Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:
- Публикация Exchange Client Access с ISA 2006 (Часть 1)
- Публикация Exchange Client Access с ISA 2006 (Часть 2)
Создать web-приёмник
Перед тем как создать правило публикации, сначала мы должны установить web-приёмник.
- В консольном дереве ISA Server Management нажмите Firewall Policy (Политика брандмауэра). На закладке Toolbox (Окно инструментария) щёлкните Network Objects (Объекты сети), затем New, а потом выберите Web Listener (Web-приёмник).
Рисунок 1
- В окне Client Connection Security (Защита соединения клиента) выберите опцию Require SSL secured connections with clients (Требовать безопасные SSL-соединения с клиентами).
Рисунок 2
- В окне Web Listener IP Addresses (IP-адреса Web-приёмника), Listen for requests on these networks (Принимать запросы по этим сетям) выберите Internal (Внутренний), так как у нас только один сетевой интерфейс.
Рисунок 3
- Нажмите Select Certificate (Выбрать сертификат) и выберите сертификат, предварительно установленный на ISA Server. Нажмите Next.
Рисунок 4Рисунок 5
- Выберите HTML Form Authentication для, основанной на формах, аутентификации и выберите подходящий метод, который ISA Server будет использовать для подтверждения действительности клиентского мандата. Мы будем использовать LDAP (Active Directory).
Рисунок 6
- Оставьте как есть настройку по умолчанию, чтобы включить SSO и впишите ваше DNS-имя.
Рисунок 7
- Просмотрите выбранные настройки и нажмите Finish, чтобы завершать работу мастера.
- Поскольку мы хотим, чтобы наши клиенты вписывали простой URL без HTTPS (ISA произведёт перенаправление), сейчас мы должны скорректировать только что созданный Web-приёмник, для того чтобы предоставить доступ к HTTP. Правой кнопкой щёлкните Web-приёмник и выберите Properties (Свойства). Нажмите Enable HTTP connections on port: 80 (Включить HTTP-соединения на порт: 80), а потом выберите Redirect all traffic from HTTP to HTTPS (Перенаправлять весь трафик с HTTP на HTTPS).
Рисунок 8
Правила сервера ISA
- Чтобы создать правило публикации Exchange Web client access, в дереве консоли ISA Server Management выберите Firewall Policy. На вкладке Tasks (Задачи) нажмите Publish Exchange Web Client Access. Напишите имя для правила. К примеру, напишите Exchange Web Client Publishing.
Рисунок 9
- Выберите подходящую версию Exchange, а затем – нужные Web client mail services (Почтовые службы Web-клиента). Для Exchange 2003 вы можете выбрать все методы в одном правиле; для Exchange 2007 вы должны создать отдельные правила для каждого метода доступа.
Рисунок 10Рисунок 11
- Выберите Publish a single Web site or load balancer (Публиковать единичный сайт, или загрузить балансир).
Рисунок 12
- Выберите Use SSL to connect to the published Web server or server farm (Использовать SSL для соединения с опубликованным Web-сервером, или группой серверов).
Рисунок 13
- Введите внутреннее доменное имя FQDN сервера Exchange Client Access. Внутреннее имя сайта должно соответствовать имени серверного сертификата, который установлен на внутренний сервер Exchange Client Access. Если вы не можете определиться с внутренним именем сайта, то можете выбрать Use a computer name or IP address to connect to the published server (Использовать имя компьютера, или IP-адрес, чтобы соединиться с опубликованным сервером), а потом наберите нужный IP-адрес или имя, различаемые компьютером ISA-сервера. Вы можете использовать тот подход, который вам нравиться: использовать одинаковое внутреннее и внешнее имя сайта, или дифференцировать их. Если вы используете разные имена, то вам понадобятся два разных сертификата.
Рисунок 14Рисунок 15
- Введите (внешнее) доменное имя, для которого ISA Server будет принимать соединение. Это имя должно совпадать с доменным именем сертификата (FQDN), выбранным во время создания Web-приёмника.
Рисунок 16
- Выберите Web-приёмник, который вы предварительно создали.
Рисунок 17
- На странице Authentication Delegation (Делегирование аутентификации) выберите Basic Authentication.
Рисунок 18
- Выберите настройку пользователя, утверждённую для доступа к этому правилу (All Authenticated Users). Если позднее у вас возникнут проблемы с этим правилом, то для того чтобы устранить их, замените эту настройку пользователя на All Users. Если это сработает, это может указывать на то, что имеет место проблема с LDAP-аутентификацией, которая была установлена в предыдущей части этой статьи.
Рисунок 19
- Просмотрите выбранные настройки и нажмите Finish, чтобы завершить работу мастера. Нажмите Apply(Применить) на панели подробностей, чтобы сохранить изменения и обновить конфигурацию.
- Если вы пользуетесь одинаковым внутренним и внешним именем для RPC, чтобы работать через HTTP(s), то вы должны произвести изменение в правиле публикации. Правой кнопкой щёлкните по правилу, выберите Properties, перейдите к закладке To и отмените выбор Forward the original host header instead of the actual one (Отправлять главный первоначальный заголовок вместо фактического).
Рисунок 20
Переадресация
В процессе создания Web-приёмника мы уже видели, как включить переадресацию от HTTP к HTTPS. Теперь пора удалить /Exchange или /owa из URL. Если бы вы пользовались ISA Server 2004, то это можно было бы сделать, включив особое преобразование пути, переводящее корневой путь“/” в особый путь “/Exchange\”. К сожалению, с ISA Server 2006 это больше невозможно, потому что он создаёт событие ID 21177.
У вас есть две возможности совершить это:
- Включить корневой путь“/” в правило публикации OWA и применить код в интерфейсной части, чтобы сделать переадресацию.
- Использовать Deny Rule (Правило отказа) на ISA Server, которое выполняет переадресацию.
Я отдаю предпочтение первому варианту, так что поясню выполняемые шаги.
- В консоли ISA Firewall нажмите узел Firewall Policy в левой панели этой консоли. На панели задач нажмите Publish Web Sites (Публиковать Web-сайты). Введите имя для правила на странице приветствия программы-мастера созданиям нового правила публикации (Welcome to the New Web Publishing Rule Wizard). В этом примере мы назовём правило OWA Folder Redirection и нажимаем Next.
Рисунок 21
- На странице Select Rule Action (Выберите действие правила) выберите опцию Deny (Отказывать). Все соединения, отвечающие параметрам, которые мы установили в этом правиле, получат отказ. Нажмите Next.
Рисунок 22
- На странице Publishing Type (Тип публикации) выберите Publish a single Web site or load balancer (Публиковать единичный сайт, или загрузить балансир) и нажмите Next.
Рисунок 23
- На странице Server Connection Security (Защита серверного соединения) выберите Use SSL to connect to the published Web server or server farm (Использовать SSL для соединения с опубликованным сервером или группой серверов). Фактически, эта опция ничего не значит в этом сценарии, поскольку никакие соединения не будут направляться Правилом отказа. Нажмите Next.
Рисунок 24
- На странице Internal Publishing Details (Подробности внутренней публикации) введите внутреннее имя сайта Exchange CAS/Front-End-сервера. Нажмите Next.
Рисунок 25
- На странице Internal Publishing Details нажмите Next.
- На странице Public Name Details введите публичное имя. Нажмите Next.
Рисунок 26
- На странице Select Web Listener (Выбрать Web-приёмник) щёлкните стрелку вниз выпадающего списка и выберите приёмник, который мы используем для Exchange-правила публикации. Нажмите Next.
Рисунок 27
- На странице Authentication Delegation примите элемент по умолчанию No delegation, and client cannot authenticate directly (Нет делегирования, и клиент не может аутентифицироваться напрямую). По этому сценарию клиенту не нужно аутентифицироваться, потому как мы хотим, чтобы соединение автоматически перенаправлялось для всех.
Рисунок 28
- На странице User Sets (Настройки пользователя) удалите запись All Authenticated Users (Все аутентифицированные пользователи.) Нажмите кнопку Add. В диалоговом окне Add Users дважды щёлкните запись All Users и нажмите Close (Закрыть). Нажмите Next. Вы увидите предупреждение, которое вы можете благополучно проигнорировать.
Рисунок 29Рисунок 30
- Нажмите Finish на странице завершения работы мастера Completing the New Web Publishing Rule Wizard.
- Дважды щёлкните правило переадресации OWA Redirect rule, которое мы только что создали. Перейдите к закладке Action и поставьте галочку в квадратике напротив Redirect HTTP requests to this Web page (Перенаправлять HTTP-запросы на эту Web-страницу). Введите в строку полный адрес Exchange OWA (https://webmail.ruisilva.org/exchange). Нажмите OK.
Рисунок 31
- Убедитесь, что Deny-правило находиться ниже Правила разрешения с названием Exchange Web Client Publishing allow rule, как видно на рисунке ниже. Если это не так, используйте стрелки вверх-вниз на панели кнопок MMC, чтобы привести правила в порядок.
Рисунок 32
- Нажмите Apply,чтобы сохранить изменения и обновить политику брандмауэра. Нажмите OK в диалоговом окне Apply New Configuration.
Тестирование решения
Для того чтобы протестировать это решение, используйте компьютер вне внутренней сети. Откройте браузер и в строке адресов наберите URL публичного имени внешнего Exchange (webmail.ruisilva.org).
Если всё работает, вы будете представлены аутентификацией HTML-формы, и после успешной регистрации появится страница Outlook Web Access, как проиллюстрировано на картинках ниже.
Чтобы протестировать RPC через HTTP(s) / Outlook Anywhere, убедитесь, что профиль Outlook правильно настроен для поддержки этого метода доступа. Потом запустите Microsoft Outlook и проверьте, можете ли вы установить соединение с вашим почтовым сервером. Чтобы подтвердить, что вы используете HTTPS, удерживайте клавишу CTRL, щелкните правой кнопкой значок Outlook-соединения на Панели задач и выберите Connection Status…
Заключение
ISA Server 2006 ввёл некоторые новые функции и мастера публикации, что может облегчить задачу публикации Exchange. Тем не менее, есть определённые аспекты и сценарии, для которых всё ещё трудно найти правильное решение.
Сценарий, который я использовал в серии этих статей, самый распространённый из тех, что я встречаю у моих клиентов. Будем надеяться, что и у вас тоже, так что теперь у вас полное и подробное решение для опубликования клиентского доступа Exchange 2003/2007.
Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:
- Публикация Exchange Client Access с ISA 2006 (Часть 1)
- Публикация Exchange Client Access с ISA 2006 (Часть 2)
Полезные ссылки
Publishing Exchange Server 2003 with ISA Server 2006
Publishing Exchange Server 2007 with ISA Server 2006
Publishing Exchange 2007 OWA with ISA Server 2006
Outlook Anywhere 2007 with ISA Server 2006
ISA Firewall Publishing OWA and RPC/HTTP with a Single IP Address
Using ISA Server 2006 with Exchange 2007
ISA Server 2006: Installing ISA 2006 Enterprise Edition (beta) in a Unihomed Workgroup Configuration