随 ISA Server 2006 发布 Exchange Server 2007
Microsoft? Internet Security and Acceleration (ISA) Server?2006 和 Microsoft Exchange Server?2007 设计用于在您的网络中密切配合以提供安全的消息传递环境。此文档说明如何发布那些运行 Exchange?2007 的计算机来收发 Internet 电子邮件消息并允许客户端从 Internet 访问他们的邮箱(本文还包含指向英文网页的链接)。
注意:此文档适用于 Exchange Server?2007。此文档未涵盖 Exchange Server?2003、Exchange?2000 Server 或 Exchange Server 版本 5.5。有关发布 Exchange?2003 的信息,请参阅 Microsoft TechNet 网站上的“Publishing Exchange Server?2003 with ISA Server?2006”。
ISA Server?2006 是用来保护您的关键任务应用程序免受基于 Internet 威胁的安全网关。ISA Server 可以使贵公司在安全访问 Microsoft 应用程序和数据方面获益多多。通过利用状态数据包检查、应用层过滤以及所有的发布工具对企业所有网络层的应用程序、服务和数据进行保护,进而保障 Microsoft 应用程序基础结构的安全性。通过统一的防火墙和虚拟专用网络 (VPN) 体系结构,使网络得到优化,并且会简化管理员和用户的体验。保障信息技术环境以降低安全风险和成本,并且帮助消除恶意软件和攻击者对贵公司造成的影响。
Exchange?2007 是运行于服务器之上的最新 Microsoft 消息传送和协作服务器软件产品。使用 Exchange?2007,您可以通过计算机网络收发电子邮件和其他形式的交互通信。Exchange?2007 设计用于与软件客户端应用程序(如,Microsoft Office Outlook?)进行交互操作,还可以与 Outlook Express 及其他电子邮件客户端应用程序进行交互操作。电子邮件消息通过通常称为客户端设备的工具进行收发,例如,个人计算机、工作站或移动设备(包括移动电话或 Pocket PC)。客户端通常连接到由存储电子邮件邮箱的服务器或大型机组成的集中化计算机系统的网络中。集中化电子邮件服务器连接到 Internet 和专用网络,其中电子邮件消息从其他电子邮件用户处进行收发。Exchange?2007 还使得企业可以收发 Internet 电子邮件消息。
目录
附录 C:通过 ISA Server 配置 Exchange ActiveSync 基于证书的身份验证
附录 D:为 Outlook Web Access 配置基本和协商身份验证委派
Exchange 2007 服务器角色
在之前版本的 Microsoft Exchange?Server 中,对安装或不安装哪些功能,管理员的选择余地有限。例如,在 Exchange Server?2003 和 Exchange?2000?Server 中,安装过程会安装所有功能,而不考虑管理员计划使用哪些功能。此行为需要管理员来关闭或禁用不需要的功能。
因为组织往往会围绕一组核心服务器角色对他们的管理任务进行分组,Exchange Server?2007 将 Exchange?Server 管理映射到这一更加自然的做事方式上。Exchange?2007 中的系统管理从根本上说从部署和管理服务器的管理体验转换到侧重于服务器角色。
有关 Exchange?2007 的详细信息,请参阅 Microsoft Exchange Server?2007 网站。
有关 Exchange?2007 系统要求的详细信息,请参阅 Microsoft TechNet 网站上的“Exchange?2007 System Requirements”。
服务器角色概述
服务器角色是一个单元,其对需要在消息传送环境中执行特定功能的所需功能和组件进行分组。对服务器角色的要求是,它是一个可作为可伸缩性的基本单元来运行的服务器。服务器角色由一组功能组成。
服务器角色(部署的主要单元)使管理员可以轻松选择在 Exchange 服务器上安装哪些功能。服务器角色中的逻辑分组功能具备以下优点:
| • | 减少 Exchange 服务器上的攻击面。 |
| • | 允许您按照计划使用 Exchange 服务器的方式来安装并配置它。 |
| • | 提供一种简单的安装和完全自定义服务器的能力以支持您的业务目标和需要。 |
Exchange?Server?2007 包括以下服务器角色:
| 服务器角色 | 描述 |
邮箱服务器 | 这是一个可以宿主邮箱和公共文件夹的后端服务器。 |
客户端访问服务器 | 客户端访问服务器角色支持 Microsoft Outlook?Web?Access 和 Microsoft?Exchange ActiveSync? 客户端应用程序,以及邮局协议版本?3 (POP3) 和 Internet 消息访问协议版本?4rev1 (IMAP4) 协议。客户端访问服务器角色还支持服务,例如 Autodiscover 服务和 Web 服务。 |
统一消息服务器 | 这是将专用交换分机 (PBX) 系统连接到 Exchange?2007 的中间层服务器。 |
中心传输服务器 | 这是路由 Exchange 组织内的邮件的邮件路由服务器。 |
边缘传输服务器 | 这是邮件路由服务器,其通常位于拓扑的外围并路由进出 Exchange 组织的邮件。 |
有关 Exchange?2007 服务器角色的详细信息,请参阅 Microsoft TechNet 网站上的“Server Roles”。
接收和发送 Internet 电子邮件消息
以下各部分讨论如何配置 ISA Server 使您可以接收和发送简单邮件传输协议 (SMTP) 电子邮件消息。
接收 Internet 电子邮件消息
本部分描述如何配置 ISA Server 以允许 Internet 电子邮件消息通过 ISA Server 计算机到达您的 Exchange?2007 服务器或 SMTP 服务器。要通过 ISA Server 计算机接收 Internet 电子邮件,需要发布您的 SMTP 邮件服务器。当发布邮件服务器时,允许直接建立到 SMTP 服务器的来自 Internet 的 TCP 端口 25 上的 SMTP 通信。通常,在 Exchange?2007 组织中配置一个 Exchange?2007 服务器,以发送和接收来自 Internet 的 SMTP 连接。这通常是配置为中心传输服务器或边缘传输服务器的 Exchange?2007 服务器。中心传输服务器和边缘传输服务器不会宿主 Exchange 信息存储数据库。中心传输服务器和边缘传输服务器接受传入的电子邮件消息并将此电子邮件消息转发给合适的服务器进行处理。
发布 SMTP 服务器的要求
当 Internet 上的某个人希望发送电子邮件消息给贵公司的雇员,发件人所要具有的只是雇员的电子邮件地址,例如 mberg@contoso.com。当电子邮件消息发送到 mberg@contoso.com 后,发件人的电子邮件程序或电子邮件服务器需要找到向哪里发送请求的域的消息,本例中为 contoso.com。此过程通过查询 contoso.com 的邮件交换 (MX) 记录的域名系统 (DNS) 来完成。MX 记录是 DNS 中的一种特殊资源记录类型,用来为域指定接受传入的电子邮件消息的服务器的主机记录。要接收来自 Internet 的电子邮件消息,域应该至少具有一条 MX 记录,但可能需要具有多条 MX 记录来提供容错。DNS 服务器将为域返回所有列出的 MX 记录,电子邮件客户端将尝试使用列出的 MX 记录以最佳顺序来建立 SMTP 连接。MX 记录指向 A 记录,该记录指向 SMTP 服务器的 IP 地址。
发布 SMTP 服务器之前必须满足以下要求:
| • | 创建一个 A 记录,将 A 记录指向 ISA Server 计算机的外部 IP 地址。 |
| • | 创建指向 A 记录的 MX 记录。 |
注意下列事项:
| • | 需要在公共 DNS 服务器上创建这些记录。 |
| • | 如果要更改现有 DNS 记录,则根据 DNS 记录的生存时间设置,更改在 Internet 间传播可能需要一些时间。确保为这些更改在测试前生效留足时间。 |
要点:如果正在运行 ISA Server Enterprise Edition 并启用了网络负载平衡 (NLB) 集成,则应该使用专门针对每个阵列成员的 IP 地址来为每个阵列成员创建 MX 记录,而不使用 NLB 群集的虚拟 IP 地址。如果使用虚拟 IP 地址作为 MX 记录,则可以接收电子邮件消息。不过,发送到正在对发送 SMTP 服务器执行各种检查(例如域上的反向 DNS 查找)的服务器的电子邮件消息将被拒绝。有关详细信息,请参阅利用 ISA Server 进行常见的电子邮件验证检查和发送 Internet 电子邮件消息部分。
开始之前
运行“新建邮件服务器发布规则向导”之前,请使用以下工作表来收集信息。
| 项目 | 描述或值 | ||||||
访问类型 | 选择所有适用的项目:
| ||||||
SMTP 服务器的内部 IP 地址(邮件服务器 IP 地址) | IP 地址:___.___.___.___ | ||||||
ISA Server 将侦听的外部 IP 地址 | IP 地址:___.___.___.___ 要点:此地址需要与 MX 记录解析到的地址匹配。 | ||||||
公共 DNS 是否已正确配置? A 记录是否已配置? MX 记录是否已配置? | 选择: 是或否 是或否 是或否 | ||||||
发布邮件服务器以接收 Internet 电子邮件消息
在本部分,您将运行“新建邮件服务器发布规则向导”以发布 SMTP 邮件服务器。执行以下步骤来发布 SMTP 邮件服务器。
发布邮件服务器
1. | 在“ISA 服务器管理”的控制台树中,单击“防火墙策略”:
| |||||||||||||||||||||||||||
2. | 在“任务”选项卡上,单击“发布邮件服务器”。如下表所示使用向导创建规则。
| |||||||||||||||||||||||||||
3. | 单击详细信息窗格中的“应用”按钮以保存更改并更新配置。 | |||||||||||||||||||||||||||
要点:如果正在发布位于外围网络(也称为第三区域 (DMZ))中的边缘传输服务器,以便为内部 Exchange 服务器接受 SMTP 邮件,您需要打开外围网络中的边缘传输服务器到内部网络上的 Exchange 服务器之间的 TCP 端口?25。
测试入站 SMTP 通信
Internet 上的邮件服务器现在可以在 TCP 端口?25 上连接到入站 SMTP 服务器以发送电子邮件消息给贵组织。您应该测试此连接是否正常工作。有多种方式可测试入站 SMTP 通信是否到达。最简单的方式为从 Internet 向您的域发送测试电子邮件消息。
有关测试 SMTP 通信的其他信息,请参阅 Microsoft 支持网站上的“XFOR: Telnet to Port?25 to Test SMTP Communication”。
发送 Internet 电子邮件消息
配置入站 Internet 电子邮件后,下一步是配置通过 ISA Server 从贵组织发送到 Internet 的出站电子邮件消息通信。通常配置一个 Exchange?2007 服务器来通过 SMTP 协议向 Internet 发送电子邮件消息。这通常为已安装中心传输或边缘传输服务器角色的 Exchange?2007 服务器。在此,中心传输或边缘传输服务器接受来自贵组织中其他 Exchange 服务器的 SMTP 请求,并将请求转发给 Internet 上合适的邮件服务器。中心传输或边缘传输服务器需要能够创建到 Internet 上的邮件服务器的 SMTP 会话。此外,中心传输或边缘传输服务器还必须能够执行 DNS 查询以便为将向其发送电子邮件消息的域查找 MX 记录。
以下各部分说明了如何创建出站 SMTP 访问规则。
确认 SMTP 服务器可以查询 DNS
当 SMTP 服务器具有要传送的电子邮件消息时,其必须解析收件人域的 MX 记录以及对应的 A 记录。此解析通过 DNS 查询来完成。
第一步先确认 SMTP 服务器可以执行 DNS 查询。如果 SMTP 服务器不能执行 DNS 查询,它将不会发送 Internet 电子邮件消息。这些消息累积在 SMTP 服务器的队列中,且最终传送将失败。
执行以下步骤来确认 SMTP 服务器可以执行 DNS 查询。
从命令提示符处查询域的 MX 记录
1. | 打开“命令提示符”窗口。 |
2. | 键入 nslookup,然后按 ENTER。 |
3. | 键入 set q=mx,然后按 ENTER。 这将设置一个过滤器以便仅收集 MX 记录和相关信息。 |
4. | 键入以下内容:domain_name.com,其中 domain_name 是希望为其获得 DNS 记录的域,例如,microsoft.com 或 msn.com。随后会显示类似如下的输出: Server:[157.178.72.30] Address:157.178.72.30 microsoft.com MX preference = 10, mail exchanger = mail1.microsoft.com microsoft.com MX preference = 10, mail exchanger = mail2.microsoft.com microsoft.com MX preference = 10, mail exchanger = mail3.microsoft.com microsoft.com MX preference = 10, mail exchanger = mail4.microsoft.com microsoft.com MX preference = 10, mail exchanger = mail5.microsoft.com mail1.microsoft.com internet address = 131.107.3.125 mail2.microsoft.com internet address = 131.107.3.124 mail3.microsoft.com internet address = 131.107.3.123 mail4.microsoft.com internet address = 131.107.3.122 mail5.microsoft.com internet address = 131.107.3.121 |
如果 SMTP 服务器无法查询 DNS,请检查服务器的 TCP/IP 设置。如果服务器配置为使用公共 DNS 服务器,则检查是否具有允许 DNS 通信从 SMTP 服务器连接到 Internet 的访问规则。
为 SMTP 服务器创建计算机对象
在本部分中,将为 SMTP 服务器创建一个计算机对象。此对象将在创建访问规则时使用,使您可以限制对所创建的计算机对象的出站 SMTP 访问。如果具有多个需要向 Internet 发送 SMTP 消息的 SMTP 服务器,请执行以下操作:
| • | 为您的所有 SMTP 计算机对象创建计算机设置,而不是仅创建一个计算机对象。 |
执行下列过程以创建计算机对象。
创建计算机对象
1. | 在“ISA 服务器管理”的控制台树中,单击“防火墙策略”:
| ||||
2. | 在“工具箱”选项卡上,依次单击“网络对象”和“新建”,然后选择“计算机”。 | ||||
3. | 在“名称”字段中,键入计算机对象的名称,如 SMTP Server,在“计算机 IP 地址”字段中,键入计算机 IP 地址。如果不知道 IP 地址,可以使用“浏览”按钮。 |
创建出站 SMTP 访问规则
执行下列过程来创建出站 SMTP 访问规则。
创建出站 SMTP 访问规则
1. | 在“ISA 服务器管理”的控制台树中,单击“防火墙策略”:
| |||||||||||||||||||||||||||
2. | 在“任务”选项卡中,单击“创建访问规则”。如下表所示使用向导创建规则。
| |||||||||||||||||||||||||||
3. | 单击详细信息窗格中的“应用”按钮以保存更改并更新配置。要应用该规则可能需要花几分钟时间。 注意:请记住由于访问规则被排序,因此如果一个与 SMTP 访问请求相匹配的拒绝规则在此允许规则之前,则访问将受到拒绝。 | |||||||||||||||||||||||||||
4. | 向 Internet 上的用户发送测试电子邮件消息,然后确认该用户收到了测试电子邮件消息。 | |||||||||||||||||||||||||||
利用 ISA Server 进行常见的电子邮件验证检查和发送 Internet 电子邮件消息
要减少公司收到的垃圾邮件的数量,一些管理员会配置其 SMTP 服务器以验证在电子邮件发送过程的不同阶段中收到的不同信息量。如果 SMTP 服务器无法正确验证在 SMTP 服务器上配置的信息,则电子邮件消息将被拒绝。由于验证什么信息和如何验证信息是由接收 SMTP 服务器的管理员决定的,因此难以解决为什么一个电子邮件消息被一家公司拒绝却可以被其他公司接受。通常,被拒绝的电子邮件消息将显示该消息被拒绝的原因。该消息被拒绝的原因可以包含在被拒绝的消息主体中,或者包含在电子邮件消息的 Internet 标头中。
尝试向另一 SMTP 服务器发送电子邮件消息时,发送 SMTP 服务器会发送以下信息:
| • | SMTP 服务器的公共 IP 地址。这是 IP 数据包的源 IP 地址。 |
| • | HELO/EHLO 主机名。 |
| • | 发送方的域。 |
以下部分介绍由接收 SMTP 服务器验证的一些更常见的信息。
注意:这些电子邮件验证检查不会影响由 Internet 邮件服务器发送到您所在域的电子邮件消息。
指针记录验证
DNS 指针 (PTR) 记录用来将 IP 地址映射为一个主机名或多个主机名,这取决于正在使用的 DNS 的版本。接收 SMTP 服务器将对发送 SMTP 服务器的 IP 地址执行反向 DNS 查找。如果 PTR 记录已经配置,则主机名将作为所请求的信息被发送回来。然后,SMTP 服务器会对主机名执行正向查找。如果发送 SMTP 服务器的 IP 地址与正向查找的 IP 地址相匹配,则电子邮件消息被认为是来自有效的 SMTP 服务器,并且该电子邮件消息被允许。如果这两个 IP 地址不匹配或没有 PTR 记录,则该电子邮件消息被拒绝。
要解决这种情况,请确认您为 ISA Server 计算机外部网络适配器正确配置了主 IP 地址的 PTR 记录。应用网络地址转换 (NAT) 时,ISA Server 会使用从 ISA Server 计算机发送时通信所用的网络适配器的主 IP 地址。这个 IP 地址可能与发布您的邮件服务器时所用的 IP 地址不同。
要点:如果您不控制自己的公共 DNS 记录,请联系您的 Internet 服务提供商 (ISP) 以添加相应的 PTR 记录。
注意下列事项:
| • | 如果运行 ISA Server Enterprise Edition 且具有启用 NIB 的阵列,则您需要为每个阵列成员创建外部 IP 地址的 PTR 记录。 |
| • | 要检查您是否正确配置了 PTR 记录,请访问下列网站:http://www.dnsstuff.com 或 http://www.dnsreport.com。 |
HELO/EHLO 主机名验证
HELO/EHLO 是必需的 SMTP 命令,该命令用来启动从一个 SMTP 服务器到另一 SMTP 服务器的电子邮件消息的传送。HELO 命令用来以主机名的形式向接收 SMTP 服务器确定发送 SMTP 服务器。该主机名应是可以在 Internet 上解析的完全限定域名 (FQDN)。
一些 SMTP 服务器用 HELO 命令验证主机名。接收 SMTP 服务器会对用 HELO 命令收到的主机名执行正向查找。如果收回的 IP 地址与发送 SMTP 服务器的 IP 地址相匹配,则电子邮件消息被允许。但是,如果 IP 地址不匹配或未返回该主机名的地址,则电子邮件消息被拒绝。
要解决这种情况,请确认下列信息:
| • | 在您的 SMTP 服务器上正确配置了 HELO/EHLO 命令。该主机名应是在 Internet 上可解析的 FQDN。有关 HELO 命令的详细信息,请参阅 Exchange Sever 产品文档。 |
| • | 该主机名会解析为外部网络适配器的主 IP 地址。应用网络地址转换 (NAT) 时,ISA Server 会使用从 ISA Server 计算机发送时通信所用的网络适配器的主 IP 地址。这个 IP 地址可能与发布您的邮件服务器时所用的 IP 地址不同。 要点:如果您不控制自己的公共 DNS 记录,请联系您的 ISP 以添加相应的主机记录。 |
注意下列事项:
| • | 如果运行 ISA Server Enterprise Edition 且具有启用 NIB 的阵列,则您需要创建解析为每个阵列成员的主 IP 地址的主机记录。 |
| • | 要检查您是否正确配置了主机名记录,请访问下列网站:http://www.dnsstuff.com 或 http://www.dnsreport.com。 |
域 MX 记录验证
一些接收 SMTP 服务器尝试将发送电子邮件消息的 IP 地址与发送方域的 MX 记录相匹配。在这种情况下,接收 SMTP 服务器会查询发送方域的 MX 记录的 DNS。在主机名中执行正向查找,并且接收 SMTP 服务器尝试将发送 SMTP 服务器的 IP 地址与来自 MX 记录的 IP 地址相匹配。如果两者相符,则电子邮件消息被允许。但是,如果找不到相符之处,则电子邮件消息被拒绝。
要解决这种情况,请确保您用来发布邮件服务器的地址是外部网络适配器的主 IP 地址。
要点:如果在 ISA Server 计算机中有多个 SMTP 服务器,则利用外部网络适配器的主 IP 地址只能发布一个 SMTP 服务器。在这种情况下,要安装一个 SMTP 网关,该网关将处理 SMTP 服务器的所有 SMTP 通信。您需要配置下列内容:
| • | 配置 SMTP 网关为您所有的域接受电子邮件消息,并且将 SMTP 消息正确路由到相应的内部 Exchange 服务器。 |
| • | 配置 SMTP 网关以接受来自内部 SMTP 服务器的 SMTP 消息。 |
| • | 配置您现有的 SMTP 服务器以将 SMTP 电子邮件消息发送到新的 SMTP 网关。 |
您可以将 Exchange 边缘传输服务器或 SMTP 服务与 Internet 信息服务 (IIS) 配合使用作为您的 SMTP 网关。有关配置信息,请参阅 Exchange 或 IIS 产品文档。
其他操作
如果不能进行建议的更改,或者如果不能确定电子邮件消息被拒绝的原因,您可以向正在尝试将电子邮件消息发送所至公司的电子邮件管理员打电话。询问他们正在使用的应用程序是否具有安全的发送方/接收方列表,并要求将您的域添加到此列表。在您的域或 SMTP 服务器的 IP 地址已经添加到安全列表后,从您的 SMTP 服务器发送的电子邮件消息将被接受。
客户端访问
许多公司需要员工不在办公室时可以访问其邮箱。通过确保员工可以从客户驻地、旅馆、机场或住宅,使用所有及时的方式答复重要的电子邮件消息、查看日历、更新联系人并向其经理发送更新,这种访问会为公司提供具有竞争力的业务优势。而且,公司使用这个功能可以为员工提供灵活的工作安排。
下表列出了针对 Exchange?2007 由 ISA Server?2006 支持的客户端访问方法以及为每个方法配置的路径。
| 访问方法 | 路径 |
Outlook Web Access | /owa/* /public/* /exchange/* /Exchweb/* |
Outlook Anywhere(RPC over HTTP 或 HTTPS) | /rpc/* |
Outlook Anywhere(RPC over HTTP 或 HTTPS)和针对 Outlook?2007 所选客户端在 Exchange Server 上的发布附件文件夹 | /unifiedmessaging/* /rpc/* /OAB/* /ews/* /AutoDiscover/* |
Exchange ActiveSync | /Microsoft-Server-ActiveSync/* |
注意:Outlook Mobile Access 不适用于 Exchange?2007。
要点:发布 Exchange?2007 时,您需要为每个访问方法单独运行“新建 Exchange 发布规则向导”。您可以对每个规则使用相同的 Web 侦听器。但是,运行“新建 Exchange 发布规则向导”时,如果选择 Exchange Server?2007 作为 Exchange 版本,则一次只能发布一个访问方法。
注意:如果您正在使用不同的路径,需要在发布规则中修改默认路径。
此文档说明如何利用 ISA Server?2006 发布 Exchange 客户端访问。从外部客户端到 ISA Server 计算机以及从 ISA Server 计算机到已发布服务器之间的通信使用安全套接字层 (SSL) 进行加密。
通过利用 ISA Server?2006 发布 Exchange 客户端访问,您会具有下列安全优势:
| • | 当通过 ISA Server 发布应用程序时,可以保护服务器免于直接的外部访问,因为用户无法访问该服务器的名称和 IP 地址。用户访问 ISA Server 计算机,然后该计算机根据服务器发布规则条件将该请求转发给服务器。 |
| • | SSL 桥接可以防止隐藏于 SSL 加密连接中的攻击。对于启用 SSL 的 Web 应用程序,在 ISA Server 收到客户端请求后,会对请求进行解密并检查,然后终止与客户端计算机的 SSL 连接。Web 发布规则决定着 ISA Server 如何将对象的请求传送给发布的 Web 服务器。如果将安全 Web 发布规则配置为使用安全 HTTP (HTTPS) 转发请求,那么 ISA Server 将初始化一个与已发布服务器的新 SSL 连接。因为 ISA Server 计算机现在为 SSL 客户端,所以要求发布的 Web 服务器使用服务器端证书做出响应。 注意:对于在发布的 Web 服务器上发行了服务器证书的 CA,该根证书颁发机构 (CA) 证书需要安装在 ISA Server 计算机上。 |
| • | 您可以为受支持的应用程序配置基于表单的身份验证。使用基于表单的身份验证,您可以强制执行必需的身份验证方法,启用两个因素的身份验证,控制电子邮件附件可用性以及提供集中式日志记录。有关身份验证的详细信息,请参阅 Microsoft TechNet 网站的“Authentication in ISA Server?2006”。 |
ISA Server?2006 还在以下方面克服了使用客户端访问 VPN 连接的难题:
| • | 通过 Web 浏览器访问发布的应用程序。 |
| • | 与远程访问 VPN 相比,由于使用 SSL,应用程序更容易获取和访问。用户可以从使用 NAT 的连接和在另外情况下可能是阻塞远程访问 VPN 连接的其他联网设备来访问防火墙后面的已发布应用程序。 |
| • | 由于使用 SSL,重新连接的过程更加轻松和快捷。如果您与 Internet 的连接断开,无需再使用远程访问 VPN 拨号器重新连接。重新连接 Internet 接入口后,您可以返回到发布的应用程序。 |
| • | 不在办公室的合作伙伴、供应商和员工可以通过安全的方式轻松访问所需的信息。 |
发布 Exchange Web 客户端访问
以下各部分提供了发布 Exchange Web 客户端访问所必需的步骤。各过程对在生产环境中部署 ISA Server 进行了描述。我们建议您在生产环境中部署 ISA Server 之前先在非生产测试环境中对其进行全面测试。
网络拓扑
若要部署此解决方案,您将需要使用下列计算机,这是对于实验室配置的最低要求:
| • | 要用作 Exchange 客户端访问服务器的计算机 |
| • | 要用作 Exchange 邮箱服务器和集线器传输服务器的计算机 |
| • | 要用作域控制器的计算机 |
| • | 至少一台内部客户端计算机 |
| • | 一台运行 ISA Server?2006 Standard Edition 的服务器或运行 ISA Server?2006 Enterprise Edition 的计算机阵列 要点:有关发布 Exchange Server?2007 所需的修补程序的信息,请参阅 Microsoft 支持网站上的“Update for Publishing Microsoft? Exchange Server?2007 for Internet Security and Acceleration (ISA) Server 2006”。 注意:由一个计算机组成的阵列足以同时运行 ISA Server 服务和配置存储服务器服务。在生产环境中,为提升安全性,建议将配置存储服务器安装在 ISA Server 服务计算机之后。配置存储服务器将存储所有 ISA Server 配置数据,包括管理角色。 |
| • | 至少一台外部客户端计算机或适合的移动设备 |
有关 Exchange?2007 系统要求的信息,请参阅 Exchange?2007 System Requirements。
身份验证
您可以为受支持的应用程序(例如 Outlook Web Access)配置基于表单的身份验证。利用基于表单的身份验证,您可以强制执行必需的身份验证方法、启用双因素身份验证并提供集中式日志记录。您可以发布即使使用以基于表单的身份验证配置的 Web 侦听器也不支持基于表单的身份验证的应用程序。在这种情况下,ISA Server 对不支持基于表单的身份验证的应用程序使用基本身份验证。
有关身份验证的详细信息,请参阅 Microsoft TechNet 网站上的“Authentication in ISA Server?2006”。
注意下列事项:
| • | 如果未限制对经过身份验证的用户的访问(就像某规则允许将访问应用于所有用户的这种情况),则 ISA Server 不会验证用户的凭据。ISA Server 将根据已配置的委派方法来使用用户凭据向 Web 服务器验证身份。 |
| • | 我们建议将每个发布规则应用于所有经过身份验证的用户或特定用户集,而不是选择“需要所有用户在 Web 侦听器上进行身份验证”,因为这需要对通过侦听器进行连接的任何用户都进行身份验证。 |
客户端证书和 Kerberos 约束委派支持
ISA Server?2006 引入了对 Kerberos 约束委派的使用,在 Microsoft TechNet 网站上的“Kerberos 协议转换和受限委派”一文中对其进行了介绍。如果不使用 Kerberos 约束委派,则仅在使用基本身份验证或基于表单的身份验证接收客户端凭据时,ISA Server 才可以委派凭据。在使用 Kerberos 约束委派的情况下,ISA Server 可以接受其他类型的客户端凭据,例如客户端证书。必须在域控制器上启用 ISA Server 才能使用 Kerberos 约束委派(限制为某个特定服务主体名称)。
如果身份验证失败,则 ISA Server 向客户端提供服务器的失败通知。如果服务器需要另一种类型的凭据,则会触发 ISA Server 警报。
LDAP 身份验证
ISA Server?2006 支持轻型目录访问协议 (LDAP) 身份验证。LDAP 身份验证与 Active Directory? 目录服务身份验证类似,只不过 ISA Server 计算机不必是域成员。ISA Server 通过 LDAP 协议连接到已配置的 LDAP 服务器,以验证用户身份。每个 Microsoft Windows? 域控制器同时也是一个 LDAP 服务器,默认情况下,无需进行其他配置更改。使用 LDAP 身份验证,会获得以下益处:
| • | 一个运行 ISA Server?2006 Standard Edition 的服务器或工作组模式下的 ISA Server?2006 Enterprise Edition 阵列成员。当在外围网络中安装 ISA Server 时,无需再打开域成员身份要求的所有端口。 |
| • | 对不存在信任关系的域进行用户身份验证。 |
有关为 LDAP 身份验证配置 ISA Server 的信息,请参阅 Microsoft TechNet 网站上的“安全应用程序发布”。
下表列出了针对 Exchange?2007 最常用和推荐使用的客户端身份验证方法及身份验证委派方法。
| 客户端身份验证方法 | 身份验证确认方法 | 身份验证委派 | 访问方法 |
HTML 基于表单的身份验证 | Windows (Active Directory) LDAP (Active Directory) RADIUS | 基本 协商 (Kerberos/NTLM) | Outlook Web Access(请参阅后面的重要注意事项) Outlook Anywhere Microsoft ActiveSync(仅限于基本身份验证) |
HTML 基于表单的身份验证 | RSA SecurID | RSA SecurID | Outlook Web Access Microsoft ActiveSync(需要在 Exchange 服务器上安装 RSA SecurID 组件) |
SSL 客户端证书身份验证 | Windows (Active Directory) | Kerberos 约束委派 | Outlook Web Access Microsoft ActiveSync |
要点:| • | 如果为身份验证委派选择了“基本”,则下列 Exchange?2007 功能将不会按预期工作:
| ||||
| • | 如果为身份验证委派选择了“协商”,则下列功能将无效: | ||||
| • | 通过旧有文件夹(例如 /public/*、/exchange/* 和 /Exchweb/*)访问驻留在 Exchange?2003 上的邮箱。通过此方法访问这些邮箱需要基本身份验证。 | ||||
| • | 通过旧有文件夹访问用户邮箱的客户端,例如 Microsoft Entourage?2004 for Mac 和使用 WebDAV 扩展的自定义编写的应用程序。这也需要基本身份验证。 某些新 Exchange?2007 功能要求协商身份验证委派并仍提供对要求基本身份验证委派的旧有文件夹的访问,有关如何利用这些功能的信息,请参阅附录 D. 为 Outlook Web Access 配置基本和协商身份验证委派。 |
注意:Outlook Anywhere 和 Outlook Web Access 的某些需要 /ews/* 路径的功能目前只能使用基本身份验证。
本文档假定客户端访问服务器上已接受使用默认的已配置身份验证方法,即基本身份验证。
Exchange 配置要求
本部分描述了要使 ISA Server Web 客户端发布正常工作所需要对 Exchange 配置进行的更改。
确认在 Exchange 客户端访问服务器上未选择基于表单的身份验证
在 Exchange 客户端访问服务器上启用 Outlook Anywhere
确认在 Exchange 客户端访问服务器上未选择基于表单的身份验证
当不使用 ISA Server 发布 Exchange Web 客户端访问时,可以在客户端访问服务器上配置基于表单的身份验证。在使用 ISA Server 发布 Exchange Web 客户端访问时,仅应在 ISA Server 计算机上配置基于表单的身份验证。
执行下面的过程来确认在 Exchange 客户端访问服务器上未选择基于表单的身份验证。
确认在 Exchange 前端服务器上未选择基于表单的身份验证
1. | 启动 Exchange 管理控制台。 |
2. | 在 Exchange 管理控制台中,展开“服务器配置”,然后单击“客户端访问”。 |
3. | 选择您的客户端访问服务器(例如“cas01”),然后在“Outlook Web Access”页面上选择“owa(默认网站)”。  |
4. | 在操作窗格中,单击“owa(默认网站)”下的“属性”。 |
5. | 选择“身份验证”页面,并确认选择了以下选项:“使用下列一个或多个标准身份验证方法”和“基本身份验证(密码以明文形式发送)”。  |
6. | 单击“确定”。 |
7. | 复查“Microsoft Exchange 警告”对话框,然后单击“确定”。为使刚刚做出的更改生效,必须重新启动 Internet 信息服务 (IIS)。有关相关操作说明,请参阅第 9 步。  |
8. | 为下列站点重复第 1 至 6 步:“Exchange(默认网站)”、“Exchweb(默认网站)”和“Public (默认网站)” |
9. | 要重新启动 IIS,请运行以下命令:“iisreset /noforce”。 |
注意:对于您的环境中将用于 Outlook Web Access 的每台 Exchange 客户端访问服务器都执行此过程。
在客户端访问服务器上启用 Outlook Anywhere
如果将向您的用户提供 Outlook Anywhere (RPC over HTTP) 访问,则需要在您的客户端访问服务器上启用 Outlook Anywhere。
若要启用 Outlook Anywhere,必须执行以下过程。
安装 RPC over HTTP Windows 网络组件
1. | 单击“开始”,指向“设置”,然后单击“控制面板”,接着双击“添加/删除程序”。 |
2. | 单击“添加/删除 Windows 组件”。 |
3. | 在“Windows 组件”页面的“组件”窗口中,选择“网络服务”,然后单击“详细信息”按钮。 |
4. | 在“网络服务”页面的“网络服务的子组件”窗口中,选中“RPC over HTTP 代理”旁的复选框,然后单击“确定”。 |
5. | 在“Windows 组件”页面上,单击“下一步”。 |
6. | 单击“完成”,关闭“Windows 组件”向导。 |
在客户端访问服务器上启用 Outlook Anywhere
1. | 启动 Exchange 管理控制台。 |
2. | 在 Exchange 管理控制台中,展开“服务器配置”,然后单击“客户端访问”。 |
3. | 选择您的客户端访问服务器,例如“cas01”。 |
4. | 在操作窗格中,单击刚才所选的服务器名下面的“启用 Outlook Anywhere”。 |
5. | 在“外部主机名”字段中输入客户端将用于连接到客户端访问服务器的主机名,例如 mail.contoso.com。 注意:此名称应与 ISA Server 计算机上所安装服务器证书中使用的公用名称或 FQDN 匹配。  |
6. | 确认“外部身份验证方法”设置为“NTLM 身份验证”,然后单击“启用”。 |
注意:对于您环境中的每台 Exchange 客户端访问服务器都执行此过程。
在 Exchange 客户端访问服务器上安装一个服务器证书
为确保 ISA Server 计算机与 Exchange 客户端访问服务器之间的通信受到适当保护,您需要在 Exchange 客户端访问服务器上安装一个服务器证书。此证书可来自内部 CA,并不需要从公共 CA 购买。在启用 Outlook Anywhere 时,Outlook Anywhere 在未安装服务器证书的情况下将无法工作,除非您选择“允许安全通道 (SSL) 减负”。
此过程在客户端访问服务器上执行,并假定已安装一个内部企业 CA。有关如何安装 Microsoft Windows Server??2003 企业 CA 的信息,请参阅 Microsoft TechNet 网站上的“如何安装 Windows Server?2003 企业 CA”。
在开始之前,应先确定一个完全限定域名 (FQDN)(也称为公用名称)。
要点:用于在客户端访问服务器上创建服务器证书的 FQDN 需要匹配“新建 Exchange 发布向导”的“内部发布详细信息”页面上的“内部站点名称”或“计算机名称或 IP 地址”字段的值集。如果 ISA Server 使用的 FQDN 与创建证书所使用的 FQDN 不同,则 ISA Server 计算机与客户端访问服务器之间的 SSL 连接将失败。
执行以下过程在客户端访问服务器上安装服务器证书。
注意:在安装 Exchange?2007 时,可以安装一个由 Exchange?安装程序创建的默认“安全套接字层”(SSL) 证书。但此证书不是受信任的 SSL 证书。我们建议您安装来自受信任 CA 的证书。
要点:只有在您的域中安装了 Windows Server?2003 企业 CA 之后,此过程才有效。
使用 Web 服务器证书向导获取新的服务器证书
1. | 在 IIS 管理器中,展开本地计算机,然后展开“网站”文件夹。 |
2. | 右键单击 Exchange 前端服务的网站(默认情况下为“默认网站”),然后单击“属性”。 |
3. | 在“目录安全性”选项卡的“安全通信”下单击“服务器证书”。使用向导请求并安装 Web 服务器证书。 |
4. | 在“Web 服务器证书向导”中,选择“新建证书”。 注意:如果在 Exchange?安装期间已安装了一个证书,则在“修改当前证书分配”页面上选择“删除当前证书”,然后单击“下一步”。现在可以重新开始该过程。 |
5. | 在“延迟或立即请求”页面上,选择“立即将证书请求发送到联机证书颁发机构”。 |
6. | 在“名称和安全性设置”及“组织信息”页面上输入所需信息。 |
7. | 在“站点公用名称”页面上键入 FQDN。 要点:ISA Server 必须将此名称解析到客户端访问服务器。当发布 Exchange Web 客户端访问时,将使用所输入的 FQDN。 |
8. | 在“地理信息”页面上输入所需信息。 |
9. | 在“SSL 端口”页面上接受默认端口 443。 |
10. | 从“证书颁发机构”下的列表中选择正确的内部企业 CA。 |
11. | 在“证书请求提交”页面上复查您的请求,然后单击“下一步”提交请求。这也会为您的网站安装该证书。 |
12. | 在“完成 Web 服务器证书向导”页面上单击“完成”以关闭向导。 |
注意:如果有多台 Exchange 客户端访问服务器提供 Exchange Web 客户端访问,则需要对每台客户端访问服务器都执行此过程(对每台服务器使用同一公用名称或 FQDN)。或者可以将该证书连同其私钥一同导出,然后再将证书导入到其他客户端访问服务器。
