這幾天通過精心設計和實施,將Exchange 2007中Edge、OWA、Outlook Anywhere、POP3等客戶端訪問協議通過ISA2006發佈出來,感覺這幾種方式各有千秋,有沒絕對的好與壞,我今天主要是想告訴大家,通常通過ISA2006發佈這些Exchange客戶端訪問時,一定要注意一些細節的地方,比如說身份驗證,身份委派等,很多人被這些功能都搞暈了,通過我的這次實驗,我想把些疑團通通的給予解答。
一、發佈安全的Exchange2007 Edge Server
在Exchange2007中,Edge服務器是單獨安裝,並且是被安置在DMZ區域中,不加入到企業域內,所以通過我的實驗環境,我想在ISA上作6條訪問規則和一條發佈規則。
允許HUB Server(IP)到Edge Server(IP)的25端口訪問
允許Edge Server(IP)到公網郵件服務器25端口訪問
允許Edge Server(IP)到公網的DNS服務發出53端口查詢
採用ISA2006中的發佈郵件服務器規則(服務器到服務器通訊),把Edge Server的25端口發佈到公網
允許Edge Server(IP)到內網中的Hub Server(IP)25端口的訪問
允許Edge Server(IP)到內網中的DNS 服務器發出53端口查詢
允許內網中Hub Server(IP)到Edge Server(IP)發出50636(LDAPS)端口訪問,到此,Edge服務器的發佈規則已經結束,我們可以通過telnet方式來測試是否通訊正常
從Edge服務器Telnet到內網中Hub服務器25端口
從Edge服務器Telnet到公網中郵件服務器25端口
從內網中Hub服務器Telnet到Edge服務器25端口
從公網Telnet到發佈出來的Edge服務器25端口
二、發佈安全的Exchange2007 OWA
1、要在內網中的集線器傳輸服務器上申請一張證書,並且證書的公用名爲這臺CSA服務器的域名(如:mail.contoso.com);
2、確保證書被本地受信任。
3、在IIS的OWA虛擬目錄中啓用SSL安全加密;
4、在IIS中創建一個網站,並且選擇目錄安全性,選擇服務器證書,再次爲ISA申請一張證書,並且導出這張證書到桌面爲*.PFX格式,把此文件複製到ISA的桌面,輸入MMC,打開證書管理單元,把這張申請的證書作一個用戶證書的導入操作,並把這張證書作爲受信任的根證書來導入操作。
5、在ISA2006中,選擇發佈Exchange Web 客戶端訪問;
6、選擇發佈exchnge2007 的outlook web access;
7、選擇發佈一臺單一服務器或是一臺服務器場;
8、選擇安全的連接發佈Web服務;
9、輸入內部站點中客戶端訪問服務器的FQDN名;
10、輸入發佈到公網上的域名;
11、新建一個WEB偵聽器;
(1)選擇需要與客戶端建立SSL連接;
(2)選擇ISA外網口爲偵聽端口;
(3)在身份驗證中選擇HTML窗體身份驗證,在下面的如何驗證客戶端憑據選擇LDAPS(Active Directory);
(4)單一登錄名(SSO)輸入內網中的域名;
12、ISA服務器對WEB服務器身份驗證使用方法選擇基本身份驗證。
13、在客戶端訪問服務器上打開Exchange管理控制檯,在服務器級別中選中客戶端訪問,在右邊中五個虛擬目錄的身份驗證全部選爲基本身份驗證。
14、在IIS中,對默認網站身份驗證選擇啓用匿名以及選擇基本和集成身份驗證,在OWA虛擬目錄中的身份驗證只選擇集成和基本身份驗證;
三、發佈Outlook Anywhere
此功能是把RPC的協議封閉在HTTP上進行加密傳輸,能達到像在企業內部一樣來訪問自己的郵件。
1、在內網中的CAS Server上打開添加刪除程序,添加組件,選擇網絡服務,安裝RPC的代理服務。
2、打開IIS管理控制檯,查看RPC的虛擬目錄是否被正確安裝。併爲RPC虛擬目錄啓用SSL。
3、打開Exchange2007管理控制檯,找到服務器級別的客戶端訪問,在右邊啓用outlook anywhere功能。此時服務器上的配置基本完成。
4、在公網客戶端打開outlook2007,找到工具菜單中的電子郵件設置,並查看電子郵件設置,展開之後選擇其它設置,在其它設置對話框中選擇連接,並選中“使用HTTP連接到我的郵箱”,再點擊“Exchange代理服務器設置”,對彈出對話框中,使用此URL連接到我的Exchange代理服務器中輸入HTTPS:/mail.contoso.com,並選中啓用SSL連接時相互難會話,在代理服務器主體名稱中輸入:msstd:mail.contoso.com,其它爲默認即可。
