随 ISA Server 2006 发布 Exchange Server 2007

更新日期： 2007年01月31日

Microsoft? Internet Security and Acceleration (ISA) Server?2006 和 Microsoft Exchange Server?2007 设计用于在您的网络中密切配合以提供安全的消息传递环境。此文档说明如何发布那些运行 Exchange?2007 的计算机来收发 Internet 电子邮件消息并允许客户端从 Internet 访问他们的邮箱（本文还包含指向英文网页的链接）。

注意：

此文档适用于 Exchange Server?2007。此文档未涵盖 Exchange Server?2003、Exchange?2000 Server 或 Exchange Server 版本 5.5。有关发布 Exchange?2003 的信息，请参阅 Microsoft TechNet 网站上的“Publishing Exchange Server?2003 with ISA Server?2006”。

ISA Server?2006 是用来保护您的关键任务应用程序免受基于 Internet 威胁的安全网关。ISA Server 可以使贵公司在安全访问 Microsoft 应用程序和数据方面获益多多。通过利用状态数据包检查、应用层过滤以及所有的发布工具对企业所有网络层的应用程序、服务和数据进行保护，进而保障 Microsoft 应用程序基础结构的安全性。通过统一的防火墙和虚拟专用网络 (VPN) 体系结构，使网络得到优化，并且会简化管理员和用户的体验。保障信息技术环境以降低安全风险和成本，并且帮助消除恶意软件和攻击者对贵公司造成的影响。

Exchange?2007 是运行于服务器之上的最新 Microsoft 消息传送和协作服务器软件产品。使用 Exchange?2007，您可以通过计算机网络收发电子邮件和其他形式的交互通信。Exchange?2007 设计用于与软件客户端应用程序（如，Microsoft Office Outlook?）进行交互操作，还可以与 Outlook Express 及其他电子邮件客户端应用程序进行交互操作。电子邮件消息通过通常称为客户端设备的工具进行收发，例如，个人计算机、工作站或移动设备（包括移动电话或 Pocket PC）。客户端通常连接到由存储电子邮件邮箱的服务器或大型机组成的集中化计算机系统的网络中。集中化电子邮件服务器连接到 Internet 和专用网络，其中电子邮件消息从其他电子邮件用户处进行收发。Exchange?2007 还使得企业可以收发 Internet 电子邮件消息。

Exchange 2007 服务器角色

在之前版本的 Microsoft Exchange?Server 中，对安装或不安装哪些功能，管理员的选择余地有限。例如，在 Exchange Server?2003 和 Exchange?2000?Server 中，安装过程会安装所有功能，而不考虑管理员计划使用哪些功能。此行为需要管理员来关闭或禁用不需要的功能。

因为组织往往会围绕一组核心服务器角色对他们的管理任务进行分组，Exchange Server?2007 将 Exchange?Server 管理映射到这一更加自然的做事方式上。Exchange?2007 中的系统管理从根本上说从部署和管理服务器的管理体验转换到侧重于服务器角色。

有关 Exchange?2007 的详细信息，请参阅 Microsoft Exchange Server?2007 网站。

有关 Exchange?2007 系统要求的详细信息，请参阅 Microsoft TechNet 网站上的“Exchange?2007 System Requirements”。

服务器角色概述

服务器角色是一个单元，其对需要在消息传送环境中执行特定功能的所需功能和组件进行分组。对服务器角色的要求是，它是一个可作为可伸缩性的基本单元来运行的服务器。服务器角色由一组功能组成。

服务器角色（部署的主要单元）使管理员可以轻松选择在 Exchange 服务器上安装哪些功能。服务器角色中的逻辑分组功能具备以下优点：

•	减少 Exchange 服务器上的攻击面。
•	允许您按照计划使用 Exchange 服务器的方式来安装并配置它。
•	提供一种简单的安装和完全自定义服务器的能力以支持您的业务目标和需要。

Exchange?Server?2007 包括以下服务器角色：


服务器角色	描述
邮箱服务器	这是一个可以宿主邮箱和公共文件夹的后端服务器。
客户端访问服务器	客户端访问服务器角色支持 Microsoft Outlook?Web?Access 和 Microsoft?Exchange ActiveSync? 客户端应用程序，以及邮局协议版本?3 (POP3) 和 Internet 消息访问协议版本?4rev1 (IMAP4) 协议。客户端访问服务器角色还支持服务，例如 Autodiscover 服务和 Web 服务。
统一消息服务器	这是将专用交换分机 (PBX) 系统连接到 Exchange?2007 的中间层服务器。
中心传输服务器	这是路由 Exchange 组织内的邮件的邮件路由服务器。
边缘传输服务器	这是邮件路由服务器，其通常位于拓扑的外围并路由进出 Exchange 组织的邮件。

有关 Exchange?2007 服务器角色的详细信息，请参阅 Microsoft TechNet 网站上的“Server Roles”。

返回页首

接收和发送 Internet 电子邮件消息

以下各部分讨论如何配置 ISA Server 使您可以接收和发送简单邮件传输协议 (SMTP) 电子邮件消息。

接收 Internet 电子邮件消息

本部分描述如何配置 ISA Server 以允许 Internet 电子邮件消息通过 ISA Server 计算机到达您的 Exchange?2007 服务器或 SMTP 服务器。要通过 ISA Server 计算机接收 Internet 电子邮件，需要发布您的 SMTP 邮件服务器。当发布邮件服务器时，允许直接建立到 SMTP 服务器的来自 Internet 的 TCP 端口 25 上的 SMTP 通信。通常，在 Exchange?2007 组织中配置一个 Exchange?2007 服务器，以发送和接收来自 Internet 的 SMTP 连接。这通常是配置为中心传输服务器或边缘传输服务器的 Exchange?2007 服务器。中心传输服务器和边缘传输服务器不会宿主 Exchange 信息存储数据库。中心传输服务器和边缘传输服务器接受传入的电子邮件消息并将此电子邮件消息转发给合适的服务器进行处理。

发布 SMTP 服务器的要求

当 Internet 上的某个人希望发送电子邮件消息给贵公司的雇员，发件人所要具有的只是雇员的电子邮件地址，例如 mberg@contoso.com。当电子邮件消息发送到 mberg@contoso.com 后，发件人的电子邮件程序或电子邮件服务器需要找到向哪里发送请求的域的消息，本例中为 contoso.com。此过程通过查询 contoso.com 的邮件交换 (MX) 记录的域名系统 (DNS) 来完成。MX 记录是 DNS 中的一种特殊资源记录类型，用来为域指定接受传入的电子邮件消息的服务器的主机记录。要接收来自 Internet 的电子邮件消息，域应该至少具有一条 MX 记录，但可能需要具有多条 MX 记录来提供容错。DNS 服务器将为域返回所有列出的 MX 记录，电子邮件客户端将尝试使用列出的 MX 记录以最佳顺序来建立 SMTP 连接。MX 记录指向 A 记录，该记录指向 SMTP 服务器的 IP 地址。

发布 SMTP 服务器之前必须满足以下要求：

•	创建一个 A 记录，将 A 记录指向 ISA Server 计算机的外部 IP 地址。
•	创建指向 A 记录的 MX 记录。

注意下列事项：

•	需要在公共 DNS 服务器上创建这些记录。
•	如果要更改现有 DNS 记录，则根据 DNS 记录的生存时间设置，更改在 Internet 间传播可能需要一些时间。确保为这些更改在测试前生效留足时间。

要点：

如果正在运行 ISA Server Enterprise Edition 并启用了网络负载平衡 (NLB) 集成，则应该使用专门针对每个阵列成员的 IP 地址来为每个阵列成员创建 MX 记录，而不使用 NLB 群集的虚拟 IP 地址。如果使用虚拟 IP 地址作为 MX 记录，则可以接收电子邮件消息。不过，发送到正在对发送 SMTP 服务器执行各种检查（例如域上的反向 DNS 查找）的服务器的电子邮件消息将被拒绝。有关详细信息，请参阅利用 ISA Server 进行常见的电子邮件验证检查和发送 Internet 电子邮件消息部分。

开始之前

运行“新建邮件服务器发布规则向导”之前，请使用以下工作表来收集信息。

项目

描述或值

访问类型

选择所有适用的项目：

•	SMTP
•	安全 SMTP
•	新闻组 (NNTP)

SMTP 服务器的内部 IP 地址（邮件服务器 IP 地址）

IP 地址：___.___.___.___

ISA Server 将侦听的外部 IP 地址

IP 地址：___.___.___.___

要点：

此地址需要与 MX 记录解析到的地址匹配。

公共 DNS 是否已正确配置？

A 记录是否已配置？

MX 记录是否已配置？

选择：

是或否

发布邮件服务器以接收 Internet 电子邮件消息

在本部分，您将运行“新建邮件服务器发布规则向导”以发布 SMTP 邮件服务器。执行以下步骤来发布 SMTP 邮件服务器。

发布邮件服务器

在“ISA 服务器管理”的控制台树中，单击“防火墙策略”：

•	对于 ISA Server?2006 Standard Edition，依次展开“Microsoft Internet Security and Acceleration Server?2006”及“Server_Name”，然后单击“防火墙策略”。
•	对于 ISA Server?2006 Enterprise Edition，依次展开“Microsoft Internet Security and Acceleration Server?2006”、“数组”及“Array_Name”，然后单击“防火墙策略”。

在“任务”选项卡上，单击“发布邮件服务器”。如下表所示使用向导创建规则。


页面	字段或属性	设置
欢迎使用	邮件服务器发布规则名称	键入规则的名称，如 Inbound SMTP。
选择访问类型	请选择此邮件服务器将提供的访问类型。	选择“服务器到服务器的通讯: SMTP、NNTP”。
选择服务	服务器到服务器的通讯	选择“SMTP”。如果需要发布安全 SMTP 或 NNTP，请选择合适的服务。有关安全 SMTP 和 NNTP 的详细信息，请参阅 Exchange?2007 产品文档。
选择服务器	服务器 IP 地址	键入您将发布的 SMTP 邮件服务器的 IP 地址。
网络侦听器 IP 地址	侦听来自这些网络的请求。	选择 ISA Server 计算机将在上面侦听 SMTP 请求的网络和 IP 地址选择“外部”，然后单击“地址”以指定特定的 IP 地址。
外部网络侦听器 IP 选择	在下列地址上侦听请求可用的 IP 地址	选择“选定网络中的 ISA Server 计算机上的指定 IP 地址”。选择合适的 IP 地址，然后单击“添加”。要点：所选 IP 地址必须与 MX 记录 IP 地址匹配。
完成“新建邮件服务器发布规则向导”	完成“新建邮件服务器发布向导”	查看所选设置，单击“上一步”进行更改，然后单击“完成”完成该向导。

单击详细信息窗格中的“应用”按钮以保存更改并更新配置。

要点：

如果正在发布位于外围网络（也称为第三区域 (DMZ)）中的边缘传输服务器，以便为内部 Exchange 服务器接受 SMTP 邮件，您需要打开外围网络中的边缘传输服务器到内部网络上的 Exchange 服务器之间的 TCP 端口?25。

测试入站 SMTP 通信

Internet 上的邮件服务器现在可以在 TCP 端口?25 上连接到入站 SMTP 服务器以发送电子邮件消息给贵组织。您应该测试此连接是否正常工作。有多种方式可测试入站 SMTP 通信是否到达。最简单的方式为从 Internet 向您的域发送测试电子邮件消息。

有关测试 SMTP 通信的其他信息，请参阅 Microsoft 支持网站上的“XFOR: Telnet to Port?25 to Test SMTP Communication”。

发送 Internet 电子邮件消息

配置入站 Internet 电子邮件后，下一步是配置通过 ISA Server 从贵组织发送到 Internet 的出站电子邮件消息通信。通常配置一个 Exchange?2007 服务器来通过 SMTP 协议向 Internet 发送电子邮件消息。这通常为已安装中心传输或边缘传输服务器角色的 Exchange?2007 服务器。在此，中心传输或边缘传输服务器接受来自贵组织中其他 Exchange 服务器的 SMTP 请求，并将请求转发给 Internet 上合适的邮件服务器。中心传输或边缘传输服务器需要能够创建到 Internet 上的邮件服务器的 SMTP 会话。此外，中心传输或边缘传输服务器还必须能够执行 DNS 查询以便为将向其发送电子邮件消息的域查找 MX 记录。

以下各部分说明了如何创建出站 SMTP 访问规则。

确认 SMTP 服务器可以查询 DNS

为 SMTP 服务器创建计算机对象

创建出站 SMTP 访问规则

确认 SMTP 服务器可以查询 DNS

当 SMTP 服务器具有要传送的电子邮件消息时，其必须解析收件人域的 MX 记录以及对应的 A 记录。此解析通过 DNS 查询来完成。

第一步先确认 SMTP 服务器可以执行 DNS 查询。如果 SMTP 服务器不能执行 DNS 查询，它将不会发送 Internet 电子邮件消息。这些消息累积在 SMTP 服务器的队列中，且最终传送将失败。

执行以下步骤来确认 SMTP 服务器可以执行 DNS 查询。

从命令提示符处查询域的 MX 记录

1.	打开“命令提示符”窗口。
2.	键入 nslookup，然后按 ENTER。
3.	键入 set q=mx，然后按 ENTER。这将设置一个过滤器以便仅收集 MX 记录和相关信息。
4.	键入以下内容：domain_name.com，其中 domain_name 是希望为其获得 DNS 记录的域，例如，microsoft.com 或 msn.com。随后会显示类似如下的输出： Server:[157.178.72.30] Address:157.178.72.30 microsoft.com MX preference = 10, mail exchanger = mail1.microsoft.com microsoft.com MX preference = 10, mail exchanger = mail2.microsoft.com microsoft.com MX preference = 10, mail exchanger = mail3.microsoft.com microsoft.com MX preference = 10, mail exchanger = mail4.microsoft.com microsoft.com MX preference = 10, mail exchanger = mail5.microsoft.com mail1.microsoft.com internet address = 131.107.3.125 mail2.microsoft.com internet address = 131.107.3.124 mail3.microsoft.com internet address = 131.107.3.123 mail4.microsoft.com internet address = 131.107.3.122 mail5.microsoft.com internet address = 131.107.3.121

如果 SMTP 服务器无法查询 DNS，请检查服务器的 TCP/IP 设置。如果服务器配置为使用公共 DNS 服务器，则检查是否具有允许 DNS 通信从 SMTP 服务器连接到 Internet 的访问规则。

为 SMTP 服务器创建计算机对象

在本部分中，将为 SMTP 服务器创建一个计算机对象。此对象将在创建访问规则时使用，使您可以限制对所创建的计算机对象的出站 SMTP 访问。如果具有多个需要向 Internet 发送 SMTP 消息的 SMTP 服务器，请执行以下操作：

•	为您的所有 SMTP 计算机对象创建计算机设置，而不是仅创建一个计算机对象。

执行下列过程以创建计算机对象。

创建计算机对象

在“ISA 服务器管理”的控制台树中，单击“防火墙策略”：

•	对于 ISA Server?2006 Standard Edition，依次展开“Microsoft Internet Security and Acceleration Server?2006”及“Server_Name”，然后单击“防火墙策略”。
•	对于 ISA Server?2006 Enterprise Edition，依次展开“Microsoft Internet Security and Acceleration Server?2006”、“数组”及“Array_Name”，然后单击“防火墙策略”。

在“工具箱”选项卡上，依次单击“网络对象”和“新建”，然后选择“计算机”。

在“名称”字段中，键入计算机对象的名称，如 SMTP Server，在“计算机 IP 地址”字段中，键入计算机 IP 地址。如果不知道 IP 地址，可以使用“浏览”按钮。

创建出站 SMTP 访问规则

执行下列过程来创建出站 SMTP 访问规则。

创建出站 SMTP 访问规则

在“ISA 服务器管理”的控制台树中，单击“防火墙策略”：

•	对于 ISA Server?2006 Standard Edition，依次展开“Microsoft Internet Security and Acceleration Server?2006”及“Server_Name”，然后单击“防火墙策略”。
•	对于 ISA Server?2006 Enterprise Edition，依次展开“Microsoft Internet Security and Acceleration Server?2006”、“数组”及“Array_Name”，然后单击“防火墙策略”。

在“任务”选项卡中，单击“创建访问规则”。如下表所示使用向导创建规则。


页面	字段或属性	设置
欢迎使用	访问规则名称	键入规则的名称，如 Outbound SMTP。
规则操作	在符合规则条件时要执行的操作。	选择“允许”。
协议	此规则应用到协议	选择“所选的协议”。将 SMTP 协议添加到列表中。要将 SMTP 协议添加到列表中，请单击“添加”来打开“添加协议”对话框。在“添加协议”对话框中，展开“通用协议”，然后选择“SMTP”。单击“添加”，然后单击“关闭”以关闭“添加协议”对话框。
访问规则源	此规则应用于来自这些源的通讯	添加在上一部分中创建的计算机对象。例如，添加“SMTP Server”。要添加计算机对象，单击“添加”以打开“添加网络实体”对话框。在“添加网络实体”对话框中，展开“计算机”，然后选择正确的计算机对象。单击“添加”，然后单击“关闭”以关闭“添加网络实体”对话框。
访问规则目标	此规则应用于发送到这些目标的通讯	将外部网络添加到该列表。要添加外部网络，单击“添加”以打开“添加网络实体”对话框。在“添加网络实体”对话框中，展开“网络”，然后选择“外部”。单击“添加”，然后单击“关闭”以关闭“添加网络实体”对话框。
用户集	此规则应用于来自下列用户集的请求	保留“所有用户”的默认值。
完成“新建访问规则向导”	完成“新建访问规则向导”	查看所选设置，然后单击“上一步”进行更改，或者单击“完成”完成该向导。

单击详细信息窗格中的“应用”按钮以保存更改并更新配置。要应用该规则可能需要花几分钟时间。

注意：

请记住由于访问规则被排序，因此如果一个与 SMTP 访问请求相匹配的拒绝规则在此允许规则之前，则访问将受到拒绝。

向 Internet 上的用户发送测试电子邮件消息，然后确认该用户收到了测试电子邮件消息。

利用 ISA Server 进行常见的电子邮件验证检查和发送 Internet 电子邮件消息

要减少公司收到的垃圾邮件的数量，一些管理员会配置其 SMTP 服务器以验证在电子邮件发送过程的不同阶段中收到的不同信息量。如果 SMTP 服务器无法正确验证在 SMTP 服务器上配置的信息，则电子邮件消息将被拒绝。由于验证什么信息和如何验证信息是由接收 SMTP 服务器的管理员决定的，因此难以解决为什么一个电子邮件消息被一家公司拒绝却可以被其他公司接受。通常，被拒绝的电子邮件消息将显示该消息被拒绝的原因。该消息被拒绝的原因可以包含在被拒绝的消息主体中，或者包含在电子邮件消息的 Internet 标头中。

尝试向另一 SMTP 服务器发送电子邮件消息时，发送 SMTP 服务器会发送以下信息：

•	SMTP 服务器的公共 IP 地址。这是 IP 数据包的源 IP 地址。
•	HELO/EHLO 主机名。
•	发送方的域。

以下部分介绍由接收 SMTP 服务器验证的一些更常见的信息。

注意：

这些电子邮件验证检查不会影响由 Internet 邮件服务器发送到您所在域的电子邮件消息。

指针记录验证

DNS 指针 (PTR) 记录用来将 IP 地址映射为一个主机名或多个主机名，这取决于正在使用的 DNS 的版本。接收 SMTP 服务器将对发送 SMTP 服务器的 IP 地址执行反向 DNS 查找。如果 PTR 记录已经配置，则主机名将作为所请求的信息被发送回来。然后，SMTP 服务器会对主机名执行正向查找。如果发送 SMTP 服务器的 IP 地址与正向查找的 IP 地址相匹配，则电子邮件消息被认为是来自有效的 SMTP 服务器，并且该电子邮件消息被允许。如果这两个 IP 地址不匹配或没有 PTR 记录，则该电子邮件消息被拒绝。

要解决这种情况，请确认您为 ISA Server 计算机外部网络适配器正确配置了主 IP 地址的 PTR 记录。应用网络地址转换 (NAT) 时，ISA Server 会使用从 ISA Server 计算机发送时通信所用的网络适配器的主 IP 地址。这个 IP 地址可能与发布您的邮件服务器时所用的 IP 地址不同。

要点：

如果您不控制自己的公共 DNS 记录，请联系您的 Internet 服务提供商 (ISP) 以添加相应的 PTR 记录。

注意下列事项：

•	如果运行 ISA Server Enterprise Edition 且具有启用 NIB 的阵列，则您需要为每个阵列成员创建外部 IP 地址的 PTR 记录。
•	要检查您是否正确配置了 PTR 记录，请访问下列网站：http://www.dnsstuff.com 或 http://www.dnsreport.com。

HELO/EHLO 主机名验证

HELO/EHLO 是必需的 SMTP 命令，该命令用来启动从一个 SMTP 服务器到另一 SMTP 服务器的电子邮件消息的传送。HELO 命令用来以主机名的形式向接收 SMTP 服务器确定发送 SMTP 服务器。该主机名应是可以在 Internet 上解析的完全限定域名 (FQDN)。

一些 SMTP 服务器用 HELO 命令验证主机名。接收 SMTP 服务器会对用 HELO 命令收到的主机名执行正向查找。如果收回的 IP 地址与发送 SMTP 服务器的 IP 地址相匹配，则电子邮件消息被允许。但是，如果 IP 地址不匹配或未返回该主机名的地址，则电子邮件消息被拒绝。

要解决这种情况，请确认下列信息：

•

在您的 SMTP 服务器上正确配置了 HELO/EHLO 命令。该主机名应是在 Internet 上可解析的 FQDN。有关 HELO 命令的详细信息，请参阅 Exchange Sever 产品文档。

•

该主机名会解析为外部网络适配器的主 IP 地址。应用网络地址转换 (NAT) 时，ISA Server 会使用从 ISA Server 计算机发送时通信所用的网络适配器的主 IP 地址。这个 IP 地址可能与发布您的邮件服务器时所用的 IP 地址不同。

要点：

如果您不控制自己的公共 DNS 记录，请联系您的 ISP 以添加相应的主机记录。

注意下列事项：

•	如果运行 ISA Server Enterprise Edition 且具有启用 NIB 的阵列，则您需要创建解析为每个阵列成员的主 IP 地址的主机记录。
•	要检查您是否正确配置了主机名记录，请访问下列网站：http://www.dnsstuff.com 或 http://www.dnsreport.com。

域 MX 记录验证

一些接收 SMTP 服务器尝试将发送电子邮件消息的 IP 地址与发送方域的 MX 记录相匹配。在这种情况下，接收 SMTP 服务器会查询发送方域的 MX 记录的 DNS。在主机名中执行正向查找，并且接收 SMTP 服务器尝试将发送 SMTP 服务器的 IP 地址与来自 MX 记录的 IP 地址相匹配。如果两者相符，则电子邮件消息被允许。但是，如果找不到相符之处，则电子邮件消息被拒绝。

要解决这种情况，请确保您用来发布邮件服务器的地址是外部网络适配器的主 IP 地址。

要点：

如果在 ISA Server 计算机中有多个 SMTP 服务器，则利用外部网络适配器的主 IP 地址只能发布一个 SMTP 服务器。在这种情况下，要安装一个 SMTP 网关，该网关将处理 SMTP 服务器的所有 SMTP 通信。您需要配置下列内容：

•	配置 SMTP 网关为您所有的域接受电子邮件消息，并且将 SMTP 消息正确路由到相应的内部 Exchange 服务器。
•	配置 SMTP 网关以接受来自内部 SMTP 服务器的 SMTP 消息。
•	配置您现有的 SMTP 服务器以将 SMTP 电子邮件消息发送到新的 SMTP 网关。

您可以将 Exchange 边缘传输服务器或 SMTP 服务与 Internet 信息服务 (IIS) 配合使用作为您的 SMTP 网关。有关配置信息，请参阅 Exchange 或 IIS 产品文档。

其他操作

如果不能进行建议的更改，或者如果不能确定电子邮件消息被拒绝的原因，您可以向正在尝试将电子邮件消息发送所至公司的电子邮件管理员打电话。询问他们正在使用的应用程序是否具有安全的发送方/接收方列表，并要求将您的域添加到此列表。在您的域或 SMTP 服务器的 IP 地址已经添加到安全列表后，从您的 SMTP 服务器发送的电子邮件消息将被接受。

返回页首

客户端访问

许多公司需要员工不在办公室时可以访问其邮箱。通过确保员工可以从客户驻地、旅馆、机场或住宅，使用所有及时的方式答复重要的电子邮件消息、查看日历、更新联系人并向其经理发送更新，这种访问会为公司提供具有竞争力的业务优势。而且，公司使用这个功能可以为员工提供灵活的工作安排。

下表列出了针对 Exchange?2007 由 ISA Server?2006 支持的客户端访问方法以及为每个方法配置的路径。


访问方法	路径
Outlook Web Access	/owa/* /public/* /exchange/* /Exchweb/*
Outlook Anywhere（RPC over HTTP 或 HTTPS）	/rpc/*
Outlook Anywhere（RPC over HTTP 或 HTTPS）和针对 Outlook?2007 所选客户端在 Exchange Server 上的发布附件文件夹	/unifiedmessaging/* /rpc/* /OAB/* /ews/* /AutoDiscover/*
Exchange ActiveSync	/Microsoft-Server-ActiveSync/*

注意：

Outlook Mobile Access 不适用于 Exchange?2007。

要点：

发布 Exchange?2007 时，您需要为每个访问方法单独运行“新建 Exchange 发布规则向导”。您可以对每个规则使用相同的 Web 侦听器。但是，运行“新建 Exchange 发布规则向导”时，如果选择 Exchange Server?2007 作为 Exchange 版本，则一次只能发布一个访问方法。

注意：

如果您正在使用不同的路径，需要在发布规则中修改默认路径。

此文档说明如何利用 ISA Server?2006 发布 Exchange 客户端访问。从外部客户端到 ISA Server 计算机以及从 ISA Server 计算机到已发布服务器之间的通信使用安全套接字层 (SSL) 进行加密。

通过利用 ISA Server?2006 发布 Exchange 客户端访问，您会具有下列安全优势：

•

当通过 ISA Server 发布应用程序时，可以保护服务器免于直接的外部访问，因为用户无法访问该服务器的名称和 IP 地址。用户访问 ISA Server 计算机，然后该计算机根据服务器发布规则条件将该请求转发给服务器。

•

SSL 桥接可以防止隐藏于 SSL 加密连接中的攻击。对于启用 SSL 的 Web 应用程序，在 ISA Server 收到客户端请求后，会对请求进行解密并检查，然后终止与客户端计算机的 SSL 连接。Web 发布规则决定着 ISA Server 如何将对象的请求传送给发布的 Web 服务器。如果将安全 Web 发布规则配置为使用安全 HTTP (HTTPS) 转发请求，那么 ISA Server 将初始化一个与已发布服务器的新 SSL 连接。因为 ISA Server 计算机现在为 SSL 客户端，所以要求发布的 Web 服务器使用服务器端证书做出响应。

注意：

对于在发布的 Web 服务器上发行了服务器证书的 CA，该根证书颁发机构 (CA) 证书需要安装在 ISA Server 计算机上。

•

您可以为受支持的应用程序配置基于表单的身份验证。使用基于表单的身份验证，您可以强制执行必需的身份验证方法，启用两个因素的身份验证，控制电子邮件附件可用性以及提供集中式日志记录。有关身份验证的详细信息，请参阅 Microsoft TechNet 网站的“Authentication in ISA Server?2006”。

ISA Server?2006 还在以下方面克服了使用客户端访问 VPN 连接的难题：

•	通过 Web 浏览器访问发布的应用程序。
•	与远程访问 VPN 相比，由于使用 SSL，应用程序更容易获取和访问。用户可以从使用 NAT 的连接和在另外情况下可能是阻塞远程访问 VPN 连接的其他联网设备来访问防火墙后面的已发布应用程序。
•	由于使用 SSL，重新连接的过程更加轻松和快捷。如果您与 Internet 的连接断开，无需再使用远程访问 VPN 拨号器重新连接。重新连接 Internet 接入口后，您可以返回到发布的应用程序。
•	不在办公室的合作伙伴、供应商和员工可以通过安全的方式轻松访问所需的信息。

发布 Exchange Web 客户端访问

以下各部分提供了发布 Exchange Web 客户端访问所必需的步骤。各过程对在生产环境中部署 ISA Server 进行了描述。我们建议您在生产环境中部署 ISA Server 之前先在非生产测试环境中对其进行全面测试。

网络拓扑

若要部署此解决方案，您将需要使用下列计算机，这是对于实验室配置的最低要求：

•	要用作 Exchange 客户端访问服务器的计算机
•	要用作 Exchange 邮箱服务器和集线器传输服务器的计算机
•	要用作域控制器的计算机
•	至少一台内部客户端计算机
•	一台运行 ISA Server?2006 Standard Edition 的服务器或运行 ISA Server?2006 Enterprise Edition 的计算机阵列要点：有关发布 Exchange Server?2007 所需的修补程序的信息，请参阅 Microsoft 支持网站上的“Update for Publishing Microsoft? Exchange Server?2007 for Internet Security and Acceleration (ISA) Server 2006”。注意：由一个计算机组成的阵列足以同时运行 ISA Server 服务和配置存储服务器服务。在生产环境中，为提升安全性，建议将配置存储服务器安装在 ISA Server 服务计算机之后。配置存储服务器将存储所有 ISA Server 配置数据，包括管理角色。
•	至少一台外部客户端计算机或适合的移动设备

有关 Exchange?2007 系统要求的信息，请参阅 Exchange?2007 System Requirements。

身份验证

您可以为受支持的应用程序（例如 Outlook Web Access）配置基于表单的身份验证。利用基于表单的身份验证，您可以强制执行必需的身份验证方法、启用双因素身份验证并提供集中式日志记录。您可以发布即使使用以基于表单的身份验证配置的 Web 侦听器也不支持基于表单的身份验证的应用程序。在这种情况下，ISA Server 对不支持基于表单的身份验证的应用程序使用基本身份验证。

有关身份验证的详细信息，请参阅 Microsoft TechNet 网站上的“Authentication in ISA Server?2006”。

注意下列事项：

•	如果未限制对经过身份验证的用户的访问（就像某规则允许将访问应用于所有用户的这种情况），则 ISA Server 不会验证用户的凭据。ISA Server 将根据已配置的委派方法来使用用户凭据向 Web 服务器验证身份。
•	我们建议将每个发布规则应用于所有经过身份验证的用户或特定用户集，而不是选择“需要所有用户在 Web 侦听器上进行身份验证”，因为这需要对通过侦听器进行连接的任何用户都进行身份验证。

客户端证书和 Kerberos 约束委派支持

ISA Server?2006 引入了对 Kerberos 约束委派的使用，在 Microsoft TechNet 网站上的“Kerberos 协议转换和受限委派”一文中对其进行了介绍。如果不使用 Kerberos 约束委派，则仅在使用基本身份验证或基于表单的身份验证接收客户端凭据时，ISA Server 才可以委派凭据。在使用 Kerberos 约束委派的情况下，ISA Server 可以接受其他类型的客户端凭据，例如客户端证书。必须在域控制器上启用 ISA Server 才能使用 Kerberos 约束委派（限制为某个特定服务主体名称）。

如果身份验证失败，则 ISA Server 向客户端提供服务器的失败通知。如果服务器需要另一种类型的凭据，则会触发 ISA Server 警报。

LDAP 身份验证

ISA Server?2006 支持轻型目录访问协议 (LDAP) 身份验证。LDAP 身份验证与 Active Directory? 目录服务身份验证类似，只不过 ISA Server 计算机不必是域成员。ISA Server 通过 LDAP 协议连接到已配置的 LDAP 服务器，以验证用户身份。每个 Microsoft Windows? 域控制器同时也是一个 LDAP 服务器，默认情况下，无需进行其他配置更改。使用 LDAP 身份验证，会获得以下益处：

•	一个运行 ISA Server?2006 Standard Edition 的服务器或工作组模式下的 ISA Server?2006 Enterprise Edition 阵列成员。当在外围网络中安装 ISA Server 时，无需再打开域成员身份要求的所有端口。
•	对不存在信任关系的域进行用户身份验证。

有关为 LDAP 身份验证配置 ISA Server 的信息，请参阅 Microsoft TechNet 网站上的“安全应用程序发布”。

下表列出了针对 Exchange?2007 最常用和推荐使用的客户端身份验证方法及身份验证委派方法。


客户端身份验证方法	身份验证确认方法	身份验证委派	访问方法
HTML 基于表单的身份验证	Windows (Active Directory) LDAP (Active Directory) RADIUS	基本协商 (Kerberos/NTLM)	Outlook Web Access（请参阅后面的重要注意事项） Outlook Anywhere Microsoft ActiveSync（仅限于基本身份验证）
HTML 基于表单的身份验证	RSA SecurID	RSA SecurID	Outlook Web Access Microsoft ActiveSync（需要在 Exchange 服务器上安装 RSA SecurID 组件）
SSL 客户端证书身份验证	Windows (Active Directory)	Kerberos 约束委派	Outlook Web Access Microsoft ActiveSync

要点：

•

如果为身份验证委派选择了“基本”，则下列 Exchange?2007 功能将不会按预期工作：

•	Outlook Web Access 2007 Web 部件。Outlook Web Access?2007 Web 部件需要在 /owa/* 目录上配置的集成式 Windows 身份验证。
•	不同 Active Directory 站点中各个 Exchange 客户端访问服务器之间的代理。这需要在 Exchange 客户端访问服务器上配置集成式 Windows 身份验证。有关代理 Exchange 客户端访问服务器的详细信息，请参阅 Exchange Server?2007 产品文档。

•

如果为身份验证委派选择了“协商”，则下列功能将无效：

•

通过旧有文件夹（例如 /public/*、/exchange/* 和 /Exchweb/*）访问驻留在 Exchange?2003 上的邮箱。通过此方法访问这些邮箱需要基本身份验证。

•

通过旧有文件夹访问用户邮箱的客户端，例如 Microsoft Entourage?2004 for Mac 和使用 WebDAV 扩展的自定义编写的应用程序。这也需要基本身份验证。

某些新 Exchange?2007 功能要求协商身份验证委派并仍提供对要求基本身份验证委派的旧有文件夹的访问，有关如何利用这些功能的信息，请参阅附录 D. 为 Outlook Web Access 配置基本和协商身份验证委派。

注意：

Outlook Anywhere 和 Outlook Web Access 的某些需要 /ews/* 路径的功能目前只能使用基本身份验证。

本文档假定客户端访问服务器上已接受使用默认的已配置身份验证方法，即基本身份验证。

Exchange 配置要求

本部分描述了要使 ISA Server Web 客户端发布正常工作所需要对 Exchange 配置进行的更改。

确认在 Exchange 客户端访问服务器上未选择基于表单的身份验证

在 Exchange 客户端访问服务器上启用 Outlook Anywhere

在 Exchange 客户端访问服务器上安装一个服务器证书

要求对网站的安全通道 (SSL) 通信

确认在 Exchange 客户端访问服务器上未选择基于表单的身份验证

当不使用 ISA Server 发布 Exchange Web 客户端访问时，可以在客户端访问服务器上配置基于表单的身份验证。在使用 ISA Server 发布 Exchange Web 客户端访问时，仅应在 ISA Server 计算机上配置基于表单的身份验证。

执行下面的过程来确认在 Exchange 客户端访问服务器上未选择基于表单的身份验证。

确认在 Exchange 前端服务器上未选择基于表单的身份验证

1.	启动 Exchange 管理控制台。
2.	在 Exchange 管理控制台中，展开“服务器配置”，然后单击“客户端访问”。
3.	选择您的客户端访问服务器（例如“cas01”），然后在“Outlook Web Access”页面上选择“owa（默认网站）”。
4.	在操作窗格中，单击“owa（默认网站）”下的“属性”。
5.	选择“身份验证”页面，并确认选择了以下选项：“使用下列一个或多个标准身份验证方法”和“基本身份验证（密码以明文形式发送）”。
6.	单击“确定”。
7.	复查“Microsoft Exchange 警告”对话框，然后单击“确定”。为使刚刚做出的更改生效，必须重新启动 Internet 信息服务 (IIS)。有关相关操作说明，请参阅第 9 步。
8.	为下列站点重复第 1 至 6 步：“Exchange（默认网站）”、“Exchweb（默认网站）”和“Public （默认网站）”
9.	要重新启动 IIS，请运行以下命令：“iisreset /noforce”。

注意：

对于您的环境中将用于 Outlook Web Access 的每台 Exchange 客户端访问服务器都执行此过程。

在客户端访问服务器上启用 Outlook Anywhere

如果将向您的用户提供 Outlook Anywhere (RPC over HTTP) 访问，则需要在您的客户端访问服务器上启用 Outlook Anywhere。

若要启用 Outlook Anywhere，必须执行以下过程。

安装 RPC over HTTP Windows 网络组件

1.	单击“开始”，指向“设置”，然后单击“控制面板”，接着双击“添加/删除程序”。
2.	单击“添加/删除 Windows 组件”。
3.	在“Windows 组件”页面的“组件”窗口中，选择“网络服务”，然后单击“详细信息”按钮。
4.	在“网络服务”页面的“网络服务的子组件”窗口中，选中“RPC over HTTP 代理”旁的复选框，然后单击“确定”。
5.	在“Windows 组件”页面上，单击“下一步”。
6.	单击“完成”，关闭“Windows 组件”向导。

在客户端访问服务器上启用 Outlook Anywhere

1.	启动 Exchange 管理控制台。
2.	在 Exchange 管理控制台中，展开“服务器配置”，然后单击“客户端访问”。
3.	选择您的客户端访问服务器，例如“cas01”。
4.	在操作窗格中，单击刚才所选的服务器名下面的“启用 Outlook Anywhere”。
5.	在“外部主机名”字段中输入客户端将用于连接到客户端访问服务器的主机名，例如 mail.contoso.com。注意：此名称应与 ISA Server 计算机上所安装服务器证书中使用的公用名称或 FQDN 匹配。
6.	确认“外部身份验证方法”设置为“NTLM 身份验证”，然后单击“启用”。

注意：

对于您环境中的每台 Exchange 客户端访问服务器都执行此过程。

在 Exchange 客户端访问服务器上安装一个服务器证书

为确保 ISA Server 计算机与 Exchange 客户端访问服务器之间的通信受到适当保护，您需要在 Exchange 客户端访问服务器上安装一个服务器证书。此证书可来自内部 CA，并不需要从公共 CA 购买。在启用 Outlook Anywhere 时，Outlook Anywhere 在未安装服务器证书的情况下将无法工作，除非您选择“允许安全通道 (SSL) 减负”。

此过程在客户端访问服务器上执行，并假定已安装一个内部企业 CA。有关如何安装 Microsoft Windows Server??2003 企业 CA 的信息，请参阅 Microsoft TechNet 网站上的“如何安装 Windows Server?2003 企业 CA”。

在开始之前，应先确定一个完全限定域名 (FQDN)（也称为公用名称）。

要点：

用于在客户端访问服务器上创建服务器证书的 FQDN 需要匹配“新建 Exchange 发布向导”的“内部发布详细信息”页面上的“内部站点名称”或“计算机名称或 IP 地址”字段的值集。如果 ISA Server 使用的 FQDN 与创建证书所使用的 FQDN 不同，则 ISA Server 计算机与客户端访问服务器之间的 SSL 连接将失败。

执行以下过程在客户端访问服务器上安装服务器证书。

注意：

在安装 Exchange?2007 时，可以安装一个由 Exchange?安装程序创建的默认“安全套接字层”(SSL) 证书。但此证书不是受信任的 SSL 证书。我们建议您安装来自受信任 CA 的证书。

要点：

只有在您的域中安装了 Windows Server?2003 企业 CA 之后，此过程才有效。

使用 Web 服务器证书向导获取新的服务器证书

1.	在 IIS 管理器中，展开本地计算机，然后展开“网站”文件夹。
2.	右键单击 Exchange 前端服务的网站（默认情况下为“默认网站”），然后单击“属性”。
3.	在“目录安全性”选项卡的“安全通信”下单击“服务器证书”。使用向导请求并安装 Web 服务器证书。
4.	在“Web 服务器证书向导”中，选择“新建证书”。注意：如果在 Exchange?安装期间已安装了一个证书，则在“修改当前证书分配”页面上选择“删除当前证书”，然后单击“下一步”。现在可以重新开始该过程。
5.	在“延迟或立即请求”页面上，选择“立即将证书请求发送到联机证书颁发机构”。
6.	在“名称和安全性设置”及“组织信息”页面上输入所需信息。
7.	在“站点公用名称”页面上键入 FQDN。要点： ISA Server 必须将此名称解析到客户端访问服务器。当发布 Exchange Web 客户端访问时，将使用所输入的 FQDN。
8.	在“地理信息”页面上输入所需信息。
9.	在“SSL 端口”页面上接受默认端口 443。
10.	从“证书颁发机构”下的列表中选择正确的内部企业 CA。
11.	在“证书请求提交”页面上复查您的请求，然后单击“下一步”提交请求。这也会为您的网站安装该证书。
12.	在“完成 Web 服务器证书向导”页面上单击“完成”以关闭向导。

注意：

如果有多台 Exchange 客户端访问服务器提供 Exchange Web 客户端访问，则需要对每台客户端访问服务器都执行此过程（对每台服务器使用同一公用名称或 FQDN）。或者可以将该证书连同其私钥一同导出，然后再将证书导入到其他客户端访问服务器。

此外，还可以配置 Exchange 客户端访问服务器与 ISA Server 计算机间的 SSL 客户端身份验证。有关详细信息，请参阅 ISA Server 产品帮助。

要求对网站的安全通道 (SSL) 通信

在为网站安装证书之后，需要要求网站仅接受安全通道通信（仅使用 SSL 的通信）。

执行以下过程来启用“要求安全通道 (SSL)”。

启用安全通信

1.	在 IIS 管理器中，展开本地计算机，然后展开“网站”文件夹。
2.	右键单击已安装 Exchange 前端服务的网站（默认情况下为“默认网站”），然后单击“属性”。
3.	在“目录安全性”选项卡的“安全通信”下单击“编辑”。
4.	在“安全通信”页面上选择“要求安全通道 (SSL)”，然后单击“确定”。再次单击“确定”以关闭网站属性对话框。

注意：

如果有多台 Exchange 客户端访问服务器提供 Exchange Web 客户端访问，则需要在每台客户端访问服务器上都执行此过程。

ISA Server 要求

在运行“新建 Exchange 发布规则向导”之前，应完成以下过程。

在 ISA Server 计算机上安装服务器证书

更新公共 DNS

在 ISA Server 计算机上安装服务器证书

若要实现客户端计算机与 ISA Server 计算机之间的安全连接，则需要在 ISA Server 计算机上安装一个服务器证书。此证书应由公共 CA 颁发，因为它将被 Internet 上的用户访问。如果使用了私有 CA，则对于需要建立与 ISA Server 计算机间的安全连接（HTTPS 连接）的任何计算机，都需要在其上安装该私有 CA 颁发的根 CA 证书。

多数情况下，ISA Server 计算机都未安装 IIS。以下过程假定 ISA Server 计算机上未安装 IIS。使用以下过程在 ISA Server 计算机上导入一个证书。

从公共 CA 请求并安装一个服务器证书

将该服务器证书导出到某文件

在 ISA Server 计算机上安装服务器证书

从公共 CA 请求并安装一个服务器证书

此过程将在已安装 IIS 的现有计算机上创建一个新网站。在创建网站之后，按照公共 CA 提供的步骤为新网站请求并安装一个服务器证书。

执行以下过程以在已安装 IIS 的计算机上请求并安装服务器证书。

从公共 CA 请求并安装一个服务器证书

1.	在 IIS 中，创建一个新网站，将该网站指向一个新的空目录。
2.	在 IIS 管理器中，展开本地计算机，右键单击“网站”文件夹，然后单击“新建”，接着再单击“网站”以启动“网站创建向导”。
3.	在“欢迎使用”页面上单击“下一步”。
4.	在“说明”字段中键入网站的名称。例如，键入 ISA Cert Site，然后单击“下一步”。
5.	接受“IP 地址和端口设置”页面上的默认设置。
6.	在“网站主目录”页面上输入网站的路径。例如，输入 c:\temp。
7.	接受“网站访问权限”页面上的默认设置，然后单击“下一步”。
8.	单击“完成”以完成“网站创建向导”。要点：默认情况下，该新网站是停止的。应将此网站保留在停止状态。没有理由启动此网站。注意：有关创建新网站的详细信息，请参阅 IIS 产品文档。
9.	按照公共 CA 提供的步骤创建并安装一个服务器证书。要点：证书中的重要信息是公用名称或 FQDN。输入将由 Internet 上的用户用于连接到 Exchange Outlook Web Access 站点的 FQDN。例如，输入 mail.contoso.com。注意：确认您将安装的证书的私钥是可导出的。

将该服务器证书导出到某文件

在将该证书安装到刚创建的网站上之后，将其导出到某文件。随后会将此文件复制并导入到 ISA Server 计算机。

执行以下过程来导出刚才安装的服务器证书。

将服务器证书导出到 .pfx 文件

1.	在 IIS 管理器中，展开本地计算机，然后展开“网站”文件夹。
2.	右键单击 Exchange 前端服务的网站（默认情况下为“默认网站”），然后单击“属性”。
3.	在“目录安全性”选项卡的“安全通信”下，单击“服务器证书”以启动“Web 服务器证书向导”。
4.	在“欢迎使用”页面上单击“下一步”。
5.	在“修改当前证书分配”页面上，选择“将当前证书导出到一个 .pfx 文件”。
6.	在“导出证书”页面上键入路径和文件名。例如，键入 c:\certificates\mail_isa.pfx，然后单击“下一步”。
7.	输入该 .pfx 文件的密码。当用户导入该 .pfx 文件时会要求输入此密码。建议使用强密码，因为 .pfx 文件也具有该私钥。要点：由于 .pfx 文件含有要在 ISA Server 计算机上安装的证书的私钥，因此，应以安全方式将其传送到 ISA Server 计算机。在 .pfx 文件成功导入之后，应将其从 ISA Server 计算机上删除。

在 ISA Server 计算机上导入该服务器证书

在 ISA Server 计算机上执行以下过程，将该服务器证书导入到本地计算机存储区。

在 ISA Server 计算机上导入服务器证书

1.	将上一部分中创建的 .pfx 文件以安全方式复制到 ISA Server 计算机。
2.	单击“开始”，然后单击“运行”。在“打开”中，键入 MMC，然后单击“确定”。
3.	依次单击“文件”和“添加/删除管理单元”，然后在“添加/删除管理单元”对话框中单击“添加”，打开“添加独立管理单元”对话框。
4.	选择“证书”，单击“添加”，再选择“计算机帐户”，然后单击“下一步”。
5.	选择“本地计算机”，然后单击“完成”。在“添加独立管理单元”对话框中，单击“关闭”，然后在“添加/删除管理单元”对话框中，单击“确定”。
6.	展开“证书”节点，然后右键单击“个人”文件夹。
7.	选择“所有任务”，然后单击“导入”。这将启动“证书导入向导”。
8.	在“欢迎使用”页面上，单击“下一步”。
9.	在“要导入的文件”页面上，浏览到先前创建的文件并将其复制到 ISA Server 计算机，然后单击“下一步”。
10.	在“密码”页面上，键入此文件的密码，然后单击“下一步”。注意： “密码”页面提供了“标志此密钥为可导出的”选项。如果您想阻止从 ISA Server 计算机导出该密钥，则不选择此选项。
11.	在“证书存储”页面上，验证是否选择了“将所有的证书放入下列存储”以及“证书存储”是否设置为“个人”（默认设置），然后单击“下一步”。
12.	在向导完成页面上，单击“完成”。
13.	验证是否正确安装了该服务器证书。单击“证书”，然后双击新服务器证书。在“常规”选项卡上，应显示一条注释“您有一个与该证书对应的私钥”。在“证书路径”选项卡上，您应看到您的证书与 CA 间的层级关系，以及一条注释“该证书没有问题”。
14.	从计算机上删除该 .pfx 文件。

注意：

如果您拥有 ISA Server?2006 Enterprise Edition，则必须在每个阵列成员上都导入该证书。

更新公共 DNS

在您的域的公共 DNS 服务器中创建新的 DNS 主机记录。用户将使用网站名称启动一个连接。此名称需要与 ISA Server 计算机上所安装证书中使用的公用名称或 FQDN 匹配。例如，用户可能会浏览到 https://mail.contoso.com/owa。在这种情况下，用户要成功启动连接需要满足以下条件：

•

ISA Server 计算机上安装的服务器证书中使用的 FQDN 需要为 mail.contoso.com。

•

用户需要将 mail.contoso.com 解析为一个 IP 地址。

•

需要在 ISA Server 计算机的外部网络上配置 mail.contoso.com 解析后的 IP 地址。

注意：

对于 ISA Server Enterprise Edition，如果使用的是启用 NLB 的阵列，则该 IP 地址应是为此阵列配置的一个虚拟 IP 地址。有关 NLB 的详细信息，请参阅 ISA Server 产品帮助。

Exchange 发布

既然 Exchange 前端服务器和 ISA Server 计算机已正确配置且已安装正确的服务器证书，您就可以开始执行发布 Exchange 前端服务器的过程了。使用“新建 Exchange 发布规则向导”，您可以提供对 Exchange 前端服务器的安全访问。

以下过程用于发布 Exchange 前端服务器。

创建服务器场（可选）

创建 Web 侦听器

创建 Exchange Web 客户端访问发布规则

创建服务器场（可选）

在您拥有不止一台 Exchange 前端服务器时，可以使用 ISA Server 为这些服务器提供负载平衡。这样可以让您一次发布网站，而无需多次运行向导。另外，这样可以消除第三方产品平衡网站负载的需要。如果其中一台服务器不可用，ISA Server 将检测到该服务器不可用，并将用户引导到正在工作的服务器。ISA Server 会定期检验服务器场中的成员服务器是否正常运行。服务器场属性决定了下列内容：

•	包含在场中的服务器
•	ISA Server 将用于检验服务器是否正常运行的连接验证方法。

执行下列过程以创建服务器场。

创建服务器场

在“ISA 服务器管理”的控制台树中，单击“防火墙策略”：

•	对于 ISA Server?2006 Standard Edition，依次展开“Microsoft Internet Security and Acceleration Server?2006”及“Server_Name”，然后单击“防火墙策略”。
•	对于 ISA Server?2006 Enterprise Edition，依次展开“Microsoft Internet Security and Acceleration Server?2006”、“阵列”及“Array_Name”，然后单击“防火墙策略”。

在“工具箱”选项卡上，单击“网络对象”，然后单击“新建”，并选择“服务器场”。如下表所示使用向导创建服务器场。


页面	字段或属性	设置
欢迎使用	服务器场名称	键入服务器场的名称。例如，键入 Exchange front end servers。
服务器	包含在该场中的服务器	选择“添加”，然后输入 Exchange 前端服务器的 IP 地址或名称。
连接性监控	用于监控服务器场连接性的方法	选择“发送 HTTP/HTTPS GET 请求”。
完成“新建服务器场向导”	完成“新建服务器场向导”	复查所选设置，然后单击“上一步”进行更改，再单击“完成”完成该向导。

该向导完成后，在“启用 HTTP 连接验证”对话框中单击“是”。

单击详细信息窗格中的“应用”按钮以保存更改并更新配置。

有关连接验证的详细信息，请参阅 ISA Server 产品的“帮助”。

创建 Web 侦听器

当创建 Web 发布规则时，必须指定要使用的 Web 侦听器。Web 侦听器属性决定下列内容：

•	ISA Server 计算机用于侦听 Web 请求（HTTP 或 HTTPS）的指定网络上的 IP 地址和端口
•	与 IP 地址配合使用的服务器证书
•	要使用的身份验证方法
•	允许的并发连接数量
•	单一登录 (SSO) 设置请更新下表中的信息，当使用“新建 Web 侦听器向导”时要使用这些信息。

使用工作表中您以前填充的信息，并执行下列过程以创建 Web 侦听器。

创建 Web 侦听器

在“ISA 服务器管理”的控制台树中，单击“防火墙策略”：

•	对于 ISA Server?2006 Standard Edition，依次展开“Microsoft Internet Security and Acceleration Server?2006”及“Server_Name”，然后单击“防火墙策略”。
•	对于 ISA Server?2006 Enterprise Edition，依次展开“Microsoft Internet Security and Acceleration Server?2006”、“阵列”及“Array_Name”，然后单击“防火墙策略”。

在“工具箱”选项卡上，依次单击“网络对象”和“新建”，然后选择“Web 侦听器”。如下表所示使用向导创建 Web 侦听器。


页面	字段或属性	设置
欢迎使用	Web 侦听器名称	键入 Web 侦听器的名称。例如，键入 Exchange FBA。
客户端连接安全性	选择此 Web 侦听器将与客户端建立的连接的类型	选择“需要与客户端的 SSL 安全连接”。
Web 侦听器 IP 地址	侦听这些网络上的传入 Web 请求 ISA Server 将压缩内容	选择“外部”网络。复选框应处于选中状态（默认）。单击“选择 IP 地址”
外部网络侦听器 IP 选择	在下列地址上侦听请求可用的 IP 地址	选择“选定网络中的 ISA Server 计算机上的指定 IP 地址”。选择正确的 IP 地址，然后单击“添加”。注意：对于带有启用 NLB 的阵列的 ISA Server Enterprise Edition，您应该选择虚拟的 IP 地址。
侦听器 SSL 证书	为每个 IP 地址选择一个证书，或为此 Web 侦听器指定单一证书	选择“为每个 IP 地址分配证书”。选择您刚刚选择的 IP 地址，然后单击“选择证书”。
选择证书	从可用证书列表中选择一个证书	选择您刚刚安装到 ISA Server 计算机上的证书。例如，选择 mail.contoso.com，然后单击“选择”。必须先安装证书，然后才能运行向导。
身份验证设置	选择客户端向 ISA Server 提供凭据的方式选择 ISA Server 验证客户端凭据的方式	为基于表单的身份验证选择“HTML 表单身份验证”，然后选择 ISA Server 将用于验证客户端证书的适当方法。例如，在 ISA Server 计算机是域的成员的情况下，选择“Windows (Active Directory)”。
单一登录设置	对使用此 Web 侦听器发布的网站启用 SSO SSO 域名	保留默认设置以启用 SSO。要在两个发布的网站间启用 SSO，如portal.contoso.com 以及mail.contoso.com, 键入 .contoso.com。
完成新建 Web 侦听器向导	完成新建 Web 侦听器向导	查看所选设置，然后单击“上一步”进行更改，或者单击“完成”完成该向导。

创建 Exchange Web 客户端访问发布规则

当通过 ISA Server 2006 发布内部 Exchange?2007 客户端访问服务器时，由于用户无法访问服务器的名称和 IP 地址，因此可以保护 Web 服务器免受外部的直接访问。用户可以访问 ISA Server 计算机，然后该计算机会根据 Web 服务器发布规则条件，将请求转发给内部 Web 服务器。Exchange Web 客户端访问发布规则是一种 Web 发布规则，其中包含与 Exchange Web 客户端访问相符的默认设置。

请更新下表中的信息，当使用“新建 Exchange 发布规则向导”时要使用这些信息。

属性

值

Exchange 发布规则名称

名称：________________________

服务

注意：

在单一规则中一次只能发布一项服务。要发布额外服务器，需要重新运行发布向导。

Exchange 版本：Exchange 2007

__Outlook Web Access

__Outlook Anywhere (RPC over HTTP)

__Exchange ActiveSync

发布类型

__发布单一网站

或

__发布负载平衡的服务器的服务器场

以及

服务器场名称：_____________

服务器连接安全性

HTTPS 或 HTTP（选一种）

注意下列事项：

•	如果选择 HTTP，那么 ISA Server 计算机与 Web 服务器之间的信息将以纯文本形式传输。
•	如果选择 HTTPS，则需要在 Exchange 前端服务器上安装服务器证书。

内部发布细节

内部站点名称 (FQDN)：______________________

如果 ISA Server 计算机无法解析 FQDN，则提供计算机名称或 IP 地址：_____________________

公共名称细节

接受请求：

__此域名：______________

或

__任何域名

选择 Web 侦听器

Web 侦听器：________________

用户组

列出将有权访问此规则的用户组：

_________________

__________________

使用工作表中您以前填充的信息，并执行下列过程以创建 Exchange Web 客户端访问发布规则。

创建 Exchange Web 客户端访问发布规则

在“ISA 服务器管理”的控制台树中，单击“防火墙策略”：

•	对于 ISA Server?2006 Standard Edition，依次展开“Microsoft Internet Security and Acceleration Server?2006”及“Server_Name”，然后单击“防火墙策略”。
•	对于 ISA Server?2006 Enterprise Edition，依次展开“Microsoft Internet Security and Acceleration Server?2006”、“阵列”及“Array_Name”，然后单击“防火墙策略”。

在“任务”选项卡中，单击“发布 Exchange Web 客户端访问”。如下表所示使用向导创建规则。

对于单个 Web 服务器，请使用“适用于单个网站的新建 Exchange 发布规则向导”中的表格。

如果正在使用服务器场，请使用“适用于服务器场的新建 Exchange 发布规则向导”中的表格。

适用于单个网站的新建 Exchange 发布规则向导
页面	字段或属性	设置
欢迎使用	Exchange 发布规则名称	键入规则的名称。例如，键入“Exchange Web 客户端发布”。
选择服务	Exchange 版本 Web 客户端邮件服务	选择正确的 Exchange 版本。例如，选择“Exchange Server?2007”。选择需要的访问方法。
发布类型	选择此规则是发布单一网站或外部负载平衡器、Web 服务器场还是多个网站	选择“发布单一网站或负载平衡器”。
服务器连接安全性	选择 ISA 服务器将与发布的 Web 服务器或服务器场建立的连接类型	选择“使用 SSL 连接到发布的 Web 服务器或服务器场”。注意：服务器证书必须安装在发布的 Exchange 客户端访问服务器上，在 Exchange 客户端访问服务器上颁发服务器证书的 CA 的 CA 根证书必须安装在 ISA Server 计算机上。
内部发布详细信息	内部站点名称	键入 Exchange 客户端访问服务器的内部 FQDN。例如，键入 exchfe.corp.contoso.com。要点：内部站点名称必须与安装在内部 Exchange 客户端访问服务器上的服务器证书的名称一致。注意：如果无法正确解析内部站点名称，则可以选择“使用计算机名称或 IP 地址连接到发布的服务器”，然后键入所需的 IP 地址或可由 ISA Server 计算机解析的名称。
公共名称细节	接受请求公共名称	此域名（在下方键入）键入您希望 ISA Server 接受连接的域名。例如，键入 mail.contoso.com。此名称必须与创建 Web 侦听器时选择的证书的 FQDN 相匹配。
选择 Web 侦听器	Web 侦听器	选择您先前创建的 Web 侦听器。例如，选择“Exchange OWA”。
身份验证委派	选择 ISA 服务器对发布的 Web 服务器进行身份验证时使用的方法	对于 Outlook Web Access，选择“基本身份验证”。对于 Exchange ActiveSync，选择“基本身份验证”。
用户集	此规则应用于来自下列用户集的请求	选择经批准可以访问此规则的用户集。
完成“新建 Exchange 发布规则向导”	完成“新建 Exchange 发布向导”。	查看所选设置，单击“上一步”进行更改，然后单击“完成”完成该向导。

注意：

当发布 Outlook Web Access 时，在单击“完成”后查看“剩余的 Exchange 发布任务”对话框，然后单击“确定”。

单击详细信息窗格中的“应用”按钮以保存更改并更新配置。

注意：

为每个想要发布的访问方法运行“新建 Exchange 发布规则向导”。确认在客户端访问服务器上配置的身份验证方法与发布规则中的身份验证委派相匹配。

转到 SSL 桥接。

适用于服务器场的“新建 Exchange 发布规则向导”
页面	字段或属性	设置
欢迎使用	Exchange 发布规则名称	键入规则的名称。例如，键入“Exchange Web 客户端发布”。
选择服务	Exchange 版本 Web 客户端邮件服务	选择正确的 Exchange 服务器版本。例如，选择“Exchange Server?2007”。选择需要的访问方法。
发布类型	选择此规则是发布单一网站或外部负载平衡器、Web 服务器场还是多个网站	选择“发布负载平衡 Web 服务器的服务器场”。
服务器连接安全性	选择 ISA 服务器将与发布的 Web 服务器或服务器场建立的连接类型。	选择“使用 SSL 连接到发布的 Web 服务器或服务器场”。注意：服务器证书必须安装在所有发布的 Exchange 客户端访问服务器上，在 Exchange 客户端访问服务器上颁发服务器证书的 CA 的 CA 根证书必须安装在 ISA Server 计算机上。
内部发布详细信息	内部站点名称	键入 Exchange 客户端访问服务器的内部 FQDN。例如，键入 exchfe.corp.contoso.com。
指定服务器场	选择要发布的 Exchange 服务器场	选择您先前创建的服务器场的名称。例如，选择“Exchange 前端服务器”。
公共名称细节	接受请求公共名称	此域名（在下方键入）键入您希望 ISA Server 接受连接的域名。例如，键入 mail.contoso.com。
选择 Web 侦听器	Web 侦听器	选择您先前创建的 Web 侦听器。例如，选择“Exchange OWA”。
身份验证委派	选择 ISA 服务器对发布的 Web 服务器进行身份验证时使用的方法	对于 Outlook Web Access，选择“基本身份验证”。对于 Exchange ActiveSync，选择“基本身份验证”。
用户集	此规则应用于来自下列用户集的请求	选择经批准可以访问此规则的用户集。
完成“新建 Exchange 发布规则向导”	完成“新建 Exchange 发布向导”	查看设置，然后单击“上一步”进行更改，或单击“完成”完成该向导。

注意：

当发布 Outlook Web Access 时，在单击“完成”后查看“剩余的 Exchange 发布任务”对话框，然后单击“确定”。

单击详细信息窗格中的“应用”按钮以保存更改并更新配置。

注意：

为每个想要发布的访问方法运行“新建 Exchange 发布规则向导”。确认在客户端访问服务器上配置的身份验证方法与发布规则中的身份验证委派相匹配。

SSL 桥接

ISA Server 终止或启动 SSL 连接时会使用 SSL 桥接。在 ISA Server 2006 中，当将指定的 Web 侦听器配置为侦听 HTTPS 通信时，系统会自动配置 SSL 桥接。

具体来说，SSL 桥接适用于以下情况：

•	客户端请求 SSL 对象。ISA Server 首先解密请求，然后再将其加密并转发给 Web 服务器。Web 服务器将该加密的对象返回给 ISA Server。ISA Server 解密该对象，然后再将其加密并发送给客户端。SSL 请求会以 SSL 请求转发。
•	客户端请求 SSL 对象。ISA Server 解密请求，并在不加密的情况下将其转发给 Web 服务器。Web 服务器将 HTTP 对象返回给 ISA Server。ISA Server 解密该对象，并将其发送给客户端。SSL 请求以 HTTP 请求转发。

对于传入 Web 请求，外部客户端会使用 HTTPS 从内部网络中的 Web 服务器上请求对象。客户端将通过在 Web 监听器属性中指定的 SSL 端口连接至 ISA Server — 默认情况下，通过端口 443。

接收到客户端请求后，ISA Server 将对请求进行解密，同时终止 SSL 连接。Web 发布规则用于确定 ISA Server 如何将对象的请求传送给发布的 Web 服务器（FTP、HTTP 或 HTTPS）。

如果将安全 Web 发布规则配置为使用 HTTPS 转发请求，那么 ISA Server 将初始化一个与发布服务器的新 SSL 连接，以将请求发送至监听端口（默认情况下，发送到端口 443）。因为 ISA Server 计算机现在为 SSL 客户端，所以要求发布 Web 服务器使用服务器端证书做出响应。

测试 Exchange 发布规则

在本部分中，您将测试刚才创建好的新 Exchange 发布规则。

测试 Outlook Web Access

从 Internet 上的计算机，使用以下过程来测试 Outlook Web Access。

注意：

确保已安装由 mail.contoso.com 证书发行 CA 提供的根 CA。

测试 Outlook Web Access 发布规则

1.	请打开 Microsoft Internet Explorer。
2.	浏览到 Outlook Web Access 网站，例如 URL https://mail.contoso.com/owa，并输入用于登录的用户证书。

现在可以读取和发送电子邮件。

测试 Exchange ActiveSync

将移动设备配置为使用 Microsoft Exchange ActiveSync 连接到 Exchange 服务器，并确保 ISA Server 和 Exchange ActiveSync 正常工作。有关配置 ActiveSync 的详细信息，请查看制造商的有关您要配置的移动设备的文档。

在您配置移动设备并被提示输入服务器名称字段名时，键入刚刚发布的 Exchange ActiveSync 服务器的名称，例如 https://mail.contoso.com/microsoft-server-activesync。

注意：

您还可以使用 Internet Explorer 来测试 Exchange ActiveSync。打开 Internet Explorer，在“地址”中键入 URL“https://published_server_name/Microsoft-Server-Activesync”，其中“published_server_name”是客户端访问服务器的发布名称（用户用于访问 Outlook Web Access 的名称）。在您验证了自己的身份后，如果您收到一条错误消息：“错误 501/505 – 未实现或不支持”，则表明 ISA Server 和 Exchange ActiveSync 在一起正常工作。

测试 Outlook Anywhere

必须从内部网络上的客户端执行此过程。我们建议将 Outlook 2003 配置为不使用 RPC over HTTP。配置 RPC over HTTP 之前，请先确认 Outlook 可以在内部网络上正常工作。

从 Outlook?2003 测试 Outlook Anywhere

请在 Outlook 2003 中更改以下帐户设置：

1.	在 Outlook 2003 的“工具”菜单中，选择“电子邮件帐户”。
2.	选择“查看或更改现有电子邮件帐户”，然后单击“下一步”。
3.	选择 Microsoft Exchange 帐户并单击“更改”。
4.	单击“其他设置”。
5.	如果您收到来自 Outlook 表明其无法连接至 Exchange 的错误，请单击“取消”并继续步骤 H。
6.	单击“连接”选项卡，选择“使用 HTTP 连接至我的 Exchange 邮箱”，然后单击“Exchange 代理设置”。
7.	在“连接设置”中的“使用此 URL 连接至我的 Exchange 代理服务器”中键入 mail.contoso.com。
8.	选择“与 SSL 连接时相互验证会话”，并在“代理服务器的主要名称”中键入 msstd:mail.contoso.com。
9.	为“代理身份验证设置”选择“NTLM 身份验证”。
10.	单击“确定”关闭“Exchange 代理设置”对话框。
11.	单击“确定”关闭“Microsoft Exchange Server”对话框。

单击“下一步”，然后单击“完成”关闭“电子邮件帐户”对话框。

重新启动 Outlook。

注意：

要让 RPC over HTTP 无论用户是否在办公室中均可正常运行，则当用户在办公室并已连接至 Internet 时，FQDN mail.contoso.com 必须能解析外部地址。

返回页首

附录 A：其他的发布功能

本部分中将讨论下列附加功能，您可以配置这些功能来简化部署：

•	HTTP 到 HTTPS 的重定向
•	密码管理
•	附件拦截

HTTP 到 HTTPS 的重定向

发布网站时，我们建议用户在其与 ISA Server 计算机之间打开一个 HTTPS 连接，以保护通过 Internet 传输的敏感信息。这需要用户输入诸如 https://mail.contoso.com/owa 之类的 URL。如果用户仅输入 http://mail.contoso.com/owa，则会收到下列错误消息。

即使在登录到安全网站时，用户都倾向于不输入 URL 的 HTTPS 部分。网络管理员已将他们的网站编成脚本，使用户即使在输入 HTTP 时也能重定向到 HTTPS 页面，从而加强了上述行为。当用户尝试打开 URL 但又无法打开时，启用此功能可减少用户呼叫帮助台的次数。

要启用 HTTP 到 HTTPS 的重定向，请执行以下过程。

启用 HTTP 到 HTTPS 的重定向

在“ISA 服务器管理”的控制台树中，单击“防火墙策略”：

•	对于 ISA Server?2006 Standard Edition，依次展开“Microsoft Internet Security and Acceleration Server?2006”及“Server_Name”，然后单击“防火墙策略”。
•	对于 ISA Server?2006 Enterprise Edition，依次展开“Microsoft Internet Security and Acceleration Server?2006”、“阵列”及“Array_Name”，然后单击“防火墙策略”。

在“工具箱”选项卡中，单击“网络对象”，展开“Web 侦听器”，右键单击“Web 侦听器”，然后选择“属性”。

选择“连接”选项卡。

选择“在此端口上启用 HTTP”，然后确认 HTTP 的侦听端口为 80。

确认已选择“在此端口上启用 SSL (HTTPS) 连接”，并且正在 443 端口上侦听。

选择“将所有通信从 HTTP 重定向到 HTTPS”。

单击“确定”关闭 Web 侦听器的属性。

单击详细信息窗格中的“应用”按钮以保存更改并更新配置。

密码管理

要求您的用户定期更改他们的密码是一种良好的安全策略。经常离开办公室的用户，需要有一种可在他们离开办公室时更改自己密码的方法。

使用基于表单的身份验证时，您可以通知用户其密码将在指定的天数后过期，以便让用户更改密码，以防过期。用户还能够更改已过期的密码。

启用基于表单的身份验证的更改密码功能

在“ISA 服务器管理”的控制台树中，单击“防火墙策略”：

•	对于 ISA Server?2006 Standard Edition，依次展开“Microsoft Internet Security and Acceleration Server?2006”及“Server_Name”，然后单击“防火墙策略”。
•	对于 ISA Server?2006 Enterprise Edition，依次展开“Microsoft Internet Security and Acceleration Server?2006”、“阵列”及“Array_Name”，然后单击“防火墙策略”。

在“工具箱”选项卡中，单击“网络对象”，展开“Web 侦听器”，右键单击所需的 Web 侦听器，然后选择“属性”。

选择“表单”选项卡。

选择“允许用户更改其密码”和“提醒用户其密码将在下列天数内到期”。默认天数为 15。

单击“确定”关闭 Web 侦听器的属性。

单击详细信息窗格中的“应用”按钮以保存更改并更新配置。

用户现在将看到以下登录屏幕。请注意“在登录后更改我的密码”选项。

要在使用 LDAP 身份验证时配置“更改密码”选项，则需要对 LDAP 进行下列设置：

•	必须通过安全连接与 LDAP 服务器相连。这要求在 Active Directory 服务器上安装 SSL 证书。有关启用“通过 SSL 的 LDAP”的详细信息，请参阅 Microsoft 支持网站上的“How to Enable LDAP over SSL with a third party certification authority”（英文）。
•	ISA Server 计算机需要将发行 SSL 证书的 CA 根证书安装到 Active Directory 服务器。
•	无法通过全局编录连接至 LDAP 服务器。
•	要求用户名和密码，以用来验证用户帐户状态及更改密码。

附件拦截

Exchange Server?2007 中不支持 ISA Server?2006 附件拦截。如果您在使用 Exchange Server?2007 并希望拦截附件，则需要在 Exchange?2007 服务器上配置附件拦截。有关在 Exchange Server?2007 上配置附件拦截的详细信息，请参阅 Exchange Server?2007 产品帮助。

返回页首

附录 B：故障排除

本部分提供故障排除信息。

ISA Server 最佳实践分析程序

要确定服务器的整体运行状况及诊断常见的配置错误，请下载并运行位于 Microsoft 下载中心的 Microsoft ISA Server 最佳实践分析程序工具。

删除了“用户离开站点时注销”功能

“用户离开站点时注销”设置已从 ISA Server?2006 中删除。用户应始终使用“注销”按钮才能从 Outlook Web Access 中正常注销。

Windows Mobile 用户收到错误 401：未授权

当 Microsoft Windows Mobile? 用户尝试访问已发布的 Outlook Web Access 或使用“新建 Exchange 发布规则向导”发布的 Windows Mobile 网站时，用户会收到错误 401，而非 Exchange 登录表单。

导致出现此错误的原因是在 Exchange HTML 表单集目录中丢失了访问 Windows Mobile 所需的 HTML 表单目录。

解决方案是在 %programfiles%\Microsoft ISA Server\CookieAuthTemplate\Exchange 文件夹中手动创建 cHTML 和 xHTML 这两个目录。然后将 %programfiles%\Microsoft ISA Server\CookieAuthTemplate\Exchange\HTML 文件夹的内容复制到 cHTML 和 xHTML 文件夹中。重新启动防火墙服务以使更改生效。

用户收到错误消息“访问被拒绝”

当用户尝试连接已发布的 Outlook Web Access 站点，但未在 URL（如 https://mail.contoso.com）末尾添加 /owa 后缀时，会收到错误消息“访问被拒绝”，而非基于表单的身份验证登录屏幕。此错误排除起来很困难，因为 ISA Server 正在如预期那样工作。

解决此错误的方法是利用“拒绝”操作发布 Exchange 前端服务器的根目录，然后将用户重定向到正确的 URL，如 https://mail.contoso.com/owa。

执行以下过程将用户自动重定向至正确的 Outlook Web Access URL。

创建 Exchange Web 客户端访问发布规则

在“ISA 服务器管理”的控制台树中，单击“防火墙策略”：

•	对于 ISA Server?2006 Standard Edition，依次展开“Microsoft Internet Security and Acceleration Server?2006”及“Server_Name”，然后单击“防火墙策略”。
•	对于 ISA Server?2006 Enterprise Edition，依次展开“Microsoft Internet Security and Acceleration Server?2006”、“阵列”及“Array_Name”，然后单击“防火墙策略”。

在“任务”选项卡中，单击“发布网站”。如下表所示使用向导创建规则。


页面	字段或属性	设置
欢迎使用	Web 发布规则名称	键入规则的名称，如 Exchange Redirect。
请选择规则操作	在符合规则条件时采取的操作	选择“拒绝”。
发布类型	选择此规则是发布单一网站或外部负载平衡器、Web 服务器场还是多个网站	选择“发布单一网站或负载平衡器”。
服务器连接安全性	选择 ISA 服务器将与发布的 Web 服务器或服务器场建立的连接类型。	选择“使用 SSL 连接到发布的 Web 服务器或服务器场”。注意：服务器证书必须安装在发布的 Exchange 客户端访问服务器上，根 CA 证书必须安装在 ISA Server 计算机上。
内部发布详细信息	内部站点名称	键入 Exchange 前端服务器的内部 FQDN。例如：exchfe.corp.contoso.com。要点：内部站点名称必须与安装在内部 Exchange 客户端访问服务器上的服务器证书的名称一致。注意：如果无法正确解析内部站点名称，则可以选择“使用计算机名称或 IP 地址连接到发布的服务器”，然后键入所需的 IP 地址或可由 ISA Server 计算机解析的名称。
内部发布详细信息	路径（可选）	在“路径”字段中键入 /。
公共名称细节	接受请求公共名称	此域名（在下方键入）键入您希望 ISA Server 接受连接的域名。例如，键入 mail.contoso.com。
选择 Web 侦听器	Web 侦听器	选择您先前创建的 Web 侦听器，如 Exchange FBA。
身份验证委派	选择 ISA 服务器对发布的 Web 服务器进行身份验证时使用的方法	选择“基本身份验证”。
用户集	此规则应用于来自下列用户集的请求	选择经批准可以访问此规则的用户集。该用户集应该与您在 Exchange 发布规则中所使用的用户集相同。
完成新建 Web 发布规则向导	完成新建 Web 发布向导	查看所选设置，然后单击“上一步”进行更改，或者单击“完成”完成该向导。

右键单击您刚刚创建的规则，然后单击“属性”。

依