第 3 章 – 依據角色維護 Exchange 2000 Server 的安全性之 1

  • 本頁索引

   測試環境
使用 OWA 前端和後端伺服器
維護 Exchange 2000 環境伺服器角色的安全性
Exchange 伺服器原則


前一章檢視了保護 Exchange 2000 環境安全的一般性建議。這一章節則是要檢視提升 Exchange 2000 Server 安全性的特定課題,而且是以伺服器在 IT 環境中所扮演的角色為基礎來提升安全性。

確保 Windows 2000 的安全性就是維護 Exchange 2000 安全性的基礎,因為 Exchange 2000 是在 Windows 2000 環境中執行的應用程式。《Microsoft Windows 2000 安全性作業》一書將提供各種建議,以維護特定伺服器角色的安全性,本章則是要擴充延續該指南所提出的建議,以便將 Exchange 2000 涵蓋在內,尤其是應該檢視 OWA 前端伺服器和 Exchange 後端伺服器的角色。


請注意:本章是補充《Microsoft Windows 2000 Server 安全性作業》第 3 章和第 4 章所作的建議。為了便於參考,該指南中這兩章內容是以附錄 A 和 B 的形式附加在本書之後。如需有關該指南其餘部份的詳細資訊,請參閱本章結尾的〈其他資訊〉一節。

測試環境

在對生產環境執行任何變更之前,必須先在測試環境中先存取對 IT 系統的安全性所做的變更。測試環境應儘量模仿真實的生產環境。最低限度也要含有數部網域控制站及生產環境中所有的成員伺服器角色。 測試的目的在於確定環境在變更之後仍可正常運作,而且重要的是要能夠如預期般提升安全性層級。您必須仔細地驗證所有變更,並對測試環境進行弱點評估。


請注意:在替公司執行弱點評估的人員都必須具備寫入權限才行。

使用 OWA 前端和後端伺服器

在預設情況下,每一個 Exchange 2000 Server 都有 OWA 功能,以便讓使用者可以透過超文字傳輸協定 (HTTP,Hypertext Transfer Protocol) 來連線到 Exchange 伺服器。因為組成 OWA 方案的元件是以預設安裝的方式安裝在 Exchange 伺服器上,所以能夠以這種方式來連線。但是在一般中大型規模的環境中,最好還是實作執行前端/後端方案來允許存取 OWA。此時,使用者是連線到前端伺服器,然後接受要求,在 Active Directory 中驗證使用者身份,再將要求轉送給適當的後端 Exchange 伺服器。後端伺服器能夠提供權限來存取信箱和公用資料夾。這種作業方式有下列好處:

  • 使用者不需要知道本機 Exchange 伺服器的名稱,就可以進行存取。
  • 保存信箱的伺服器名稱是隱藏的。
  • 前端伺服器可以達到載入平衡。
  • Secure Sockets Layer (SSL) 額外負荷可以卸載到前端伺服器上。
  • 您還可以更進一步地保障位於其他防火牆之後的後端伺服器安全。

請注意:前端伺服器也可以使用於 POP3 和 IMAP4 的連線作業上。但是,本指南則是假定您只啟用 HTTP 和 MAPI 連線為前提。


請注意:如需有關 Exchange 中 OWA 前端/後端伺服器環境的詳細討論,請參閱本章結尾的〈其他資訊〉。

維護 Exchange 2000 環境伺服器角色的安全性

本指南將會提供安全性範本來修改 Exchange 2000 Server 角色上的安全性。這些範本必須匯入「群組原則」設定中,以便套用在 Exchange 上。

下表定義了使用於提升安全性的伺服器角色和範本。

資料表 3.1:Exchange 2000 Server 角色

伺服器角色 說明 安全性範本
OWA 伺服器Outlook Web Access 的專用 OWA 前端伺服器Baseline.inf 和 OWA front-end Incremental.inf
Exchange 2000 後端伺服器供信箱、公用資料夾存取和傳閱的伺服器Baseline.inf 和 Exchange back-end Incremental.inf

除了上述指定的範本以外,您也需要在網域控制站的「基礎群組原則」上,套用其他的安全性範本。《Microsoft Windows 2000 Server 安全性作業》中定義的設定並未認定 Exchange 將是環境的一部份,因此需要加以變更才能容納 Exchange 2000。

若要修改網域控制站的設定,將允許網域控制站支援 Exchange 作業,本指南中也提供了範本 Exchange DC Incremental.inf。這個範本必須匯入在網域控制站組織單位 (OU,organizational unit) 上的群組原則物件 (GPO) 中。事實上,其中只變更了一項設定,就是下表中所顯示的安全性選項。

資料表 3.2:在網域控制站上支援 Exchange 2000 的安全性選項

選項 Security Operations for Windows 2000 Server Security Operations for Exchange 2000 Server
匿名使用者連線的其他限制沒有明確的匿名使用者連線不能存取無。完全依靠預設權限。
當無法記錄安全性稽核時,請立即關閉系統啟用停用
帳戶登入事件稽核成功與失敗失敗
登入事件稽核成功與失敗失敗

匿名使用者限制設定必須加以變更,因為 Outlook 2000 和 2002 用戶端會以匿名使用者的方式,連絡通用類別目錄伺服器來取得資訊。若使用《Microsoft Windows 2000 Server 安全性作業》中定義的設定,Outlook 使用者將無法傳送內部郵件,因此必須使用外部位址。


請注意:如需有關這項問題的詳細資訊,請參閱知識庫文件 Q309622〈XADM:Clients Cannot Browse the Global Address List After You Apply the Q299687 Windows 2000 Security Hotfix〉。 其他設定是因為 Exchange 2000 產生大量的成功登入事件而加以修改。如果登入事件啟用了成功稽核,安全性記錄檔會迅速填滿。


請注意:如需有關這項問題的詳細資訊,請參閱知識庫文件 Q316685〈Active Directory-Integrated Domain Name Is Not Displayed in DNS Snap-in with Event ID 4000 and 4013 Messages〉。


《Microsoft Windows 2000 Server 安全性作業》建議的 OU 架構,可以讓您輕輕鬆鬆地運用書中所提供的安全性範本。該指南中所建議的 OU 架構可以很容易地擴充,以便涵蓋這裡所定義的兩種新伺服器角色。Exchange 2000 是應用程式,所以先在應用程式伺服器 OU 之下建立 Exchange Server OU,然後再於 Exchange Server OU 之下,進一步地加入這些伺服器角色的 OU。


下表顯示了建議用來容納兩種新伺服器角色的 OU 架構:

3.1 包含 Exchange Server 和應用程式伺服器OU 的 OU 架構

圖 3.1 包含 Exchange Server 和應用程式伺服器OU 的 OU 架構


請注意:在《Windows 2000 Server 安全性作業指南》中會更詳細地討論建立 OU 架構來支援本指南所作建議。

匯入安全性範本

以下所描述的安全性範本是包含在本指南所附的 ExSecurityOps.exe 檔案之內。在匯入安全性範本以前,必須先將此檔案解壓縮。如果您使用的是 Windows 2000、Service Pack 2,也應該確定已套用下列知識庫文件中詳細論述的〈Hotfix:

     
  • Q295444:SCE Cannot Alter a Service's SACL Entry in the Registry。
  •  
  • Q272560:Race Condition May Lead to Loss of Group Policy Changes

請注意:您必須連絡 Microsoft 產品支援服務 (PSS),來取得上述知識庫文件中所討論的 Hotfix。如需有關連絡 PSS 的詳細資訊,請參閱 http://support.microsoft.com


警告:本指南中安全性範本的設計,目的在增進環境的安全性。安裝本指南所附的範本之後,環境中很可能會因此喪失一些功能。其中包括具有重要任務的應用程式可能無法執行。因此,在將這些範本部署到生產環境之前,請務必先經過完善的測試,並且因應您環境的需要作適當的修改。在套用新的安全性設定之前,請先替所有網域控制站及伺服器進行備份。並且確定備份中包含系統狀態,因為這是登錄資料存放的地方,而且在網域控制站中,系統狀態內還包含 Active Directory 中的所有物件。


請注意:《Microsoft Windows 2000 安全性作業》中所包含的網域控制站基礎原則和成員伺服器基礎原則只在 NTLMv2 上設定 LAN 管理員認證層次。Outlook 用戶端若要順利地和 Exchange 伺服器及網域控制站通訊交流的話,就必須設定為僅使用 NTLMv2。


下列程序可將本指南所附的安全性範本匯入本章所建議的 OU 結構中。

建立網域控制站群組原則物件並匯入安全性範本

  1. 在 [Active Directory 使用者及電腦] 中以滑鼠右鍵按一下 [網域控制站],然後選取 [內容]。
  2. 在 [群組原則] 索引標籤上按一下 [新增],加入一個新的「群組原則」物件。
  3. 請輸入 Exchange DC Policy,然後按 Enter。
  4. 按一下向上鍵,直到 Exchange DC Policy 位於清單頂端為止。
  5. 按一下 [編輯]。
  6. 展開 [Windows 設定],並且以滑鼠右鍵按一下 [安全性設定],然後選取 [匯入原則]。  

    請注意:若功能表上未出現 [匯入原則],請關閉 [群組原則] 視窗,並重複步驟 4 和 5。

  7. 在 [匯入原則自] 對話方塊中巡覽至 C:\SecurityOps\Templates,然後按兩下 Exchange DC Incremental.inf
  8. 關閉 [群組原則],然後按一下 [確定]。
  9. 在網域控制站之間強制複寫,讓所有網域控制站都具有此項原則。
  10. 在「事件記錄檔」中驗證原則是否已順利下載,且伺服器可與網域中其他網域控制站通訊。
  11. 逐一地重新啟動每一部網域控制站,以確保每一部網域控制站都可以順利重新開機。

建立 Exchange Server群組原則物件並匯入安全性範本

  1. 在 [Active Directory 使用者和電腦] 中,展開 [成員伺服器],展開 [應用程式伺服器],再展開 [Exchange Server],以滑鼠右鍵按一下 [OWA 前端伺服器],然後選取 [內容]。
  2. 在 [群組原則] 索引標籤上按一下 [新增],加入一個新的「群組原則」物件。
  3. 輸入 OWA Policy,然後按 Enter。
  4. 按一下 [編輯]。
  5. 展開 [Windows 設定],以滑鼠右鍵按一下 [安全定],然後選取 [匯入原則]。

    請注意:若功能表上未出現 [匯入原則],請關閉 [群組原則] 視窗,並重複步驟 4 和 5。

  6. 在 [匯入原則自] 對話方塊中巡覽至 C:\SecurityOps\Templates,然後按兩下 [OWA Front-end Incremental.inf]。
  7. 關閉 [群組原則],然後按一下 [確定]。
  8. 使用 Exchange Back-end Incremental.inf,為後端伺服器 OU 重複執行步驟 1 到 7。
  9. 在網域控制站之間強制複寫,讓所有網域控制站都具有此項原則。
  10. 將各角色的伺服器移入適當的 OU 中。
  11. 在伺服器上,利用 secedit /refreshpolicy machine_policy /enforce 指令來下載原則。
  12. 在「事件記錄檔」中驗證原則是否已順利下載,且伺服器可與網域中其他網域控制站通訊。成功測試過 OU 中的一部伺服器之後,請移動 OU 中的其餘伺服器,然後套用安全性設定。

    請注意:如需有關驗證群組原則下載是否成功的詳細資訊,請參閱附錄 A:〈Chapter 3:Managing Security with Windows 2000 Group Policy〉(取自《Microsoft Windows 2000 Server 安全性作業》)。

  13. 逐一地重新啟動每一部網域控制站,以確保每一部網域控制站都可以順利重新開機。

Exchange 伺服器原則

Windows 2000 中可以定義大量的安全性設定,其中包括稽核、安全性選項、登錄設定、檔案使用權限和服務。在《Microsoft Windows 2000 Server 安全性作業》一書中針對這些設定也作了許多建議,這些建議並不需要特別為了 Exchange 2000 而加以變更。雖然檔案使用權限作了些許變更,其他設定主要是適用於各項服務上。

由於 Exchange 伺服器是位於成員伺服器 OU 之下的 OU 中,因此繼承了成員伺服器基礎原則中定義的設定。Exchange 原則是以兩種方式來修改這些設定:第一,在 Windows 2000 基本功能中並不需要某些服務,但這些服務卻是 Exchange 2000 作業要順利運作所必須具備的元素。第二,雖然 Exchange 2000 引進了一些額外的服務,但是它並不是全部都需要這些服務,Exchange 伺服器就可以順利運作擔任特定的角色。

請注意:雖然在 Exchange 累加式原則中並未明確提及,但網路 News 傳輸通訊協定 (NNTP) 已由 Windows 2000 成員伺服器基礎原則加以停用。因此,雖然在安裝 Exchange 時需要這項服務,但於執行 Exchange 作業時,除非是需要新聞群組功能,否則並不需要這項服務。

