Сервер Exchange Server 2007 в настоящий момент находится в версии Beta 2, но я думаю, что функциональность Outlook Web Access практически близка к завершению. Сервер ISA Server 2006 - это RTM с 31-го июля 2006, имеющий много новых и улучшенных возможностей для правил публикации Webserver и Server Publishing rules. Одно из улучшений – это правило публикации Exchange Webclient Access Publishing. С помощью ISA Server 2006 появилась возможность публиковать особые версии серверов Exchange Servers (включая Exchange Server 2007). Существует несколько других улучшений, как возможность изменения пароля пользователя с помощью Outlook Web Access logon. Администраторы теперь могут настроить формы HTML для аутентификации на основе форм (forms based authentication), а ISA поддерживает некоторые новые типы аутентификации типа RADIUS-OTP и LDAP. Также есть возможность передачи авторизации.
На стороне сервера Exchange Server
Мы должны начать нашу настройку сайта для сервера Exchange Server. Запустите консоль управления Exchange Management Console (EMC), перейдите к контейнеру Server configuration (конфигурация сервера), выберите роль Client Access (клиентский доступ) и выберите новую директорию OWA. Директория OWA - новинка для Exchange Server 2007, которая будет использоваться клиентами OWA для доступа к серверу Exchange Server 2007. Вы должны подключить основную аутентификацию (Basic Authentication) на закладке Authentication (аутентификация), если она еще не включена.
Рисунок 1: Подключение основной аутентификации
На стороне IIS
Далее мы должны выпустить сертификат (certificate) из внутренней CA или коммерческой CA для сайта по умолчанию (Default Web Site). После выпуска сертификата перейдите к директории OWA directory, затем перейдите к закладке Directory Security и включите SSL и 128-битное шифрование, которое вы можете увидеть на рисунке ниже.
Рисунок 2: Подключение SSL и 128-битного шифрования
На стороне ISA
Перед тем, как мы запустим мастер Exchange Webclient Access Publishing rule, мы должны запросить сертификат для слушателя ISA Server Web Listener, т.к. мы используем связь HTTPS-Bridging. ISA Server уничтожит SSL соединение от OWA клиента, проверит трафик и зашифрует повторное соединение к серверу Exchange Server. Общее название (common name CN) запрашиваемого сертификата должно соответствовать названию сервера, которое клиенты OWA указывают в своих браузерах. В этом примере общее название выглядит как: FQDN - OWA.IT-TRAINING-GROTE.DE поэтому общее название CN сертификата должно быть также: OWA.IT-TRAINING-GROTE.DE. Вы можете запросить сертификаты с помощью консоли CA servers webconsole (http://caservername/certsrv). Вы должны запросить сертификат Webserver, как показано ниже на рисунке.
Пожалуйста, обратите внимание:
В зависимости от ваших правил ISA Server Firewall вы должны создать правило для брандмауэра, которое разрешает HTTP или HTPS доступ от вашего сервера ISA к серверу CA Server.
Рисунок 3: Запрос сертификата
Раздельный DNS или файл HOSTS?
Общее название Public Name OWA.IT-TRAININGR-GROTE.DE у слушателя OWA Web Listener должно сопоставляться внутреннему IP адресу сервера Exchange Server, поэтому у вас есть два варианта:
- Раздельный DNS (Split-DNS) или
- Файл HOSTS
Если вы используете раздельный DNS (Split DNS), то вы должны создать новую зону Forward Lookup в DNS под названием IT-TRAINING-GROTE.DE. Вы должны создать также новую запись A-record под названием named OWA в новой зоне Forward Lookup zone с IP адресом внутреннего сервера Exchange Server.
Если вы используете файл HOSTS, то вам лишь нужно добавить в файл запись, наподобие такой:
IP address of the Exchange Server OWA.IT-TRAINING-GROTE.DE
Рисунок 4: Файл HOSTS
Теперь пришло время создать правило публикации Exchange Webclient Access Publishing rule.
Запустите консоль ISA MMC, нажмите - New - Exchange Webclient Access Publishing Rule. Назовите правило и выберите версию вашего сервера Exchange, а также что вы хотите опубликовать - Outlook Web Acess.
Рисунок 5: Новое правило публикации OWA Publishing rule
Выберите Publish a Single Website or load balancer
В следующем окне мастера выберите параметр Use SSL to connect to the published Web server or server farm (использовать SSL для соединения с сервером).
Введите название для внутреннего сайта Internal Site. Вы можете указать NetBIOS название сервера или DNS FQDN.
Далее вы должны ввести общее название (Public Name), которое будут использовать пользователи Outlook Web Access для получения доступа к серверу Outlook Web Access Server из интернет. Вы можете увидеть конфигурацию на следующем рисунке.
Рисунок 6: Введите общее название, которое будут использовать клиенты OWA
Новый слушатель Web Listener
Следующий этап заключается в создании слушателя Web Listener. Сервер ISA Server использует слушателей Web Listeners для того, чтобы слушать входящие запросы, которые соответствуют настройкам слушателя Listener. Слушатель Listener – это комбинация IP адреса, порта, а при использовании SSL, еще и сертификата. Вы должны присвоить слушателю Web Listener уникальное название.
В следующем окне мастера выберите параметр Require SSL secured connections with clients (требовать от клиента безопасные SSL соединения).
Вы должны указать для слушателя Web Listener IP адрес. Если запрос приходит из интернет, то вы должны выбрать External Network (внешняя сеть). Если у вашего сервера ISA больше одного IP адреса, связанного с внешним сетевым интерфейсом (External Network Interface), то вы можете выбрать IP адрес, который будет использоваться для Outlook Web Access.
Рисунок 7: Указание сети для слушателя Web Listener
Выберите сертификат, который вы запросили от внешнего сервера CA server и нажмите на кнопку Next.
Рисунок 8: Выбор сертификата для слушателя
Т.к. мы используем аутентификацию, основанную на формах для Outlook Web Access, то вы должны выбрать параметр HTML Form Authentication и Windows для проверки аутентификации.
Рисунок 9: Выберите настройку HTML Form Authentication
Включение одной подписи (Single Sign On или SSO) – это одна из новых возможностей в ISA Server 2006, которая позволяет клиентам получить доступ к различным опубликованным сайтам не проходя аутентификацию заново для каждого из них. Нам не нужно SSO в этом примере, поэтому вы можете отключить его.
Выберите основную аутентификацию (Basic Authentication), потому что ISA Server будет использовать этот тип аутентификации для аутентификации клиентов Outlook Web Access для доступа к опубликованному серверу Exchange Server.
Рисунок 10: Передача аутентификации
Последний этап заключается в указании группы пользователя, для которой будет применяться правило брандмауэра. По умолчанию стоит настройка “All Authenticated Users” (все пользователи, прошедшие аутентификацию).
Завершите работу мастера и нажмите на кнопку Apply (применить) для сохранения параметров.
После создания правила OWA вы должны изменить некоторые настройки:
- Измените параметр “Requests appears to come from the original Client” в закладке “To”
- Включите параметр “Require 128 Bit encryption for HTTPS Traffic” в закладке “Traffic”
Перейдите к свойствам слушателя (Listener Properties) и выберите закладку Forms. В разделе Password Management (управление паролями) включите параметр Allow users to change their Passwords (разрешить пользователям изменять пароли).
Проверка клиентского соединения
После успешного завершения настройки сервера Exchange Server 2007 и правила публикации Exchange Webclient Publishing вы можете проверить соединение от одного из ваших клиентов. В этой статье клиентом является компьютер с операционной системой Windows XP с пакетом обновления Service Pack 2.
Рисунок 11: OWA FBA от клиента XP
Заключение
Exchange Server 2007 – это великолепный продукт с несколькими новыми функциями. В Outlook Web Access (OWA) были внесены значительные изменения. От настройки для указания языка в Outlook Web Access при входе в OWA, до настройки для указания различных сообщений для внешних и внутренних пользователей, а также настройки для блокирования доступа к некоторым типам файлов с помощью OWA. Публикация Outlook Web Access с помощью сервера ISA Server 2006 – это идеальная комбинация, если вы хотите обеспечить для своих пользователей безопасный доступ из любой точки мира.