Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:
Конфигурирование Exchange 2003 Front-End
Теперь нам нужно произвести некоторые изменения в конфигурации Exchange 2003, для того чтобы правильно работал клиент публикации ISA-сервера.
- Подтвердите, что не выбрана, основанная на формах, аутентификация (Forms Based Authentication) на сервере Exchange front-end.
- Включите протокол RPC через HTTP на сервере front-end Exchange server.
- Потребуйте протокол безопасных соединений (SSL) для Web-сайта.
- Чтобы подтвердить, что не выбрана, основанная на формах, аутентификация на сервере Exchange front-end, запустите Exchange System Manager, откройте Servers, а затем откройте ваш front-end-сервер. Раскройте Protocols, откройте HTTP, правой кнопкой щёлкните Exchange Virtual Server, а затем нажмите Properties. Щелкните вкладку Settings, и удалите галочку напротив Enable Forms Based Authentication. Нажмите OK.
Рисунок 1
- Чтобы сделать ваш Exchange Front-End-сервер RPC proxy-сервером, раскройте Servers, щёлкните правой кнопкой мыши ваш front-end-сервер, а затем нажмите Properties (Свойства). Выберите страницу RPC-HTTP, затем RPC-HTTP front-end server, и нажмите OK, чтобы закрыть диалоговое окно свойств выбранного сервера. Нажмите OK.
- После того как установлен сертификат для Web-сайта, вам нужно потребовать, чтобы этот Web-сайт принимал соединения только по безопасному каналу. В IIS Manager откройте локальный компьютер, затем раскройте папку Web-сайтов. Правой кнопкой щёлкните Exchange virtual directory (Изменить виртуальную директорию) и нажмите Properties. На вкладке Directory Security (Защита директории) нажмите Edit (Редактировать). Выберите Require secure channel (SSL) (Затребовать безопасный канал) на странице Secure Communication (Безопасное соединение) и нажмите OK. Нажмите OK снова, чтобы закрыть диалоговое окно свойств Web-сайта. Повторите этот шаг для /Public, /Exchweb и /rpc.
Рисунок 2
- Чтобы подтвердить, что не выбрана, основанная на формах, аутентификация на сервере Exchange front-end, запустите Exchange System Manager, откройте Servers, а затем откройте ваш front-end-сервер. Раскройте Protocols, откройте HTTP, правой кнопкой щёлкните Exchange Virtual Server, а затем нажмите Properties. Щелкните вкладку Settings, и удалите галочку напротив Enable Forms Based Authentication. Нажмите OK.
Конфигурирование клиентского доступа Exchange 2007 Client Access
Для Exchange 2007 требуемые изменения следующие:
- Подтвердите, что не выбрана, основанная на формах, аутентификация на сервере Exchange Client Access.
- Включите Outlook Anywhere на сервере Exchange Client Access server.
- Потребуйте соединения по безопасному каналу (SSL) для Web-сайта.
- Чтобы подтвердить, что не выбрана аутентификация, основанная на формах, на сервере Exchange Client Access (CAS), в консоли Exchange Management Console раскройте Server Configuration, а затем нажмите Client Access (Клиентский доступ). Выберите ваш сервер клиентского доступа, а потом выберите пункт owa (Default Web Site) на странице Outlook Web Access. На панели действий нажмите Properties под owa (Default Web Site).
Рисунок 3
- Выберите страницу Authentication и подтвердите, что выбрано следующее: Use one or more of the following standard authentication methods (Использовать один или более из следующих стандартных методов аутентификации) и Basic authentication (password is sent in clear text) (Базовая аутентификация (пароль посылается открытым текстом)). Нажмите OK.
Рисунок 4
- Просмотрите диалоговое окно предупреждения Microsoft Exchange и нажмите OK. Вы должны перезапустить Internet Information Services (Информационный интернет-службы) (IIS), чтобы вступили в силу только что выполненные изменения. Для того чтобы перезапустить IIS, выполните следующую команду: "iisreset /noforce".
Рисунок 5
- Повторите шаги с 1-го по 3-й для следующих сайтов: Exchange (Default Web Site), Exchweb (Default Web Site), и Public (Default Web Site).
- Чтобы включить Outlook Anywhere на вашем сервере клиентского доступа, в консоли Exchange Management Console откройте Server Configuration, а затем щелкните Client Access. Выберите свой сервер клиентского доступа. На панели действий нажмите Enable Outlook Anywhere под именем сервера, который вы только что выбрали. Введите имя хоста, которое клиент будет использовать, чтобы соединиться с сервером клиентского доступа в поле External Host name. Это имя должно совпадать с общим именем, или с полным доменным именем машины, использованных в серверном сертификате, который был установлен на компьютер ISA-сервер. Подтвердите, что внешний метод аутентификации - NTLM authentication и нажмите Enable (Включить).
Рисунок 6
- Для того чтобы Web-сайт принимал соединения только по безопасному каналу, следуйте шагу 3 из предыдущего параграфа (Конфигурирование Exchange 2003 Front-End) для всех упомянутых виртуальных директорий и /owa.
Основы аутентификации ISA
Перед тем как войти в раздел о ролях публикации, давайте взглянем на то, как сервер ISA предварительно аутентифицирует клиентские запросы.
Рисунок 7
Шаг 1: Получение клиентского мандата. Клиент отправляет запрос на соединение с корпоративным сервером Outlook Web Access во внутренней сети. Клиент предъявляет мандат в форме HTML.
Шаг 2 и 3: Отправка мандата. Сервер ISA отправляет мандат провайдеру аутентификации, такому как контроллер домена, для интегрированной аутентификации Windows в Active Directory, или на сервере RADIUS и получает подтверждение от провайдера аутентификации о том, что этот клиент аутентифицирован.
Шаг 4: Делегирование аутентификации. ISA Server пересылает запрос клиента на сервер Outlook Web Access server и аутентифицируется на Outlook Web Access server, используя мандат клиента. Сервер Outlook Web Access подтвердит действительность этого мандата, обычно с помощью того же провайдера аутентификации. Этот Web-сервер должен быть сконфигурирован, чтобы использовать схему аутентификации, которая соответствует методу делегирования, используемому сервером ISA.
Шаг 5: Ответ сервера. Сервер Outlook Web Access посылает ответ клиенту, который перехватывается сервером ISA.
Шаг 6: Пересылка ответа. ISA Server отправляет ответ клиенту.
Помните, что проверка достоверности Active Directory может происходить, только если ISA Server является членом домена (либо того же домена, что и контроллер домена, либо в доверенном домене). Поскольку наш ISA-сервер находится в конфигурации рабочей группы, нам нужно будет использовать RADIUS или LDAP.
Чтобы использовать RADIUS, вы можете установить службу IAS на любой членский сервер Windows 2003 в вашей внутренней сети.
ISA Server может соединяться с сервером LDAP любым способом из приведённых в следующей таблице.
| Соединение | Порт | Требует имя домена Active Directory | Поддерживает опцию замены пароля |
|---|---|---|---|
| LDAP | 389 | Да | Нет |
| LDAPS | 636 | Да | Да |
| LDAP используя глобальный каталог | 3268 | Нет | Нет |
| LDAPS используя глобальный каталог | 3269 | Нет | Нет |
Для того чтобы использовать LDAPS или LDAPS с помощью глобального каталога, должен быть установлен серверный сертификат на сервер LDAP, а корневой сертификат из Бюро сертификации нужно установить на компьютер сервера ISA.
Я предпочитаю LDAP, так что перечислю необходимые шаги, чтобы сконфигурировать этот метод аутентификации:
- Откройте консоль ISA Firewall console, откройте узел Arrays (Массивы), а затем откройте имя массива. Раскройте узел Configuration и нажмите узел General. На средней панели щёлкните по ссылке Specify RADIUS and LDAP Servers.
Рисунок 8
- На закладке LDAP Servers Sets (Настройки серверов LDAP), нажмите Add, чтобы открылось диалоговое окно Add LDAP Server Set. В поле LDAP server set name впишите имя домена.
- Нажмите Add, чтобы добавить имя каждого LDAP-сервера или IP-адрес. В Server name определите DC и нажмите OK. Мы также должны предоставить пользовательский мандат, который будет использоваться для доступа в Active Directory. Вам не нужно пользоваться учётной записью администратора домена: подойдёт обычная учётная запись пользователя. Нажмите OK, чтобы закрыть диалоговое окно Add LDAP Server Set.
Рисунок 9
- Нажмите New, чтобы открыть диалоговое окно New LDAP Server Mapping (Новое отображение LDAP-сервера). В Login expression напечатайте DOMAIN\*. В LDAP server set выберите ранее определённое имя домена и нажмите OK.
Рисунок 10
- Нажмите Close, чтобы закрыть окно Authentication Servers.
Резюме
Теперь, когда мы настроили наш сервер Exchange CAS/Front-End, а у ISA-сервера есть необходимый работающий механизм аутентификации, мы может перейти к правилам публикации. О них будет рассказано в следующей заключительной части этой статьи.
Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:
