了解 Outlook Anywhere 的 SSL: Exchange 2010 帮助
Expand the table of content
相关帮助主题
未找到资源。
相关博客文章
未找到资源。
相关论坛讨论
了解 Outlook Anywhere 的 SSL
Exchange 2010
适用于： Exchange Server 2010 SP2, Exchange Server 2010 SP3 上一次修改主题：
Outlook Anywhere 客户端连接在 Microsoft Exchange Server 2010 客户端访问服务器上使用安全套接字层 (SSL) 进行加密。本主题介绍 SSL 证书、SSL 卸载，以及使用 SSL 管理 Outlook Anywhere 的安全性。 若要了解与 Outlook Anywhere 相关的管理任务，请参阅。
Exchange 2010 安装程序中提供的默认自签名证书可用于 Outlook Web App 和 Exchange ActiveSync，但不能用于使用 Outlook Anywhere 的 Outlook 2007 或者 Outlook 2010 和 Outlook 2003 客户端。您必须使用客户端计算机操作系统信任的证书颁发机构 (CA) 所创建的有效 SSL 证书。有关如何安装客户端信任的 CA 颁发的有效 SSL 证书的详细信息，请参阅。 在默认网站上或托管 rpc 虚拟目录的网站上获取了要用于客户端访问服务器的有效 SSL 证书后，即可将该网站配置为要求使用 SSL。可以对客户端访问服务器托管的所有网站启用 SSL，也可以仅对 rpc 虚拟目录启用 SSL。
如果计划断开从运行 Outlook 2007、Outlook 2010 或 Outlook 2003 的客户端计算机到防火墙的 SSL 连接，可以使用 SSL 卸载。使用 SSL 卸载时，从防火墙到客户端访问服务器的通信将不再使用 SSL 进行加密。要使 SSL 卸载可以工作，必须拥有客户端信任的防火墙证书。建议您加密从客户端到客户端访问服务器的所有通信。有关详细信息，请参阅。
在安装 Exchange Server 2010 客户端访问服务器角色时，将在 Exchange Server 2010 客户端访问服务器上的默认 Internet 信息服务 (IIS) 网站上创建一个名为 /rpc 的默认虚拟目录。您可以配置 /rpc 虚拟目录，以使用 SSL 管理 Outlook Anywhere 和外部客户端访问的安全性。有关详细信息，请参阅。配置 /rpc 虚拟目录以使用 SSL 仅是管理安全性的一个步骤。有关详细信息，请参阅和。
(C) 2010 Microsoft Corporation。保留所有权利。
本文是否对您有所帮助？
需要更多代码示例
翻译需要改进
(1500 个剩余字符)
感谢您的反馈
页面加载速度够快吗？
您喜欢网页的设计吗？
请告诉我们更多意见我们在今年春节后上线了新的在线智能题库：。猿题库现在推出了公务员考试行测和申论2个产品，均包括web,
iOS和Android三个平台。这次我们尝试做一个收费的产品，所以在iOS端集成了应用内支付（IAP）功能。在开发过程中和上线后，我们遇到了IAP中的一些坑，在此分享给各位。
IAP 审核相关的坑
IAP开发的详细步骤我写在另一篇博客中了。在此主要介绍审核时遇到的问题。
IAP类型错误
由于我们是按月付费的产品，所以在设置IAP类型时，我没有经验，只是简单设置成了可重复消费(Consumable)的IAP项目。但是我不知道，苹果对于这种按时间收费的产品，应该使用不可更新的定阅（Non-Renewing Subscription）类型。这个类型设置错误造成了我们app的一次审核被拒。
IAP验证逻辑
由于苹果在iOS5.0以下有IAP的bug，使得攻击者可以伪造支付成功的凭证。而iOS6.0的系统在越狱后同样可以伪造凭证，所以我们对于应用内支付，增加了服务器端的验证。服务器端会将支付凭证发给苹果的服务器进行二次验证，以保证凭证是真实有效的。
在我们公司的测试服务器中，我们会连接苹果的测试服务器（）验证。
在我们部署在线上的正式服务器中，我们会连接苹果的正式服务器（）验证。
我们提交给苹果审核的是正式版，我们以为苹果审核时，我们应该连接苹果的线上验证服务器来验证购买凭证。结果我理解错了，苹果在审核App时，只会在sandbox环境购买，其产生的购买凭证，也只能连接苹果的测试验证服务器。但是审核的app又是连接的我们的线上服务器。所以我们这边的服务器无法验证通过IAP购买，造成我们app的又一次审核被拒。
解决方法是判断苹果正式验证服务器的返回code，如果是21007，则再一次连接测试服务器进行验证即可。上有对返回的code的详细说明。
IAP上线后的遇到的情况
我们在服务器端增加了验证IAP是否有效的逻辑。在产品上线后，如我们所料，我们收到了大量的欺骗性购买，这些都被我们的服务器识别出来了，但是我们也遇到了以下这次没有想到的情况:
1、由于国内越狱用户的比例比较大(大概为50%),所以虽然我们服务器会验证购买凭证，但是每天有超过50%以上的凭证都是伪造的。同时由于苹果的验证服务器在美国，凭证验证请求响应的时间比较慢，大量的伪造凭证发给苹果服务器，不知道会不会被苹果认为我们是在恶意进行DDOS。至少我们发现有些时候，验证请求会超时。
2、由于国内有许多小白用户，他们的手机从购买时就被渠道商帮忙越狱过了并且安装了IAP free插件。所以对于这类用户，他们即使想付费购买，由于系统原有的IAP支付功能已经被破坏，所以他们是无法正常付费的。麻烦的是，他们会以为这是我们的app的问题，转而给我们的客服打电话投诉。这让我们非常郁闷。
3、苹果的验证服务器有时候会出问题，我们发现本来约定好返回的JSON数据在有几次返回的居然是一个XML格式的文件。造成我们将正常的付费IAP凭证验证失败。所以，在服务器记录下所有的验证凭证非常有必要，一来可以防止黑客多次提交同一个成功凭证的重放攻击，二来在需要时可以手工进行再验证。
越狱手机可能被黑客窃取购买凭证！
我们发现有一部分用户反馈说已经收到苹果的扣费账单，但是我们从服务器的验证记录看，他上传的凭证却是虚假的。由于这些用户不太多，我们一开始以为是用户在恶意欺骗我们，后来我们让他将苹果的付费账单邮件转发给我们，以及将itunes的购买记录截图转发给我们，我们越来越怀疑这里面有一个黑色的产业链。越狱手机的正常购买凭证可能被黑客的恶意程序截获，具体的攻击方式我们讨论了一下，其实就是被，详细的过程如下:
1.越狱手机的在被破解后，可能从一些破解渠道安装了黑客的恶意程序。
2.黑客将越狱手机所有https请求都经过他的中间服务器。
3.当有支付请求时，黑客先将请求发给苹果服务器，待苹果将成功的凭证返回后，黑客将这个凭证替换成假的凭证，完全支付凭证的偷取。
或许有人会问，这个凭证拿来有什么用呢?很简单 ，因为苹果为了保护用户的隐私，支付凭证中并不包含任何用户的apple id信息，所以我们的app和服务器无法知道这个凭证是谁买的，而只能知道这个凭证是真的还是假的。于是黑客就可以用这个凭证，在另外的账号中通知我们完成了购买，而发来的验证凭证又是真实的，所以我们的服务器就会误认为是黑客的账号完成了购买，继而把会员期算在黑客的账号上。
再举一个简单的例子，你拿500块钱买了顺风优选的500元购物券，由于这个购物券是不记名的，所以顺风优选无法知道是谁买的。如果这个购物券在发放过程中被人掉包，那么偷购物券的人就可以拿这个偷来的真购物券来购物，而顺风优选的卡因为是不记名的，所以也无法查证这件事情。在这个例子中，购物券的不记名和苹果的支付凭证无账号信息是同一个道理。
鉴于以上情况，考虑到越狱手机不但不能成功支付，还会有安全问题，所以我们在新版中取消了越狱手机中的IAP支付功能。
所以，请大家还是不要越狱自己的手机，iphone手机越狱后风险相当大。实在不值得为了免费玩几个游戏就丢掉安全性。
from:/applenews/devnews/70.html
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：838787次
积分：9532
积分：9532
排名：第798名
原创：167篇
转载：231篇
评论：168条
(1)(1)(1)(10)(10)(1)(2)(8)(1)(1)(1)(3)(8)(3)(4)(5)(2)(1)(29)(3)(1)(1)(4)(21)(2)(12)(8)(3)(8)(1)(2)(4)(5)(9)(7)(4)(3)(2)(5)(6)(16)(2)(14)(13)(2)(20)(28)(21)(12)(4)(10)(18)(13)(19)(3)自己域名的gmail邮件如何同步到outlook2010?
[问题点数：100分，结帖人maosenmin]
自己域名的gmail邮件如何同步到outlook2010?
[问题点数：100分，结帖人maosenmin]
不显示删除回复
显示所有回复
显示星级回复
显示得分回复
只显示楼主
2011年6月 Windows专区大版内专家分月排行榜第三2011年1月 Windows专区大版内专家分月排行榜第三2010年11月 Windows专区大版内专家分月排行榜第三2010年2月 Windows专区大版内专家分月排行榜第三2010年1月 Windows专区大版内专家分月排行榜第三
本帖子已过去太久远了，不再提供回复功能。服务器安全性审核事件 552:用户使用明确凭据成功登录到作为其他用户已登录到的计算机。_百度知道
服务器安全性审核事件 552:用户使用明确凭据成功登录到作为其他用户已登录到的计算机。
以下信息事件在我的一台ISA服务器上每秒出现将近10条！使用明确凭据的登录尝试: 登录的用户:
用户名: huxulong
(0x0,0x167195)
登录 GUID: - 凭据被使用的用户:
目标用户名: zhaoxuguang
目标域: GWM
目标登录 GUID: - 目标服务器名称: TJ-HZ-1000.gwm.local 目标服务器信息: TJ-HZ-1000.gwm.local 调用方进程 ID: 4 源网络地址: - 源端口: -huxulong 是我的域账户 身份是域管理员，目标账户和目标服务器名称是变化的，但都是我们公司的域账户和计算机名。这是怎么回事，从昨天晚上开始，我头都大了。。。。
我有更好的答案
帐号登录事件
(事件编号与描述)
672 身份验证服务（AS）票证得到成功发行与验证。
673 票证授权服务（TGS）票证得到授权。TGS是一份由Kerberos 5.0版票证授权服务（TGS）发行、且允许用户针对域中特定服务进行身份验证的票证。
674 安全主体重建AS票证或TGS票证。
675 预身份验证失败。这种事件将在用户输入错误密码时由密钥分发中心（KDC）生成。
676 身份验证票证请求失败。这种事件在Windows XP Professional操作系统或Windows Server产品家族成员中将不会产生。
677 TGS票证无法得到授权。这种事件在Windows XP Professional操作系统或Windows Server产品家族成员中将不会产生。
678 指定帐号成功映射到一个域帐号。
681 登录失败。域帐号尝试进行登录。这种事件在Windows XP Profes...
这些我查得到
这个问题你解决了吗？找到原因了吗、我的也出现了，找不到原因。帮忙！！！
没找到原因，后来我把ISA重装了。
其他类似问题
为您推荐：
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁}