Outlook Web Access 未設定 SSL

[本主題的目的是要說明 Exchange Server Analyzer 工具所引出的特定問題。您只應將它套用到已執行過 Exchange Server Analyzer 工具且有遇到該特定問題的系統。Exchange Server Analyzer 工具可免費下載,它會從拓撲中的每台伺服器遠端收集組態資料,並自動分析該資料。產生的報告會詳述重要的組態問題、潛在問題及非預設的產品設定。遵循這些建議,您便能達到較佳的效能、延展性、可靠性及執行時間。如需此工具的相關資訊或是要下載最新版本,請參閱 Microsoft Exchange Analyzer (http://go.microsoft.com/fwlink/?linkid=34707)。]  

上次修改主題的時間: 2008-06-18

Microsoft Exchange Server Analyzer 會使用下列 Exchange 管理命令介面指令程式,查詢任一目標 Exchange 2007 伺服器的 VirtualDirectoryNameWebsiteName 內容值。

Get-OwaVirtualDirectory -Server Servername

VirtualDirectoryName 參數所傳回的字串會定義虛擬目錄的名稱,WebsiteName 參數所傳回的字串則會定義 Exchange 網站的名稱。

Exchange Server Analyzer 會對指令程式傳回的項目查詢目標虛擬目錄的 BasicAuthenticationFormsAuthenticationOwaVersion 內容值。

基本驗證是 HTTP 規格所定義的簡單驗證機制,它可先將使用者的登入名稱與密碼編碼,再傳送使用者認證至伺服器。

表單型驗證會啟用 Outlook Web Access (OWA) 的登入頁面,而此登入頁面會在網際網路瀏覽器中使用 Cookie 儲存使用者的加密登入認證。

這些內容會指定在 OWA 虛擬目錄上應啟用基本驗證還是表單型驗證。這些內容含有 $true 值時,表示已啟用驗證,$false 值表示未啟用驗證。

OwaVersion 內容值會指定 OWA 虛擬目錄的版本是 Exchange 2007、Exchange 2003 或 Exchange 2000。

Exchange Server Analyzer 工具接著會向網際網路資訊服務 (IIS) Metabase 查詢下列內容的值:

  • /LM/W3SVC/n/ROOT/ 虛擬目錄名稱 /AccessSSLFlags/AccessSSL
  • /LM/W3SVC/n/ROOT/ website /SSLCertHash

AccessSSL 內容值若為 true,表示存取檔案時需進行安全通訊端層 (SSL) 檔案權限處理 (可能需要用戶端憑證)。

SSLCertHash 內容會指定可進行憑證編碼的 SSL 憑證雜湊。

SSL 通訊協定可讓 Web 伺服器與 Web 用戶端透過加密的使用而提升通訊安全性。未使用 SSL 時,他人只要具有網路的實體存取權,即可對用戶端與伺服器之間所傳送的資料進行封包探查。

最後,Exchange Analyzer 會針對該電腦查詢 msExchExchangeServer 物件上 msExchCurrentServerRoles 屬性值的 Active Directory 目錄服務,以判定目標伺服器上已安裝哪些 Exchange Server 2007 伺服器角色。

若下列所有條件均符合,Exchange Server Analyzer 便會顯示警告:

  • 目標 OWA 虛擬目錄已啟用基本或表單型驗證。
  • OWA 虛擬目錄未設定成使用 SSL。
  • 目標伺服器已安裝 Exchange 2007 Client Access server role。
  • 目標伺服器未安裝 Exchange 2007 Mailbox server role,或 OWA 虛擬目錄的版本為 Exchange 2007。

此警告指出,OWA 虛擬目錄已設定成使用基本或表單型驗證,但未設定成使用 SSL。

在執行 Exchange Server 2007 且安裝了 Client Access server role 的電腦上,使用 SSL 有助於保護伺服器與用戶端之間的通訊安全。這些用戶端包括行動裝置、組織網路中的電腦,以及組織網路外的電腦。包括具備或不具備虛擬私人網路 (VPN) 連線的用戶端。

如果未使用 SSL,則會在初始登入時以純文字格式傳送使用者名稱及密碼。使用 SSL 時,會加密用戶端電腦與 Client Access Server 間的所有通訊,並協助防止第三方檢視敏感資訊 (如使用者名稱、密碼及電子郵件)。

如需如何使用安全通訊端層 (SSL) 加密保護 Outlook Web Access 的相關資訊,請參閱<如何將 Outlook Web Access 虛擬目錄設定為使用 SSL>http://go.microsoft.com/fwlink/?LinkId=121581

如需如何管理 SSL 的相關資訊,請參閱<管理 Client Access Server 的 SSL>http://go.microsoft.com/fwlink/?LinkId=121582

 
顯示: