На главную страницу
 
  Главная 
  Новости 
  Статьи  RSS
  Программное обеспечение 
  Форум 
  Опросы 
  Полезные ссылки 
MSExchange.ru ISADocs.ru WinSecurity.ru NetDocs.ru

Exchange 5.5
Exchange 2000
Exchange 2003
Exchange 2007
Общее

Поиск по сайту


Авторизация

Запомнить меня на этом компьютере
  Забыли свой пароль?
  Регистрация

Подписка

Изменение параметров

Статистика

Hits 5540405
1950
Hosts 674723
573
Visitors 718362
678

27

Главная / Статьи / Exchange 2007 / Публикация Exchange Client Access с ISA 2006 (Часть 2)


Публикация Exchange Client Access с ISA 2006 (Часть 2)

Версия для печати Версия для печати

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

Конфигурирование Exchange 2003 Front-End

Теперь нам нужно произвести некоторые изменения в конфигурации Exchange 2003, для того чтобы правильно работал клиент публикации ISA-сервера.

  • Подтвердите, что не выбрана, основанная на формах, аутентификация (Forms Based Authentication) на сервере Exchange front-end.
  • Включите протокол RPC через HTTP на сервере front-end Exchange server.
  • Потребуйте протокол безопасных соединений (SSL) для Web-сайта.
    1. Чтобы подтвердить, что не выбрана, основанная на формах, аутентификация на сервере Exchange front-end, запустите Exchange System Manager, откройте Servers, а затем откройте ваш front-end-сервер. Раскройте Protocols, откройте HTTP, правой кнопкой щёлкните Exchange Virtual Server, а затем нажмите Properties. Щелкните вкладку Settings, и удалите галочку напротив Enable Forms Based Authentication. Нажмите OK.
      Рисунок 1Рисунок 1
    2. Чтобы сделать ваш Exchange Front-End-сервер RPC proxy-сервером, раскройте Servers, щёлкните правой кнопкой мыши ваш front-end-сервер, а затем нажмите Properties (Свойства). Выберите страницу RPC-HTTP, затем RPC-HTTP front-end server, и нажмите OK, чтобы закрыть диалоговое окно свойств выбранного сервера. Нажмите OK.
    3. После того как установлен сертификат для Web-сайта, вам нужно потребовать, чтобы этот Web-сайт принимал соединения только по безопасному каналу. В IIS Manager откройте локальный компьютер, затем раскройте папку Web-сайтов. Правой кнопкой щёлкните Exchange virtual directory (Изменить виртуальную директорию) и нажмите Properties. На вкладке Directory Security (Защита директории) нажмите Edit (Редактировать). Выберите Require secure channel (SSL) (Затребовать безопасный канал) на странице Secure Communication (Безопасное соединение) и нажмите OK. Нажмите OK снова, чтобы закрыть диалоговое окно свойств Web-сайта. Повторите этот шаг для /Public, /Exchweb и /rpc.
      Рисунок 2Рисунок 2

Конфигурирование клиентского доступа Exchange 2007 Client Access

Для Exchange 2007 требуемые изменения следующие:

  • Подтвердите, что не выбрана, основанная на формах, аутентификация на сервере Exchange Client Access.
  • Включите Outlook Anywhere на сервере Exchange Client Access server.
  • Потребуйте соединения по безопасному каналу (SSL) для Web-сайта.
  1. Чтобы подтвердить, что не выбрана аутентификация, основанная на формах, на сервере Exchange Client Access (CAS), в консоли Exchange Management Console раскройте Server Configuration, а затем нажмите Client Access (Клиентский доступ). Выберите ваш сервер клиентского доступа, а потом выберите пункт owa (Default Web Site) на странице Outlook Web Access. На панели действий нажмите Properties под owa (Default Web Site).
    Рисунок 3Рисунок 3
  2. Выберите страницу Authentication и подтвердите, что выбрано следующее: Use one or more of the following standard authentication methods (Использовать один или более из следующих стандартных методов аутентификации) и Basic authentication (password is sent in clear text) (Базовая аутентификация (пароль посылается открытым текстом)). Нажмите OK.
    Рисунок 4Рисунок 4
  3. Просмотрите диалоговое окно предупреждения Microsoft Exchange и нажмите OK. Вы должны перезапустить Internet Information Services (Информационный интернет-службы) (IIS), чтобы вступили в силу только что выполненные изменения. Для того чтобы перезапустить IIS, выполните следующую команду: "iisreset /noforce".
    Рисунок 5Рисунок 5
  4. Повторите шаги с 1-го по 3-й для следующих сайтов: Exchange (Default Web Site), Exchweb (Default Web Site), и Public (Default Web Site).
  5. Чтобы включить Outlook Anywhere на вашем сервере клиентского доступа, в консоли Exchange Management Console откройте Server Configuration, а затем щелкните Client Access. Выберите свой сервер клиентского доступа. На панели действий нажмите Enable Outlook Anywhere под именем сервера, который вы только что выбрали. Введите имя хоста, которое клиент будет использовать, чтобы соединиться с сервером клиентского доступа в поле External Host name. Это имя должно совпадать с общим именем, или с полным доменным именем машины, использованных в серверном сертификате, который был установлен на компьютер ISA-сервер. Подтвердите, что внешний метод аутентификации - NTLM authentication и нажмите Enable (Включить).
    Рисунок 6Рисунок 6
  6. Для того чтобы Web-сайт принимал соединения только по безопасному каналу, следуйте шагу 3 из предыдущего параграфа (Конфигурирование Exchange 2003 Front-End) для всех упомянутых виртуальных директорий и /owa.

Основы аутентификации ISA

Перед тем как войти в раздел о ролях публикации, давайте взглянем на то, как сервер ISA предварительно аутентифицирует клиентские запросы.

Рисунок 7Рисунок 7

Шаг 1: Получение клиентского мандата. Клиент отправляет запрос на соединение с корпоративным сервером Outlook Web Access во внутренней сети. Клиент предъявляет мандат в форме HTML.

Шаг 2 и 3: Отправка мандата. Сервер ISA отправляет мандат провайдеру аутентификации, такому как контроллер домена, для интегрированной аутентификации Windows в Active Directory, или на сервере RADIUS и получает подтверждение от провайдера аутентификации о том, что этот клиент аутентифицирован.

Шаг 4: Делегирование аутентификации. ISA Server пересылает запрос клиента на сервер Outlook Web Access server и аутентифицируется на Outlook Web Access server, используя мандат клиента. Сервер Outlook Web Access подтвердит действительность этого мандата, обычно с помощью того же провайдера аутентификации. Этот Web-сервер должен быть сконфигурирован, чтобы использовать схему аутентификации, которая соответствует методу делегирования, используемому сервером ISA.

Шаг 5: Ответ сервера. Сервер Outlook Web Access посылает ответ клиенту, который перехватывается сервером ISA.

Шаг 6: Пересылка ответа. ISA Server отправляет ответ клиенту.

Помните, что проверка достоверности Active Directory может происходить, только если ISA Server является членом домена (либо того же домена, что и контроллер домена, либо в доверенном домене). Поскольку наш ISA-сервер находится в конфигурации рабочей группы, нам нужно будет использовать RADIUS или LDAP.

Чтобы использовать RADIUS, вы можете установить службу IAS на любой членский сервер Windows 2003 в вашей внутренней сети.

ISA Server может соединяться с сервером LDAP любым способом из приведённых в следующей таблице.

Таблица 1
Соединение Порт Требует имя домена Active Directory Поддерживает опцию замены пароля
LDAP 389 Да Нет
LDAPS 636 Да Да
LDAP используя глобальный каталог 3268 Нет Нет
LDAPS используя глобальный каталог 3269 Нет Нет

Для того чтобы использовать LDAPS или LDAPS с помощью глобального каталога, должен быть установлен серверный сертификат на сервер LDAP, а корневой сертификат из Бюро сертификации нужно установить на компьютер сервера ISA.

Я предпочитаю LDAP, так что перечислю необходимые шаги, чтобы сконфигурировать этот метод аутентификации:

  1. Откройте консоль ISA Firewall console, откройте узел Arrays (Массивы), а затем откройте имя массива. Раскройте узел Configuration и нажмите узел General. На средней панели щёлкните по ссылке Specify RADIUS and LDAP Servers.
    Рисунок 8Рисунок 8
  2. На закладке LDAP Servers Sets (Настройки серверов LDAP), нажмите Add, чтобы открылось диалоговое окно Add LDAP Server Set. В поле LDAP server set name впишите имя домена.
  3. Нажмите Add, чтобы добавить имя каждого LDAP-сервера или IP-адрес. В Server name определите DC и нажмите OK. Мы также должны предоставить пользовательский мандат, который будет использоваться для доступа в Active Directory. Вам не нужно пользоваться учётной записью администратора домена: подойдёт обычная учётная запись пользователя. Нажмите OK, чтобы закрыть диалоговое окно Add LDAP Server Set.
    Рисунок 9Рисунок 9
  4. Нажмите New, чтобы открыть диалоговое окно New LDAP Server Mapping (Новое отображение LDAP-сервера). В Login expression напечатайте DOMAIN\*. В LDAP server set выберите ранее определённое имя домена и нажмите OK.
    Рисунок 10Рисунок 10
  5. Нажмите Close, чтобы закрыть окно Authentication Servers.

Резюме

Теперь, когда мы настроили наш сервер Exchange CAS/Front-End, а у ISA-сервера есть необходимый работающий механизм аутентификации, мы может перейти к правилам публикации. О них будет рассказано в следующей заключительной части этой статьи.

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:





Рейтинг:  
1.0 (голосов 1)  
 1   2   3   4   5    

Автор: Руи Силва (Rui J.M. Silva)
Руи Силва (Rui J. Silva) является Старшим Консультантом, работая в основном с Microsoft Technologies at ParaRede, компанией-Золотым Партнером Microsoft в Португалии. Он является сертифицированным MCDBA/MCSA/MCSE:Messaging и признан в качестве Microsoft MVP для Exchange Server, благодаря его вкладу в некоторые технические форумы. Руи тратит немного своего свободного времени на обновление Exchange выделенных блогов http://msmvps.com/ehlo (на английском) и http://ehlo.blogspot.com/ (на португальском).
Эта статья переведена и опубликована с разрешения www.msexchange.org




Работает на «Битрикс: Управление сайтом»
Работает на «Битрикс:
 Управление сайтом»
© MSExchange.ru, 2005-2008