isa 2006 下发布 owa

  1. 云栖社区>
  2. 博客>
  3. 正文

isa 2006 下发布 owa

技术小甜 2017-11-16 14:20:00 浏览959
展开阅读全文
在 Exchange 服务器提供的邮件访问服务功能中,最常用的是以下三个: 
• 基于Web协议的OWA,让客户端可以通过Web浏览器访问邮件服务; 
• 基于RPC协议的MAPI,让客户端可以通过Outlook访问邮件服务,具有最完整的用户服务特性; 
• SMTP协议,用于邮件服务器之间的邮件转发,和非MAPI客户端的邮件发送; 
在这篇文章中,我将给大家介绍如何在 ISA Server 2006 中发布这三个服务之一OWA。 
本文中的试验环境如下所示,ISA Server 2006 作为边缘防火墙,连接Internet和内部网络,并未加入域;内部网络的IP地址范围为192.168.1.13/24,部署了域 mail.benet.com 是域控制器,并安装了DNS/证书权威/Exchange服务,在这个试验中,我将发布 why 上的邮件服务。
在 ISA Server 2006 中发布OWA服务和 ISA Server 2004 基本一致,其实发布OWA服务和发布安全Web服务非常相似,通常的流程为: 
• 在 Exchange 服务器上安装服务器证书并配置OWA站点使用SSL连接。注意:如果在 ISA Server 和Exchange服务器之间需要安全连接,则不能在Exchange服务器上启用基于表单的身份验证; 
• 在 Exchange 服务器上导出OWA站点的服务器证书(含私钥); 
• 在 ISA Server 上将OWA站点服务器证书的证书颁发机构的CA证书导入到本地计算机的受信任的根证书存储中, 再导入OWA站点的服务器证书; 
• 在 ISA Server 上确认访问OWA服务没有任何错误或警告提示; 
• 在 ISA Server 上创建OWA服务发布规则;   
具体步骤如下

  证书申请

发布Exchange OWA可以使用HTTP,也可以使用HTTPS,从安全角度考虑,我们推荐使用HTTPS对数据进行加密保护。既然想用HTTPS,那肯定要在why上IIS上申请证书,在whyIIS管理器中打开默认站点属性,切换到目录安全性标签,如下图所示,点击“服务器证书”。

  

出现Web服务器证书申请向导,下一步(建议先把之前的证书删除)。

   

新建证书

 

 

由于why上的证书服务器是企业根,支持在线颁发证书,因此我们选择“立即把证书请求发送到联机证书颁发机构”。

 

证书的名称和位长都可以使用默认值。

 

证书的公用名称是关键,这个名称需要和Exchange服务器发布到公网上的完全合格域名一模一样,而且ISA在发布规则中也需要使用这个名称来表示Exchange服务器。

 

下步填写证书的地理信息,这些不是关键参数,随便填填就可以了接着下一步

把证书申请直接发送到Active Directory中的CA服务器。 

   

开始提交证书申请

 

 

完成证书

IIS默认站点属性中切换到目录安全性标签,点击“查看证书”,如下图所示,证书是由CA服务器颁发给denver.benet.com服务器的。

    

 

 导出证书

IIS申请证书之后,由于ISA准备采用桥接的方法发布Exchange站点,因此ISA服务器需要用证书向外网用户证明自己就是他们要访问的mail.benet.comISA需要的证书从何而来呢?答案是从why上导出。下面我们就来看看如何进行证书导出,在whyIIS管理器中打开默认站点属性,切换到目录安全性标签,点击“查看证书”,切换到证书的“详细信息”标签,如下图所示,点击“复制到文件”。

出现证书导出向导,下一步

 

注意,必须导出私钥,否则

    

输入保护私钥的密码,导入证书时必须回答出此密码才能导入私钥

  

完成证书导出 

 

 

 

接下来我们把证书文件复制到ISA服务器上,为下一步的证书导入做好准备。

 导入证书

ISA服务器需要导入此前why导出的证书,这样才能用于Web侦听器上加密外网用户发来的数据。在ISA服务器上用MMC自定义一个证书管理工具,负责管理计算机存储的证书如下图所示,在证书管理工具中选择“导入”(或者直接双击安装)。

   

将证书存储在个人区域。

  

然后再下载安装证书链 

 

 

导入守信认得颁发机构 

   

 创建OWA发布规则

证书的申请,导出,导入等工作已经完成,接下来就可以在ISA服务器上进行ExchangeOWA发布了,如下图所示,我们在ISA服务器上选择新建“Exchange Web客户端访问发布规则”。

 

输入发布规则的名称

 

 

选择Exchange版本为Exchange 2007,客户端的访问方式是Outlook Web Access

 

网站发布类型为发布单个网站下步,选择使用SSL连接到被发布的Exchange服务器,

Exchange服务器对外的公用域名也是mail.benet.com

  

由于没有Web侦听器,我们选择新建一个

 

 

输入选下一步再选选侦听器与外网访问者之间的数据传递也用SSL进行加密。

 

侦听器监听的区域是外网。

 

在侦听器中选择使用导入的mail.benet.com证书

 

客户端验证方式可以选择HTML窗体验证,窗体验证对于使用公用计算机的外网用户来说更加灵活安全

   

在本例中我们不需要使用单一登录设置

 

Exchange OWA的发布规则中选择使用刚创建的Web侦听器ISA使用基本身份验证来进行验证委派,虽然基本身份验本身对数据没有进行加密保护,但由于使用了SSL,基本身份验证也是很安全的。如果使用集成验证委派,那需要我们在Active Directory中配置相关的SPN

 

由于发布的Exchange OWA需要对用户进行身份验证,因此发布规则针对的用户应该是所有通过身份验证的用户

  

 测试

完成了OWA的发布之后,我们在外网的机器上测试一下,在外网的浏览器中输入[url]https://mailbenet.com/owa/administrator结果如下图所示,出现表单登录界面,选择我们使用的计算机是公用计算机上,输入用户名和密码,点击登录。

 

 

 

内部站点名称为mail.benet.com,注意,这个名称应该和证书的公用名称保持一致

测试成功!!!!!!!!!!!!!!!

ISA服务器无法解密数据。

 

 

 

 










本文转自legendfu51CTO博客,原文链接: http://blog.51cto.com/legendfu/1073351,如需转载请自行联系原作者




网友评论

登录后评论
0/500
评论