如何在ISA2004中实现EXCHANGE的OWA密码修改功能
最近要啃啃 Exchange 这个产品,首先让我注意到的就是关于OWA通过ISA发布时密码修改的问题!本来打算自己做一下实验,后来因为环境比较差,所以把人家的经验总结摘抄到自己的Blog下,方便以后调试时参考!
一、 设置EXCHANGE前后端服务器允许OWA修改密码
1:修改后端服务器注册表
EXCHANGE 2003 OWA修改密码功能
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeWEB\owa下面的
value name: DisablePassword
Type: REG_DWORD
Data :1
把1改为0
2:在后端服务器上建立虚拟目录
程序→管理工具→INTERNET服务器管理器→INTERNET信息服务界面
在默认WEB站点内,建立虚拟目录“IISADMPWD”字不错,切记。选择路径?
c:\windows\system32\inetsrv\iisadmpwd 。如果你安装IIS没改目录的话,就是这个目
录了。如果改了目录,你需要找到IISADMPWD目录。如果没有此目录,则你证书安装有
问题。安装权限选择“读取、运行脚本”。在IISADMPWD目录上选属性--目录安全性—
匿名访问和验证控制—编辑—勾选匿名访问,确定退出。
3:转到CMD界面
cd c:\inetpub\AdminScripts
运行以下的命令:
”adsutil.vbs set w3svc/passwordchangeflags 0”
注:出现提示一直点确定
4:为前端服务器申请证书
1) 建立CA服务器
2) 为WEB站点申请证书
选择服务器证书,在公共名称这里一定要注意要填写你在公网上的域名为前端WEB站点启用SSL
5:为前端服务器建立虚拟目录
程序→管理工具→INTERNET服务器管理器→INTERNET信息服务界面
在默认WEB站点内,建立虚拟目录“IISADMPWD”,应一字不错,切记。选择路径:
c:\windows\system32\inetsrv\iisadmpwd 。如果你安装IIS没改目录的话,就是这个目
录了。如果改了目录,你需要找到IISADMPWD目录。如果没有此目录,则你证书安装有
问题。安装权限选择“读取、运行脚本”。在IISADMPWD目录上选属性--目录安全性—
匿名访问和验证控制—编辑—勾选匿名访问,确定退出。
转到DOS字符界面
cd c:\inetpub\AdminScripts
运行以下的命令:
”adsutil.vbs set w3svc/passwordchangeflags 0”
二、 把EXCHANGE的证书需要导出并导入给ISASERVER
在前端服务器上,选择IIS管理器----默认网站----属性---目录安全性
选择复制到文件把证书导出,并把导出的文件COPY给ISASERVER计算机.
注:(在导出的时候一定要选择导出私钥)
在ISASERVER计算机上把证书导入.
在ISA服务器上运行输入MMC----证书----计算机证书
在证书控制台选择个人---所有任务导入证书
三、 在ISA2004发布EXCHANGE的OWA
1:打开ISA管理器选择防火墙策略邮件发布策略
2:选择访问类型的时候选择发布OWA,在桥接模式选项选择加密到客户端和邮件服务器
3:在WEB服务器选项选择EXCHANGE的前端服务器
4:公共域名处填写WWW.ISACN.ORG(注意:这里所填写的一定要和证书的域名一致)
5:选择WEB监听器选择启用SSL,在选择处加载在上面我们导入的证书
6:在建立的发布策略添加路径/IISADMPWD/*
要允许用户更改密码,务必向 Outlook Web Access 邮件服务器发布规则添加 /IISADMPWD/* 文件夹。否则,用户每次单击 Outlook Web Access 中的“更改密码”按钮时都会收到错误
部署防火墙策略的十六条守则
ISA使用者总结出来的守则:
1、计算机没有大脑。所以,当ISA的行为和你的要求不一致时,请检查你的配置而不要埋怨ISA。
2、只允许你想要允许的客户、源地址、目的地和协议。仔细的检查你的每一条规则,看规则的元素是否和你所需要的一致。
3、针对相同用户或含有相同用户子集的访问规则,拒绝的规则一定要放在允许的规则前面。
4、当需要使用拒绝时,显式拒绝是首要考虑的方式。
5、在不影响防火墙策略执行效果的情况下,请将匹配度更高的规则放在前面。
6、在不影响防火墙策略执行效果的情况下,请将针对所有用户的规则放在前面。
7、尽量简化你的规则,执行一条规则的效率永远比执行两条规则的效率高。
8、永远不要在商业网络中使用 Allow 4 ALL规则(Allow all users use all protocols from all networks to all networks),这样只是让你的ISA形同虚设。
9、如果可以通过配置系统策略来实现,就没有必要再建立自定义规则。
10、ISA的每条访问规则都是独立的,执行每条访问规则时不会受到其他访问规则的影响。
11、永远也不要允许任何网络访问ISA本机的所有协议。内部网络也是不可信的。
12、SNat客户不能提交身份验证信息。所以,当你使用了身份验证时,请配置客户为Web代理客户或防火墙客户。
13、无论作为访问规则中的目的还是源,最好使用IP地址。
14、如果你一定要在访问规则中使用域名集或URL集,最好将客户配置为Web代理客户。
15、请不要忘了,防火墙策略的最后还有一条DENY 4 ALL。
16、最后,请记住,防火墙策略的测试是必需的。
国际域名注册各种状态的具体含义介绍
1、ACTIVE:活动状态。由Registry设置;该域名可以由Registrar更改;可以续费;至少被指派一个DNS。
2、REGISTRY-LOCK:注册局锁定。由注册局设置;该域名不可以由注册商更改、删除;必须由注册局解除此状态才可以由注册商更改域名信息;域名可以续费;如果域名被指派至少一个DNS则可以包含在(域名根服务器)的区域中(可以正常使用)。
3、REGISTRY-HOLD:注册局保留。由注册局设置;该域名不可以由注册商更改、删除;必须由注册局解除此状态才可以由注册商更改域名信息;域名可以续费;该域名不包括在(域名根服务器)的区域中(不能正常使用)。
4、REGISTRAR-LOCK:注册商锁定。由该域名的原始注册商设置;该域名不可以被更改或删除;必须由注册商解除此状态才可以更改域名信息;该域名可以续费。该域名包含在(域名根服务器)的区域中(可以正常使用)。
5、REGISTRAR-HOLD:注册商保留。由该域名的原始注册商设置;该域名不可以被更改或删除;必须由注册商解除此状态才可以更改域名信息;该域名可以续费。该域名不包括在(域名根服务器)的区域中(不能正常使用)。
6、REDEMPTIONPERIOD:宽限期。当注册商向注册局提出删除域名请求后,由注册局将域名设置称此状态,不过,条件是该域名已经注册了5天以上(如果该域名注册时间不足5天,则立即删除);该域名不包括在(域名根服务器)的区域中(不能正常使用);该域名不可以被更改或清除,只可以被恢复;任何其他注册商提出对此域名的更改或其他请求都将被拒绝;该状态最多保持30天。
7、PENDINGRESTORE:恢复未决。当注册商提出将处于REDEMPTIONPERIOD的域名恢复请求后,由注册局设置;该域名包含在(域名根服务器)的区域中(可以正常使用);注册商提出的更改或任何其他请求都将被拒绝;在7天之内,有注册商向注册局提供必需的恢复文件,如果注册商在7天之内提供了这些文件,该域名将被置为ACTIVE状态,否则,该域名将重新返回到REDEMPTIONPERIOD状态。
8、PENDINGDELETE:删除未决。如果一个域名在被设置成REDEMPTIONPERIOD状态期间内,注册商没有提出恢复请求,那么,域名将被置于PENDINGDELETE状态,注册商对此域名的任何请求都将被拒绝;5天之后清除。
