对 Outlook Anywhere 的建议
适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上一次修改主题: 2007-10-24
本主题为在 Exchange 基础结构中使用 Outlook Anywhere 提供建议。
当 Microsoft Exchange 与 Outlook Anywhere 配合使用时,建议您使用以下配置:
安全套接字层 (SSL) 上的 NTLM 身份验证 建议您在安装了客户端访问服务器角色的 Microsoft Exchange Server 2007 计算机上对所有客户端到服务器通信启用和要求 SSL。我们还建议使用 NTLM 身份验证。HTTP 会话应当始终建立在 SSL(端口 443)上。有关如何配置使用 SSL 的 Outlook Anywhere 身份验证的信息,请参阅管理 Outlook Anywhere 安全性。
要点: 如果使用的防火墙不处理 NTLM,则必须在 SSL 上使用基本身份验证。 在外围网络使用高级防火墙服务器 建议您使用专用防火墙服务器,以帮助提高 Exchange 计算机的安全性。Microsoft Internet Security and Acceleration (ISA) Server 2006 是专用防火墙服务器产品的示例。ISA Server 2006 还允许您使用 NTLM 身份验证,而不是基本身份验证,因为 ISA Server 可识别 NTLM 身份验证信息。其他防火墙服务器可能知道如何使用 NTLM 身份验证。若要确定防火墙服务器是否允许 NTLM 身份验证,请参阅防火墙产品的产品文档。
从第三方证书颁发机构 (CA) 获得证书 若要对客户端访问服务器和 Outlook 客户端之间的所有通信启用和要求 SSL,必须在默认网站级别获得并发布证书。建议您从其证书被多种 Web 浏览器广泛信任的第三方证书颁发机构购买证书。
Exchange 2007 Service Pack 1 (SP1) 中 Outlook Anywhere 的身份验证选项
默认情况下,在原始发布 (RTM) 版的 Exchange 2007 中,已对 /rpc 虚拟目录同时启用基本身份验证和集成 Windows 身份验证,并且无法修改。即使只使用一种身份验证方法,也会始终对 /rpc 虚拟目录启用这两种身份验证方法。已确定这是一个安全漏洞,在 Exchange 2007 SP1 中,现在可以选择只对 /rpc 虚拟目录使用一种身份验证方法。您也可以选择同时允许基本身份验证和集成 Windows 身份验证,但是建议不要这样做。
对于新安装的 Exchange 2007 SP1,默认情况下,/rpc 虚拟目录的身份验证方法将与使用启用 Outlook Anywhere 向导启用 Outlook Anywhere 时选择的身份验证方法相同。可以使用 Set-OutlookAnywhere cmdlet 将 Internet 信息服务 (IIS) 的默认身份验证方法修改为集成 Windows 身份验证和/或基本身份验证。也可以使用 Enable-OutlookAnywhere cmdlet 代替启用 Outlook Anywhere 向导,来配置 Outlook Anywhere。
要点: |
---|
从 RTM 版的 Exchange 2007 升级到 Exchange 2007 SP1 之后,建议使用 Set-OutlookAnywhere cmdlet 手动指定单个身份验证方法。 |
对 Outlook Anywhere 使用多个身份验证方法
如果部署防火墙服务器来执行身份验证委派,必须将 /rpc 虚拟目录的身份验证方法更改为与客户端使用的身份验证方法不同的方法。例如,如果部署防火墙服务器来执行身份验证委派,防火墙服务器将使用 NTLM 身份验证对客户端访问服务器进行身份验证。但是,客户端使用基本身份验证。在该示例中,防火墙服务器负责委派用户的身份验证。这就是为什么将 IIS 中的 /rpc 虚拟目录配置为使用 NTLM 身份验证。
在 Exchange 2007 SP1 中,可以将 IIS 中的 /rpc 虚拟目录配置为同时使用 NTLM 身份验证和基本身份验证,但是建议不要这样做。可能会同时使用这两种身份验证方法的一种常见情况是将 RPC over HTTP 的其他服务代理到用于访问 Outlook Anywhere 的同一客户端访问服务器时。在该示例中,每项服务都要求有这两种身份验证方法。要将 IIS 中的 /rpc 虚拟目录配置为同时使用 NTLM 身份验证和基本身份验证,请运行以下命令:
Set-OutlookAnywhere -Name Server01 -IISAuthenticationMethod Basic,NTLM
使用您自己的证书颁发机构
可以使用 Microsoft Windows 中的证书颁发机构工具来安装您自己的证书颁发机构。默认情况下,当您安装您自己的证书颁发机构时,应用程序和 Web 浏览器不信任您的根证书颁发机构。用户试图使用 Outlook Anywhere 在 Microsoft Office Outlook 2007 或 Outlook 2003 中进行连接时,该用户将失去与 Microsoft Exchange 的连接。用户不会得到通知。当以下条件之一为真时,用户将失去连接:
客户端不信任证书。
证书与客户端尝试连接的名称不匹配。
证书日期不正确。
因此,必须确保客户端计算机信任证书颁发机构。另外,如果使用您自己的证书颁发机构,则在向客户端访问服务器颁发证书时,必须确保该证书上的“公用名”字段或“颁发到”字段包含的名称与在 Internet 上可用的客户端访问服务器的 URL 相同。例如,“公用名”字段或“颁发到”字段必须包含类似于 mail.contoso.com 的名称。这些字段不能包含计算机的内部完全限定的域名。例如,它们不能包含类似于 mycomputer.contoso.com 的名称。
详细信息
有关 Outlook Anywhere 的详细信息,请参阅以下主题: