Outlook 無所不在使用建議

 

適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上次修改主題的時間: 2007-10-24

本主題提供在 Exchange 基礎結構中使用 Outlook 無所不在的建議。

搭配 Outlook 無所不在使用 Microsoft Exchange 時,建議使用下列組態。

  • 透過安全通訊端層 (SSL) 的 NTLM 驗證   建議在已安裝 Client Access server role 的 Microsoft Exchange Server 2007 電腦上,為所有的用戶端對伺服器通訊啟用並要求 SSL。同時也建議使用 NTLM 驗證。HTTP 工作階段一律透過 SSL (通訊埠 443) 建立。如需如何設定 Outlook 無所不在驗證作業使用 SSL 的相關資訊,請參閱管理 Outlook 無所不在安全性

    important重要事項:
       如果您正在使用不處理 NTLM 的防火牆,就必須使用透過 SSL 的基本驗證。
  • 使用周邊網路上的進階防火牆伺服器   建議使用專用的防火牆伺服器,這有助於增強 Exchange 電腦的安全性。Microsoft Internet Security and Acceleration (ISA) Server 2006 是一個專用防火牆伺服器產品的範例。ISA Server 2006 也可讓您使用 NTLM 驗證,而非基本驗證,因為 ISA Server 能夠了解 NTLM 驗證資訊。其他防火牆伺服器可能知道如何使用 NTLM 驗證。若要判斷防火牆伺服器是否允許 NTLM 驗證,請參閱防火牆產品的產品文件。

  • 從第三方憑證授權單位 (CA) 取得憑證   若要對 Client Access Server 及 Outlook 用戶端之間的所有通訊啟用及要求 SSL,您必須取得及發行預設網站層級的憑證。建議向憑證受到多種 Web 瀏覽器信任的第三方憑證授權單位購買憑證。

Exchange 2007 Service Pack 1 (SP1) 中 Outlook 無所不在的驗證選項

根據預設,在 Exchange 2007 原始版本 (RTM) 中,/rpc 虛擬目錄會同時啟用基本驗證及整合式 Windows 驗證,而且無法修改。即使您只使用一種驗證方法,/rpc 虛擬目錄一律會啟用兩種驗證方法。目前已將這種情況判定為一種安全性漏洞,而在 Exchange 2007 SP1 中,您可以選取只使用 /rpc 虛擬目錄上的一種驗證方法。雖然不建議這麼做,但您也可以選擇同時允許基本及整合式 Windows 驗證。

至於 Exchange 2007 SP1 的全新安裝,依預設,/rpc 虛擬目錄上的驗證方法會與您使用「啟用 Outlook 無所不在」精靈啟用 Outlook 無所不在時選擇的驗證方法相同。您可以使用 Set-OutlookAnywhere 指令程式,將預設的網際網路資訊服務 (IIS) 驗證方法修改為整合式 Windows 驗證、基本驗證或兩者。另一個使用「啟用 Outlook 無所不在」精靈的方法,是使用Enable-OutlookAnywhere 指令程式設定 Outlook 無所不在。

important重要事項:
當您從 Exchange 2007 的 RTM 版本升級至 Exchange 2007 SP1 之後,建議您使用 Set-OutlookAnywhere 指令程式手動指定一種驗證方法。

使用 Outlook 無所不在的多個驗證方法

如果要部署執行驗證委派的防火牆伺服器,您必須將 /rpc 虛擬目錄上的驗證方法變更為不同於用戶端使用的驗證方法。例如,如果您部署執行驗證委派的防火牆伺服器,防火牆伺服器會使用 NTLM 驗證對 Client Access Server 進行驗證。但是用戶端會使用基本驗證。在此範例中,防火牆伺服器負責委派使用者驗證。這就是為何要在 IIS 中設定 /rpc 虛擬目錄來使用 NTLM 驗證的原因。

雖然不建議這麼做,但在 Exchange 2007 SP1 中,您可以在 IIS 中設定 /rpc 虛擬目錄來使用 NTLM 和基本驗證。會使用這兩種驗證方法的時機,通常是在 RPC over HTTP 的其他服務使用 Proxy 連到提供 Outlook 無所不在存取的相同 Client Access Server。在本範例中,每個服務都需要兩種驗證方法。若要在 IIS 中設定 /rpc 虛擬目錄來使用 NTLM 和基本驗證,請執行下列命令:

Set-OutlookAnywhere -Name Server01 -IISAuthenticationMethod Basic,NTLM

使用自己的憑證授權單位

您可以使用 Microsoft Windows 中的憑證授權單位工具安裝自己的憑證授權單位。安裝自己的憑證授權單位時,應用程式及 Web 瀏覽器預設不會信任您的根憑證授權單位。當使用者嘗試在 Microsoft Office Outlook 2007 或 Outlook 2003 中使用 Outlook 無所不在進行連線時,會遺失與 Microsoft Exchange 的連線。使用者不會收到通知。當發生下列其中一個狀況時,使用者會遺失連線:

  • 用戶端不信任憑證。
  • 憑證與用戶端嘗試連線的名稱不相符。
  • 憑證日期不正確。

因此,必須確定用戶端電腦信任憑證授權單位。此外,使用自己的憑證授權單位將憑證發行到 Client Access Server 時,必須確定憑證上的 [一般名稱] 欄位或 [發給] 欄位包含 Client Access Server 在網際網路上的 URL。例如,[一般名稱] 欄位或 [發給] 欄位必須包含類似 mail.contoso.com 的名稱。這些欄位不可包含電腦的內部網域全名。例如,它們不可包含類似 mycomputer.contoso.com 的名稱。

相關資訊

如需 Outlook 無所不在的相關資訊,請參閱下列主題:

若要確保您目前閱讀的是最新資訊,並尋找其他的 Exchange Server 2007 說明文件,請造訪 Exchange Server 技術資源中心.