Exchange 2007通过ISA2006安全发布

  1. 云栖社区>
  2. 博客>
  3. 正文

Exchange 2007通过ISA2006安全发布

余二五 2017-11-16 15:17:00 浏览769
展开阅读全文
这几天通过精心设计和实施,将Exchange 2007中Edge、OWA、Outlook Anywhere、POP3等客户端访问协议通过ISA2006发布出来,感觉这几种方式各有千秋,有没绝对的好与坏,我今天主要是想告诉大家,通常通过ISA2006发布这些Exchange客户端访问时,一定要注意一些细节的地方,比如说身份验证,身份委派等,很多人被这些功能都搞晕了,通过我的这次实验,我想把些疑团通通的给予解答。
一、发布安全的Exchange2007 Edge Server
在Exchange2007中,Edge服务器是单独安装,并且是被安置在DMZ区域中,不加入到企业域内,所以通过我的实验环境,我想在ISA上作6条访问规则和一条发布规则。
1
允许HUB Server(IP)到Edge Server(IP)的25端口访问
2
允许Edge Server(IP)到公网邮件服务器25端口访问
3
允许Edge Server(IP)到公网的DNS服务发出53端口查询
4
采用ISA2006中的发布邮件服务器规则(服务器到服务器通讯),把Edge Server的25端口发布到公网
5
允许Edge Server(IP)到内网中的Hub Server(IP)25端口的访问
6
允许Edge Server(IP)到内网中的DNS 服务器发出53端口查询
7
允许内网中Hub Server(IP)到Edge Server(IP)发出50636(LDAPS)端口访问,到此,Edge服务器的发布规则已经结束,我们可以通过telnet方式来测试是否通讯正常
8
从Edge服务器Telnet到内网中Hub服务器25端口
9
从Edge服务器Telnet到公网中邮件服务器25端口
10
从内网中Hub服务器Telnet到Edge服务器25端口
11
从公网Telnet到发布出来的Edge服务器25端口
二、发布安全的Exchange2007 OWA
1、要在内网中的集线器传输服务器上申请一张证书,并且证书的公用名为这台CSA服务器的域名(如:mail.contoso.com);
2、确保证书被本地受信任。
3、在IIS的OWA虚拟目录中启用SSL安全加密;
4、在IIS中创建一个网站,并且选择目录安全性,选择服务器证书,再次为ISA申请一张证书,并且导出这张证书到桌面为*.PFX格式,把此文件复制到ISA的桌面,输入MMC,打开证书管理单元,把这张申请的证书作一个用户证书的导入操作,并把这张证书作为受信任的根证书来导入操作。
5、在ISA2006中,选择发布Exchange Web 客户端访问;
6、选择发布exchnge2007 的outlook web access;
7、选择发布一台单一服务器或是一台服务器场;
8、选择安全的连接发布Web服务;
9、输入内部站点中客户端访问服务器的FQDN名;
10、输入发布到公网上的域名;
11、新建一个WEB侦听器;
(1)选择需要与客户端建立SSL连接;
(2)选择ISA外网口为侦听端口;
(3)在身份验证中选择HTML窗体身份验证,在下面的如何验证客户端凭据选择LDAPS(Active Directory);
(4)单一登录名(SSO)输入内网中的域名;
12、ISA服务器对WEB服务器身份验证使用方法选择基本身份验证。
13、在客户端访问服务器上打开Exchange管理控制台,在服务器级别中选中客户端访问,在右边中五个虚拟目录的身份验证全部选为基本身份验证。
14、在IIS中,对默认网站身份验证选择启用匿名以及选择基本和集成身份验证,在OWA虚拟目录中的身份验证只选择集成和基本身份验证;
1
2
3
4
5
6
7
8
9
10
11
12
13
 
15
三、发布Outlook Anywhere
此功能是把RPC的协议封闭在HTTP上进行加密传输,能达到像在企业内部一样来访问自己的邮件。
1、在内网中的CAS Server上打开添加删除程序,添加组件,选择网络服务,安装RPC的代理服务。
2、打开IIS管理控制台,查看RPC的虚拟目录是否被正确安装。并为RPC虚拟目录启用SSL。
3、打开Exchange2007管理控制台,找到服务器级别的客户端访问,在右边启用outlook anywhere功能。此时服务器上的配置基本完成。
4、在公网客户端打开outlook2007,找到工具菜单中的电子邮件设置,并查看电子邮件设置,展开之后选择其它设置,在其它设置对话框中选择连接,并选中“使用HTTP连接到我的邮箱”,再点击“Exchange代理服务器设置”,对弹出对话框中,使用此URL连接到我的Exchange代理服务器中输入HTTPS:/mail.contoso.com,并选中启用SSL连接时相互难会话,在代理服务器主体名称中输入:msstd:mail.contoso.com,其它为默认即可。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20









本文转自 chinaperrylee 51CTO博客,原文链接:http://blog.51cto.com/perry/160319,如需转载请自行联系原作者

网友评论

登录后评论
0/500
评论
余二五
+ 关注