Product Documentation

集成 Exchange Server 或 IBM Notes Traveler 服务器

Mar 06, 2018

为了保持 Secure Mail 与 Microsoft Exchange 或 IBM Notes 同步,可以将 Secure Mail 与位于内部网络中或 NetScaler Gateway 后面的 Exchange Server 或 IBM Notes Traveler 服务器相集成。

同步还适用于 Secure Notes 和 Secure Tasks,如下所示。

  • 可以将 Secure Notes for iOS 与 Exchange Server 集成。
  • Secure Notes for Android 和 Secure Tasks for Android 使用 Secure Mail for Android 帐户同步 Exchange 备忘录和任务。

要了解有关 IBM/Lotus Notes 的已知限制条件,请参阅此 Citrix 博客文章

向 XenMobile 中添加 Secure Mail、Secure Notes 和 Secure Tasks 时,请配置以下 MDX 策略以与 Exchange 或 IBM Notes 集成:

  • 对于 Secure Mail:请将 Secure Mail Exchange Server 策略设置为 Exchange Server 或 IBM Notes Traveler 服务器的完全限定域名 (FQDN)。

    用于指定与 Notes Traveler 服务器的连接的 Secure Mail 要求因平台而异,如下所示:

    Secure Mail for Android
    Secure Mail for iOS 支持为 Notes Traveler 服务器指定的完整路径。例如:https://mail.example.com/traveler/Microsoft-Server-ActiveSync。(无需再为 Traveler 服务器配置带有 Web 站点替换规则的 Domino Directory。)
  • 对于 Secure Notes 和 Secure Tasks:为 Secure Notes Exchange Server、Secure Notes 用户域、Secure Tasks Exchange Server 及 Secure Tasks 用户域策略指定值。

以下 MDX 策略影响 Secure Mail 通信流:

Network access(网络访问)。“Network access”(网络访问)策略指定是否对网络访问设置限制。默认情况下,Secure Mail 访问通过通道连接到内部网络,这表示不对网络访问权限设置任何限制;应用程序将对设备连接到的网络具有不受限制的访问权限。“Network access”(网络访问)策略与“Background network service”(后台网络服务)策略交互,如下文所述。

Background network service(后台网络服务)。“Background network services”(后台网络服务)策略可指定允许后台网络访问的服务地址。服务地址可能适用于 Exchange Server 或 ActiveSync 服务器,位于您的内部网络中或 Secure Mail 连接到的其他网络中(例如 mail.example.com:443)。

配置“后台网络服务”策略时,请同时将“网络访问”策略设置为通过通道连接到内部网络。“后台网络服务”策略在您配置“网络访问”策略时生效。

后台网络服务网关。“后台网络服务网关”策略指定 Secure Mail 用于连接到内部 Exchange Server 的 NetScaler Gateway。如果您指定了备用网关地址,请将“网络访问”策略设置为通过通道连接到内部网络。“后台网络服务网关”策略在您配置“网络访问”策略时生效。

后台服务票据过期日期。“Background services ticket expiration”(后台服务票据过期日期)策略指定后台网络服务票据保持有效的时间段。当 Secure Mail 通过 NetScaler Gateway 连接到运行 ActiveSync 的 Exchange Server 时,XenMobile 会发出一个令牌,Secure Mail 将使用该令牌连接到内部 Exchange Server。此设置确定 Secure Mail 无需使用新令牌,使用该令牌即可进行身份验证并连接到 Exchange Server 的持续时间。超过时间限制后,用户必须重新登录以生成新令牌。默认值为 168 小时(7 天)。

有关相关 XenMobile Server 设置的详细信息,请参阅以下 XenMobile 文章:ActiveSync Gateway移动服务提供商

以下各图显示了 Secure Mail 与邮件服务器的连接类型。每个图后面是相关策略设置的列表。

localized image

直接连接到邮件服务器的策略:

  • 网络访问:无限制
  • 后台网络服务:空
  • 后台服务票据过期日期:168
  • 后台网络服务网关:空

localized image

直接连接到邮件服务器的策略:

  • 网络访问:通过通道连接到内部网络
  • 后台网络服务:空
  • 后台服务票据过期日期:168
  • 后台网络服务网关:空

localized image

对邮件服务器进行 STA 访问的策略:

  • 网络访问:通过通道连接到内部网络
  • 后台网络服务:mail.example.com:443
  • 后台服务票据过期日期:168
  • 后台网络服务网关:gateway3.example.com:443

下图显示了应用这些策略的位置:

localized image

为 Secure Mail 配置 IBM Notes Traveler 服务器

在 IBM Notes 环境中,必须先配置 IBM Notes Traveler 服务器才能部署 Secure Mail。本节显示 XenMobile 部署中此配置的图表和系统要求。

Important

如果您的 Notes Traveler 服务器使用 SSL 3.0,则请注意,SSL 3.0 包含一个名为 Padding Oracle On Downgraded Legacy Encryption (POODLE) 攻击的漏洞,这是一种中间人攻击,影响连接到使用 SSL 3.0 的服务器的任何应用程序。为了解决 POODLE 攻击引入的漏洞,Secure Mail 默认禁用 SSL 3.0 连接,并使用 TLS 1.0 连接到服务器。因此,Secure Mail 无法连接到使用 SSL 3.0 的 Notes Traveler 服务器。有关建议解决方法的详细信息,请参阅下节配置 SSL/TLS 安全级别

在 IBM Notes 环境中,必须先配置 IBM Notes Traveler 服务器才能部署 Secure Mail。

下图显示了一个示例 XenMobile 部署中 IBM Notes Traveler 服务器和 IBM Domino 邮件服务器的网络部署情况。

localized image

系统要求

基础结构服务器要求
  • IBM Domino 邮件服务器 9.0.1
  • IBM Notes Traveler 9.0.1

身份验证协议

  • Domino 数据库
  • Lotus Notes 身份验证协议
  • 轻型目录身份验证协议

端口要求

  • Exchange:默认 SSL 端口为 443。
  • IBM Notes:使用端口 443 支持 SSL。默认情况下,使用端口 80 支持非 SSL。

配置 SSL/TLS 安全级别

Citrix 对 Secure Mail 进行了修改,解决了前面“重要”注意事项中所述的 POODLE 攻击引入的漏洞。如果您的 Notes Traveler 服务器使用 SSL 3.0,因此,要启用连接,建议的解决方法是在 IBM Notes Traveler Server 9.0 上使用 TLS 1.2。

IBM 发布了一款修补程序,用于阻止在 Notes Traveler 安全服务器到服务器通信中使用 SSL 3.0。该修补程序于 2014 年 11 月发布,作为以下 Notes Traveler 服务器版本的中间修复更新包含在内:9.0.1 IF7、9.0.0.1 IF8 和 8.5.3 Upgrade Pack 2 IF8(将包含在所有将来的版本中)。有关该修补程序的详细信息,请参阅 LO82423: DISABLE SSLV3 FOR TRAVELER SERVER TO SERVER COMMUNICATION(LO82423:对 TRAVELER 服务器到服务器通信禁用 SSLV3)。

另一个解决方法:将 Secure Mail 添加到 XenMobile 中时,请将“连接安全级别”策略更改为 SSLv3 和 TLS。有关此问题的最新信息,请参阅 SSLv3 Connections Disabled by Default on Secure Mail 10.0.3(在 Secure Mail 10.0.3 上默认禁用 SSLv3 连接)。

下表基于“连接安全级别”策略值,按操作系统指出了 Secure Mail 支持的协议。您的邮件服务器必须也可以协商协议。

下表显示了连接安全级别为 SSLv3 和 TLS 时 Secure Mail 支持的协议:

Operating system type SSLv3 TLS

iOS 9 之前的版本


iOS 9 及更高版本


Android M 之前的版本


Android M 和 Android N


Android O

下表显示了连接安全级别为 TLS 时 Secure Mail 支持的协议:

Operating system type SSLv3 TLS

iOS 9 之前的版本


iOS 9 及更高版本


Android M 之前的版本


Android M 和 Android N


Android O

配置 Notes Traveler 服务器

以下信息与 IBM Domino Administrator 客户端中的配置页面相对应。

  • 安全性。Internet 身份验证设置为 Fewer name variations with higher security(名称变化更少,安全性更高)。此设置用于将 UID 映射到 LDAP 身份验证协议中的 AD User ID(AD 用户 ID)。
  • NOTES.INI 设置。添加 NTS_AS_ENFORCE_POLICY=false。这样可以让 Secure Mail 策略受 XenMobile 管理,而不是受 Traveler 管理。此设置可能与当前的客户部署冲突,但会简化 XenMobile 部署中设备的管理。
  • 同步协议。Secure Mail 目前不支持 SyncML on IBM Notes 和移动设备同步。Secure Mail 通过 Traveler 服务器中内置的 Microsoft ActiveSync 协议同步“邮件”、“日历”和“联系人”项目。如果将 SyncML 强制作为主要协议,则 Secure Mail 不能通过 Traveler 基础结构回连。
  • Domino 目录配置 - Web Internet 站点。覆盖 /traveler 的“会话身份验证”,以禁用基于表单的身份验证。