Outlook 無所不在使用建議

 

適用版本： Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上次修改主題的時間： 2007-10-24

本主題提供在 Exchange 基礎結構中使用 Outlook 無所不在的建議。

搭配 Outlook 無所不在使用 Microsoft Exchange 時，建議使用下列組態。

• 透過安全通訊端層 (SSL) 的 NTLM 驗證   建議在已安裝 Client Access server role 的 Microsoft Exchange Server 2007 電腦上，為所有的用戶端對伺服器通訊啟用並要求 SSL。同時也建議使用 NTLM 驗證。HTTP 工作階段一律透過 SSL (通訊埠 443) 建立。如需如何設定 Outlook 無所不在驗證作業使用 SSL 的相關資訊，請參閱管理 Outlook 無所不在安全性。

  重要事項：
  如果您正在使用不處理 NTLM 的防火牆，就必須使用透過 SSL 的基本驗證。

• 使用周邊網路上的進階防火牆伺服器   建議使用專用的防火牆伺服器，這有助於增強 Exchange 電腦的安全性。Microsoft Internet Security and Acceleration (ISA) Server 2006 是一個專用防火牆伺服器產品的範例。ISA Server 2006 也可讓您使用 NTLM 驗證，而非基本驗證，因為 ISA Server 能夠了解 NTLM 驗證資訊。其他防火牆伺服器可能知道如何使用 NTLM 驗證。若要判斷防火牆伺服器是否允許 NTLM 驗證，請參閱防火牆產品的產品文件。

• 從第三方憑證授權單位 (CA) 取得憑證   若要對 Client Access Server 及 Outlook 用戶端之間的所有通訊啟用及要求 SSL，您必須取得及發行預設網站層級的憑證。建議向憑證受到多種 Web 瀏覽器信任的第三方憑證授權單位購買憑證。

Exchange 2007 Service Pack 1 (SP1) 中 Outlook 無所不在的驗證選項

根據預設，在 Exchange 2007 原始版本 (RTM) 中，/rpc 虛擬目錄會同時啟用基本驗證及整合式 Windows 驗證，而且無法修改。即使您只使用一種驗證方法，/rpc 虛擬目錄一律會啟用兩種驗證方法。目前已將這種情況判定為一種安全性漏洞，而在 Exchange 2007 SP1 中，您可以選取只使用 /rpc 虛擬目錄上的一種驗證方法。雖然不建議這麼做，但您也可以選擇同時允許基本及整合式 Windows 驗證。

至於 Exchange 2007 SP1 的全新安裝，依預設，/rpc 虛擬目錄上的驗證方法會與您使用「啟用 Outlook 無所不在」精靈啟用 Outlook 無所不在時選擇的驗證方法相同。您可以使用 Set-OutlookAnywhere 指令程式，將預設的網際網路資訊服務 (IIS) 驗證方法修改為整合式 Windows 驗證、基本驗證或兩者。另一個使用「啟用 Outlook 無所不在」精靈的方法，是使用Enable-OutlookAnywhere 指令程式設定 Outlook 無所不在。

重要事項：
當您從 Exchange 2007 的 RTM 版本升級至 Exchange 2007 SP1 之後，建議您使用 Set-OutlookAnywhere 指令程式手動指定一種驗證方法。

使用 Outlook 無所不在的多個驗證方法

如果要部署執行驗證委派的防火牆伺服器，您必須將 /rpc 虛擬目錄上的驗證方法變更為不同於用戶端使用的驗證方法。例如，如果您部署執行驗證委派的防火牆伺服器，防火牆伺服器會使用 NTLM 驗證對 Client Access Server 進行驗證。但是用戶端會使用基本驗證。在此範例中，防火牆伺服器負責委派使用者驗證。這就是為何要在 IIS 中設定 /rpc 虛擬目錄來使用 NTLM 驗證的原因。

雖然不建議這麼做，但在 Exchange 2007 SP1 中，您可以在 IIS 中設定 /rpc 虛擬目錄來使用 NTLM 和基本驗證。會使用這兩種驗證方法的時機，通常是在 RPC over HTTP 的其他服務使用 Proxy 連到提供 Outlook 無所不在存取的相同 Client Access Server。在本範例中，每個服務都需要兩種驗證方法。若要在 IIS 中設定 /rpc 虛擬目錄來使用 NTLM 和基本驗證，請執行下列命令：

Set-OutlookAnywhere -Name Server01 -IISAuthenticationMethod Basic,NTLM

使用自己的憑證授權單位

您可以使用 Microsoft Windows 中的憑證授權單位工具安裝自己的憑證授權單位。安裝自己的憑證授權單位時，應用程式及 Web 瀏覽器預設不會信任您的根憑證授權單位。當使用者嘗試在 Microsoft Office Outlook 2007 或 Outlook 2003 中使用 Outlook 無所不在進行連線時，會遺失與 Microsoft Exchange 的連線。使用者不會收到通知。當發生下列其中一個狀況時，使用者會遺失連線：

• 用戶端不信任憑證。
• 憑證與用戶端嘗試連線的名稱不相符。
• 憑證日期不正確。

因此，必須確定用戶端電腦信任憑證授權單位。此外，使用自己的憑證授權單位將憑證發行到 Client Access Server 時，必須確定憑證上的 [一般名稱] 欄位或 [發給] 欄位包含 Client Access Server 在網際網路上的 URL。例如，[一般名稱] 欄位或 [發給] 欄位必須包含類似 mail.contoso.com 的名稱。這些欄位不可包含電腦的內部網域全名。例如，它們不可包含類似 mycomputer.contoso.com 的名稱。

相關資訊

如需 Outlook 無所不在的相關資訊，請參閱下列主題：

• Outlook 無所不在的概觀.
• 管理 Outlook 無所不在.
• 如何啟用 Outlook 無所不在.

若要確保您目前閱讀的是最新資訊，並尋找其他的 Exchange Server 2007 說明文件，請造訪 Exchange Server 技術資源中心.