配置 Exchange ActiveSync 身份验证

     在Exchange Server 2010中，ActiveSync主要有三种验证类型可供选择，包括：基本身份验证、基于证书的身份验证以及基于标记的身份验证。

 

       打开Exchange管理控制台，展开“服务器管理” - “客户端配置” - 在下方的“Exchange ActiveSync”处双击 “Microsoft-Server-ActiveSync”，打开其属性对话框即可对其进行相关的设置。

 

       

 

       基本身份验证

 

       基本身份验证是最简单的身份验证方法。使用基本身份验证时，服务器要求客户端提交用户名和密码。提交的用户名和密码将以明文形式通过 Internet 发送到服务器。服务器验证提供的用户名和密码是否有效，如果有效，则授予对客户端的访问权限。默认情况下，对 Exchange ActiveSync 启用此类型的身份验证。但是，除非您还要部署 SSL，否则，建议您禁用基本身份验证。使用基于 SSL 上的基本身份验证时，用户名和密码仍以纯文本形式发送，但会对通信信道进行加密。

 

       基于证书的身份验证

 

       基于证书的身份验证使用数字证书来验证身份。除了用户名和密码，还提供其他凭据。这些可以证明正在尝试访问存储在 Exchange 2010 服务器上的邮箱资源用户的身份。数字证书由两部分组成：存储在设备上的私钥和安装在服务器上的公钥。如果将 Exchange 2010 配置为要求对 Exchange ActiveSync 进行基于证书的身份验证，则只有满足以下条件的设备可以与 Exchange 2010 进行同步：

 

       1、设备安装了为进行用户身份验证而创建的有效的客户端证书。

       2、设备拥有用户为建立 SSL 连接而连接到的服务器的受信任根证书。

 

       部署了基于证书的身份验证之后，只有用户名和密码的用户将无法与 Exchange 2010 进行同步。用于身份验证的客户端证书具有更高的安全级别，仅当设备通过 Windows XP 中的 Desktop ActiveSync 4.5 或更高版本或者 Windows Vista 或 Windows 7 中的 Windows Mobile 设备中心连接到加入域的计算机时，才安装用于身份验证的客户端证书。

 

       基于标记的身份验证系统

 

       基于标记的身份验证系统是一个双重身份验证系统。双重身份验证是基于用户所知的一条信息（如自己的密码）以及一个用户可以随身携带的外部设备（通常以信用卡或密钥卡的形式）。每个设备都有唯一的序列号。除了硬件标记，一些供应商还提供可在移动设备上运行的基于软件的标记。

 

      令牌的工作方式是显示唯一编号，长度通常为六位，该编号每隔 60 秒更改一次。令牌颁发给用户后，将与服务器软件进行同步。若要进行身份验证，用户需要输入其用户名、密码以及令牌上当前显示的编号。某些基于标记的身份验证系统还要求用户输入 PIN。

 

      基于标记的身份验证是一种强身份验证形式。基于令牌的身份验证的缺点在于，必须在每个用户的计算机或移动设备上安装身份验证服务器软件并部署身份验证软件。而且，还面临着用户可能会丢失外部设备的风险。由于需要更换丢失的外部设备，所以成本可能会很高。但是，如果没有原用户的身份验证信息，该设备对于第三方毫无价值。

 

      有多家公司发布了基于令牌的身份验证系统。其中一家是 RSA。其产品 SecurID 形式多样，其中包括密钥卡和信用卡。一次性身份验证代码通过标记发送。每个身份验证代码的有效期为 60 秒。大多数标记在设备上还有一个过期指示器，例如，随着代码的剩余有效时间越来越短，一系列的点也将慢慢消失。这有助于避免用户输入了正确代码，但在身份验证过程完成之前其已过期。身份验证完成之后，除非由于用户选择或者设备不活动时间超时而注销，否则，不必使用新代码进行身份验证。有关如何配置基于标记的身份验证系统的详细信息，请参阅针对该特定系统的文档。

 

 

       使用命令行管理程序配置 Exchange ActiveSync 虚拟目录属性

 

       本示例将配置具有基本身份验证的 Exchange ActiveSync 虚拟目录和 http://contoso.com/Microsoft-Server-ActiveSync 的 External URL。

       Set-ActiveSyncVirtualDirectory -Identity "http://contoso/microsoft-server-activesync" -BasicAuthEnabled:$true -ExternalURL http://contoso.com/Microsoft-Server-ActiveSync

 

        本示例将配置具有基本身份验证的 Exchange ActiveSync 虚拟目录并将站点添加到阻止列表中。

       Set-ActiveSyncVirtualDirectory -Identity "contoso\microsoft-server-activesync" -BasicAuthEnabled:$true -RemoteDocumentsBlockedServers http://fourthcoffee.com

 

        使用命令行管理程序查看 Exchange ActiveSync 虚拟目录属性

 

       本示例返回 CAS-01 服务器上 Exchange ActiveSync 虚拟目录的设置。

       Get-ActiveSyncVirtualDirectory -Server "CAS-01"

 

       本示例返回 CAS-01 服务器上特定 Exchange ActiveSync 虚拟目录的设置。

       Get-ActiveSyncVirtualDirectory -Server "CAS-01" -Identity "Microsoft-Server-ActiveSync"

 

       本示例为域控制器 DOM-01 返回 CAS-01 服务器上 Exchange ActiveSync 虚拟目录的设置。

       Get-ActiveSyncVirtualDirectory -Server "CAS-01" -DomainController "DOM-01"