现在在办公室外办公是十分普遍的事情,但是如何为这些办公室外的用户提供安全连接呢?不管你使用的是哪个版本的Exchange,本文将为大家提供几个方法来确保安全连接。
1.选择办公室外连接网络的方法
首先,主要有几种连接的方法,包括利用Outlook Web App通过web浏览器连接,使用移动设备利用ActiveSync连接,通过互联网的Outlook而不需要VPN连接(称为Outlook Anywhere,也就是HTTP over RPC),以及通过POP/IMAP连接。
选择连接的方法并不容易。例如,有些公司不允许ActiveSync连接。原因何在?因为每个人都使用不同的设备类型,他们都有不同级别的ActiveSync控制方式。与其为选择移动设备类型伤脑筋,这些公司干脆就完全拒绝访问,这是一个有趣的方法。为所有企业员工提供标准化的移动设备则是另一种方法,但是大多数用户认为他们自己的移动设备是个性化的标志,他们并不像被公司政策束缚。考虑一下现在智能手机所能承载的庞大数量,这对于管理员而言绝对是巨大的安全风险。
2. 配置办公室外连接方法
一旦你安装了Exchange 2007或者2010,就已经为Outlook Web App和ActiveSyn连接设置了办公室外连接功能。Outlook Anywhere仍然需要启用,POP/IMAP服务需要开启,但是大体来看,已经可以运行上述所有方法了。
配置通常是通过虚拟文件夹设置来处理的,而虚拟文件夹设置并不能通过互联网信息服务(IIS)管理器被访问,自IIS7推出以来,管理IIS的新界面中,很难找到配置选项,而使用Exchange,你并不需要打开IIS,除非你计划为Outlook Anywhere或者POP/IMAP配置SSL。
其他部分则是通过Exchange工具来完成,或者更具体来说(如果你是通过GUI Exchange管理控制台来运行),通过服务器配置和CAS角色设置,在这里你会找到虚拟文件夹设置,允许你配置重要的部分,例如Exchange的身份验证。并且你可以将OWA连接调整为Windows整合连接。对于其他办公室外连接设置也是同样的道理。
3. 确保客户端访问
客户端访问顺利进行主要有两个关键要素。首先是确保内部和外部DNS设置都进行了正确的配置,这样可以使试图通过浏览器或者移动设备(或者其他方法)访问Exchange能够实现。第二个方法就是确保你有证书来确认服务器,这可能看起来像是安全问题,并且是在一个较深的层次,但是它并没有直接与任何安全方面有联系。
你可以使用Exchange为某些连接(如OWA)附带的自我签名,但是当用户试图连接时他们将需要接受和相信这个证书。这并不是部署这些服务的最专业的方法,所以你可能需要考虑PKI内部证书服务,使用内部服务器或者通过第三方可信任的证书颁发机构。我个人的意见?第三方证书颁发机构的方法很简单并且便宜,并且不会让你困扰于建立PKI服务器的问题。
Exchange 2010的向导功能十分强大,能够指导你完成整个证书请求。通过与可信任证书颁发机构(例如GoDaddy或者VeriSign)合作,你可以获得证书,将证书安装在服务器上,并为用户提供可信的连接(通过证书颁发机构验证的)、你可以使用通配符证书(*.domainname.com)或者Subject Alternative Name(SAN)证书来确保不同访问方法的安全性。