首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

邮件服务器

技术前沿 | Qmail | IMail | MDaemon | Exchange | Domino | 其它 | Foxmail | James | Kerio | JavaMail | WinMail | Sendmail | Postfix | Winwebmail | Merak | CMailServer | 邮件与开发 | 金笛 |
首页 > 邮件服务器 > Exchange Server > Exchange 2000让电子邮件系统更加安全(2)-与Windows 2000 Server的集成 > 正文

Exchange 2000让电子邮件系统更加安全(2)-与Windows 2000 Server的集成

出处:微电脑世界 作者:马友 时间:2004-5-24 16:21:00

把证书服务器集成到Exchange 2000中

---- 前面已经提到,要在公共Exchange 2000环境中使用KMS,必须加载企业证书服务器。检查一下系统管理员CA对象的特性(在MMC证书权图标那里),或在命令行运行Certsrv工具,使用-z选项,确认企业证书服务器已经安装。图1显示了Certsrv工具的输出。

---- 需要注意的是,CA为每个登录到高级安全的用户发行了2个证书。

---- 在Windows 2000企业版和在Exchange Server 5.5上,把KMS连接到CA政策模块之间的根本区别是:Exchange 2000 KMS-CA可以比Exchange 2000发行更多的证书。在Exchange Server 5.5中装上Exchange Server的政策模块后,系统管理员便可以发行任何其他类型的证书。

---- Windows 2000在AD中能够发行企业CA。浏览AD的任何客户都可以访问公共的、集成了AD的企业CA服务器的位置信息。对于Exchange 2000 KMS而言,将KMS指向一个固定的证书服务器(在Exchange Server 5.5中就是这么做的)并非必需。如果KMS-CA发生故障,则KMS会自动质询AD,并寻找另一个容错CA,这种灵活的特性省去了在KMS-CA之间跳转的复杂过程。

---- 在一些重要功能方面,Windows 2000证书服务器功能与早期的Windows NT版本相比有很大的提高。比如比较重要的提高有构造多级CA结构的能力,据悉,微软已宣布它可以支持40级以上的结构。此外,系统管理员还可以把一个CA服务器连接到多个KMS服务器上。同时,Windows 2000还提供增强的与其他CA结构集成的功能,即系统管理员的Windows 2000 CA可以是另一个非微软的厂商CA的下属(尽管KMS-CA必须运行微软CA软件)。由此可见,能力的增强可改进互通性。

把目录与AD集成

---- Exchange 2000的一个根本改变是目录和AD的集成。微软统一了Exchange 2000目录对象和Windows 2000目录对象,比如邮箱成为具有邮箱功能的用户对象,用户容器成为具有有邮件功能的联系对象,分布式表(DL)成为有邮件功能的分布式组。这种统一给管理带来非常明显的方便,它可以使系统管理员在同一界面上对用户安全和与邮件相关的特性进行设置。操作方法如下。

---- 打开MMC的用户和计算机图标,双击任何用户对象,查看它的特性(包括Exchange特性设置),如图2所示。系统管理员所管理的新界面允许用户以高级安全方式登录,还允许废除用户证书,恢复用户的私人加密密钥。

---- 从Exchange Server 5.5d的SP1开始,高级安全支持证书信任表(CTL)的定义。CTL可以使系统管理员在2个没有结构关系的CA之间设置基于证书的安全互通关系。Windows 2000通过信任根部证书权(Trusted Root Certification Authorities,TRCA)和企业信任组政策对象(Group Policy Object,GPO)入口实现CTL。

---- GPO是Windows 2000为计算机集中管理提供的新特性。它包含了许多Windows 2000的CA证书,高级安全自动把内部CA加到系统管理员内部客户根部的CA存储区。企业信任GPO入口包含了所信任的外部CA证书,但Windows 2000管理员只能手工地加上这些证书。通过GPO设置透明且自动的应用,信任CA的证书会被自动下载到Windows 2000证书存储区。但Outlook 2000仍然从AD获得CTL。KMS在KM服务器从相应的GPO-CTL入口创建这个CTL,并且为AD生成CTL。据称,微软将在未来的Outlook版本上全面支持GPO-CTL的设置。

---- CTL前景如何呢?新的KMS仍然会在KMS数据库(kmsdir.edb)中维持它的CTL,并为AD生成CTL(KMS需要CTL来发布废除了的X.509 Version 1证书,让使用Outlook 98及以前版本的客户得到CTL)。同时,Windows 2000的KMS-CA会向AD和CA Web目录发布它的CTL。此外,Windows 2000企业证书服务器发布的Exchange服务器高级安全X.509 Version 3证书合并了Windows 2000的自动CTL检查变化。这样,每个证书都包含了CTL分布点的指针。

---- CDP具备一个重要的特点,即当软件确认一份证书时,软件可以根据证书的CDP定位合适的CTL。每个证书包含一个LDAP指针,它指向AD中的CTL,还包含一个HTTP指针,指向CA Web中的CTL。为了发挥CDP的优势,系统管理员需要一个像包含在IE 5.0中的Outlook Express 5.0或Outlook 2000这样的电子邮件客户。

---- 为了让Outlook 2000支持CDP,系统管理员必须在注册表中创建“HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Cryptography\{7801ebd0-cf4b-11d0-851f-0060979387ea}”注册键,并增加PolicyFlags注册变量,将其值设为0x00010000。另外,还有一个有用的Windows 2000 CA特性,它让系统管理员在MMC证书权图标的废除证书容器特性栏中设置CTL发布间隔。

