操作系统:WINDOWS 2003
邮箱系统:Exchange 2003
%26#61548; 1台根域DC
%26#61548; 1台子域DC
%26#61548; 1台Exchange后端
%26#61548; 1台Exchange前端
说明:前后端都安装在子域里。
以下的操作,也可以部署在Exchange 2003前后端的情况,不过操作就没有发布证书给子域,设置权限的问题。也就是2、3、4、5、6不用考虑
部署步骤:
1) 在根域安装企业证书;
2) 发布证书给子域,设置权限;
3) 前后端配置IISADMPWD虚似目录;
4) 修改注册表,打开OWA修改开关;
5) 在前端下载证书。
1、安装证书根域安装企业证书 %26#61548;
打开Add or Remove PRograms工具,
单击Add/Remove Windows Components
单击Certificate Services,Next
单击Enterprise root CA,Next
输入Common name for this CA,Next
输入Cetificate database与Certificate database log的位置,建议放在默认的位置,Next
发布证书给子域,设置权限
2、设置CA权限 %26#61548;
在根域里,打开Certification Authority,右击TCL,单击属性
单击Security,确认Authenticated User有Request Certificates权限
设置Certificate templates权限 %26#61548;
打开AD Sites and Services,单击View,单击Show Services Node
展开Services,展开Public Key Services,单击Certificate Templates
右击WebServer模板,单击属性
配置Security里的Authenticated Users有Read和Enroll的权限
3、配置CA发布到AD %26#61548;
打开Certification Authority,右击TCL,单击属性,在Exit Module选项下,单击属性,单击Allow certificates to be published to the file system.
4、委派 %26#61548;
在根域上打开AD Users and Computers,右击TCL.com, 单击 Delegate Control,单击Next,单击Add,然后添加Cert Publisher组,Next
选择Create a custom task to delegate,单击Next
选择Only the following objects in the folder.选择User objects,Next
选择Property-specific,选择Read userCertificate和Write userCertificate,单击Next,完成
5、运行脚本 %26#61548;
Dsacls “cn=adminsdholder,cn=system,dc=tte,dc=tcl,dc=com”/G “tcl.com\Cert Publisher:WP;userCertificate”
%26#61548; Dsacls “cn=adminsdholder,cn=system,dc=tte,dc=tcl,dc=com”/G “tcl.com\Cert Publisher:RP;userCertificate”
6、备注
个人认为:在委派与运行脚本时,对用户的权限会有影响,所以先进行下面操作,暂时不做委派与运行脚本,如果下面的操作有问题,再回过头来做委派与运行脚本
配置IISADMPWD虚似目录
7、在前后端安装IISADMPWD虚似目录 %26#61548;
打开IIS,右击Default Web Site,单击New,新建Virtual Directory
在Alias下输入IISADMPWD,Next
在Path下输入C:\WINDOWS\System32\inetsrv\iisadmpwd,Next
创建完IISADMPWD,确认application pool选择为ExchangeApplicationPool
确认IISADMPWD虚似目录的Require secure channel(SSL)选上
8、修改注册表
在前后端修改注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeWEB\owa下面的
value name: DisablePassWord
Type: REG_DWORD
Data :1
把1改为0
9、在前端下载证书
下载证书 %26#61548;
在前端打开IIS,右击Default Web Site
选择Directory Security,在Secure communications下,单击Server Certificate,Next
选择Create a new certificate,Next
选择Send the request immediately to an online certification authority,Next
输入Name:____________,Bit lenth:512,Next
输入Organization:____________.Organizational unit:______,Next
输入Common name:____________,Next
Country/Region:_________.State/province:____________.City/locality:___________________. Next
SSL Port输入443,Next,Next,Next,Finish,OKOWA密码修改部署步骤,