Outlook Web Access（OWA）基于表单的身份验证
　　
　　在Exchange 2000中，用户访问OWA主页时，系统会弹出输入用户名和密码的对话框，在正常登录之后系统便会记录下该用户的登录凭据，直至用户登出（注：ISA Server 2004提供了基于表单的身份验证功能，我们可以利用ISA Server 2004来实现这一Exchange 2000所不具备的功能。由于这是ISA所提供的功能，在此就不加赘述了）。显然，这对于企业来说是不够的。在Exchange Server 2003中，采用了基于表单的身份验证机制（Forms-Based Authentication，FBA，参见图1），当用户输入用户名和密码并登录OWA后，Internet Explorer会通过Cookie来控制用户的登录时间。
　　　
　　通过图1我们可以看到，登录OWA的时候，系统会让我们选择这是一台公共或共享计算机，还是一台私有计算机。两种选择所产生的Cookie会有所不同。若选择“公共或共享计算机”，你会有15分钟的时限，若15分钟之内没有对OWA进行任何操作，Cookie会将当前OWA会话判为超时，此时若再进行任何操作，则会出现如图2所示的页面，返回登录页面。若选择“私有计算机”，则会有24小时的时限；此时，系统会提示“警告：选择此选项意味着您承认该计算机遵守组织的性策略。”
　　　
　　Exchange Server 2003所支持的OWA的客户端有两种——高级（IE6默认，参见图3）和基本。当用户采用基本客户端登录的时候，速度较快，但有一定的功能限制。需要注意的是，如果用户采用基本客户端登录的话，在OWA页面中所进行的任何编辑工作（例如在点击“新建”按钮之后，编辑一封电子邮件）都不会触发Cookie重新计算时间。而在高级模式中，页面中所进行编辑的动作则会触发Cookie。
　　　
　　对于某些组织来说，OWA默认的超时限制仍不够安全，我们可以通过在Exchange前端上修改注册表来修改超时限制。
　　
　　首先，以Exchange管理员身份登录Exchange服务器，并通过注册表编辑器打开如下注册表：
　　
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeWeb\OWA；随后，新建一个名为PublicClientTimeout的DWORD；最后，将其赋予一个合适的超时限制（1至43200，以分钟为单位）。
　　
　　通过以上步骤，即配置好了新的“公共或共享计算机”超时限制，配置“私有计算机”的超时限制只需将PublicClientTimeout替换为TrustedClientTimeout即可。需要注意的是，若TrustedClientTimeout的值小于PublicClientTimeout，则两者都会以最严格的时限为基准。另外，在修改注册表之后，需要重新起动“World Wide Web Publishing”服务方可使其生效。 前端服务器与后端服务器
　　
　　许多公司采用前端服务器（Front-End Server，FE）/后端服务器（Back-End Server，BE）相接合的方式来管理Exchange服务器。前端服务器与Internet相连接，处理与Internet之间的信息，提供OWA等功能，并且从后端服务器获取信息。我们建议将所有的邮件建立在后端服务器之上（前端服务器选择框，请参考图4）。虽然我们在前端服务器上面仍然会维持一个邮件，当它仅是为了对外发送“未送达报告”（non-delivery report，NDR）所用。
　　
　　一般来说，在访问OWA出现问题的时候，如果存在前端服务器和后端服务器，我们所要做的第一个测试即是从公司内部网络访问后端服务器的OWA。如果后端服务器的OWA访问没有问题，则故障一般是由前端服务器的配置或者其他问题所导致。
　　
　　欲了解关于前端服务器/后端服务器架构的细节，请参考“Exchange Server 2003 and Exchange 2000 Server Front-End and Back-End Server Topology Guide”（）。
　　
　　另外，请后端服务器为群集服务器的用户注意微软知识库文章841561所描述的热点问题。当你以非管理员身份登录一台客户端计算机并访问后端群集服务器（Exchange Server 2003 Service Pack 1）时，会出现“500 - Internal server error”。若你是该客户端的管理员，则一切正常。解决此问题，请立即在所有Exchange服务器上安装841561补丁程序。
　　
　　"500 - Internal server error" error message when a user tries to access a clustered Exchange Server 2003 back-end server by using Outlook Web Access
　　
　　 Outlook Web Access登录页面的常见故障排除
　　
　　对于Exchange 2000来说，如果出现OWA登录页面（）无法访问的故障，我们可以尝试使用/来进行访问。如果此时可以正常访问，该故障一般是由IIS的验证问题而导致的。
　　
　　另外，如果不能够使用UPN名称进行登录，可参考微软知识库文章“Users Can Log On Using User Name or User Principal Name”（）。
　　
　　在这里需要补充一点，对于Small Business Server 2003的用户来说，默认是直接使用Username，而不是Domain\Username来进行登录的。在安装Exchange Server 2003 Service Pack 1之后，会出现两个问题，其中一个便是必须使用Domain\Username的方式进行登录。此时请安装微软知识库文章843539所描述之补丁程序　　　（注：此问题将在 Small Business Server 2003 Service Pack 1中被解决）。
--------------------next---------------------