没有正式阐述解题思路之前，我们先了解下HTTPS、SSL的相关知识点。SSL(Secure Socket Layer)是目前解决传输层安全问题的一个主要协议，其设计的初衷是基于TCP协议之上提供可靠的端到端安全服务，SSL的实施对于上层的应用程序是透明的。应用SSL协议最广泛的是HTTPS，它为客户浏览器和Web服务器之间交换信息提供安全通信支持。它使用TCP的443端口发送和接收报文。由于它的安全防范意识有很大提高，对于非法站点和安全加密站点的过滤都比较苛刻，所以在IE7下访问https这种通过SSL协议加密的网站时就会出现“此网站的安全证书有问题”的提示。  默认情况我们在XP系统下通过XP版本的IE7浏览器访问https加密的站点都会出现“此网站的安全证书有问题，例如当访问 https://portal.ssl.csvw.com 这个站点时，IE7会提示“此网站的安全证书有问题”，该网站提供的安全证书不是由受信任的证书办法机构颁发的，安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据”，我们必须再次点“继续浏览此网站（不推荐）”才能查看页面信息。如：图-1 1、  当看到这个错误提示时，请选择“继续浏览此网站(不推荐)”，忽略证书警告并继续访问网站，值得提醒的是此时虽然能够正常访问该页面，但地址栏会变为红色，同时会在地址栏上旁的安全状态栏中显示“证书错误”的通知信息。如图-2 2、  单击地址栏上那个红色的证书错误链接，我们会在这里看到“不受信任的证书”的提示，微软的建议是关闭此网页，这可不是我们的目的。选择“查看证书”可以了解到这份证书的详细信息(见图-3)。 3、  接下来，请点击“安装证书”按钮，此时会弹出一个证书安装向导，单击“下一步”按钮继续，在进入“证书存储”这一步时，请注意不要选择“根据证书类型，自动选择证书存储”，而是应该选择“将所有的证书放入下列存储”，然后单击后面的“浏览”按钮，手工指定存储路径为“受信任的根证书颁发机构”(见图-4、5)，如果你使用的是英文的IE7，那么请指定“Trusted Root Certification Authorities”，然后系统会弹出安全性警告的对话框，确认后即可安装成功。 4、  证书导入成功后并不需要注销或重新启动系统，(如 图-6、图-7)只要关闭所有IE窗口后重新打开，再次访问该站点时，你就不会再看到讨厌的证书错误提示信息了，而且地址栏上也不会有醒目的红色警告。其实，如果你在其他的站点遭遇了其他类似的证书错误，不妨按照这个方法一试。    早上刚到办公室，财务就让我给装下OMD系统，使用这个系统前，必须把https://portal.ssl.csvw.com   这个网站打开，当打开这个网站时出现了“此网站的安全证书有问题”的提示。经过调试，使用上述方法，安装好证书后，才能正确使用，姑且把调试步骤记录下来，与各位博友分享，希望能给各位博友提供一些有用的解决此类问题的线索。   图-1 图-2   图-3 图-4 图-5 图-6 图-7   本文转自 jiangxuezhi2009 51CTO博客，原文链接：http://blog.51cto.com/jiangxuezhi/329426 ，如需转载请自行联系原作者

为了表示我不坑，所以还是分享一点东西出来下。 最近在帮客户做升级exchange 2010只2013的，期间出了几个问题，有机会在分享。今天讲一下困扰了我几天的问题。就是登陆owa的时候，输入账号密码之后整个页面都空白了，什么都没有的情况。 第一种： ECP页面登录之后整个页面空白了，这个估计见到的人都会吓一跳的，EAC都进不去了，还怎么看服务器的问题啊。 这种情况的，会让普通用户连owa都无法登陆，也就是说，无法通过网页登陆邮箱跟eac界面了。 解决方法： 1  开始——管理工具——iis管理器 我这里是前端跟后端都在同一台服务器的情况哦，如果你们的前后端不在同一台服务器，那么要去对应的服务器找对应的网站哦。 iis管理器下面有两个网站，一个默认网站，一个exchange后端网站（后端邮箱角色服务器的网站）。默认网站是给前端服务器（cas）用的，可以让我们登陆owa以及其他的oab，autodiscover跟虚拟目录用的。 然后检查两个网站绑定的证书，要一致才行，就是两个网站绑定的证书是同一张，一般是因为其中有一个网站的证书绑定出问题了，导致无法通讯才使得owa变空白。 2  展开服务器--sites（站点）--default web site ，单击default web site这个网站，单击最右侧的激活（actions）窗口--绑定（bindings） 3 在弹出的站点绑定窗口，选中https，地址是*，端口是443的条目，单击窗口右侧的编辑（edit）。 4 弹出编辑站点绑定窗口，选择下方的ssl 证书（ssl certificate），选择下拉框，设置为我们想要使用的exchange证书（如果是自签名的就使用自签名的，如果有从证书服务器申请证书的，就选择申请的证书）。点击确定，确定 5 重启网站，可以使用命令 iisreset或者重启服务器，也可以再窗口页面上直接重启（restart）。 6 同理设置后端的网站  也就是 exchange back end这个网站，步骤跟上面的一样。 设置他们使用的证书为同一张证书。 重启网站，在登陆eac跟owa，发现可以正常登录了。跳转正常。 第二种： eac正常登陆，exchange 2013的owa正常登陆，但是共存期间，exchange2010的用户使用exchange 2013的网站登陆，无法正常跳转，弹出500错误，exchange 2013的owa是500错误。 在ie上面设置--internet属性—高级--浏览下，取消掉“显示友好http错误消息”。 在使用owa登陆exchange 2010的用户，输入账号密码之后，跳到空白页，没有动静。 当然这个正常是不会有这个情况的， 万一真的发生这种exchange 2013 cas 无法登陆2010用户的情况，就按照我下面说的做吧。 到exchange 2010的服务器上把exchagne 2010的证书导出来，导入到exchagne 2013的服务器上，通过exchange eac页面导入到2013上，证书怎么导入导出请自学，或者百度教程，很简单，这里不截图了。 1  展开服务器--sites（站点）--default web site ，单击default web site这个网站，单击最右侧的激活（actions）窗口--绑定（bindings） 2  在弹出的站点绑定窗口，点击添加（add） 3  类型;https   地址：（exchange 2010的ip）  端口：443  证书：exchange 2010的证书 4  点击确定 确定， 重启网站 之后使用exchange 2010的用户来登陆exchange 2013的owa，发现会自动跳转过去了，跳转到owa 2010的版本。 如果有遇见类似情况也可以私信我。 本文转自   流原炫   51CTO博客，原文链接:http://blog.51cto.com/xiaoyuanzheng/1640308

32、输入组织单位的信息，然后选择“浏览”； 33、选择好保存路径，输入一个友好名称；选择“保存”； 34、选择“下一步”； 35、选择“新建”； 36、提示你已经新建完成，选择“完成”；这时你会看到一个rep文件保存到你前面设置的路径里了； 37、打开IE，在地址栏输入“http://CA证书服务器的IP/certsrv”；输入用户名密码；选择“确定”； 38、选择“申请证书”； 39、选择“高级证书申请”； 40、弹出“提交一个证书申请或续订申请”对话框； 41、以记事本的方式打开前面的rep文件； 42、复制里面的内容； 43、粘贴到“提交一个证书申请或续订证书”的对话框的“保存的申请”下面；证书模板选择“Web服务器”；选择“提交”； 44、“下载证书”； 45、打开Exchange管理控制台，选择服务器配置；右击刚刚新建的证书，选择“完成搁置请求”； 46、选择浏览，找到刚刚下载的证书；选择“完成”； 47、搁置请求完成后，选择“完成”； 48、右击刚创建的证书，选择“为证书配置服务”； 49、选择分配证书的服务器，我这里就一台服务器，所以就默认的，选择“下一步”； 50、勾选前面四个，如果有统一消息，那么还需要勾选统一消息，选择“下一步”； 51、选择“分配”； 52、在弹出的对话框中选择“全是”； 53、选择“完成”； 54、再次登录的时候就不会有证书错误的提示了，这里要注意的是，由于前面添加域名的是，没办法添加IP，所以测试的时候，只有用完整的服务器名称代替IP地址了。 本文转自 as900 51CTO博客，原文链接：http://blog.51cto.com/yupeizhi/1552719，如需转载请自行联系原作者

