Recomendações para o Outlook em Qualquer Lugar

  • Artigo

 

Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Tópico modificado em: 2007-10-24

Este tópico fornece recomendações para usar o Outlook em Qualquer Lugar na infra-estrutura do Exchange.

Recomendamos o uso da seguinte configuração ao usar o Microsoft Exchange com o Outlook em Qualquer Lugar:

  • Autenticação NTLM sobre SSL (Secure Sockets Layer)   Recomendamos habilitar e exigir SSL no computador do Microsoft Exchange Server 2007 que tenha função de servidor Acesso para Cliente instalada para todas as comunicações entre cliente e servidor. Também recomendamos usar a autenticação NTLM. A sessão HTTP deve ser sempre estabelecida por SSL (porta 443). Para obter informações sobre como configurar a autenticação do Outlook em Qualquer Lugar que usa SSL, consulte Gerenciando a segurança do Outlook em Qualquer Lugar.

    Importante

       Se você estiver usando um firewall que não identifica NTLM, use a autenticação básica sobre SSL.

  • Use um servidor de firewall avançado na rede de perímetro   Recomendamos o uso de um servidor de firewall dedicado para ajudar a melhorar a segurança do computador do Exchange. Microsoft Internet Security and Acceleration (ISA) Server 2006 é um exemplo de um servidor de firewall dedicado. O ISA Server 2006 também permite usar a autenticação NTLM em vez da Autenticação básica porque o ISA Server compreende as informações da autenticação NTLM. Outros servidores de firewall podem saber como usar a autenticação NTLM. Para determinar se o servidor de firewall permite autenticação NTLM, consulte a documentação do produto para o firewall.

  • Obtenha um certificado de uma autoridade de certificação (CA) de terceiros   Para habilitar e exigir SSL para todas as comunicações entre o servidor de Acesso para Cliente e os clientes do Outlook, você deve obter e publicar um certificado no nível do site padrão. Recomendamos que você compre o certificado de uma autoridade de certificação de terceiros, cujos certificados sejam confiáveis para vários navegadores.

Opções de autenticação do Outlook em Qualquer Lugar no Exchange 2007 Service Pack 1 (SP1)

Por padrão, na versão RTM original do Exchange 2007, o diretório virtual /rpc era habilitado para autenticação básica e autenticação integrada do Windows e não podia ser modificado. Mesmo que você quisesse usar apenas um método de autenticação, ambos os métodos estavam sempre habilitados para o diretório virtual /rpc. Isso era considerado uma vulnerabilidade de segurança. No Exchange 2007 SP1, você pode optar por usar apenas um método de autenticação no diretório virtual /rpc. Embora não seja recomendável, você também pode permitir a autenticação básica e a autenticação integrada do Windows simultaneamente.

Por padrão, em novas instalações do Exchange 2007 SP1, o método de autenticação do diretório virtual /rpc é o mesmo método de autenticação escolhido quando você habilita o Outlook em Qualquer Lugar usando o assistente para Habilitar Outlook em Qualquer Lugar. O método de autenticação padrão do IIS (Serviços de Informação da Internet) pode ser modificado com o cmdlet Set-OutlookAnywhere para autenticação integrada do Windows, autenticação básica ou ambas. Como alternativa ao assistente para Habilitar o Outlook em Qualquer Lugar, você pode usar o cmdlet Enable-OutlookAnywhere para configurar o Outlook em Qualquer Lugar.

Importante

Depois de atualizar da versão RTM do Exchange 2007 para Exchange 2007 SP1, recomendamos que você especifique manualmente um método de autenticação único usando o cmdlet Set-OutlookAnywhere.

Usando vários métodos de autenticação para o Outlook em Qualquer Lugar

Se implantar um servidor de firewall que execute delegação de autenticação, você deverá alterar o método de autenticação no diretório virtual /rpc para um método diferente daquele usado pelo cliente. Por exemplo, se você implantar um servidor de firewall que execute delegação de autenticação, o servidor de firewall autenticará com o servidor de Acesso para Cliente usando autenticação NTLM. O cliente, contudo, usará a autenticação básica. Neste exemplo, o servidor de firewall é responsável por delegar a autenticação do usuário. É por isso que você configura o diretório virtual /rpc no IIS para usar autenticação NTLM.

Embora não seja recomendável, no Exchange 2007 SP1 você pode configurar o diretório virtual /rpc do IIS para usar autenticação NTLM e autenticação básica ao mesmo tempo. Uma situação comum na qual os dois métodos de autenticação podem ser usados é quando serviços adicionais para RPC por HTTP são intermediados por proxy para o mesmo servidor de Acesso para Cliente que fornece o acesso Outlook em Qualquer Lugar. Neste exemplo, cada serviço requer ambos os métodos de autenticação. Para configurar o diretório virtual /rpc no IIS para usar a autenticação NTLM e a autenticação básica, execute o seguinte comando:

Set-OutlookAnywhere -Name Server01 -IISAuthenticationMethod Basic,NTLM

Usando sua própria autoridade de certificação

Você pode usar a ferramenta Autoridade de Certificação do Microsoft Windows para instalar sua própria autoridade de certificação. Por padrão, os aplicativos e navegadores não confiam na sua autoridade de certificação raiz quando você instala sua própria autoridade de certificação. Quando um usuário tenta conectar-se no Microsoft Office Outlook 2007 ou Outlook 2003 usando o Outlook em Qualquer Lugar, perde a conexão para o Microsoft Exchange. O usuário não é notificado. O usuário perde a conexão quando uma das seguintes condições é verdadeira:

  • O certificado não é confiável para o cliente.

  • O certificado não corresponde ao nome ao qual o cliente tenta se conectar.

  • A data do certificado está incorreta.

Portanto, verifique se a autoridade de certificação é confiável para os computadores clientes. Além disso, se você usar a sua própria autoridade de certificação, quando emitir um certificado para o servidor de Acesso para Cliente, verifique se o campo Nome Comum ou Emitido para do certificado contém o mesmo nome que o URL do servidor de Acesso para Cliente disponível na Internet. Por exemplo, o campo Nome Comum ou Emitido para deve conter um nome que se assemelhe a mail.contoso.com. Esses campos não podem conter o nome de domínio interno totalmente qualificado do computador. Por exemplo, não podem conter um nome que se assemelhe a mycomputer.contoso.com.

Para obter mais informações

Para obter mais informações sobre o Outlook em Qualquer Lugar, consulte os seguintes tópicos: