В этом разделе содержатся рекомендации по использованию мобильного Outlook в инфраструктуре Exchange.

При наличии Microsoft Exchange с мобильным Outlook рекомендуется использовать следующую конфигурацию:

Параметры проверки подлинности для мобильного Outlook в Exchange Server 2007 с пакетом обновления 1 (SP1)

По умолчанию в окончательной первоначальной версии (RTM) сервера Exchange 2007 для виртуального каталога /rpc была включена обычная проверка подлинности и встроенная проверка подлинности Windows, которые нельзя было изменить. Даже если использовался один способ проверки подлинности, для виртуального каталога /rpc всегда были включены оба способа проверки подлинности. Так как это представляет собой уязвимость системы безопасности, в Exchange 2007 с пакетом обновления 1 (SP1) можно выбрать только один способ проверки подлинности для виртуального каталога /rpc. Хотя это не рекомендуется, можно разрешить и обычную проверку подлинности, и встроенную проверку подлинности Windows.

В новых установках Exchange 2007 с пакетом обновления 1 (SP1) по умолчанию для виртуального каталога /rpc используется тот же способ проверки подлинности, который выбирается при включении мобильного Outlook с помощью мастера включения мобильного Outlook. Способ проверки подлинности по умолчанию для служб IIS можно изменить с помощью командлета Set-OutlookAnywhere на встроенную проверку подлинности Windows, на обычную проверку подлинности или на оба типа проверки. Кроме мастера включения мобильного Outlook, для настройки мобильного Outlook можно использовать командлет Enable-OutlookAnywhere.

Важно!
После обновления окончательной первоначальной версии (RTM) сервера Exchange 2007 до Exchange 2007 с пакетом обновления 1 (SP1) рекомендуется вручную указать один способ проверки подлинности с помощью командлета Set-OutlookAnywhere.

Использование нескольких способов проверки подлинности для мобильного Outlook

Если развернут сервер брандмауэра, который выполняет делегирование проверки подлинности, необходимо изменить способ проверки подлинности для виртуального каталога /rpc на способ, который не используется клиентом. Допустим, например, что сервер брандмауэра выполняет на сервере клиентского доступа проверку подлинности NTLM. Тем не менее клиент использует обычную проверку подлинности. В этом примере сервер брандмауэра делегирует проверку подлинности пользователей. Поэтому виртуальный каталог /rpc в службах IIS настраивается на проверку подлинности NTLM.

Хотя это не рекомендуется, в Exchange 2007 с пакетом обновления 1 (SP1) можно настроить виртуальный каталог /rpc в службах IIS на использование как обычной проверки подлинности, так и NTLM. Распространенной ситуацией, в которой можно использовать оба способа проверки подлинности, является передача дополнительных служб RPC через HTTP на тот же сервер клиентского доступа, который предоставляет доступ к мобильному Outlook. В этом примере каждой службе требуются оба способа проверки подлинности. Чтобы настроить виртуальный каталог /rpc в службах IIS на использование обычной проверки подлинности и NTLM, выполните следующую команду:

Set-OutlookAnywhere -Name Server01 -IISAuthenticationMethod Basic,NTLM

Использование собственного центра сертификации

Чтобы установить собственный центр сертификации, используйте средство создания центров сертификации Microsoft Windows. По умолчанию приложения и веб-обозреватели не доверяют корневому центру сертификации при установке собственного центра сертификации. Если пользователь пытается подключиться к Microsoft Office Outlook 2007 или Outlook 2003 с использованием мобильного Outlook, этот пользователь утрачивает подключение к Microsoft Exchange. Пользователь не получает уведомление об этом. Подключение утрачивается при выполнении одного из следующих условий:

  • Клиент не доверяет данному сертификату.

  • Сертификат не соответствует имени, к которому клиент предпринимает попытку подключиться.

  • Данные сертификата неверны.

Таким образом, необходимо убедиться, что клиентские компьютеры доверяют данному центру сертификации. Кроме того, если используется собственный центр сертификации, при выдаче сертификата серверу клиентского доступа необходимо убедиться, что в поле Общее имя или поле Выдано этого сертификата указано имя, совпадающее с URL-адресом данного сервера клиентского доступа, по которому к серверу можно обратиться из Интернета. Например, поле Общее имя или поле Имя должно содержать имя, указывающее на сервер mail.contoso.com. В этих полях нельзя указать внутреннее полное доменное имя нужного компьютера. Например, здесь нельзя указать имя mycomputer.contoso.com.

Дополнительные сведения

Дополнительные сведения о мобильном Outlook см. в следующих разделах: