立格仕意大利面酱用法:Exchange 2007/2010邮件系统匿名中继

概述

　　Exchange2007/2010的客户端访问服务器为用户提供了多种访问方式，如OWA、OutlookAnywhere、ExchangeActiveSync、POP3等，为保证安全性，通常会为这些访问方式启用SSL加密，这就涉及到用于加密证书的配置。本文介绍了如何进行证书申请及配置。

　　Exchange架构简述

　　客户端访问服务器在Exchange2007/2010系统中是一个重要角色，因此通常部署至少两台，配置网络负载均衡群集来实现高可用性，本文就以这样的架构来进行描述。假设域名为company1.com，两台客户端访问服务器分别为cas1和cas2。

　　证书申请

　　在Exchange2007/2010中，绝大多数的客户端访问功能是通过Web方式来实现的，如OWA、OutlookAnywhere、ExchangeActiveSync、自动发现、忙闲信息更新、脱机地址簿等等，这些功能需要访问特定的主机地址，如Autodiscover、客户端访问服务器计算机名，因此除了提供给用户直接访问的域名地址外，还需要在证书中添加额外的域名。

　　概述

　　Exchange2007/2010系统中由集线器传输服务器负责进行邮件的传递，默认情况下，Exchange2007/2010关闭了匿名中继功能。企业在特定的情况下，需要授予指定来源计算机能通过Exchange服务器匿名发送邮件到互联网，也就是通常所说的匿名中继。本文讲述如何在Exchange2007/2010系统中开启匿名中继功能。

　　匿名发送邮件与匿名中继

　　Exchange2007/2010系统遵循了SMTP标准协议，发送和接受邮件均使用匿名身份验证，也就是说Exchange与互联网其他邮件系统之间使用匿名身份来传递邮件。

　　而中继则是指除Exchange自身以外的用户或计算机通过Exchange发送邮件到其他邮件系统的行为，包括常见的内部用户通过POP3/SMTP方式发送邮件也是中继。为加强安全性，避免Exchange服务器被利用来发送非法邮件，Exchange对中继行为启用了强制身份验证，匿名用户默认将不能再通过Exchange服务器发送邮件。

　　在Exchange2007/2010系统中，通过集线器传输服务器的接收连接器来对邮件的接受和中继进行控制，即使在接收连接器上允许了匿名身份验证，也无法通过Exchange服务器进行匿名中继，除非提供合法的身份。也就是说，在接收连接器上启用匿名身份验证，仅允许外部系统匿名发送邮件到Exchange邮件系统内部用户。

　　配置匿名中继

　　假设企业现在需要允许内部一台计算机能通过Exchange服务器匿名中继邮件，首先我们需要在集线器传输服务器上创建接收连接器，允许从该计算机匿名发送邮件；然后通过特殊的权限设置，允许该接收连接器进行匿名中继。

　　创建接收连接器：

　　1.执行下列步骤之一：

　　a)若要在安装了边缘传输服务器角色的计算机上创建接收连接器，请选择“边缘传输”，然后在工作窗格中单击“接收连接器”选项卡。

　　b)若要在集线器传输服务器角色上创建接收连接器，请在控制台树中展开“服务器配置”，然后选择“集线器传输”。在结果窗格中，选择要创建连接器的服务器，然后单击“接收连接器”选项卡。

　　2.在操作窗格中，单击“新建接收连接器”。此时将启动“新建接收连接器”向导。

　　3.在“简介”页上，执行下列步骤：

　　a)在“名称”字段中为此连接器键入有意义的名称。此名称用于标识该连接器。

　　b)在“选择此接收连接器的预期用法”字段中选择“自定义”。

　　c)单击“下一步”。

　　4.在“本地网络设置”页上，按照下列步骤操作：

　　a)选择现有的“所有可用IPv4”条目，然后单击删除。

　　b)单击“添加”。在“添加接收连接器绑定”对话框中，选择“指定IP地址”。键入一个IP地址，该地址将分配给与远程邮件服务器通信能力最强的本地服务器上的网络适配器。在“端口”字段中，键入25，然后单击“确定”。将“指定此连接器为响应HELO或EHLO将提供的FQDN”保留为空。

　　c)单击“下一步”。

　　5.在“远程网络设置”页上，执行下列步骤：

　　a)选择现有的0.0.0.0-255.255.255.255条目，然后单击删除。

　　b)单击“添加”或“添加”旁边的下拉箭头，键入允许在此服务器上中继邮件的远程邮件服务器的IP地址或IP地址范围。输入完IP地址后，单击“确定”。

　　c)单击“下一步”。

　　6.在“新建连接器”页上，复查该连接器的配置摘要。如果要修改设置，则单击“上一步”。若要使用配置摘要中的设置创建接收连接器，请单击“新建”。

　　7.在“完成”页上，单击“完成”。

　　8.在工作窗格中，选择您创建的接收连接器。

　　9.在操作窗格中该接收连接器的名称下，单击“属性”打开“属性”页。

　　10.单击“权限组”选项卡。选择“匿名用户”。

　　11.单击“确定”保存更改并退出“属性”页。

　　授予匿名中继权限：

　　此示例将检索指定接收连接器的信息，并通过管道将结果传递给Add-ADPermissioncmdlet，从而向新接收连接器上的匿名连接授予中继权限。

　　Get-ReceiveConnector"AnonymousRelay"|Add-ADPermission-User"NTAUTHORITY\ANONYMOUSLOGON"-ExtendedRights"Ms-Exch-SMTP-Accept-Any-Recipient"

　　1)在客户端访问服务器cas1上，运行PowerShell命令生成CAS服务器IIS证书申请：

　　New-ExchangeCertificate-DomainNamemail.company1.com,autodiscover.company1.com,cas1.company1.com,cas2.company1.com-GenerateRequest:$True-privatekeyExportable:$true

　　注：域名可以填多个，但一般将首选使用的域名放在第一位；

　　此证书中将包含多个域名地址，供不同功能访问时使用。

　　2)复制命令输出文本并保存到文本文件，在服务器上打开IE访问企业根CA的地址（或提交至商业证书颁发机构），申请高级证书，并选择使用BASE#64格式的申请文件来申请，将文本提交到企业根CA申请Web服务器证书，并保存为cer格式；

　　证书配置

　　申请下来的证书，需要在所有的客户端访问服务器上导入，并在Exchange系统中启用。

　　1)在生成证书申请的客户端访问服务器cas1上使用PowerShell命令导入该证书到IIS网站：

　　Import-ExchangeCertificate-PathD:\certnew.cer|Enable-ExchangeCertificate-ServicesIIS

　　该命令将导入刚申请完成的证书，并在Exchange系统中为IIS这个服务启用该证书。

　　注：导入新证书后一定要将Exchange管理控制台中的OutlookAnywhere先禁用后再启用，后再重启IIS服务，使OutlookAnywhere功能强制使用新的证书；

　　2)在生成证书申请的CAS服务器上打开MMC，导入计算机证书管理器，将刚申请的证书私钥导出，并设置密码；将生成的certnew.pfx文件复制到另一台客户端访问服务器cas2；

　　3)在客户端访问服务器cas2上使用PowerShell命令导入该证书：

　　Import-ExchangeCertificate-PathD:\certnew.pfx-password:(Get-Credential).password|Enable-ExchangeCertificate-ServicesIIS

　　过程中将会弹出密码输入框，在用户名处输入任意字符，在密码处输入导出证书时设置的密码；