逐步指南:使用 Microsoft Exchange Server 2003 SP2 部署 Windows Mobile 裝置

部署行動訊息解決方案的最佳作法

發佈日期: 2006 年 12 月 22 日

建議您採用最佳作法在公司網路上部署行動訊息解決方案,這有助於確保行動訊息解決方案運作順暢,並提供高層級的安全性。

網路組態

無論您實作的網路組態為何,都有一些最佳作法可加強您的行動訊息解決方案。

最佳作法:使用前端與後端的 Exchange 伺服器設定

如果組織中有多部伺服器使用 Exchange ActiveSync、Outlook Web Access (OWA)、郵局通訊協定 (POP) 或網際網路訊息存取通訊協定 (IMAP)、且想要為員工提供 HTTP、POP 或 IMAP 存取,建議採用前端和後端組態。在這種架構中,前端伺服器會接受來自用戶端的要求,然後透過 Proxy 將要求提供給適當的後端伺服器以進行處理。前端和後端架構允許前端伺服器處理安全通訊端層 (SSL) 加密,藉此讓後端伺服器提高整體電子郵件效能。這種組態不但可適當調整,並可透過限制對前端伺服器的存取提供一層安全性防護。

保護訊息環境的安全也涵蓋了在前端伺服器上,停用前端和後端伺服器架構內非必要的功能和設定。

如需前端和後端伺服器架構的詳細資訊,請參閱<Exchange Server 2003 和 Exchange 2000 Server 前端及後端拓僕>(英文),網址是 http://go.microsoft.com/fwlink/?LinkId=62643

最佳作法:設定防火牆以最佳化 Direct Push 效能

伺服器和用戶端之間必須建立連線才能使用 Direct Push 技術。除非有電子郵件或資料需要傳輸,或是裝置需要重新建立它與伺服器的連線,否則不會在此連線上傳送任何資料。這表示連線的最大長度是由裝置和伺服器之間的路徑內最低的網路逾時所決定。

在有良好的網路涵蓋範圍下,最大等候逾時將由防火牆強制的連線逾時決定,這些防火牆會處理連至您的 Exchange 前端伺服器的網際網路流量。如果您把逾時設得非常低,會迫使裝置重新連線好幾次,而這可能很快就會耗盡它的電力。下圖顯示重新連線的防火牆設定。

Cc952746.firewall_config(zh-tw,TechNet.10).gif

防火牆設定 觀看完整大小的影像

最佳作法是調整防火牆及路徑中其他網路應用裝置的連線逾時,以確保 Direct Push 功能能夠有效地運作。為了有效利用電池壽命,我們建議的逾時時間為 30 分鐘。

關於 Direct Push 技術的討論,請參閱本文中的 <了解 Direct Push 技術>。

安全性:驗證和憑證

藉由使用 SSL 進行加密和伺服器驗證,以及使用網頁發行來保護傳入流量,可提升 Exchange 伺服器和用戶端行動裝置之間的通訊安全性。

下面的最佳作法將協助您建置更安全的行動訊息解決方案。

最佳作法:使用 SSL 進行加密和伺服器驗證

若要保護傳出和傳入資料,請部署 SSL 來加密所有流量。您可以設定 Exchange 伺服器上的 SSL 安全性功能,來確認內容的完整性和使用者的身分,以及加密網路傳輸。Exchange 伺服器就跟任何 Web 伺服器一樣,需要透過有效的伺服器憑證來建立 SSL 通訊。

Windows Mobile 5.0 裝置是隨信任的根憑證一起發行。請洽您的裝置製造商以取得目前隨附在裝置中的憑證授權單位清單。若您是從其中一項信任服務取得根憑證,您的用戶端行動裝置應該不需要任何進一步的設定,即可建立 SSL 通訊。如果您是自己建立憑證,則必須將該憑證加入每個行動裝置的主要儲存區中。

Cc952746.note(zh-tw,TechNet.10).gif 附註:

有些伺服器憑證是隨憑證鏈當中的中繼授權單位發行的。若未將 IIS 設定成在 SSL 信號交換期間將憑證鏈中所有的憑證傳送至行動裝置,裝置將不信任憑證,因為裝置不支援動態擷取其他憑證。

如需取得伺服器憑證的詳細資訊,請參閱《Exchange Server 2003 用戶端存取指南》中的 <取得並安裝伺服器憑證> (英文),網址是 http://go.microsoft.com/fwlink/?LinkId=62628

如需適用於行動裝置的根憑證的詳細資訊,請參閱 <附錄 D:新增憑證至 Windows Mobile 裝置的主要儲存區>。

最佳作法:決定及部署裝置密碼原則

您現在可以將 Exchange Server SP2 與裝有 Messaging and Security Feature Pack 的 Windows Mobile 5.0 裝置一起搭配使用,以便設定一項中央安全性原則,要求所有使用行動裝置存取 Exchange 伺服器的使用者以密碼保護他們的裝置。

在這項中央安全性原則當中,有幾個屬性可讓您設定,包括密碼的長度 (預設是四個字元)、在密碼中使用字元或符號,以及裝置必須閒置多長的時間後才能提示使用者再度輸入密碼。當中一項原則是嘗試失敗後清除裝置,此選項可讓您指定是否要在多次嘗試登入失敗後清除裝置記憶體。

一旦決定好裝置安全性原則後,必須使用 Exchange 系統管理員的行動服務內容來部署這些原則。當使用者將他們的裝置連線至 Exchange 伺服器、登入以及接受安全性原則後,原則便會傳送至裝置。等到使用者在裝置上接受這些原則之後才會強制執行原則。您可以設定裝置安全性原則在裝置上自動重新整理的間隔。

如需設定安全性原則的詳細資訊,請參閱 <設定和管理 Exchange 伺服器上的行動裝置存取>中的「設定行動裝置的安全性設定」。

最佳作法:使用網頁發行與基本驗證

對於許多公司來說,在加密的通道 (SSL) 上使用基本驗證是可接受的安全性需求。這些公司可運用 ISA 2004 或 ISA 2006,在 Exchange Server 2003 前端伺服器上發行網頁,藉此進一步保障其行動部署的安全。

運用 ISA 網頁發行功能的好處在於 ISA 具有內建的邏輯可以區別格式正確的 Exchange ActiveSync 要求,進而協助保護 Exchange 前端伺服器免受惡意的攻擊。

網頁發行這套最佳作法比伺服器發行更容易實作,也提供比較高層的安全性,不過打算使用用戶端憑證型驗證的大型企業則必須實作後者。

伺服器發行 (也稱為「通道」) 指的是網路/傳輸層保護,而網頁發行 (亦稱為「橋接」) 指的則是應用程式層保護。ISA Server 2004 只有在終止 SSL 的時候才能進行網頁發行,因為 ISA Server 2004 只看得到加密的流量,它無法執行一些像是通訊協定檢疫的工作,這類工作會要求它分析內容;因此 ISA Server 2004 只會根據網路/傳輸層提供保護。

使用憑證型驗證的最佳作法

為了讓憑證型驗證與 Exchange ActiveSync 正確運作,必須將公司防火牆設定成允許 Exchange 前端伺服器終止 SSL 連線。有基於此,網頁發行將無法與憑證型驗證和 ISA Server 2004 相互運作。然而,ISA Server 2006 支援 Kerberos 限制委派,可讓您選擇使用網頁發行或 SSL 橋接的方式,將 ISA 機器連至 Exchange 前端伺服器。

附錄 A:部署 Exchange ActiveSync 憑證型驗證概觀> 提供部署憑證型驗證的程序概觀。

Microsoft 提供幾項工具來協助 Exchange 系統管理員設定和驗證用戶端憑證驗證。

如需 Exchange ActiveSync 憑證型驗證工具的詳細資訊,請參閱 Tools for Exchange Server 2003 網站,網址是 http://go.microsoft.com/fwlink/?linkid=62656 (英文)。

顯示: