В этой статье мы поговорим о еще одной технологии MS Exchange Server 2010 под названием Outlook Anywhere , которая предоставляет возможность безопасного SSL подключения удаленных пользователей с помощью Outlook (в отличии от незашифрованных POP и IMAP).
Что же такое Outlook Anywhere?
Outlook Anywhere – это служба, реализованная на серверах CAS (Client Access server), позволяющая клиентам Outlook удаленно подключаться к почтовым ящикам по безопасным протоколам SSL/HTTPS. В версиях Exchange, предшествующих Exchange 2007 и 2010, подобная функция носила название RPC- over- HTTPS .
Смысл технологии Outlook Anywhere заключается в упаковке стандартных RPC запросов Outlook в HTTPS, трафик которого может проходить через корпоративное шлюзы и файерволы по стандартным портам SSL/HTTPS без необходимости открытия RPC диапазона портов.
Для активации функционала Outlook Anywhere в среде Exchange 2010 необходимо:
Включаем Outlook Anywhere в Exchange Server 2010
В консоли управления Exchange Management перейдите в раздел Server Configuration -> Client Access , и выберите сервер CAS, на котором вы планируете включить Outlook Anywhere.
Если в сайте Active Directory есть несколько серверов Client Access, то нужно выбрать тот сервер, к которому планируется открыть доступ снаружи. Если вы используете массив серверов CAS , то процедуру необходимо повторить на всех серверах данного массива.
Выбрав сервер, в панели действий выберите пункт Enable Outlook Anywhere .
В появившемся окне мастера настройки Outlook Anywhere необходимо указать внешнее имя сервера, которое будут использовать удаленные клиенты Outlook Anywhere и выбрать тип аутентификации.
Отметим, что внешнее DNS имя сервера должно полностью соответствовать имени, указанному в сертификате, указанном для сервера CAS, в ином случае придется создать новый сертификат Exchage .
Тип аутентификации Outlook Anywhere выбирается в зависимости от особенностей архитектуры подключения клиенты и политик безопасности в вашей сети
Basic Authentication
– требует от пользователей указывать имя и пароль при каждом подключении к Outlook Anywhere. Учетные данные посылаются в виде открытого текста, однако это не критично, т.к. ведь весь трафик Outlook Anywhere инкапсулирован в SSL/HTTPS. NTLM Authentication
– режим подходит для машин, которые являются членами домена, имя пользователи и пароль не нужно водить при каждом подключении к серверу. Однако NTLM не всегда работает в некоторых сценариях ISA и с некоторыми файерволами.
Нам осталось нажать кнопку Enable и Finish для окончания работы мастера.
Примечание . Для применения настроек Outlook Anywhere нужно примерно 15-20 минут, в течении которого в журнале Application должно проскочить событие с кодом Event ID 3008.
Настройка межсетевого экрана для использования Outlook Anywhere в Exchange 2010
После активации Outlook Anywhere на сервере CAS, необходимо на периметральном межсетевом экране разрешить внешний SSL/HTTPS трафик к серверу с ролью Client Access.
Конкретные шаги настройки зависят от модели межсетевого экрана, укажем лишь базовые принципы:
Если вы используете массив CAS, то в правилах файервола нужно указать ip адрес массива CAS.
Настройка клиентов Outlook на использование Outlook Anywhere
Прежде чем подключиться по Outlook Anywhere, необходимо выполнить ряд настроек на клиенте. В Outlook 2010 перейдите в настройки учетной записи Account Settings .
Дважды щелкните по настроенному профилю Exchange.
Нажмите кнопку More Settings , и перейдите на вкладку Connection.
Отметьте опцию Connect to Microsoft Exchange using HTTP , и затем нажмите кнопку Exchange Proxy Settings .
Введите внешнее DNS имя сервера (мы его указывали ранее при настройке сервера CAS), затем в разделе Proxy Authentication Settings выберите заданный ранее тип аутентификации.
Нажмите дважды OK , затем Next и Finish. Для вступления новых параметров подключения в силу необходимо перезапустить Outlook.
Теперь Outlook 2010 настроен на Outlook Anywhere, и можно безопасно подключаться к своему ящику Exchange через интернет.
