Recomendações para o Outlook em Qualquer Lugar
Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Tópico modificado em: 2007-10-24
Este tópico fornece recomendações para usar o Outlook em Qualquer Lugar na infra-estrutura do Exchange.
Recomendamos o uso da seguinte configuração ao usar o Microsoft Exchange com o Outlook em Qualquer Lugar:
Autenticação NTLM sobre SSL (Secure Sockets Layer) Recomendamos habilitar e exigir SSL no computador do Microsoft Exchange Server 2007 que tenha função de servidor Acesso para Cliente instalada para todas as comunicações entre cliente e servidor. Também recomendamos usar a autenticação NTLM. A sessão HTTP deve ser sempre estabelecida por SSL (porta 443). Para obter informações sobre como configurar a autenticação do Outlook em Qualquer Lugar que usa SSL, consulte Gerenciando a segurança do Outlook em Qualquer Lugar.
Importante
Se você estiver usando um firewall que não identifica NTLM, use a autenticação básica sobre SSL.
Use um servidor de firewall avançado na rede de perímetro Recomendamos o uso de um servidor de firewall dedicado para ajudar a melhorar a segurança do computador do Exchange. Microsoft Internet Security and Acceleration (ISA) Server 2006 é um exemplo de um servidor de firewall dedicado. O ISA Server 2006 também permite usar a autenticação NTLM em vez da Autenticação básica porque o ISA Server compreende as informações da autenticação NTLM. Outros servidores de firewall podem saber como usar a autenticação NTLM. Para determinar se o servidor de firewall permite autenticação NTLM, consulte a documentação do produto para o firewall.
Obtenha um certificado de uma autoridade de certificação (CA) de terceiros Para habilitar e exigir SSL para todas as comunicações entre o servidor de Acesso para Cliente e os clientes do Outlook, você deve obter e publicar um certificado no nível do site padrão. Recomendamos que você compre o certificado de uma autoridade de certificação de terceiros, cujos certificados sejam confiáveis para vários navegadores.
Opções de autenticação do Outlook em Qualquer Lugar no Exchange 2007 Service Pack 1 (SP1)
Por padrão, na versão RTM original do Exchange 2007, o diretório virtual /rpc era habilitado para autenticação básica e autenticação integrada do Windows e não podia ser modificado. Mesmo que você quisesse usar apenas um método de autenticação, ambos os métodos estavam sempre habilitados para o diretório virtual /rpc. Isso era considerado uma vulnerabilidade de segurança. No Exchange 2007 SP1, você pode optar por usar apenas um método de autenticação no diretório virtual /rpc. Embora não seja recomendável, você também pode permitir a autenticação básica e a autenticação integrada do Windows simultaneamente.
Por padrão, em novas instalações do Exchange 2007 SP1, o método de autenticação do diretório virtual /rpc é o mesmo método de autenticação escolhido quando você habilita o Outlook em Qualquer Lugar usando o assistente para Habilitar Outlook em Qualquer Lugar. O método de autenticação padrão do IIS (Serviços de Informação da Internet) pode ser modificado com o cmdlet Set-OutlookAnywhere para autenticação integrada do Windows, autenticação básica ou ambas. Como alternativa ao assistente para Habilitar o Outlook em Qualquer Lugar, você pode usar o cmdlet Enable-OutlookAnywhere para configurar o Outlook em Qualquer Lugar.
Importante
Depois de atualizar da versão RTM do Exchange 2007 para Exchange 2007 SP1, recomendamos que você especifique manualmente um método de autenticação único usando o cmdlet Set-OutlookAnywhere.
Usando vários métodos de autenticação para o Outlook em Qualquer Lugar
Se implantar um servidor de firewall que execute delegação de autenticação, você deverá alterar o método de autenticação no diretório virtual /rpc para um método diferente daquele usado pelo cliente. Por exemplo, se você implantar um servidor de firewall que execute delegação de autenticação, o servidor de firewall autenticará com o servidor de Acesso para Cliente usando autenticação NTLM. O cliente, contudo, usará a autenticação básica. Neste exemplo, o servidor de firewall é responsável por delegar a autenticação do usuário. É por isso que você configura o diretório virtual /rpc no IIS para usar autenticação NTLM.
Embora não seja recomendável, no Exchange 2007 SP1 você pode configurar o diretório virtual /rpc do IIS para usar autenticação NTLM e autenticação básica ao mesmo tempo. Uma situação comum na qual os dois métodos de autenticação podem ser usados é quando serviços adicionais para RPC por HTTP são intermediados por proxy para o mesmo servidor de Acesso para Cliente que fornece o acesso Outlook em Qualquer Lugar. Neste exemplo, cada serviço requer ambos os métodos de autenticação. Para configurar o diretório virtual /rpc no IIS para usar a autenticação NTLM e a autenticação básica, execute o seguinte comando:
Set-OutlookAnywhere -Name Server01 -IISAuthenticationMethod Basic,NTLM
Usando sua própria autoridade de certificação
Você pode usar a ferramenta Autoridade de Certificação do Microsoft Windows para instalar sua própria autoridade de certificação. Por padrão, os aplicativos e navegadores não confiam na sua autoridade de certificação raiz quando você instala sua própria autoridade de certificação. Quando um usuário tenta conectar-se no Microsoft Office Outlook 2007 ou Outlook 2003 usando o Outlook em Qualquer Lugar, perde a conexão para o Microsoft Exchange. O usuário não é notificado. O usuário perde a conexão quando uma das seguintes condições é verdadeira:
O certificado não é confiável para o cliente.
O certificado não corresponde ao nome ao qual o cliente tenta se conectar.
A data do certificado está incorreta.
Portanto, verifique se a autoridade de certificação é confiável para os computadores clientes. Além disso, se você usar a sua própria autoridade de certificação, quando emitir um certificado para o servidor de Acesso para Cliente, verifique se o campo Nome Comum ou Emitido para do certificado contém o mesmo nome que o URL do servidor de Acesso para Cliente disponível na Internet. Por exemplo, o campo Nome Comum ou Emitido para deve conter um nome que se assemelhe a mail.contoso.com. Esses campos não podem conter o nome de domínio interno totalmente qualificado do computador. Por exemplo, não podem conter um nome que se assemelhe a mycomputer.contoso.com.
Para obter mais informações
Para obter mais informações sobre o Outlook em Qualquer Lugar, consulte os seguintes tópicos: