Condividi tramite


Consigli per Outlook via Internet

 

Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Ultima modifica dell'argomento: 2007-10-24

In questo argomento vengono riportati alcuni consigli per utilizzare Outlook via Internet nell'infrastruttura Exchange.

Si consiglia di impostare la seguente configurazione quando si utilizza Microsoft Exchange con Outlook via Internet:

  • Autenticazione NTLM tramite Secure Sockets Layer (SSL)   Si consiglia di abilitare e richiedere SSL per tutte le comunicazioni client-server sul computer Microsoft Exchange Server 2007 in cui è installato il ruolo del server Accesso client. Si consiglia anche di utilizzare l'autenticazione NTLM. La sessione HTTP dovrebbe essere sempre stabilita tramite SSL (porta 443). Per informazioni sulla configurazione dell'autenticazione di Outlook via Internet con SSL, vedereGestione della protezione di Outlook via Internet.

    Importante

       Se si utilizza un firewall che non supporta NTLM, sarà necessario utilizzare l'autenticazione di base tramite SSL.

  • Utilizzare un server firewall avanzato sulla rete perimetrale   Si consiglia di utilizzare un server firewall dedicato per garantire una maggiore protezione del computer Exchange. Microsoft Internet Security and Acceleration (ISA) Server 2006 è un esempio di prodotto server firewall dedicato. ISA Server 2006 consente inoltre di utilizzare l'autenticazione NTLM anziché l'autenticazione di base in quanto è in grado di comprendere le informazioni di autenticazione NTLM. Anche altri server firewall possono essere in grado di gestire l'autenticazione NTLM. Per verificare se il server firewall in uso supporta l'autenticazione NTLM, vedere la documentazione fornita assieme al prodotto firewall stesso.

  • Richiedere un certificato da un'Autorità di certificazione di terze parti   Per abilitare e richiedere SSL per tutte le comunicazioni tra il server Accesso client e i client Outlook, è necessario ottenere e pubblicare un certificato al livello di sito Web predefinito. Si consiglia di acquistare un certificato da un'Autorità di certificazione di terze parti i cui certificati sono disponibili nell'elenco locale di un'ampia gamma di Web browser.

Opzioni di autenticazione per Outlook via Internet in Exchange 2007 Service Pack 1 (SP1)

Per impostazione predefinita, nella versione di produzione (RTM) originale di Exchange 2007, la directory virtuale /rpc era abilitata sia per l'autenticazione di base che per l'autenticazione integrata di Windows e tale impostazione non poteva essere modificata. Anche se si utilizzava un solo metodo di autenticazione, per la directory virtuale /rpc erano comunque sempre abilitati entrambi i metodi. Ciò avrebbe potuto rappresentare una vulnerabilità della protezione, pertanto in Exchange 2007 SP1 ora è possibile scegliere di utilizzare un solo metodo di autenticazione per la directory virtuale /rpc. Benché non sia consigliato, è possibile abilitare anche entrambi i tipi di autenticazione.

Per impostazione predefinita, per le nuove installazioni di Exchange 2007 SP1 il metodo di autenticazione per la directory virtuale /rpc è identico al metodo di autenticazione scelto quando si abilita Outlook via Internet utilizzando l'Abilitazione guidata Outlook via Internet. È possibile modificare il metodo di autenticazione predefinito per Internet Information Services (IIS) impostandolo sull'autenticazione di Windows integrata, sull'autenticazione di base o su entrambe utilizzando il cmdlet Set-OutlookAnywhere. Come alternativa all'utilizzo dell'Abilitazione guidata Outlook via Internet, per la configurazione di Outlook via Internet è possibile utilizzare il cmdlet Enable-OutlookAnywhere.

Importante

Dopo aver eseguito l'aggiornamento dalla versione RTM di Exchange 2007 a Exchange 2007 SP1, si consiglia di specificare manualmente un singolo metodo di autenticazione utilizzando il cmdlet Set-OutlookAnywhere.

Utilizzo di più metodi di autenticazione per Outlook via Internet

Se si distribuisce un server firewall che esegue la delega dell'autenticazione, è necessario modificare il metodo di autenticazione per la directory virtuale /rpc e impostarlo su quello utilizzato dal client. Ad esempio, se si distribuisce un server firewall che esegue la delega dell'autenticazione, il server firewall esegue l'autenticazione presso il server Accesso client utilizzando l'autenticazione NTLM. Il client, tuttavia, utilizza l'autenticazione di base. In questo esempio il server firewall è responsabile per la delega dell'autenticazione dell'utente. È per questo motivo che la directory virtuale /rpc viene configurata in IIS per l'utilizzo dell'autenticazione NTLM.

Benché non sia consigliato, in Exchange 2007 SP1 è possibile configurare la directory virtuale /rpc in IIS per utilizzare sia l'autenticazione NTLM che l'autenticazione di base. Una situazione comune in cui si potrebbero utilizzare entrambi i metodi di autenticazione è quando vengono inoltrati servizi aggiuntivi per RPC su HTTP allo stesso server Accesso client che fornisce l'accesso a Outlook via Internet. In questo esempio ciascun servizio richiede entrambi i metodi di autenticazione. Per configurare la directory virtuale /rpc in IIS per l'utilizzo sia del metodo di autenticazione di base che del metodo NTLM, eseguire il seguente comando:

Set-OutlookAnywhere -Name Server01 -IISAuthenticationMethod Basic,NTLM

Utilizzo di un'Autorità di certificazione propria

È possibile utilizzare lo strumento Autorità di certificazione disponibile in Microsoft Windows per installare un'Autorità di certificazione personale. Per impostazione predefinita, le applicazioni e i Web browser non considerano attendibile l'Autorità di certificazione radice installata dall'utente. Quando un utente cerca di connettersi a Microsoft Office Outlook 2007 o Outlook 2003 utilizzando Outlook via Internet, la connessione a Microsoft Exchange viene interrotta. Non viene inviata alcuna notifica all'utente. La connessione viene interrotta quando si verifica una delle seguenti condizioni:

  • Il client non considera attendibile il certificato.

  • Il certificato non corrisponde al nome a cui il client sta tentando di connettersi.

  • La data del certificato non è corretta.

Occorre pertanto assicurarsi che i computer client considerino attendibile l'Autorità di certificazione. Inoltre, se si utilizza un'Autorità di certificazione personale, quando si emette un certificato per il server Accesso client, è necessario assicurarsi che il campo Nome comune o Rilasciato a del certificato contenga lo stesso nome dell'URL del server Accesso client disponibile tramite Internet. Ad esempio, il campo Nome comune o Rilasciato a deve contenere un nome simile a mail.contoso.com. Non è possibile inserire il nome di dominio completo interno del computer, come, ad esempio, un nome simile a computer.contoso.com.

Per ulteriori informazioni

Per ulteriori informazioni su Outlook via Internet, vedere i seguenti argomenti: