目标:通过Air Watch实施移动设备pipe理服务器(MDM)进行身份validation,并且不允许移动设备直接使用443从Internet发送ActiveSyncstream量到发布的CAS服务器,但同时保持OWA和Outlook无处不在使用端口443,所以我们不能阻止它从总理防火墙。 这意味着所有的设备都应该连接到MDM服务器,该服务器将请求交给Exchange 2010 ActiveSync。
已经实现的结果:所有互联网设备使用端口443连接到MDM服务器,然后MDM服务器使用443代理设备连接到Exchange Active Sync Server。
问题:有些用户知道他们仍然可以通过443连接到CAS服务器并访问ActiveSync,因此通过MDM服务器。 如果我们从公有DNS中删除子url或阻止从防火墙到CAS服务器的访问,那么用户也将无法在任何地方使用OWA和Outlook。
问题:您认为在2010 CAS上创build仅用于Active Sync服务的新网站,可以侦听端口444,但将其余服务保留在默认网站和端口443上,然后删除443上的Active Sync工作? 我们的防火墙不做反向代理,我们知道实现,只有通过TMG发布OWA解决了这不是一个选项。
思考?
答:解决,解决scheme是由Microsoft 100%支持。
1)使IISpipe理器在端口444上侦听新网站启用SSL与默认网站相同证书相同侦听IP在ActiveSync上configuration外部URL,如在默认网站中
2)分配Exchange Active Sync以使用来自“Exchange Power Shell”的新网站这意味着Active Sync现在也将侦听端口444。
3)编辑端口444上的MDM服务器configuration文件代理。
4)删除Exchange Active Sync以使用“Exchange Power Shell”中的默认网站这意味着Active Sync将不再监听端口443。