У цій статті ми поговоримо про ще однієї технології MS Exchange Server 2010 року під назвою Outlook Anywhere, яка надає можливість безпечного SSL підключення віддалених користувачів за допомогою Outlook (на відміну від незашифрованих POP і IMAP).
Що ж таке Outlook Anywhere?
Outlook Anywhere - це служба, реалізована на серверах CAS (Client Access server), що дозволяє клієнтам Outlook віддалено підключатися до поштових скриньок по безпечним протоколам SSL / HTTPS. У версіях Exchange, що передують Exchange 2007 і 2010, подібна функція носила назву RPC-over-HTTPS.
Сенс технології Outlook Anywhere полягає в упаковці стандартних RPC запитів Outlook в HTTPS, трафік якого може проходити через корпоративне шлюзи і фаєрволи по стандартних портів SSL / HTTPS без необхідності відкриття RPC діапазону портів.
Для активації функціоналу Outlook Anywhere в середовищі Exchange 2010 необхідно:
Включаємо Outlook Anywhere в Exchange Server 2010
В консолі управління Exchange Management перейдіть в розділ Server Configuration -> Client Access, і виберіть сервер CAS, на якому ви плануєте включити Outlook Anywhere.
Якщо в сайті Active Directory є кілька серверів Client Access, то потрібно вибрати той сервер, до якого планується відкрити доступ зовні. Якщо ви використовуєте масив серверів CAS, то процедуру необхідно повторити на всіх серверах даного масиву.
Вибравши сервер, в панелі дій виберіть пункт Enable Outlook Anywhere.
У вікні майстра настройки Outlook Anywhere необхідно вказати зовнішнє ім'я сервера, яке використовуватимуть віддалені клієнти Outlook Anywhere і вибрати тип аутентифікації.
Відзначимо, що зовнішнє DNS ім'я сервера повинно повністю відповідати імені, зазначеному в сертифікаті, зазначеному для сервера CAS, в іншому випадку доведеться створити новий сертифікат Exchage.
Тип аутентифікації Outlook Anywhere вибирається залежно від особливостей архітектури підключення клієнти і політик безпеки у вашій мережі
Basic Authentication
- вимагає від користувачів вказувати ім'я і пароль при кожному підключенні до Outlook Anywhere. Облікові дані надсилаються у вигляді відкритого тексту, однак це не критично, тому що адже весь трафік Outlook Anywhere инкапсулирован в SSL / HTTPS. NTLM Authentication
- режим підходить для машин, які є членами домену, ім'я користувачі і пароль не потрібно водити при кожному підключенні до сервера. Однак NTLM не завжди працює в деяких сценаріях ISA і з деякими файерволами.
Нам залишилося натиснути кнопку Enable і Finish для завершення роботи майстра.
Примітка. Для застосування налаштувань Outlook Anywhere потрібно приблизно 15-20 хвилин, протягом якого в журналі Application має проскочити подія з кодом Event ID 3008.
Налаштування брандмауера для використання Outlook Anywhere в Exchange 2010
Після активації Outlook Anywhere на сервері CAS, необхідно на периметральном межсетевом екрані дозволити зовнішній SSL / HTTPS трафік до сервера з роллю Client Access.
Конкретні кроки налаштування залежать від моделі брандмауера, вкажемо лише базові принципи:
Якщо ви використовуєте масив CAS, то в правилах брандмауера потрібно вказати ip адреса масиву CAS.
Налаштування клієнтів Outlook на використання Outlook Anywhere
Перш ніж підключитися по Outlook Anywhere, необхідно виконати ряд налаштувань на клієнті. В Outlook 2010. перейдіть в налаштування облікового запису Account Settings.
Двічі клацніть по налаштованому профілем Exchange.
Натисніть кнопку More Settings, і перейдіть на вкладку Connection.
відзначте опцію Connect to Microsoft Exchange using HTTP, і потім натисніть кнопку Exchange Proxy Settings.
Введіть зовнішнє DNS ім'я сервера (ми його вказували раніше при налаштуванні сервера CAS), потім в розділі Proxy Authentication Settings виберіть заданий раніше тип аутентифікації.
натисніть двічі OK, потім Next і Finish. Для вступу нових параметрів підключення в силу необхідно перезапустити Outlook.
Тепер Outlook 2010. налаштований на Outlook Anywhere, і можна безпечно підключатися до свого ящика Exchange через інтернет.