支援以 Outlook Web Access 的智慧卡驗證的 Exchange Server 2003 中新功能的說明

文章編號: 920209 - 檢視此文章適用的產品。
機器翻譯檢視機器翻譯免責聲明
全部展開 | 全部摺疊

在此頁中

簡介

本文將告訴您,在 Microsoft Exchange Server 2003 中新增一項新功能的軟體更新。這項新功能支援智慧卡驗證 Microsoft Office Outlook Web Access。安裝這項新功能時使用者已不再需要提供使用者名稱及密碼。
回此頁最上方 | 提供意見

解決方案

軟體更新資訊

Microsoft 提供支援的 Hotfix。不過,此 Hotfix 旨在修正本文中所述隨問題。只會發生此特定問題的系統套用此 Hotfix。這個 Hotfix 可能會接受額外的測試。因此,如果您不會嚴重影響這個問題,我們建議您等候下一個包含此 Hotfix 的軟體更新。

如果此 Hotfix 可供下載,您可在本知識庫文件的頂端找到「 可用的 Hotfix 下載 」區段。如果本節 Does Not Appear 請連絡[ Microsoft 客戶服務 ] 和 [ 支援 ] 以取得此 Hotfix。

附註如果發生其他問題,或如果需要任何疑難排解,您可能必須建立個別的服務要求。和此 Hotfix 無關的額外支援問題適用一般的支援費用。如需 Microsoft 客戶服務支援部門電話號碼的完整清單或要建立個別的服務要求,請造訪下列 Microsoft 網站:
http://support.microsoft.com/contactus/?ws=support
(http://support.microsoft.com/contactus/?ws=support)
附註「 下載 Hotfix 」 表單會顯示此 Hotfix 會出現,以供使用的語言。如果您沒有看到您的語言,是因為此 Hotfix 是不適用您的語言。

必要條件

若要安裝此軟體更新,您必須具備下列網路組態:
  • Microsoft Windows Server 2003 必須在網域設定 Kerberos 限制委派 (KCD) 的原生模式中執行。
  • 您必須提升到 Windows Server 2003 網域功能等級的每個網域控制站的網域層級。
  • 在 Exchange 前端伺服器上 KCD 清單必須包含只有後端伺服器。在安裝此軟體更新之後,會自動維護 KCD 清單。前端伺服器必須不被用來裝載其他 KCD 啟用的程式。這是因為如果偵測到遺漏的 「 伺服器主要名稱 (SPN),將會移除的其他程式項目。
  • 所有的前端伺服器、 後端伺服器和組態的 ISA 伺服器必須在相同的網域。
  • 不能超過 600 的後端伺服器可以處於與前端伺服器相同的網域。
若要安裝此軟體更新,您必須具備下列已安裝的應用程式:
  • Microsoft Exchange Server 2003 Service Pack 2 (SP2)
  • Microsoft Windows Server 2003 網域控制站
此外,我們建議您包含 Microsoft 網際網路安全性與加速 ISA Server 2006 方案的一部分。 ISA Server 2006,可以使用 [KCD] 安全地發佈 Outlook Web Access 服務。

KCD 有助於減少潛在攻擊的傳佈媒介。它也提供數個功能,可以降低擁有權成本和管理本解決方案。

如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
836993
(http://support.microsoft.com/kb/836993/ )
如何取得最新的 Service Pack 的 Exchange Server 2003

檔案資訊

此 Hotfix 的英文版在檔案屬性 (或更新版本的檔案屬性) 如下列表格中所列。這些檔案的日期和時間為 Coordinated Universal Time (UTC)。當您檢視檔案資訊時,會將它轉換為當地時間。若要到 UTC 與當地時間差異使用在 [日期及時間 中項目控制台中的 [時區] 索引標籤]。
摺疊此表格展開此表格
檔案名稱檔案版本檔案大小日期時間平台
Exadmin.dll6.5.7652.721,964,2882006 年十二月 12 日22: 32x86
Exosal.dll6.5.7652.770,1442006 年十二月 12 日22: 15x86
Mad.exe6.5.7652.78,934,4002006 年十二月 12 日22: 36x86
Madmsg.dll6.5.7652.71,382,9122006 年十二月 12 日22: 36x86
Mdbmsg.dll6.5.7652.73,375,1042006 年十二月 12 日05: 30x86
Store.exe6.5.7652.75,258,2402006 年十二月 12 日22: 18x86
回此頁最上方 | 提供意見

其他相關資訊

Windows Server 2003 支援 KCD 驗證方法。 伺服器可以使用 KCD 透過 Kerberos 驗證使用者身分。「 限制 」 一詞是指事實之伺服器的帳戶可以驗證,可以進行驗證的連接埠是有限的清單。

KCD 清單儲存在 Active Directory,而是由一份服務主要名稱 (SPN)。SPN 是連接埠號碼或結合以某種格式的主機名稱的服務名稱。三個元件的完整是 SPN 的 PORT/HOST/領域。如需有關 KCD 的詳細資訊,請造訪下列 Microsoft 網站 (英文):
http://technet2.microsoft.com/WindowsServer/en/library/c312ba01-318f-46ca-990e-a597f3c294eb1033.mspx?mfr=true
(http://technet2.microsoft.com/WindowsServer/en/library/c312ba01-318f-46ca-990e-a597f3c294eb1033.mspx?mfr=true)
可以限制能夠正確地運作委派,精確的對應的後端伺服器的前端伺服器必須維護 Active Directory 目錄服務中。在安裝此軟體更新之後,Exchange 系統服務員服務會維護 SPN 清單。系統服務員行為是由 Active Directory 目錄服務中的 [伺服器] 物件的啟發式的屬性設定一個位元值所控制。

KCD 清單是監視,並由加入網域才能 KCD 清單中的所有後端伺服器維護。因為 msDS AllowedToDelegate 屬性在 Active Directory 目錄服務的大小限制的不能超過 600 的後端伺服器可以處於與前端伺服器相同的網域。

監視和維護 KCD 清單時,會發生在伺服器啟動。監視和維護該 KCD 發生的間隔由下列登錄值所控制:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeSA\Parameters
名稱: KCDPollingInterval
型別: REG_DWORD
值: Number_Of_Minutes_Between_KCD_List_Validation
頻率 KCD 清單必須進行驗證並可能更新,這個登錄值會以分鐘為單位指定。值不可小於 15 分鐘,也不可以很晚於一週。預設情況下,值是 15 分鐘。

若要安裝新功能可以讓 Microsoft Exchange Server 2003 來支援智慧卡驗證以 Outlook Web Access,請依照下列步驟執行:

設定 Exchange Server 2003

  1. 安裝 Hotfix 920209 所有 Exchange 前端伺服器上您想要啟用為 KCD 前端伺服器。
  2. 請確認 Exchange 前端伺服器支援整合式驗證。要這麼做,請您執行下列步驟:
    1. 啟動 Exchange 系統管理員。要執行這項操作、 按一下 [開始]、 指向 [所有程式]、 都指向 Microsoft Exchange,然後按一下 系統管理員 」
    2. 展開下列資料夾:
      伺服器 / Exchange_Server_Name / 通訊協定/HTTP/Exchange 虛擬伺服器
    3. Exchange,] 上按一下滑鼠右鍵,然後按一下 [內容]。
    4. 在 [存取] 索引標籤上按一下 [驗證]。
    5. 按一下以選取 整合式 Windows 驗證] 核取方塊。
    6. 按一下以清除 [基本驗證] 核取方塊。
    7. 按一下 [確定],然後再按一下 [確定]
    8. 針對 公用 重複步驟 c 到 g 的虛擬目錄。
  3. 啟用 KCD 在 「 Exchange 系統管理員 」 中。如果要執行此動作請依照下列步驟執行 。
    附註 KCD 服務帳號必須具備 Active Directory 額外的權限。
    1. 在 [網域控制站群組原則物件,設定 KDC 服務帳戶的 [啟用受信任可以委派的電腦和使用者帳戶] 屬性。
    2. KCD 服務帳戶必須被授與寫入權限 MSDS AllowedToDelegateTouserAccountControl 屬性上前端伺服器電腦物件在 Active Directory 中。 如果要執行這項操作,使用 進階權限Active Directory 使用者和電腦 索引標籤,或使用 ADSI 編輯
    3. 在 [系統管理員,找出您想要啟用 KCD 系統管理群組]。
      1. 系統管理群組上按一下滑鼠右鍵,然後按一下 [內容]。
      2. 按一下以選取 [啟用 Kerberos 限制的委派] 核取方塊,然後按一下 [修改]
      3. 請輸入 KCD 服務帳戶認證。
      4. 按一下 [套用],然後再按一下 [確定]
  4. 您想要啟用一個 KCD 為每個前端伺服器上前端伺服器請依照下列步驟執行:
    1. 在 [Exchange 系統管理員在伺服器上按一下滑鼠右鍵,然後按一下 [內容]。
    2. 在 [一般] 索引標籤上確認 [這是前端伺服器] 核取方塊已選取以確認您要設定前端伺服器]。
    3. 在 [KCD 中文] 索引標籤上按一下 [這個伺服器是組織 KCD-中文伺服器]。
    4. 按一下 [套用],按一下 [確定],並重新啟動 Exchange 系統服務員服務。
    5. 重複這些步驟,每個您想要啟用為 KCD 前端伺服器的前端伺服器上。
  5. 傳播的驗證機制中變更的所有前端和後端電腦上,重新啟動 Microsoft 網際網路資訊服務 (IIS)。執行這項操作、 iisreset 請在命令提示字元中輸入,然後按下 ENTER。

配置 ISA Server 2006

如果您將 ISA Server 2006 包含方案的一部分時,請依照下列步驟執行來設定 ISA Server 2006:
  1. 按一下 [開始],指向 [所有程式]、 都指向 [Microsoft ISA Server,然後再按一下 [ISA Server 管理]。
  2. 展開 陣列、 展開 [伺服器] 名稱,然後按一下 [防火牆原則
  3. 在 [防火牆原則工作] 區域中,按一下 發行 Exchange Web 用戶端存取
  4. 在 [Exchange 發佈規則名稱] 方塊輸入您想要使用之規則的名稱,然後按一下 [下一步]。
  5. Exchange 版本] 清單中按一下 Exchange Server 2003,按一下以選取 [Outlook Web Access] 核取方塊,然後再按一下 [下一步]。
  6. 按一下 [發行單一網站或負載平衡器,然後按一下 [下一步]。

    附註如果您想要選取 發佈伺服器陣列的負載平衡的 Web 伺服器,已發行的 SPN 必須 http:/*http:/<fqdn>代替.
  7. 按一下 [使用 SSL 連線至已發行 Web 伺服器或伺服器陣列,然後按一下 [下一步]
  8. 在 [內部網站名稱] 方塊中輸入內部網站] 名稱,然後按一下 [下一步]。比方說輸入您的前端伺服器的 NETBIOS 名稱。
  9. 在 [公用名稱] 方塊鍵入使用者用來到達此網站的伺服器的 FQDN,然後按一下 [下一步]。
  10. 在 [選取網頁接聽程式] 頁面中,按一下 [新增]。新增網頁接聽程式精靈 」 啟動。
  11. 在 [網頁接聽程式名稱] 方塊鍵入新的接聽程式的名稱,然後按一下 [下一步]。
  12. 在 [用戶端連線安全性] 頁面上按一下 [需要 SSL 保護用戶端連線,而用戶端,然後按一下 [下一步]。
  13. 在這些網路上的連入網頁要求接聽] 清單中按一下以選取 [外部 的核取方塊,然後按一下 [選取 IP 位址]。
  14. 按一下 [ISA 伺服器上指定的 IP 位址選取網路中的電腦
  15. 可用的 IP 位址] 清單中按一下 [您想要使用,按一下 [新增],然後再按一下 [確定] 將 IP 位址]。
  16. 按一下 [下一步]。
  17. 在 [接聽程式 SSL 憑證] 畫面中按一下 [指派每個 IP 位址的憑證,然後按一下 [選取憑證
  18. 按一下您想要使用,憑證],再按 [選取
  19. 按一下 [下一步]。
  20. 在"選取用戶端 」 如何將提供的認證 ISA 伺服器 」 頁面,請按一下 [SSL 用戶端憑證驗證,然後再按一下 [下一步]
  21. 按一下 [下一步],然後再按一下 [完成]
  22. 當提示您啟用此系統原則規則時,按一下 [是]
  23. 在 [選取網頁接聽程式] 頁面中,按一下 [下一步]。
  24. 在 [選取來驗證已發佈的網頁伺服器的 ISA Server 所用方法] 清單按一下 [Kerberos 限制委派]。
  25. 在 [鍵入 「 服務主要名稱 (SPN) Kerberos 限制委派的 ISA Server 所用] 方塊輸入由針對 KCD,ISA 的 SPN,然後再按一下 [下一步]
  26. 按一下 [所有已驗證的使用者,按一下 [下一步],然後再按一下 [完成
  27. 當您收到下列訊息時,按一下 [確定]
    如 Kerberos 限制委派的工作,您必須設定 Active Directory,讓 ISA Server 來委派驗證選取的服務主要名稱 (SPN)。
  28. 關閉 [ISA Server 管理]。
  29. 當您收到下列訊息時,按一下 [套用]。
    您要關閉 ISA Server 管理前套用變更嗎?
  30. 提示儲存變更時,按一下 [確定]
若要進行 Active Directory,讓 ISA Server 來委派驗證選取的 SPN,請依照下列步驟執行。

附註如果 ISA 陣列的多個伺服器重複此程序在陣列中每一部伺服器。
  1. 啟動 Active Directory 使用者和電腦。要執行這項操作、 按一下 [開始]、 指向 [所有程式]、 都指向 [系統管理工具,然後按一下 Active Directory 使用者和電腦
  2. 找不到 電腦] 容器、 執行 ISA Server 2006 的電腦名稱上按一下滑鼠右鍵,然後按一下 [內容]
  3. 按一下 [委派] 索引標籤],按一下 [信任這台電腦所委派的特定服務]、 按一下 [使用任何驗證通訊協定,然後再按一下 [新增]。
  4. 按一下 使用者或電腦,然後再按一下 [Exchange 前端伺服器。
  5. 按一下 [服務] 清單中 的 HTTP,然後按一下 [確定]
  6. 按一下 [確定]
  7. 如果一個以上的前端 Exchange 伺服器請對每個前端伺服器重複步驟 2 到 6。
  8. 在 [ISA Server 管理員,按一下您建立的防火牆原則,然後按一下 [套用]。
如需有關 ISA 驗證模型的詳細資訊,請造訪下列 Microsoft 網站]:
http://technet.microsoft.com/en-us/library/bb794722.aspx
(http://technet.microsoft.com/en-us/library/bb794722.aspx)
如需有關在哪一個 SSL 網站並非適用 FIPS 相容的問題密碼編譯,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
811834
(http://support.microsoft.com/kb/811834/ )
啟用 FIPS 相容密碼編譯之後,無法造訪 SSL 網站
回此頁最上方 | 提供意見

屬性

文章編號: 920209 - 上次校閱: 2009年7月15日 - 版次: 5.0
這篇文章中的資訊適用於:
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Exchange Server 2003 Enterprise Edition
關鍵字:?
kbmt kbautohotfix kbexpertiseinter kbqfe kbhotfixserver kbfix kbbug kbpubtypekc KB920209 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:920209
(http://support.microsoft.com/kb/920209/en-us/ )
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。
回此頁最上方 | 提供意見

提供意見

 
回此頁最上方回此頁最上方