如何在强化安全的环境中配置和运行 Exchange Server 2003 群集
上一次修改主题: 2006-08-16
本主题说明如何将 Exchange 2003 群集节点组策略对象 (GPO) 模板应用到您的 Microsoft® Exchange Server 2003 群集节点。执行本主题中的过程之前,先阅读在强化安全后的基础结构中运行 Exchange Server 2003 群集十分重要。
.gif "important") 重要提示: |
|---|
| 在群集节点上应用并启用 GPO 策略需要重新启动群集中的计算机。因此,建议您在非高峰时段应用策略。 |
.gif "note") 注意: |
|---|
| 请下载 How to Configure and Run Microsoft Exchange Server 2003 Clusters in a Security-Hardened Environment(英文),以便脱机后打印或阅读。 |
先决条件
本主题中的过程需要下列先决条件:
- Microsoft Windows Server™ 2003 上的所有 Exchange 群集节点都正在运行 Exchange Server 2003 Service Pack 1 (SP1)。
- 已在您的组织中实现了 Windows Server 2003 企业客户端成员服务器安全和 Exchange 2003 后端 GPO 模板。
- 已按照 Windows Server 2003 Security Guide 和 Exchange Server 2003 Security Hardening Guide 中的建议配置了您的组织单位 (OU) 层次结构。在您的层次结构与建议的层次结构不匹配的情况下,本主题中的步骤仍将适用,前提是您的层次结构(和生成的 GPO 策略继承)强制实施了前面提到的指南中推荐的同样有效的 GPO 策略。
- 您已经下载 Exchange 2003 群集节点 GPO 文件。下载 Exchange Server 2003 Security Hardening Guide(英文)时,可获得 Exchange 2003 群集节点 GPO 文件。Exchange 2003 群集节点 GPO 文件必须对将在其上创建 Exchange 群集节点策略 GPO 的计算机可用。重要提示:
单独应用 Exchange 2003 群集节点 GPO 模板不会强化您的 Exchange 环境。Exchange 2003 群集节点 GPO 模板假定 Exchange 后端和 Windows Server 2003 企业客户端成员服务器安全 GPO 模板已被应用,并已由在其中放置了 Exchange 群集节点的 OU 继承。
操作的顺序
要启用在其中部署了 Windows Server 安全 GPO 模板和 Exchange 安全 GPO 模板的 Exchange 群集功能环境,您必须按顺序执行以下步骤。
启用 Exchange 群集功能
在将要运行 Exchange Server 的所有群集节点上下载并安装 NTLM 版本 2 (NTLMv2) 群集修补程序。有关 NTLMv2 群集修补程序的详细信息,请参阅 Microsoft 知识库文章 890761“You receive an "Error 0x8007042b" error message when you add or join a node to a cluster if you use NTLM version 2 in Windows Server 2003”(英文)。
创建并配置 Exchange 虚拟服务器 (EVS) 组织单位 (OU)。有关详细步骤,请参阅如何创建和配置 Exchange 虚拟服务器组织单位。
此外,要确保没有将任何安全策略应用到此 OU 中的计算机帐户,必须关闭 EVS OU 上的 GPO 策略继承。
最后,组织中的群集服务帐户必须能够管理 EVS 计算机帐户的帐户属性。由于此原因,您必须将对 EVS OU 的完全控制权限授予群集服务帐户。
如果您有现有的 EVS 计算机帐户或多个 EVS 帐户,则您必须将这些帐户移至 EVS OU 中。有关详细步骤,请参阅如何创建和/或移动 Exchange 虚拟服务器计算机帐户。如果已经具有 EVS 计算机帐户,则请忽略此过程的步骤 3 和步骤 4。如果将来需要新建 EVS 计算机帐户,则可以在强化群集环境之后参阅该过程。
创建 Exchange 群集节点 OU。创建 Exchange Cluster Node Policy GPO,然后将 Exchange_2003-Cluster_Node_Base_V1_1.inf 文件导入新 GPO。Exchange 群集节点 GPO 会将 Exchange 群集配置为后端邮箱服务器。有关详细步骤,请参阅如何创建 Exchange 群集节点 OU 和策略 GPO 以及如何导入 GPO 模板。有关通过 GPO 安全模板进行的配置的详细信息,请参阅在强化安全后的基础结构中运行 Exchange Server 2003 群集。
根据组织的需要,创建并导入 POP3 或 IMAP4 GPO 模板。有关详细步骤,请参阅如何在 Exchange 群集节点上启用 POP3 或 IMAP4 功能。此步骤是可选的。如果 Exchange 组织中的客户端需要 POP3 或 IMAP4 访问,则必须通过创建并导入适当的 GPO 来启用这些协议。本主题假定已经创建了必要的客户协议群集资源。
启用并强制实施新的安全策略。有关详细步骤,请参阅如何在 Exchange 群集节点上启用新的安全策略。新建 GPO 之后,必须在群集上强制实施策略更新。Windows® 修补程序和强制实施安全策略都需要重新启动群集节点。因此,请等到安装了所有更新之后重新启动群集节点,这样您只需要一次重新启动。
详细信息
有关详细信息,请参阅下列资源: