Exchange 2013 中的設定 SSL 卸載
適用於:Exchange Server 2013
以下內容協助您在已安裝 Service Pack (SP1) 的 Exchange 2013 Client Access Server 上設定通訊協定和相關服務的 SSL 卸載。 如果您有多部 Client Access Server,則必須在內部部署組織中已安裝 SP1 的每一部 Client Access Server 上,為每一個通訊協定或服務執行必要的步驟。 當然,組織中的每一部 Client Access Server 必須有相同的設定。 如果您要升級到較新的累計更新 (CU) 或 Service Pack,但想要繼續使用 SSL 卸載,則在升級或套用這些更新之後,您必須在 Exchange 2013 Client Access Server 上再次執行下列步驟。
SSL 卸載最大的優點之一是可讓您更輕鬆管理已使用的憑證。 不必為每一部已安裝 SP1 的 Client Access Server 準備個別的 SSL 憑證,只要使用一個 SSL 憑證並匯入到所有 Client Access Server 即可。 可使用現有的或最新建立的 SSL 憑證。
警告
使用 Internet Information Services (IIS) 管理員、Exchange 管理命令介面或命令列介面來設定 SSL 卸載時,請注意有一個 [Default Web Site] 和 [Exchange Back End] 站台。 若要使用 SSL 卸載,只需要設定 [Default Web Site],請勿變更 [Exchange Back End] 站台。
開始之前有哪些須知?
在組織中安裝所有必要的 Client Access Server 和 Mailbox Server。
在組織中的每一部 Client Access Server 和 Mailbox Server 上安裝 Service Pack 1 (SP1)。 若要下載 SP1,請參閱 更新 Exchange 2013。
請參閱功能權限,以決定 Exchange 2013 的必要權限。
若要查看用戶端存取伺服器需要哪些許可權,請參閱 用戶端和行動裝置許可權中的。
若要查看用戶端存取伺服器需要哪些許可權,請參閱用戶端和行動裝置許可權中的「Outlook Web App權限」。
您可能只能使用命令介面來執行某些程序。 若要了解如何在內部部署 Exchange 組織中開啟命令介面,請參閱Open the Shell。
若要在您終止 SSL 連線的 Client Access Server 和裝置上使用現有的憑證,請在 Client Access Server 上將憑證和私密金鑰一起匯出,再匯入或安裝到裝置上。 如需詳細資訊,請參閱Export-ExchangeCertificate。
若要使用新的憑證,您必須使用 EAC 或命令介面來建立、匯入和啟用新的憑證。 如需詳細資訊,請參閱Exchange 2013 憑證管理 UI。
如需適用於此主題中程序的快速鍵相關資訊,請參閱 Exchange 系統管理中心的鍵盤快速鍵。
提示
有問題嗎? 在 Exchange 論壇中尋求協助。 瀏覽 Exchange Server 的論壇。
設定 Outlook Web App 的 SSL 卸載
若要對 Outlook Web App 啟用 SSL 卸載,您需要在 [Default Web Site] 的 owa 虛擬目錄上移除 SSL 需求。
步驟 1:您可以使用 Internet Information Services (IIS) 管理員或命令列來停用 owa 虛擬目錄上的 SSL:
使用 Internet Information Services (IIS) Manager,展開[網站>預設網站],然後選取owa虛擬目錄。 在結果窗格中的 [IIS] 下方,按兩下 [SSL 設定]。 在 [SSL 設定] 結果窗格中,清除 [需要 SSL] 核取方塊,然後在 [動作] 窗格中按一下 [套用]。
使用命令提示字元,輸入下列命令,然後按 Enter 鍵。
appcmd set config "Default Web Site/owa" /section:access /sslFlags:None /commit:APPHOST
步驟 2:您需要回收正確的應用程式集區,或使用下列其中一種方法重新開機 Internet Information Services:
使用命令列:移至[開始>執行],輸入cmd,然後按 Enter。 在命令提示字元視窗中,輸入下列命令,然後按 Enter 鍵。
appcmd Recycle AppPool MSExchangeOWAAppPool
在Windows PowerShell中,輸入下列命令,然後按 Enter。
Restart-WebAppPool MSExchangeOWAAppPool
使用命令列:移至[開始>執行],輸入cmd,然後按 Enter。 在命令提示字元視窗中,輸入下列命令,然後按 Enter 鍵。
iisreset /noforce
使用 Internet Information Services (IIS) 管理員:在 Internet Information Services (IIS) 管理員的 [動作] 窗格中,按一下 [重新啟動]。
設定 Exchange 系統管理中心的 SSL 卸載 (EAC)
若要對 EAC 啟用 SSL 卸載,您需要在 [Default Web Site] 的 ecp 虛擬目錄上移除 SSL 需求。
步驟 1:您可以使用 Internet Information Services (IIS) 管理員或命令列來停用 ecp 虛擬目錄上的 SSL:
使用 Internet Information Services (IIS) Manager,展開[網站>預設網站],然後選取ecp虛擬目錄。 在結果窗格中的 [IIS] 下方,按兩下 [SSL 設定]。 在 [SSL 設定] 結果窗格中,清除 [需要 SSL] 核取方塊,然後在 [動作] 窗格中按一下 [套用]。
使用命令提示字元,輸入下列命令,然後按 Enter 鍵。
appcmd set config "Default Web Site/ecp" /section:access /sslFlags:None /commit:APPHOST
步驟 2:您需要回收正確的應用程式集區,或使用下列其中一種方法重新開機 Internet Information Services:
使用命令列:移至[開始>執行],輸入cmd,然後按 Enter。 在命令提示字元視窗中,輸入下列命令,然後按 Enter 鍵。
appcmd Recycle AppPool MSExchangeECPAppPool
在Windows PowerShell中,輸入下列命令,然後按 Enter。
Restart-WebAppPool MSExchangeECPAppPool
使用命令列:移至[開始>執行],輸入cmd,然後按 Enter。 在命令提示字元視窗中,輸入下列命令,然後按 Enter 鍵。
iisreset /noforce
使用 Internet Information Services (IIS) 管理員:在 Internet Information Services (IIS) 管理員的 [動作] 窗格中,按一下 [重新啟動]。
設定 Outlook Anywhere 的 SSL 卸載
Outlook Anywhere 預設會啟用 SSL 卸載。 Outlook Anywhere 用戶端可從私人或公用網路接收電子郵件。 預設會使用伺服器的內部主機名稱或 FQDN 供內部 Outlook 用戶端連接。 但是,如果不是在內部使用 Outlook Anywhere,請移除內部主機名稱。 若要讓內部和外部的 Outlook 用戶端都能存取,您必須設定內部和外部主機名稱,設定個別的驗證方法,並將內部和外部用戶端設為都需要 SSL。 若要設定外部用戶端的驗證方法,您可以使用 EAC 或 Exchange 管理命令介面,但對於內部用戶端,則必須使用命令介面:
步驟 1:如果您尚未新增 Outlook Anywhere 的外部主機名稱,您可以使用 EAC 或 Shell:
使用 EAC,移至 [伺服器],在清單中選取 Client Access Server 的名稱,然後按一下 [編輯]。 在 [Exchange Server] 視窗中,按一下 [Outlook Anywhere],然後在 [指定外部主機名稱 (例如,contoso.com),供使用者用來連線到您的組織] 方塊中,輸入外部主機名稱。 確認已選取 [允許 SSL 卸載] 選項,然後按一下 [儲存]。
使用 Exchange 管理命令介面,按一下 [開始],在 [開始] 功能表上按 [Exchange 管理命令介面]。 在視窗中,輸入下列命令,然後按 Enter 鍵:
Set-OutlookAnywhere -Identity ClientAccessServer1\Rpc* -Externalhostname ClientAccessServer1.contoso.com -ExternalClientsRequireSsl:$True -ExternalClientAuthenticationMethod Basic
步驟 2:預設會啟用 SSL 卸載。 不過,如果 SSL 卸載已停用,您可以使用 EAC 或 Exchange 管理命令介面來啟用它:
使用 EAC,移至 [伺服器],在清單中選取 Client Access Server 的名稱,然後按一下 [編輯]。 在[Exchange Server] 視窗中,按一下[Outlook Anywhere],按一下 [允許 SSL 卸載] 選項,然後按一下 [儲存]。
使用命令介面,輸入下列命令,然後按 Enter 鍵。
Set-OutlookAnywhere -Identity ClientAccessServer1\Rpc* -SSLOffloading $true
步驟 3:預設不會在Rpc虛擬目錄上選取 [需要 SSL],但如果您想要確認 SSL 已停用,您可以使用 Internet Information Services (IIS) Manager。
- 使用 Internet Information Services (IIS) Manager,展開[網站>預設網站],然後選取Rpc虛擬目錄。 在結果窗格中的 [IIS] 下方,按兩下 [SSL 設定]。 在 [SSL 設定] 結果窗格中,確認已清除 [需要 SSL] 核取方塊,然後在 [動作] 窗格中按一下 [套用]。
步驟 4:您需要回收正確的應用程式集區,或使用下列其中一種方法重新開機 Internet Information Services:
