Применимо к: Exchange Server 2010 SP1

Последнее изменение раздела: 2010-09-13

Существует несколько методов защиты мобильного Outlook (ранее известного как RPC через HTTP). В среде обмена сообщениями Microsoft Exchange Server 2010, где включена поддержка мобильного Outlook, пользователи могут обращаться к Exchange через Интернет. Когда пользователь обращается к почтовому ящику через Интернет с помощью мобильного Outlook, то при каждом создании или обновлении профиля Outlook служба автообнаружения автоматически обнаруживает сведения в профиле Outlook и предоставляет пользователю доступ к веб-службам Exchange, включая автономную адресную книгу, службу доступности и единую систему обмена сообщениями. Поскольку трафик в Интернете слабо защищен от перехвата и атак, рекомендуется использовать стратегию безопасности, которая включает максимальное количество средств безопасности.

Необходимы сведения о задачах управления, связанных с мобильным Outlook? См. раздел Управление Outlook Anywhere.

Содержание

Использование усовершенствованного сервера брандмауэра для мобильного Outlook

Использование протокола SSL с мобильным Outlook

Варианты развертывания SSL для мобильного Outlook

Использование разгрузки SSL для мобильного Outlook

Настройка проверки подлинности для мобильного Outlook

Общие сведения о проверке подлинности для мобильного Outlook и виртуального каталога RPC

Использование усовершенствованного сервера брандмауэра для мобильного Outlook

Использование усовершенствованного сервера брандмауэра, такого как Microsoft Internet Security and Acceleration (ISA) Server 2006, улучшает безопасность мобильного Outlook. Сервер ISA Server 2006 включает мастер установки, позволяющий настроить его для работы с Exchange 2010 и мобильным Outlook. Дополнительные сведения см. в разделе Использование сервера ISA Server с Outlook Anywhere.

Использование протокола SSL с мобильным Outlook

При использовании мобильного Outlook для доступа к сведениям Exchange из Интернета необходимо установить SSL-сертификат от доверенного центра сертификации, имеющего доверительные отношения с операционной системой клиентского компьютера. Дополнительные сведения об использовании SSL-сертификатов для клиентского доступа см. в разделе Общие сведения о цифровых сертификатах и протоколе SSL. Дополнительные сведения об использовании протокола SSL с мобильным Outlook см. в разделе Настройка SSL для мобильного Outlook.

Для клиентов Outlook 2007 и Outlook 2010 вне организации мобильный Outlook предоставляет возможность подключения к организации Exchange. В этой ситуации Outlook 2007 или Outlook 2010 использует службу DNS для поиска сведений о подключении к службе автообнаружения. Так как служба DNS подвержена различным атакам злоумышленников, Outlook 2007 и Outlook 2010 запрашивают сведения службы автообнаружения только для двух сочетаний URL-адресов, защищенных с помощью SSL.

Для организации с именем www.contoso.com, адреса электронной почты которой создаются на основе имени основного сайта (например: kwekua@contoso.com), два сочетания URL-адресов будут формироваться следующим образом:

  1. Outlook сначала попытается использовать URL-адрес https://contoso.com/autodiscover/autodiscover.xml.

  2. Если с помощью предыдущего URL-адреса не удается найти службу автообнаружения, Outlook попытается использовать URL-адрес https://autodiscover.contoso.com/autodiscover/autodiscover.xml.

В начало

Варианты развертывания SSL для мобильного Outlook

Существует несколько способов защитить связь между клиентами Outlook 2007 и Outlook 2010 и службой автообнаружения с помощью SSL. При использовании мобильного Outlook клиенты Outlook запрашивают службу DNS для получения сведений о точке подключения службы автообнаружения. Рекомендуется использовать поле «Дополнительное имя субъекта» в SSL-сертификате для защиты связи между клиентами и сервером клиентского доступа, на котором размещается служба автообнаружения. Дополнительные сведения о настройке дополнительного имени субъекта для SSL-сертификата см. в разделе Настройка SSL-сертификатов для использования нескольких имен узлов серверов клиентского доступа.

Кроме того, можно использовать несколько SSL-сертификатов. Дополнительные сведения см. в разделе Настройка использования нескольких SSL-сертификатов в мобильном Outlook.

Еще один вариант — использовать SSL-сертификат с перенаправлением. Дополнительные сведения см. в разделе Настройка использования SSL-сертификата с перенаправлением в мобильном Outlook.

Использование разгрузки SSL для мобильного Outlook

При наличии оборудования, которое использует разгрузку SSL-шифрования трафика, направленного на сервер клиентского доступа, необходимо настроить разгрузку SSL для мобильного Outlook. Дополнительные сведения см. в разделе Настройка разгрузки SSL для мобильного Outlook.

В начало

Настройка проверки подлинности для мобильного Outlook

При использовании мастера включения мобильного Outlook для настройки сервера клиентского доступа с целью предоставления доступа к мобильному Outlook необходимо выбрать метод проверки подлинности для клиентов Outlook. После выбора метода проверки подлинности можно изменять этот метод, используя командлет Set-OutlookAnywhere в командной консоли Exchange.

Общие сведения о проверке подлинности для мобильного Outlook и виртуального каталога RPC

Метод проверки подлинности для мобильного Outlook — это метод, который будет использоваться клиентом Outlook 2007 или Outlook 2010. Этот метод проверки подлинности автоматически предоставляется клиенту службой автообнаружения. Пользователь выбирает тип проверки подлинности для виртуального каталога RPC при включении мобильного Outlook. Можно выбрать обычную проверку подлинности и/или проверку подлинности NTLM. Можно включить поддержку обоих методов проверки подлинности — обычного и NTLM — при использовании виртуального каталога служб IIS с несколькими приложениями, для которых требуются разные методы проверки подлинности.

Примечание.
В случае настройки этого параметра с использованием интерфейса IIS можно включить поддержку любого количества методов проверки подлинности.

Метод проверки подлинности для виртуального каталога RPC можно изменить при помощи командлета Set-OutlookAnywhere. Дополнительные сведения см. в разделе Настройка проверки подлинности для мобильного Outlook.

В начало

Обычная проверка подлинности и мобильный Outlook

Для мобильного Outlook можно использовать обычную проверку подлинности. Обычная проверка подлинности запрашивает имя пользователя и пароль, а затем отправляет имя пользователя и пароль через Интернет в виде простого текста. Обычная проверка подлинности поддерживается для мобильного Exchange, если для обеспечения безопасности соединения между клиентом Microsoft Office Outlook Web App и инфраструктурой обмена сообщениями Outlook используется протокол SSL. Дополнительные сведения см. в разделе Настройка проверки подлинности для мобильного Outlook.

Интегрированная проверка подлинности Windows и мобильный Outlook

ISA Server 2006 поддерживает использование встроенной проверки подлинности Windows для мобильного Outlook. Если используется брандмауэр, не поддерживающий встроенную проверку подлинности Windows, необходимо использовать обычную проверку подлинности в сочетании с SSL. Дополнительные сведения см. в разделе Настройка проверки подлинности для мобильного Outlook.

В начало