Exchange 後端伺服器原則

Exchange Server 後端原則定義了兩大領域的設定 — 服務和檔案存取控制清單。

Exchange 後端伺服器服務原則

下表顯示在 Exchange 2000 後端原則中指定的服務:

資料表 3.3:在 Exchange Server 後端基礎原則中設定的服務

服務名稱 啟動模式 原因
Microsoft Exchange IMAP4停用並未替 IMAP4 設定伺服器
Microsoft Exchange Information Store自動需要此項服務才能存取信箱和公用資料夾存放
Microsoft Exchange POP3停用並未替 POP3 設定伺服器
Microsoft Search停用核心功能不需要此項服務
Microsoft Exchange 事件服務停用只有後端相容性才需要
Microsoft Exchange 網站複寫服務停用只有後端相容性才需要
Microsoft Exchange 管理自動郵件追蹤需要此項服務才能運作
Windows Management Instrumentation自動Microsoft Exchange 管理需要此項服務
Microsoft Exchange MTA 堆疊服務停用只有後端相容性或是有 X.400 連接器時才需要
Microsoft Exchange System Attendant自動Exchange 維護與其他工作都需要此項服務
Microsoft Exchange 路由引擎自動在 Exchange 伺服器之間協調郵件傳輸時就需要此項服務
IPSEC 原則代理服務自動在伺服器上實作 IPSec 原則時需要此項服務
RPC Locator自動與網域控制站及用戶端通訊時需要此項服務
IIS 管理服務自動Exchange 路由引擎需要此項服務
NTLM Security Support Provider (NTLM 安全性支援提供者)自動System Attendant 必須有此項服務才能運作
SMTP自動Exchange 傳輸作業需要此項服務
World Wide Web Publishing Service (全球資訊網發行服務)自動與 OWA 前端伺服器通訊時需要此項服務

請注意:下列服務必須事先啟動執行,才能啟動 Exchange System Attendant:

  • 事件記錄檔
  • NTLM Security Support Provider (NTLM 安全性支援提供者)
  • RPC
  • RPC Locator
  • 伺服器
  • 工作站

已停用的重要服務

在本指南的討論中,只要不是 Exchange 2000 核心功能絕對必要的所有服務都加以停用,在某些情況下可能需要重新啟用服務,才能提供環境中所需要的服務。下面說明由後端伺服器累加式原則所停用的重要服務。

事件服務

在 Exchange Server 5.5 中已經介紹過事件服務,Exchange 伺服器事件服務支援由資料夾事件所觸發的伺服器端指令碼,而且該資料夾事件可能是在公用資料夾或是在各個信箱中。Exchange 事件服務是在 Exchange 2000 中提供,用來建立與 Exchange 5.5 事件指令碼的後端相容性。特別為 Exchange 2000 編寫的新應用程式應該使用原生 Web 儲存系統事件,而非使用 Exchange 事件服務,就如同在 MSDN 網站上的 Exchange 2000 Software Development Kit (SDK) 一文中所述一樣,請參閱〈其他資訊〉一節,取得進一步詳細資訊。

Microsoft Search

這是一種資訊儲存處理程序,可以建立並管理一般索引鍵欄位的索引,以便更迅速尋查及搜尋儲存於存放中的文件。索引可以讓 Outlook 使用者更容易地搜尋文件。具有全文檢索索引的索引是在用戶端搜尋之前先建立的,因而能夠更快速地執行搜尋。文字附件也可以納入全文檢索索引之中。 索引是由 Microsoft Search 服務所提供。必須同時執行資訊存放檔 (Information Store) 服務和 Search 服務,才能建立、更新或刪除索引。

Microsoft Exchange 網站複寫服務

當 Exchange 2000 Server 屬於現有 Exchange 5.5 網站時,此項服務負責將 Exchange 5.x 網站和設定資訊複寫至 Active Directory 的設定命名分割區。

Microsoft Exchange MTA 堆疊服務

這是將 Exchange 2000 Server 與外部系統連接在一起的額外元件。這套郵件傳遞代理程式 (MTA,Message Transfer Agent) 負責透過 X.400 和閘道連接器,將郵件轉送到外部環境。此項服務是在資訊存放服務之外,並獨立維護 \Program Files\Exchsrvr\Mtadata 目錄中特定的郵件佇列。

