Данная статья переведена с помощью средств машинного перевода. Чтобы просмотреть ее на английском языке, установите флажок Английский. Вы также можете просматривать английский текст во всплывающем окне, наводя указатель мыши на переведенный текст.
Перевод
Английский

Настройка проверки подлинности с помощью смарт-карт для мобильного Outlook в Exchange 2013

 

Применимо к:Exchange Server 2013

Последнее изменение раздела:2018-02-06

Привязка смарт-карт пользователей к ПИН-кодам обеспечивает надежную и эффективную форму двухфакторной проверки подлинности. После настройки двухфакторной проверки подлинности пользователи, обращающиеся к сетевым ресурсам, должны иметь физическую смарт-карту и ПИН-код, связанный с этой смарт-картой. Такое сочетание уменьшает вероятность несанкционированного доступа к сетевым ресурсам организации.

Прежде чем использовать проверку подлинности с помощью смарт-карты для мобильного Outlook необходимо убедиться, что ваша среда отвечает следующим требованиям для клиента и сервера.

  • Домен соединенных клиентском компьютере под управлением Windows 8, plusMicrosoft Office 2013 или Microsoft Office 2010 для всех обновлений было доступно.

  • Exchange Server 2013 с пакетом обновления 1 или более поздней версии.

  • Правильно установлена и настроена инфраструктура открытого ключа для выдачи сертификатов смарт-карт. PKI должен быть связанных с Active Directory и для выдачи сертификатов для целей смарт-карты входа.

  • Протокол SSL должен терминироваться на сервере клиентского доступа. Использование сетевого устройства, которое выполняет предварительную проверку подлинности SSL-сеансов перед Microsoft Exchange, не поддерживается.

  • Все клиентские подключения Outlook должны использовать Мобильный Outlook. После включения проверки подлинности с помощью смарт-карты для мобильного Outlook другие подключения, например подключения к Outlook через MAPI-HTTP, не будут работать.

  • Физическая смарт-карта или виртуальная смарт-карта со встроенным чипом TPM для каждого пользователя, которая содержит сертификаты пользователей. Для этой функции невозможно использовать сертификаты программного обеспечения, хранимые в реестре локального компьютера.

Чтобы включить проверку подлинности смарт-карты, выполните следующие действия на каждом сервере клиентского доступа в организации.

  1. Установка сертификатов с использованием все соответствующие имена. Убедитесь в том, что поставщик сертификаты является доверенным для клиентов и серверов.

  2. Настройте мобильный Outlook для внутреннего и внешнего доступа (можно использовать одинаковое пространство имен), а затем убедитесь, что проверка подлинности NTLM выбрана в качестве метода проверки подлинности клиента. Убедитесь, что мобильный Outlook успешно подключается с помощью этих параметров (дополнительные сведения см. в разделе Testing Outlook Anywhere connectivity).

  3. Убедитесь в том, что ExternalURL для виртуальных каталогов автономной адресной книги и веб-служб Exchange настроены на использование HTTPS.

  4. Выполните следующий скрипт PowerShell, чтобы настроить виртуальные каталоги.

    <Exchange install drive>:\Program Files\Microsoft\Exchange Server\V14\Scripts\Enable-OutlookCertificateAuthentication.ps1
    
  5. Изменения службы IIS с помощью служебной программы командной строки Netsh .

    1. В командной строке или в строке PowerShell введите команды netsh.

    2. В командной строке netsh введите httpи нажмите клавишу ВВОД.

    3. В командной строке команды netsh http введите Показать sslи затем найдите привязку веб-сайта по умолчанию. Это указано значение IP: Port0.0.0.0:443.

    4. Обратите внимание, значения Хэш-функции сертификата и Идентификатора приложения .

      Пример.

      IP:port			: 0.0.0.0:443
      Certificate Hash		: f4d5419255e87004b2ec8bacd33a38e1cfebdaea
      Application ID		: {4dc3e181-e14b-4a21-b022-59fc669b0914}
      
    5. Удалите привязку сертификата сайта по умолчанию, выполнив следующую команду:

      delete sslcert ipport=0.0.0.0:443
      
    6. Повторно создать привязку с помощью хэш-функции и код приложения, было указано ранее и включить все следующие параметры:

      Add sslcert ipport=0.0.0.0:443 certhash=f4d5419255e87004b2ec8bacd33a38e1cfebdaea appid={4dc3e181-e14b-4a21-b022-59fc669b0914} certstorename=MY verifyclientcertrevocation=Enable verifyrevocationwithcachedclientcertonly=Disable UsageCheck=Enable clientcertnegotiation=Enable DSMapperUsage=Enable
      
  6. Перезагрузите сервер.

  7. В диспетчере служб IIS увеличьте значение uploadReadAheadSize.

    1. В диспетчере IIS разверните узел Exchange Server, узел Сайты, а затем выберите Default Web Site.

    2. На вкладке Просмотр возможностей выберите Редактор конфигураций.

    3. В разделе Действия выберите пункт Открытие функции.

    4. В раскрывающемся меню Раздел разверните узел system.webServer и выберите serverRuntime.

    5. Измените значение параметра uploadReadAheadSize на 10485760.

  8. На каждом клиентском компьютере изменения в реестр. Для этого выполните следующие действия.

    1. Найдите HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\RPC.

      Примечание:

      • Если клиенты с Outlook 2010, замените «14.0» для «15.0.»

      • Если клиенты используют Outlook 2016, замените «16.0» для «15.0.»

    2. Добавьте значение DWORD, которое с именем EnableSmartcardи затем задайте значение 00000001.

    3. Найдите HKEY_CURRENT_USER\Software\Microsoft\Exchange.

    4. Добавьте значение DWORD, соответствующий версии Outlook.

      Для Outlook 2010 и 2013

      Добавьте значение DWORD, которое с именем MsoAuthDisabledи присвойте ему значение 1.

      Для Outlook 2016

      Добавьте значение DWORD, которое с именем AlwaysUseLegacyAuthForAutodiscoverи присвойте ему значение 1.

После завершения все новые профили должны запросить сертификат для подключения службы автообнаружения и еще раз запросить подключение к серверу Exchange Server. Все профили, которые существовали до включения этой конфигурации, необходимо восстановить, для чего может потребоваться перезапустить Outlook несколько раз, чтобы изменения вступили в силу.

После применения конфигурации и подключения Outlook, диалоговое окно состояния подключения Outlook показывает проверки подлинности, используемый как сертификат, аналогичные следующим образом:

Снимок экрана: диалоговое окно состояния подключения в Outlook.

После включения проверки подлинности с помощью смарт-карты клиентские подключения Outlook для почтовых служб и служб каталогов осуществляются к виртуальному каталогу /RPCWithCert на сервере клиентского доступа, а не к виртуальному каталогу /RPC. Поэтому следует убедиться, что эти пути опубликованы соответствующим образом.

Если ранее вы включили проверку подлинности с помощью смарт-карты для развертывания Exchange Server 2010 и хотите перейти на Exchange Server 2013, то вам необходимо убедиться, что на всех серверах Exchange 2010 установлен пакет обновления 3 (SP3) с накопительным пакетом обновления 11 (CU11) или более поздней версии.

Кроме того, на всех серверах клиентского доступа Exchange Server 2010 необходимо открыть файл Web.config, расположенный в виртуальном каталоге автообнаружения, и изменить следующую запись:

  • <add key="SmartCardAuthenticationEnabled" value="false"/>

Значение по умолчанию — false. Измените его на true.

После внесения этого изменения настройте все клиенты в вашей организации так, чтобы они использовали Exchange 2013 для автообнаружения. Это можно сделать либо путем обновления DNS, либо с помощью балансировщика нагрузки.

После внесения изменений, пользователя, имеющего почтовый ящик Exchange Server 2010 по-прежнему получает правильные параметры из службы автообнаружения и будет иметь возможность выполнять проверку подлинности. Без эти изменения пользователя, имеющего почтовый ящик Exchange 2010 принимает параметры по умолчанию для мобильного Outlook конечной точки (в данном случае NTLM) и пользователь не сможет aauthenticate после перемещения конечной точки службы автообнаружения.

 
Показ: