Аутентифікація OWA - який спосіб використовувати?
З урахуванням вищесказаного іноді потрібно звертати увагу на різні інтерфейси взаємодії користувачів з системою. Наприклад, користувачі, які підключаються до OWA зовні, отримають вікно аутентифікації на базі форм ISA Server, в той час як користувачі, що підключаються внутрішньо, будуть автоматично реєструватися за допомогою Integrated Windows аутентифікації. Деякі організації воліють виправляти цю проблему шляхом установки додаткових внутрішніх серверів Client Access Servers, або навіть додаткових внутрішніх серверів ISA Servers, на яких налаштовується аутентифікація на базі форм для забезпечення однакового способу взаємодії з користувачами незалежно від того, підключаються вони внутрішньо або зовні.
Вам також необхідно брати до уваги вимоги та інші важливі технології сервера Client Access Server, такі як CAS-к-CAS проксі (CAS-to-CAS proxying). Візьмемо приблизний сценарій, де користувач підключається через OWA до сервера Client Access Server, який розташований на іншому сайті Active Directory сервера, що містить поштову скриньку цього користувача. У цьому випадку сервер Client Access Server, до якого підключається користувач, здатний виявити сервер Client Access Server, що знаходиться на тому ж сайті Active Directory, що і сервер поштової скриньки користувача, і може переправляти запит користувача на цей сервер Client Access Server. Цей проксі запит відомий під терміном проксі CAS-to-CAS proxying. Однак щоб цей процес працював, сервер Client Access Server на тому ж сайті Active Directory, що і поштову скриньку користувача, повинен мати налаштовану Integrated Windows аутентифікацію для віртуального каталогу, до якого здійснюється доступ.
При розгляді вибору різних методів аутентифікації одним з основних моментів розгляду є те, що кешувального облікові дані можуть становити ризик безпеки для організації, якщо OWA використовується з загальнодоступного місця. Це є проблемою в основному в тому випадку, якщо користувач не може закрити оглядач після доступу до OWA; якщо оглядач не може бути повністю закритий, існує ризик того, що інші користувачі зможуть отримати доступ до сеансу OWA, коли облікові дані записані в кеш браузера.
сегментація OWA
Малюнок 9: Публічні папки доступні в OWA
Малюнок 10: Публічні папки відключені в OWA за допомогою сегментації OWA
Або, припустимо, ви не встановили Exchange ActiveSync пристрої або роль сервера Unified Messaging в своїй організації. І знову, буде непоганий думкою відключити ці функції, щоб ці опції не з'являлися в Outlook Web Access. Будь-які настройки, що полегшують життя користувачам і співробітникам служби підтримки, йдуть тільки на користь.
Можна керувати сегментацією OWA для всього віртуального каталогу на сервері Client Access Server або для кожного окремого користувача. Давайте спочатку розглянемо процес управління для всього віртуального каталогу за допомогою консолі Exchange Management Console. Для початку роботи з управління сегментацією, викликаємо властивості віртуального каталогу / owa і переходимо в закладку Сегментація (Segmentation). На малюнку 11 показано вміст цієї закладки.
Малюнок 11: Закладка сегментації OWA
Як показано на малюнку 11, дуже просто зрозуміти, як вмикати та вимикати певні можливості для OWA сегментації; вам просто потрібно вибрати відповідну функцію і натиснути кнопку включити (enable) або вимкнути (disable).
Примітка: сегментацію можна налаштувати тільки для віртуального каталогу / owa, тому не слід шукати закладки сегментації для інших віртуальних каталогів, таких як / exchange. які можуть бути у вас на сервері Client Access Server.
Щоб скористатися оболонкою Exchange Management Shell для настройки параметрів сегментації, потрібно використовувати команду Set-OwaVirtualDirectory. Наприклад, якби ви хотіли отримати властивості віртуального каталогу / owa на сервері під назвою CCR-SRV1. вам потрібно було б скористатися наступною командою:
Get-OwaVirtualDirectory 'CCR-SRV1 # 92; owa (Default Web Site)'
Ця команда відобразить безліч параметрів. На малюнку 12 показані деякі результати виконання цієї команди, серед яких є статус кожного значення сегментації. У верхній частині малюнка 12 видно, що функція Завдання (Tasks) була відключена в OWA.
Малюнок 12: Результати команди Get-OwaVirtualDirectory
Як уже згадувалося в цьому параграфі, можна також налаштовувати сегментацію OWA для кожного користувача окремо, для чого потрібно скористатися командою Set-CASMailbox. Наприклад, припустимо, ми хочемо відключити функцію Завдання для одного конкретного користувача, псевдонім поштової скриньки якого має значення neil. Для виконання цього завдання нам потрібно використовувати наступну команду:
Set-CASMailbox 'Identity neil' OWATasksEnabled: # 36; false
Потім вам потрібно скористатися командою Get-CASMailbox для перевірки того, що потрібні параметри були застосовані. Також зверніть увагу, що параметри для окремих користувачів мають більш високий пріоритет у порівнянні з параметрами для всього віртуального каталогу.