В данном разделе объясняется, как с помощью консоли управления Exchange или командной консоли Exchange настроить проверку подлинности Microsoft Office Outlook Web Access для служб федерации Active Directory (ADFS). Службы ADFS расширяют возможности использования функции единого входа, доступной в части сети, находящейся под единой защитой, или в части корпоративной сети для приложений с доступом в Интернет. Возможность единого входа облегчает доступ к веб-приложениям (таким как Outlook Web Access) для клиентов, партнеров и поставщиков организации.

Сведения об Outlook Web Access и службах ADFS

При выполнении проверки подлинности с помощью служб ADFS Outlook Web Access можно использовать только для доступа к почтовым ящикам Exchange 2007. Службы ADFS не поддерживают доступ из Outlook Web Access к почтовым ящикам Exchange 2000 или Exchange 2003, даже если подключение к почтовому ящику устанавливается через сервер клиентского доступа Exchange 2007.

В службах ADFS функция выхода по времени (или истечения времени сеанса) не поддерживает взаимодействие с Outlook Web Access. Чтобы службы ADFS можно было использовать с Outlook Web Access, функцию выхода по времени в них необходимо отключить.

Службы ADFS поддерживают приложения Windows NT, использующие маркеры и поддерживающие утверждения. Outlook Web Access — это приложение Windows NT, использующее маркеры. При настройке служб ADFS для Outlook Web Access следуйте инструкциям, которые составлены для приложений, использующих маркеры.

Чтобы службы ADFS можно было использовать с Outlook Web Access, необходимо включить в Outlook Web Access поддержку анонимного доступа.

Внимание!
Вообще, включать поддержку анонимного доступа в Outlook Web Access не следует, если только доступ к нему осуществляется не по подключению, требующему выполнения проверки подлинности, например через службы ADFS. Включение поддержки анонимного доступа в Outlook Web Access может поставить под угрозу безопасность системы, поэтому, если сделать это в Outlook Web Access и службах Internet Information Services (IIS), появятся предупреждения о том, что все способы проверки подлинности отключены.

Дополнительные сведения о службах ADFS и подготовке служб ADFS для Outlook Web Access см. в статьях Службы федерации Active Directory (на английском языке) и Развертывание приложений, использующих службы федерации Active Directory (на английском языке).

Предварительная подготовка

Для выполнения описанных ниже действий используемой учетной записи необходимо делегировать роль администратора сервера Exchange и членство в локальной группе администраторов на целевом сервере.

Дополнительные сведения о разрешениях, делегировании ролей и правах, необходимых для администрирования сервера Exchange Server 2007, см. в статье Сведения о разрешениях (на английском языке).

Порядок действий

Отключение всех способов проверки подлинности для Outlook Web Access с помощью консоли управления Exchange

  1. В консоли управления Exchange щелкните узел Конфигурация сервера, а затем — пункт Клиентский доступ.

    Примечание.
    Чтобы включить поддержку анонимного доступа для Outlook Web Access, необходимо отключить все способы проверки подлинности.
  2. На вкладке Веб-клиент Outlook откройте свойства виртуального каталога, который нужно настроить для использования анонимного доступа.

  3. Откройте вкладку Проверка подлинности.

  4. Выберите вариант Использовать один или несколько стандартных способов проверки подлинности.

  5. Не выбирайте способ проверки подлинности. Если какой-либо способ проверки подлинности выбран, снимите соответствующий флажок.

  6. Нажмите кнопку ОК.

  7. Появится предупреждение, извещающее о том, что способ проверки подлинности не выбран, и указывающее задать способ проверки подлинности с помощью командной консоли Exchange. Нажмите кнопку ОК, чтобы закрыть предупреждение.

  8. Перезапустите службы IIS, выполнив в окне командной строки команду iisreset/noforce.

Отключение всех способов проверки подлинности для Outlook Web Access с помощью командной консоли Exchange

  1. Откройте командную консоль Exchange на сервере клиентского доступа, содержащем виртуальные каталоги Outlook Web Access, которые необходимо настроить.

    Примечание.
    Чтобы включить поддержку анонимного доступа для Outlook Web Access, необходимо отключить все способы проверки подлинности.
  2. Чтобы отключить проверку подлинности на основе форм для виртуального каталога «/owa» и веб-узла «Default Web Site», выполните следующую команду:

    Копировать код
    Set-owavirtualdirectory -identity "owa (default web site)" -FormsAuthentication:$false
    
  3. Чтобы отключить все стандартные способы проверки подлинности для виртуального каталога «/owa» и веб-узла Default Web Site, выполните следующую команду:

    Копировать код
    Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -WindowsAuthentication $false
    Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -BasicAuthentication $false
    Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -DigestAuthentication $false
    
  4. При отключении последнего активного способа проверки подлинности появится предупреждение, извещающее о том, что для виртуального каталога не задан никакой способ проверки подлинности, и указывающее задать его с помощью командлета Set-OwaVirtualDirectory. Не обращайте внимания на это предупреждение.

  5. Перезапустите службы IIS, выполнив в окне командной строки команду iisreset/noforce.

После отключения всех способов проверки подлинности для виртуального каталога Outlook Web Access с помощью консоли управления Exchange или командной консоли Exchange необходимо включить анонимный доступ для этого виртуального каталога в IIS с помощью диспетчера IIS.

Включение анонимного доступа для виртуального каталога с помощью диспетчера IIS

  1. Откройте диспетчер IIS.

  2. Найдите веб-узел и виртуальный каталог, для которых были отключены все способы проверки подлинности в соответствии с описанной выше процедурой. В конфигурации по умолчанию это каталог Web Sites\Default Web site\owa.

  3. Откройте свойства виртуального каталога, а затем — вкладку Безопасность каталога.

  4. В разделе Управление доступом и проверка подлинности нажмите кнопку Изменить.

  5. Выберите пункт Анонимный доступ.

  6. Дважды нажмите кнопку ОК, чтобы сохранить изменения. При этом может появиться предупреждение о переопределении наследования. Нажмите кнопку ОК, чтобы закрыть предупреждение.

  7. Перезапустите службы IIS, выполнив в окне командной строки команду iisreset/noforce.

Дополнительные сведения о синтаксисе и параметрах см. в разделе Set-OwaVirtualDirectory.

Дополнительные сведения

Дополнительные сведения о способах проверки подлинности в Outlook Web Access см. в следующих разделах: