了解 Outlook Anywhere 安全性
适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上一次修改主题: 2010-09-13
可以使用多种方法来帮助保证 Outlook Anywhere(以前称为 RPC over HTTP)的安全。在对 Outlook Anywhere 启用的 Microsoft Exchange Server 2010 邮件环境中,用户可以从 Internet 访问 Exchange。如果用户使用 Outlook Anywhere 通过 Internet 访问其邮箱,则当用户每次创建或更新其 Outlook 配置文件时,自动发现服务都会自动检测用户的 Outlook 配置文件信息,并为用户提供访问 Exchange Web 服务(包括脱机通讯薄、可用性服务和统一消息)的权限。由于 Internet 上的通信易受到拦截和攻击,请考虑使用一种包括尽可能多的安全选项的安全策略。
若要了解与 Outlook Anywhere 相关的管理任务,请参阅管理 Outlook 无处不在。
目录
为 Outlook Anywhere 使用高级防火强服务器
将 SSL 与 Outlook Anywhere 一起使用
为 Outlook Anywhere 选择 SSL 部署选项
将 SSL 卸载用于 Outlook Anywhere
配置 Outlook Anywhere 身份验证
了解对 Outlook Anywhere 和 RPC 虚拟目录的身份验证
为 Outlook Anywhere 使用高级防火强服务器
使用高级防火强服务器(如 Microsoft Internet Security and Acceleration (ISA) Server 2006、MicrosoftForefront Threat Management Gateway 2010 或 MicrosoftForefront Unified Access Gateway 2010)可提高 Outlook Anywhere 部署的安全性。ISA Server 2006 提供了一个安装向导,使您可以为 Exchange 2010 配置 ISA Server 2006 以与 Outlook Anywhere 一起使用。有关详细信息,请参阅将 ISA 服务器与 Outlook 无处不在配合使用和使用 Forefront Unified Access Gateway 2010 和 Forefront Threat Management Gateway 2010 发布 Exchange Server 2010。
将 SSL 与 Outlook Anywhere 一起使用
使用 Outlook Anywhere 从 Internet 访问 Exchange 信息时,必须安装由客户端计算机操作系统信任的证书颁发机构 (CA) 颁发的有效安全套接字层 (SSL) 证书。有关如何使用 SSL 证书进行客户端访问的详细信息,请参阅了解数字证书和 SSL。有关如何将 SSL 与 Outlook Anywhere 一起使用的详细信息,请参阅为 Outlook Anywhere 配置 SSL。
返回顶部
为 Outlook Anywhere 选择 SSL 部署选项
使用安全套接字层 (SSL) 帮助保护 Outlook 2007 和 Outlook 2010 客户端和自动发现服务之间的通信有几种方式。通过 Outlook Anywhere,Outlook 客户端可在 DNS 中查询自动发现服务。建议您使用 SSL 证书上的“主题备用名称 (SAN)”字段。通过使用此字段,您不但可以使用单个证书来帮助保证客户端与其 Outlook Anywhere 连接之间的通信安全,还可以保证客户端与托管自动发现服务的客户端访问服务器之间的通信安全。有关如何为 SSL 证书 配置 SAN 的详细信息,请参阅配置 SSL 证书使用多个客户端访问服务器主机名称。
另外,您可以使用多个 SSL 证书。有关详细信息,请参阅将 Outlook Anywhere 配置为使用多个 SSL 证书。
还可以选择将 SSL 证书与重定向一起使用。有关详细信息,请参阅将 Outlook Anywhere 配置为通过重定向使用 SSL 证书。
将 SSL 卸载用于 Outlook Anywhere
如果您的硬件解决方案将卸载指定去往客户端访问服务器的通信所用的 SSL 加密,则必须为 Outlook Anywhere 配置 SSL 卸载。有关详细信息,请参阅为 Outlook Anywhere 配置 SSL 卸载。
返回顶部
配置 Outlook Anywhere 身份验证
当您使用启用 Outlook Anywhere 向导将客户端访问服务器配置为可提供 Outlook Anywhere 访问时,必须选择 Outlook 客户端使用的身份验证方法。选择身份验证方法之后,可以使用 Exchange 命令行管理程序中的 Set-OutlookAnywhere cmdlet 更改此方法。
了解对 Outlook Anywhere 和 RPC 虚拟目录的身份验证
为 Outlook Anywhere 选择的身份验证方法是 Outlook 2007 或 Outlook 2010 客户端将使用的身份验证方法。此身份验证方法将由自动发现服务自动提供给客户端。启用 Outlook Anywhere 时,选择 RPC 虚拟目录的身份验证类型。可以选择允许基本身份验证、允许 NTLM 身份验证,或选择同时允许基本身份验证和 NTLM 身份验证。如果将 IIS 虚拟目录与需要使用不同身份验证方法的多个应用程序一起使用,您可能需要同时启用基本身份验证和 NTLM 身份验证。
.gif "注释") 注意: |
|---|
| 使用 IIS 界面配置该设置时,可以根据需要启用任意数量的身份验证方法。 |
可以使用 Set-OutlookAnywhere cmdlet 修改 RPC 虚拟目录上的身份验证方法。有关详细信息,请参阅配置 Outlook Anywhere 身份验证。
返回顶部
基本身份验证和 Outlook Anywhere
可以对 Outlook Anywhere 使用基本身份验证。基本身份验证需要用户名和密码,然后通过 Internet 以纯文本的形式发送此用户名和密码。只要您使用安全套接字层 (SSL) 帮助保证 Microsoft Office Outlook Web App 客户端和 Exchange 邮件基础结构之间的连接安全,就支持对 Outlook Anywhere 使用基本身份验证。有关详细信息,请参阅配置 Outlook Anywhere 身份验证。
集成 Windows 身份验证和 Outlook Anywhere
ISA Server 2006、Threat Management Gateway 2010 和 Unified Access Gateway 2010 都支持将集成式 Windows 身份验证用于 Outlook Anywhere。但是,如果您使用的是不能处理集成的 Windows 身份验证的防火墙,则必须通过 SSL 使用基本身份验证。有关详细信息,请参阅配置 Outlook Anywhere 身份验证。有关使用 NTLM 身份验证所需的详细配置步骤,请参阅使用 NTLM Authentication With Forefront TMG 或 Forefront UAG 发布 Outlook Anywhere。
返回顶部
使用 IPsec 发布 Exchange
在发布 Exchange 时,保证客户端与服务器之间连接安全的一种方法是使用计算机验证身份的 IPsec。采用此方法时,计算机必须成功进行身份验证,然后用户才能向服务器提供数据或从中检索数据。使用 IPsec 保证连接安全可确保计算机(而不只是用户)在使用服务时进行身份验证。因此,IPsec 可用于达到双重身份验证要求。有关如何配置此解决方案的详细信息,请参阅使用 IPsec 保证 Exchange 访问安全。
返回顶部
© 2010 Microsoft Corporation。保留所有权利。