На главную страницу
 
  Главная 
  Новости 
  Статьи  RSS
  Программное обеспечение 
  Форум 
  Опросы 
  Полезные ссылки 
MSExchange.ru ISADocs.ru WinSecurity.ru NetDocs.ru

Exchange 5.5
Exchange 2000
Exchange 2003
Exchange 2007
Общее

Поиск по сайту


Авторизация

Запомнить меня на этом компьютере
  Забыли свой пароль?
  Регистрация

Подписка

Изменение параметров

Статистика

Hits 5538695
240
Hosts 674556
74
Visitors 717997
106

10

Главная / Статьи / Exchange 2007 / Публикация Exchange Client Access с ISA 2006 (Часть 1)


Публикация Exchange Client Access с ISA 2006 (Часть 1)

Версия для печати Версия для печати

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

Введение

Публикация пользовательского доступа Exchange-сервера с ISA Server должна быть простой задачей. Однако это непросто. Хотя существует множество ресурсов в Интернете по этой теме, и Microsoft предоставляет обширную техническую документацию с более или менее детализированными шагами, тем не менее, каждый раз, когда я прохожу процесс предоставления доступа к Exchange-серверу для внешних пользователей, используя ISA-сервер, я не могу не чувствовать себя немного разочарованным.

Некоторая нужная техническая информация почему-то разбросана по нескольким сайтам и статьям, и это приводит к тому, что я трачу уйму времени в поисках того конкретного решения, которое, я знаю, разрешит мою проблему. Вот почему я решил написать ещё одну статью о публикации Exchange с ISA. Я называю это полным решением (знаю, звучит претенциозно), потому что оно охватывает все аспекты самого распространенного сценария, который я продолжаю обнаруживать у моих клиентов.

Так что вас ожидает в этой всеохватывающей статье?

  • Конфигурирование ISA-сервера
  • Конфигурирование Exchange-сервера
  • Сертификаты: их получение, установка и экспортирование
  • Как создать подходящий web-приёмник
  • Правила публикации ISA-сервера
  • Переадресация (папки или протокола)

Подразумевается, что эта статья будет целевая, так что я постараюсь не тратить много времени, погружаясь в глубины технической сути. Я перечислю необходимые шаги, чтобы достигнуть главной цели, и они будут проиллюстрированы большим количеством рисунков.

Эта статья применима как к Exchange 2003, так и к Exchange 2007. Всякий раз, когда будут иметь место особые конфигурации, я буду использовать отдельные темы, чтобы рассказать о них.

Основные цели

Основные цели, которые мы стремимся достичь, это:

  • Опубликовать полный клиентский доступ к Exchange в Интернете:
    • Outlook Web Access (OWA)
    • Outlook Mobile Access и ActiveSync
    • RPC через HTTP(s) / Outlook Anywhere
  • Использовать простой URL –адрес без необходимости набирать HTTP или /exchange (или /owa)
  • Использовать Forms-Based Authentication в Интернете
  • Открыть ограниченный набор TCP-портов на брандмауэрах

Топология решения

Как я сказал ранее, я расскажу о самом распространённом сценарии, который я встречаю у своих клиентов. Чтобы предоставить вам «Полное решение», мне пришлось сфокусироваться на одной особенной конфигурации, иначе было бы невозможно написать об этом электронную статью.

Следующий рисунок изображает топологию, которая будет использоваться для этой статьи.

Рисунок 1: Топология обменаРисунок 1: Топология обмена

Главные характеристики этой топологии:

  • ISA-сервер в рабочей группе
  • ISA-сервер имеет только один сетевой интерфейс
  • ISA-сервер находится в DMZ

Конфигурирование ISA-сервера

Наша первая задача – задать ISA-серверу общую начальную конфигурацию рабочей группы.

Я пропущу процедуру установки ISA-сервера, так что мы начнём с пункта, где ISA-сервер уже установлен в окружение Windows Server 2003, которое не принадлежит домену.

Что нам придётся сделать, так это применить Single Network Adapter Template (Шаблон единого сетевого адаптера).

  1. Откройте консоль ISA Server Management Console. Откройте Configuration, а затем Networks. На панели шаблонов вы найдёте Single Network Adapter (Единый сетевой адаптер). Выберите его, и запуститься мастер конфигурации. Дважды нажмите Next.
    Рисунок 2Рисунок 2
  2. На странице Internal Network IP Addresses (Внутренние сетевые IP-адреса) вы увидите адреса, которые будут настроены определять внутреннюю сеть установленного по умолчанию брандмауэра ISA. Вы можете принять значения по умолчанию. Нажмите Next.
    Рисунок 3Рисунок 3
  3. Выберите Apply default web proxying and caching configuration, нажмите Next.
    Рисунок 4Рисунок 4
  4. На странице Completing the Network Template Wizard (Завершение работы мастера сетевого шаблона) нажмите Finish.
    Рисунок 5Рисунок 5
  5. Появится предупреждение. Нажмите OK.
    Рисунок 6Рисунок 6
  6. Нажмите Apply (Применить), чтобы сохранить изменения и обновить политику брандмауэра. Нажмите OK в диалоговом окне Apply New Configuration.

Сертификаты

Чтобы обеспечить надлежащую защиту связям между этими равноправными узлами сети, вам нужно установить серверный сертификат на Exchange CAS/Front-End и ISA Server. Если этот сертификат из внутреннего CA (Центра сертификации), то вам потребуется установить этот CA-сертификат на оба сервера, и все ваши клиенты должны доверять этому же внутреннему CA.

Когда вы устанавливаете Exchange 2007, вы можете установить по умолчанию сертификат Уровня защищённых гнёзд (Secure Sockets Layer (SSL)), который создаётся при установке Exchange. Однако не рекомендуется его использовать, поскольку этот сертификат не является доверенным SSL-сертификатом.

  1. Для того чтобы получить новый серверный сертификат, используя мастер Web Server Certificate Wizard, в IIS Manager раскройте локальный компьютер, затем откройте папку Web –сайтов. Щёлкните правой кнопкой по сайту служб Exchange и нажмите Properties. На вкладке Directory Security (Защита директории) нажмите Server Certificate. Используйте эту программу-мастер для запроса и установки этого сетевого серверного сертификата. В этом мастере (Web Server Certificate Wizard) выберите Create a new certificate (Создать новый сертификат).
    Рисунок 7Рисунок 7
  2. На странице Delayed or Immediate Request (Отсроченный или немедленный запрос) выберите Send the request immediately to an online certification authority (Отправлять запрос сразу в онлайновый центр сертификации), если в вашем домене установлен корпоративный CA (центр сертификации) сервера Windows Server 2003. В противном случае выберите Prepare the request now, but send it later (Подготовить запрос сейчас, а отослать позже).
  3. Введите требуемую информацию на страницах Name and Security Settings и Organization Information.
    Рисунок 8Рисунок 8
    Рисунок 9Рисунок 9
  4. Впишите FQDN (Полное доменное имя машины) на странице Your Site's Common Name. Это имя должно совпадать с именем, которое ISA-сервер будет использовать для связи с Exchange-сервером. Это имя не будет окончательным внешним, как мы увидим дальше.
    Рисунок 10Рисунок 10
  5. Введите требуемую информацию на странице Geographical Information (Географическая информация).
    Рисунок 11Рисунок 11
  6. Если вы выбрали Send the request immediately to an online certification authority (Отправлять запрос сразу на онлайновое подтверждение права доступа), примите порт 443 по умолчанию на странице SSL Port и из списка под Certification authorities выберите верный внутренний корпоративный CA (Центр сертификации). Нажмите Next, чтобы подтвердить ваш запрос. Это также установит сертификат для вашегоWeb-сайта. Если вы выбрали Prepare the request now, but send it later, сохраните этот запрос как текстовый файл и передайте его с помощью браузера. Если это Microsoft CA, то URL-адрес будет http://CAServerName/CertSrv. Выберите Request a certificate (Запросить сертификат), нажмите Next и выберите Advanced request (Расширенный запрос). Нажмите Next и выберите Submit a certificate request using a base64 encoded PKCS #10 file (Отправить запрос сертификата, используя закодированный файл PKCS #10 базы 64). Нажмите Next и откройте тот файл запроса, который вы сохранили, из мастера Web Certificate Wizard в Блокноте. Вставьте весь текст этого файла от самой первой до последней строки в текстовое окно Base64 Encoded Certificate Request. Когда сертификат опубликован, вернитесь к IIS Manager, щёлкните правой кнопкой Web-сайт на вкладке Directory Security, нажмите Server Certificate. Выберите Process the pending request (Обработать ждущий запрос).
    Рисунок 12Рисунок 12
    Рисунок 13Рисунок 13

Следующий шаг – установка серверного сертификата на компьютер сервера ISA, чтобы включить безопасное соединение между компьютером пользователя и компьютером ISA-сервера. Если используется личный CA (Центр сертификации), то корневой CA-сертификат из личного CA надо будет установить на любой клиентский компьютер, которому нужно создать безопасное соединение (HTTPS-соединение) с компьютером ISA-сервера.

Этот сертификат может быть таким же, как тот, что установлен на Exchange CAS/Front-End, если внутреннее имя совпадает с публичным именем. В этом случае мы выполним следующую процедуру, чтобы экспортировать этот серверный сертификат.

  1. На CAS / Front-End, в IIS Manager, раскройте локальный компьютер, а затем откройте папку Web-сайтов. Щёлкните правой кнопкой Web-сайт служб Exchange и нажмите Properties.
  2. На закладке Directory Security нажмите Server Certificate, чтобы запустить Web Server Certificate Wizard. Нажмите Next на странице приветствия.
  3. Выберите Export the current certificate to a .pfx file на странице Modify the Current Certificate Assignment.
    Рисунок 14Рисунок 14
  4. Напечатайте путь и имя файла на странице Export Certificate и нажмите Next. Введите пароль для файла .pfx, желательно, сложный. Этот пароль потребуется, когда пользователь будет импортировать этот .pfx-файл.
  5. Скопируйте .pfx-файл, созданный в предыдущем разделе, на компьютер сервера ISA.
  6. На ISA-сервере нажмите Start, а дальше щёлкните Run. В Open напишите MMC и нажмите OK. Нажмите File, затем Add/Remove Snap-in и нажмите Add, чтобы открыть диалоговое окно Add Standalone Snap-in. Выберите Certificates, нажмите Add, выберите Computer account, а затем нажмите Next. Выберите Local Computer, а затем нажмите Finish. Нажмите Close и нажмите OK.
  7. Раскройте узел Certificates и правой кнопкой щёлкните Personal folder. Выберите All Tasks, а затем нажмите Import. Это запустит мастер импорта сертификата (Certificate Import Wizard).
  8. На странице File to Import найдите файл, который вы создали раньше, и скопируйте на компьютер ISA-сервера. Затем нажмите Next.
  9. На странице Password напишите пароль для этого файла и нажмите Next.
  10. На странице Certificate Store (Хранилище сертификатов) проверьте, что выбрано Place all certificates in the following store (Помещать все сертификаты в данное хранилище), и что для Certificate Store выбрано Personal (установлено по умолчанию), а затем нажмите Next.
  11. На странице завершения работы мастера нажмите Finish.
  12. Если вы используете личный CA, то вам также нужно импортировать этот CA-сертификат. Опять же, если это Microsoft CA, зайдите на http://CAServerName/CertSrv и выберите Download a CA certificate, certificate chain or CRL. Повторите шаги с 6-го по 11-й, но когда встанет вопрос, куда помещать этот сертификат (шаг 10), выберите Trusted Root Certification Authorities (Доверенные корневые центры сертификации).
    Рисунок 15Рисунок 15
  13. Проверьте, что этот серверный сертификат установлен должным образом. Дважды щелкните новый серверный сертификат. На вкладке General должна быть запись, говорящая о том, что у вас есть личный ключ, который соответствует этому сертификату. На вкладке Certification Path вам следует посмотреть иерархические отношения между вашим сертификатом и центром сертификации. Должна быть запись: This certificate is OK.
    Рисунок 16Рисунок 16

Резюме

В первой части этой статьи мы исследовали топологию решения и определили главные цели. Мы также увидели, как задать ISA-серверу общую начальную конфигурацию, и как создавать, импортировать и экспортировать сертификаты.

В следующей части мы рассмотрим необходимые настройки конфигурации для сервера Exchange CAS/Front-End, а также то, как сконфигурировать механизм аутентификации для ISA Server, когда он не является частью домена Active Directory.

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:





Рейтинг:  
0 (голосов 0)  
 1   2   3   4   5    

Автор: Руи Силва (Rui J.M. Silva)
Руи Силва (Rui J. Silva) является Старшим Консультантом, работая в основном с Microsoft Technologies at ParaRede, компанией-Золотым Партнером Microsoft в Португалии. Он является сертифицированным MCDBA/MCSA/MCSE:Messaging и признан в качестве Microsoft MVP для Exchange Server, благодаря его вкладу в некоторые технические форумы. Руи тратит немного своего свободного времени на обновление Exchange выделенных блогов http://msmvps.com/ehlo (на английском) и http://ehlo.blogspot.com/ (на португальском).
Эта статья переведена и опубликована с разрешения www.msexchange.org




Работает на «Битрикс: Управление сайтом»
Работает на «Битрикс:
 Управление сайтом»
© MSExchange.ru, 2005-2008