上一页 1 2

设置 Cookie 身份验证超时

对于 OutLook Web Access 登录页，可以为用户提供两种类型的身份验证安全选项。用户可以根据需要在 Outlook Web Access 登录页上选择以下任一安全选项：

•	“公共或共享计算机”– 在用户从不为组织使用安全设置的计算机中访问 Outlook Web Access 时，告诉他们选择此选项。例如，Internet kiosk 计算机不为组织使用安全选项。“公共或共享计算机”选项是默认选项，并提供了 15 分钟的短暂默认超时选项。
•	“私有计算机”– 当用户是计算机的唯一操作员，且计算机为您的组织使用安全设置时，告诉他们选择此选项。此选项允许在自动结束会话之前保持更长时间的不活动状态。它的内部默认值是 24 小时。“私有计算机”选项是为了在办公室或家庭中使用个人计算机的 Outlook Web Access 用户提供方便。

此外，当 Outlook Web Access 客户端使用基于窗体的身份验证登录时，它们还可以在以下两种类型的 Outlook Web Access 客户端版本之间进行选择：

•	Premium – 这是默认版本。它提供了所有 Outlook Web Access 功能。 注意：Outlook Web Access Premium 客户端具有特殊代码，因此键入邮件正文被视为活动。
•	Basic – 此版本提供更快的性能，但功能比 Premium 客户端少。如果使用低速连接，则使用此版本。

在 Exchange 2003 中，Outlook Web Access 用户凭据存储在 Cookie 中。当用户从 Outlook Web Access 注销时，此 Cookie 将被清除，并且对身份验证不再有效。此外，默认情况下，如果用户使用公共计算机，并在 Outlook Web Access 登录屏幕上选择“公共或共享计算机”选项，则此计算机上的 Cookie 将在用户处于不活动状态 15 分钟后自动过期。

自动超时很重要，因为它有助于防止对用户的帐户进行未授权的访问。然而，尽管自动超时显著降低了未授权访问的风险，但它并未彻底消除当会话在公共计算机上运行时，未经授权的用户访问 Outlook Web Access 帐户的风险。因此，请确保指示用户采取预防措施以避免风险。

要满足组织的安全需要，管理员可以在 Exchange 前端服务器上配置不活动超时值。Exchange 2003 使用以下信息确定用户活动：

•	客户端与服务器之间的交互被视为活动。例如，用户打开、发送或保存某个条目，切换文件夹或模块，或刷新视图或 Web 浏览器窗口等，这些操作均被视为活动。
•	如果用户在 Outlook Web Access 项目中输入文本，则它不被视为活动。例如，如果用户键入约会、会议要求、张贴、联系人、任务或其他项目，则不会被视为活动。

要配置超时值，必须先启用基于窗体的身份验证，然后修改服务器上的注册表设置。

要设置 Outlook Web Access 基于窗体的身份验证公共计算机 Cookie 超时值，请按照下列步骤操作：
警告：注册表编辑器使用不当可导致严重问题，可能需要重新安装操作系统。Microsoft 不能保证您可以解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。

1.	在 Exchange 前端服务器上，使用 Exchange 管理员帐户登录，然后启动注册表编辑器。
2.	找到并单击下面的注册表子项： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeWeb\OWA
3.	在“编辑”菜单上，指向“新建”，然后单击“DWORD 值”。
4.	键入 PublicClientTimeout 作为 DWORD 的名称，然后按 Enter 键。
5.	右键单击“PublicClientTimeout”DWORD 值，然后单击“修改”。
6.	在“基数”下，单击“十进制”。
7.	在“数值数据”框中，键入一个表示超时分钟数的值。此数字必须介于 1 和 43200 之间。（43200 分钟等于 30 天。）如果您没有设置值，则默认此值为 15。 注意：最大可能的值为 43200，即 30 天。
8.	单击“确定”。 重要说明：必须重新启动 IIS，这些更改才会生效。此外，如果将 TrustedClientTimeout 值设置为小于 PublicClientTimeout 的值，则 TrustedClientTimeout 值默认等于 PublicClientTimeout 值。同样，如果将 PublicClientTimeout 值设置为大于 TrustedClientTimeout 值的值，则 TrustedClientTimeout 值默认为等于 PublicClientTimeout 值。

