На главную страницу
 
  Главная 
  Новости 
  Статьи  RSS
  Программное обеспечение 
  Форум 
  Опросы 
  Полезные ссылки 
MSExchange.ru ISADocs.ru WinSecurity.ru NetDocs.ru

Exchange 5.5
Exchange 2000
Exchange 2003
Exchange 2007
Общее
Exchange 2010

Поиск по сайту


Авторизация

Запомнить меня на этом компьютере
  Забыли свой пароль?
  Регистрация

Подписка

Изменение параметров

Статистика

Hits 2084423
9867
Hosts 1617550
2246
Visitors 166623
2733

6

Главная / Статьи / Exchange 2007 / Публикация Exchange Client Access с ISA 2006 (Часть 3)


Публикация Exchange Client Access с ISA 2006 (Часть 3)

Версия для печати Версия для печати

Эта статья переведена силами и средствами компании Red Line Software. Размещение данного переведенного материала на других сайтах без разрешения компании Red Line Software запрещается.

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

Создать web-приёмник

Перед тем как создать правило публикации, сначала мы должны установить web-приёмник.

  1. В консольном дереве ISA Server Management нажмите Firewall Policy (Политика брандмауэра). На закладке Toolbox (Окно инструментария) щёлкните Network Objects (Объекты сети), затем New, а потом выберите Web Listener (Web-приёмник).
    Рисунок 1Рисунок 1
  2. В окне Client Connection Security (Защита соединения клиента) выберите опцию Require SSL secured connections with clients (Требовать безопасные SSL-соединения с клиентами).
    Рисунок 2Рисунок 2
  3. В окне Web Listener IP Addresses (IP-адреса Web-приёмника), Listen for requests on these networks (Принимать запросы по этим сетям) выберите Internal (Внутренний), так как у нас только один сетевой интерфейс.
    Рисунок 3Рисунок 3
  4. Нажмите Select Certificate (Выбрать сертификат) и выберите сертификат, предварительно установленный на ISA Server. Нажмите Next.
    Рисунок 4Рисунок 4
    Рисунок 5Рисунок 5
  5. Выберите HTML Form Authentication для, основанной на формах, аутентификации и выберите подходящий метод, который ISA Server будет использовать для подтверждения действительности клиентского мандата. Мы будем использовать LDAP (Active Directory).
    Рисунок 6Рисунок 6
  6. Оставьте как есть настройку по умолчанию, чтобы включить SSO и впишите ваше DNS-имя.
    Рисунок 7Рисунок 7
  7. Просмотрите выбранные настройки и нажмите Finish, чтобы завершать работу мастера.
  8. Поскольку мы хотим, чтобы наши клиенты вписывали простой URL без HTTPS (ISA произведёт перенаправление), сейчас мы должны скорректировать только что созданный Web-приёмник, для того чтобы предоставить доступ к HTTP. Правой кнопкой щёлкните Web-приёмник и выберите Properties (Свойства). Нажмите Enable HTTP connections on port: 80 (Включить HTTP-соединения на порт: 80), а потом выберите Redirect all traffic from HTTP to HTTPS (Перенаправлять весь трафик с HTTP на HTTPS).
    Рисунок 8Рисунок 8

Правила сервера ISA

  1. Чтобы создать правило публикации Exchange Web client access, в дереве консоли ISA Server Management выберите Firewall Policy. На вкладке Tasks (Задачи) нажмите Publish Exchange Web Client Access. Напишите имя для правила. К примеру, напишите Exchange Web Client Publishing.
    Рисунок 9Рисунок 9
  2. Выберите подходящую версию Exchange, а затем – нужные Web client mail services (Почтовые службы Web-клиента). Для Exchange 2003 вы можете выбрать все методы в одном правиле; для Exchange 2007 вы должны создать отдельные правила для каждого метода доступа.
    Рисунок 10Рисунок 10
    Рисунок 11Рисунок 11
  3. Выберите Publish a single Web site or load balancer (Публиковать единичный сайт, или загрузить балансир).
    Рисунок 12Рисунок 12
  4. Выберите Use SSL to connect to the published Web server or server farm (Использовать SSL для соединения с опубликованным Web-сервером, или группой серверов).
    Рисунок 13Рисунок 13
  5. Введите внутреннее доменное имя FQDN сервера Exchange Client Access. Внутреннее имя сайта должно соответствовать имени серверного сертификата, который установлен на внутренний сервер Exchange Client Access. Если вы не можете определиться с внутренним именем сайта, то можете выбрать Use a computer name or IP address to connect to the published server (Использовать имя компьютера, или IP-адрес, чтобы соединиться с опубликованным сервером), а потом наберите нужный IP-адрес или имя, различаемые компьютером ISA-сервера. Вы можете использовать тот подход, который вам нравиться: использовать одинаковое внутреннее и внешнее имя сайта, или дифференцировать их. Если вы используете разные имена, то вам понадобятся два разных сертификата.
    Рисунок 14Рисунок 14
    Рисунок 15Рисунок 15
  6. Введите (внешнее) доменное имя, для которого ISA Server будет принимать соединение. Это имя должно совпадать с доменным именем сертификата (FQDN), выбранным во время создания Web-приёмника.
    Рисунок 16Рисунок 16
  7. Выберите Web-приёмник, который вы предварительно создали.
    Рисунок 17Рисунок 17
  8. На странице Authentication Delegation (Делегирование аутентификации) выберите Basic Authentication.
    Рисунок 18Рисунок 18
  9. Выберите настройку пользователя, утверждённую для доступа к этому правилу (All Authenticated Users). Если позднее у вас возникнут проблемы с этим правилом, то для того чтобы устранить их, замените эту настройку пользователя на All Users. Если это сработает, это может указывать на то, что имеет место проблема с LDAP-аутентификацией, которая была установлена в предыдущей части этой статьи.
    Рисунок 19Рисунок 19
  10. Просмотрите выбранные настройки и нажмите Finish, чтобы завершить работу мастера. Нажмите Apply(Применить) на панели подробностей, чтобы сохранить изменения и обновить конфигурацию.
  11. Если вы пользуетесь одинаковым внутренним и внешним именем для RPC, чтобы работать через HTTP(s), то вы должны произвести изменение в правиле публикации. Правой кнопкой щёлкните по правилу, выберите Properties, перейдите к закладке To и отмените выбор Forward the original host header instead of the actual one (Отправлять главный первоначальный заголовок вместо фактического).
    Рисунок 20Рисунок 20

Переадресация

В процессе создания Web-приёмника мы уже видели, как включить переадресацию от HTTP к HTTPS. Теперь пора удалить /Exchange или /owa из URL. Если бы вы пользовались ISA Server 2004, то это можно было бы сделать, включив особое преобразование пути, переводящее корневой путь“/” в особый путь “/Exchange\”. К сожалению, с ISA Server 2006 это больше невозможно, потому что он создаёт событие ID 21177.

У вас есть две возможности совершить это:

  • Включить корневой путь“/” в правило публикации OWA и применить код в интерфейсной части, чтобы сделать переадресацию.
  • Использовать Deny Rule (Правило отказа) на ISA Server, которое выполняет переадресацию.

Я отдаю предпочтение первому варианту, так что поясню выполняемые шаги.

  1. В консоли ISA Firewall нажмите узел Firewall Policy в левой панели этой консоли. На панели задач нажмите Publish Web Sites (Публиковать Web-сайты). Введите имя для правила на странице приветствия программы-мастера созданиям нового правила публикации (Welcome to the New Web Publishing Rule Wizard). В этом примере мы назовём правило OWA Folder Redirection и нажимаем Next.
    Рисунок 21Рисунок 21
  2. На странице Select Rule Action (Выберите действие правила) выберите опцию Deny (Отказывать). Все соединения, отвечающие параметрам, которые мы установили в этом правиле, получат отказ. Нажмите Next.
    Рисунок 22Рисунок 22
  3. На странице Publishing Type (Тип публикации) выберите Publish a single Web site or load balancer (Публиковать единичный сайт, или загрузить балансир) и нажмите Next.
    Рисунок 23Рисунок 23
  4. На странице Server Connection Security (Защита серверного соединения) выберите Use SSL to connect to the published Web server or server farm (Использовать SSL для соединения с опубликованным сервером или группой серверов). Фактически, эта опция ничего не значит в этом сценарии, поскольку никакие соединения не будут направляться Правилом отказа. Нажмите Next.
    Рисунок 24Рисунок 24
  5. На странице Internal Publishing Details (Подробности внутренней публикации) введите внутреннее имя сайта Exchange CAS/Front-End-сервера. Нажмите Next.
    Рисунок 25Рисунок 25
  6. На странице Internal Publishing Details нажмите Next.
  7. На странице Public Name Details введите публичное имя. Нажмите Next.
    Рисунок 26Рисунок 26
  8. На странице Select Web Listener (Выбрать Web-приёмник) щёлкните стрелку вниз выпадающего списка и выберите приёмник, который мы используем для Exchange-правила публикации. Нажмите Next.
    Рисунок 27Рисунок 27
  9. На странице Authentication Delegation примите элемент по умолчанию No delegation, and client cannot authenticate directly (Нет делегирования, и клиент не может аутентифицироваться напрямую). По этому сценарию клиенту не нужно аутентифицироваться, потому как мы хотим, чтобы соединение автоматически перенаправлялось для всех.
    Рисунок 28Рисунок 28
  10. На странице User Sets (Настройки пользователя) удалите запись All Authenticated Users (Все аутентифицированные пользователи.) Нажмите кнопку Add. В диалоговом окне Add Users дважды щёлкните запись All Users и нажмите Close (Закрыть). Нажмите Next. Вы увидите предупреждение, которое вы можете благополучно проигнорировать.
    Рисунок 29Рисунок 29
    Рисунок 30Рисунок 30
  11. Нажмите Finish на странице завершения работы мастера Completing the New Web Publishing Rule Wizard.
  12. Дважды щёлкните правило переадресации OWA Redirect rule, которое мы только что создали. Перейдите к закладке Action и поставьте галочку в квадратике напротив Redirect HTTP requests to this Web page (Перенаправлять HTTP-запросы на эту Web-страницу). Введите в строку полный адрес Exchange OWA (https://webmail.ruisilva.org/exchange). Нажмите OK.
    Рисунок 31Рисунок 31
  13. Убедитесь, что Deny-правило находиться ниже Правила разрешения с названием Exchange Web Client Publishing allow rule, как видно на рисунке ниже. Если это не так, используйте стрелки вверх-вниз на панели кнопок MMC, чтобы привести правила в порядок.
    Рисунок 32Рисунок 32
  14. Нажмите Apply,чтобы сохранить изменения и обновить политику брандмауэра. Нажмите OK в диалоговом окне Apply New Configuration.

