Exchange.docx

Exchange.docx

《Exchange.docx》由会员分享，可在线阅读，更多相关《Exchange.docx（32页珍藏版）》请在冰豆网上搜索。

Exchange

什么是OWA?

OWA="在Web浏览器中使用的Outlook" 不需要安装客户端应用程序  管理工具:

OWA是默认安装的 Exchange系统管理器:

服务器->协议->HTTP->Exchange虚拟服务器  使用IIS管理单元控制用于OutlookWebAccess虚拟目录（包括Exchange\Exchweb和\Public）的"身份验证"设置和对OutlookWebAccess启用SSL Exchange2003OutlookWebAccessAdministrationTools--> 所有和OWA相关的注册表键值都通过WEB的图形化界面配置  OWAAdmin安装需求:

安装IIS Netframeworkversion1.1和ASP.Net OWAAdmin工具要求SSL连接  自定义登陆界面:

启用基于表单的验证 修改logon.asp以及Exchsrvr\exchweb\img目录下的图片  基于表单的验证（FBA）:

Cookie验证过期:

使用者的验证存放在加密的cookie中 当使用者从OWA2003注销时,cookie就会被清除-->要求InternetExplorer6.0SP1以上的版本客户端登入的类型:

高阶:

提供OutlookWebAccess的所有功能 基本:

适用于网络速度慢 提供较高的效能,但功能比高阶客户端少 登入页面安全性选项:

HKLM\System\CCS\Services\MSExchangeWeb\OWA\ TrustedClientTimeout-->私有计算机 PublicClientTimeout-->公用计算机 DWORD值 当启用基于表单验证时,就能够选择OWA压缩模式:

低:

压缩静态数据 高:

压缩静态和动态数据 操作系统必需为Windows2000WindowsXP或Windows2003以上的版本 InternetExplorer6.0+Q328970（或以上的版本） 若采用Front-End/Back-End架构:

Front-EndServer必需是Exchange2003及Windows2003 Back-EndServer的操作系统则可以为Windows2000或Windows2003 压缩率约40%

 现在我使用基本身份验证方式去访问OWA 打开IE浏览器--在地址里面输入按回车键 当你在输入用户名（administrator）和密码的时候 如果有人在这边抓包的话 他可以很轻易地去破解在这个时候所输入的用户名和密码 所以我建议是做成SSL的方式 怎么样去做呢?

 SSL的方式就要求对应的Exchange服务器必需有一个Web服务器的证书 如果你想把OWA的站点做成SSL站点的话 此时它必需要服务器证书 但是有很多人为此去安装了一个CA（证书颁发机构） 因为安装了CA后就不能对计算机修改计算的名称了 如果只是为了启用SSL功能的话 我们并不需要去安装一个CA（证书颁发机构） 那怎么样做呢?

 我们只需要安装一个IIS6.0Resources工具包就ok了 它里面有一个叫做SelfSSL的命令行工具 可以使用它来直接生成一个证书 

打开IISResources的SelfSSL命令行工具 输入selfssl.exe/N:

CN=/T/V:

365按回车键 输入Y按回车键 注意:

CN=后面不能随便写的你要输入Exchange服务器的完全计算机名称（）-->FQDN名称 /T表示默认去信任把一个自签名的证书加入到一个信任的证书里面 /T表示有效期限 我们需要设置一下 因为默认情况下是一个星期就失效了 我就设置成一年吧 在/V:

后面输入365  

 如何来查看刚才生成的证书呢?

 打开Internet信息服务（IIS）管理器--展开网站--对着默认网站右键--选择属性--按目录安全性--按查看证书 看到了吗?

颁发给 有效起始日期2008-7-28到2009-7-28 这就是刚才使用SelfSSL命令行工具生成的证书 所以大家没有必要将OWA做成SSL的方式访问而专门去安装了一个CA（证书颁发机构） 在安全通信里面按编辑--把要求安全通道（SSL） 要求128位加密都沟上 按确定 

 打开IE浏览器 如果你还是使用http这种方式访问的话 你会发现报了一个HTTP错误403.4 因为刚才已经启用SSL了 现在只能使用https这种方式访问了 输入 输入用户名（administrator）和密码 按确定就ok了 这个数据肯定是被加密的 但是此时并没有启用基于表单的身份验证 我们可以在已经做好了SSL的前提下配置基于表单的身份验证 因为用户的验证信息是存放在客户端加密的Cookie里面 那么Cookie是有超时的 一旦超时的时间到Cookie会自动清除 在你的电脑上就不在包括任何和你在登陆OWA所相关任何的验证信息了 实际上这样是非常安全的

 我现在来配置基于表单的身份验证 打开Exchange系统管理器--展开服务器--EXCHANGE2003（Exchange服务器）--协议--HTTP--对着Exchange虚拟服务器右键--选择属性--按设置--把启用基于表单的身份验证沟上 在压缩里面可以选择高或低 如果是选择低的话那么它会帮你把OWA的静态的界面都压缩如果选择高的话它会帮你压缩静态和动态的界面都压缩 但是这不是推荐的 因为压缩动态界面的负载是产生在Exchange服务器上面的 所以我就选择低的方式进行压缩 压缩率大概是在40%-50%之间 按确定 注意:

此时还需要把IIS服务重新启动一下

 通过开始--运行--输入iisreset按确定来把IIS服务重新启动一下

 打开IE浏览器--输入 此时你就会看到OWA登录的界面了 它由图片和文字构成的 可以把OWA的logo改成你公司的logo 在C:

\ProgramFiles\Exchsrvr\exchweb\img这个路径下就存放着登录界面的那些图片 在你登录以后的那些图片也都存放在img这个目录里面 如果你想把你公司的logo来替换这个logo图片大小要一致包括这个文件的名字 当你输入域名\用户名（yejunsheng\administrator）和密码的时候 这个验证信息是存放在加密的Cookie里面 Cookie本身是有超时时间的 如果你选择公共或共享计算机它的默认时间是15分钟 如果选择私有计算机它的默认时间是24小时 时间一到它会把你自动注销OWA 然后Cookie会自动从你的计算机本地自动删除掉   

 在C:

\ProgramFiles\Exchsrvr\exchweb\bin\auth这个路径下有一个叫做owalogon.asp的文件 用记事本打开它可以看到语言的版本 可以看到有一项叫做LangMap.Add "ZH","CHT" Chinese 这个时候它判断客户端是中文语言版本的话 它会帮你找一个chs目录 在C:

\ProgramFiles\Exchsrvr\exchweb\bin\auth\chs这个路径下有一个叫做logon.asp 用记事本打开它 我们可以对里面的文字进行修改 比如我把登录改成确定 域名\用户名改成请输入用户名 密码改成请输入密码 按文件--按保存 

 打开IE浏览器--输入 看到了吗?

现在已经把登录改成确定 域名\用户名改成请输入用户名 密码改成请输入密码了 输入用户名（administrator）和密码 按确定就ok了 

 自定义主题:

创建\ProgramFile\Exchsrvr\Exchweb\Themes\ 将所有文件从\ProgramFile\Exchsrvr\Exchweb\Themes\0复制到 替换图片文件,但使用原有文件名 修改顔色和样式（Owacolors.css） HKLM\System\CurrentControlSet\Services\MSExchangeWeb\OWA\Themes ThemeName REG_SZ值 例如:

id=0x1;path=D:

\programfiles\exchsrvr\exchweb\themes\corp;title=CorporateTheme;bgcolor=#1DA2D1 文章:

http:

//www.msexchange.org/pages/article_p.asp?

id=628

 我现在是使用Administrator这个用户的身份登录OWA的 如何去自定义主题呢?

 按选项 在下面有一项叫做外观 你可以在这5种主题中选择一种 我现在选择的主题是橄榄绿 默认主题是蓝色 这几种主题存放在什么位置呢?

 这几种主题是存储在C:

\ProgramFiles\Exchsrvr\exchweb\themes这个路径里面 可以看到有5种主题 如果你有新的主题在这个地方新建就ok了 我现在来新建一个叫做custom的主题 把0下面的那些文件都复制到custom里面 找到C:

\ProgramFiles\Exchsrvr\exchweb\themes\custom这个路径 如果你想替换图片的话就替换 但是要注意对应图片的大小要一致 如果你想修改里面的样式和顔色就需要修改一个叫做OWAColors.css样式表文档 用记事本打开它 比如我想把背景改成黄色 那么就把#号后面的C3DAF9 2557AD都改成FFFFAA 按文件 按保存 接着我们还需要去修改注册表

 通过开始--运行--输入regedit按确定来打开注册表编辑器 找开注册表编辑器左下角那个路径 对着OWA右键--按新建--选择项--名称就叫做Themes吧 对着Themes右键--按新建--选择字符串值 注意:

这个字符串值的名称一定要跟我刚才新建主题那个文件夹的名称完全一致 刚才我新建主题的文件夹名称叫做custom 所以这个字符串值的名称也叫做custom 双击它--在数值数据里面输入id=100;title=customtheme1:

path=custom;bgcolor=#FFFFAA按确定 那个id只要跟以前5种主题里面的id没有冲突就可以了 我使用Administrator的身份登录OWA 按选项--在外观那一项选择刚才新建的主题:

customtheme1:

path=custom 看到了吗?

 现在背景顔色已经改变成黄色了  

分割:

用于启用或禁用OutlookWebAccess功能 833340:

HowtomodifytheappearanceandthefunctionalityofOutlookWebAccessbyusingthesegmentationfeatureinExchangeServer2003 311154:

OutlookWebAccessSegmentation

 如果你想限制用户不能使用OWA里面的某一项功能的话 你可以使用OWAAdmin这个工具进行限制 首先要安装OWAAdmin这个工具 通过开始--程序--MicrosoftExchange--选择OutlookWebAccess管理来打开它 在弹出安全警报的界面按是 输入用户名（administrator）和密码 按确定 注意:

OWAAdmin安装需求:

安装IIS Netframeworkversion1.1和ASP.Net OWAAdmin工具要求SSL连接

 在定制里面按服务器范围内的功能支持

 现在可以看到正在管理EXCHANGE2003修改服务器的功能的界面了 你可以在这里面限制在OWA里面什么东西能使用什么东西不能使用 比如说我不希望用户能够使用日历任务日记这三项功能 那我就把这三项功能的沟去掉 这里我顺便说一下当我们在登录OWA的时候客户端里面有二个选项:

高级和基本 如果用户是以基本的方式登录的话那么它的安全级别是比较高的 比如用户就不能下载一些控件了在用户登入进去之后有很多功能是不能使用的 我们一般是建议让企业内部那些客户端使用基本的方式登录OWA 因为这样比较安全 注意:

如果你想限制用户只能使用基本的方式登录不能使用高级方式登录的话 我们可以在修改服务器的功能里面把高级客户端的沟去掉就ok了 这样当用户再次登录OWA的时候就不会再出现高级这一项功能了 按确定

 看到了吗?

 现在看不到日历任务日记这三项功能了 只能看到收件箱 联系人 公用文件夹 规则 选项这五项功能了 注意:

这个设置是对所有的用户都进行限制的 也就是说如果你换一个用户登录OWA也是这样的 如何只针对某一个用户作限制呢?

 我现在先把日历任务日记这三项功能恢复 把它们都沟上 按确定 然后我只针对某一个用户进行功能限制

 如果你想针对某一个用户的OWA功能进行限制的话 此时我们需要修改某一个用户的属性 通过开始--运行--输入adsiedit.msc按确定来打开ADSIEdit 展开Domain--DN=yejunsheng,DC=com--按CN=Users 比如我现在想对Administrator这个用户进行限制 对着Administrator右键--选择属性 双击msExchMailboxFolderSet 这个值是一个十进行的值 因为每一个功能是对换成一个值来表示的 比如说这个邮箱的值就是1 日历就是2 联系人就是4 假如我现在让Administrator这个用户使用的是只有收邮件联系人日历 那这个时候就在Value里面输入7 它是一个值累加的和 我在Value里面输入5吧 表示只让Administrator使用邮箱和联系人功能 其他的功能都没有了 按ok 按确定 

 看到了吗?

 我是使用Administrator的身份登录OWA的 刚才对Administrator的设置已经生效了 现在只能看到收件箱和联系人这两项功能了 

 拼写检查:

HKLM\System\CCS\Services\MSExchangeWeb\OWA\-->MaxSpellDocumentSize:

检查最大邮件大小（KB） MaxSpellErrors:

发现多少错误后终止检查 MaxSpellRequests:

最大并发拼写检查数量 DisableSpellCheckOnsend:

禁用发送时拼写检查  DWORD值 

 我刚才已经把Administrator的限制功能全部恢复了 我现在是使用Administrator的身份登录OWA的 按选项--可以看到有一项叫做拼写检查选项 你可以把每次发送前自动检查拼写沟上 或者新建一封存邮件也可以手动做拼写检查 比如我写一句错误的英文-->IWlltllyousomething 按拼写检查键--在拼写检查语言里面选择英文（美国）按确定就开始检查邮件的拼写了检查完成之后按更改选择正确的单词就ok了 注意:

拼写检查不是在本地完成的是Exchange服务器帮你检查的所以你在做拼写检查时会消耗Exchange服务器的性能比如说用户在做一个拼写检查的时候是一个2MB的文档 或者同时有很多人在做拼写检查 或者你的文档里面有很多错误这个时候对Exchange服务器的资源消耗是很高的 那么我就需要去控制用户在做拼写检查的时候对应的一些选项 如何去控制用户在做拼写检查的一些选项呢?

这个同样是可以通过OWAAdmin进行控制的

 我现在已经登陆到正在管理EXCHANGE2003服务器设置的界面了 按拼写检查

 现在可以看到最大拼写检查文档大小默认值是100KB 每个项目的最大描写检查错误数的默认值是1024 同时进行拼写检查请求的最大值的默认值是64 我可以把文档大小的最大值改成50 让Exchange服务器一次性检查的文档大小是50K 每个项目的最大拼写检查错误数改成300 让Exchange服务器一次性只能检查300个错误 同时进行拼写检查请求的最大值改成20 让Exchange服务器一次性只能够允许20个客户端同时进行拼写检查的请求 另外在下面还有一项是发送时禁用拼写检查 如果你不希望用户在发送时去使用拼写检查的话 你可以选择是 把拼写检查禁用掉 我现在就先把拼写检查的功能禁用掉吧 按确定

 我用Administrator的身份登录OWA 按选项 看到了吗?

 现在拼写检查选项里面没有每次发送前自动检查拼写那一项了 你可以限制客户端不可以在发送邮件时自动做拼写检查 但是客户端手动是可以做拼写检查的 还有一个问题你会发现在做拼写检查的时候在语言里面是选择不到中文的 换句话说你不能对中文做拼写检查  

 OWA修改密码:

建一个虚拟目录IISADMPWD,物理路径在windows\system32\inetsrv\iisadmpwd HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeWeb\OWA:

Valuename:

DisablePassword Valuetype:

REG_DWORD  Date:

0  重新启动IISAdminService  参考资料:

KB327134 当用户出差在外面的时候它没有一个登录域的方式去修改它的邮箱密码 其实邮箱的密码跟域用户的密码是一致的 这个时候我们就需要给一个用户的方式在OWA上能够修改它的密码 我们需要在IIS管理器上新建一个虚拟目录

 打开Internet信息服务（IIS）管理器--展开网站--对着默认网站右键--按新建--选择虚拟目录 此时就可以看到欢迎使用虚拟目录创建向导了 接着下一步 别名就叫做IISADMPWD吧 接着下一步

 按浏览--找到C:

\WINDOWS\system32\inetsrv这个路径--按iisadmpwd--按确定 接着下一步

 在允许下列权限里面把读取和运行脚本（如ASP）都沟上 接着下一步 按完成就ok了 我们还需要到OWAAdmin的安全里面把允许更改口令的那一项修改成是 

 我使用Administrator的身份登录OWAAdmin 在正在管理EXCHANGE2003服务器设置的界面按安全--在安全设置的允许更改口令那一项选择是 按确定 其实它修改的是注册表编辑器里面的一个叫做DisablePassword键值 默认情况下这个数值数据是1 如果你在安全设置的允许更改口令那一项选择是 并且按确定 此时你会发现这个DisablePassword键值的数值数据就变成0了 我再到服务里面把一个服务重新一下就ok了

 通过开始--运行--输入services.msc按确定来打开服务 对着IISAdminService右键--选择重新启动 它问你想重新启动这些服务吗?

 你按是就ok了 

 我现在是使用Administrator的身份登录OWA的 按选项--在下面有一项叫做密码按更改密码--在域里面输入yejunsheng--在账户里面输入用户名（administrator）--输入新密码和旧密码 按确定 在OWA的选项里面按保存并关闭就ok了  

 阻止附件:

通过MIME类型和文件扩展名来阻止附件:

Level1阻止Level2可以保存到磁盘,但是不能在浏览器打开由注册表控制 在OWA中阻止所有附件 或者,可以指定:

阻止通过前端服务器访问 阻止所有,除了指定的前端服务器（FQDN） 默认情况下FreeDocs是不允许被访问的

  控制Freedocs:

HKLM\System\CCS\Services\MSExchangeWeb\OWA\EnableFreedocs-->oornotpresent=阻止用户通过OWA访问 1=只允许通过后端服务器访问2=只允许通过后端和部分前端服务器访问3=所有用户都可以访问 DWORD值 HKLM\System\CCS\Services\MSExchangeWeb\OWA\AcceptedAttachmentFrontEnds-->REG_SZ值 使用逗号分割FQDN   

 垃圾邮件筛选:

管理垃圾邮件清单:

安全的发件人 安全的收件人 阻止的发件人 清单能够包含e-mail地址或整个domains 不能将内部的Exchange全域通讯簿的名单加至收件人 预设上最大提供:

1024阻止的发件人 1024个安全的收件人 

 我使用Administrator的身份登录OWAAdmin 在正在管理EXCHANGE2003服务器设置的界面按附件处理--在附件处理的禁用附件里面默认是允许所有附件（默认） 你可以设置只要是OWA访问的那么附件全部不允许去打开或者下载 也可以设置只允许通过后端服务器进行附件访问 如果用户是HTTP后端服务器的Exchange去访问邮箱的话ok没问题你确实是可访问附件的 但是从前端就不可以 你可以在认可的前端服务器里面设置 比如你的前端服务器是叫做 换句话说用户直接访问后端就能访问到附件以及访问前端的Exchange服务器也可以访问到邮件的附件但是除此之外的前端服务器就不可以 如果你不在认可的前端服务器里面输入前端服务器的完全计算机名称 只要是前端就不可以访问了只能是后端才可以访问我现在来设置一下1级文件类型 在里面输入,iso按确定 

 我现在是使用Administrator的身份登录OWA的 我来新建一封邮件发送给test这个用户吧 按新建--在收件人里面输入test 我在桌面上新建一个文档文本然后把它的扩展名改成a.iso 按附件--按浏览--按桌面上的a.iso--按确定 按附加--按关闭--按发送 

 我现在是使用test的身份登录OWA的 看到了吗?

 现在已经收到Administrator的邮件了双击这封邮件你会发现1级文件类型既不能打开也不能下载 二级文件类型呢?

 我现在把1级文件类型的,iso剪切到2级文件类型里面 按确定