В этом разделе содержатся рекомендации по использованию мобильного Outlook в инфраструктуре Exchange.
При наличии Microsoft Exchange с мобильным Outlook рекомендуется использовать следующую конфигурацию:
- Проверка подлинности NTLM с использованием
SSL. Рекомендуется включить и сделать обязательным
использование SSL на компьютере
Microsoft Exchange Server 2007 с установленной ролью
клиентского доступа для всех видов взаимодействия клиент-сервер.
Также рекомендуется использовать проверку подлинности NTLM. Следует
всегда устанавливать HTTP-сеанс с использованием SSL-порта (порт
443). Сведения о настройке проверки подлинности в мобильном Outlook
с использованием SSL см. в разделе Мобильный Outlook —
управление безопасностью.
Важно! При наличии брандмауэра, который не поддерживает технологию NTLM, необходимо применять обычную проверку подлинности с использованием SSL. - Использование мощного сервера межсетевого экрана в граничной
сети. Рекомендуется использовать выделенный сервер
межсетевого экрана в целях повышения безопасности компьютера
Exchange. Примером специального серверного межсетевого экрана
служит сервер Microsoft Internet Security and Acceleration (ISA)
Server 2006. При наличии сервера ISA Server 2006 можно также
использовать проверку подлинности NTLM вместо обычной проверки
подлинности, поскольку сервер ISA Server поддерживает данные
проверки подлинности NTLM. Другие серверы межсетевых экранов также
могут поддерживать проверку подлинности NTLM. Чтобы определить,
поддерживает ли конкретный сервер межсетевого экрана проверку
подлинности NTLM, обратитесь к документации по данному
продукту.
- Получение сертификата в стороннем центре
сертификации. Чтобы включить и сделать обязательным
применение SSL для всех видов взаимодействия между сервером
клиентского доступа и клиентами Outlook, необходимо получить и
опубликовать сертификат на уровне веб-узла по умолчанию.
Рекомендуется приобрести сертификат в стороннем центре
сертификации, сертификаты которого пользуются доверием широкого
ряда веб-обозревателей.
Параметры проверки подлинности для мобильного Outlook в Exchange Server 2007 с пакетом обновления 1 (SP1)
По умолчанию в окончательной первоначальной версии (RTM) сервера Exchange 2007 для виртуального каталога /rpc была включена обычная проверка подлинности и встроенная проверка подлинности Windows, которые нельзя было изменить. Даже если использовался один способ проверки подлинности, для виртуального каталога /rpc всегда были включены оба способа проверки подлинности. Так как это представляет собой уязвимость системы безопасности, в Exchange 2007 с пакетом обновления 1 (SP1) можно выбрать только один способ проверки подлинности для виртуального каталога /rpc. Хотя это не рекомендуется, можно разрешить и обычную проверку подлинности, и встроенную проверку подлинности Windows.
В новых установках Exchange 2007 с пакетом обновления 1 (SP1) по умолчанию для виртуального каталога /rpc используется тот же способ проверки подлинности, который выбирается при включении мобильного Outlook с помощью мастера включения мобильного Outlook. Способ проверки подлинности по умолчанию для служб IIS можно изменить с помощью командлета Set-OutlookAnywhere на встроенную проверку подлинности Windows, на обычную проверку подлинности или на оба типа проверки. Кроме мастера включения мобильного Outlook, для настройки мобильного Outlook можно использовать командлет Enable-OutlookAnywhere.
Важно! |
---|
После обновления окончательной первоначальной версии (RTM) сервера Exchange 2007 до Exchange 2007 с пакетом обновления 1 (SP1) рекомендуется вручную указать один способ проверки подлинности с помощью командлета Set-OutlookAnywhere. |
Использование нескольких способов проверки подлинности для мобильного Outlook
Если развернут сервер брандмауэра, который выполняет делегирование проверки подлинности, необходимо изменить способ проверки подлинности для виртуального каталога /rpc на способ, который не используется клиентом. Допустим, например, что сервер брандмауэра выполняет на сервере клиентского доступа проверку подлинности NTLM. Тем не менее клиент использует обычную проверку подлинности. В этом примере сервер брандмауэра делегирует проверку подлинности пользователей. Поэтому виртуальный каталог /rpc в службах IIS настраивается на проверку подлинности NTLM.
Хотя это не рекомендуется, в Exchange 2007 с пакетом обновления 1 (SP1) можно настроить виртуальный каталог /rpc в службах IIS на использование как обычной проверки подлинности, так и NTLM. Распространенной ситуацией, в которой можно использовать оба способа проверки подлинности, является передача дополнительных служб RPC через HTTP на тот же сервер клиентского доступа, который предоставляет доступ к мобильному Outlook. В этом примере каждой службе требуются оба способа проверки подлинности. Чтобы настроить виртуальный каталог /rpc в службах IIS на использование обычной проверки подлинности и NTLM, выполните следующую команду:
Set-OutlookAnywhere -Name Server01
-IISAuthenticationMethod Basic,NTLM
Использование собственного центра сертификации
Чтобы установить собственный центр сертификации, используйте средство создания центров сертификации Microsoft Windows. По умолчанию приложения и веб-обозреватели не доверяют корневому центру сертификации при установке собственного центра сертификации. Если пользователь пытается подключиться к Microsoft Office Outlook 2007 или Outlook 2003 с использованием мобильного Outlook, этот пользователь утрачивает подключение к Microsoft Exchange. Пользователь не получает уведомление об этом. Подключение утрачивается при выполнении одного из следующих условий:
- Клиент не доверяет данному сертификату.
- Сертификат не соответствует имени, к которому клиент
предпринимает попытку подключиться.
- Данные сертификата неверны.
Таким образом, необходимо убедиться, что клиентские компьютеры доверяют данному центру сертификации. Кроме того, если используется собственный центр сертификации, при выдаче сертификата серверу клиентского доступа необходимо убедиться, что в поле Общее имя или поле Выдано этого сертификата указано имя, совпадающее с URL-адресом данного сервера клиентского доступа, по которому к серверу можно обратиться из Интернета. Например, поле Общее имя или поле Имя должно содержать имя, указывающее на сервер mail.contoso.com. В этих полях нельзя указать внутреннее полное доменное имя нужного компьютера. Например, здесь нельзя указать имя mycomputer.contoso.com.
Дополнительные сведения
Дополнительные сведения о мобильном Outlook см. в следующих разделах: