在Exchange Server 2010中，ActiveSync主要有三種驗證類型可供選擇，包括：基本身份驗證、基于證書的身份驗證以及基于標記的身份驗證。

打開Exchange管理控制臺，展開“服務器管理” - “客戶端配置” - 在下方的“Exchange ActiveSync”處雙擊 “Microsoft-Server-ActiveSync”，打開其屬性對話框即可對其進行相關的設置。

基本身份驗證

基本身份驗證是最簡單的身份驗證方法。使用基本身份驗證時，服務器要求客戶端提交用戶名和密碼。提交的用戶名和密碼將以明文形式通過 Internet 發(fā)送到服務器。服務器驗證提供的用戶名和密碼是否有效，如果有效，則授予對客戶端的訪問權限。默認情況下，對 Exchange ActiveSync 啟用此類型的身份驗證。但是，除非您還要部署 SSL，否則，建議您禁用基本身份驗證。使用基于 SSL 上的基本身份驗證時，用戶名和密碼仍以純文本形式發(fā)送，但會對通信信道進行加密。

基于證書的身份驗證

基于證書的身份驗證使用數(shù)字證書來驗證身份。除了用戶名和密碼，還提供其他憑據(jù)。這些可以證明正在嘗試訪問存儲在 Exchange 2010 服務器上的郵箱資源用戶的身份。數(shù)字證書由兩部分組成：存儲在設備上的私鑰和安裝在服務器上的公鑰。如果將 Exchange 2010 配置為要求對 Exchange ActiveSync 進行基于證書的身份驗證，則只有滿足以下條件的設備可以與 Exchange 2010 進行同步：

1、設備安裝了為進行用戶身份驗證而創(chuàng)建的有效的客戶端證書。

2、設備擁有用戶為建立 SSL 連接而連接到的服務器的受信任根證書。

部署了基于證書的身份驗證之后，只有用戶名和密碼的用戶將無法與 Exchange 2010 進行同步。用于身份驗證的客戶端證書具有更高的安全級別，僅當設備通過 Windows XP 中的 Desktop ActiveSync 4.5 或更高版本或者 Windows Vista 或 Windows 7 中的 Windows Mobile 設備中心連接到加入域的計算機時，才安裝用于身份驗證的客戶端證書。

基于標記的身份驗證系統(tǒng)

基于標記的身份驗證系統(tǒng)是一個雙重身份驗證系統(tǒng)。雙重身份驗證是基于用戶所知的一條信息（如自己的密碼）以及一個用戶可以隨身攜帶的外部設備（通常以信用卡或密鑰卡的形式）。每個設備都有***的序列號。除了硬件標記，一些供應商還提供可在移動設備上運行的基于軟件的標記。

令牌的工作方式是顯示***編號，長度通常為六位，該編號每隔 60 秒更改一次。令牌頒發(fā)給用戶后，將與服務器軟件進行同步。若要進行身份驗證，用戶需要輸入其用戶名、密碼以及令牌上當前顯示的編號。某些基于標記的身份驗證系統(tǒng)還要求用戶輸入 PIN。

基于標記的身份驗證是一種強身份驗證形式?；诹钆频纳矸蒡炞C的缺點在于，必須在每個用戶的計算機或移動設備上安裝身份驗證服務器軟件并部署身份驗證軟件。而且，還面臨著用戶可能會丟失外部設備的風險。由于需要更換丟失的外部設備，所以成本可能會很高。但是，如果沒有原用戶的身份驗證信息，該設備對于第三方毫無價值。

有多家公司發(fā)布了基于令牌的身份驗證系統(tǒng)。其中一家是 RSA。其產(chǎn)品 SecurID 形式多樣，其中包括密鑰卡和信用卡。一次性身份驗證代碼通過標記發(fā)送。每個身份驗證代碼的有效期為 60 秒。大多數(shù)標記在設備上還有一個過期指示器，例如，隨著代碼的剩余有效時間越來越短，一系列的點也將慢慢消失。這有助于避免用戶輸入了正確代碼，但在身份驗證過程完成之前其已過期。身份驗證完成之后，除非由于用戶選擇或者設備不活動時間超時而注銷，否則，不必使用新代碼進行身份驗證。有關如何配置基于標記的身份驗證系統(tǒng)的詳細信息，請參閱針對該特定系統(tǒng)的文檔。

使用命令行管理程序配置 Exchange ActiveSync 虛擬目錄屬性

本示例將配置具有基本身份驗證的 Exchange ActiveSync 虛擬目錄和 http://contoso.com/Microsoft-Server-ActiveSync 的 External URL。

Set-ActiveSyncVirtualDirectory -Identity "http://contoso/microsoft-server-activesync" -BasicAuthEnabled:$true -ExternalURL http://contoso.com/Microsoft-Server-ActiveSync

 本示例將配置具有基本身份驗證的 Exchange ActiveSync 虛擬目錄并將站點添加到阻止列表中。

Set-ActiveSyncVirtualDirectory -Identity "contoso\microsoft-server-activesync" -BasicAuthEnabled:$true -RemoteDocumentsBlockedServers http://fourthcoffee.com

 使用命令行管理程序查看 Exchange ActiveSync 虛擬目錄屬性

本示例返回 CAS-01 服務器上 Exchange ActiveSync 虛擬目錄的設置。

Get-ActiveSyncVirtualDirectory -Server "CAS-01"

本示例返回 CAS-01 服務器上特定 Exchange ActiveSync 虛擬目錄的設置。

Get-ActiveSyncVirtualDirectory -Server "CAS-01" -Identity "Microsoft-Server-ActiveSync"

本示例為域控制器 DOM-01 返回 CAS-01 服務器上 Exchange ActiveSync 虛擬目錄的設置。

Get-ActiveSyncVirtualDirectory -Server "CAS-01" -DomainController "DOM-01"

原文：http://www.exchangecn.com/html/exchange2010/20110125_316.html

【編輯推薦】

1. 專題：Exchange Server 2010企業(yè)級郵件系統(tǒng)
2. Exchange Server 2010 新增功能
3. 技巧：設置Linux郵箱客戶端與Exchange Server會話