在之前的博客中，已经按照标准部署进行了配置，基本上标准的部署已经完成，但是在IT环境中，细节决定成败，在我们通过Web进行访问RemoteApp程序时候，总会有一些警告和阻拦，这些问题虽然不影响到用户的使用，但是这影响到在使用过程中的安全性，解决这些问题的方法就是证书。 首先我们要解决的问题就是，当我们登录到RDWeb服务器进行访问时，总是提示“此网站的安全证书存在问题” 其次，主要解决的问题是，当启动其中的一个RemoteApp应用程序时候，总是弹出“网站要求运行RemoteApp程序。无法识别此RemoteApp程序发布者” 以上的2个问题都是可以通过证书服务器来进行解决，配置好证书问题，这2个警告就可以消除，在本次博客中，主要完成下面3个方面： 1、 安装CA证书服务器 2、 设置Web安全访问 3、 信任remoteapp发布者 在此次配置中，使用的服务器情况如下： 服务器名称 操作系统 IP设置 功能 AD-DC.mabofeng.com Windows Server 2012 R2 192.168.1.100 域控制器 AD-DC.mabofeng.com Windows Server 2012 R2 192.168.1.100 CA证书服务器 RD-CB.mabofeng.com Windows Server 2012 R2 192.168.1.201 远程桌面连接代理 RD-WA.mabofeng.com Windows Server 2012 R2 192.168.1.150 远程桌面Web访问 RD-SH.mabofeng.com Windows Server 2012 R2 192.168.1.170 远程桌面会话主机 RD-CC.mabofeng.com Windows 8.1 192.168.1.99 客户端计算机 一、安装CA证书服务器 1、在AD-DC.mabofeng.com服务器中，在域控服务器上安装证书服务器，在服务器管理器中，点击管理，在弹出的菜单中选择“添加角色和功能” 2、在添加角色和功能向导中“开始之前”页面中，点击下一步。 3、在选择安装类型页面中，选择基于角色或者基于功能的安装，点击下一步 4、在“服务器选择”页面中，选择要安装角色和功能的服务器或虚拟硬盘，选择“从服务器池中选择服务器”然后选择本机，点击下一步。 5、在“选择服务器角色”界面中，选择Active Directory证书服务，点击下一步。此时，我们将Active Directory域服务和DNS服务器同时安装在了同一台计算机中，如果服务器资源富裕，建议单独部署各个功能组件，并设置Active Directory辅域。 6、在“选择功能”页面中，不选择任何功能组件，直接点击下一步。 7、接下来就进入了“Active Directory证书服务”的配置页面，在配置向导中点击下一步。 8、在“选择角色服务”页面中，选择Active Directory证书服务的角色服务，这里选择“证书颁发机构”和“证书颁发机构Web注册”，然后点击下一步。 9、当我们勾选“证书颁发机构Web注册”时，同时需要添加Web服务器（IIS），在添加证书颁发机构Web注册所需的功能页面中，显示了要配置iis的功能组件，这里点击“添加功能”。 10、接下来就是配置Web服务器角色（IIS），在Web服务器角色（IIS）页面中，点击下一步。 11、在“角色服务”页面中，为web服务器（IIS）选择要安装的角色服务，默认基本选项，点击下一步。 12、在“确认安装所选内容”页面中，确认要在所选服务器上安装的角色、角色服务或功能，勾选“如果需要。自动重新启动目标服务器”最后点击安装。 等待一段时间后，CA证书服务器就安装完成了，安装阶段的工作就完成了，但是要使用CA证书服务器就必须配置一个企业CA证书。接下来就来配置业CA证书。 1、在AD CS配置向导中，凭据界面中，指定凭据以配置角色服务，默认是域管理员，如需要进行更改用户，可以点击“更改”，然后点击下一步。 2、在“角色服务”页面中，选择要配置的角色服务，点击“证书颁发机构”和“证书颁发机构web注册”，然后点击下一步。 3、在“设置类型”页面中，指定CA的设置类型，企业证书颁发机构分为2种，一种是企业CA，另一种是独立CA，使用企业CA的用户要求必须是域成员，并且通常处于练级状态以颁发证书或证书策略，而独立的CA一般是非域环境，独立的CA不需要AD DS，并且可以在没有网络连接的情况下使用，一般是指第三方的CA证书服务。这里选择企业CA，然后点击下一步。 4、在CA类型页面中，指点CA类型，在安装证书服务器时，将创建或扩展公钥基础结构层次结构，根CA位于PKI层次结构的顶部，颁发其自己的自签名证书，从属CA从PKI层次结构中位于其上方的CA接收证书。这里选择根CA，点击下一步。 5、在私钥页面中，指定私钥的类型，可以使用现有的私钥，也可以是创建新的私钥，这里选择创建新的私钥，点击下一步。 6、在CA加密页面中，选择加密的选项，然后点击下一步。 7、在指定CA名称页面中,键入公用名称以标识该证书颁发机构，此名称将添加到该CA颁发的所有证书者，CA的公用名称是以证书服务器的计算机名称后面加-CA，可分辨名称后缀值是自动生成的，不过可以对其进行修改，然后点击下一步。 8、在“有效期”界面中，选择为此证书颁发机构CA生成的证书有效期，默认时间为5年，以配置完成时间为起始，设置完成后点击下一步。 9、在CA数据库页面中，指定证书数据库的位置和证书服务器日志的位置，默认地址为C:/Windows/System32文件夹中，设置完成后点击下一步。 10、在确认页面中，确认配置的角色、角色服务或功能，然后点击配置。 11、在配置进度页面中，正在配置角色服务，等待一段时间后，即可配置完成。 12、在结果页面中，成功配置证书颁发机构和证书颁发机构Web注册，至此，证书的安装和配置工作就全面完成了，接下来就是配置证书模版。 接下来主要是配置证书模版，由于一般企业中的证书服务器是给域中所有的计算机中使用，域证书服务器中默认包含了很多证书模版，为了保险和安全，建议手动建立一个证书模版，可以专门为RD服务器使用，由于我们是颁发公用的证书，所以对模版也要进行简单的设置。 1、在服务器管理器中，点击工具，在弹出的工具菜单中，选择证书颁发机构，在证书颁发机构页面中，右键选择证书模版，在弹出的菜单中选择管理。 2、在证书模版控制台中，找到计算机模版，然后右键点击计算机模版，在弹出的选项中选择复制模版。 3、在新建模版的属性中，首先选择常规页面，在常规页面中，设置模版显示名称，这里输入RD计算机，并勾选在Active Directory中发布证书。 4、在使用这名称的选项中，点击“在请求中提供”设置完成后，点击应用。 5、在“证书颁发机构”页面中，右键选择证书模版，在弹出的菜单中选择新建-要颁发的证书模版。 6、在启用证书模版页面中，找到之前设置的RD计算机，选中后点击确定。 7、最后，在证书模版中，就可以看到设置的RD计算机模版，此时，证书方面的设置基本完成了。 二、设置Web安全访问 Web安全访问主要设置IIS，无论是采用什么安装模式，包括标准部署或者是快速部署，只要安装了远程桌面Web访问Remote Desktop Web Access服务，那么在服务器中就会安装IIS web服务器，如果需要进行安全访问，其主要就是设置IIS，其实这部分不属于RemoteApp设置范畴，应该属于IIS的安全访问设置，所以对IIS较为熟悉的工程师，对这部分都会感到熟悉，下面就来设置Web的安全访问。 1、 在RD-WA.mabofeng.com服务器中，在服务器管理器中，点击工具，在弹出的工具菜单中，选择IIS管理器，在IIS中的RD-WA服务器中，双击选择“证书服务器”。 2、在服务器证书页面中，右边的操作栏目中，点击选择创建域证书。 3、在创建证书向导中的可分辨名称属性中，输入申请证书的必要信息，这里的通用名称要输入服务器的完整域名，输入完成后，点击下一步。 4、在创建证书向导中的联机证书颁发机构页面中，指定域内将对证书进行签名的证书颁发机构，并指定一个好记的名称以便于记忆，首先点击选择，选择域中的证书服务器，然后设置一个名称，点击完成。 4、 当申请完成后，接下来我们进行网站443端口绑定，首先我们点开网站树状结构，右键选择Default Web Site，在弹出的菜单中选择“编辑绑定”。 5、在网站绑定页面中，选择https，端口443，然后点击编辑。 6、在“编辑网站绑定”页面中，选择SSL证书，点击选择按钮，选择之前申请的证书，然后点击确定。 7、为了简单方便的进行访问，我们可以将IIS中默认的首页，设置为RD Web访问的地址，所以我们可以设置默认首页中的HTTP重定向。 8、在IIS首页中的http重定向页面中，勾选要求重定向到此目录，并在文本框中填写RD Web的地址，其地址为/RDWeb/Pages。 9、设置完成后，在RD-CC.mabofeng.com的Windows 8.1操作系统中，打开IE浏览器，输入远程桌面Web访问Remote Desktop Web Access服务器的地址，https:// RD-WA.mabofeng.com/。此时我们就可以看到，可以安全的进行访问Remote Desktop Web Access，并且不会提示证书错误。 三、信任RemoteApp发布者 信任RemoteApp发布者就是解决当启动其中的一个RemoteApp应用程序时候，总是弹出“网站要求运行RemoteApp程序，无法识别此RemoteApp程序发布者”，如果配置了证书服务，就可以此类的问题。 1、以域管理员的身份登录到RD-SH.mabofeng.com 远程桌面会话主机，然后在运行中输入mmc。 2、打开系统的控制台后，点击文件-添加/删除管理单元。 3、在计算机上为此控制台选择证书并配置所选的单元组，点击添加。 4、在证书管理单元界面中，选择计算机账户，然后点击下一步。 5、在选择计算机页面中，选择本地计算机（运行此控制台的计算机），然后点击完成。 6、在证书（本地计算机）页面中，在个人证书里，右键点击个人，在弹出的菜单中选择所有任务-申请新证书。 7、在证书注册页面里开始界面中，点击下一步，在申请之前，要确保能申请的服务器能连接到证书服务器，然后点击下一步。 8、在证书注册页面里选择证书注册策略界面中，注册策略启用基于预定义证书模版的证书注册，可以点击属性查看域证书服务器。然后点击下一步。 9、选择RD计算机证书模版，并点击黄色感叹号，“注册此证书需要详细信息，单击以配置设置。” 10、在证书属性中的使用者界面中，在使用者名称中，选择公用名，并添加RD-SH.mabofeng.com远程会话主机，在备用名称中，选择其他组件服务器的名称。 11、在证书属性中的私钥界面中，密钥选项中设置私钥的密钥长度和导出选项，勾选“使私钥可以导出”，设置完成后，点击应用。 12、设置证书属性完成后，回到证书注册界面中，点击注册。 13、在证书注册里证书安装结果中，查看证书申请的状态，证书申请成功后，点击完成，退出证书注册。 14、成功申请证书后，在个人-证书里可以看到证书，这是右键选择证书，在弹出的菜单中选择所有任务-导出…。 15、在“欢迎使用证书导出向导”中，点击下一步。 16、在导出私钥中，可以选择将私钥和证书一起导出，但是这里我们只需要导出私钥即可，所以选择“是，导出私钥”。点击下一步。 17、在证书导出向导中，选择使用要导出的格式，选择个人信息交换-PKCS # 12(.PFX)，并选择导出所有扩展属性，然后点击下一步。 18、在安全页面中，需要设置导出私钥的安全性，可以对用户进行私钥的权限设置，或者设置一个私钥密码，然后点击下一步。 19、设置要导出私钥的地址和名称，然后点击下一步。 20、最后，成功导出证书私钥，点击完成，退出证书导出向导。 接着我们把这张证书分别复制到RD-SH，RD-CB，RD-WA服务器上，在运行里输入MMC，选择本地计算机帐户证书，个人证书里导入此证书。然后在各服务器上用各自的管理控制台选择此证书应用起来。 1、在其中的一台RD服务器管理器中，选择远程桌面服务器，点击概述，在部署概述中，点击任务，在下拉菜单中选择“编辑部署属性” 2、在配置部署里证书页面里，远程桌面服务部署要求使用证书进行服务器身份验证，单一登录以及建立安全连接，将之前的证书分别导入到这些角色中。 3、点击选择现有证书后，选择之前导出的私钥，并输入正式的密码，然后点击确定。 4、导入后，需要点击应用，每个证书都必须分别进行导入。 5、导入后会显示是否成功导入和证书的安全级别。 6、之后可以拆开证书的详细信息，这里要注意的是，要记住指纹的编号，在后面的域策略中会要求输入认证的指纹信息。 7、当证书设置完成后，需要在域策略中信任这些证书所在服务器的发布者，首先我们以域管理员的形式登录到域控制器，在AD的组策略里，右键单击Default Domain Policy，选择编辑。 8、在Default Domain Policy中，定位到计算机配置\策略\管理模板\Windows组件\远程桌面服务\远程桌面连接客户端。双击指定表示受信任.rdp发行者的SA1证书指纹。 9、在.rdp发行者的SA1证书指纹策略中点击启用，把指纹复制进去，然后点击确定。 10、将用于对RDP文件进行数字签名的证书的指纹添加到Default Domain Group Policy设置中，这一步是必需的，这样用户每次启动RemoteApp程序时才不会出现受信任的发行者的警告对话框。完成后使用命令gpupdate /force强制跟新域策略。 11、接下来我们就来进行下测试，在RD-CC.mabofeng.com，win8.1客户端中点击应用后，会直接弹出运行窗口，不会弹出任何的警告，此时证书验证成功。 本文转自 mabofeng  51CTO博客，原文链接：http://blog.51cto.com/mabofeng/1324320 ，如需转载请自行联系原作者

  最近一直在忙，没能及常更新博文，今天趁着刚刚教朋友怎么搭Exchange server 2010，整理了一下把如何搭建Exchange server 2010的步骤整理了一下，写了一个简单的文档，今天也一并上传上来，和大家分享一下， 准备工作： 1. 将Exchange Server 2010 服务器加入到域中。 2. 由于Windows Server 2008 R2 默认禁止 PowerShell 执行脚本，所以建议管理员身份运行Windows PowerShell Modules执行： set-executionpolicy remotesigned 3. 如果不使用 Windows PowerShell Modules 来执行准备工作，那么务必要在标准的 Windows PowerShell 环境中先执行：import-module servermanager 4. 安装 .NET Framework 3.5 SP1，执行命令：Add-WindowsFeature NET-Framework 5. 安装 RAST-ADDS（AD DS 管理单元和命令行工具），执行命令：Add-WindowsFeature RSAT-ADDS 6. 安装 IIS 7.5 以及 IIS6 元数据兼容性（IIS6 Metabase）组件，执行命令如下：Add-WindowsFeature Web-Server Add-WindowsFeature Web-Basic-Auth Add-WindowsFeature Web-Metabase 7. 安装 Microsoft Filter Pack（筛选包），文件名为“FilterPackx64.exe”，使用“/quiet”参数来实现自动安装，执行命令：FilterPackx64.exe /quiet 下载地址址为：http://www.microsoft.com/downloads/details.aspx?FamilyID=60c92a37-719c-4077-b5c6-cac34f4227cc&DisplayLang=zh-cn 8. 配置 Net.TCP Port Share Service 为自启动模式，执行命令为： Set-Service "NetTcpPortSharing" -StartupType Automatic Start-Service "NetTcpPortSharing" 9. 安装桌面体验（Desktop Experience，注意：该步骤只在选择“统一消息角色”时使用）执行命令为：Add-WindowsFeature Desktop-Experience 开始安装Microsoft Exchange Server 2010 1. 