易宝典：http://support.microsoft.com/kb/2580470/zh-cn

在企业中通常部署Exchange Server 2010服务器都是使用内部网络环境进行的。用户在企业内部使用Outlook客户端通过MAPI的方式来访问时是能够顺利访问到了，但是需要在企业外部网络或Internet来访问时，过去很多企业只能提供给用户使用SMTP/POP的方式来收发邮件，或者只能提供OWA的方式基于Web来进行访问，从而使用户的某些使用有了局限性。

现在可以使用Exchange Server 2010的Outlook Anywhere实现让企业用户无论在内部网络还是在Internet，均能使用相同的用户体验访问Exchange Server 2010所提供的完整服务，该功能将通过RPC Over HTTP来顺利实现。而ForeFront TMG 2010也为Exchange Server 2010提供了该功能发布配置接口，能够简化管理员的配置复杂度。以下是具体的系统需求和配置过程。

注：ForeFront TMG 2010作为早期微软ISA Server的升级换代产品，在企业网络边缘提供网络防火墙服务，该产品解决方案，已被诸多大中型企业采用，并在生产环境中等都充分的实践。

步骤一：为TMG加载证书

一、从Exchange Server 2010导出证书

注意：部署环境的前提条件是Exchange Server 2010已经申请并加载了由指定CA颁发的非自签名证书，并工作正常。此处的非自签名证书的申请和加载属于Exchange Server 2010服务器部署的范畴，在此不再累述。此外，ForeFront TMG 2010的基本部署在此也不再做过多介绍，本文默认这些配置均已完成，并且正常工作。

1、打开“Exchange管理控制台”，在左侧导航栏中选择“服务器配置”节点；

2、在右侧窗口上部选择Exchange Server 2010服务器；

3、在右侧窗口下部“Exchange证书”选项卡中选择该服务器加载并正在使用的非自签名证书；

4、点击右侧任务栏中的“导出Exchange证书…”，打开导出“Exchange”证书向导；

5、在向导中指定导出的pfx文件放置的位置，并输入私钥保护密码，根据向导完成导出。

二、将证书安装到TMG

在进行下列操作之前先要把从Exchange中导出的含有附加了私钥的pfx证书文件通过安全的途径复制到TMG服务器上。

1、通过“运行”打开一个空白的“MMC”控制台，在“文件”菜单中点击“添加/删除管理单元”；

2、在弹出“添加或删除管理单元”对话框中选择“证书”管理单元，点击中部的“添加”按钮；

3、在弹出向导中选择“计算机证书”并制定“本地计算机”，点击“确定”完成“证书（本地计算机）”管理单元的添加；

4、在管理控制台中，展开此前添加的“证书（本地计算机）”管理单元，右击“个人”容器，在上下文菜单中选择“所有任务”，在扩展菜单中选择“导入…”；

5、通过证书导入向导，指定“要导入的文件”即之前复制到TMG的Exchange证书pfx文件；

6、输入导出证书是设置的保护密码，并勾选包括所有扩展属性；

7、根据向导默认的证书“存储位置”进行存储，完成证书导入。

注意：要是上述导入的证书有效还需要在TMG上导入颁发Exchange证书的CA证书链，并导入到受信任的根证书容器。

步骤二：在TMG上发布Outlook Anywhere

一、为RPC Over HTTP创建Web侦听器

通过TMG的管理控制台，定位到防火墙策略，在右侧“工具箱”中点击“网络对象”选卡，“新建”“Web侦听器”。

1、在打开的“新建Web侦听器定义向导”中首先为要创建Web侦听器命名；

2、在“客户端连接安全设置”中选择“需要与客户端建立SSL安全连接”；

3、指定“Web侦听器IP地址”为TMG的“外部”网络地址；

4、指定“Web侦听器证书”为之前导入的Exchange证书；

5、在“身份验证设置”页中，通过下拉列表选择“没有身份验证”；

6、根据向导剩余步骤按默认完成该Web侦听器的创建。

二、为Outlook Anywhere创建发布规则

1、在TMG管理控制台中，右击“防火墙策略”，在上下文菜单中选择“新建”，在扩展菜单中选择“Exchange Web客户端访问发布规则”；

2、在使用新Exchange发布规则向导欢迎页面中为该规则命名；

3、指定“Exchange版本”为“Exchange Server 2010”，并勾选“Web客户端邮件服务”为“Outlook Anywhere(RPC/HTTP(s))”；

4、在“发布类型”页面中选择“发布单个网站或负载平衡器”即可；

5、指定“服务器连接安全”为“使用SSL连接到发布的Web服务器或服务器场”；

6、通过“内部发布详细信息”页面，指定“内部站点名称”，即Exchange服务器的域名，这个域名必须和申请Exchange证书时提交的内部访问域名相同；如果TMG没有配置内部域名的DNS解析，则可以勾选该页面底部的“使用计算机名称或IP地址连接到发布的服务器”，并在文本框中指定Exchange服务的计算机名或IP地址，此处建议使用IP地址；

7、在指定“公共名称细节”页面中填写通过Internet访问邮件服务器的Internet已注册的域名，该域名必须和申请Exchange证书时提交的外部访问域名相同；

8、在“选择Web侦听器”页面的下来菜单中选择此前所创建的Web监听器；

9、指定“身份验证委派”类型为“无委派，但是客户端可以直接进行身份验证”；

10、选择该规则针对的“用户集”为“所有用户”；

11、根据向导剩余步骤按默认完成该发布规则的创建。

步骤三：配置Outlook启用Outlook Anywhere

以Outlook 2010为例，在Outlook中打开“Microsoft Exchange”账户的设置界面，在“其他设置”对话框中选择“连接”选项卡。在“Exchange无处不在”中启用“使用HTTP连接到Microsoft Exchange”，然后点击“Microsoft Exchange代理服务器设置”按钮。

1、在弹出对话框中指定代理服务器的URL为“https://Exchange外部访问域名”，同时勾选“仅使用SSL连接”和“仅连接到其证书中包含该主体名称的代理服务器”，在文本框中以“msstd:Exchange外部访问域名”格式填写，点击“确定”完成配置。

2、当Outlook通过Outlook Anywhere成功连接到Exchange后，打开其连接状态，可以看到其连接方式为HTTPS方式。

注意：在对Outlook配置完Outlook Anywhere后，建议在企业内部进行邮箱访问登录测试成功后，在从Internet进行邮箱访问登录测试和使用。