|
注意:Office 资料工具包包括了使用自定义安装向导大量进行RPC over HTTP设置的资料,这将使你在为一些或者所有用户,进行配置时使无缝操作变为可能。 为RPC over HTTP所作的设置同单独profiles相关联,并且只能够被应用在每一个profile的单独的Exchange server账号。你可以通过使用你能够利用的类似的同样的接口来修改这些设置,但是这些设置本身是不同的(记住,你必须已经像在11章中描述的那样,安装了你的Exchange 服务器和全球目录)。 为Outlook设置使用RPC over HTTP的关键是建立一个单独的简单检查框,使用HTTP连接到我的Exchange邮箱,如图13-4所示。(通过使用工具|邮件账户命令编辑一个账号,你可以获得这个检查框。)当你在系统中运行Outlook 2003遇到先决判断条件以及同一个Exchange服务器建立联系遇到先决条件需求时,这个检查框就会出现。如果其中任何一个组成部分丢失或者没有配置,这个检查框都不会显示。
图13-4 The 为应用RPC over HTTP所作的链接标签 在选择了检查框后,当然是正确使用的时候了。点击Exchange代理设置按钮,就会出现Exchange代理设置对话框(如图13-5所示)。不管你是否需要使用SSL,你都能够为你的Exchange服务器指定URL(这用于一个标准的Exchange Server 2003安装,将会同前后端服务器同名)。为了获得最大程度的安全,你应该确认链接仅使用SSL,并且当使用SSL链接的检查框都被选中的时候,能够相互鉴别Session。这项联合能够为防止欺骗和监听提供最大保护。其他的设置其实同安全方面控制没有太大关系。当为Exchange控制连接到我的代理服务器上时,是使用这项鉴定的特殊情况。
图13-5 Exchange代理设置对话框. 使用Outlook 2003 RPC over HTTPS支持的其他技巧 这里有两项有关Outlook 2003 RPC over HTTPS支持的其他有用的事情需要来说明。首先是你能够不使用用户接口控制来实现让用户改变RPC over HTTPS的操作。如果在你的用户客户端没有安装而你又想进行确认,或者如果你已经进行了配置而想防止用户对配置进行修改的时候,这是很有用的一项功能。具体操作是,将EnableRPCTunnelingUI值添加到HKEY_CURRENT_USERSoftwarePoliciesMicrosoftOffice11.0OutlookRPC中。当这个值被设为0后,用户接口(UI)是被隐藏的。当值被设为1时,或者不改变当前设置时,用户接口(UI)在计算机中Outlook开始运行,并遇到操作系统操作需求的时候,就会可见。 另一项有用的是在进行了最初Outlook 2003配置后,你能够在过期日期上打开使用RPC over HTTPS。要想实现功能,你需要使用Office资源安装工具包中的自定义维护向导,这个向导能够让你去进行一些配置类型的修改和将他们配置为项文件那样能够自动更新安装Office设置。需要获得更多的有关自定义维护向导的知识,你可以查看微软站点中的:使用自定义维护去更新Outlook 2003。 在微软Outlook中使用S/MIME S/MIME(安全多媒体传送格式)会让终端用户有一些为难的感觉。因为它主要依赖于运算法则和那些描述得很复杂的协议。微软在Outlook中将它做的尽可能的简单明了,但是这样S/MIME依然为用户带来了很大好处。 为微软Outlook所作的管理证书 在你能够使用S/MIME进行很多设置之前,你将会需要一个X.509v3证书,它是用来标记邮件的(不管是作为一个标记证书,一个加密证书,或者是两者兼有的证书)。因此,证书管理是应该被合理的利用 为微软Outlook获得一个新的证明 为你的私钥,Outlook能够正确的使用任何一个被创建的合适的X.509v3证书。以供你能够在你正确使用的计算机上为你的本地用户profile获得证书。不管你是否安装了一个完整的公共密钥基础设施(PKI)或者单个用户是否需要证书,你都能够通过Exchange 2000服务器密钥管理服务(KMS),通过一个Windows Server 2003 CA手动或者自动登记,或者通过从第三方CA手动请求单独的证书,来登记用户。 如果你不使用Windows Server 2003 CA来手动或自动地登记一个证书,你要通过启动Outlook,去让Outlook去请求你的新证书,做法为:选择工具|选项命令,点击安全标签,并点击获取一个数字ID。当下一步既不依赖于你通过Exchange KMS申请一个证书,也不依赖于从一个外部CA。要想获得更多的有关Windows Server 2003安装和使用证书自动登记的知识,请参考技术百皮书。 从一个内部认证服务器上获取一个证书 对于企业用户来说,通过Windows Server 2003证书服务组件获取一个证书是最普遍的方法。这(就像你在第12章,“安全邮件”中看到的那样)将使用Exchange 2000 Server KMS。在Windows XP和Windows Server 2003环境中,目前的首选配置模式是使用用户证书自动登记,但是支持Exchange KMS高级安全使用Exchange工具,包括:活动目录用户和计算机管理单元(snap-in)依然可以被使用。尽管新模式是非常简单只有很少的或者没有来自于Outlook遗留和KMS端的用户交换,手动过程依然是很简单的。当客户端使用Outlook去收集一个模板密钥时开始运行,然后往往保护最开始的客户端到CA(client-to-CA)的交换。你能够防止标记一个邮件消息或者使用另一个(大概更安全)离线通道。另一种方法是用户在开始之前必须去标记。 在你点击获取一个数字ID之后,你将会看到如图13-6所示的对话框。这个对话框仅显示已经被登记到高级安全中的账户,如果你不能看到的话,在开始之间将需要被登记的账号进行登记。因诶你需要通过本地Exchange组织的证书服务器来解决一个证书问题,在Exchange Server选项上选择为我安装安全,然后点击确认。
图13-6为你的请求查找证书来源 Outlook要求你去为这个数字ID进行命名,并键入你选取的。然后你就会要求设置密码。注意这个密码需要同你的Windows账号密码完全分离----并且是不同的,这样是为了不相互干扰。在这一点上,你的请求被发送到证书服务器上,请求将会被批准或者拒绝(通常会被迅速地处理)。首先,尽管你将不得不去关闭Outlook选项对话框,你将最终会收到一封来自于CA的指令状态消息显示你的注册被拒绝或接受。若请求被接受,你将会被要求输入密码,已使得Outlook能够为你在全球地址列表(GAL)中发布你的证书(就像接下来描述的那样,你也可以手动进行设置)。 |