加载Microsoft Exchange Server 2010 安装光盘到光驱。 2. 执行完成准备工作中所需添加功能之后安装启动界面将会看到如下界面，在该界面中可以看到步骤1、2已经完成了安装，所以我们只需要从步骤3开始即可，在该步骤下我们选择“从语言捆绑安装所有语言”项，如图示。 （图1） 3. 在单击完成“从语言捆绑安装所有语言”后安装程序会弹出“选择Exchange 2010语言捆源”如(图2)所示，在该选择项目中请选择“为硬盘驱动器或网络共享位置上的语言文件指定路径”并单击“浏览”按钮，选择“LanguagePackBundle.exe”单击“下一步”按钮Microsoft Exchange Server 2010安装程序开始进行语言捆绑操作，捆绑结束后将显示(图3)所示界面，在该显示界面下单击“完成”按钮返回安装程序。 （图2） （图3） 4. 在返回的安装界面中选择“步骤4：安装Microsoft Exchange ”。 （图3） 5. 在下图所示的界面中请选择“我接受许可协议中的条款”，单击“下一步”按钮。 （图4） 6. 在“错误报告”页中选择“是(推荐)”，单击“下一步”按钮。 （图5） 7. 在“安装类型”中选择“Exchange Server 典型安装”，单击“下一步”按钮。 （图6） 8. 在“Exchange 组织”名处输入公司或企业名称，如下图所示： （图7） 1. 在“客户端设置”页面中，请根据公司或企业实际情况进行选择，并单击“下一步”按钮。 （图8） 2. 在“配置客户端访问服务器角色将面向Internet”页面中，请输入公司或企业用于对外发布访问的名称，如(图9)所示。 （图9） 3. 在“客户体验改善计划”页面中，根据实际需要进行相关选择，如(图10)所示，选择完后，单击“下一步”按钮。 （图10） 4. 在“准备情况检查”页面中，可以看到安装前检查全部通过，单击“安装”按钮，安装程序将进入正式安装界面。 (图11) 5. 在“完成”页面中可以看到所有组件已经成功安装完成，单击“完成”按钮。 （图12） 6. 安装完成后，Microsoft Exchange Server 2010界面如（图13）所示。 至此，Microsoft Exchange Server 2010安装全部完成。 为Microsoft Exchange Server 2010服务器申请证书 注意:申请证书前，请在DC服务器上安装证书服务器角色。 1. 打开Microsoft Exchange 控制台(MEC)，在右侧操作窗格中，选择“新建Exchange证书”，如（图1）所示： （图1） 2. 在新建Exchange 证书页面，输入证书的友好名称中输入demo（证书的友好名称可以根据需要自行设定），并单击“下一步”按钮，如（图2）所示。 （图2） 3. 在域作用域页面中，请先确保没有勾选启用通配符证书，然后点击“下一步”按钮（通配符证书应用视应用情况申请），如（图3）所示。 （图3） 4. 在新建Exchange证书页面中，请按照图4~6所示信息设置相关参数，然后单击“下一步”按钮。 (图4) （图5） （图6） 5. 在弹出的“证书域”界面中，可以看到证书列表中相关访问名称，如（图7）所示，单击“下一步”按钮。 （图7） 6. 在证书请求路径中，单击“浏览”，选择“桌面”，将证书请求文件存在桌面，输入文件名为CARequest，点击保存按钮，如（图8）所示。 （图8） 7. 在“证书配置”页面中，请核对参数是否正确，如果无误请单击“新建”按钮，如（图9）所示。 （图9） 8. 点击完成，完成证书申请文件的创建。 9. 证书申请文件的创建完成，接下来需要将申请证书文件发送给证书颁发机构，以申请证书，因为之前安装了证书颁发机构Web注册，因此可以通过IE浏览器的方式完成证书的注册。 10. 打开“开始”菜单，选择“所有程序”，打开“Internet Explorer”。 11. 在IE浏览器地址栏中，输入http://dc.demo.com/certsrv,在弹出的Windows 安全对话框中，输入用户名administrator和对应的密码，如（图10） （图10） 12. 在（图11）所示页面中请单击“Request a Certificate”链接。 （图11） 13. 在（图12）所示页面中请单击“advanced certificate request“链接。 （图12） 14. 在（图13）所示页面中请单击“Submit a certificate.....”链接。 （图13） 15. 请将之前存储在桌面上的carequest文件用记事本打开并将所有内容全部选中，复制粘贴到（图14）所示页面中的“saved Request”部分，在“Certificate Template”一栏中请选择“Web Server”，然后单击页面下方的“提交”按钮。 （图14） 16. 证书会自动颁发，请选择下载证书，将证书certnew.cert保存到桌面，Exchange证书的Web申请完成Exchange备用。 17. 由于Exchange 服务器还未添加DC根证书到信任颁发机构，需要再次登录到http://dc.demo.com/certsrv中，输入相关用户名及密码后，在弹出的页面中，单击“”链接，如（图15）所示。 （图15） 18. 在（图16）所示页面中，请单击“Download CA Certificate”链接，将该证书文件保存在桌面上并命名为CA.cer。 （图16） 19. 单击“开始”/“运行”，在运行框中输入"mmc"打开控制台，在控制台中请添加“证书管理单元“，并选择”计算机账户“，点击”下一步“按钮，选择”本地计算机"，点击“完成”/“确定”按钮，添加完成后出现（图17）所示界面。 （图17） 20. 展开“证书（本地计算机）”/“受信任的根证书颁发机构”/“证书”,右键证书，选择“所有任务”/“导入”。在要导入的文件页面中，选择“浏览”，并选择桌面上的CA.cer文件，单击“下一步”。在证书存储页面，点击“下一步”，并点击完成，将DC加入到Exchange 服务器的受信任的根证书颁发机构，如（图18）所示，此处的Certsrv是安装证书服务器时指定的根证书服务器名称，导入完成后关闭控制台窗口。 （图18） 21. 打开Exchange 管理控制台，在服务器配置界面中，Exchange 证书中，右键单击“demo（之前命名的友好名）”证书，选择“完成搁置请求”，如（图19）所示。 （图19） 22. 在弹出的“完成搁置请求”页面中，单击”浏览“按钮，选择打开桌面上的certnew.cer文件，点击完成，完成Exchange服务器证书的申请及导入操作，导入成功后将出现（图20）所示的页面。 （图20） 23. 在Exchange证书页面，确认demo证书已经不再是自签名证书，如（图21）所示。 （图21） 24. 右键单击“demo”证书，选择“为证书分配服务(A)”即可。 （图22） 25. 在弹出的“选择服务器”页面中，直接单击“下一步”按钮。 26. 在弹出的“选择服务”页面中，勾选下图所示服务，单击“下一步”按钮。 （图23） 27. 在“分配服务”页面中单击“分配”按钮 （图24） 28. 分配成功后，将出现如（图25）所示的页面。 （图25） 29. 打开IE浏览器，在地址栏中输入https://mail.demo.com/owa，测试，如果证书分配正确，会看到（图26）所示的界面。 更改客户端身份验证： 1. 默认情况下，Microsoft Exchange Server 2010安装配置完成后，OWA访问界面为（图1）所示内容。 （图1） 2. 用户在登录OWA访问邮箱时，不得不以（图2）所示的方式进行登录，这对于用户来说是非常不方便的一件事。 （图2） 3. 面对上图所示的问题，做为Exchange Server 2010服务器管理员来说，我们有义务来简化用户的操作，让员工只需要输入自己的邮箱（即NT账号）和密码就可以登录到企业邮箱中。 4. 首先我们需要登录到Microsoft Exchange 2010管理控制台中，展开“服务器配置”/“客户端访问”在“Outlook Web App ”选项卡中，右键单击“owa(Default Web Site)”，选择“属性”项，如（图3）所示。 （图3） 5. 在弹出的“owa (Default Web Site)属性”页面中单击身份验证选项卡，在该选项卡中请选择“使用基于表单的身份验证”/“仅用户名”/ “登录域”处请单击“浏览”按钮，选择“demo.com”如（图4）所示。 （图4） 6. 步骤5设置完成后请单击“应用”按钮，这时将会弹出“Microsoft Exchange警告”对话框，如（图5）所示。根据显示提示信息重新启动IIS服务器，关于如何重新启动IIS服务器请参见步骤7内容，在本步骤中请单击“确定”按钮，在返回的“owa (Default Web Site)属性”页面中请单击“确定”按钮，退出该对话框后关闭Microsoft Exchange 管理控制台。 （图5） 7. 重新启动IIS服务器，使用命令为iisreset /noforce，如（图6）所示。 （图6） 8. 步骤7操作完成后，根据显示可以看出IIS服务器重启成功，这时再次打开IE浏览器，输入http://mail.demo.com，可以看到登录OWA身份验证方式已经更改，如（图7）所示。 （图7） 9. 这时，员工只需要输入其邮箱名(即NT账号)和密码，即可登录到OWA网页邮箱，如（图8）所示。 （图8） 10. 员工成功登录后，界面为（图9）所示。 （图9） 实现Microsoft Exchange 2010 OWA重定向功能 注意：若需要使用HTTP重定向功能请确保该功能已经被添加，若未添加请在服务器管理页面web应用程序服务器角色部分添加该功能部分 1. 打开IIS7.5（由于Microsoft Exchange 2010被安装在了Windows Server 2008 R2，所以IIS使用的是IIS7.5），如（图1）所示 （图1） 2. 在“Default Web Site”站点主页一栏中，双击打开“http重定向”图标，在打开的HTTP重定向页面中，勾选“将请求重定向到此目标”，下方的重定向地址输入https://mail.demo.com/owa，在“重定向行为”一栏中选择“”仅将请求重定向到此目录（非主目录）的内容，状态代码选择“永久(301)”，单击应用，如（图2）所示。 （图2） 3. 在“Default Web Site”站点主页一栏中，双击“SSL设置”，取消“要求SSL”复选框中的勾，然后单击“应用”按钮，如（图3）所示。 （图3） 4. 重定向更改成功后，再次访问OWA 页面时不需要输入https://mail.demo.com/owa，而只需要输入http://mail.demo.com，HTTP重定向功能会自动将该请求重新定位到使用了安全套接层的网站上，这样既保证了用户输入的简单性，而且也保证了数据通信和的安全性。 本文转自wangtingdong 51CTO博客，原文链接：http://blog.51cto.com/tingdongwang/700036，如需转载请自行联系原作者

1.  StoreFront服务器证书申请 我们将为StoreFront 申请Web 服务器证书，将此证书应用到StoreFront 的IIS 站点上，并将IIS 的443 端口绑定此证书，以使我们从内网可以安全访问StoreFront 站点。也为后续的与NetScaler 集成做好准备。 1.1  在开始本章节我们需要申请SSL证书，那么大家可以选择通过内部部署CA服务器或者到公网证书颁发机构进行申请，两者主要的区别如下：   内部部署CA：不能保证365*24提供服务，客户端默认不信任内部CA，非加域的客户端必须手动导入根证书。 公网购买证书：保证365*24提供服务，客户端默认信任此证书颁发机构，无论是工作组还是加域的计算机都无需手动导入证书。 注：本次环境使用的是内部Active Dicrectory证书，内部证书服务的部署和配置过程也比较简单，可参考之前的博文： http://stephen1991.blog.51cto.com/8959108/1668863   1.2  使用ctxadmin 登录StoreFront桌面（本次环境中StoreFront安装在服务器CTXDDC01），点击“工具”，打开“IIS管理器” 1.3  左边找到并选中“CTXDDC01”，在中间窗格中，找到并双击“服务器证书” 1.4  点击右边窗格中的“创建域证书”（通过此向导申请证书请确保是域成员而且登陆账号必须具备域管理员权限，否则请通过“创建证书申请”向导手动进行申请） 1.5  在弹出的对话框中输入如下信息：其中通用名称（CTXDDC01.huangjh.com）必须填写正确，下一步 1.6 点击“选择”指定对应的颁发机构，输入好记名称，点击“完成” 1.7 证书申请成功后，如下：   2.  绑定SSL证书 2.1 点击“Default Web Site”—“绑定” 2.2 点击“添加” 2.3 选择类型“https”和SSL证书“CTXDDC01.huangjh.com”,点击“确定” 2.4 点击“关闭” 2.5 打开Citrix StoreFront Studio，点击服务器组，然后右边点击“更改基本URL” 2.6 在基本URL 中输入https://CTXDDC01.huangjh.com 2.7 修改后，如下 3.  简化登陆名(配置可信域) 3.1 默认是需要输入”域\用户”或”user@domain.com“格式进行登陆的 3.2 打开Citrix StoreFront，点击”身份验证“—”配置可信域“ 3.3 选择”仅限可信域”，点击”添加“ 3.4 输入域名”huangjh.com”,点击”确定“ 3.5 点击”确定“   4.  功能验证 4.1  打开IE浏览器在地址栏中输入https://CTXDDC01.huangjh.com/Citrix/Storeweb，确保没有证书提示错误，输入用户名密码，点击”登录“（工作组的计算机需要手动导入根证书，否则将会提示证书错误） 4.2 登陆后虚拟桌面是可以正常使用的               以上是StoreFront的整个配置过程，感谢大家的支持和关注。 本文转自 Stephen_huang 51CTO博客，原文链接：http://blog.51cto.com/stephen1991/1669205，如需转载请自行联系原作者

1.  StoreFront服务器证书申请 我们将为StoreFront 申请Web 服务器证书，将此证书应用到StoreFront 的IIS 站点上，并将IIS 的443 端口绑定此证书，以使我们从内网可以安全访问StoreFront 站点。也为后续的与NetScaler 集成做好准备。 1.1  在开始本章节我们需要申请SSL证书，那么大家可以选择通过内部部署CA服务器或者到公网证书颁发机构进行申请，两者主要的区别如下：   内部部署CA：不能保证365*24提供服务，客户端默认不信任内部CA，非加域的客户端必须手动导入根证书。 公网购买证书：保证365*24提供服务，客户端默认信任此证书颁发机构，无论是工作组还是加域的计算机都无需手动导入证书。 注：本次环境使用的是内部Active Dicrectory证书，内部证书服务的部署和配置过程也比较简单，可参考之前的博文： http://stephen1991.blog.51cto.com/8959108/1668863   1.2  使用ctxadmin 登录StoreFront桌面（本次环境中StoreFront安装在服务器CTXDDC01），点击“工具”，打开“IIS管理器” 1.3  左边找到并选中“CTXDDC01”，在中间窗格中，找到并双击“服务器证书” 1.4  点击右边窗格中的“创建域证书”（通过此向导申请证书请确保是域成员而且登陆账号必须具备域管理员权限，否则请通过“创建证书申请”向导手动进行申请） 1.5  在弹出的对话框中输入如下信息：其中通用名称（CTXDDC01.huangjh.com）必须填写正确，下一步 1.6 点击“选择”指定对应的颁发机构，输入好记名称，点击“完成” 1.7 证书申请成功后，如下：   2.  绑定SSL证书 2.1 点击“Default Web Site”—“绑定” 2.2 点击“添加” 2.3 选择类型“https”和SSL证书“CTXDDC01.huangjh.com”,点击“确定” 2.4 点击“关闭” 2.5 打开Citrix StoreFront Studio，点击服务器组，然后右边点击“更改基本URL” 2.6 在基本URL 中输入https://CTXDDC01.huangjh.com 2.7 修改后，如下 3.  简化登陆名(配置可信域) 3.1 默认是需要输入”域\用户”或”user@domain.com“格式进行登陆的 3.2 打开Citrix StoreFront，点击”身份验证“—”配置可信域“ 3.3 选择”仅限可信域”，点击”添加“ 3.4 输入域名”huangjh.com”,点击”确定“ 3.5 点击”确定“   4.  功能验证 4.1  打开IE浏览器在地址栏中输入https://CTXDDC01.huangjh.com/Citrix/Storeweb，确保没有证书提示错误，输入用户名密码，点击”登录“（工作组的计算机需要手动导入根证书，否则将会提示证书错误） 4.2 登陆后虚拟桌面是可以正常使用的               以上是StoreFront的整个配置过程，感谢大家的支持和关注。 本文出自 “黄锦辉专栏” 博客，请务必保留此出处http://stephen1991.blog.51cto.com/8959108/1669205 本文转自sandshell博客51CTO博客，原文链接http://blog.51cto.com/sandshell/1952849如需转载请自行联系原作者 sandshell

  大家好，由于最近在做一个项目，所以有几天没有跟大家一起分享关于Exchange的内容了，今天就来给大家讲一个之前与到的故障问题及解决办法，希望能够帮助到大家今后的TroubleShooting。 首先，我先还原一下当时的一个场景。有一家公司，目前使用的是Exchange 2013的邮件系统，并且使用的是TMG2010在做邮件发布。最近该公司购买了通配符证书，想再TMG上更改通配符证书，但是无论如何更改与配置，Exchange的发布一直有问题。查阅了很多资料，发现很多达人说是TMG和通配符证书存在一定的兼容性问题，在有些应用的发布上有BUG。当然了，这个问题不是今天我们主要讨论的问题点，anyway这个问题是今后必须要解决的，到时候我也会写博客与大家一起分享。 下面就着重说说今天的主题：修改OWA验证方式及分配证书服务 当时我们为了做一些相关的测试，也通过一些KB的指导，我们准备将公司的证书，从现有的私有证书替换为通配符证书，并修改OWA的验证方式（默认：ECP的验证方式与OWA一样），希望通过“基本身份验证”的方式，直接通过弹出窗口的形式进行验证，尝试OWA和ECP的登录操作。因为目前该企业使用的是“基于表单的身份验证”，且已经制定了“登录域”，这样配置的好处就是用户在登录OWA\ECP的时候，只需要属于域账号和密码就可以直接进行身份验证，就省去了输入域名的烦恼，这个相信大家应该都知道吧，就不用多说了。   问题重现： 接下来我们就模拟问题发生的状况，首先替换公网通配符证书 选择服务，来将Exchange的各项服务分配到这个通配符证书上 根据企业现有的Exchange环境和角色，勾选服务。 注：我们这里勾选了 IIS，这个就是问题点。 然后切换到OWA的身份验证方式对话框，选择“使用一个或多个标准身份验证方法”中的“基本身份验证” 此时系统会提示叫通过 IISreset /noforce重启IIS，再进行尝试。 注：如果不想发生下面的错误，免得自己给自己找麻烦，这里千万不要关闭已经打开了的ECP！！！！ 上面红色的字体已经提示了大家，不要关闭已经打开了的ECP，悲剧的是，我已经关闭了……. 为什么不能关闭ECP呢？我们 接下来看看症状： 在重启了IIS后，我首先在外网重新打开ECP界面， Duang!!!!! 不仅自动给我跳转到了一个OWA/？BO=1的界面，还给我报错!! 然后切换到内网进行ECP尝试登陆 再次 Duang!!!! 界面可以显示，不过始终提示账号密码不正确！！ 此时OWA界面也是如此，且outlook也已和Exchange Server断开了链接。 真是晴天霹雳啊 ！ RollBack吧，ECP又打不开！没办法，只有想到了命令行。 首先我们来分析一下，外网和内网用户IE显示的内容不一样。 先看外网：很明显，外网的报错信息很有可能是和公网通配符证书在TMG做发布的时候出现了问题，导致直接无法访问到有效的页面（当然了，这个问题我还没解决，如果看到这篇文章的达人们能知道，也请指教，谢谢！） 再看内网：内网报错提示账号密码错误，这个问题基本上就是和IIS的验证方式上出现了问题。 那么接下来我们各个击破，尝试解决这个问题。   解决办法： 1. 首先我们必须先替换回原有证书 使用管理员权限登录到Exchange Server,并打开EMS 输入 Get-ExchangeCertificate 来查看现在Exchange服务器内所有的证书，争取找到原有的证书，并记下前面的证书指纹 如果证书过多，找不到的话，还可以使用 Get-ExchangeCertificate |FL 来进行详细查找，着重通过下图标注出的“证书名”、“分配服务”来进行区分，并记下“证书指纹” 找到原有证书后，再使用以下命令来分配服务给证书 Enable-ExchangeCertificate -Thumbprint 9E1D0173FA5F35081DFEFBF25D1409ED542XXXXX -Services POP,IMAP,SMTP,IIS 更多命令请参考 https://technet.microsoft.com/zh-CN/library/aa997231(v=exchg.150).aspx 此时，我们可以欣喜的看到，外网用户的outlook客户端已经能够成功连接上Exchange了 证书问题替换回来了，我们再来尝试解决IIS的验证方式。 此时，在外网和内网同时访问ECP，发现能够正常打开界面了，但是验证方式变成了弹出式窗口的验证方式，且输入账号密码后，依然无法正常进行验证登录 首先想在服务器的IIS验证方式上做修改，打开IIS，找到默认站点下面的OWA的“身份验证”（ECP是follow OWA的验证方式的，所以只需要修改OWA） 启用“基本身份验证”，并“编辑”默认域名，这样也可以达到不输入域名直接登录OWA\ECP的功能 这样设置之后，再次尝试，不幸的是，还是依旧弹出身份验证框，并最终失败 最后只有尝试命令行的形式来解决问题 此时，我们再看看我们原有设置的截图 通过下图我们可以看到，我们要降OWA的身份验证方式修改回“基于表单的身份验证” 接下来使用下述命令来查看OWA虚拟目录的相关设置 Get-OWAVirtualDirectory -identity "jh-hq-mail01\owa (default web site)" |FL 详细命令请参考 https://technet.microsoft.com/zh-cn/library/aa998588(v=exchg.150).aspx 找到FormsAuthentication这个属性，对应的就是“基于表单身份验证”这个项， 使用下述命令，将其值修改为True set-OwaVirtualDirectory -Identity "jh-hq-mail01\owa (default web site)" -FormsAuthentication $true 我们再来通过Get-OWAVirtualDirectory -identity "jh-hq-mail01\owa (default web site)" |FL命令检查 发现FormsAuthentication已经被修改为了True 此时我们再重启IIS，之后再进行测试，问题得到了最终解决，能够成功登陆OWA和ECP      本文转自horse87 51CTO博客，原文链接：http://blog.51cto.com/horse87/1627201，如需转载请自行联系原作者

