保护 Exchange 通信安全(4)

若要对组策略应用出站过滤器，请执行以下操作：

1. 在组策略内容窗格中，右键单击“Block-Encrypt TCP 80 traffic - OWA FE”，然后单击“Assign”（指派）。
2. 关闭“组策略”，然后单击“确定”。

若要对 OWA 前端服务器应用组策略，请执行以下操作：

1. 在 OWA 前端服务器上，启动“命令提示”。
2. 键入“secedit /refreshpolicy machine_policy /enforce”，然后按 ENTER 键。
3. 重新启动服务器。

创建后端服务器 IPSec 策略

后端服务器上的组策略对入站端口 80 的通信进行加密。

若要创建入站 TCP 80 过滤器，请执行以下步骤：

1. 启动“Active Directory 用户和电脑”。
2. 依次展开“成员服务器”、“应用服务器”和“Exchange 2000”。
3. 右键单击“Back-end Servers OU”（后端服务器 OU），然后单击“属性”。
4. 单击“组策略”选项卡。
5. 选择“Back End Incremental GPO”（后端增量 GPO）。
6. 单击“编辑”。
7. 依次展开“Windows 配置”和“安全配置”，然后右键单击“Active Directory 上的 IP 安全策略”。
8. 单击“Manage IP filter lists and filter actions”（管理 IP 过滤器列表和过滤器操作）。
9. 单击“添加”。
10. 在“名称”框中，键入“Inbound TCP 80 - BE”。
11. 在“描述”框中，键入“This filter matches inbound TCP 80 traffic on the Back-end Server”。
12. 单击“添加”，然后单击“下一步”。
13. 在“源地址”下拉列表框中，验证显示“My IP Address”（我的 IP 地址），然后单击“下一步”。
14. 在“目标地址”下拉列表框中，验证显示“Any IP Address”（任何 IP 地址），然后单击“下一步”。
15. 在“选择协议类型”下拉列表框中，选择“TCP”，然后单击“下一步”。
16. 在“配置 IP 协议端口”中，验证选中了“From any port”（从任何端口），然后选择“To this port”（到此端口）并键入 80。
17. 单击“下一步”，然后单击“完成”。
18. 单击“关闭”以关闭 IP 过滤器列表窗口。

若要创建 IP 安全策略、应用过滤器并指定操作，请执行以下操作：

1. 右键单击“Active Directory 的 IP 安全策略”，选择“创建 IP 安全策略”，然后单击“下一步”。
2. 在“名称”框中，键入“Encrypt TCP 80 traffic - BE”，然后单击“下一步”。
3. 验证选中了“Activate the default response rule”（激活默认响应规则），然后单击“下一步”。
4. 验证选中了“Windows 2000 default (Kerberos V5 protocol)”，然后单击“下一步”。
5. 验证选中了“编辑属性”，然后单击“完成”。
6. 在“规则”选项卡上，单击“添加”，然后单击“下一步”。
7. 验证选中了“This rule does not specify a tunnel”（该规则没有指定隧道），然后单击“下一步”。
8. 验证已选中“任何网络连接”，然后单击“下一步”。
9. 验证选中了“Windows 2000 default (Kerberos V5 protocol)”，然后单击“下一步”。
10. 在“IP 过滤器”列表中，选择“Inbound TCP 80 - BE”，然后单击“下一步”。
11. 在“过滤器操作”框中，单击“加密”，然后单击“下一步”。
12. 验证清除“编辑属性”，然后单击“完成”。
13. 单击“关闭”。

若要对组策略应用入站过滤器，请执行以下操作：

1. 在组策略内容窗格中，右键单击“Encrypt TCP 80 traffic - BE”，然后单击“Assign”（指派）。
2. 关闭“组策略”，然后单击“确定”。

若要对后端服务器应用组策略，请执行以下操作：

1. 在 OWA 前端服务器上，启动“命令提示”。
2. 键入“secedit /refreshpolicy machine_policy /enforce”，然后按 ENTER 键。
3. 重新启动服务器。

注意：您最好还要在每个本地电脑上应用 IPSec 配置。这确保在即使访问域控制器的组策略出现问题时仍将继续使用 IPSec。

监控 IP 安全连接

在配置 IPSec 后，通过审核 IPSec 的相关事件和利用 IP 安全监控工具验证他的功能不失为一个好方法。

若要启动并配置 IP 安全监控器，请执行以下操作：

1. 在 OWA 前端或后端服务器上，若要启动 IP 安全监控工具，请依次单击“开始”和“运行”，然后在“打开”框中键入“ipsecmon”。
2. 单击“选项”，然后将“default Refresh Seconds”（默认的刷新秒数）值从 15 更改为 1。
3. 单击“确定”。

若要验证是否成功配置了 IPSec，请执行以下步骤：

1. 通过让用户使用 OWA 发送电子邮件，在 OWA 前端服务器和后端服务器之间产生通信。
2. 转换到 IP 安全监控器，该监控器显示 OWA 前端服务器和后端服务器之间的通信已加密。

注意：有关 IPSec 的周详信息，请参阅“Internet 协议

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有