-
ISA2006使用向导发布OWA等服务前,还需要添加一条访问规则,允许ISA本机到内部双向访问(具体是到域控、CAS等服务器的访问)
- 如果是单域多站点环境,每站点建议部署一台CAS并都启用Outlook Anywhere,通过ISA发布OWA,只需发布内部站点一台CAS上的OWA即可,其它站点内其它邮箱存储服务器上的用户可自动使用代理和重定向功能成功访问,但经测试Exchange2007下Outlook Anywhere不支持代理和重定向功能,2010以上版本可能是支持的。
- 关于证书方面,如果是采用多域名的证书,以test.cn为例(如是公有证书,最少是3个域名的证书),证书的主域名必须跟启用Outlook Anywhere填写的发布出来的域名一致,如mail.test.cn,另外的备用域名为 autodiscover.test.cn,另外的则是内部的实际主机域名,如ex101.test.cn等等。
- 如果是采用通配证书的话,如 *.test.cn,ISA发布规则方法是一样的,但必须取消“转发原始主机头而不是内部站点名称字段中指定的实际主机头”这一项的勾选
- 另外如果使用通配证书发布Outlook Anywhere的话,还需要设置OutlookProvider,通过以下命令即可 Get-OutlookProvider -Identity EXPR | Set-OutlookProvider -CertPrincipalName msstd:*.test.cn
- exchange2007需发布的OWA、Anywhere、ActiveSync等服务在外部访问时实际上都只支持基本认证方式,而基本认证不安全,数据明文传输,所以才把SSL证书列为必要条件。
- Anywhere功能支持NTLM,Basic两种认证方式,也支持同时启用,启用方法: Get-OutlookAnywhere | Set-OutlookAnywhere -IISAuthenticationMethods ntlm,basic 一般建议,在内部使用时可默认使用NTLM方式认证,外网发布时配合SSL证书,可使用BASIC认证方式。
- 在outlook客户端设置outlook anywhere时,服务器输入的地址建议是输入内部的邮箱服务器主机名(实际上输入发布出去的公网域名在设置成功后也会解析成内部的邮箱服务器主机名)
- 在outlook客户端设置outlook anywhere时,仅连接到其证书中包含该主体名称的代理服务器选项框中是必填的,其内容根据证书类型填写,如证书是多域名证书,依之前的例子,则是填写 msstd:mail.test.cn ,如果是通配证书,则是填写 msstd:*.test.cn (通配证书必须要设置 OutlookProvider 的EXPR),另外验证方式选基本身份验证即可。
- 经测试,虽然outlook anywhere支持双认证,在ISA发布规则和启用Outlook Anywhere时都选择NTLM验证方式时,虽然测试规则全部能通过,但outlook客户端测试时不能完成自动配置,但如果手工设置outlook anywhere配置时,还是可以使用的,但考虑到用户体验,建议还是使用基本身份认证。客户端在输入完用户名密码,就直接自动穿完成配置了。
