Configurazione di Exchange 2003 per l'accesso client

 

Ultima modifica dell'argomento: 2010-11-19

In questo argomento verranno fornite informazioni sulla configurazione di Microsoft® Exchange Server 2003 per l'accesso client. In particolare, verranno trattati i seguenti argomenti:

• Protezione dell'ambiente di messaggistica di Exchange.
• Distribuzione dell'architettura server.
• Configurazione dei server di Exchange per i metodi di accesso client supportati.

Autorizzazioni per la configurazione di Exchange 2003 per l'accesso client

Nella tabella 1 sono elencate le autorizzazioni o i ruoli necessari per le procedure illustrate in questo argomento.

Tabella 1   Procedure illustrate in questo argomento e relative autorizzazioni

Procedura	Autorizzazioni o ruoli necessari
Configurazione di SSL (Secure Sockets Layer) in un server	Amministratore locale
Recupero di un certificato server da un'Autorità di certificazione	Amministratore locale
Aggiunta di Gestione certificati a MMC (Microsoft Management Console)	Amministratore locale
Backup del certificato server	Amministratore locale
Richiesta SSL	Amministratore locale
Configurazione di un server front-end	Amministratore locale
Configurazione del server front-end di Exchange per l'utilizzo di RPC (Remote Procedure Call) su HTTP	Amministratore locale
Configurazione della directory virtuale RPC	Amministratore locale Amministratore di dominio
Configurazione del server proxy RPC per l'utilizzo delle porte predefinite specificate per RPC su HTTP all'interno della rete aziendale	Amministratore locale Amministratore di dominio
Configurazione dei server di catalogo globale per l'utilizzo delle porte predefinite specificate per RPC su HTTP all'interno della rete perimetrale	Amministratore locale Amministratore di dominio
Creazione di un profilo Microsoft Office Outlook® per l'utilizzo con RPC su HTTP	Nessuna autorizzazione specifica necessaria
Configurazione di Exchange 2003 per l'utilizzo di Microsoft Exchange ActiveSync®	Amministratore locale
Configurazione dei dispositivi Pocket PC Phone Edition per l'utilizzo di Exchange ActiveSync	Nessuna autorizzazione specifica necessaria
Verifica della configurazione di ACE/Agent per la protezione dell'intero server Web	Amministratore locale
Limitazione dell'autenticazione SecurID alla directory virtuale Microsoft-Exchange-ActiveSync	Amministratore locale
Personalizzazione delle risposte HTTP per i dispositivi	Amministratore locale
Abilitazione di Microsoft Outlook Mobile Access	Amministratore locale
Configurazione dei dispositivi Pocket PC Phone Edition per l'utilizzo di Outlook Mobile Access	Nessuna autorizzazione specifica necessaria
Abilitazione dell'autenticazione basata su form	Amministratore locale Amministratore di Exchange
Abilitazione della compressione dati	Amministratore locale Amministratore di Exchange
Avvio, arresto o sospensione del server virtuale	Amministratore locale Amministratore di Exchange

Protezione dell'ambiente di messaggistica di Exchange

La protezione dell'ambiente di messaggistica di Exchange comprende le seguenti attività di distribuzione:

1. Aggiornamento del software del server.
2. Protezione dell'ambiente di messaggistica.
3. Protezione delle comunicazioni.

Per proteggere il sistema di messaggistica, completare le seguenti operazioni nell'ordine indicato.

Aggiornamento del software del server

Una volta completata l'installazione di Exchange Server 2003, è necessario eseguire l'aggiornamento del software sui server di Exchange e su qualsiasi altro server con il quale comunica, ad esempio i server di catalogo globale e i controller di dominio. Per ulteriori informazioni sull'aggiornamento del software con le nuove patch di protezione, vedere il sito Web relativo alla protezione di Exchange Server all'indirizzo https://go.microsoft.com/fwlink/?LinkId=18412 (informazioni in lingua inglese).

Per ulteriori informazioni sulla protezione Microsoft, vedere il relativo sito Web all'indirizzo https://go.microsoft.com/fwlink/?linkid=21633 (informazioni in lingua inglese).

Protezione dell'ambiente di messaggistica di Exchange

Anziché posizionare i server front-end di Exchange 2003 nella rete perimetrale, è possibile distribuire Microsoft Internet Security and Acceleration (ISA) Server 2000 e utilizzarlo come firewall avanzato per il controllo del traffico Internet in ingresso nella rete. Quando si utilizza tale configurazione, i server di Exchange 2003 vengono inseriti all'interno della rete aziendale e ISA Server viene utilizzato come server firewall avanzato esposto al traffico Internet nella rete perimetrale.

Tutto il traffico Internet in ingresso nei server di Exchange, ad esempio Microsoft Office Outlook Web Access, comunicazioni RPC su HTTP da client Outlook 2003, Outlook Mobile Access, Post Office Protocol versione 3 (POP3), Internet Message Access Protocol versione 4rev1 (IMAP4) e così via, viene elaborato da ISA Server. Quando ISA Server riceve una richiesta per un server di Exchange, la invia tramite proxy ai server di Exchange appropriati nella rete interna. I server di Exchange interni restituiscono i dati richiesti a ISA Server, che invia le informazioni al client tramite Internet. Nella figura 1 viene illustrato un esempio di distribuzione ISA Server consigliata.

Protezione delle comunicazioni

Per proteggere le comunicazioni relative all'ambiente di messaggistica di Exchange, è necessario eseguire le seguenti operazioni:

• Proteggere le comunicazioni tra le applicazioni di messaggistica client e il server front-end di Exchange.
• Proteggere le comunicazioni tra il server front-end di Exchange e la rete interna.

Nelle seguenti sezioni verranno fornite informazioni sulla protezione delle comunicazioni per entrambi gli scenari.

Protezione delle comunicazioni tra il client e il server front-end di Exchange

Per proteggere i dati trasmessi tra il client e il server front-end, si consiglia di abilitare SSL (Secure Sockets Layer) sul server front-end. Inoltre, per assicurare la protezione completa dei dati degli utenti, si consiglia di disabilitare l'accesso al server front-end senza l'utilizzo di SSL. Questa opzione può essere impostata nella configurazione SSL. Quando si utilizza l'autenticazione di base, è essenziale proteggere il traffico di rete mediante SSL per impedire la violazione delle password utente da parte dei programmi che eseguono l'analisi dei pacchetti sulla rete.

Per ottenere un certificato SSL, è preferibile acquistare un certificato da un'Autorità di certificazione (CA) di terze parti. Questo è il metodo consigliato perché la maggior parte dei browser considerano attendibili molte di queste Autorità di certificazione.

In alternativa, è possibile utilizzare Servizi certificati per installare Autorità di certificazione personalizzate. Sebbene questo metodo sia meno costoso, i browser non considereranno attendibile il certificato e verrà visualizzato un messaggio di avviso per segnalare che il certificato non è attendibile. Per ulteriori informazioni su SSL, vedere l'articolo 320291 della Microsoft Knowledge Base "XCCC: Attivazione di SSL per Exchange 2000 Server Outlook Web Access" all'indirizzo https://go.microsoft.com/fwlink/?linkid=3052&kbid=320291.

Utilizzo di SSL (Secure Sockets Layer)

Per proteggere la posta in ingresso e in uscita, si consiglia di distribuire SSL per crittografare il traffico di messaggistica. È possibile configurare le funzionalità di protezione SSL in un server di Exchange per verificare l'integrità delle informazioni e l'identità degli utenti e per crittografare le trasmissioni sulla rete. In Exchange, come in qualsiasi altro server Web, l'attivazione delle comunicazioni SSL richiede un certificato server valido. È possibile utilizzare la Gestione guidata certificati server Web per generare un file di richiesta certificato (il file predefinito è NewKeyRq.txt) da inviare a un'Autorità di certificazione oppure per generare una richiesta per un'Autorità di certificazione in linea, ad esempio Servizi certificati.

Se non si utilizza Servizi certificati per il rilascio di certificati server personalizzati, è necessaria un'Autorità di certificazione di terze parti che approvi la richiesta e rilasci il certificato server. Per ulteriori informazioni sui certificati server, vedere "Recupero e installazione dei certificati server" più avanti in questo argomento. A seconda del livello di controllo dell'identificazione offerto dal certificato server, è possibile che l'approvazione della richiesta e l'invio di un file di certificato da parte dell'autorità di certificazione richieda tempi prolungati, da qualche giorno ad alcuni mesi. È possibile disporre di un solo certificato server per ciascun sito Web.

Una volta ricevuto un file di certificato server, è necessario utilizzare la Gestione guidata certificati server Web per installarlo. Il processo di installazione associa il certificato a un sito Web.

Per la procedura dettagliata, vedere Configurazione di SSL in un server.

Se è necessaria la crittografia con chiave a 128 bit, è necessario che i browser Web utilizzati dagli utenti forniscano il supporto per la crittografia a 128 bit. Per informazioni sull'aggiornamento alla funzionalità di crittografia a 128 bit, vedere il sito Web del Servizio Supporto Tecnico Clienti Microsoft all'indirizzo https://go.microsoft.com/fwlink/?linkid=14898.

Recupero e installazione dei certificati server

È possibile ottenere certificati server da un'autorità di certificazione (CA) esterna oppure rilasciare certificati server personalizzati utilizzando Servizi certificati. Una volta ottenuto un certificato server, è possibile installarlo. Quando si utilizza la Gestione guidata certificati server Web per ottenere e installare un certificato server, il processo viene indicato come creazione e assegnazione di un certificato server.

Per la procedura dettagliata, vedere Recupero di un certificato server da un'Autorità di certificazione.

In questa sezione verranno illustrate le problematiche da tenere in considerazione per decidere se è preferibile ottenere i certificati server da una CA esterna oppure rilasciare certificati server personalizzati. Di seguito sono elencati gli argomenti trattati in questa sezione:

• Recupero dei certificati server da un'autorità di certificazione
• Rilascio di certificati server personalizzati
• Installazione dei certificati server
• Backup dei certificati server

Recupero dei certificati server da un'Autorità di certificazione

In caso di sostituzione del certificato server corrente, IIS continua a utilizzare tale certificato finché la nuova richiesta non è stata completata. Al momento della scelta della CA, si consiglia di prendere in considerazione i seguenti elementi:

• La CA sarà in grado di rilasciare un certificato compatibile con tutti i browser utilizzati per l'accesso al server?
• La CA è un'organizzazione riconosciuta e attendibile?
• La CA eseguirà la verifica delle identità degli utenti?
• La CA mette a disposizione un sistema per la ricezione delle richieste di certificato in linea, ad esempio le richieste generate dalla Gestione guidata certificati server Web?
• Quale sarà il costo iniziale del certificato e quello per il successivo rinnovo e per gli altri servizi?
• La CA possiede una certa familiarità con gli interessi commerciali dell'organizzazione o della società?

Rilascio di certificati server personalizzati

Per decidere se rilasciare o meno certificati server personalizzati, è necessario tenere presente quanto segue:

• Servizi certificati è in grado di gestire diversi formati di certificato e consente il controllo e la registrazione delle attività correlate ai certificati.
• È importante confrontare il costo associato al rilascio dei certificati personalizzati con quello associato all'acquisto di un certificato da un'Autorità di certificazione.
• Sarà necessario un periodo di adattamento iniziale per apprendere, implementare e integrare Servizi certificati in base ai criteri e ai sistemi di protezione esistenti dell'organizzazione.
• È importante determinare se i client interessati saranno propensi a considerare l'organizzazione come fornitore di certificati attendibile.

Utilizzare Servizi certificati per creare un servizio personalizzabile per il rilascio e la gestione dei certificati. È possibile creare certificati server per Internet o per reti Intranet aziendali fornendo all'organizzazione il controllo completo sui criteri di gestione dei certificati. Per ulteriori informazioni, vedere la sezione relativa ai Servizi certificati nella Guida in linea di Windows Server™ 2003.

Le richieste in linea per i certificati server possono essere inviate soltanto a un server di Servizi certificati aziendale locale o remoto e a un server di Servizi certificati autonomo remoto. La Gestione guidata certificati server Web non supporta un'installazione autonoma di Servizi certificati nello stesso computer per la richiesta di un certificato. Se è necessario utilizzare la Gestione guidata certificati server Web sullo stesso computer come installazione autonoma di Servizi certificati, è necessario utilizzare la richiesta di certificato non in linea per salvare la richiesta in un file e quindi elaborarla come richiesta non in linea. Per ulteriori informazioni, vedere la sezione relativa ai Servizi certificati nella Guida in linea di Windows Server 2003.

Installazione dei certificati server

Una volta ottenuto un certificato server da una CA o dopo il rilascio di un certificato server personalizzato mediante Servizi certificati, è necessario utilizzare la Gestione guidata certificati server Web per installare il certificato.

Backup dei certificati server

È possibile utilizzare la Gestione guidata certificati server Web per eseguire il backup dei certificati server. Poiché il funzionamento di IIS è strettamente correlato a quello di Windows, è possibile utilizzare Gestione certificati, denominato Certificati in MMC (Microsoft Management Console), per esportare ed eseguire il backup dei certificati server.

Per la procedura dettagliata relativa all'aggiunta di Gestione certificati a una console MMC vuota, vedere Aggiunta di un gestore di certificati a MMC (Microsoft Management Console).

Una volta installato Gestione certificati, è possibile eseguire il backup del certificato. Per la procedura dettagliata, vedere Backup del certificato server.

Dopo aver configurato la rete per il rilascio dei certificati server, è necessario proteggere il server front-end di Exchange e i relativi servizi richiedendo l'utilizzo del protocollo SSL per le comunicazioni con il server front-end di Exchange. Nella seguente sezione verranno fornite le istruzioni per abilitare il protocollo SSL per il sito Web predefinito.

Abilitazione di SSL per il sito Web predefinito

Una volta ottenuto un certificato SSL da utilizzare con il server front-end di Exchange sul sito Web predefinito o sul sito contenente le directory virtuali \RPC, \OMA, \Microsoft-Server-ActiveSync, \Exchange, \Exchweb e \Public, è possibile impostare il sito Web predefinito per richiedere l'utilizzo di SSL.

Per la procedura dettagliata, vedere Configurazione delle directory virtuali per l'utilizzo di SSL.

Al termine della procedura, tutte le directory virtuali del server front-end di Exchange sul sito Web predefinito saranno configurate per l'utilizzo di SSL.

Protezione delle comunicazioni tra il server front-end di Exchange e gli altri server

Una volta protette le comunicazioni tra i computer client e i server front-end di Exchange, è necessario proteggere le comunicazioni tra il server front-end di Exchange e i server back-end presenti nell'organizzazione. Le comunicazioni HTTP, POP e IMAP tra il server front-end e qualsiasi server con cui comunica il server front-end, ad esempio i server back-end, i controller di dominio e i server di catalogo globale, non sono crittografate. Questa situazione non costituisce un problema quando i server front-end e back-end si trovano in una rete commutata o in una rete fisica di tipo trusted. Tuttavia, se i server front-end e back-end si trovano in subnet distinte, è possibile che il traffico di rete debba attraversare aree della rete non protette. La percentuale di rischio, inoltre, è direttamente proporzionale alla distanza fisica esistente tra il server front-end e i server back-end. In questo caso, si consiglia di crittografare il traffico allo scopo di proteggere le password e i dati trasmessi.

Utilizzo di IPSec per la crittografia del traffico IP

In Windows 2000 viene fornito il supporto per il protocollo IPSec (Internet Protocol Security), uno standard Internet che consente a un server di crittografare qualsiasi tipo di traffico IP, ad eccezione di quello che utilizza indirizzi IP broadcast o multicast. In genere, IPSec viene utilizzato per crittografare il traffico HTTP, ma è possibile utilizzarlo anche per il traffico LDAP (Lightweight Directory Access Protocol), RPC, POP e IMAP. IPSec consente di eseguire le seguenti operazioni:

• Configurare due server che eseguono Windows 2000 per richiedere l'accesso di rete di tipo trusted.
• Trasferire dati che non possono essere modificati (utilizzano un checksum di crittografia su ciascun pacchetto).
• Crittografare qualsiasi tipo di traffico tra due server a livello IP.

In una topologia di rete basata su server front-end e back-end, è possibile utilizzare IPSec per crittografare il traffico tra questi server che altrimenti non verrebbe crittografato. Per ulteriori informazioni sulla configurazione di IPSec con firewall, vedere l'articolo 233256 della Microsoft Knowledge Base "Abilitazione del traffico IPSec tramite un firewall" all'indirizzo https://go.microsoft.com/fwlink/?linkid=3052&kbid=233256.

Distribuzione dell'architettura dei server di Exchange

Una volta completata la protezione dell'ambiente di messaggistica di Exchange, è possibile iniziare la distribuzione dell'architettura dei server front-end e back-end di Exchange. Per ulteriori informazioni sull'architettura dei server front-end e back-end di Exchange, vedere la sezione "Protocolli" della guida Pianificazione di un sistema di messaggistica Exchange Server 2003 all'indirizzo https://go.microsoft.com/fwlink/?linkid=47584.

Per configurare l'architettura dei server front-end e back-end di Exchange, è necessario configurare un server di Exchange come server front-end. Prima di continuare con l'installazione, è importante controllare le opzioni di distribuzione specificate. Nella seguente sezione verranno fornite informazioni che consentono di valutare la possibilità di distribuire Exchange 2003 in una configurazione basata su server front-end e back-end.

Una configurazione basata su server front-end e back-end è consigliata nelle organizzazioni con più server che utilizzano Outlook Web Access, POP o IMAP e nelle organizzazioni che desiderano fornire l'accesso HTTP, POP o IMAP ai propri dipendenti.

Configurazione di un server front-end

Un server front-end è un normale server di Exchange che viene successivamente configurato come server front-end. Un server front-end non deve ospitare cartelle pubbliche o cartelle utente e deve appartenere alla stessa organizzazione di Exchange 2003 dei server back-end, ovvero deve appartenere allo stesso insieme di strutture di Windows 2000 Server o Windows Server 2003. Possono essere configurati come server front-end solo i server che eseguono Exchange Server 2003 Enterprise Edition o Exchange Server 2003 Standard Edition.

Per la procedura dettagliata, vedere "Designazione di un server front-end" in Guida alla topologia dei server front-end e back-end per Exchange Server 2003 ed Exchange 2000 Server all'indirizzo https://go.microsoft.com/fwlink/?LinkId=47567.

Riavviare il server per rendere effettive le nuove impostazioni. Per ulteriori informazioni sugli scenari, le configurazioni e l'installazione front-end e back-end, vedere le seguenti guide:

• Pianificazione di un sistema di messaggistica Exchange Server 2003 all'indirizzo https://go.microsoft.com/fwlink/?linkId=47584.
• Using Microsoft Exchange 2000 Front-End Servers all'indirizzo https://go.microsoft.com/fwlink/?linkid=14575 (informazioni in lingua inglese)

Configurazione di Exchange per l'accesso client

La configurazione di Exchange per l'accesso client è correlata alla gestione dei protocolli e dei client che si desidera supportare. Nella seguente sezione viene descritto come abilitare i protocolli client supportati da Exchange sul server di Exchange. Di seguito sono elencati gli argomenti trattati in questa sezione:

• Configurazione del supporto per dispositivi portatili
• Configurazione di Outlook Web Access
• Abilitazione dei server virtuali POP3 e IMAP4

Per informazioni sulla configurazione di RPC su HTTP per Outlook 2003, vedere Scenari di distribuzione di RPC su HTTP con Exchange Server 2003 all'indirizzo https://go.microsoft.com/fwlink/?LinkId=47577.

Configurazione del supporto per dispositivi portatili

La configurazione del supporto per i dispositivi portatili per Exchange 2003 comprende le seguenti attività:

• Configurazione della sincronizzazione.
• Configurazione di Exchange ActiveSync per l'utilizzo di RSA SecurID.
• Abilitazione di Outlook Mobile Access.

Configurazione della sincronizzazione

Durante l'installazione di Exchange, per tutti gli utenti dell'organizzazione viene abilitato automaticamente l'accesso a Exchange per sincronizzazione. Per abilitare l'accesso per sincronizzazione per singoli utenti, è anche possibile utilizzare lo snap-in Utenti e computer di Active Directory.

Configurazione di Exchange ActiveSync

Exchange ActiveSync può essere abilitato e disabilitato a livello di organizzazione di Exchange e a livello di utente.

Per la procedura dettagliata relativa all'abilitazione e disabilitazione di ActiveSync a livello di organizzazione, vedere Abilitazione e disabilitazione delle funzionalità di Exchange ActiveSync a livello dell'organizzazione.

Per la procedura dettagliata relativa all'abilitazione e disabilitazione di Exchange ActiveSync per singoli utenti, vedere Abilitazione e disabilitazione delle funzionalità di Exchange ActiveSync a livello utente.

Una volta abilitato Exchange ActiveSync sarà possibile configurare un dispositivo portatile, ad esempio un dispositivo Pocket PC Phone Edition, per l'utilizzo di Exchange ActiveSync. Questa procedura deve essere eseguita su ciascun dispositivo portatile dell'organizzazione. In alternativa, è possibile fornire agli utenti le istruzioni per la configurazione dei propri dispositivi.

Per la procedura dettagliata, vedere Configurazione di un dispositivo portatile per l'utilizzo di Exchange ActiveSync.

Notifiche di aggiornamento

I dispositivi Microsoft Windows Mobile™ 2003 sono in grado di ricevere notifiche generate da Exchange 2003 che consentono di avviare automaticamente la sincronizzazione Exchange ActiveSync tra il dispositivo di un utente e la relativa cassetta postale di Exchange. Questo processo di sincronizzazione consente di aggiornare il dispositivo portatile con le informazioni aggiornate di Exchange. Per la procedura dettagliata, vedere Impostazione di un operatore di servizi mobili per le notifiche di aggiornamento su un dispositivo.

