管理 Exchange ActiveSync 安全

zhtv

　　参见：
　　使用 Exchange ActiveSync，用户可将移动设备与 Microsoft Exchange Server 2007 进行同步。这使用户能够访问多种 Exchange 数据，其中包括电子邮件、日历和联系人数据、任务以及传真邮件和语音邮件等统一消息数据。
　　可以在运行 Exchange ActiveSync 的服务器上执行几项与安全相关的任务。最重要的任务之一是配置身份验证方法。Exchange ActiveSync 在安装了客户端访问服务器角色的 Exchange 2007 服务器上运行。该服务器角色与默认的自签名数字证书一起安装。虽然 Exchange ActiveSync 支持自签名证书，但它不是最安全的身份验证方法。为了增强安全性，请考虑部署来自第三方商业证书颁发机构 (CA) 或受信任的 Windows 公钥基础结构 (PKI) 证书颁发机构的受信任证书
　　

　　

　　

　　

　　
　　如果在 Exchange 2003 服务器上拥有邮箱的用户尝试通过 Exchange 2007 客户端访问服务器使用 Exchange ActiveSync，除非对 Exchange 2003 服务器的 Microsoft-Server-ActiveSync 虚拟目录启用了集成的 Windows 身份验证，否则，该用户将收到错误消息，并且无法进行同步。如果启用了集成的 Windows 身份验证，Exchange 2007 客户端访问服务器和 Exchange 2003 后端服务器可以使用 Kerberos 身份验证进行通信。
　　

　　说明：Exchange ActiveSync 客户端可以访问 Windows SharePoint Services 和 Windows 文件共享上的文件和网站。可以使用“远程文件服务器”选项卡配置允许和阻止 Exchange ActiveSync 客户端设备访问的文件服务器。
　　输入应视为内部后缀的域后缀
使用此选项可以将特定的主机名配置为内部主机名。单击“配置”按钮将主机名添加到“内部域后缀列表”中。
　　客户端尝试访问其中一个主机名上的文件时，Exchange ActiveSync 将使用内部网络访问这些文件，而不是尝试通过 Internet 访问这些文件。
　　
　　

　　其他功能：
使用策略管理 Exchange ActiveSync

　　策略设置，如图：（均为缺省值）



　　

　　

　　远程擦除
　　
　　新建ActiveSync策略


　　给用户分配ActiveSync策略
　　
　　


　　
创建 Exchange ActiveSync 虚拟目录

　　默认情况下，安装 Exchange 2007 时，将在 Internet 信息服务 (IIS) 的默认网站中新建虚拟目录。该虚拟目录名为 Microsoft-Server-ActiveSync。还可以在默认网站之外的其他网站下创建其他 Exchange ActiveSync 虚拟目录。您创建的所有 Exchange ActiveSync 虚拟目录均名为 Microsoft-Server-ActiveSync。
注意：
　　如果因为损坏而删除了虚拟目录，还可以使用此步骤新建 Exchange ActiveSync 虚拟目录。　　
如何禁用 Exchange ActiveSync
　　http://technet.microsoft.com/zh-CN/library/bb124502(v=exchg.80).aspx

　　
　　客户端访问配置文件路径
　　
如何在 Exchange 2007 客户端访问服务器上启用 超过5000  Exchange ActiveSync 并发连接（最多9000个）
　　Microsoft .NET Framework 版本 3.5 Service Pack 1 (SP1) 包含一个更新，使您可以通过 Aspnet.config 文件来配置并发 Exchange ActiveSync 连接数。Aspnet.config 文件中的设置会覆盖 Machine.config 文件中的设置。
　　
将直推技术配置为通过防火墙工作
　　直推技术是在 Exchange Server 2003 Service Pack 2 中引入的

　　Direct Push 的工作原理是，在移动设备与 Exchange Server 计算机之间维持长效的 HTTPS 请求。如果同步文件夹中的任何项目在请求有效期内更改，此请求将告诉 Exchange Server 计算机立即通知移动设备。如果任何项目发生更改，移动设备将发送同步请求，与服务器进行同步，然后重新发送 HTTPS 请求。如果在请求有效期内任何项目均未更改，则重新发送请求。
　　移动设备将试图使用网络可以支持的最长检测间隔。这样可以延长设备的电池供电时间，并最大限度减少通过网络传输的数据量。移动运营商可以在移动设备的注册表设置中指定最大、最小和初始检测信号值。

　　因为请求和响应是通过 HTTPS 连接传递的，所以，只需在防火墙上打开用于 HTTPS 通信的端口 443。不需要任何其他端口即可使用 Direct Push。
　　若要验证端口 443 是否打开，请参阅防火墙文档。还应将防火墙超时值配置为介于 15 到 30 分钟之间的值。这样可确保长效 HTTPS 请求保持打开状态，不会过期。
　　
　　配置自动发现服务以使用站点关联来进行内部通信
　　如果管理的是大型分布式组织，其 Active Directory 站点由低带宽网络连接分隔，建议将站点关联用于自动发现服务，以便进行基于 Intranet 的通信。要使用站点关联，应指定优先使用哪些 Active Directory 站点，以便让客户端连接到特定的自动发现服务实例。指定优先使用哪些 Active Directory 站点也称为配置站点范围。
　　应使用 Set-ClientAccessServer cmdlet 配置站点关联。使用该 cmdlet 可以指定优先使用 Active Directory 站点，以便连接到特定客户端访问服务器上的自动发现服务。为自动发现服务配置站点关联后，客户端将按照所做指定连接到自动发现服务。有关 Set-ClientAccessServer cmdlet 的信息，请参阅 Set-ClientAccessServer。
　　请考虑包含一个具有三个站点的林的拓扑，三个站点的名称如下：

• US-contoso 位于北美的 contoso 站点
  
• Europe-contoso 位于欧洲的 contoso 站点
  
• APAC-contoso 位于亚洲的 contoso 站点
  

　　在本示例中，每个站点上都启用了自动发现服务并且包含用户邮箱。US-contoso 站点通过高速连接与 Europe-contoso 站点连接。US-contoso 站点通过低速连接与 APAC-contoso 站点连接。APAC-contoso 站点通过高速连接与 Europe-contoso 站点连接。
　　根据这些连接因素，您可能希望允许 US-contoso 站点和 Europe-contoso 站点的用户使用 US-contoso 或 Europe-contoso 站点、Europe-contoso 站点的用户使用任何站点、APAC-contoso 站点的用户使用 APAC-contoso 站点或 Europe-contoso 站点访问自动发现服务。最后，可以通过使用所有站点的公用内部命名空间访问客户端访问服务器。
　　可以通过使用以下命令为 US-contoso 站点中的客户端访问服务器配置站点范围，将它们设置为优先使用 US-contoso 和 Europe-contoso Active Directory 站点访问自动发现服务。Set-ClientAccessServer -Identity "us-cas" -AutodiscoverServiceInternalURI "https://internal.contoso.com/autodiscover/autodiscover.xml" -AutodiscoverServiceSiteScope "us-contoso","europe-contoso"


　　不必指定用户要访问 Europe-contoso 站点中的客户端访问服务器上的自动发现服务时应连接到的 Active Directory 站点，因为该站点与其他站点的连接是高速连接。通过以下命令，Europe-Contoso 站点的所有用户都可以访问任何客户端访问服务器来使用自动发现服务：Set-ClientAccessServer -Identity "europe-cas" -AutodiscoverServiceInternalURI "https://internal.contoso.com/autodiscover/autodiscover.xml"


　　最后，可以为 APAC-contoso 站点中的客户端访问服务器上的自动发现服务配置站点范围，将其设置为优先使用 APAC-contoso 和 Europe-contoso 站点，因为它们与这些站点的连接是高速连接。为此，请使用以下命令：Set-ClientAccessServer -Identity "apac-cas" -AutodiscoverServiceInternalURI "https://internal.contoso.com/autodiscover/autodiscover.xml" -AutodiscoverServiceSiteScope "apac-contoso","europe-contoso"


　　因此，如果 US-contoso 站点中的客户端在 Europe-contoso 站点中有邮箱并且尝试访问自动发现服务，该客户端可以选择 site=US-contoso 或 site=Europe-contoso 的服务实例。
　　如果没有为自动发现服务指定站点范围，客户端可能会返回 APAC-contoso 站点的autodiscoverInternalUri 参数，因为该站点与 US-contoso 站点的连接是低速连接。
注意：
　　如果没有配置特定的一组 Active Directory 站点供客户端使用，Outlook 2007 将随机选择客户端访问服务器以用于访问自动发现服务。