Настройка OutlookAnywhere в Exchange Server 2010

В этой статье мы поговорим о еще одной технологии MS Exchange Server 2010 под названием Outlook Anywhere , которая предоставляет возможность безопасного SSL подключения удаленных пользователей с помощью Outlook (в отличии от незашифрованных POP и IMAP).

Что же такое Outlook Anywhere?

Outlook Anywhere – это служба, реализованная на серверах CAS (Client Access server), позволяющая клиентам Outlook удаленно подключаться к почтовым ящикам по безопасным протоколам SSL/HTTPS. В версиях Exchange, предшествующих Exchange 2007 и 2010, подобная функция носила название RPC- over- HTTPS .

Смысл технологии Outlook Anywhere заключается в упаковке стандартных RPC запросов Outlook в HTTPS, трафик которого может проходить через корпоративное шлюзы и файерволы по стандартным портам SSL/HTTPS без необходимости открытия RPC диапазона портов.

Для активации функционала Outlook Anywhere в среде Exchange 2010 необходимо:

Включаем Outlook Anywhere в Exchange Server 2010

В консоли управления Exchange Management перейдите в раздел Server Configuration -> Client Access , и выберите сервер CAS, на котором вы планируете включить Outlook Anywhere.

Если в сайте Active Directory есть несколько серверов Client Access, то нужно выбрать тот сервер, к которому планируется открыть доступ снаружи. Если вы используете массив серверов CAS , то процедуру необходимо повторить на всех серверах данного массива.

Выбрав сервер, в панели действий выберите пункт Enable Outlook Anywhere .

В появившемся окне мастера настройки Outlook Anywhere необходимо указать внешнее имя сервера, которое будут использовать удаленные клиенты Outlook Anywhere и выбрать тип аутентификации.

Отметим, что внешнее DNS имя сервера должно полностью соответствовать имени, указанному в сертификате, указанном для сервера CAS, в ином случае придется создать новый сертификат Exchage .

Тип аутентификации Outlook Anywhere выбирается в зависимости от особенностей архитектуры подключения клиенты и политик безопасности в вашей сети

Basic Authentication
– требует от пользователей указывать имя и пароль при каждом подключении к Outlook Anywhere. Учетные данные посылаются в виде открытого текста, однако это не критично, т.к. ведь весь трафик Outlook Anywhere инкапсулирован в SSL/HTTPS. NTLM Authentication
– режим подходит для машин, которые являются членами домена, имя пользователи и пароль не нужно водить при каждом подключении к серверу. Однако NTLM не всегда работает в некоторых сценариях ISA и с некоторыми файерволами.

Нам осталось нажать кнопку Enable и Finish для окончания работы мастера.

Примечание . Для применения настроек Outlook Anywhere нужно примерно 15-20 минут, в течении которого в журнале Application должно проскочить событие с кодом Event ID 3008.

Настройка межсетевого экрана для использования Outlook Anywhere в Exchange 2010

После активации Outlook Anywhere на сервере CAS, необходимо на периметральном межсетевом экране разрешить внешний SSL/HTTPS трафик к серверу с ролью Client Access.

Конкретные шаги настройки зависят от модели межсетевого экрана, укажем лишь базовые принципы:

Если вы используете массив CAS, то в правилах файервола нужно указать ip адрес массива CAS.

Настройка клиентов Outlook на использование Outlook Anywhere

Прежде чем подключиться по Outlook Anywhere, необходимо выполнить ряд настроек на клиенте. В Outlook 2010 перейдите в настройки учетной записи Account Settings .

Дважды щелкните по настроенному профилю Exchange.

Нажмите кнопку More Settings , и перейдите на вкладку Connection.

Отметьте опцию Connect to Microsoft Exchange using HTTP , и затем нажмите кнопку Exchange Proxy Settings .

Введите внешнее DNS имя сервера (мы его указывали ранее при настройке сервера CAS), затем в разделе Proxy Authentication Settings выберите заданный ранее тип аутентификации.

Нажмите дважды OK , затем Next и Finish. Для вступления новых параметров подключения в силу необходимо перезапустить Outlook.

Теперь Outlook 2010 настроен на Outlook Anywhere, и можно безопасно подключаться к своему ящику Exchange через интернет.