Exchange 後端伺服器檔案存取控制清單原則

Exchange 後端伺服器原則會在數個目錄上修改存取控制清單 (ACL)。下表顯示了所定義的設定。

資料表 3.4:由 Exchange 後端伺服器原則設定的檔案存取控制清單

目錄舊 ACL新 ACL套用到子目錄上?
%systremdrive%
\Inetpub\mailroot
Everyone:完整存取Domain Admins:完整存取
Local System:完整存取
%systremdrive%
\Inetpub\nntpfile\
Everyone:完整存取Domain Admins:完整存取
Local System:完整存取
%systremdrive%
\Inetpub\nntpfile\root
Everyone: 完整存取Everyone:完整存取

請注意:在 nntpfile 目錄及其子目錄上定義的設定並非絕對必要的,因為 NNTP 並不在伺服器上執行。但是,定義設定的作用是在檔案系統上增加限制,而且若是將來決定啟用 NNTP 時,已經備妥設定可供使用。


 OWA 前端伺服器原則

OWA 前端原則定義兩大領域設定 — 服務和檔案存取控制清單。

OWA 前端伺服器服務原則

由於這個伺服器的角色只支援 Web 電子郵件,在預設設定下安裝的多種 Exchange 服務均可停用。下表顯示在 OWA 前端伺服器原則中設定的服務。

資料表 3.5:在 OWA 前端伺服器原則中設定的服務

服務名稱啟動模式原因
Microsoft Exchange IMAP4停用並未替 IMAP4 設定 OWA 伺服器
Microsoft Exchange Information Store停用由於沒有信箱存放或公用資料夾存放,因而不需要
Microsoft Exchange POP3停用並未替 POP3 設定 OWA 伺服器
Microsoft Search停用沒有存放可搜尋
Microsoft Exchange 事件停用只有後端相容性才需要
Microsoft Exchange 網站複寫服務停用只有後端相容性才需要
Microsoft Exchange 管理停用郵件追蹤需要此項服務
Microsoft Exchange MTA停用只有後端相容性或是有 X.400 連接器時才需要
Microsoft Exchange 路由引擎自動提供 Exchange 郵件轉送功能
IPSEC 原則代理服務自動在 OWA 伺服器上實作執行 IPSec 篩選時需要此項服務
RPC Locator自動與網域控制站通訊時需要,啟動 System Attendant 時也需要
IIS 管理服務自動MSExchange 路由引擎需要此項服務
World Wide Web Publishing Service (全球資訊網發行服務)自動用戶端與 OWA 前端伺服器通訊時需要此項服務

在 OWA 前端伺服器原則中已停用的重要服務

與後端設定相同,您可能需要重新啟用某些服務,才能提供環境中所需要的功能。以下說明了由 OWA 前端伺服器累加式原則所停用的重要服務。

Microsoft Exchange POP3 和 Microsoft Exchange IMAP4

在第 2 章中已經提及了必須要先判斷環境中是否需要 Exchange 的完整功能。由於在大部分的情況下,並不會有 POP3 或 IMAP4 用戶端,因此可以確定由群組原則來停用這些服務。但是在停用之前,還是應該先確認環境中並未執行任何需要此功能的自訂程式。

System Attendant

在前端伺服器上,只有在您想要變更伺服器設定時,才會需要 System Attendant。因此在範本中已停用 System Attendant。也就是說,若要對使用 OWA 前端伺服器原則的伺服器作任何變更 (包括讓伺服器成為 OWA 前端伺服器),就必須臨時先啟動 System Attendant 及其相關聯的服務,才能進行變更。

套用 OWA 前端伺服器群組原則來變更伺服器的設定

  1. 啟動 [服務] 管理工具。
  2. 以滑鼠右鍵按一下 [NTLM 安全性支援提供者],然後選取 [內容]。
  3. 在 [啟動類型] 下拉式清單方塊中,選取 [自動]。
  4. 按一下 [套用]。
  5. 按一下 [啟動]。
  6. 按一下 [確定]。
  7. 為 System Attendant 重複步驟 2 到 6。
  8. 變更任何需要更改的設定。
  9. 啟動 [服務] 管理工具。
  10. 以滑鼠右鍵按一下 [System Attendant],然後選取 [內容]。
  11. 在 [啟動類型] 下拉式清單方塊中,選取 [停用]。
  12. 按一下 [套用]。
  13. 按一下 [停止]。
  14. 按一下 [確定]。
  15. 為 NTLM 安全性支援提供者重複步驟 2 到 6。

資訊存放檔

由於將不會有郵件傳送到這個伺服器,因此不需要資訊存放服務。如果沒有資訊存放服務時,就會移除 M:(一般在所有 Exchange 2000 Server 上都會看到的對應磁碟機)。由於 Exchange 可安裝的檔案系統沒有東西可對應,因此,這是可以預期的事。

Microsoft Exchange 管理

這個服務是作為 Exchange 2000 Server 和 Service Pack 2 的一部份,其可以讓您透過使用者介面,指定存取目錄時 Exchange 2000 所需使用的網域控制站或通用類別目錄伺服器。郵件追蹤也需要這個服務。這項服務可以在不影響 Exchange 的核心功能下加以停用。但是,您可能需要將郵件追蹤視為 Exchange 功能稽核作業的一部份。因此,在這樣的情況下,會使用OWA 前端伺服器來存取郵件,而不是轉送郵件,因此不需要在 OWA 前端伺服器上執行 Microsoft Exchange 管理服務。

SMTP 服務

由於 SMTP 只是作為 OWA 伺服器來運作,因此 OWA 前端伺服器並不需要 SMTP。但若已設定前端伺服器來接收 SMTP 郵件,不管是作為閘道,或是作為 IMAP4 或 POP3 的前端伺服器使用時,都必須啟用 SMTP 服務。如果伺服器同時也要作為 SMTP 閘道,此時也需要資訊存放檔和 System Attendant 服務。

OWA 前端伺服器檔案存取控制清單原則

這項原則是以與後端伺服器原則完全相同的方式定義檔案存取控制清單。如需詳細資訊,請參閱本章前文中的〈Exchange 後端伺服器檔案存取控制清單原則〉一節。

在增強式安全性環境中安裝及更新 Exchange

若已遵循本章從頭到此所敘述的程序執行,那麼您就已經將現有的 Exchange 伺服器移入適當的 OU 中,以提升環境中的安全性層次。為了達到最高的安全性,還必須先將新伺服器移入適當的 OU 之中,再安裝 Exchange。不過,雖然環境可以執行核心 Exchange 服務,可是依照預設,環境將不允許安裝 Exchange,也不允許將 Exchange 更新為未來的 Service Pack。若要在鎖定的伺服器上安裝 Exchange 或 Exchange Service Pack,請遵循下列程序執行。


請注意:在已經取得安全的伺服器上安裝 Exchange 2000 時,就會接收到「Digital Signature Not Found」 (找不到數位簽章) 的錯誤訊息。這是在伺服器上已增強安全性的結果,而且可加以略過。

在鎖定的伺服器上安裝 Exchange 或 Exchange Service Pack

  1. 啟動 [服務] 管理工具。
  2. 以滑鼠右鍵按一下 [分散式交易協調器],然後選取 [內容]。
  3. 在 [啟動類型] 下拉式清單方塊中,選取 [自動]。
  4. 按一下 [套用]。
  5. 按一下 [啟動]。
  6. 按一下 [確定]。
  7. 為 Network News Transport Protocol (NNTP) 和 Windows Installer 重複步驟 2 到 6。

    請注意:若是在 OWA 前端 OU 中的伺服器上執行這些步驟,也請為 Windows Management Instrumentation 重複步驟 2 到 6。

  8. 安裝 Exchange 2000 或最新版的 Exchange 2000 Service Pack。

    請注意:安裝 Exchange 2000 時,在安裝作業結束時會出現一對話方塊,指出因為未啟動 Microsoft Search 服務,而發生非嚴重的安裝錯誤。這是在已取得安全性的伺服器上執行安裝作業時,可以預期的錯誤訊息,因此,請放心地忽略這項訊息。

  9. 啟動 [服務] 管理工具。
  10. 以滑鼠右鍵按一下 [分散式交易協調器],然後選取 [內容]。
  11. 在 [啟動類型] 下拉式清單方塊中,選取 [停用]。
  12. 按一下 [套用]。
  13. 按一下 [停止]。
  14. 按一下 [確定]。
  15. 為 Network News Transport Protocol (NNTP) 和 Windows Installer 重複步驟 2 到 6。

    請注意:若是在 OWA 前端 OU 中的伺服器上執行這些步驟,也請為 Windows Management Instrumentation 重複步驟 9 到 14。


請注意:OWA 前端與 Exchange 後端伺服器的累加式原則會啟用 NTLMv2。如此一來,就可以讓 Exchange 伺服器與取得安全性的網域控制站互相通訊。若未在安裝 Exchange 之前將伺服器放置於適當的 OU 中,伺服器就無法連絡網域控制站。


顯示: