本文出自 “叶俊生” 博客,请务必保留此出处http://yejunsheng.blog.51cto.com/793131/175814

什么是OWA? OWA="在Web浏览器中使用的Outlook" 不需要安装客户端应用程序 管理工具: OWA是默认安装的 Exchange 系统管理器: 服务器->协议->HTTP->Exchange虚拟服务器 使用IIS管理单元控制用于Outlook Web Access虚拟目录(包括Exchange \Exchweb和\Public)的"身份验证"设置和对Outlook Web Access启用SSL Exchange 2003 Outlook Web Access Administration Tools -->http://www.microsoft.com/exchange/downloads 所有和OWA相关的注册表键值都通过WEB的图形化界面配置 OWAAdmin安装需求: 安装IIS Netframework version 1.1和ASP.Net OWA Admin工具要求SSL连接 自定义登陆界面: 启用基于表单的验证 修改logon.asp以及Exchsrvr\exchweb\img目录下的图片 基于表单的验证(FBA): Cookie验证过期: 使用者的验证存放在加密的cookie中 当使用者从OWA 2003注销时,cookie就会被清除 -->要求Internet Explorer 6.0 SP1以上的版本 客户端登入的类型: 高阶: 提供Outlook Web Access的所有功能 基本: 适用于网络速度慢 提供较高的效能,但功能比高阶客户端少 登入页面安全性选项: HKLM\System\CCS\Services\MSExchangeWeb\OWA\ TrustedClientTimeout -->私有计算机 PublicClientTimeout -->公用计算机 DWORD值 当启用基于表单验证时,就能够选择OWA压缩模式: 低: 压缩静态数据 高: 压缩静态和动态数据 操作系统必需为Windows 2000 Windows XP或Windows 2003以上的版本 Internet Explorer 6.0+Q328970(或以上的版本) 若采用Front-End/Back-End架构: Front-End Server必需是Exchange 2003及Windows 2003 Back-End Server的操作系统则可以为Windows 2000或Windows 2003 压缩率约40%
20031045
现在我使用基本身份验证方式去访问OWA 打开IE浏览器--在地址里面输入http://exchange2003.yejunsheng.com/exchange 按回车键 当你在输入用户名(administrator)和密码的时候 如果有人在这边抓包的话 他可以很轻易地去破解在这个时候所输入的用户名和密码 所以我建议是做成SSL的方式 怎么样去做呢? SSL的方式就要求对应的Exchange服务器必需有一个Web服务器的证书 如果你想把OWA的站点做成SSL站点的话 此时它必需要服务器证书 但是有很多人为此去安装了一个CA(证书颁发机构) 因为安装了CA后就不能对计算机修改计算的名称了 如果只是为了启用SSL功能的话 我们并不需要去安装一个CA(证书颁发机构) 那怎么样做呢? 我们只需要安装一个IIS 6.0 Resources工具包就ok了 它里面有一个叫做SelfSSL的命令行工具 可以使用它来直接生成一个证书
20031046
打开IIS Resources的SelfSSL命令行工具 输入selfssl.exe /N:CN=exchange2003.yejunsheng.com /T /V:365 按回车键 输入Y按回车键 注意: CN=后面不能随便写的 你要输入Exchange服务器的完全计算机名称(exchange2003.yejunsheng.com) -->FQDN名称 /T表示默认去信任把一个自签名的证书加入到一个信任的证书里面 /T表示有效期限 我们需要设置一下 因为默认情况下是一个星期就失效了 我就设置成一年吧 在/V:后面输入365
20031047
如何来查看刚才生成的证书呢? 打开Internet 信息服务(IIS)管理器--展开网站--对着默认网站右键--选择属性--按目录安全性--按查看证书 看到了吗? 颁发给exchange2003.yejunsheng.com 有效起始日期 2008-7-28 到 2009-7-28 这就是刚才使用SelfSSL命令行工具生成的证书 所以大家没有必要将OWA做成SSL的方式访问而专门去安装了一个CA(证书颁发机构) 在安全通信里面按编辑--把要求安全通道(SSL) 要求128位加密都沟上 按确定
20031048
打开IE浏览器 如果你还是使用http这种方式访问的话 你会发现报了一个HTTP 错误 403.4 因为刚才已经启用SSL了 现在只能使用https这种方式访问了 输入https://exchange2003.yejunsheng.com/exchange按回车键 输入用户名(administrator)和密码 按确定就ok了 这个数据肯定是被加密的 但是此时并没有启用基于表单的身份验证 我们可以在已经做好了SSL的前提下配置基于表单的身份验证 因为用户的验证信息是存放在客户端加密的Cookie里面 那么Cookie是有超时的 一旦超时的时间到Cookie会自动清除 在你的电脑上就不在包括任何和你在登陆OWA所相关任何的验证信息了 实际上这样是非常安全的
20031049
我现在来配置基于表单的身份验证 打开Exchange 系统管理器--展开服务器--EXCHANGE2003(Exchange服务器)--协议--HTTP--对着Exchange虚拟服务器右键--选择属性--按设置--把启用基于表单的身份验证沟上 在压缩里面可以选择高或低 如果是选择低的话 那么它会帮你把OWA的静态的界面都压缩 如果选择高的话 它会帮你压缩静态和动态的界面都压缩 但是这不是推荐的 因为压缩动态界面的负载是产生在Exchange服务器上面的 所以我就选择低的方式进行压缩 压缩率大概是在40%-50%之间 按确定 注意:此时还需要把IIS服务重新启动一下
20031050
通过开始--运行--输入iisreset按确定来把IIS服务重新启动一下
20031051
打开IE浏览器--输入https://exchange2003.yejunsheng.com/exchange按回车键 此时你就会看到OWA登录的界面了 它由图片和文字构成的 可以把OWA的logo改成你公司的logo 在C:\Program Files\Exchsrvr\exchweb\img这个路径下就存放着登录界面的那些图片 在你登录以后的那些图片也都存放在img这个目录里面 如果你想把你公司的logo来替换这个logo 图片大小要一致包括这个文件的名字 当你输入域名\用户名(yejunsheng\administrator)和密码的时候 这个验证信息是存放在加密的Cookie里面 Cookie本身是有超时时间的 如果你选择公共或共享计算机 它的默认时间是15分钟 如果选择私有计算机 它的默认时间是24小时 时间一到它会把你自动注销OWA 然后Cookie会自动从你的计算机本地自动删除掉
20031052
在C:\Program Files\Exchsrvr\exchweb\bin\auth这个路径下有一个叫做owalogon.asp的文件 用记事本打开它 可以看到语言的版本 可以看到有一项叫做LangMap.Add "ZH","CHT" Chinese 这个时候它判断客户端是中文语言版本的话 它会帮你找一个chs目录 在C:\Program Files\Exchsrvr\exchweb\bin\auth\chs这个路径下有一个叫做logon.asp 用记事本打开它 我们可以对里面的文字进行修改 比如我把登录改成确定 域名\用户名改成请输入用户名 密码改成请输入密码 按文件--按保存
20031053
打开IE浏览器--输入https://exchange2003.yejunsheng.com/exchange按回车键 看到了吗? 现在已经把登录改成确定 域名\用户名改成请输入用户名 密码改成请输入密码了 输入用户名(administrator)和密码 按确定就ok了
自定义主题: 创建\ProgramFile\Exchsrvr\Exchweb\Themes\<FolderName> 将所有文件从\Program File\Exchsrvr\Exchweb\Themes\0复制到<FolderName> 替换图片文件,但使用原有文件名 修改顔色和样式(Owacolors.css) HKLM\System\CurrentControlSet\Services\MSExchangeWeb\OWA\Themes ThemeName REG_SZ值 例如: id=0x1;path=D:\programfiles\exchsrvr\exchweb\themes\corp;title=Corporate Theme;bgcolor=#1DA2D1 文章: http://www.msexchange.org/pages/article_p.asp?id=628
20031054
我现在是使用Administrator这个用户的身份登录OWA的 如何去自定义主题呢? 按选项 在下面有一项叫做外观 你可以在这5种主题中选择一种 我现在选择的主题是橄榄绿 默认主题是蓝色 这几种主题存放在什么位置呢?
20031055
这几种主题是存储在C:\Program Files\Exchsrvr\exchweb\themes这个路径里面 可以看到有5种主题 如果你有新的主题 在这个地方新建就ok了 我现在来新建一个叫做custom的主题 把0下面的那些文件都复制到custom里面 找到C:\Program Files\Exchsrvr\exchweb\themes\custom这个路径 如果你想替换图片的话就替换 但是要注意对应图片的大小要一致 如果你想修改里面的样式和顔色就需要修改一个叫做OWAColors.css样式表文档 用记事本打开它 比如我想把背景改成黄色 那么就把#号后面的C3DAF9 2557AD都改成FFFFAA 按文件 按保存 接着我们还需要去修改注册表
20031056
通过开始--运行--输入regedit按确定来打开注册表编辑器 找开注册表编辑器左下角那个路径 对着OWA右键--按新建--选择项--名称就叫做Themes吧 对着Themes右键--按新建--选择字符串值 注意:这个字符串值的名称一定要跟我刚才新建主题那个文件夹的名称完全一致 刚才我新建主题的文件夹名称叫做custom 所以这个字符串值的名称也叫做custom 双击它--在数值数据里面输入id=100;title=custom theme1:path=custom;bgcolor=#FFFFAA按确定 那个id只要跟以前5种主题里面的id没有冲突就可以了 我使用Administrator的身份登录OWA 按选项--在外观那一项选择刚才新建的主题:custom theme1:path=custom 看到了吗? 现在背景顔色已经改变成黄色了
分割: 用于启用或禁用Outlook Web Access功能 833340: How to modify the appearance and the functionality of Outlook Web Access by using the segmentation feature in Exchange Server 2003 311154: Outlook Web Access Segmentation
20031057
如果你想限制用户不能使用OWA里面的某一项功能的话 你可以使用OWA Admin这个工具进行限制 首先要安装OWA Admin这个工具 通过开始--程序--Microsoft Exchange--选择Outlook Web Access管理来打开它 在弹出安全警报的界面按是 输入用户名(administrator)和密码 按确定 注意: OWAAdmin安装需求: 安装IIS Netframework version 1.1和ASP.Net OWA Admin工具要求SSL连接
20031058
在定制里面按服务器范围内的功能支持
20031059
现在可以看到正在管理EXCHANGE2003修改服务器的功能的界面了 你可以在这里面限制在OWA里面什么东西能使用什么东西不能使用 比如说我不希望用户能够使用日历 任务 日记这三项功能 那我就把这三项功能的沟去掉 这里我顺便说一下 当我们在登录OWA的时候客户端里面有二个选项: 高级和基本 如果用户是以基本的方式登录的话 那么它的安全级别是比较高的 比如用户就不能下载一些控件了 在用户登入进去之后有很多功能是不能使用的 我们一般是建议让企业内部那些客户端使用基本的方式登录OWA 因为这样比较安全 注意: 如果你想限制用户只能使用基本的方式登录 不能使用高级方式登录的话 我们可以在修改服务器的功能里面把高级客户端的沟去掉就ok了 这样当用户再次登录OWA的时候就不会再出现高级这一项功能了 按确定
20031060
看到了吗? 现在看不到日历 任务 日记这三项功能了 只能看到收件箱 联系人 公用文件夹 规则 选项这五项功能了 注意: 这个设置是对所有的用户都进行限制的 也就是说如果你换一个用户登录OWA也是这样的 如何只针对某一个用户作限制呢?
20031061
我现在先把日历 任务 日记这三项功能恢复 把它们都沟上 按确定 然后我只针对某一个用户进行功能限制
20031062
如果你想针对某一个用户的OWA功能进行限制的话 此时我们需要修改某一个用户的属性 通过开始--运行--输入adsiedit.msc按确定来打开ADSI Edit 展开Domain--DN=yejunsheng,DC=com--按CN=Users 比如我现在想对Administrator这个用户进行限制 对着Administrator右键--选择属性 双击msExchMailboxFolderSet 这个值是一个十进行的值 因为每一个功能是对换成一个值来表示的 比如说这个邮箱的值就是1 日历就是2 联系人就是4 假如我现在让Administrator这个用户使用的是只有收邮件 联系人 日历 那这个时候就在Value里面输入7 它是一个值累加的和 我在Value里面输入5吧 表示只让Administrator使用邮箱和联系人功能 其他的功能都没有了 按ok 按确定
20031063
看到了吗? 我是使用Administrator的身份登录OWA的 刚才对Administrator的设置已经生效了 现在只能看到收件箱和联系人这两项功能了
拼写检查: HKLM\System\CCS\Services\MSExchangeWeb\OWA\ --&gt;MaxSpellDocumentSize: 检查最大邮件大小(KB) MaxSpellErrors: 发现多少错误后终止检查 MaxSpellRequests: 最大并发拼写检查数量 DisableSpellCheckOnsend: 禁用发送时拼写检查 DWORD值
20031064
我刚才已经把Administrator的限制功能全部恢复了 我现在是使用Administrator的身份登录OWA的 按选项--可以看到有一项叫做拼写检查选项 你可以把每次发送前自动检查拼写沟上 或者新建一封存邮件也可以手动做拼写检查 比如我写一句错误的英文--&gt;I Wll tll you something 按拼写检查键--在拼写检查语言里面选择英文(美国) 按确定就开始检查邮件的拼写了 检查完成之后按更改选择正确的单词就ok了 注意:拼写检查不是在本地完成的 是Exchange服务器帮你检查的 所以你在做拼写检查时会消耗Exchange服务器的性能 比如说用户在做一个拼写检查的时候是一个2MB的文档 或者同时有很多人在做拼写检查 或者你的文档里面有很多错误 这个时候对Exchange服务器的资源消耗是很高的 那么我就需要去控制用户在做拼写检查的时候对应的一些选项 如何去控制用户在做拼写检查的一些选项呢? 这个同样是可以通过OWA Admin进行控制的
20031065
我现在已经登陆到正在管理EXCHANGE2003服务器设置的界面了 按拼写检查
20031066
现在可以看到最大拼写检查文档大小默认值是100KB 每个项目的最大描写检查错误数的默认值是1024 同时进行拼写检查请求的最大值的默认值是64 我可以把文档大小的最大值改成50 让Exchange服务器一次性检查的文档大小是50K 每个项目的最大拼写检查错误数改成300 让Exchange服务器一次性只能检查300个错误 同时进行拼写检查请求的最大值改成20 让Exchange服务器一次性只能够允许20个客户端同时进行拼写检查的请求 另外在下面还有一项是发送时禁用拼写检查 如果你不希望用户在发送时去使用拼写检查的话 你可以选择是 把拼写检查禁用掉 我现在就先把拼写检查的功能禁用掉吧 按确定
20031067
我用Administrator的身份登录OWA 按选项 看到了吗? 现在拼写检查选项里面没有每次发送前自动检查拼写那一项了 你可以限制客户端不可以在发送邮件时自动做拼写检查 但是客户端手动是可以做拼写检查的 还有一个问题你会发现在做拼写检查的时候在语言里面是选择不到中文的 换句话说你不能对中文做拼写检查
OWA修改密码: 建一个虚拟目录IISADMPWD,物理路径在windows\system32\inetsrv\iisadmpwd HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeWeb\OWA: Value name: DisablePassword Value type: REG_DWORD Date: 0 重新启动IIS Admin Service 参考资料: KB327134 当用户出差在外面的时候 它没有一个登录域的方式去修改它的邮箱密码 其实邮箱的密码跟域用户的密码是一致的 这个时候我们就需要给一个用户的方式在OWA上能够修改它的密码 我们需要在IIS管理器上新建一个虚拟目录
20031068
打开Internet 信息服务(IIS)管理器--展开网站--对着默认网站右键--按新建--选择虚拟目录 此时就可以看到欢迎使用虚拟目录创建向导了 接着下一步 别名就叫做IISADMPWD吧 接着下一步
20031069
按浏览--找到C:\WINDOWS\system32\inetsrv这个路径--按iisadmpwd--按确定 接着下一步
20031070
在允许下列权限里面把读取和运行脚本(如ASP)都沟上 接着下一步 按完成就ok了 我们还需要到OWA Admin 的安全里面把允许更改口令的那一项修改成是
20031071
我使用Administrator的身份登录OWA Admin 在正在管理EXCHANGE2003服务器设置的界面按安全--在安全设置的允许更改口令那一项选择是 按确定 其实它修改的是注册表编辑器里面的一个叫做DisablePassword键值 默认情况下这个数值数据是1 如果你在安全设置的允许更改口令那一项选择是 并且按确定 此时你会发现这个DisablePassword键值的数值数据就变成0了 我再到服务里面把一个服务重新一下就ok了
20031072
通过开始--运行--输入services.msc按确定来打开服务 对着IIS Admin Service右键--选择重新启动 它问你想重新启动这些服务吗? 你按是就ok了
20031073
我现在是使用Administrator的身份登录OWA的 按选项--在下面有一项叫做密码按更改密码--在域里面输入yejunsheng--在账户里面输入用户名(administrator)--输入新密码和旧密码 按确定 在OWA的选项里面按保存并关闭就ok了
阻止附件: 通过MIME类型和文件扩展名来阻止附件: Level 1阻止 Level 2可以保存到磁盘,但是不能在浏览器打开 由注册表控制 在OWA中阻止所有附件 或者,可以指定: 阻止通过前端服务器访问 阻止所有,除了指定的前端服务器(FQDN) 默认情况下FreeDocs是不允许被访问的
控制Freedocs: HKLM\System\CCS\Services\MSExchangeWeb\OWA\EnableFreedocs --&gt; o or not present=阻止用户通过OWA访问 1=只允许通过后端服务器访问 2=只允许通过后端和部分前端服务器访问 3=所有用户都可以访问 DWORD值 HKLM\System\CCS\Services\MSExchangeWeb\OWA\AcceptedAttachmentFrontEnds --&gt; REG_SZ值 使用逗号分割FQDN
垃圾邮件筛选: 管理垃圾邮件清单: 安全的发件人 安全的收件人 阻止的发件人 清单能够包含e-mail地址或整个domains 不能将内部的Exchange全域通讯簿的名单加至收件人 预设上最大提供: 1024阻止的发件人 1024个安全的收件人
20031074
我使用Administrator的身份登录OWA Admin 在正在管理EXCHANGE2003服务器设置的界面按附件处理--在附件处理的禁用附件里面默认是允许所有附件(默认) 你可以设置只要是OWA访问的 那么附件全部不允许去打开或者下载 也可以设置只允许通过后端服务器进行附件访问 如果用户是HTTP后端服务器的Exchange去访问邮箱的话 ok 没问题 你确实是可访问附件的 但是从前端就不可以 你可以在认可的前端服务器里面设置 比如你的前端服务器是叫做mail.yejunsheng.com 换句话说用户直接访问后端就能访问到附件以及访问前端的Exchange服务器也可以访问到邮件的附件 但是除此之外的前端服务器就不可以 如果你不在认可的前端服务器里面输入前端服务器的完全计算机名称 只要是前端就不可以访问了 只能是后端才可以访问 我现在来设置一下1级文件类型 在里面输入,iso 按确定
20031075
我现在是使用Administrator的身份登录OWA的 我来新建一封邮件发送给test这个用户吧 按新建--在收件人里面输入test 我在桌面上新建一个文档文本 然后把它的扩展名改成a.iso 按附件--按浏览--按桌面上的a.iso--按确定 按附加--按关闭--按发送
20031076
我现在是使用test的身份登录OWA的 看到了吗? 现在已经收到Administrator的邮件了 双击这封邮件 你会发现1级文件类型既不能打开也不能下载 二级文件类型呢?
20031077
我现在把1级文件类型的,iso剪切到2级文件类型里面 按确定
20031078
我现在是使用test的身份登录OWA的 再次打开Administrator发送的邮件 按a.iso(64B) 此时它提示你要打开此附件,必需将其保存到磁盘.用鼠标右键单击链接,然后单击保存 你会发现如果是2级文件类型的话 这个附件不能直接在浏览器上打开这个附件 但是可以给你下载这个附件
20031079
我现在把Exchange 2003的M盘映射出来 在命令提示符里面输入subst M:\\.\backofficestorage按回车键 打开Exchange(M:)--在M:\YEJUNSHENG.COM\PUBLIC FOLDERS这个路径下新建一个叫做Data的文件夹 然后把a.txt这个文本文档丢到Data这个文件夹里面 以这种方式丢到Exchange数据库里面的文件都叫做Freedocs 但是默认情况下是不可以访问的
20031080
我现在是使用Administrator的身份登录OWA的 按公用文件夹--按刚才新建的文件夹(Data)--双击a.txt 你会发现它不让你访问 里面提示您无权查看该网页
20031081
我现在到OWA Admin的附件处理里面的启用Freedocs里面选择任何地方都可访问 按确定
20031082
我使用Administrator的身份登录OWA--按公用文件夹--按Data--双击a.txt 看到了吗? 现在可以访问到里面的内容了
20031083
我现在使用Administrator的身份登录OWA Admin的界面 按用户隐私--在正在管理EXCHANGE2003用户隐私里面选择强制过滤和选择将过滤掉的内容显示为已断开连接的图象 按确定 这个效果是什么呢?
20031084
我现在使用Administrator的身份登录OWA的 按选项--你会发现在邮件安全性里面的禁止HTML格式电子邮件中的外部内容已经变成灰色了 表示这就被强制设置禁止HTML格式电子邮件中的外部内容了 另外就是筛选垃圾邮件 把筛选垃邮件沟上--按管理垃圾邮件列表--这里面可以设置外部安全发件人 安全收件人 阻止发件人是谁 注意:在添加里面不能添加本地域的用户 因为本地域的用户不在筛选范围之内 只是针对外部的地址才生效的 也就是说只能筛选外部地址的邮件