В данном руководстве мы рассмотрим как включить и настроить Exchange Server 2010 Outlook Anywhere для обеспечения безопасного доступа к почтовым ящикам для удаленных пользователей Outlook.

Что такое Outlook Anywhere?

Outlook Anywhere это сервис, обеспечиваемый серверами с ролью Client Access Server, который позволяет клиентам Outlook осуществлять безопасное подключение через протоколы SSL/HTTPS к своим почтовым ящикам из удаленных мест.  Ранее этот метод был известен как RPC-over-HTTPS, но он был переименован в Outlook Anywhere в Exchange Server 2007 и Exchange Server 2010.  Суть доступа заключается в том, что обычные Outlook RPC запросы вкладываются в HTTPS и таким образом способны проходить файерволы через обычные порты SSL/HTTPS без необходимости открыть порты RPC.

Для развертывания Outlook Anywhere необходимо выполнить три основные задачи:

• Включить и настроить Outlook Anywhere на серверах Exchange Server 2010 Client Access server (CAS)
• Настроить файервол на границе сети для разрешения SSL/HTTPS подключений из внешних сетей к серверам CAS
• Настроить Outlook

Зайдите в Exchange Management Console и перейдите в Server Configuration -> Client Access, далее выберите сервер CAS на котором вы хотите включить Outlook Anywhere.

Если вам несколько CAS серверов в сайте Active Directory то вам необходимо выбрать тот, который имеет выход в интернет. Или, если вы используете массив CAS серверов, тогда вам необходимо повторить эту процедуру на всех серверах массива.

После выбора нужного сервера нажмите в панели действий справа пункт Enable Outlook Anywhere.

Запустится мастер настройки Outlook Anywhere.  Введите внешнее DNS имя для подключения пользователей к Outlook Anywhere и выберите метод аутентификации.

Указанное внешнее имя в идеале должно содержаться в уже установленных на сервере Exchange сертификатах, в противном случае необходимо создать новый сертификат для Exchange.

Метод аутентификации Outlook Anywhere, который вы выберите будет зависеть от нескольких факторов в вашем окружении.

• Basic Authentication – данным метод требует чтобы пользователи Outlook вводили свой логин и пароль каждый раз, когда они подключаются к Outlook Anywhere.  Данные посылаются в открытом виде, поэтому критично важно чтобы соединение происходило только через SSL/HTTPS.  Вы можете выбрать данный метод если подключаемые компьютеры не включены в домен, или если правило публикации ISA создано совместно с другими сервисами Exchange, которые требуют, или если файервол не поддерживает NTLM.
• NTLM Authentication – это идеальный метод для подключения клиентов, которые являются членами домена, так как не нужно каждый раз вводить имя пользователя и пароль. Однако NTLM может не работать с некоторыми файерволами или в определенных сценариях публикации ISA Server.

После ввода необходимых настроке нажмите Enable для продолжения, а затем нажмите Finish для закрытия мастера.

После этого для вступления изменений в силу необходимо примерно 15 минут. В логе приложений будет зафиксирована запись с Event ID 3008 и серия других событий о применение новой конфигурации на сервере.

Настройка файервола для работы Outlook Anywhere

Для того чтобы удаленные пользователи Outlook могли подключаться к Outlook Anywhere на файерволе необходимо настроить проброс SSL/HTTPS подключений на сервер CAS.

Реальные шаги зависят от используемого вами файервола. Однако базовые компоненты конфигурации следующие:

• Необходима публичная DNS запись для внешнего хоста, которая используется Outlook Anywhere
• На файерволе должен быть публичный IP адрес, который должен резолвиться в указанное выше имя
• Необходимо правило NAT либо правило публикации, которое позволяет SSL/HTTPS подключениям достичь серверов клиентского доступа (CAS)

Если у вас используется массив CAS серверов то трафик должен перенаправляться на IP адрес массива.

Настройка клиентов Outlook на использование Exchange Server 2010 Outlook Anywhere

Перед тем как Outlook сможет подключаться к Outlook Anywhere необходимо его правильно настроить. В Outlook 2010 откройте Account Settings в том профиле Outlook, который необходимо настроить.

Нажмите дважды на записи, для того чтобы открыть свойства профиля.

Нажмите кнопку More Settings, а затем выберите вкладку Connection.

Отметьте чекбокс Connect to Microsoft Exchange using HTTP, и затем нажмите кнопку Exchange Proxy Settings.

Введите внешнее имя, указанное вами ранее при настройке Outlook Anywhere, и далее укажите тот метод аутентификации, который вы выбрали во время настройки сервера .

Нажмите OK, OK, Next и затем Finish для применении настроек в Outlook 2010.  После этого необходимо перезапустить Outlook 2010 для вступления изменений в силу.

Автор: Paul Cunningham.