Ранее мы рассмотрели вопросы “Сертификации” сервера Exchange 2010 и публикации таких служб как Outlook Web App и  Exchange ActiveSync, теперь настала очередь поговорить про Outlook Anywhere и AutoDiscover.
Перед публикацией Outlook Anywhere на TMG необходимо произвести некоторые настройки на сервере Exchange 2010.
Доступ клиентов MS Outlook находящихся за периметром организации к серверу CAS осуществляется по средствам упаковывания RPC запросов в HTTP трафик, следовательно, для успешной распаковки таких пакетов на сервере Exchange с ролью клиентского доступа должна быть установлена компонента RPC over HTTP Proxy.
Функция Outlook Anywhere по умолчанию отключена на серверах Exchange, чтобы ещё активировать, необходимо открыть раздел Настройка серверов – Клиентский доступ и в правом меню выбрать действие Enable Outlook Anywhere...


Рис.1: Активация функцииOutlook Anywhere.

В мастере нужно будет указать имя внешнего узла, на который будут подключаться клиенты и выбрать обычную проверку подлинности. Данная функция будет активирована по прошествии порядка 10-15 минут.
Кроме самого доступа к серверу Exchange, клиентам MS Outlook установленным в режиме кэширования, необходим ещё и доступ к Автономной адресной книге (Offline Address Book). Следовательно, необходимо для её распространения настроить внешний URL адрес. Делается это там же где и настройка остальных сервисов – Конфигурирование серверов – Клиентский доступ – Распространение автономной адресной книги – вкладкаURLs.

Рис.2: Настройка URL-ов распространения OAB.

Т.к. мы установили обычную проверку подлинности для Outlook Anywhere, то для виртуального каталога OAB нужно также разрешить обычную проверку подлинности. Делается это в диспетчере IIS – Sites – Default Web Site — OAB – Authentication – Basic Authentication – Enable.

Рис.3: Настройка параметров проверки подлинности для виртуального каталога OAB.

На этом настройку на стороне сервера Exchange можно закончить и переключиться на сервер с TMG. Здесь аналогично публикации OWA или Exchange ActiveSync (процедура рассмотрена выше) необходимо создать правило публикации Outlook Anywhere. Единственным нюансом здесь будет сервис Autodiscover.
Примечание: Если у вас возникнут проблемы с авторизацией при настройке MS Outlook, то нужно в правиле публикации Outlook Anywhere на вкладке Пользователи установить Все пользователи и убрать всех остальных с той целью, чтобы TMG сам не запрашивал авторизацию.

Публикация Autodiscover

Чтобы Outlook Anywhere работал правильно, необходимо опубликовать сервис Autodiscover. Находясь в домене Outlook берет адрес сервиса Autodiscover из Active Directory, а находясь за пределами корпоративной сети, Outlook пытается найти этот сервис обращаясь по двум адресам – firma.ru и autodiscover.firma.ru. Я буду использовать адрес autodiscover.firma.ru, следовательно мне нужно на DNS сервере, обслуживающем зону firma.ru зарегистрировать узел с соответствующим именем.
Далее можно создать отдельную политику публикации Autodiscover`a, а можно отредактировать уже имеющиеся.

Autodiscover для Outlook Anywhere

Если Autodiscover нужен только для Outlook Anywhere, то тут все достаточно просто – в правило публикации нужно добавить ещё одно внешнее имя. Открываем правило и на вкладке Внешние имена добавляем autodiscover.firma.ru:

Рис.4: Добавление внешних имен в правило публикации.

На этом с Outlook Anywhere можно закончить. С Exchange ActiveSync нужно выполнить ещё одно действие.

Autodiscover для Exchange ActiveSync

Если в правиле публикации Outlook Anywhere путь к виртуальному каталогу AutoDiscover включен автоматически, то для Exchange ActiveSync такого нет. Чтобы добавить ещё один путь в правило нужно открыть вкладку Пути и добавить значение /AutoDiscover/*

Рис.5: Добавление путей к правилу публикации.

На этом настройку публикации Outlook Anywhere можно закончить и перейти непосредственно к настройке MS Outlook.

Настройка MS Outlook 2010

Что касается MS Outlook, то тут можно создать новую учетную запись Exchange, или отредактировать уже имеющуюся.
Чтобы подключить MS Outlook к серверу Exchange 2010, проще всего воспользоваться мастером создания новых учетных записей, который сам попытает определить оптимальные настройки для подключения.

Рис.6: Добавление новой учетной записи.

Указав адрес электронной почты, Outlook попытается найти настройки сервера в том числе обращаясь к службе Autodiscover. Если ранее все было настроено правильно, то в результате три этапа должны быть успешно пройдены. При этом в процессе входа на сервер может быть выдано сообщение с запросом ваших учетных данных, где нужно указать логин и пароль почтового ящика на сервере Exchange.

Рис.7: Сообщение об успешном создании новой учетной записи.

Если учетная запись Exchange уже существует, но пользователю необходимо иметь доступ к почтовому ящику находясь вне офиса, то нужно изменить её настройки в ручную. Для этого зайдем в свойства учетной записи – Другие настройки – Подключения – Мобильный Outlook:

Рис.8: Включение мобильного Outlook`a.

Включив мобильный Outlook в свойствах учетной записи, нужно также настроить параметры прокси-сервера, указав адрес для подключения и способ проверки подлинности:

Рис.9: Настройка параметров прокси- сервера Exchange.

На этом все, теперь пользователь может ехать в командировку и пользоваться Outlook`ом так, как словно он ни куда и не уезжал.

Возможные проблемы

Несколько советов:

• Пожалуй самое основное это то, что в случае удаленного подключения к серверу Exchange необходимо правильно настроить сертификат:


• клиент должен доверять центру сертификации, выдавшему сертификат для сервисов Exchange`a;


• сертификат сервера Exchange должен содержать поле SAN со всеми возможными именами узлов;


• сертификат должен быть действительным.








• Стоит внимательно отнестись к параметрам проверки подлинности, установленным на сервере Exchange и на вкладке Делегирование проверки подлинности в правиле публикации на сервере TMG (они должны быть идентичны);


• Не забывайте, что в случае публикации OWA на сервере Exchange нужно отказаться от использования FBA, т.к. при помощи форм авторизация будет происходить на сервере TMG;


• В случае нахождения сервера TMG в рабочей группе:


• необходимо корректно настроить Проверку подлинности на прослушивателе, используемом в правиле публикации (Active Directory (LDAP));


• необходимо создать набор LDAP-серверов и создать новую группу пользователей на основе этого набора;




• Для решения проблем и тестирования подключеий стоит воспользоваться:


• средством удаленного анализа — Microsoft Exchange Remote Connectivity Analyzer;


• средством Проверки автоконфигурации электронной почты (при зажатой клавише CTRL нажмите на значок Outlook в трее – Проверить автоконфигурацию эл.почты).

Литература для подробного изучения:

Publishing Exchange Server 2010 with Forefront
Deploying Windows phones with the Windows Mobile 6.5 operating system on Microsoft Exchange Server 2010

Заключение

На этом тему публикации сервисов Exchange 2010 через сервер Threat Management Gateway можно считать закрытой.

Данная статья является частью цикла “Публикация сервисов Exchange 2010 через TMG”, скачать все целиком вы можете в виде PDF файла – здесь, или посмотреть веб-каст на эту тему на портале TechDays по адресу — http://www.techdays.ru/videos/2814.html