如何让企业网络外用户安全连接Exchange

现在在办公室外办公是十分普遍的事情,但是如何为这些办公室外的用户提供安全连接呢?不管你使用的是哪个版本的Exchange,本文将为大家提供几个方法来确保安全连接。

1.选择办公室外连接网络的方法

首先,主要有几种连接的方法,包括利用Outlook Web App通过web浏览器连接,使用移动设备利用ActiveSync连接,通过互联网的Outlook而不需要VPN连接(称为Outlook Anywhere,也就是HTTP over RPC),以及通过POP/IMAP连接。

选择连接的方法并不容易。例如,有些公司不允许ActiveSync连接。原因何在?因为每个人都使用不同的设备类型,他们都有不同级别的ActiveSync控制方式。与其为选择移动设备类型伤脑筋,这些公司干脆就完全拒绝访问,这是一个有趣的方法。为所有企业员工提供标准化的移动设备则是另一种方法,但是大多数用户认为他们自己的移动设备是个性化的标志,他们并不像被公司政策束缚。考虑一下现在智能手机所能承载的庞大数量,这对于管理员而言绝对是巨大的安全风险。

2. 配置办公室外连接方法

一旦你安装了Exchange 2007或者2010,就已经为Outlook Web App和ActiveSyn连接设置了办公室外连接功能。Outlook Anywhere仍然需要启用,POP/IMAP服务需要开启,但是大体来看,已经可以运行上述所有方法了。

配置通常是通过虚拟文件夹设置来处理的,而虚拟文件夹设置并不能通过互联网信息服务(IIS)管理器被访问,自IIS7推出以来,管理IIS的新界面中,很难找到配置选项,而使用Exchange,你并不需要打开IIS,除非你计划为Outlook Anywhere或者POP/IMAP配置SSL。

其他部分则是通过Exchange工具来完成,或者更具体来说(如果你是通过GUI Exchange管理控制台来运行),通过服务器配置和CAS角色设置,在这里你会找到虚拟文件夹设置,允许你配置重要的部分,例如Exchange的身份验证。并且你可以将OWA连接调整为Windows整合连接。对于其他办公室外连接设置也是同样的道理。

3. 确保客户端访问

客户端访问顺利进行主要有两个关键要素。首先是确保内部和外部DNS设置都进行了正确的配置,这样可以使试图通过浏览器或者移动设备(或者其他方法)访问Exchange能够实现。第二个方法就是确保你有证书来确认服务器,这可能看起来像是安全问题,并且是在一个较深的层次,但是它并没有直接与任何安全方面有联系。

你可以使用Exchange为某些连接(如OWA)附带的自我签名,但是当用户试图连接时他们将需要接受和相信这个证书。这并不是部署这些服务的最专业的方法,所以你可能需要考虑PKI内部证书服务,使用内部服务器或者通过第三方可信任的证书颁发机构。我个人的意见?第三方证书颁发机构的方法很简单并且便宜,并且不会让你困扰于建立PKI服务器的问题。

Exchange 2010的向导功能十分强大,能够指导你完成整个证书请求。通过与可信任证书颁发机构(例如GoDaddy或者VeriSign)合作,你可以获得证书,将证书安装在服务器上,并为用户提供可信的连接(通过证书颁发机构验证的)、你可以使用通配符证书(*.domainname.com)或者Subject Alternative Name(SAN)证书来确保不同访问方法的安全性。

4.验证访问

你可以很简单地对连接进行验证,通过设置办公室外解决方案以及测试来看看是否有任何问题,无论是从浏览器、移动设备,还是Outlook/邮件客户端进行访问,这取决于你选择的办公室外连接形式。在大多数情况下,你可以选择多种形式。

然而,当你的连接失败时,这种情况经常发生,你可以通过Exchange Management Shell的测试cmdlets或者通过Exchange远程连接分析器的网站进行验证测试。后者是Microsoft Exchange团队提供的免费工具,来帮助你验证你的配置或者找到错误配置的地方。

5.通过政策建立安全设置

你将部署的安全设置大部分都是在Exchange的服务器配置水平进行处理的,通过与Client Access角色下的虚拟文件夹设置或者通过Client Access角色的企业配置水平。在企业配置水平或者节点下面,你会找到Outlook Web App连接和ActiveSyn的政策设置。你可以创建很多政策,但是对于一个特定的用户,你只能运用一个OWA政策和一个ActiveSync政策。最好对企业用户的不同角色设置,并且为每个角色设置特定的政策。然后,确定哪些用户哪些角色的政策是否合理。

这些政策允许你从用户需要的功能方面进行配置,例如,通过OWA政策设置,你可以启用或者禁用某些功能。比方说,你不想要用户访问OWA中的日历,你可以创建一个政策禁用日历访问,然后为这些受感染的用户锁定日历。

ActiveSyn政策同样如此。你可以配置50个以上的设置来执行密码和密码政策,以及允许或拒绝对电话功能(如照相机或者浏览器)的访问。这些政策设置可以帮助你保护环境的安全,但应该有限度地使用这些功能,这样就不会让用户太痛苦。

6. 考虑未来的BPOS(又名Office 365)

在我看来,Exchange让整个过程都更加简便。但是如果你想要寻找内部Exchange的替代解决方案,可以考虑微软的以云计算为基础的BPOS(业务生产化在线变种)套件,允许通过OWA、ActiveSync等的连接,并且不需要用户进行任何配置。当然,你的控制也相对有限,但如果你真的需要连接性,而不是最终的命令,并且你是在一个较小的环境工作,那么这将是个不错的解决方案。