如何使用ISA SERVER 2006安全发布OWA 2007及Outlook Anywhere
当您在企业内部署EXCHANGE SERVER 2007后,一般企业内网用户可以方便使用OFFICE OUTLOOK 2003/2007快速接连到EXCHANGE 2007方便的访问自己邮箱,以进行有效信息沟通。而如果您的企业内用户出差在外,他们一样需要安全快捷的连接到您企业内部的EXCHANGE SERVER以达到及时的获取到信息,可此时用户并不在您企业内网,针对如何解决让外网用户也一样可以方便、快捷、安全的连接到企业内网的EXCAHNGE SERVER来正常收、发邮件的问题,MICROSOFT给予了我们3种解决方案:
1、 使用OWA方式,让用户使用IE走HTTP/HTTPS(SSL)连接到企业内部EXCHANGE SERVER
2、 使用OutlookAnywhere(EXCHANGE 2003也称RPC OVER HTTP)
3、 使用MOBLIE方式或是语音邮件方式
以下我将给大家详细介绍这上两种方法在企业中的部署方法:
试验环境如图:
关于邮件流的方向:
用户-----à邮箱服务器------à集成器传输服务器------à防火墙------à边缘传输服务器-----à防火墙-----àINTERNET
外部用户---à防火墙-----à客户端访问服务器(身份验证)---à域控制器----à邮箱服务器----à用户邮箱----à获取邮件(非MAPI客户端获取邮件流程)
防火墙所需要建立的规则:
1、 HUB------EDGE(SMTP)因为HUA要把邮件穿过防火墙递交给EDGE(邮件出站)
2、 EDGE----HUA(SMTP) 因为EDGE要把邮件穿过防火墙递交给HUA(邮件入站)
3、 HUB------EDGE(EDGEsync)(LDAPS协议端口 出站TCP:50636)同步收件人信息,方便EDGE做垃圾邮件过滤
4、 INTERNET----EDGE(SMTP服务器)此规则为服务器发布规则
5、 EDGE-----INTERNET(DNS)EDGE需要解析外部的DNS服务器
6、 EDGE-----内部DSN(DC)服务器,因为EDGE需要找到内部可用的HUB服务器
7、 EDGE-----INTERNET(SMTP)方便EDGE把邮件发送至INTERNET
相关规则如下图:
利用ISA 2006安全发布OWA配置方式:(至于太简单的操作就直接忽略了)
证书部分:
无论是发布OWA或是OutlookAnywhere都需要证书的支持,而EXCHANGE 2007默认证书,我们需要在CAS上的IIS删除,我们自己重新申请一张证书(当然,企业内需要有CA服务器)。这里我们已在DC上安装了CA服务。
步骤:
1、 右键CAS服务器“默认站点”
选择:属性
新建证书
选择立即将证书…….
注意:你的CA必须是企业CA,此选项才可用。
此公用名应该是你用户在访问你CAS服务器时,需要输入的FQDN名。
直接一下步,完成。
到此,OWA的证书就申请完毕,当然还要去启用SSL安全通道。
接下来,就是需要为ISA SERVER去申请一张证书:
在这里,我们用一种变通的方法为ISA SERVER申请一张证书
在CAS的IIS上新建一个新的站点
新建站点时,需要填写的信息,可随意。
SA为停止的,没关系不影响我们为此站点申请证书就行。按以上方法为ISA 服务器向CA申请一张证书:
注意:在这些填写的公用名称可以与上面为OWA站点的公用名称不一样,但这里的“公用名称”必需是外网用户在IE中输入URL访问你CAS服务器的地址
需要导出“私钥”
选中此两项,直接下一步,完成。再把站点删除。
ISA 服务器上的操作:
把刚刚导出的证书复制到ISA上
打开ISA的MMC------à证书-------》计算机帐户---------》把证书导入到-----》”个人”区域中
选中密钥可导出。
证书有问题????
是因为ISA不信任RootCA所颁发的证书,此时,我们需要把RootCA的根证书,导入到ISA服务器的“受信任的根证书颁发机构”中,证书才可用。在ISA SERVER上把根证重新导入。
建议导出为Base64编码,下一步,保存,把个人的RootCA证书删除,再把刚刚导出的证书导入到ISA SERVER的受“信任的根证书颁发机构“
待续.............
本文转自 zhxhua 51CTO博客,原文链接:http://blog.51cto.com/virtualtop/362492 ,如需转载请自行联系原作者