Посредством Exchange ActiveSync пользователи могут получить доступ с повышенным уровнем безопасности к своим почтовым ящикам Exchange с устройств, работа которых основана на технологиях Microsoft Windows Mobile®, таких как Windows Mobile 2003 для карманных ПК, включая Pocket PC Phone Edition, и Windows Mobile 2003 для смартфонов. Пользователи могут синхронизировать сообщения электронной почты, встречи, контактные данные и задачи в своих почтовых ящиках и использовать эту информацию, если мобильное устройство работает в автономном режиме.

Exchange Server 2007 дает возможность проверить подлинность подключения ActiveSync с использованием метода проверки подлинности на основе сертификата клиента. Шлюз Microsoft Forefront Threat Management поддерживает ограниченное делегирование Kerberos, которое позволяет Forefront TMG проверить подлинность клиентского подключения при помощи сертификата клиента и получить билет Kerberos. Этот билет может быть предоставлен опубликованному веб-серверу, который принимает билет Kerberos вместо учетных данных клиента.

Чтобы настроить публикацию ActiveSync

  1. В дереве консоли диспетчера Forefront TMG выберите пункт Политика межсетевого экрана.

  2. В области задач щелкните вкладку Панель инструментов.

  3. На вкладке Панель инструментов щелкните Сетевые объекты, нажмите кнопку Создать, затем выберите пункт Веб-прослушиватель, чтобы открыть мастер создания веб-прослушивателя.

  4. Завершите настройки с помощью мастера создания веб-прослушивателя, как показано в таблице.

    Страница Поле или свойство Параметр или действие

    Страница приветствия мастера создания веб-прослушивателя

    Имя веб-прослушивателя

    Введите имя для нового веб-прослушивателя. Например, введите ActiveSync Listener.

    Безопасность клиентских подключений

    Выберите пункт Требовать безопасного подключения SSL для клиентов.

    IP-адреса веб-прослушивателя

    Прослушивать входящие веб-запросы в следующих сетях

    Выберите сеть Внешняя. Нажмите кнопку Выберите IP-адреса, затем выберите пункт Заданные IP-адреса на компьютере Forefront TMG в выбранной сети. В меню Доступные IP-адреса выберите IP-адрес для веб-узла, нажмите кнопку Добавить, а затем кнопку ОК.

    SSL-сертификаты прослушивателя

    Выберите Использовать единый сертификат для этого веб-прослушивателя, нажмите кнопку Выбрать сертификат, затем выберите сертификат, для которого имя узла, используемое пользователями для доступа к опубликованному веб-узлу, появится в поле Получатель сертификата.

    Параметры проверки подлинности

    Выберите, как клиенты будут предоставлять учетные данные для Forefront TMG

    В раскрывающемся списке выберите пункт Проверка подлинности на основе HTML-форм. Если вы хотите использовать ограниченное делегирование Kerberos, выберите пункт Проверка подлинности SSL-сертификата клиента.

    Собирать дополнительные учетные данные пользователей для делегирования в форме

    Снимите этот флажок.

    Выберите, как Forefront TMG будет проверять учетные данные клиентов

    Если Forefront TMG развертывается в домене, выберите Windows (Active Directory). При развертывании в рабочей группе вы можете выбрать LDAP (Active Directory), RADIUS, RADIUS OTP, или SecurID.

    Параметры единого входа

    Включить единый вход в систему для узлов, опубликованных при помощи этого прослушивателя

    Снимите этот флажок.

    Завершение работы мастера создания веб-прослушивателя

    Просмотрите настройки и нажмите кнопку Готово.

  5. В области задач щелкните вкладку Задачи.

  6. На вкладке Задачи нажмите кнопку Опубликовать доступ веб-клиентов Exchange, чтобы открыть мастер создания правила публикации Exchange.

  7. Завершите настройки с помощью мастера создания правила публикации Exchange, как показано в таблице.

    Страница Поле или свойство Параметр или действие

    Страница приветствия мастера создания правила публикации Exchange

    Имя правила публикации Exchange

    Введите имя для нового правила публикации Exchange. Например, введите ActiveSync Clients.

    Выберите службы

    Версия Exchange

    Выберите Exchange Server 2003 или Exchange Server 2007.

    Почтовые службы веб-клиента

    Выберите Exchange ActiveSync.

    Тип публикации

    Выберите Опубликовать один веб-узел или систему балансировки нагрузки. Другие варианты выходят за рамки данного процесса.

    Безопасность подключения к серверу

    Выберите Использовать SSL для подключения к опубликованному веб-серверу или веб-ферме. Для данного параметра необходимо установить на каждом сервере переднего плана Exchange SSL-сертификат сервера, имя узла для которого задается как внутреннее имя сайта в поле Получатель сертификата.

    Сведения о внутренней публикации

    Внутреннее имя веб-узла

    Введите имя узла, которое будет использовать Forefront TMG в сообщениях HTTP-запросов, отправляемых на опубликованный сервер.

    Если внутреннее имя веб-узла, указанное в этом поле, неразрешимо и не является именем компьютера или IP-адресом опубликованного сервера, выберите пункт Использовать имя компьютера или IP-адрес для подключения к опубликованному серверу и введите разрешимое имя компьютера или IP-адрес опубликованного сервера.

    Параметры внешнего имени

    Принимать запросы для

    Выберите Доменное имя (введите ниже).

    Внешнее имя

    Введите полное доменное имя (FQDN) или IP-адрес, который будут использовать внешние пользователи для доступа к опубликованному веб-узлу Exchange ActiveSync.

    Выберите веб-прослушиватель

    Веб-прослушиватель

    В раскрывающемся списке выберите веб-прослушиватель, который вы создали в шаге 4. Вы можете нажать кнопку Изменить, чтобы изменить свойства выбранного веб-прослушивателя.

    Делегирование проверки подлинности

    Выберите метод, используемый Forefront TMG для проверки подлинности на опубликованном веб-сервере.

    Чтобы выбрать проверку подлинности на основе форм, нажмите кнопку Обычная проверка подлинности. Чтобы выбрать проверку подлинности на основе SSL-сертифика клиента, нажмите кнопку Ограниченное делегирование Kerberos.

    Наборы пользователей

    Это правило применяется к запросам от следующих наборов пользователей

    Если вы используете проверку учетных данных Windows, не изменяйте параметр по умолчанию Все прошедшие проверку пользователи. Если вы используете проверку учетных данных RADIUS, LDAP или SecurID, необходимо использовать набор пользователей, настроенный на применимое пространство имен.

    Завершение работы мастера создания правила публикации Exchange

    Просмотрите настройки и нажмите кнопку Готово.

  8. В области сведений нажмите кнопку Применить, чтобы сохранить и обновить настройки, затем нажмите кнопку ОК.

Примечание

  • Дополнительные сведения о веб-прослушивателях см. в разделе Обзор веб-прослушивателей.

  • При публикации с помощью протокола SSL, SSL-сертификат сервера, выданный на имя опубликованного веб-узла, должен быть установлен в персональном хранилище локального компьютера на компьютереForefront TMG. Дополнительную информацию о получении и установке SSL-сертификата сервера см. в разделе Настройка сертификатов сервера для безопасной веб-публикации.

  • На странице IP-адреса веб-прослушивателя мастера создания веб-прослушивателя вы можете выбрать IP-адреса по умолчанию для сетевых плат в этой сети. Если включена балансировка нагрузки сети, этот параметр автоматически выберет виртуальный IP-адрес. В противном случае для каждой сетевой платы будет автоматически выбран IP-адрес по умолчанию.

  • Если вы используете проверку учетных данных RADIUS, компьютер Forefront TMG должен быть зарегистрирован в качестве клиента RADIUS на RADIUS-сервере, а системная политика RADIUS должна быть включена, чтобы разрешить трафик RADIUS от компьютера Forefront TMG (локальной сети) во внутреннюю сеть. Это правило предполагает, что RADIUS-сервер расположен во внутренней сети.

  • Если вы выбираете проверку учетных данных RADIUS, LDAP или RADIUS OTP, необходимо изменить настройки веб-прослушивателя, который вы создали, и указать серверы RADIUS или LDAP, на которые будут отправляться запросы при проверке подлинности.

  • Exchange ActiveSync поддерживается только в Exchange Server 2003 и Exchange Server 2007.

  • При помощи Exchange ActiveSync пользователи могут безопасно синхронизировать почтовые ящики Exchange с устройствами, основанными на технологиях Microsoft Windows Mobile, таких как Windows Mobile 2003 для карманных ПК, включая Pocket PC Phone Edition, и Windows Mobile 2003 для смартфонов.

  • Forefront TMG использует заголовок User-Agent в запросе клиента для определения HTTP-формы, которая будет использоваться в ответе, возвращаемом на веб-обозреватель. Поддерживаемые типы форм - это HTML 4.01, XHTML-MP и cHTML. Если заголовок User-Agent в запросе не сопоставлен с форматом, Forefront TMG возвращается к обычной проверке подлинности.

  • Пользователи подключаются к Exchange ActiveSync при помощи открытия URL-адреса, который обычно имеет вид https://имя_узла/Microsoft-Server-ActiveSync. Возможно, вам придется изменить сопоставление между путями, указываемыми пользователями, и внутренними путями на вкладке Пути в свойствах вашего правила веб-публикации.

  • Если вы выбираете ограниченное делегирование Kerberos, вам необходимо выполнить дополнительные настройки. Дополнительные сведения об ограниченном делегировании Kerberos см. в разделе Ограниченное делегирование Kerberos.

  • Дополнительную информацию о других настройках в правилах веб-публикации см. в разделе Обзор принципов веб-публикации.