此外,还可以配置 Exchange 客户端访问服务器与 ISA Server 计算机间的 SSL 客户端身份验证。有关详细信息,请参阅 ISA Server 产品帮助。
要求对网站的安全通道 (SSL) 通信
在为网站安装证书之后,需要要求网站仅接受安全通道通信(仅使用 SSL 的通信)。
执行以下过程来启用“要求安全通道 (SSL)”。
启用安全通信
1. | 在 IIS 管理器中,展开本地计算机,然后展开“网站”文件夹。 |
2. | 右键单击已安装 Exchange 前端服务的网站(默认情况下为“默认网站”),然后单击“属性”。 |
3. | 在“目录安全性”选项卡的“安全通信”下单击“编辑”。 |
4. | 在“安全通信”页面上选择“要求安全通道 (SSL)”,然后单击“确定”。再次单击“确定”以关闭网站属性对话框。 |
注意:如果有多台 Exchange 客户端访问服务器提供 Exchange Web 客户端访问,则需要在每台客户端访问服务器上都执行此过程。
ISA Server 要求
在运行“新建 Exchange 发布规则向导”之前,应完成以下过程。
在 ISA Server 计算机上安装服务器证书
若要实现客户端计算机与 ISA Server 计算机之间的安全连接,则需要在 ISA Server 计算机上安装一个服务器证书。此证书应由公共 CA 颁发,因为它将被 Internet 上的用户访问。如果使用了私有 CA,则对于需要建立与 ISA Server 计算机间的安全连接(HTTPS 连接)的任何计算机,都需要在其上安装该私有 CA 颁发的根 CA 证书。
多数情况下,ISA Server 计算机都未安装 IIS。以下过程假定 ISA Server 计算机上未安装 IIS。使用以下过程在 ISA Server 计算机上导入一个证书。
从公共 CA 请求并安装一个服务器证书
此过程将在已安装 IIS 的现有计算机上创建一个新网站。在创建网站之后,按照公共 CA 提供的步骤为新网站请求并安装一个服务器证书。
执行以下过程以在已安装 IIS 的计算机上请求并安装服务器证书。
从公共 CA 请求并安装一个服务器证书
1. | 在 IIS 中,创建一个新网站,将该网站指向一个新的空目录。 |
2. | 在 IIS 管理器中,展开本地计算机,右键单击“网站”文件夹,然后单击“新建”,接着再单击“网站”以启动“网站创建向导”。 |
3. | 在“欢迎使用”页面上单击“下一步”。 |
4. | 在“说明”字段中键入网站的名称。例如,键入 ISA Cert Site,然后单击“下一步”。 |
5. | 接受“IP 地址和端口设置”页面上的默认设置。 |
6. | 在“网站主目录”页面上输入网站的路径。例如,输入 c:\temp。 |
7. | 接受“网站访问权限”页面上的默认设置,然后单击“下一步”。 |
8. | 单击“完成”以完成“网站创建向导”。 要点:默认情况下,该新网站是停止的。应将此网站保留在停止状态。没有理由启动此网站。 注意:有关创建新网站的详细信息,请参阅 IIS 产品文档。 |
9. | 按照公共 CA 提供的步骤创建并安装一个服务器证书。 要点:证书中的重要信息是公用名称或 FQDN。输入将由 Internet 上的用户用于连接到 Exchange Outlook Web Access 站点的 FQDN。例如,输入 mail.contoso.com。 注意:确认您将安装的证书的私钥是可导出的。 |
将该服务器证书导出到某文件
在将该证书安装到刚创建的网站上之后,将其导出到某文件。随后会将此文件复制并导入到 ISA Server 计算机。
执行以下过程来导出刚才安装的服务器证书。
将服务器证书导出到 .pfx 文件
1. | 在 IIS 管理器中,展开本地计算机,然后展开“网站”文件夹。 |
2. | 右键单击 Exchange 前端服务的网站(默认情况下为“默认网站”),然后单击“属性”。 |
3. | 在“目录安全性”选项卡的“安全通信”下,单击“服务器证书”以启动“Web 服务器证书向导”。 |
4. | 在“欢迎使用”页面上单击“下一步”。 |
5. | 在“修改当前证书分配”页面上,选择“将当前证书导出到一个 .pfx 文件”。 |
6. | 在“导出证书”页面上键入路径和文件名。例如,键入 c:\certificates\mail_isa.pfx,然后单击“下一步”。 |
7. | 输入该 .pfx 文件的密码。当用户导入该 .pfx 文件时会要求输入此密码。建议使用强密码,因为 .pfx 文件也具有该私钥。 要点:由于 .pfx 文件含有要在 ISA Server 计算机上安装的证书的私钥,因此,应以安全方式将其传送到 ISA Server 计算机。在 .pfx 文件成功导入之后,应将其从 ISA Server 计算机上删除。 |
在 ISA Server 计算机上导入该服务器证书
在 ISA Server 计算机上执行以下过程,将该服务器证书导入到本地计算机存储区。
在 ISA Server 计算机上导入服务器证书
1. | 将上一部分中创建的 .pfx 文件以安全方式复制到 ISA Server 计算机。 |
2. | 单击“开始”,然后单击“运行”。在“打开”中,键入 MMC,然后单击“确定”。 |
3. | 依次单击“文件”和“添加/删除管理单元”,然后在“添加/删除管理单元”对话框中单击“添加”,打开“添加独立管理单元”对话框。 |
4. | 选择“证书”,单击“添加”,再选择“计算机帐户”,然后单击“下一步”。 |
5. | 选择“本地计算机”,然后单击“完成”。在“添加独立管理单元”对话框中,单击“关闭”,然后在“添加/删除管理单元”对话框中,单击“确定”。 |
6. | 展开“证书”节点,然后右键单击“个人”文件夹。 |
7. | 选择“所有任务”,然后单击“导入”。这将启动“证书导入向导”。 |
8. | 在“欢迎使用”页面上,单击“下一步”。 |
9. | 在“要导入的文件”页面上,浏览到先前创建的文件并将其复制到 ISA Server 计算机,然后单击“下一步”。 |
10. | 在“密码”页面上,键入此文件的密码,然后单击“下一步”。 注意:“密码”页面提供了“标志此密钥为可导出的”选项。如果您想阻止从 ISA Server 计算机导出该密钥,则不选择此选项。 |
11. | 在“证书存储”页面上,验证是否选择了“将所有的证书放入下列存储”以及“证书存储”是否设置为“个人”(默认设置),然后单击“下一步”。 |
12. | 在向导完成页面上,单击“完成”。 |
13. | 验证是否正确安装了该服务器证书。单击“证书”,然后双击新服务器证书。在“常规”选项卡上,应显示一条注释“您有一个与该证书对应的私钥”。在“证书路径”选项卡上,您应看到您的证书与 CA 间的层级关系,以及一条注释“该证书没有问题”。 |
14. | 从计算机上删除该 .pfx 文件。 |
注意:如果您拥有 ISA Server?2006 Enterprise Edition,则必须在每个阵列成员上都导入该证书。
更新公共 DNS
在您的域的公共 DNS 服务器中创建新的 DNS 主机记录。用户将使用网站名称启动一个连接。此名称需要与 ISA Server 计算机上所安装证书中使用的公用名称或 FQDN 匹配。例如,用户可能会浏览到 https://mail.contoso.com/owa。在这种情况下,用户要成功启动连接需要满足以下条件:
| • | ISA Server 计算机上安装的服务器证书中使用的 FQDN 需要为 mail.contoso.com。 |
| • | 用户需要将 mail.contoso.com 解析为一个 IP 地址。 |
| • | 需要在 ISA Server 计算机的外部网络上配置 mail.contoso.com 解析后的 IP 地址。 注意:对于 ISA Server Enterprise Edition,如果使用的是启用 NLB 的阵列,则该 IP 地址应是为此阵列配置的一个虚拟 IP 地址。有关 NLB 的详细信息,请参阅 ISA Server 产品帮助。 |
Exchange 发布
既然 Exchange 前端服务器和 ISA Server 计算机已正确配置且已安装正确的服务器证书,您就可以开始执行发布 Exchange 前端服务器的过程了。使用“新建 Exchange 发布规则向导”,您可以提供对 Exchange 前端服务器的安全访问。
以下过程用于发布 Exchange 前端服务器。
创建服务器场(可选)
在您拥有不止一台 Exchange 前端服务器时,可以使用 ISA Server 为这些服务器提供负载平衡。这样可以让您一次发布网站,而无需多次运行向导。另外,这样可以消除第三方产品平衡网站负载的需要。如果其中一台服务器不可用,ISA Server 将检测到该服务器不可用,并将用户引导到正在工作的服务器。ISA Server 会定期检验服务器场中的成员服务器是否正常运行。服务器场属性决定了下列内容:
| • | 包含在场中的服务器 |
| • | ISA Server 将用于检验服务器是否正常运行的连接验证方法。 |
执行下列过程以创建服务器场。
创建服务器场
1. | 在“ISA 服务器管理”的控制台树中,单击“防火墙策略”:
| ||||||||||||||||||
2. | 在“工具箱”选项卡上,单击“网络对象”,然后单击“新建”,并选择“服务器场”。如下表所示使用向导创建服务器场。
| ||||||||||||||||||
3. | 该向导完成后,在“启用 HTTP 连接验证”对话框中单击“是”。 | ||||||||||||||||||
4. | 单击详细信息窗格中的“应用”按钮以保存更改并更新配置。 | ||||||||||||||||||
有关连接验证的详细信息,请参阅 ISA Server 产品的“帮助”。
创建 Web 侦听器
当创建 Web 发布规则时,必须指定要使用的 Web 侦听器。Web 侦听器属性决定下列内容:
| • | ISA Server 计算机用于侦听 Web 请求(HTTP 或 HTTPS)的指定网络上的 IP 地址和端口 |
| • | 与 IP 地址配合使用的服务器证书 |
| • | 要使用的身份验证方法 |
| • | 允许的并发连接数量 |
| • | 单一登录 (SSO) 设置 请更新下表中的信息,当使用“新建 Web 侦听器向导”时要使用这些信息。 |
使用工作表中您以前填充的信息,并执行下列过程以创建 Web 侦听器。
创建 Web 侦听器
1. | 在“ISA 服务器管理”的控制台树中,单击“防火墙策略”:
| |||||||||||||||||||||||||||||||||
2. | 在“工具箱”选项卡上,依次单击“网络对象”和“新建”,然后选择“Web 侦听器”。如下表所示使用向导创建 Web 侦听器。
| |||||||||||||||||||||||||||||||||
创建 Exchange Web 客户端访问发布规则
当通过 ISA Server 2006 发布内部 Exchange?2007 客户端访问服务器时,由于用户无法访问服务器的名称和 IP 地址,因此可以保护 Web 服务器免受外部的直接访问。用户可以访问 ISA Server 计算机,然后该计算机会根据 Web 服务器发布规则条件,将请求转发给内部 Web 服务器。Exchange Web 客户端访问发布规则是一种 Web 发布规则,其中包含与 Exchange Web 客户端访问相符的默认设置。
请更新下表中的信息,当使用“新建 Exchange 发布规则向导”时要使用这些信息。
| 属性 | 值 | ||||
Exchange 发布规则名称 | 名称:________________________ | ||||
服务 注意:在单一规则中一次只能发布一项服务。要发布额外服务器,需要重新运行发布向导。 | Exchange 版本:Exchange 2007 __Outlook Web Access __Outlook Anywhere (RPC over HTTP) __Exchange ActiveSync | ||||
发布类型 | __发布单一网站 或 __发布负载平衡的服务器的服务器场 以及 服务器场名称:_____________ | ||||
服务器连接安全性 | HTTPS 或 HTTP(选一种) 注意下列事项:
| ||||
内部发布细节 | 内部站点名称 (FQDN):______________________ 如果 ISA Server 计算机无法解析 FQDN,则提供计算机名称或 IP 地址:_____________________ | ||||
公共名称细节 | 接受请求: __此域名:______________ 或 __任何域名 | ||||
选择 Web 侦听器 | Web 侦听器:________________ | ||||
用户组 | 列出将有权访问此规则的用户组: _________________ __________________ | ||||
使用工作表中您以前填充的信息,并执行下列过程以创建 Exchange Web 客户端访问发布规则。
创建 Exchange Web 客户端访问发布规则
1. | 在“ISA 服务器管理”的控制台树中,单击“防火墙策略”:
| |||||||||||||||||||||||||||||||||||||||
2. | 在“任务”选项卡中,单击“发布 Exchange Web 客户端访问”。如下表所示使用向导创建规则。 对于单个 Web 服务器,请使用“适用于单个网站的新建 Exchange 发布规则向导”中的表格。 如果正在使用服务器场,请使用“适用于服务器场的新建 Exchange 发布规则向导”中的表格。
注意:当发布 Outlook Web Access 时,在单击“完成”后查看“剩余的 Exchange 发布任务”对话框,然后单击“确定”。 | |||||||||||||||||||||||||||||||||||||||
3. | 单击详细信息窗格中的“应用”按钮以保存更改并更新配置。 注意:为每个想要发布的访问方法运行“新建 Exchange 发布规则向导”。确认在客户端访问服务器上配置的身份验证方法与发布规则中的身份验证委派相匹配。 转到 SSL 桥接。
注意:当发布 Outlook Web Access 时,在单击“完成”后查看“剩余的 Exchange 发布任务”对话框,然后单击“确定”。 | |||||||||||||||||||||||||||||||||||||||
4. | 单击详细信息窗格中的“应用”按钮以保存更改并更新配置。 注意:为每个想要发布的访问方法运行“新建 Exchange 发布规则向导”。确认在客户端访问服务器上配置的身份验证方法与发布规则中的身份验证委派相匹配。 | |||||||||||||||||||||||||||||||||||||||
SSL 桥接
ISA Server 终止或启动 SSL 连接时会使用 SSL 桥接。在 ISA Server 2006 中,当将指定的 Web 侦听器配置为侦听 HTTPS 通信时,系统会自动配置 SSL 桥接。
具体来说,SSL 桥接适用于以下情况:
| • | 客户端请求 SSL 对象。ISA Server 首先解密请求,然后再将其加密并转发给 Web 服务器。Web 服务器将该加密的对象返回给 ISA Server。ISA Server 解密该对象,然后再将其加密并发送给客户端。SSL 请求会以 SSL 请求转发。 |
| • | 客户端请求 SSL 对象。ISA Server 解密请求,并在不加密的情况下将其转发给 Web 服务器。Web 服务器将 HTTP 对象返回给 ISA Server。ISA Server 解密该对象,并将其发送给客户端。SSL 请求以 HTTP 请求转发。 |
对于传入 Web 请求,外部客户端会使用 HTTPS 从内部网络中的 Web 服务器上请求对象。客户端将通过在 Web 监听器属性中指定的 SSL 端口连接至 ISA Server — 默认情况下,通过端口 443。
接收到客户端请求后,ISA Server 将对请求进行解密,同时终止 SSL 连接。Web 发布规则用于确定 ISA Server 如何将对象的请求传送给发布的 Web 服务器(FTP、HTTP 或 HTTPS)。
如果将安全 Web 发布规则配置为使用 HTTPS 转发请求,那么 ISA Server 将初始化一个与发布服务器的新 SSL 连接,以将请求发送至监听端口(默认情况下,发送到端口 443)。因为 ISA Server 计算机现在为 SSL 客户端,所以要求发布 Web 服务器使用服务器端证书做出响应。
测试 Exchange 发布规则
在本部分中,您将测试刚才创建好的新 Exchange 发布规则。
测试 Outlook Web Access
从 Internet 上的计算机,使用以下过程来测试 Outlook Web Access。
注意:确保已安装由 mail.contoso.com 证书发行 CA 提供的根 CA。
测试 Outlook Web Access 发布规则
1. | 请打开 Microsoft Internet Explorer。 |
2. | 浏览到 Outlook Web Access 网站,例如 URL https://mail.contoso.com/owa,并输入用于登录的用户证书。  |
现在可以读取和发送电子邮件。
测试 Exchange ActiveSync
将移动设备配置为使用 Microsoft Exchange ActiveSync 连接到 Exchange 服务器,并确保 ISA Server 和 Exchange ActiveSync 正常工作。有关配置 ActiveSync 的详细信息,请查看制造商的有关您要配置的移动设备的文档。
在您配置移动设备并被提示输入服务器名称字段名时,键入刚刚发布的 Exchange ActiveSync 服务器的名称,例如 https://mail.contoso.com/microsoft-server-activesync。
注意:您还可以使用 Internet Explorer 来测试 Exchange ActiveSync。打开 Internet Explorer,在“地址”中键入 URL“https://published_server_name/Microsoft-Server-Activesync”,其中“published_server_name”是客户端访问服务器的发布名称(用户用于访问 Outlook Web Access 的名称)。在您验证了自己的身份后,如果您收到一条错误消息:“错误 501/505 – 未实现或不支持”,则表明 ISA Server 和 Exchange ActiveSync 在一起正常工作。
测试 Outlook Anywhere
必须从内部网络上的客户端执行此过程。我们建议将 Outlook 2003 配置为不使用 RPC over HTTP。配置 RPC over HTTP 之前,请先确认 Outlook 可以在内部网络上正常工作。
从 Outlook?2003 测试 Outlook Anywhere
1. | 请在 Outlook 2003 中更改以下帐户设置:
| ||||||||||||||||||||||
2. | 单击“下一步”,然后单击“完成”关闭“电子邮件帐户”对话框。 | ||||||||||||||||||||||
3. | 重新启动 Outlook。 |
注意:要让 RPC over HTTP 无论用户是否在办公室中均可正常运行,则当用户在办公室并已连接至 Internet 时,FQDN mail.contoso.com 必须能解析外部地址。
附录 A:其他的发布功能
本部分中将讨论下列附加功能,您可以配置这些功能来简化部署:
| • | HTTP 到 HTTPS 的重定向 |
| • | 密码管理 |
| • | 附件拦截 |
HTTP 到 HTTPS 的重定向
发布网站时,我们建议用户在其与 ISA Server 计算机之间打开一个 HTTPS 连接,以保护通过 Internet 传输的敏感信息。这需要用户输入诸如 https://mail.contoso.com/owa 之类的 URL。如果用户仅输入 http://mail.contoso.com/owa,则会收到下列错误消息。
即使在登录到安全网站时,用户都倾向于不输入 URL 的 HTTPS 部分。网络管理员已将他们的网站编成脚本,使用户即使在输入 HTTP 时也能重定向到 HTTPS 页面,从而加强了上述行为。当用户尝试打开 URL 但又无法打开时,启用此功能可减少用户呼叫帮助台的次数。
要启用 HTTP 到 HTTPS 的重定向,请执行以下过程。
启用 HTTP 到 HTTPS 的重定向
1. | 在“ISA 服务器管理”的控制台树中,单击“防火墙策略”:
| ||||
2. | 在“工具箱”选项卡中,单击“网络对象”,展开“Web 侦听器”,右键单击“Web 侦听器”,然后选择“属性”。 | ||||
3. | 选择“连接”选项卡。 | ||||
4. | 选择“在此端口上启用 HTTP”,然后确认 HTTP 的侦听端口为 80。 | ||||
5. | 确认已选择“在此端口上启用 SSL (HTTPS) 连接”,并且正在 443 端口上侦听。 | ||||
6. | 选择“将所有通信从 HTTP 重定向到 HTTPS”。  | ||||
7. | 单击“确定”关闭 Web 侦听器的属性。 | ||||
8. | 单击详细信息窗格中的“应用”按钮以保存更改并更新配置。 |
密码管理
要求您的用户定期更改他们的密码是一种良好的安全策略。经常离开办公室的用户,需要有一种可在他们离开办公室时更改自己密码的方法。
使用基于表单的身份验证时,您可以通知用户其密码将在指定的天数后过期,以便让用户更改密码,以防过期。用户还能够更改已过期的密码。
启用基于表单的身份验证的更改密码功能
1. | 在“ISA 服务器管理”的控制台树中,单击“防火墙策略”:
| ||||
2. | 在“工具箱”选项卡中,单击“网络对象”,展开“Web 侦听器”,右键单击所需的 Web 侦听器,然后选择“属性”。 | ||||
3. | 选择“表单”选项卡。 | ||||
4. | 选择“允许用户更改其密码”和“提醒用户其密码将在下列天数内到期”。默认天数为 15。  | ||||
5. | 单击“确定”关闭 Web 侦听器的属性。 | ||||
6. | 单击详细信息窗格中的“应用”按钮以保存更改并更新配置。 | ||||
7. | 用户现在将看到以下登录屏幕。请注意“在登录后更改我的密码”选项。  |
要在使用 LDAP 身份验证时配置“更改密码”选项,则需要对 LDAP 进行下列设置:
| • | 必须通过安全连接与 LDAP 服务器相连。这要求在 Active Directory 服务器上安装 SSL 证书。有关启用“通过 SSL 的 LDAP”的详细信息,请参阅 Microsoft 支持网站上的“How to Enable LDAP over SSL with a third party certification authority”(英文)。 |
| • | ISA Server 计算机需要将发行 SSL 证书的 CA 根证书安装到 Active Directory 服务器。 |
| • | 无法通过全局编录连接至 LDAP 服务器。 |
| • | 要求用户名和密码,以用来验证用户帐户状态及更改密码。 |
附件拦截
Exchange Server?2007 中不支持 ISA Server?2006 附件拦截。如果您在使用 Exchange Server?2007 并希望拦截附件,则需要在 Exchange?2007 服务器上配置附件拦截。有关在 Exchange Server?2007 上配置附件拦截的详细信息,请参阅 Exchange Server?2007 产品帮助。
附录 B:故障排除
本部分提供故障排除信息。
ISA Server 最佳实践分析程序
要确定服务器的整体运行状况及诊断常见的配置错误,请下载并运行位于 Microsoft 下载中心的 Microsoft ISA Server 最佳实践分析程序工具。
删除了“用户离开站点时注销”功能
“用户离开站点时注销”设置已从 ISA Server?2006 中删除。用户应始终使用“注销”按钮才能从 Outlook Web Access 中正常注销。
Windows Mobile 用户收到错误 401:未授权
当 Microsoft Windows Mobile? 用户尝试访问已发布的 Outlook Web Access 或使用“新建 Exchange 发布规则向导”发布的 Windows Mobile 网站时,用户会收到错误 401,而非 Exchange 登录表单。
导致出现此错误的原因是在 Exchange HTML 表单集目录中丢失了访问 Windows Mobile 所需的 HTML 表单目录。
解决方案是在 %programfiles%\Microsoft ISA Server\CookieAuthTemplate\Exchange 文件夹中手动创建 cHTML 和 xHTML 这两个目录。然后将 %programfiles%\Microsoft ISA Server\CookieAuthTemplate\Exchange\HTML 文件夹的内容复制到 cHTML 和 xHTML 文件夹中。重新启动防火墙服务以使更改生效。
用户收到错误消息“访问被拒绝”
当用户尝试连接已发布的 Outlook Web Access 站点,但未在 URL(如 https://mail.contoso.com)末尾添加 /owa 后缀时,会收到错误消息“访问被拒绝”,而非基于表单的身份验证登录屏幕。此错误排除起来很困难,因为 ISA Server 正在如预期那样工作。
解决此错误的方法是利用“拒绝”操作发布 Exchange 前端服务器的根目录,然后将用户重定向到正确的 URL,如 https://mail.contoso.com/owa。
执行以下过程将用户自动重定向至正确的 Outlook Web Access URL。
创建 Exchange Web 客户端访问发布规则
1. | 在“ISA 服务器管理”的控制台树中,单击“防火墙策略”:
| |||||||||||||||||||||||||||||||||||||||
2. | 在“任务”选项卡中,单击“发布网站”。如下表所示使用向导创建规则。
| |||||||||||||||||||||||||||||||||||||||
3. | 右键单击您刚刚创建的规则,然后单击“属性”。 | |||||||||||||||||||||||||||||||||||||||
4. | 依次选择“操作”选项卡及“将 HTTP 请求重定向到此网页”,然后在“将请求重定向到另一个网页”字段中键入正确的 URL,如 https://mail.contoso.com/owa。 | |||||||||||||||||||||||||||||||||||||||
5. | 依次选择“应用程序设置”选项卡及“使用自定义 HTML 窗体而不是默认窗体”,然后在“自定义 HTML 窗体集目录”字段中键入 Exchange,最后单击“确定”。 | |||||||||||||||||||||||||||||||||||||||
6. | 单击详细信息窗格中的“应用”按钮以保存更改并更新配置。 要点:只有将此规则放置在 Exchange 发布规则之前方能获得预期结果。 | |||||||||||||||||||||||||||||||||||||||
过时的书签导致在再次尝试后登录失败
用户可以为 Outlook Web Access 基于表单的身份验证登录页面创建书签。有了书签,用户不必一定在其每次想要访问站点时都输入相应的 URL。用户在第一次时输入 URL,如 https://mail.contoso.com/owa。ISA Server 会自动将此 URL 重定向到正确的基于表单的身份验证网页。此 URL 可能会相当长,如 https://mail.contoso.com/CookieAuth.dll?GetLogon?reason=0&formdir=2&curl=Z2Fowa。添加到“收藏夹”菜单中的 URL 是较长的 URL。
如果管理员更改配置,如更改所使用的自定义 HTML 文件夹,则存储在用户“收藏夹”菜单中的 URL 不再有效。用户会收到两个登录屏幕。再次输入他们的凭据之后,用户会收到错误消息“无法显示此页”。
解决此错误的方法是利用“拒绝”操作发布过时的 URL,然后将用户重定向到正确的 URL,如 https://mail.contoso.com/owa。测试重定向并确认重定向仅发生于所需的用户是很重要的。
附录 C:通过 ISA Server 配置 Exchange ActiveSync 基于证书的身份验证
Exchange Server?2007 中的 Exchange ActiveSync 允许基于 Windows Mobile 的设备和启用 Exchange ActiveSync 的第三方设备同步存储在用户 Exchange 服务器中的电子邮件、日历、联系人及任务信息,而且,无论移动设备是处于在线状态还是处于离线状态,都能对这些信息进行访问。
Exchange Server?2007 新增了使用基于证书的身份验证来验证 ActiveSync 连接的功能。在 ISA Server?2006 之前,要发布具有基于证书的身份验证功能的 ActiveSync,您必须以隧道模式发布 ActiveSync。在隧道模式下发布站点时,您失去了 ISA Server 的能够检查 SSL 通信的优势。
ISA Server?2006 支持 Kerberos 约束委派,这允许 ISA Server 使用客户端证书来验证客户端连接,并允许将 Kerberos 票证发给已发布的 Web 服务器。如果 Kerberos 约束委派配置正确,则发布的 Web 服务器会接受 Kerberos 票证来代替客户端凭据。
本附录提供了有关对 Exchange 客户端访问服务器、后端服务器及 ISA Server 计算机执行配置更改的信息,这些更改是通过 ISA Server?2006 成功发布具有基于客户端证书的身份验证功能的 ActiveSync 所必需的。
通过 ISA Server?2006 配置 ActiveSync 基于证书的身份验证需要以下步骤:
| • | 将域的功能级别提升到 Windows Server?2003。 | ||||
| • | 为以下两项配置 Kerberos 约束委派和协议转换:
| ||||
| • | 为 Exchange 客户端访问服务器配置集成式 Windows 身份验证。 | ||||
| • | 创建并指定 Exchange ActiveSync 邮箱策略。有关创建和指定 Exchange ActiveSync 邮箱策略的详细信息,请参阅 Exchange?2007 产品帮助。 | ||||
| • | 创建 Web 侦听器,将客户端身份验证设置为客户端证书身份验证。 | ||||
| • | 创建 Exchange 发布规则,将身份验证委派设置为 Kerberos 约束委派。 | ||||
| • | 测试新配置。 |
将域的功能级别提升到 Windows Server?2003
为了让 Kerberos 约束委派正常工作,您需要确认 Active Directory 域正在 Windows Server?2003 本机模式级别下工作。
将域的功能级别提升到 Windows Server?2003
1. | 单击“开始”,指向“程序文件”,指向“管理工具”,然后单击“Active Directory 用户和计算机”。 要点:在步骤 2、3 和 4 中进行的更改是永久性更改。您无法撤消这些操作。 |
2. | 右键单击域,然后选择“提升域功能级别”。 |
3. | 在“提升域功能级别”框中,从列表中选择“Windows Server 2003”,然后单击“提升”。 |
4. | 单击“确定”。 |
配置约束委派和协议转换
Kerberos 是一种网络身份验证协议,用于对那些试图登录到网络的用户的身份进行验证,并通过加密密钥的方式对其通信进行加密。
如果 ISA Server 被配置为通过客户端证书验证用户,则必须配置 Kerberos 约束委派,然后在 Exchange 前端服务器上模拟该用户。当您访问用户邮箱所在的 Exchange 后端服务器中该用户的电子邮件、日历、联系人和任务信息时,Exchange 客户端访问服务器将会模拟该用户。这是必需的,因为 ISA Server 不能委派由客户端提交给它的客户端证书。
如果您想要配置 Kerberos 约束委派,以使 Exchange 客户端访问服务器信任来自 ISA Server 计算机的 Kerberos 票证,则该配置要在 ISA Server 计算机帐户上完成。如果是配置 Kerberos 约束委派,以使 Exchange 邮箱服务器信任来自 Exchange 客户端访问服务器的 Kerberos 票证,则该配置要在 Exchange 客户端访问服务器计算机帐户上完成。
有关详细信息,请参阅 Windows Server 2003 中的 Kerberos 身份验证。
Active Directory 用户和计算机是一个 MMC 管理单元,该管理单元是 Microsoft Windows Server 操作系统的标准组成部分。不过,在安装 Exchange Server 2003 时,安装向导会自动扩展 Active Directory 用户和计算机功能,以包括 Exchange 特定的任务。
请从 Exchange 服务器或安装有 Exchange 管理工具的工作站启动 Active Directory 用户和计算机。
注意:如果 Active Directory 用户和计算机管理单元安装在未安装 Exchange Server 或 Exchange Server 管理工具的计算机上,则无法从该计算机执行 Exchange Server 任务。
通过以下过程中所引用的“委派”选项卡,您可以用三种方式来配置委派:
| • | 不允许???选择“不信任此计算机来委派”选项。 |
| • | 对于所有服务均允许???选择“信任此计算机来委派任何服务(仅 Kerberos)”选项。请参阅 Windows 2000 Server 委派方法。 |
| • | 仅允许一组受限的服务???选择“仅信任此计算机来委派指定的服务”选项。请参阅 Windows Server 2003 提供的约束委派方法。 注意:ISA Server 和 Exchange 客户端访问服务器需要位于同一个域中。 |
要在 ISA Server 计算机上配置 Kerberos 约束委派,请执行以下过程。
使用 Active Directory 用户和计算机配置约束委派和协议转换
1. | 单击“开始”,指向“程序文件”,指向“管理工具”,然后单击“Active Directory 用户和计算机”。 |
2. | 在控制台树中,单击您的域并展开树视图。 |
3. | 单击“计算机”,展开树视图。在计算机列表中,右键单击 ISA Server 计算机,然后单击“属性”,再单击“委派”选项卡。 |
4. | 在“委派”选项卡上,选择“仅信任此计算机来委派指定的服务”,然后单击“添加”。 |
5. | 选择“使用任意的身份验证协议”启用协议转换,然后单击“添加”。 |
6. | 单击“用户或计算机”,键入 Exchange 客户端访问服务器的名称,然后单击“确定”。 |
7. | 选择“HTTP”和“W3SVC”,然后单击两次“确定”。 |
8. | 注意???对于将要发布 Exchange ActiveSync 的每台 ISA Server 计算机都要执行此过程。 |
要为 Exchange 客户端访问服务器配置 Kerberos 约束委派,请执行以下过程。
要使用 Active Directory 用户和计算机配置约束委派和协议转换,请从客户端访问服务器执行以下步骤
1. | 单击“开始”,指向“程序文件”,指向“管理工具”,然后单击“Active Directory 用户和计算机”。 |
2. | 在控制台树中,单击您的域并展开树视图。 |
3. | 单击“计算机”,展开树视图。在计算机列表中,右键单击 Exchange 客户端访问服务器,然后单击“属性”,再单击“委派”选项卡。 |
4. | 在“委派”选项卡上,选择“仅信任此计算机来委派指定的服务”,然后单击“添加”。 |
5. | 选择“使用任意的身份验证协议”启用协议转换,然后单击“添加”。 |
6. | 单击“用户或计算机”,键入 Exchange 邮箱服务器的名称,然后单击“确定”。 |
7. | 选择“HTTP”和“W3SRV”,然后单击两次“确定”。 |
8. | 右键单击后端 Exchange 计算机,然后单击“属性”,再单击“委派”。 |
9. | 在“委派”选项卡上,选择“仅信任此计算机来委派指定的服务”。如果邮箱服务器是域控制器,则其事先已经配置为仅信任此计算机来委派指定的服务。 注意:对于您的环境中正在提供 Exchange ActiveSync 服务的每台 Exchange 客户端访问服务器都要执行此过程。 |
在 Exchange 前端服务器上配置集成式 Windows 身份验证
对于要接受 Kerberos 票证的 Exchange 前端服务器,需要在 IIS 管理器中对 ActiveSync 目录进行配置以接受集成式 Windows 身份验证。
要在 Exchange 前端服务器上配置集成式 Windows 身份验证,请执行以下过程。
在 IIS 管理器中为 ActiveSync 目录配置集成式 Windows 身份验证
1. | 在 IIS 管理器中,双击本地计算机,右键单击要配置的 ActiveSync 目录,然后单击“属性”。 |
2. | 单击“目录安全性”选项卡。 |
3. | 在“身份验证和访问控制”部分中,单击“编辑”。 |
4. | 在“身份验证的访问”部分中,选择“集成的 Windows 身份验证”。 |
5. | 单击两次“确定”。 |
新建 Web 侦听器
您需要新建一个 Web 侦听器,其客户端身份验证用客户端证书身份验证进行了配置。
请按照创建 Web 侦听器主题中的说明操作,但要执行以下更改:
| • | 在“身份验证设置”页面上,选择“SSL 客户端证书身份验证”。 |
新建 Exchange 发布规则
要新建 Exchange 发布规则,请按照创建 Exchange Web 客户端访问发布规则主题中的说明操作,但要执行以下更改:
| • | 在“选择服务”页面上,选择“Exchange ActiveSync”。 |
| • | 在“身份验证委派”页面上,选择“Kerberos 约束委派”。系统会根据您在“内部发布详细信息”页面的“内部站点名称”框中所输入的信息自动输入服务主体名称。 |
附录 D:为 Outlook Web Access 配置基本和协商身份验证委派
Exchange?2007 的某些新功能要求协商身份验证委派并仍提供对那些要求基本身份验证委派的旧有文件夹的访问权限,要利用这些新功能,需要两个发布规则。有关仅使用一种身份验证方法发布 Outlook Web Access 时所受限制的信息,请参阅身份验证。
通过以下过程,您能够采用不同的身份验证委派方法分别针对 /OWA/* 和旧有目录正确发布 Outlook Web Access,并能够在 Exchange?2007 客户端访问服务器上配置集成式 Windows 身份验证。
以下过程假定您已按照确认在 Exchange 客户端访问服务器上未选择基于表单的身份验证中所述配置了“owa(默认网站)”。
在 Exchange 客户端访问服务器上为 /OWA/ 文件夹添加集成式 Windows 身份验证
1. | 启动 Exchange 管理控制台。 |
2. | 在 Exchange 管理控制台中,展开“服务器配置”,然后单击“客户端访问”。 |
3. | 选择您的客户端访问服务器(例如“cas01”),然后在“Outlook Web Access”页面上选择“owa(默认网站)”。 |
4. | 在操作窗格中,单击“owa(默认网站)”下的“属性”。 |
5. | 选择“身份验证”页面,然后选中“集成的 Windows 身份验证”。现在,基本身份验证和集成的 Windows 身份验证均处于选中状态。  |
6. | 单击“确定”。 现在,您需要为基本和协商身份验证委派发布 Outlook Web Access。 注意:在为 Outlook Web Access 配置了基本和协商身份验证委派之后,对于 /OWA/ 文件夹,可清除“身份验证”页面中的“基本身份验证(以明文形式发送密码)”选项(如果内部不需要该选项)。 |
为 Outlook Web Access 配置基本和协商身份验证委派
1. | 按照创建 Exchange Web 客户端访问发布规则中所述发布 Outlook Web Access。对于“Exchange 发布规则名称”,键入 Exchange?2007 OWA Basic,在“身份验证委派”页面上,选择“基本身份验证”。 |
2. | 右键单击您刚刚创建的规则,然后单击“复制”。 |
3. | 再次右键单击您刚刚创建的规则,然后单击“粘贴”。此操作会将该规则粘贴在所选规则的上方。所粘贴的规则名称将为 Exchange?2007 OWA Basic (1)。  |
4. | 右键单击步骤 3 中所粘贴的规则,然后单击“属性”。 |
5. | 在“常规”选项卡上,将该规则的名称更改为 Exchange?2007 OWA Negotiate。 |
6. | 选择“路径”选项卡,选择 /public/* 路径,然后单击“删除”。对于 /Exchweb/* 和 /Exchange/* 路径,请重复此步骤。所列出的唯一路径应该是 /OWA/*。  |
7. | 选择“身份验证委派”选项卡,然后选择“协商 (Kerberos/NTLM)”。 |
8. | 单击“确定”。 |
9. | 右键单击名为 Exchange?2007 OWA Basic 的规则,然后单击“属性”。 |
10. | 选择“路径”选项卡,选择 /OWA/* 路径,然后单击“删除”。  |
11. | 单击“确定”。 |
12. | 单击详细信息窗格中的“应用”按钮以保存更改并更新配置。 |
13. | 在客户端访问服务器上为 /OWA/ 文件夹配置集成式 Windows 身份验证。有关详细信息,请参阅下一过程。 现在,ISA Server 将使用协商作为 /OWA/* 路径的身份验证委派方法,使用基本作为 /public/*、/Exchange/* 和 /Exchweb/* 文件夹的身份验证委派方法。 |