На главную страницу
 
  Главная 
  Новости 
  Статьи  RSS
  Программное обеспечение 
  Форум 
  Опросы 
  Полезные ссылки 
MSExchange.ru ISADocs.ru WinSecurity.ru NetDocs.ru

Exchange 5.5
Exchange 2000
Exchange 2003
Exchange 2007
Общее
Exchange 2010

Поиск по сайту


Авторизация

Запомнить меня на этом компьютере
  Забыли свой пароль?
  Регистрация

Подписка

Изменение параметров

Статистика

Hits 2749443
14136
Hosts 1649594
515
Visitors 229708
594

12

Главная / Статьи / Exchange 2007 / Публикация Exchange 2007 OWA с помощью ISA Server 2006


SurfCop

Публикация Exchange 2007 OWA с помощью ISA Server 2006

Версия для печати Версия для печати

Эта статья переведена силами и средствами компании Red Line Software. Размещение данного переведенного материала на других сайтах без разрешения компании Red Line Software запрещается.

Сервер Exchange Server 2007 в настоящий момент находится в версии Beta 2, но я думаю, что функциональность Outlook Web Access практически близка к завершению. Сервер ISA Server 2006 - это RTM с 31-го июля 2006, имеющий много новых и улучшенных возможностей для правил публикации Webserver и Server Publishing rules. Одно из улучшений – это правило публикации Exchange Webclient Access Publishing. С помощью ISA Server 2006 появилась возможность публиковать особые версии серверов Exchange Servers (включая Exchange Server 2007). Существует несколько других улучшений, как возможность изменения пароля пользователя с помощью Outlook Web Access logon. Администраторы теперь могут настроить формы HTML для аутентификации на основе форм (forms based authentication), а ISA поддерживает некоторые новые типы аутентификации типа RADIUS-OTP и LDAP. Также есть возможность передачи авторизации.

На стороне сервера Exchange Server

Мы должны начать нашу настройку сайта для сервера Exchange Server. Запустите консоль управления Exchange Management Console (EMC), перейдите к контейнеру Server configuration (конфигурация сервера), выберите роль Client Access (клиентский доступ) и выберите новую директорию OWA. Директория OWA - новинка для Exchange Server 2007, которая будет использоваться клиентами OWA для доступа к серверу Exchange Server 2007. Вы должны подключить основную аутентификацию (Basic Authentication) на закладке Authentication (аутентификация), если она еще не включена.

Рисунок 1: Подключение основной аутентификации

На стороне IIS

Далее мы должны выпустить сертификат (certificate) из внутренней CA или коммерческой CA для сайта по умолчанию (Default Web Site). После выпуска сертификата перейдите к директории OWA directory, затем перейдите к закладке Directory Security и включите SSL и 128-битное шифрование, которое вы можете увидеть на рисунке ниже.

Рисунок 2: Подключение SSL и 128-битного шифрования

На стороне ISA

Перед тем, как мы запустим мастер Exchange Webclient Access Publishing rule, мы должны запросить сертификат для слушателя ISA Server Web Listener, т.к. мы используем связь HTTPS-Bridging. ISA Server уничтожит SSL соединение от OWA клиента, проверит трафик и зашифрует повторное соединение к серверу Exchange Server. Общее название (common name CN) запрашиваемого сертификата должно соответствовать названию сервера, которое клиенты OWA указывают в своих браузерах. В этом примере общее название выглядит как: FQDN - OWA.IT-TRAINING-GROTE.DE поэтому общее название CN сертификата должно быть также: OWA.IT-TRAINING-GROTE.DE. Вы можете запросить сертификаты с помощью консоли CA servers webconsole (http://caservername/certsrv). Вы должны запросить сертификат Webserver, как показано ниже на рисунке.

Пожалуйста, обратите внимание:
В зависимости от ваших правил ISA Server Firewall вы должны создать правило для брандмауэра, которое разрешает HTTP или HTPS доступ от вашего сервера ISA к серверу CA Server.

Рисунок 3: Запрос сертификата

Раздельный DNS или файл HOSTS?

Общее название Public Name OWA.IT-TRAININGR-GROTE.DE у слушателя OWA Web Listener должно сопоставляться внутреннему IP адресу сервера Exchange Server, поэтому у вас есть два варианта:

  • Раздельный DNS (Split-DNS) или
  • Файл HOSTS

Если вы используете раздельный DNS (Split DNS), то вы должны создать новую зону Forward Lookup в DNS под названием IT-TRAINING-GROTE.DE. Вы должны создать также новую запись A-record под названием named OWA в новой зоне Forward Lookup zone с IP адресом внутреннего сервера Exchange Server.

Если вы используете файл HOSTS, то вам лишь нужно добавить в файл запись, наподобие такой:

IP address of the Exchange Server OWA.IT-TRAINING-GROTE.DE

Рисунок 4: Файл HOSTS

Теперь пришло время создать правило публикации Exchange Webclient Access Publishing rule.

Запустите консоль ISA MMC, нажмите - New - Exchange Webclient Access Publishing Rule. Назовите правило и выберите версию вашего сервера Exchange, а также что вы хотите опубликовать - Outlook Web Acess.

