确保 Exchange 通信的安全三

创建 IP 安全策略，应用筛选器和指定操作

1.右键单击“Active Directory 上的 IP 安全策略”，选择“创建 IP 安全策略”，然后单击“下一步”。
2.在“名称”框中，键入 Block-Encrypt TCP 80 traffic – OWA FE，然后单击“下一步”。
3.验证是否选中了“激活默认响应规则”，然后单击“下一步”。
4.验证是否选中了“Windows 2000 默认 (Kerberos V5 协议)”，然后单击“下一步”。
5.验证是否选中了“编辑属性”，单击“完成”。
6.在“规则”选项卡上，单击“添加”，然后添加“下一步”。
7.验证是否选中了“此规则不指定隧道”，然后单击“下一步”。
8.验证是否选中了所有网络连接，单击“下一步”。
9.验证是否选中了“Windows 2000 默认 (Kerberos V5 协议)”，然后单击“下一步”。
10.在“IP 筛选器列表”中，选择 Inbound TCP 80 – OWA FE，然后单击“下一步”。
11.在“筛选器操作”框中，单击“阻止”，然后单击“下一步”。
12.验证是否取消选中了“编辑属性”，然后单击“完成”。
13.在“规则”选项卡上，单击“添加”，然后添加“下一步”。
14.验证是否选中了“此规则不指定隧道”，然后单击“下一步”。
15.验证是否选中了所有网络连接，单击“下一步”。
16.验证是否选中了“Windows 2000 默认 (Kerberos V5 协议)”，然后单击“下一步”。
17.在“IP 筛选器列表”中，选择 Outbound TCP 80 – OWA FE，然后单击“下一步”。
18.在“筛选器操作”框中，单击“加密”，然后单击“下一步”。
19.验证是否取消选中了“编辑属性”，然后单击“完成”。
20.单击“关闭”。

向组策略应用出站筛选器

1.在“组策略”内容窗格中，右键单击 Block-Encrypt TCP 80 traffic – OWA FE，然后单击“分配”。
2.关闭“组策略”，然后单击“确定”。

向 OWA 前端服务器应用组策略

1.在 OWA 前端服务器上，启动“命令提示符”。
2.键入 secedit /refreshpolicy machine_policy /enforce，然后按 Enter 键。
3.重新启动服务器。

创建后端服务器 IPSec 策略
后端服务器上的这个策略会对入站端口 80 通讯进行加密。
创建入站 TCP 80 筛选器

1.启动“Active Directory 用户和计算机”。
2.展开“成员服务器”，展开“应用程序服务器”，然后展开 Exchange 2000。
3.右键单击“后端服务器”OU，然后单击“属性”。
4.单击“组策略”选项卡。
5.选择“后端增量”GPO。
6.单击“编辑”。
7.展开“Windows 设置”，“安全设置”，然后右键单击“Active Directory 上的 IP 安全策略”。
8.单击“管理 IP 筛选器表和筛选器操作”。
9.单击“添加”。
10.在“名称”框中，键入 Inbound TCP 80 – BE。
11.在“说明”框中，键入“此筛选器匹配后端服务器上的入站 TCP 80 通信”。
12.单击“添加”，然后单击“下一步”。
13.在“源地址”下拉列表框中，验证是否显示了“我的 IP 地址”，然后单击“下一步”。
14.在“目标地址”下拉列表框中，验证是否显示了“任何 IP 地址”，然后单击“下一步”。
15.在“选择协议类型”下拉列表框中，选择 TCP，然后单击“下一步”。
16.在“设置 IP 协议端口”中，验证是否选中了“从任何端口”，然后选中“到此端口”，并键入 80。
17.单击“下一步”，然后单击“完成”。
18.单击“关闭”关闭“IP 筛选器列表”窗口。

创建 IP 安全策略，应用筛选器和指定操作

1.右键单击“Active Directory 上的 IP 安全策略”，选择“创建 IP 安全策略”，然后单击“下一步”。
2.在“名称”框中，键入 Encrypt TCP 80 traffic – BE，然后单击“下一步”。
3.验证是否选中了“激活默认响应规则”，然后单击“下一步”。
4.验证是否选中了“Windows 2000 默认 (Kerberos V5 协议)”，然后单击“下一步”。
5.验证是否选中了“编辑属性”，单击“完成”。
6.在“规则”选项卡上，单击“添加”，然后添加“下一步”。
7.验证是否选中了“此规则不指定隧道”，然后单击“下一步”。
8.验证是否选中了所有网络连接，单击“下一步”。
9.验证是否选中了“Windows 2000 默认 (Kerberos V5 协议)”，然后单击“下一步”。
10.在“IP 筛选器列表”中，选择 Inbound TCP 80 – BE，然后单击“下一步”。
11.在“筛选器操作”框中，单击“加密”，然后单击“下一步”。
12.验证是否取消选中了“编辑属性”，然后单击“完成”。
13.单击“关闭”。

向组策略应用入站筛选器

1.在“组策略”内容窗格中，右键单击 Encrypt TCP 80 traffic – BE，然后单击“分配”。
2.关闭“组策略”，然后单击“确定”。

向后端服务器应用组策略

1.在 OWA 前端服务器上，启动“命令提示符”。
2.键入 secedit /refreshpolicy machine_policy /enforce，然后按 Enter 键。
3.重新启动服务器。

注意：您可能还想在每个本地计算机都应用 IPSec 设置。这样可确保仍然使用 IPSec，即使访问域控制器中的组策略发生问题时也是如此。

监视 IP 安全连接

配置了 IPSec 之后，最好通过审计与 IPSec 相关的事件以及使用 IP 安全监视器工具来验证它的功能。
启动和配置 IP 安全监视器

1.无论是在 OWA 前端服务器上还是在后端服务器上，要启动 IP 安全监视器工具，请单击“开始”，单击“运行”，在“打开”框中，键入 ipsecmon。
2.单击“Options”（选项），然后将“default Refresh Seconds”（默认刷新秒数）值从 15 更改为 1。
3.单击“确定”。