我一直在研究如何解决用户在使用移动电子邮件时遇到的一些问题,看起来更改 Exchange 设置以允许基于证书的身份验证会有所帮助。我已经找到了很多关于如何进行设置的说明,但我必须向我们的消息传递团队证明的是,这是一个低风险的提议。如果我们除了基本身份验证之外还允许使用客户端证书,我们可能会遇到什么问题(如果有的话)?
在某些情况下,我们部署了 Exchange 2007,并且我们的用户通过 ActiveSync 进行连接。我们使用 EMM 平台来管理电子邮件配置和客户端证书的分发,因此我真正需要的只是帮助查找有关如果我们进行此更改,Exchange 服务器本身可能出现哪些副作用的信息。
答案1
弄清楚这个问题花了相当多的时间,还与我们的 Microsoft 代表进行了一些交流。虽然可以选择同时启用基于证书的身份验证和 NTLM,但这需要一定的缓冲容量,因为我们需要一个 CAS 集群来处理使用 NTLM 进行身份验证的请求,另一个集群来处理使用基于证书的身份验证的请求。据我了解,这是由于 IIS 限制造成的,但我对这里的细节不太清楚。
这适用于 Exchange 2010 和 2007。