---- Exchange服务器5.5可以用一个别名标识每个对象。因为别名包含了用户邮箱的别名,系统管理员可以恢复用户的加密密钥(甚至当目录不再包含一个用户信箱的入口时)。如果CA创建了一个重名的信箱,相关的账户会继承老用户的关键历史。

---- 在Windows 2000中,一个外部的惟一标识(GUID)标识着Windows 2000互联系统中的每一个目录对象。在Exchange 2000中,具有邮箱功能的用户对象可与一个GUID绑定,这样在删除用户时会同时删除GUID,但也可以重新启用被删除的GUID。于是,系统管理员可以找回删除了的用户对象密钥和证书。

管好您的KMS

---- 要管理KMS,系统管理员可以使用MMS的Exchange系统管理图标,或者启动高级安全作为单独的图标,还可以从MMS的“用户”和计算机控制面板上登录单独的用户。

---- 口令记忆功能把管理口令暂存在系统内存中,当系统管理员每次进入KMS管理界面打开对话框时,不用重新输入口令。在Exchange 2000中,微软从高级安全的管理界面里取消了口令记忆功能。由于入侵者可以从内存中窃取口令,所以可以说采用口令记忆技术有一定的危险性。正因如此,Exchange 2000在管理界面中增加了一组批量执行功能(这里系统管理员只需输入一次管理口令即可),它们是登录、删除、恢复、批量输出和批量输入。Exchange 5.5仅支持批量登录。除此之外,微软还在MMC的Exchange系统管理图标顶部增加了一个按钮,用来加速管理任务的执行。

---- 系统管理员可以在3个不同层次(即管理组、服务器和单独的用户)执行批操作,如图3所示。Exchange Server 5.5仅在容器级支持批量登录。需要说明的是,Exchange 2000对Exchange Server 5.5的批量执行中的性能问题做了补救,比如当批量登录超过2000个信箱时,Exchange 2000对系统执行慢的问题有一定的补救措施。

---- 在KMS数据库(kmsdir.edb)之间(即管理组之间)输入和输出用户的账户、密钥和证书历史,是Exchange 2000对于组织机动性能的重要增强。在Exchange Server 5.5中,用户不太可能随意地在站点之间移动。要实现移动,系统管理员必须使用微软的BackOffice Resource Kit Sectool工具批量解密所有用户的邮件,把用户邮箱移到其他站点,重新登录用户,最后用Sectool批量加密邮件。或者,系统管理员使用更复杂的一种办法,即当与邮箱保持连接时,把用户的密钥和证书(用户的KMS数据库入口)输出到一个.epf文件,然后在另一站点上把新的邮箱和输入的.epf文件连接到Outlook上。为了方便新的I/O进程,Exchange 2000提供了Exchange KMS密钥输出引导,如图4所示。引导使用CA证书保护输出─输入进程,系统管理员只可以运行一次输入进程(只在一个管理组上)。引导把输出和输入进程的结果注册到filename.exlog和filename.imlog中。这里有一个提醒大家注意的事项:输出引导不但输出用户的记录,同时也把它们从KMS数据库中删除。

---- Exchange 2000的KMS仍然支持重要KMS操作的“导弹发射井”(或多重口令)政策,这意味着执行特定的管理任务时,KMS需要验证多个管理信任证书。在Exchange 2000中,系统管理员可以为增加和删除管理账户、恢复和废除用户密钥改变对X.509版本1或版本3的支持,以及为输入输出用户账户时设置多重口令。需要注意的是,系统管理员在KMS级所使用的管理账户不同于正规的Windows 2000账户,Exchange 2000把KMS账户与相关的口令存放在KMS数据库中,默认的口令是password。

---- 此外,微软增强了KMS备份。现在KMS数据库成了Windows 2000备份Exchange容器的一部分,它允许在线备份。系统管理员必须同时备份KMS和KMS-CA,以保证它们在证书撤回时保持同步。

---- KMS中用于问题释疑的原始信息被安置在Windows NT事件浏览应用的文件夹里。Exchange 2000扩展了注册入口的数量,在更新CTL或CTL以及用户计费等方面变得更加安全。

,
相关文章 热门文章
  • Outlook 2003与Exchange 2010结合使用中可能出现的问题及建议的解决方法
  • 在配置完 Exchange Server 2010 CAS Array后需要做的两件事
  • 如何通过Exchange2010 OWA更改过期密码
  • Windows server 2008 R2上安装exchange 2010注意的问题
  • 关于Exchange数据库文件过大的正确处理方法
  • Exchange 2007 HUB服务器默认证书过期解决办法
  • Exchange 2010 SP1个人邮件归档配置
  • 邮件系统双雄PK: TurboMail vs Exchange
  • 利用Windows Server Backup备份Exchange 2010 DAG
  • Exchange Server 2010与RMS集成
  • Exchange Server 2010 跨组织移动邮箱
  • 配置Exchange 2010+Outlook 2010自动发现功能
  • Exchange 2000 Server 常见问题(四)
  • Exchange 2000 Server 常见问题(一)
  • Exchange 2000 Server 常见问题(三)
  • Exchange 2000 Server 常见问题(五)
  • Exchange 2000 Server 常见问题(二)
  • 部署Exchange Server 2003问题集(1)
  • Telnet到端口25以测试SMTP通信
  • 限制Exchange用户从Internet收发邮件
  • Exchange Server管理与设定(一)
  • 使用Exchange 2000 Server 构建多域名邮件系统
  • 虚拟内存碎片的检测和EXCHANGE的内存优化
  • Exchange Server 公用程序(一)
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号