Рисунок 5: Новое правило публикации OWA Publishing rule

Выберите Publish a Single Website or load balancer

В следующем окне мастера выберите параметр Use SSL to connect to the published Web server or server farm (использовать SSL для соединения с сервером).

Введите название для внутреннего сайта Internal Site. Вы можете указать NetBIOS название сервера или DNS FQDN.

Далее вы должны ввести общее название (Public Name), которое будут использовать пользователи Outlook Web Access для получения доступа к серверу Outlook Web Access Server из интернет. Вы можете увидеть конфигурацию на следующем рисунке.

Рисунок 6: Введите общее название, которое будут использовать клиенты OWA

Новый слушатель Web Listener

Следующий этап заключается в создании слушателя Web Listener. Сервер ISA Server использует слушателей Web Listeners для того, чтобы слушать входящие запросы, которые соответствуют настройкам слушателя Listener. Слушатель Listener – это комбинация IP адреса, порта, а при использовании SSL, еще и сертификата. Вы должны присвоить слушателю Web Listener уникальное название.

В следующем окне мастера выберите параметр Require SSL secured connections with clients (требовать от клиента безопасные SSL соединения).

Вы должны указать для слушателя Web Listener IP адрес. Если запрос приходит из интернет, то вы должны выбрать External Network (внешняя сеть). Если у вашего сервера ISA больше одного IP адреса, связанного с внешним сетевым интерфейсом (External Network Interface), то вы можете выбрать IP адрес, который будет использоваться для Outlook Web Access.

Рисунок 7: Указание сети для слушателя Web Listener

Выберите сертификат, который вы запросили от внешнего сервера CA server и нажмите на кнопку Next.

Рисунок 8: Выбор сертификата для слушателя

Т.к. мы используем аутентификацию, основанную на формах для Outlook Web Access, то вы должны выбрать параметр HTML Form Authentication и Windows для проверки аутентификации.

Рисунок 9: Выберите настройку HTML Form Authentication

Включение одной подписи (Single Sign On или SSO) – это одна из новых возможностей в ISA Server 2006, которая позволяет клиентам получить доступ к различным опубликованным сайтам не проходя аутентификацию заново для каждого из них. Нам не нужно SSO в этом примере, поэтому вы можете отключить его.

Выберите основную аутентификацию (Basic Authentication), потому что ISA Server будет использовать этот тип аутентификации для аутентификации клиентов Outlook Web Access для доступа к опубликованному серверу Exchange Server.

Рисунок 10: Передача аутентификации

Последний этап заключается в указании группы пользователя, для которой будет применяться правило брандмауэра. По умолчанию стоит настройка “All Authenticated Users” (все пользователи, прошедшие аутентификацию).

Завершите работу мастера и нажмите на кнопку Apply (применить) для сохранения параметров.

После создания правила OWA вы должны изменить некоторые настройки:

  • Измените параметр “Requests appears to come from the original Client” в закладке “To”
  • Включите параметр “Require 128 Bit encryption for HTTPS Traffic” в закладке “Traffic”

Перейдите к свойствам слушателя (Listener Properties) и выберите закладку Forms. В разделе Password Management (управление паролями) включите параметр Allow users to change their Passwords (разрешить пользователям изменять пароли).

Проверка клиентского соединения

После успешного завершения настройки сервера Exchange Server 2007 и правила публикации Exchange Webclient Publishing вы можете проверить соединение от одного из ваших клиентов. В этой статье клиентом является компьютер с операционной системой Windows XP с пакетом обновления Service Pack 2.

Рисунок 11: OWA FBA от клиента XP

Заключение

Exchange Server 2007 – это великолепный продукт с несколькими новыми функциями. В Outlook Web Access (OWA) были внесены значительные изменения. От настройки для указания языка в Outlook Web Access при входе в OWA, до настройки для указания различных сообщений для внешних и внутренних пользователей, а также настройки для блокирования доступа к некоторым типам файлов с помощью OWA. Публикация Outlook Web Access с помощью сервера ISA Server 2006 – это идеальная комбинация, если вы хотите обеспечить для своих пользователей безопасный доступ из любой точки мира.





Рейтинг:  
4.7 (голосов 6)  
 1   2   3   4   5    

Автор: Марк Гроут(Mark Grote)
Марк Грот (Marc Grote) является MCSA/MCSE Messaging & Security и Microsoft Certified Trainer (инструктором, сертифицированным Microsoft). Он работает в качестве внештатного IT инструктора и консультанта на севере Германии. Он специализируется в ISA, SMS, Exchange, Безопасности на Windows 2000 и Windows Server 2003 при разработках, миграциях и реализациях и Citrix Metaframe / Cisco реализациях. Его заслуги были замечены и ему присвоено звание Microsoft MVP для ISA Server. Вы можете посетить его домашнюю страницу www.it-training-grote.de
Эта статья переведена и опубликована с разрешения http://msexchange.org

Эта статья переведена силами и средствами компании Red Line Software. Размещение данного переведенного материала на других сайтах без разрешения компании Red Line Software запрещается.





Работает на «Битрикс: Управление сайтом»
Работает на «Битрикс:
 Управление сайтом»
© MSExchange.ru, 2005-2010