Product Documentation

集成 Exchange Server 或 IBM Notes Traveler 服务器

Sep 13, 2016

为保持 WorxMail 与 Microsoft Exchange 或 IBM Notes 同步,可以将 WorxMail 与位于内部网络中或 NetScaler Gateway 后面的 Exchange Server 或 IBM Notes Traveler 服务器相集成。

同步还适用于 WorxNotes 和 WorxTasks,如下所示。

  • 可以将 WorxNotes for iOS 与 Exchange Server 集成。
  • WorxNotes for Android 和 WorxTasks for Android 使用 WorxMail for Android 帐户同步 Exchange 备忘录和任务。

要了解有关 IBM/Lotus Notes 的已知限制条件,请参阅此 Citrix 博客文章

向 XenMobile 中添加 WorxMail、WorxNotes 和 WorxTasks 时,请配置以下 MDX 策略以与 Exchange 或 IBM Notes 集成:

  • 对于 WorxMail:请将 WorxMail Exchange Server 策略设置为 Exchange Server 或 IBM Notes Traveler 服务器的完全限定域名 (FQDN)。 

    指定与 Notes Traveler 服务器的连接时 WorxMail 的要求因平台而异,如下所述:

    WorxMail for Android 和 WorxMail for iOS 支持为 Notes Traveler 服务器指定完整路径。    例如:https://mail.example.com/traveler/Microsoft-Server-ActiveSync。 (无需再为 Traveler 配置带有 Web 站点替换规则的 Domino Directory。)

    WorxMail for Windows Phone
     支持为 Notes Traveler 服务器指定的完整路径。 例如:https://mail.example.com/traveler/Microsoft-Server-ActiveSync。 如果输入主机名或不包含路径的 URL,WorxMail for Windows Phone 将使用默认路径 https://hostname/Microsoft-Server-ActiveSync。

    如果您提供了域名,用户将无法此名称。 如果留空此字段,则用户可提供自己的服务器信息。 请将 WorxMail 用户域设置为 Exchange 或 Notes 用户的默认 Active Directory 域名。
  • 对于 WorxNotes 和 WorxTasks:请指定 WorxNotes Exchange Server、WorxNotes 用户域、WorxTasks Exchange Server 和 WorxTasks 用户域策略的值。 

以下 MDX 策略影响 WorxMail 通信流:

Network access(网络访问)。 “Network access”(网络访问)策略指定是否对网络访问设置限制。 默认情况下,WorxMail 访问不受限制,这表示不对网络访问权限设置任何限制;应用程序将对设备连接到的网络具有无限访问权限。 “Network access”(网络访问)策略与“Background network service”(后台网络服务)策略交互,如下文所述。

Background network service(后台网络服务)。 “Background network services”(后台网络服务)策略可指定允许后台网络访问的服务地址。 服务地址可能适用于 Exchange Server 或 ActiveSync 服务器,位于您的内部网络中或 WorxMail 连接到的其他网络中(例如 mail.example.com:443)。

配置“Background network services”(后台网络服务)策略时,请同时将“Network access”(网络访问)策略设置为 Tunneled to the internal network(通过通道连接到内部网络)。 “后台网络服务”策略在您配置“网络访问”策略时 生效 。

后台网络服务网关。 “Background network service gateway”(后台网络服务网关)策略指定 WorxMail 用于连接到内部 Exchange Server 的 NetScaler Gateway。 如果您指定了备用网关地址,请将“Network access”(网络访问)策略设置为 Tunneled to the internal network(通过通道连接到内部网络)。 “后台网络服务网关”策略在您配置“网络访问”策略时 生效 。

后台服务票据过期日期。 “Background services ticket expiration”(后台服务票据过期日期)策略指定后台网络服务票据保持有效的时间段。 当 WorxMail 通过 NetScaler Gateway 连接到运行 ActiveSync 的 Exchange Server 时,XenMobile 会发出一个令牌,WorxMail 将使用该令牌连接到内部 Exchange Server。 此设置确定 WorxMail 无需使用新令牌,使用此令牌即可进行身份验证并连接到 Exchange Server 的时间段。 超过时间限制后,用户必须重新登录以生成新令牌。 默认值 值为 168 小时(7 天)。

有关 XenMobile 服务器设置的详细信息,请参阅以下 XenMobile 文章:ActiveSync Gateway in XenMobile(XenMobile 中的 ActiveSync Gateway)和 Mobile Service Provider(移动服务提供商)。

以下各图显示了 WorxMail 与邮件服务器的连接类型。 每个图后面是相关策略设置的列表。

localized image

直接连接到邮件服务器的策略:

  • 网络访问:无限制
  • 后台网络服务:空
  • 后台服务票据过期日期:168
  • 后台网络服务网关:空

     
localized image

直接连接到邮件服务器的策略:

  • 网络访问:通过通道连接到内部网络
  • 后台网络服务:空
  • 后台服务票据过期日期:168
  • 后台网络服务网关:空

     
localized image

对邮件服务器进行 STA 访问的策略:

  • 网络访问:通过通道连接到内部网络
  • 后台网络服务:mail.example.com:443
  • 后台服务票据过期日期:168
  • 后台网络服务网关:gateway3.example.com:443

下图显示了应用这些策略的位置:

localized image

为 WorxMail 配置 IBM Notes Traveler 服务器

在 IBM Notes 环境中,必须先配置 IBM Notes Traveler 服务器才能部署 WorxMail。 本节显示 XenMobile 部署中此配置的图表和系统要求。   

Important

如果您的 Notes Traveler 服务器使用 SSL 3.0,则请注意,SSL 3.0 包含一个名为 Padding Oracle On Downgraded Legacy Encryption (POODLE) 攻击的漏洞,这是一种中间人攻击,影响连接到使用 SSL 3.0 的服务器的任何应用程序。 为解决 POODLE 攻击引入的漏洞,WorxMail 10.0.3 默认禁用 SSL 3.0 连接,并使用 TLS 1.0 连接到服务器。 因此,WorxMail 10.0.3 无法连接到使用 SSL 3.0 的 Notes Traveler 服务器。 有关建议解决方法的详细信息,请参阅下节配置 SSL/TLS 安全级别。  

在 IBM Notes 环境中,必须先配置 IBM Notes Traveler 服务器才能部署 WorxMail。

下图显示了一个示例 XenMobile 部署中 IBM Notes Traveler 服务器和 IBM Domino 邮件服务器的网络部署情况。

localized image

系统要求

基础结构服务器要求
  • IBM Domino 邮件服务器
  • IBM Notes Traveler 9.0.1

身份验证协议

  • Domino 数据库
  • Lotus Notes 身份验证协议
  • 轻型目录身份验证协议

端口要求

  • Exchange:默认 SSL 端口为 443。
  • IBM Notes:使用端口 443 支持 SSL。 默认情况下,使用端口 80 支持非 SSL。

配置 SSL/TLS 安全级别

Citrix 对 WorxMail 进行了修改,解决了上一个“重要”提示中所述的 POODLE 攻击引起的漏洞。 如果您的 Notes Traveler 服务器使用 SSL 3.0,因此,要启用连接,建议的解决方法是在 IBM Notes Traveler Server 9.0 上使用 TLS 1.2。

IBM 发布了一款修补程序,用于阻止在 Notes Traveler 安全服务器到服务器通信中使用 SSL 3.0。 该修补程序于 2014 年 11 月发布,作为以下 Notes Traveler 服务器版本的中间修复更新包含在内:9.0.1 IF7、9.0.0.1 IF8 和 8.5.3 Upgrade Pack 2 IF8(将包含在所有将来的版本中)。 有关该修补程序的详细信息,请参阅 LO82423: DISABLE SSLV3 FOR TRAVELER SERVER TO SERVER COMMUNICATION(LO82423:对 TRAVELER 服务器到服务器通信禁用 SSLV3)。

备选解决方法:将 WorxMail 添加到 XenMobile 中时,请将“连接安全级别”策略更改为 SSLv3 和 TLS。 有关此问题的最新信息,请参阅 SSLv3 Connections Disabled by Default on WorxMail 10.0.3(在 WorxMail 10.0.3 上默认禁用 SSLv3 连接)。

下表基于“连接安全级别”策略值,按操作系统指出了 WorxMail 支持的协议。 您的邮件服务器必须也可以协商协议。

连接安全级别为 SSLv3 和 TLS 时

操作系统类型

WorxMail 支持的协议

SSLv3

TLS

iOS 9 之前的版本

iOS 9

Android M 之前的版本

Android M

连接安全级别为 TLS 时

操作系统类型

WorxMail 支持的协议

SSLv3

TLS

iOS 9 之前的版本

iOS 9

Android M 之前的版本

Android M

配置 Notes Traveler 服务器

以下信息与 IBM Domino Administrator 客户端中的配置页面相对应。

  • 安全性。 Internet 身份验证设置为 Fewer name variations with higher security(名称变化更少,安全性更高)。 此设置用于将 UID 映射到 LDAP 身份验证协议中的 AD User ID(AD 用户 ID)。
  • NOTES.INI 设置。 添加 NTS_AS_ENFORCE_POLICY=false。 这样可以使 WorxMail 策略由 XenMobile 管理,而不是由 Traveler 管理。 此设置可能与当前的客户部署冲突,但会简化 XenMobile 部署中设备的管理。
  • 同步协议。 WorxMail 目前不支持 SyncML on IBM Notes 和移动设备同步。 WorxMail 通过 Traveler 服务器中内置的 Microsoft ActiveSync 协议同步“邮件”、“日历”和“联系人”项目。 如果将 SyncML 强制作为主要协议,则 WorxMail 不能通过 Traveler 基础结构回连。
  • Domino 目录配置 - Web Internet 站点。 覆盖 /traveler 的“会话身份验证”,以禁用基于表单的身份验证。