使用命令列:移至[開始>執行],輸入cmd,然後按 Enter。 在命令提示字元視窗中,輸入下列命令,然後按 Enter 鍵。
appcmd Recycle AppPool MSExchangeRpcProxyFrontEndAppPool
在Windows PowerShell中,輸入下列命令,然後按 Enter。
Restart-WebAppPool MSExchangeRpcProxyFrontEndAppPool
使用命令列:移至[開始>執行],輸入cmd,然後按 Enter。 在命令提示字元視窗中,輸入下列命令,然後按 Enter 鍵。
iisreset /noforce
使用 Internet Information Services (IIS) 管理員:在 Internet Information Services (IIS) 管理員的 [動作] 窗格中,按一下 [重新啟動]。
重要事項
即使是在 Client Access Server 上重新啟動 IIS,您也必須等待服務主機處理程序每 15 分鐘將 Active Directory 的任何變更套用至 Internet Information Services (IIS)。
設定離線通訊錄 (OAB) 的 SSL 卸載
若要對離線通訊錄 (OAB) 啟用 SSL 卸載,您需要在 [Default Web Site] 的 OAB 虛擬目錄上移除 SSL 需求。
步驟 1:您可以使用 Internet Information Services (IIS) Manager 或命令列來停用 OAB 虛擬目錄上的 SSL:
使用 Internet Information Services (IIS) Manager,展開[網站>預設網站],然後選取OAB虛擬目錄。 在結果窗格中的 [IIS] 下方,按兩下 [SSL 設定]。 在 [SSL 設定] 結果窗格中,清除 [需要 SSL] 核取方塊,然後在 [動作] 窗格中按一下 [套用]。
使用命令提示字元,輸入下列命令,然後按 Enter 鍵。
appcmd set config "Default Web Site/OAB" /section:access /sslFlags:None /commit:APPHOST
步驟 2:您需要回收正確的應用程式集區,或使用下列其中一種方法重新開機 Internet Information Services:
使用命令列:移至[開始>執行],輸入cmd,然後按 Enter。 在命令提示字元視窗中,輸入下列命令,然後按 Enter 鍵。
appcmd Recycle AppPool MSExchangeOABAppPool
在Windows PowerShell中,輸入下列命令,然後按 Enter。
Restart-WebAppPool MSExchangeOABAppPool
使用命令列:移至[開始>執行],輸入cmd,然後按 Enter。 在命令提示字元視窗中,輸入下列命令,然後按 Enter 鍵。
iisreset /noforce
使用 Internet Information Services (IIS) 管理員:在 Internet Information Services (IIS) 管理員的 [動作] 窗格中,按一下 [重新啟動]。
設定 Exchange ActiveSync (EAS) 的 SSL 卸載
若要對 Exchange ActiveSync (EAS) 啟用 SSL 卸載,您需要在 [Default Web Site] 的 Microsoft-Server-ActiveSync 虛擬目錄上移除 SSL 需求。
步驟 1:您可以使用 Internet Information Services (IIS) 管理員或命令列,在 Microsoft-Server-ActiveSync 虛擬目錄上停用 SSL:
使用 Internet Information Services (IIS) Manager,展開[網站>預設網站],然後選取Microsoft-Server-ActiveSync虛擬目錄。 在結果窗格中的 [IIS] 下方,按兩下 [SSL 設定]。 在 [SSL 設定] 結果窗格中,清除 [需要 SSL] 核取方塊,然後在 [動作] 窗格中按一下 [套用]。
使用命令提示字元,輸入下列命令,然後按 Enter 鍵。
appcmd set config "Default Web Site/MSExchangeSyncAppPool" /section:access /sslFlags:None /commit:APPHOST
步驟 2:您需要回收正確的應用程式集區,或使用下列其中一種方法重新開機 Internet Information Services:
使用命令列:移至[開始>執行],輸入cmd,然後按 Enter。 在命令提示字元視窗中,輸入下列命令,然後按 Enter 鍵。
appcmd Recycle AppPool MSExchangeSyncAppPool
在Windows PowerShell中,輸入下列命令,然後按 Enter。
Restart-WebAppPool MSExchangeSyncAppPool
使用命令列:移至[開始>執行],輸入cmd,然後按 Enter。 在命令提示字元視窗中,輸入下列命令,然後按 Enter 鍵。
iisreset /noforce
使用 Internet Information Services (IIS) 管理員:在 Internet Information Services (IIS) 管理員的 [動作] 窗格中,按一下 [重新啟動]。
設定 Exchange Web 服務 (EWS) 的 SSL 卸載
若要對 Exchange Web Services (EWS) 啟用 SSL 卸載,您需要在 [Default Web Site] 的 EWS 虛擬目錄上移除 SSL 需求。
步驟 1:您可以使用 Internet Information Services (IIS) 管理員或命令列來停用 EWS 虛擬目錄上的 SSL :
使用 Internet Information Services (IIS) Manager,展開[網站>預設網站],然後選取[EWS] 虛擬目錄。 在結果窗格中的 [IIS] 下方,按兩下 [SSL 設定]。 在 [SSL 設定] 結果窗格中,清除 [需要 SSL] 核取方塊,然後在 [動作] 窗格中按一下 [套用]。
使用命令提示字元,輸入下列命令,然後按 Enter 鍵。
appcmd set config "Default Web Site/EWS" /section:access /sslFlags:None /commit:APPHOST
步驟 2:您需要回收正確的應用程式集區,或使用下列其中一種方法重新開機 Internet Information Services:
使用命令列:移至[開始>執行],輸入cmd,然後按 Enter。 在命令提示字元視窗中,輸入下列命令,然後按 Enter 鍵。
appcmd Recycle AppPool MSExchangeServicesAppPool
在Windows PowerShell中,輸入下列命令,然後按 Enter。
Restart-WebAppPool MSExchangeServicesAppPool
使用命令列:移至[開始>執行],輸入cmd,然後按 Enter。 在命令提示字元視窗中,輸入下列命令,然後按 Enter 鍵。
iisreset /noforce
使用 Internet Information Services (IIS) 管理員:在 Internet Information Services (IIS) 管理員的 [動作] 窗格中,按一下 [重新啟動]。
設定自動探索服務的 SSL 卸載
若要對自動探索服務啟用 SSL 卸載,您需要在 [Default Web Site] 的 Autodiscover 虛擬目錄上移除 SSL 需求。
步驟 1:您可以使用 Internet Information Services (IIS) 管理員或命令列,在 自動探索 虛擬目錄上停用 SSL:
使用 Internet Information Services (IIS) Manager,展開[網站>預設網站],然後選取[自動探索] 虛擬目錄。 在結果窗格中的 [IIS] 下方,按兩下 [SSL 設定]。 在 [SSL 設定] 結果窗格中,清除 [需要 SSL] 核取方塊,然後在 [動作] 窗格中按一下 [套用]。
使用命令提示字元,輸入下列命令,然後按 Enter 鍵。
appcmd set config "Default Web Site/autodiscover" /section:access /sslFlags:None /commit:APPHOST
步驟 2:您需要回收正確的應用程式集區,或使用下列其中一種方法重新開機 Internet Information Services:
使用命令列:移至[開始>執行],輸入cmd,然後按 Enter。 在命令提示字元視窗中,輸入下列命令,然後按 Enter 鍵。
appcmd Recycle AppPool MSExchangeAutodiscoverAppPool
在Windows PowerShell中,輸入下列命令,然後按 Enter。
Restart-WebAppPool MSExchangeAutodiscoverAppPool
使用命令列:移至[開始>執行],輸入cmd,然後按 Enter。 在命令提示字元視窗中,輸入下列命令,然後按 Enter 鍵。
iisreset /noforce
使用 Internet Information Services (IIS) 管理員:在 Internet Information Services (IIS) 管理員的 [動作] 窗格中,按一下 [重新啟動]。
設定信箱複寫 Proxy 服務 (MRSProxy) 的 SSL 卸載
信箱複寫 Proxy (MRSProxy) 服務會安裝在每個 Exchange 2013 用戶端存取伺服器上。 MRSProxy 可協助您在內部部署環境中提出跨樹系移動要求,以及將內部部署信箱移至 Microsoft 365 或Office 365。 但是,MRSProxy 預設為停用。 如果您要啟用它,您應該在遠端 Exchange 樹系中啟用它以進行跨樹系、內部部署信箱移動,或在內部部署 Exchange 樹系中將信箱移至 Microsoft 365 或Office 365。 雖然 MRSProxy 服務是在 Exchange Web 服務 (EWS) 下執行,但不支援設定 SSL 卸載。
這是因為 MRSProxy 服務會要求流量必須經過簽署/加密。 任何硬體負載平衡器或防火牆必須先重新加密 MRSProxy 流量,然後才傳送至 Client Access 伺服器。 如果是這種情形,建議您設定 SSL 橋接來啟用卸載。
反向 SSL 或 SSL 橋接:如果您在硬體負載平衡器上啟用反向 SSL 或 SSL 橋接,則不需要在每部 CAS 伺服器上執行上述步驟。 不過,在硬體負載平衡器上啟用反向 SSL,就表示由 Client Access Server 負責 SSL 加密和解密。 在此情況下,硬體負載平衡器與 Client Access Server 上都會進行 SSL 加密和解密。 選擇使用 Exchange 2013 SSL 卸載或反向 SSL (SSL 橋接),取決於組織目標及必須實作的安全性作法。 下圖顯示已啟用 SSL 橋接 (反向 SSL) 的用戶端連線。
設定 Outlook 用戶端的 SSL 卸載 (MAPI 虛擬目錄)
若要對 Outlook 用戶端啟用 SSL 卸載,您需要在 [Default Web Site] 的 MAPI 虛擬目錄上移除 SSL 需求。
步驟 1:您可以使用 Internet Information Services (IIS) Manager 或命令列來停用 MAPI 虛擬目錄上的 SSL:
使用 Internet Information Services (IIS) Manager,展開[網站>預設網站],然後選取MAPI虛擬目錄。 在結果窗格中的 [IIS] 下方,按兩下 [SSL 設定]。 在 [SSL 設定] 結果窗格中,清除 [需要 SSL] 核取方塊,然後在 [動作] 窗格中按一下 [套用]。
使用命令提示字元,輸入下列命令,然後按 Enter 鍵。
appcmd set config "Default Web Site/MAPI" /section:access /sslFlags:None /commit:APPHOST
步驟 2:您需要回收正確的應用程式集區,或使用下列其中一種方法重新開機 Internet Information Services:
使用命令列:移至[開始>執行],輸入cmd,然後按 Enter。 在命令提示字元視窗中,輸入下列命令,然後按 Enter 鍵。
appcmd Recycle AppPool MSExchangeMapiFrontEndAppPool
在Windows PowerShell中,輸入下列命令,然後按 Enter。
Restart-WebAppPool MSExchangeMapiFrontEndAppPool
使用命令列:移至[開始>執行],輸入cmd,然後按 Enter。 在命令提示字元視窗中,輸入下列命令,然後按 Enter 鍵。
iisreset /noforce
使用 Internet Information Services (IIS) 管理員:在 Internet Information Services (IIS) 管理員的 [動作] 窗格中,按一下 [重新啟動]。
使用指令碼來啟用所有通訊協定和服務的 SSL 卸載
如果您與具有多部 Exchange 2013 Client Access Server 的大型組織合作,您可能希望加速進行前述已完成的步驟。 您可以將下列任一段指令碼中的命令複製到記事本,進行任何變更,.ps1 副檔名儲存檔案,然後從 Exchange 管理命令介面執行它。 根據需求而定,不論是一或多部 Client Access Server,這兩段指令碼可用來設定所有通訊協定和服務的 SSL 卸載。
注意事項
在 Set-OutlookAnywhere 指令程式項目中,請將 "MyServer" 換成您的 Client Access Server 名稱。
使用 Set-WebConfigurationProperty
Set-OutlookAnywhere -Identity MyServer\Rpc* -Externalhostname MyServer.mail.contoso.com -ExternalClientsRequireSsl $True -ExternalClientAuthenticationMethod Basic
Set-OutlookAnywhere -Identity MyServer\Rpc* -SSLOffloading $true
Set-WebConfigurationProperty -Filter //security/access -name sslflags -Value "None" -PSPath IIS: -Location "Default Web Site/OWA"
Set-WebConfigurationProperty -Filter //security/access -name sslflags -Value "None" -PSPath IIS: -Location "Default Web Site/ecp"
Set-WebConfigurationProperty -Filter //security/access -name sslflags -Value "None" -PSPath IIS: -Location "Default Web Site/EWS"
Set-WebConfigurationProperty -Filter //security/access -name sslflags -Value "None" -PSPath IIS: -Location "Default Web Site/Autodiscover"
Set-WebConfigurationProperty -Filter //security/access -name sslflags -Value "None" -PSPath IIS: -Location "Default Web Site/Microsoft-Server-ActiveSync"
Set-WebConfigurationProperty -Filter //security/access -name sslflags -Value "None" -PSPath IIS: -Location "Default Web Site/OAB"
Set-WebConfigurationProperty -Filter //security/access -name sslflags -Value "None" -PSPath IIS: -Location "Default Web Site/MAPI"
iisreset /noforce
使用 appcmd
注意事項
在 Set-OutlookAnywhere 指令程式項目中,請將 "MyServer" 換成您的 Client Access Server 名稱。
Set-OutlookAnywhere -Identity MyServer\Rpc* -Externalhostname MyServer.mail.contoso.com -ExternalClientsRequireSsl $True -ExternalClientAuthenticationMethod Basic
Set-OutlookAnywhere -Identity MyServer\Rpc* -SSLOffloading $true
&$env:systemroot\system32\inetsrv\appcmd set config "Default Web Site/owa" /section:access /sslFlags:None /commit:APPHOST
&$env:systemroot\system32\inetsrv\appcmd set config "Default Web Site/ecp" /section:access /sslFlags:None /commit:APPHOST
&$env:systemroot\system32\inetsrv\appcmd set config "Default Web Site/EWS" /section:access /sslFlags:None /commit:APPHOST
&$env:systemroot\system32\inetsrv\appcmd set config "Default Web Site/Autodiscover" /section:access /sslFlags:None /commit:APPHOST
&$env:systemroot\system32\inetsrv\appcmd set config "Default Web Site/Microsoft-Server-ActiveSync" /section:access /sslFlags:None /commit:APPHOST
&$env:systemroot\system32\inetsrv\appcmd set config "Default Web Site/OAB" /section:access /sslFlags:None /commit:APPHOST
&$env:systemroot\system32\inetsrv\appcmd set config "Default Web Site/MAPI" /section:access /sslFlags:None /commit:APPHOST
iisreset /noforce
設定 Exchange 2007 與 Exchange 2010 共存
當組織中有 Exchange 2003 與 Exchange 2010 伺服器共存時,您在部署 Exchange 2010 Client Access Server 之後的第一件事就是變更 DNS,讓 Exchange 2003 使用者可從一群 Exchange 2010 Client Access Server 存取他們的信箱。 在此情況下,負責將用戶端流量分散至 Client Access Server 的負載平衡器上,完全支援啟用 SSL 卸載。
與其他版本的 Outlook Web App 共存
只要在 Exchange 2013 Client Access Server 上設定 SSL 卸載,就能與 Exchange 2007 及 Exchange 2010 共存:
若要與 Exchange 2007 共存,需要有先前的命名空間,且只有針對 Outlook Web App 和 Exchange Web 服務,才會重新導向至這個命名空間。 自動探索、Outlook Anywhere 和 Exchange ActiveSync 會經由 Proxy 導向舊版。
若要與 Exchange 2010 共存,如果您已設定外部 URL,則會使用重新導向。 如果未設定,則會使用 Proxy。