Exchange 2000让电子邮件系统更加安全(2)－和Windows 2000 Server的集成

把证书服务器集成到Exchange 2000中

---- 前面已提到，要在公共Exchange 2000环境中使用KMS，必须加载企业证书服务器。检查一下系统管理员CA对象的特性（在MMC证书权图标那里），或在命令行运行Certsrv工具，使用-z选项，确认企业证书服务器已安装。图1显示了Certsrv工具的输出。

---- 需要注意的是，CA为每个登录到高级安全的用户发行了2个证书。

---- 在Windows 2000企业版和在Exchange Server 5.5上，把KMS连接到CA政策模块之间的根本区别是：Exchange 2000 KMS-CA能够比Exchange 2000发行更多的证书。在Exchange Server 5.5中装上Exchange Server的政策模块后，系统管理员便能够发行任何其他类型的证书。

---- Windows 2000在AD中能够发行企业CA。浏览AD的任何客户都能够访问公共的、整合了AD的企业CA服务器的位置信息。对于Exchange 2000 KMS而言，将KMS指向一个固定的证书服务器（在Exchange Server 5.5中就是这么做的）并非必需。假如KMS-CA发生故障，则KMS会自动质询AD，并寻找另一个容错CA，这种灵活的特性省去了在KMS-CA之间跳转的复杂过程。

---- 在一些重要功能方面，Windows 2000证书服务器功能和早期的Windows NT版本相比有很大的提高。比如比较重要的提高有构造多级CA结构的能力，据悉，微软已宣布他能够支持40级以上的结构。此外，系统管理员还能够把一个CA服务器连接到多个KMS服务器上。同时，Windows 2000还提供增强的和其他CA结构集成的功能，即系统管理员的Windows 2000 CA能够是另一个非微软的厂商CA的下属（尽管KMS-CA必须运行微软CA软件）。由此可见，能力的增强可改进互通性。

把目录和AD集成

---- Exchange 2000的一个根本改变是目录和AD的集成。微软统一了Exchange 2000目录对象和Windows 2000目录对象，比如邮箱成为具备邮箱功能的用户对象，用户容器成为具备有邮件功能的联系对象，分布式表（DL）成为有邮件功能的分布式组。这种统一给管理带来很明显的方便，他能够使系统管理员在同一界面上对用户安全和和邮件相关的特性进行配置。操作方法如下。

---- 打开MMC的用户和电脑图标，双击任何用户对象，查看他的特性（包括Exchange特性配置），如图2所示。系统管理员所管理的新界面允许用户以高级安全方式登录，还允许废除用户证书，恢复用户的私人加密密钥。

---- 从Exchange Server 5.5d的SP1开始，高级安全支持证书信任表（CTL）的定义。CTL能够使系统管理员在2个没有结构关系的CA之间配置基于证书的安全互通关系。Windows 2000通过信任根部证书权（Trusted Root Certification Authorities，TRCA）和企业信任组政策对象（Group Policy Object，GPO）入口实现CTL。

---- GPO是Windows 2000为电脑集中管理提供的新特性。他包含了许多Windows 2000的CA证书，高级安全自动把内部CA加到系统管理员内部客户根部的CA存储区。企业信任GPO入口包含了所信任的外部CA证书，但Windows 2000管理员只能手工地加上这些证书。通过GPO配置透明且自动的应用，信任CA的证书会被自动下载到Windows 2000证书存储区。但Outlook 2000仍然从AD获得CTL。KMS在KM服务器从相应的GPO-CTL入口创建这个CTL，并且为AD生成CTL。据称，微软将在未来的Outlook版本上全面支持GPO-CTL的配置。

---- CTL前景如何呢？新的KMS仍然会在KMS数据库（kmsdir.edb）中维持他的CTL，并为AD生成CTL（KMS需要CTL来发布废除了的X.509 Version 1证书，让使用Outlook 98及以前版本的客户得到CTL）。同时，Windows 2000的KMS-CA会向AD和CA Web目录发布他的CTL。此外，Windows 2000企业证书服务器发布的Exchange服务器高级安全X.509 Version 3证书合并了Windows 2000的自动CTL检查变化。这样，每个证书都包含了CTL分布点的指针。

---- CDP具备一个重要的特点，即当软件确认一份证书时，软件能够根据证书的CDP定位合适的CTL。每个证书包含一个LDAP指针，他指向AD中的CTL，还包含一个HTTP指针，指向CA Web中的CTL。为了发挥CDP的优势，系统管理员需要一个像包含在IE 5.0中的Outlook Express 5.0或Outlook 2000这样的电子邮件客户。

---- 为了让Outlook 2000支持CDP，系统管理员必须在注册表中创建“HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Cryptography\{7801ebd0-cf4b-11d0-851f-0060979387ea}”注册键，并增加PolicyFlags注册变量，将其值设为0x00010000。另外，更有一个有用的Windows 2000 CA特性，他让系统管理员在MMC证书权图标的废除证书容器特性栏中配置CTL发布间隔。

---- Exchange服务器5.5能够用一个别名标识每个对象。因为别名包含了用户邮箱的别名，系统管理员能够恢复用户的加密密钥（甚至当目录不再包含一个用户信箱的入口时）。假如CA创建了一个重名的信箱，相关的账户会继承老用户的关键历史。

---- 在Windows 2000中，一个外部的惟一标识（GUID）标识着Windows 2000互联系统中的每一个目录对象。在Exchange 2000中，具备邮箱功能的用户对象可和一个GUID绑定，这样在删除用户时会同时删除GUID，但也能够重新启用被删除的GUID。于是，系统管理员能够找回删除了的用户对象密钥和证书。

管好您的KMS

---- 要管理KMS，系统管理员能够使用MMS的Exchange系统管理图标，或启动高级安全作为单独的图标，还能够从MMS的“用户”和电脑控制面板上登录单独的用户。

---- 口令记忆功能把管理口令暂存在系统内存中，当系统管理员每次进入KMS管理界面打开对话框时，不用重新输入口令。在Exchange 2000中，微软从高级安全的管理界面里取消了口令记忆功能。由于入侵者能够从内存中窃取口令，所以能够说采用口令记忆技术有一定的危险性。正因如此，Exchange 2000在管理界面中增加了一组批量执行功能（这里系统管理员只需输入一次管理口令即可），他们是登录、删除、恢复、批量输出和批量输入。Exchange 5.5仅支持批量登录。除此之外，微软还在MMC的Exchange系统管理图标顶部增加了一个按钮，用来加速管理任务的执行。

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!