设置 Outlook Web Access 基于窗体的身份验证受信任的计算机 Cookie 超时值：

1.	在 Exchange 前端服务器上，使用 Exchange 管理员帐户登录，然后启动注册表编辑器。
2.	找到并单击下面的注册表子项： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeWeb\OWA
3.	在“编辑”菜单上，指向“新建”，然后单击“DWORD 值”。
4.	键入 TrustedClientTimeout 作为 DWORD 的名称，然后按 Enter 键。
5.	右键单击“TrustedClientTimeout”DWORD 值，然后单击“修改”。
6.	在“基数”下，单击“十进制”。
7.	在“数值数据”框中，键入一个表示超时分钟数的值。此数字必须介于 1 和 43200 之间。（43200 分钟等于 30 天。）如果您没有设置值，则默认此值为 1440。 注意：最大可能的值为 43200，即 30 天。
8.	单击“确定”。
9.	打开命令提示符，键入 net stop w3sVC，然后按 Enter 键。
10.	服务停止后，键入 net start w3svc，然后按 Enter 键。

启用 Outlook Web Access (gzip) 压缩

当您在 Exchange 2003 中启用基于窗体的身份验证时，您还可以对 Exchange 2003 虚拟目录和虚拟服务器中的静态和动态文件启用 gzip 压缩。通过使用压缩，用户在使用速度较低的网络连接（如传统的拨号访问）时可以使性能提高 50%。

根据您所使用的压缩设置，Outlook Web Access 压缩通过压缩静态或动态 Web 页进行工作。

压缩设置	说明
高	同时压缩静态和动态页。
设置	只压缩静态页。
无	不使用压缩。

要对 Exchange 2003 中的 Outlook Web Access 使用数据压缩，必须满足以下先决条件：

客户端

客户端系统必须运行 Microsoft Windows 2000 或更高版本，并且必须使用以下某个 Web 浏览器：

•	具有 328970 累积更新的 Internet Explorer 6 或更高版本。 有关 328970 累积更新的其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 328970 MS02-066：2002 年 11 月版 Internet Explorer 累积修补程序
•	Netscape Navigator 6.0 或更高版本。

服务器

必须启用基于窗体的身份验证。

在 Exchange 环境中启用 gzip 压缩时，必须考虑部署方案的类型。建议的方法是部署专用的前端服务器。在此类方案中，应满足以下要求：

•	前端 Exchange 2003 计算机必须在 Windows Server 2003 下运行。
•	后端 Exchange 2003 计算机可以在 Windows 2000 或 Windows Server 2003 下运行。

另一类部署方案不涉及部署专用的前端 Exchange 计算机（也称作只限后端部署）。在这种情况下，Exchange 2003 计算机必须在 Windows Server 2003 下运行。

注意：如果使用 Exchange 2003 前端服务器访问 Exchange 2000 后端服务器，则禁用前端服务器上的 Outlook Web Access 压缩支持，直到所有后端服务器全部升级到 Exchange 2003。

包括前面的先决条件在内，您可能还必须通过代理服务器对某些拨号连接启用 HTTP 1.1 支持。（HTTP 1.1 支持是压缩正常工作所必需的。）

要启用数据压缩，请按照下列步骤操作：

1.	单击“开始”，依次指向“程序”和“Microsoft Exchange”，然后单击“系统管理器”。
2.	依次展开“服务器”、“ServerName”、“协议”和“HTTP”。
3.	右键单击“Exchange 虚拟服务器”，然后单击“属性”。
4.	单击“设置”选项卡。
5.	单击以选中“启用基于窗体的身份验证”复选框。
6.	要配置压缩，请在“压缩”框中单击要使用的压缩级别，然后单击“确定”。
7.	单击“确定”。
8.	重新启动下列服务： • Microsoft Exchange System Attendant 服务 • IIS 管理服务 注意：您必须在 IIS 中配置 SSL，才能在服务器上启用基于窗体的身份验证。

阻止 Web 信标

在 Exchange 2003 中，Outlook Web Access 使发送垃圾电子邮件的用户很难使用信标检索电子邮件地址。信标通常以图像的形式出现，当用户打开垃圾电子邮件项目时，这些图像将下载到用户的计算机中。下载图像后，将向垃圾电子邮件的发件人发送一个信标通知，指示发件人您用户的电子邮件地址有效。结果是，用户更频繁地接收垃圾电子邮件，这是因为垃圾电子邮件的发件人现在知道该电子邮件地址有效。

在 Outlook Web Access 中，具有可能被用作信标的任何内容的传入邮件（无论该邮件是否真的包含信标）会提示 Outlook Web Access 显示以下警告消息：

如果用户知道邮件是合法的，则可以单击警告邮件中的“单击此处取消阻止内容”链接以取消阻止内容。如果用户无法识别发件人或邮件，则可以在不取消阻止内容的情况下打开该邮件，然后在不触发信标的情况下删除该邮件。如果您的组织不希望使用此功能，则可以禁用 Outlook Web Access 的阻止选项。

要禁用阻止选项，请按照下列步骤操作：

1.	使用 Web 浏览器访问 Outlook Web Access。
2.	单击“选项”。
3.	在“隐私和垃圾电子邮件阻止”下，单击以清除“阻止 HTML 电子邮件中的外部内容”复选框。

阻止附件

使用 Outlook Web Access，您可以阻止用户打开、发送或接收指定的附件类型。尤其是，您可以执行以下操作：

•	阻止用户访问特定文件类型的附件。默认情况下，所有新的 Exchange 2003 安装都阻止级别 1 和级别 2 文件类型以及级别 1 和级别 2 MIME 类型的附件。该功能对于阻止 Outlook Web Access 用户在公共 Internet 终端打开附件很有用。在公共 Internet 终端中打开附件可能会危及企业的安全。如果附件被阻止，则在电子邮件的信息栏中将显示一条指示用户无法打开此附件的警告消息。在办公室工作或从家庭连接到公司网络的 Outlook Web Access 用户可以打开和读取附件。您可以通过向后端服务器提供 URL 并在 Exchange 后端服务器上允许附件来启用对附件的完全 Intranet 访问。
•	阻止用户发送或接收可能包含病毒、带有特定文件扩展名的附件。Outlook Web Access 中的此功能相当于 Outlook 中的附件阻止功能。对于接收的邮件，在电子邮件的信息栏中将显示一条指示附件已被阻止的警告消息。对于发送的邮件，用户无法上载任何带有阻止列表上显示的扩展名的文件。

要更改附件阻止设置，您必须修改服务器上的注册表设置。

注意：在前端/后端配置中，应在后端服务器上修改注册表。

为此，请按照下列步骤操作。

警告：注册表编辑器使用不当可导致严重问题，可能需要重新安装操作系统。Microsoft 不能保证您可以解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。

1.	在 Exchange 计算机上，使用 Exchange 管理员帐户登录，然后启动注册表编辑器。
2.	找到并单击下面的注册表子项： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeWeb\OWA
3.	在“编辑”菜单上，指向“新建”，然后单击“DWORD 值”。
4.	键入 DisableAttachments 作为 DWORD 的名称，然后按 Enter 键。
5.	右键单击“DisableAttachments”DWORD 值，然后单击“修改”。
6.	在“基数”下，单击“十进制”。
7.	在“数值数据”框中，键入下列数字之一： • 要允许所有附件，键入 0。 • 要不允许任何附件，键入 1。 • 要只允许来自后端服务器的附件，键入 2。
8.	单击“确定”。
9.	打开命令提示符，键入 net stop w3svc，然后按 Enter 键。
10.	服务停止后，键入 net start w3svc，然后按 Enter 键。