帮助!
Exchange2007的发布<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
一、在DMZ区域部署边缘传输服务器(Edge Server)
部署Edge Server,不需要加入到域,它是一*立的服务器,如同一台硬件级的邮件网关,负责垃圾邮件的过滤及收件人筛选。前期准备要安装.net framework2.0、MMC3.0、Windows management shell、.net framework2.0 hotfix、ADAM with SP1组件。
1、确保Edge Server能够解析到内部网络中的集线器传输服务器(Hub Server),所以Edge Server要配置内网中DNS 地址,反之,也要能解析公网的邮件域,所以Edge Server也要有公网的DNS 地址,分别输入首选DNS和备用DNS来指向公网和内网的DNS地址。
2、因为Edge Server在工作组中,所以集线器传输服务器(Hub Server)也要能解析到Edge Server,我们要在Edge Server上的计算机名中添加一个DNS后缀(内网中的域名),然后,在内网中的DNS服务器上,配置一条A记录来指向Edge Server。
二、在ISA2006配置规则,以便于能和内网中的DNS、AD用户数据库、集线器传输服务器(Hub Server)通讯,再发布Edge Server面向公网
1、允许HUB Server(IP)到Edge Server(IP)的25端口访问
2、允许Edge Server(IP)到公网邮件服务器25端口访问;
3、允许Edge Server(IP)到公网的DNS服务发出53端口查询;
4、采用ISA2006中的发布邮件服务器规则(服务器到服务器通讯),把Edge Server的25端口发布到公网;
5、允许Edge Server(IP)到内网中的Hub Server(IP)25端口的访问;
6、允许Edge Server(IP)到内网中的DNS 服务器发出53端口查询;
7、允许内网中Hub Server(IP)到Edge Server(IP)发出50636(LDAPS)端口访问;
在ISA2006上配置完成后,我们可以通过Telnet 25端口命令分别测试从Hub Server到Edge Server以及从Edge Server到公网邮件服务器是否成功,如果成功,说明发布Exchange2007成功。
8、在EdgeServe上启用边缘订阅功能,在Exchange2007 Manangement Shell中输入New-Edgesubscription命令,在命令提示过程中生成*.XML文件到本地磁盘。
9、把*.XML文件通过网络复制到Hub Server上去,在Hub Server上打开Exchange2007的管理控制台,在组织配置级别中,打开集线器传输选项,在右边中有一个边缘订阅按钮,然后新建边缘订阅,最后把复制过来的*.XML文件加载进去即可。
10、边缘订阅功能已经实现,通常HubServer和EdgeServe每60分钟同步一次,如果我们不想等待,可以在HubServer上,打开Exchange2007 Manangement Shell中输入Start-EdgeSynchronization命令立即同步。
10、所谓边缘订阅就是把活动目录的收件人列表,同步到Edge Server上,以便于在Edge Server可以配置收件人策略。
三、在ISA2006中发布客户端访问的SMTP及POP3,以便于Outlook Express用户来收发邮件
1、缺省在Exchange2007中POP3服务是禁用的,所以要在内网中的邮件服务器上启用POP3服务。
2、缺省在Exchange2007中POP3是被加密的,采用的是995端口来访问,所以要有在Exchange2007 Manangement Shell中输入set-popsettings –logintype plaintextlogin命令,把安全登录改为明文登录,并重新启动POP3服务。
3、在ISA2006中发布客户端访问的SMTP及POP3,并指向内网中的Hub Server的IP地址。
4、在Outlook Express配置SMTP和POP3连接。POP3和SMTP地址分别指向ISA2006的公网网卡。
四、在ISA2006中发布Exchange 2007的OWA
(一)HTTP传输
1、在ISA2006中,选择发布Exchange Web 客户端访问;
2、选择发布exchnge2007 的outlook web access;
3、选择发布一台单一服务器或是一台服务器场;
4、选择不安全的连接发布Web服务;
5、输入内部站点中客户端访问服务器的FQDN名;
6、输入发布到公网上的域名;
7、新建一个WEB侦听器;
(1)选择不需要与客户端建立SSL连接;
(2)选择ISA外网口为侦听端口;
(3)在身份验证中选择HTML窗体身份验证,在下面的如何验证客户端凭据选择LDAPS(Active Directory);
(4)单一登录名(SSO)输入内网中的域名;
8、ISA服务器对WEB服务器身份验证使用方法选择基本身份验证
9、在客户端访问服务器上打开Exchange管理控制台,在服务器级别中选中客户端访问,在右边中五个虚拟目录的身份验证全部选为基本身份验证和集成身份验证。
10、在IIS中,对默认网站身份验证选择启用匿名以及选择基本和集成身份验证,在OWA虚拟目录中的身份验证只选择基本身份验证;
(二)HTTPS传输
1、要在内网中的集线器传输服务器上申请一张证书,并且证书的公用名为这台CSA服务器的域名(如:CAS.nj-hitech.com);
2、确保证书被本地受信任。
3、在IIS的OWA虚拟目录中启用SSL安全加密;
4、在IIS中创建一个网站,并且选择目录安全性,选择服务器证书,再次为ISA申请一张证书,并且导出这张证书到桌面为*.PFX格式,把此文件复制到ISA的桌面,输入MMC,打开证书管理单元,把这张申请的证书作一个用户证书的导入操作,并把这张证书作为受信任的根证书来导入操作。
5、在ISA2006中,选择发布Exchange Web 客户端访问;
6、选择发布exchnge2007 的outlook web access;
7、选择发布一台单一服务器或是一台服务器场;
8、选择安全的连接发布Web服务;
9、输入内部站点中客户端访问服务器的FQDN名;
10、输入发布到公网上的域名;
11、新建一个WEB侦听器;
(1)选择需要与客户端建立SSL连接;
(2)选择ISA外网口为侦听端口;
(3)在身份验证中选择HTML窗体身份验证,在下面的如何验证客户端凭据选择LDAPS(Active Directory);
(4)单一登录名(SSO)输入内网中的域名;
12、ISA服务器对WEB服务器身份验证使用方法选择基本身份验证。
13、在客户端访问服务器上打开Exchange管理控制台,在服务器级别中选中客户端访问,在右边中五个虚拟目录的身份验证全部选为基本身份验证。
14、在IIS中,对默认网站身份验证选择启用匿名以及选择基本和集成身份验证,在OWA虚拟目录中的身份验证只选择集成和基本身份验证;
五、配置RPC over HTTPS功能
此功能是把RPC的协议封闭在HTTP上进行加密传输,能达到像在企业内部一样来访问自己的邮件。
1、在内网中的CAS Server上打开添加删除程序,添加组件,选择网络服务,安装RPC的代理服务。
2、打开IIS管理控制台,查看RPC的虚拟目录是否被正确安装。并为RPC虚拟目录启用SSL。
3、打开Exchange2007管理控制台,找到服务器级别的客户端访问,在右边启用outlook anywhere功能。此时服务器上的配置基本完成。
4、在客户端打开outlook2003,找到工具菜单中的电子邮件设置,并查看电子邮件设置,展开之后选择其它设置,在其它设置对话框中选择连接,并选中“使用HTTP连接到我的邮箱”,再点击“Exchange代理服务器设置”,对弹出对话框中,使用此URL连接到我的Exchange代理服务器中输入HTTPS://www.nj-hitech.com,并选中启用SSL连接时相互难会话,在代理服务器主体名称中输入:msstd:www.nj-hitech.com,其它为默认即可。
转载于:https://blog.51cto.com/zhouhaipeng/171023