Тестирование решения

Для того чтобы протестировать это решение, используйте компьютер вне внутренней сети. Откройте браузер и в строке адресов наберите URL публичного имени внешнего Exchange (webmail.ruisilva.org).

Рисунок 33Рисунок 33

Если всё работает, вы будете представлены аутентификацией HTML-формы, и после успешной регистрации появится страница Outlook Web Access, как проиллюстрировано на картинках ниже.

Рисунок 34Рисунок 34
Рисунок 35Рисунок 35
Рисунок 36Рисунок 36

Чтобы протестировать RPC через HTTP(s) / Outlook Anywhere, убедитесь, что профиль Outlook правильно настроен для поддержки этого метода доступа. Потом запустите Microsoft Outlook и проверьте, можете ли вы установить соединение с вашим почтовым сервером. Чтобы подтвердить, что вы используете HTTPS, удерживайте клавишу CTRL, щелкните правой кнопкой значок Outlook-соединения на Панели задач и выберите Connection Status…

Рисунок 37Рисунок 37
Рисунок 38Рисунок 38

Заключение

ISA Server 2006 ввёл некоторые новые функции и мастера публикации, что может облегчить задачу публикации Exchange. Тем не менее, есть определённые аспекты и сценарии, для которых всё ещё трудно найти правильное решение.

Сценарий, который я использовал в серии этих статей, самый распространённый из тех, что я встречаю у моих клиентов. Будем надеяться, что и у вас тоже, так что теперь у вас полное и подробное решение для опубликования клиентского доступа Exchange 2003/2007.

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

Полезные ссылки

Publishing Exchange Server 2003 with ISA Server 2006

Publishing Exchange Server 2007 with ISA Server 2006

Publishing Exchange 2007 OWA with ISA Server 2006

Outlook Anywhere 2007 with ISA Server 2006

ISA Firewall Publishing OWA and RPC/HTTP with a Single IP Address

Using ISA Server 2006 with Exchange 2007

ISA Server 2006: Installing ISA 2006 Enterprise Edition (beta) in a Unihomed Workgroup Configuration





Рейтинг:  
0 (голосов 0)  
 1   2   3   4   5    

Автор: Руи Силва (Rui J.M. Silva)
Руи Силва (Rui J. Silva) является Старшим Консультантом, работая в основном с Microsoft Technologies at ParaRede, компанией-Золотым Партнером Microsoft в Португалии. Он является сертифицированным MCDBA/MCSA/MCSE:Messaging и признан в качестве Microsoft MVP для Exchange Server, благодаря его вкладу в некоторые технические форумы. Руи тратит немного своего свободного времени на обновление Exchange выделенных блогов http://msmvps.com/ehlo (на английском) и http://ehlo.blogspot.com/ (на португальском).
Эта статья переведена и опубликована с разрешения www.msexchange.org

Эта статья переведена силами и средствами компании Red Line Software. Размещение данного переведенного материала на других сайтах без разрешения компании Red Line Software запрещается.





Работает на «Битрикс: Управление сайтом»
Работает на «Битрикс:
 Управление сайтом»
© MSExchange.ru, 2005-2010