操作系统：Microsoft Windows Server 2008 （X86） 安装前准备工作： 一、安装DC。 二、将Exchange Server 2007 服务器加入到域中。 三、安装Windows Server 2008 IIS组件： 1. 首先在系统中打开“服务器管理器”，在窗口中定位到“Roles”在右侧窗格中单击”Add Roles”，如下图所示： （图1） 2. 在弹出的安装向导中单击“Next“按钮，如下图所示： （图2） 3. 在选择服务器角色窗口中选择“Web Server(IIS)“，在弹出的”Add Roles Wizard”对话框中，选择“Add Required Features”。 （图3） 4. 在返回的“Select Server Roles“窗口中单击“Next”按钮，如下图所示： （图4） 5. 在“Web Server(IIS)窗口中单击“Next”按钮，如下图所示： （图5） 6. 在“Select Server Roles”窗口选择一些必需的服务，这些服务包括ASP.NET，静态压缩和动态压缩，基本身份验证、表单验证、Windows 认证，IIS6.0管理兼容性，IIS管理控制台，选择完成后单击“Next”按钮，如（图6-7）所示： （图6） （图7） 7. 在“Confirm Installation Selections”窗口中确认信息无误后单击”Install”按钮，如下图所示。 （图8） 8. 在安装完成窗口中单击“Close”，Windows Server 2008 的IIS组件就安装完成了，如下图所示： （图9） 四、PowerShell的安装： 在安装IIS组件后还需要安装PowerShell组件，Windows Server 2008中已经内置了PowerShell，默认没有安装，在此需要手动安装一下。 1. 首先在系统中打开“服务器管理器”，在窗口中定位到“Features”在右侧窗格中单击”Add Features”，如下图所示： (图1) 2. 在弹出的”Select Features”窗口中，选择“Windows PowerShell”，单击“Next”按钮，如下图所示： （图2） 3. 在“Confirm Installation Selections”窗口中单击“Install”按钮，如下图所示： （图3） 4. 在”Installation Results”窗口中，单击“Close”按钮，至此，PowerShell组件已经成功安装。 （图4） 五、 安装远程服务管理工具 打开PowerShell程序，在命令提示行中输入，servermanagercmd -i rsat-adds，如下图所示： 开始安装Microsoft Exchange Server 2007 1. 加载Microsoft Windows Installer 4.5 安装光盘到光驱。 2. 加载Microsoft Exchange Server 2007 安装光盘到光驱。 3. 在弹出的安装界面中选择“步骤5：安装Microsoft Exchange ”。 （图1） 4. 在下图所示的Exchange Server 2007界面中单击“Next”按钮，如下图所示： （图 2） 5. 在“License Agreement”页中选择“接受许可协议”，单击“Next”按钮，如下图所示 （图3） 6. 在“错误报告”页中选择“是(推荐)”，单击“下一步”按钮。 （图4） 7. 在“安装类型”处选择典型安装，如下图所示： （图5） 8. 在“Exchange 组织”名处输入公司或企业名称，如下图所示 （图6） 9. 在“客户端设置”页面中，请根据公司或企业实际情况进行选择，并单击“下一步”按钮。 （图7） 10. 在“准备情况检查”页面中，可以看到安装前检查全部通过，单击“安装”按钮，安装程序将进入正式安装界面。 (图8) 11. 在“完成”页面中可以看到所有组件已经成功安装完成，单击“完成”按钮。 （图9） 12. 安装完成后，Microsoft Exchange Server 2007界面如（图10）所示。 （图10） 至此，Microsoft Exchange Server 2007安装全部完成。 为Microsoft Exchange Server 2007服务器申请证书 注意:申请证书前，请在DC服务器上安装证书服务器角色。 1. 打开”Exchange 命令行管理程序”,输入下图所示的命令来申请多主机头证书： （图1） 2. 证书申请文件的创建完成，接下来需要将申请证书文件发送给证书颁发机构，以申请证书，因为之前安装了证书颁发机构Web注册，因此可以通过IE浏览器的方式完成证书的注册。 3. 请在DNS控制台中添加mail.test.com主机A记录，Certsrv.test.com别名记录，如下图所示： （图2） 4. 打开“开始”菜单，选择“所有程序”，打开“Internet Explorer”。 5. 在IE浏览器地址栏中，输入http://certsrv.test.com/certsrv,在弹出的Windows 安全对话框中，输入用户名administrator和对应的密码，如（图3） （图3） 6. 在（图4）所示页面中请单击“Request a Certificate”链接。 （图4） 7. 在（图5）所示页面中请单击“advanced certificate request“链接。 （图5） 8. 在（图6）所示页面中请单击“Submit a certificate.....”链接。 （图6） 9. 请将之前存储在桌面上的carequest文件用记事本打开并将所有内容全部选中，复制粘贴到（图7）所示页面中的“saved Request”部分，在“Certificate Template”一栏中请选择“Web Server”，然后单击页面下方的“提交”按钮。 （图7） 10. 在（图8）所示页面中，请单击“Download CA Certificate”链接，将该证书文件保存在桌面上并命名为certnew.cer。 （图8） 11. 导入（图8）所下载好的导出，操作方法如下图所示： （图9） （图10） 12. 启用本地证书存储中的现有证书以便用于不同服务，如下图所示 （图11） 13. 从本地计算机上的证书存储中导出现有证书，如下图所示： （图12） 14. 打开IE浏览器，在地址栏中输入https://mail.test.com/owa，测试，如果证书分配正确，会看到（图13）所示的界面。 更改客户端身份验证： 1. 默认情况下，Microsoft Exchange Server 2007安装配置完成后，OWA访问界面为（图1）所示内容。 （图1） 2. 用户在登录OWA访问邮箱时，不得不以（图2）所示的方式进行登录，这对于用户来说是非常不方便的一件事。 （图2） 3. 面对上图所示的问题，做为Exchange Server 2007服务器管理员来说，我们有义务来简化用户的操作，让员工只需要输入自己的邮箱（即NT账号）和密码就可以登录到企业邮箱中。 4. 首先我们需要登录到Microsoft Exchange 2007管理控制台中，展开“服务器配置”/“客户端访问”在“Outlook Web Access ”选项卡中，右键单击“owa(Default Web Site)”，选择“属性”项，如（图3）所示。 （图3） 5. 在弹出的“owa (Default Web Site)属性”页面中单击身份验证选项卡，在该选项卡中请选择“使用基于表单的身份验证”/“仅用户名”/ “登录域”处请单击“浏览”按钮，选择“lenovots.com”如（图4）所示。 （图4） 6. 步骤5设置完成后请单击“确定”按钮，这时将会弹出“Microsoft Exchange警告”对话框，如（图5）所示。根据显示提示信息重新启动IIS服务器，关于如何重新启动IIS服务器请参见步骤7内容，在本步骤中请单击“确定”按钮，在返回的“owa (Default Web Site)属性”页面中请单击“确定”按钮，退出该对话框后关闭Microsoft Exchange 管理控制台。 （图5） 7. 重新启动IIS服务器，使用命令为iisreset /noforce，如（图6）所示。 （图6） 8. 步骤7操作完成后，根据显示可以看出IIS服务器重启成功，这时再次打开IE浏览器，输入http://mail.test.com，可以看到登录OWA身份验证方式已经更改，如（图7）所示。 （图7） 9. 这时，员工只需要输入其邮箱名(即NT账号)和密码，即可登录到OWA网页邮箱，如（图8）所示。 （图8） 10. 员工成功登录后，界面为（图9）所示。 （图9） 实现Microsoft Exchange 2007 OWA重定向功能 注意：若需要使用HTTP重定向功能请确保该功能已经被添加，若未添加请在服务器管理页面web应用程序服务器角色部分添加该功能部分 1. 打开IIS7.5（由于Microsoft Exchange 2007被安装在了Windows Server 2008，所以IIS使用的是IIS7.0），如（图1）所示 （图1） 2. 在“Default Web Site”站点主页一栏中，双击打开“http重定向”图标，在打开的HTTP重定向页面中，勾选“将请求重定向到此目标”，下方的重定向地址输入https://mail.test.com/owa，在“重定向行为”一栏中选择“”仅将请求重定向到此目录（非主目录）的内容，状态代码选择“永久(301)”，单击应用，如（图2）所示。 （图2） 3. 在“Default Web Site”站点主页一栏中，双击“SSL设置”，取消“要求SSL”复选框中的勾，然后单击“应用”按钮，如（图3）所示。 （图3） 4. 重定向更改成功后，再次访问OWA 页面时不需要输入https://mail.test.com/owa，而只需要输入http://mail.test.com，HTTP重定向功能会自动将该请求重新定位到使用了安全套接层的网站上，这样既保证了用户输入的简单性，而且也保证了数据通信和的安全性。 本文转自wangtingdong 51CTO博客，原文链接：http://blog.51cto.com/tingdongwang/676009，如需转载请自行联系原作者

Exchange 日常管理九之：创建证书服务器 在前面的博文中我们和大家介绍了如何实现Exchange服务器如何实现高可用的部署，其中包括如何创建CAS阵列以及如何创建DAG组，那么今天的博文中我们就来和大家介绍一下Exchange服务器中的CA证书服务器。 安装Active Directory证书服务 首先介绍证书是因为Exchange很多服务都需要证书的支持，证书申请的颁发机构可以使用自己创建的，也可以到商业CA购买。我推荐自己创建CA，毕竟到商业CA购买一个证书需要几千甚至上万的人民币，而且申请起来远远没有私有CA这么灵活。 打开服务器管理器： 点击角色----添加角色： 系统弹出添加角色向导，我们直接下一步： 这里我们勾选Active Directory证书服务，点击下一步： 这里系统给我们弹出来证书服务器的简介，我们可以直接点击下一步： 在选择角色服务界面我们勾选证书颁发机构和证书颁发机构Web注册，然后点击添加所需的角色服务: 可以看到我们需要安装的服务已经成功勾选，我们直接点击下一步即可： 这里我们选择企业，点击下一步： 因为我是第一次安装，所以在此我选择根，然后点击下一步： 保持默认，点击下一步： 这里让我们选择加密算法，因为我是实验环境，所以这里我保持默认点击下一步： 这里安装向导让我们配置CA名称，在此我保持默认，点击下一步： 证书有效期，我们保持默认点击下一步: 证书数据库位置，保持默认点击下一步: OK、可以看到安装证书服务时候可以会自动安装Web服务器，这里我们直接下一步即可: 保持默认，点击下一步： 确认信息无误，点击安装： 安装成功，我们点击关闭。 OK、到这里我们域控制器上的操作就已经完成了! 申请证书 在Exchange服务器上打开Exchange的管理控制台EMC: 点击服务器端配置： 我们可以看到Exchange证书这个选项卡，在选项卡空白处鼠标右键： 点击新建Exchange证书: 系统给我们弹出了新建Exchange证书向导，可以看到在这个界面系统要求我们输入一个证书的友好名称，这个名词我们可以随意出入它只是一个标记而已，所以在此我输入mail.contoso.com点击下一步： 这里系统问我们是否使用通配符。如果我们的证书后缀都相同，可以使用通配符。 例如：*.contoso.com，这样更方便一些。如果证书的域名后缀不同，通配符证书就不太合适了 这里我选择不启用通配符，保持默认点击下一步： OK、到这一步可能有许多朋友都不明白，其实你可以向我这样勾选然后直接点击下一步，具体为什么我们会在 下面做出解释。在这我点击下一步： 相信看到这张图大家就明白了吧，这里可以直接输入证书名称，比之前的图要方便的多。一般来说，证书的名称要包含下列几个： 1、 是Exchange服务器的计算机名，本例中是cas-1.congoto.com和cas-2.contoso.com 2、 是Exchange服务器CAS阵列的计算机名，本例中是mail.contoso.com； 3、 是outlook自动发现的保留计算机名，这个名称必须是autodiscover.contoso.com； 4、 是旧版本Exchange的保留名称，本例中是legacy.contoso.com。要注意的是，legacy.contoso.com的域名要解析到旧版本的Exchange2003前端服务器。这里要稍微解释一下，当旧版本Exchange和Exchange2010并存时，要确保用户首先访问到Exchange2010的CAS服务器。当用户访问到Exchange2010的CAS服务器后，如果用户访问的邮箱隶属于Exchange2010，CAS服务器会自动跳转到Exchange2010的邮箱服务器；如果用户访问的邮箱隶属于旧的Exchange服务器，CAS服务器就会自动跳转到legacy.contoso.com服务器，由legacy.contoso.com再跳转到旧版本Exchange的邮箱服务器。因此legacy.contoso.com的IP地址一定要对应旧版本Exchange的前端服务器。 OK、确认没有问题，我们点击下一步： 这一步上面的内容可以随便填，关键是证书请求文件路径，这里我保存到了C:\zhengshu.req，确认没问题点击下一步： 确认我们的证书配置没有问题，点击新建: 可以看到新建完成，我们点击完成： 可以看到我们的证书选项卡中多了一个名称为mail.contoso.com的证书。 因为我们已经在域控制器上部署了CA证书服务器，所以我们在Exchange服务器上打开浏览器输入：http://contoso.com/certsrv 说明: http://dcserver/certsrv这里的deserver是指我们的域名，因为我使用的域名是contoso.com所以在上面我输入的是http://contoso.com/certsrv 在这里我们输入用户名和密码后点击确定： 点击申请证书： 这里我们要申请一个高级证书，所以点击高级证书申请： 这里我们选择使用base64: 看到这里让我们输入一个bash-64的编码相信许多朋友都蒙了，在这里大家不要着急，不知道大家是否还记得前面我们新建了一个保存在c:\zhengshu.req的文件，下面我们用记事本打开这个文件，然后将里面的内容复制到这里： 可以看到我们已经成功复制过来bash-64编码，下面我们需要将证书模板调为Web服务器，然后点击提交： 可以看到证书以及成功颁发，我们点击下载证书： 我们将证书保存到指定位置 打开我们Exchange的管理控制台： 可以看到我们刚刚新建的证书是处于一个挂起的状态，现在我们在其上鼠标右键： 点击完成搁置请求: 这里选择我们刚刚申请的证书的位置，然后点击完成： 可以看到已完成字样，我们点击完成: 可以看到我们名称为mail.contoso.com这个域名已经是有效的状态了 证书导出/倒入 第一台Exchange CAS服务器申请完证书后，我们可以把申请的证书直接导出给第二台CAS服务器，这样可以避免在第二台CAS服务器上重新申请证书的麻烦。 在Exchange的EMC中右键点击第一台CAS服务器的证书: 点击导出Exchange证书 这里我们输入文件名称和密码后点击导出（注意此证书为pfx格式，所以在文件名称位置需要注意）： 可以看到已经导出成功，我们点击完成 点击完成后鼠标右键我们的第二台CAS/HUB服务器cas-2： 选择导入Exchange证书： 这里选择我们刚刚导出的.pxf格式的证书并且输入我们所设置的密码，点击下一步： 确定没有问题，点击下一步： 点击导入： 可以看到证书导入完成，现在两台CAS/HUB服务器上都已经有证书。由于客户机并不直接访问邮箱服务器，因此两台邮箱服务器就不用申请证书了 证书分配服务 两台CAS/HUB服务器拥有证书后，我们要发挥证书的作用，把证书和Exchange服务关联起来。在Exchange服务器的EMC中右键点击证书 选择为证书分配服务: 选择要分配服务的Exchange服务器，我们需要把两台CAS服务器都选中,点击下一步: 这里我们勾选邮局协议、简单右键传输协议以及IIS，点击下一步： 点击分配： 向导提示要使用申请到的证书覆盖SMTP使用的自签名证书，点击“是”同意覆盖。 其实Exchange服务器安装完成后会安装一个自签名证书，这个证书是Exchange服务器自己颁发给自己的，因此客户机都不信任证书，使用起来不方便。因此我们才需要费点心思为Exchange服务器手工申请证书。 测试 打开IE浏览器使用OWA方式登陆我们的邮箱： Ok、可以看到已经没有证书错误的提醒了！ 实验成功。 本文转自wuyvzhang 51CTO博客，原文链接：http://blog.51cto.com/wuyvzhang/1665310，如需转载请自行联系原作者