Configurazione di Exchange ActiveSync per l'utilizzo di RSA SecurID

Per aumentare il livello di protezione, è possibile utilizzare i dispositivi portatili Microsoft Windows con Exchange ActiveSync insieme al metodo di autenticazione a due fattori RSA SecurID.

La configurazione di Exchange ActiveSync per l'utilizzo di RSA SecurID comprende le seguente operazioni.

1. Configurazione dei componenti server di RSA SecurID.
2. Configurazione di Internet Information Server (IIS) per l'utilizzo di RSA SecurID.
3. Configurazione degli account utente.
4. Configurazione di ISA Server 2000.

Configurazione dei componenti server di RSA SecurID

Per configurare i componenti server di RSA SecurID, è necessario eseguire le seguenti operazioni:

• Configurazione di RSA ACE/Server   Il componente RSA ACE/Server corrisponde al server RSA che archivia e gestisce i ticket di autenticazione e le credenziali per gli utenti. Per configurare RSA ACE/Server, attenersi alle procedure descritte nella documentazione di RSA SecurID fornita da RSA Security Inc.
• Configurazione di RSA ACE/Agent sul server front-end   Il componente RSA ACE/Agent corrisponde al filtro ISAPI (Internet Server Application Programming Interface) che esegue l'autenticazione e comunica al componente ACE/Server di recuperare le credenziali SecurID. Per configurare RSA ACE/Agent, attenersi alle procedure descritte nella documentazione di RSA.

Configurazione di IIS per l'utilizzo di RSA SecurID

La configurazione di IIS per l'utilizzo di RSA ed Exchange ActiveSync comprende le seguenti procedure.

1. Protezione delle directory virtuali di Exchange ActiveSync.
2. Personalizzazione delle intestazioni delle risposte HTTP.
3. Installazione delle schermate SecurID (facoltativo). Per ulteriori informazioni sull'installazione di queste schermate, vedere la documentazione di RSA SecurID.

Completare le seguenti operazioni per configurare correttamente IIS per l'utilizzo di SecurID ed Exchange ActiveSync.

Protezione delle directory virtuali di Exchange ActiveSync

La configurazione di IIS richiede innanzitutto la protezione delle directory virtuali a cui gli utenti devono accedere durante l'utilizzo di Exchange ActiveSync. In Exchange Server 2003 viene utilizzata la directory virtuale \Microsoft-Server-ActiveSync.

Per proteggere questa directory virtuale sono disponibili due metodi:

• Protezione dell'intero server Web (metodo consigliato)   In questo caso, tutte le directory principali virtuali sul server IIS vengono protette con il componente RSA ACE/Agent, compresi gli eventuali altri servizi implementati dal server front-end. È possibile, ad esempio, configurare il server front-end di Exchange come punto di accesso per Outlook Mobile Access o Outlook Web Access. Per impostazione predefinita, il componente ACE/Agent è configurato per proteggere l'intero server Web. Per la procedura dettagliata relativa alla verifica di questa impostazione, vedere Verifica della configurazione di ACE/Agent per la protezione dell'intero server Web.
• Protezione solo delle directory virtuali di Exchange ActiveSync   In questo caso, il componente RSA ACE/Agent viene configurato in modo che solo Exchange ActiveSync sia protetto tramite SecurID. Questa opzione deve essere utilizzata se si desidera abilitare servizi aggiuntivi, ad esempio Outlook Web Access e Outlook Mobile Access, sullo stesso server senza proteggere tali servizi con SecurID. Per la procedura dettagliata, vedere Restrizioni di autenticazione SecurID alla directory virtuale Microsoft-Exchange-ActiveSync.

Personalizzazione dell'intestazione delle risposte HTTP per i dispositivi

Il client ActiveSync sul dispositivo portatile Microsoft Windows deve essere in grado di distinguere tra autenticazione RSA SecurID e risposte Exchange ActiveSync. A questo scopo, è necessario personalizzare le intestazioni delle risposte HTTP sulla directory principale virtuale WebID contenente i moduli HTML configurati dal componente RSA ACE/Agent.

Per la procedura dettagliata, vedere Personalizzazione delle risposte HTTP per i dispositivi.

Configurazione degli account utente

Gli account utente per SecurID devono essere configurati dall'amministratore nel modo indicato nella documentazione del prodotto RSA SecurID, con la seguente restrizione:

• Per tutti gli utenti è necessario scegliere ID utente SecurID in modo che corrispondano ai nomi account di Windows. Exchange ActiveSync con SecurID non funziona correttamente per gli utenti a cui è assegnato un ID utente RSA distinto che non corrisponde al relativo nome account di Windows.

Configurazione di ISA Server 2000

In ISA Server sono integrati ISA Server 2000 Feature Pack 1 e la tecnologia RSA SecurID. Attualmente l'utilizzo di RSA SecurID con ISA Server 2000 con Feature Pack 1 non è supportato. È possibile tuttavia distribuire RSA SecurID con ISA Server 2000 Feature Pack 1, ma è necessario configurare ISA Server per consentire l'autenticazione pass-through. In questo scenario, l'autenticazione RSA verrà ancora utilizzata nel server front-end ma non in ISA Server. Per informazioni su come abilitare l'autenticazione pass-through, vedere la documentazione relativa a ISA Server 2000.

Abilitazione di Outlook Mobile Access

Per impostazione predefinita, tutti gli utenti sono abilitati per Exchange ActiveSync e Outlook Mobile Access. Tuttavia, sul server di Exchange è abilitato solo Exchange ActiveSync, mentre Outlook Mobile Access è disabilitato. In questa sezione verranno fornite le istruzioni per abilitare Outlook Mobile Access sul server di Exchange.

Per consentire agli utenti di Exchange 2003 di utilizzare Outlook Mobile Access, procedere come segue:

1. Configurare il server front-end di Exchange 2003 per Outlook Mobile Access.
2. Abilitare Outlook Mobile Access sul server di Exchange.
3. Configurare i dispositivi degli utenti per l'utilizzo di una connessione mobile.
4. Fornire agli utenti le istruzioni per l'utilizzo di Outlook Mobile Access.

Passaggio 1: configurazione del server front-end di Exchange 2003 per Outlook Mobile Access

Per impostazione predefinita, con Exchange 2003 viene installata la directory virtuale di Outlook Mobile Access, che consente agli utenti di accedere a Exchange da un dispositivo portatile. La directory virtuale ha le stesse funzionalità e le stesse impostazioni di configurazione della directory virtuale di Outlook Web Access. La configurazione di un server per l'utilizzo di Outlook Mobile Access è quindi identica alla configurazione per l'utilizzo di Outlook Web Access. Per informazioni sulla configurazione dei server di Exchange 2003 per l'utilizzo di Outlook Web Access, vedere Using Microsoft Exchange 2000 Front-End Servers all'indirizzo https://go.microsoft.com/fwlink/?linkid=14575 (informazioni in lingua inglese).

Passaggio 2: abilitazione di Outlook Mobile Access sul server di Exchange

Una volta configurato il server front-end per l'utilizzo di Outlook Mobile Access, è necessario abilitare Outlook Mobile Access sui server di Exchange. Outlook Mobile Access può essere abilitato a livello di organizzazione e a livello di singolo utente.

Per la procedura dettagliata relativa all'abilitazione di Outlook Mobile Access a livello di organizzazione, vedere Abilitazione e disabilitazione di Outlook Mobile Access al livello dell'organizzazione.

Dopo avere abilitato Outlook Mobile Access, è possibile modificarne le impostazioni per utenti o gruppi di utenti tramite lo snap-in Utenti e computer di Active Directory. Per la procedura dettagliata relativa all'abilitazione di Outlook Mobile Access a livello di utente, vedere Abilitazione e disabilitazione di Outlook Mobile Access al livello utente.

Passaggio 3: configurazione dei dispositivi degli utenti per l'utilizzo di una connessione mobile

Per poter accedere a Exchange 2003 mediante Outlook Mobile Access, gli utenti devono disporre di un dispositivo portatile fornito da un operatore di servizi mobili che gestisce una rete per lo scambio di dati tramite dispositivi portatili. Prima di consentire agli utenti di connettersi a Exchange 2003 e di utilizzare Outlook Mobile Access o Exchange ActiveSync attraverso una connessione mobile, si consiglia di fornire le informazioni o le risorse necessarie per configurare correttamente i dispositivi portatili per l'utilizzo di una rete mobile. Per ulteriori informazioni sulla configurazione dei dispositivi portatili e di Exchange ActiveSync, vedere Configurazione di un dispositivo portatile per l'utilizzo di Exchange ActiveSync.

Passaggio 4: fornire agli utenti le istruzioni per l'utilizzo di Outlook Mobile Access

Una volta completata la configurazione di Exchange 2003 per Outlook Mobile Access, è necessario fornire agli utenti con dispositivi portatili le istruzioni per accedere ai server di Exchange 2003 tramite una rete mobile e per utilizzare Outlook Mobile Access. Per la procedura dettagliata relativa alla configurazione di un dispositivo portatile basato su Pocket PC per l'utilizzo di Outlook Mobile Access, vedere Accesso ai dati di Exchange utilizzando Outlook Mobile Access.

Configurazione di Outlook Web Access

Per impostazione predefinita, al termine dell'installazione di Exchange 2003 Outlook Web Access è abilitato per tutti gli utenti. È possibile, tuttavia, abilitare le seguenti funzionalità di Outlook Web Access:

• Autenticazione basata su form
• Compressione dei dati in Outlook Web Access

Autenticazione basata su form

È possibile abilitare una nuova pagina di accesso per Outlook Web Access in cui il nome e la password dell'utente vengono archiviati in un cookie anziché nel browser. Il cookie verrà quindi cancellato alla chiusura del browser. Inoltre, il cookie verrà cancellato automaticamente dopo un determinato periodo di inattività. Per accedere alla posta elettronica dalla nuova pagina di accesso, l'utente deve immettere il dominio, il nome utente (nel formato dominio\nome utente) e la password oppure l'indirizzo completo di posta elettronica UPN (User Principal Name, nome principale utente) e la relativa password.

Per poter utilizzare la pagina di accesso di Outlook Web Access, è necessario abilitare l'autenticazione basata su form nel server. Per la procedura dettagliata, vedere Abilitazione dell'autenticazione basata su form.

Compressione dei dati in Outlook Web Access

In Outlook Web Access viene fornito il supporto per la compressione dei dati, che risulta particolarmente utile nel caso di connessioni di rete lente. A seconda dell'impostazione utilizzata, viene eseguita la compressione delle pagine Web statiche e/o dinamiche. Per la procedura dettagliata, vedere Abilitazione della compressione dei dati in Outlook Web Access.

Nella tabella 4 sono elencate le impostazioni di compressione disponibili in Outlook Web Access per Exchange Server 2003.

Tabella 4   Impostazioni di compressione disponibili in Outlook Web Access

Impostazione di compressione	Descrizione
Alta	Vengono compresse sia le pagine statiche che quelle dinamiche.
Bassa	Vengono compresse solo le pagine statiche.
Nessuna	Non viene eseguita alcuna compressione.

Grazie alla compressione dei dati, le prestazioni risultano incrementate di oltre il 50% sulle connessioni di rete lente, ad esempio sulle tradizionali connessioni remote.

Requisiti per la compressione in Outlook Web Access

Per utilizzare la compressione dei dati in Outlook Web Access per Exchange Server 2003, è necessario che siano verificati i seguenti prerequisiti:

• Sul server di Exchange utilizzato per autenticare gli utenti per l'accesso a Outlook Web Access deve essere in esecuzione Windows Server 2003.

• Le cassette postali degli utenti devono essere archiviate sui server di Exchange 2003. In una distribuzione mista di cassette postali di Exchange, è possibile creare sul server di Exchange un server virtuale separato solo per gli utenti di Exchange 2003 e abilitare la compressione su tale server.

• Sui computer client deve essere in esecuzione Internet Explorer 6 o versioni successive. È necessario inoltre che sia in esecuzione Windows XP o Windows 2000 e che sia installato l'aggiornamento di protezione descritto nel bollettino Microsoft MS02-066 "Cumulative Patch for Internet Explorer (Q328970)" all'indirizzo https://go.microsoft.com/fwlink/?LinkId=16694 (informazioni in lingua inglese).

  Nota

  Se un utente non dispone di un browser supportato per la compressione, il client continuerà a funzionare normalmente.

• Per alcune connessioni remote è possibile che sia necessario abilitare il supporto per HTTP 1.1 tramite server proxy. Il supporto HTTP 1.1 è necessario per il corretto funzionamento della compressione.

Abilitazione dei server virtuali POP3 e IMAP4

Per impostazione predefinita, in una nuova installazione di Exchange Server 2003 i server virtuali POP3 e IMAP4 sono disabilitati. Per abilitarli, è necessario prima utilizzare lo snap-in Servizi per MMC e impostare i servizi in modo che vengano avviati automaticamente. Se si imposta l'avvio automatico e successivamente è necessario avviare, sospendere o arrestare i servizi, è possibile utilizzare il Gestore di sistema di Exchange. Per la procedura dettagliata, vedere Avvio, sospensione o arresto di un server virtuale.