现在在办公室外办公是十分普遍的事情，但是如何为这些办公室外的用户提供安全连接呢?不管你使用的是哪个版本的Exchange,本文将为大家提供几个方法来确保安全连接。

　　1.选择办公室外连接网络的方法

　　首先，主要有几种连接的方法，包括利用Outlook Web App通过web浏览器连接，使用移动设备利用ActiveSync连接，通过互联网的Outlook而不需要VPN连接(称为Outlook Anywhere，也就是HTTP over RPC)，以及通过POP/IMAP连接。

　　选择连接的方法并不容易。例如，有些公司不允许ActiveSync连接。原因何在?因为每个人都使用不同的设备类型，他们都有不同级别的ActiveSync控制方式。与其为选择移动设备类型伤脑筋，这些公司干脆就完全拒绝访问，这是一个有趣的方法。为所有企业员工提供标准化的移动设备则是另一种方法，但是大多数用户认为他们自己的移动设备是个性化的标志，他们并不像被公司政策束缚。考虑一下现在智能手机所能承载的庞大数量，这对于管理员而言绝对是巨大的安全风险。

　　2. 配置办公室外连接方法

　　一旦你安装了Exchange 2007或者2010，就已经为Outlook Web App和ActiveSyn连接设置了办公室外连接功能。Outlook Anywhere仍然需要启用，POP/IMAP服务需要开启，但是大体来看，已经可以运行上述所有方法了。

　　配置通常是通过虚拟文件夹设置来处理的，而虚拟文件夹设置并不能通过互联网信息服务(IIS)管理器被访问，自IIS7推出以来，管理IIS的新界面中，很难找到配置选项，而使用Exchange，你并不需要打开IIS，除非你计划为Outlook Anywhere或者POP/IMAP配置SSL。

　　其他部分则是通过Exchange工具来完成，或者更具体来说(如果你是通过GUI Exchange管理控制台来运行)，通过服务器配置和CAS角色设置，在这里你会找到虚拟文件夹设置，允许你配置重要的部分，例如Exchange的身份验证。并且你可以将OWA连接调整为Windows整合连接。对于其他办公室外连接设置也是同样的道理。

　　3. 确保客户端访问

　　客户端访问顺利进行主要有两个关键要素。首先是确保内部和外部DNS设置都进行了正确的配置，这样可以使试图通过浏览器或者移动设备(或者其他方法)访问Exchange能够实现。第二个方法就是确保你有证书来确认服务器，这可能看起来像是安全问题，并且是在一个较深的层次，但是它并没有直接与任何安全方面有联系。

　　你可以使用Exchange为某些连接(如OWA)附带的自我签名，但是当用户试图连接时他们将需要接受和相信这个证书。这并不是部署这些服务的最专业的方法，所以你可能需要考虑PKI内部证书服务，使用内部服务器或者通过第三方可信任的证书颁发机构。我个人的意见?第三方证书颁发机构的方法很简单并且便宜，并且不会让你困扰于建立PKI服务器的问题。

　　Exchange 2010的向导功能十分强大，能够指导你完成整个证书请求。通过与可信任证书颁发机构(例如GoDaddy或者VeriSign)合作，你可以获得证书，将证书安装在服务器上，并为用户提供可信的连接(通过证书颁发机构验证的)、你可以使用通配符证书(*.domainname.com)或者Subject Alternative Name(SAN)证书来确保不同访问方法的安全性。

　　4.验证访问

　　你可以很简单地对连接进行验证，通过设置办公室外解决方案以及测试来看看是否有任何问题，无论是从浏览器、移动设备，还是Outlook/邮件客户端进行访问，这取决于你选择的办公室外连接形式。在大多数情况下，你可以选择多种形式。

　　然而，当你的连接失败时，这种情况经常发生，你可以通过Exchange Management Shell的测试cmdlets或者通过Exchange远程连接分析器的网站进行验证测试。后者是Microsoft Exchange团队提供的免费工具，来帮助你验证你的配置或者找到错误配置的地方。

　　5.通过政策建立安全设置

　　你将部署的安全设置大部分都是在Exchange的服务器配置水平进行处理的，通过与Client Access角色下的虚拟文件夹设置或者通过Client Access角色的企业配置水平。在企业配置水平或者节点下面，你会找到Outlook Web App连接和ActiveSyn的政策设置。你可以创建很多政策，但是对于一个特定的用户，你只能运用一个OWA政策和一个ActiveSync政策。最好对企业用户的不同角色设置，并且为每个角色设置特定的政策。然后，确定哪些用户哪些角色的政策是否合理。

　　这些政策允许你从用户需要的功能方面进行配置，例如，通过OWA政策设置，你可以启用或者禁用某些功能。比方说，你不想要用户访问OWA中的日历，你可以创建一个政策禁用日历访问，然后为这些受感染的用户锁定日历。

　　ActiveSyn政策同样如此。你可以配置50个以上的设置来执行密码和密码政策，以及允许或拒绝对电话功能(如照相机或者浏览器)的访问。这些政策设置可以帮助你保护环境的安全，但应该有限度地使用这些功能，这样就不会让用户太痛苦。

　　6. 考虑未来的BPOS(又名Office 365)

　　在我看来，Exchange让整个过程都更加简便。但是如果你想要寻找内部Exchange的替代解决方案，可以考虑微软的以云计算为基础的BPOS(业务生产化在线变种)套件，允许通过OWA、ActiveSync等的连接，并且不需要用户进行任何配置。当然，你的控制也相对有限，但如果你真的需要连接性，而不是最终的命令，并且你是在一个较小的环境工作，那么这将是个不错的解决方案。