Статьи :: Microsoft ISA Server :: Публикация серверов :: Публикация OWA и RPC/HTTP с одним IP-адресом на ISA-сервере: Часть 1

» Главная
- » Поддержка
  - » Статьи
    - » Microsoft ISA Server
      - » Публикация серверов

Публикация OWA и RPC/HTTP с одним IP-адресом на ISA-сервере: Часть 1

Эта статья переведена силами и средствами компании Red Line Software. Размещение данного переведенного материала на других сайтах без разрешения компании Red Line Software запрещается.

[21 Ноября 2006]

Я написал много статей о публикации служб Exchange-сервера. Однако во всех этих статья подразумевалось, что вы используете либо схему с внешним и внутренним Exchange-сервером, либо ваш единственный Exchange-сервер является одновременно и контроллером домена. Хотя такие схемы мне просто устанавливать в тестовых окружениях, они могут совсем не соответствовать самым распространенным сценариям внедрения. Я не эксперт в вопросах, касающихся Exchange-сервера (как минимум, я не знаю об Exchange столько же, сколько я знаю об ISA), поэтому я могу быть не прав в отношении того, как выглядят обычные схемы внедрения Exchange-сервера.

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

Я начал думать об этом тогда, когда получил кучу вопросов о том, как публиковать единственный Exchange-сервер, не являющийся контроллером домена, и при отсутствии внешнего Exchange-сервера. Тогда я решил, что это действительно лучшая схема для небольших предприятий, которые планируют расширяться, а также для предприятий среднего масштаба. К тому же, насколько я знаю, команда разработчиков Microsoft Exchange рекомендует не устанавливать Exchange-сервер на контроллер домена по причинам производительности и безопасности.

Это все и подвигло меня на написание статьи о публикации сайтов OWA и RPC/HTTP при наличии единственного Exchange-сервера, не являющегося контроллером домена. В данной статье я остановлюсь на работе с сервером ISA 2006 (ISA Server 2006) и многих его функциях, которые поддерживают соединения удаленного доступа к серверу Microsoft Exchange и делают ISA-сервер настоящим брандмауэром для всех сетей, которым требуется безопасный удаленный доступ к серверам Exchange.

Тестовая сеть

Тестовая сеть для данной статьи достаточно проста:

Единственный сервер ISA 2006 Standard Edition
Единственный контроллер домена msfirewall.org
Единственный внутренний Exchange-сервер, входящий в домен msfirewall.org
Клиент Windows XP SP2, соединяющийся с Exchange-сервером из внешней сети

Детали настроек:

ISA-сервер

Установите операционную систему Windows Server 2003 SP1
Запустите Microsoft Update и обновите операционную систему
Установите сервер ISA 2006 Standard Edition с помощью конфигурации граничного брандмауэра по умолчанию
Снова запустите Microsoft Update для обновления всех компонентов ISA-сервера
Настройте внешний интерфейс, указав верные IP-адрес, маску подсети, шлюз по умолчанию. Адреса DNS-серверов не указывайте
Настройте внутренний интерфейс, указав верные IP-адрес и маску подсети. Настройте внутренний интерфейс на использование DNS-сервера, который располагается на контроллере домена
Создайте правило анонимного доступа для HTTP/HTTPS для сайтов Microsoft Updates так, чтобы контроллер домена и Exchange-сервер имели доступ к сайтам Microsoft Update
Данный компьютер не является контроллером домена

Контроллер домена

Установите операционную систему Windows Server 2003 SP1
Запустите Microsoft Update и обновите операционную систему
Запустите программу dcpromo для того, чтобы сделать компьютер контроллером домена
Установите службу DHCP. Создайте диапазон DHCP и активируйте его
Установите службы сертификации Microsoft в режиме корпоративного центра сертификации
Установите службу Microsoft IAS для поддержки RADIUS (хотя в данном случае мы это не будем использовать)
Установите WINS (для поддержки разрешения имен VPN-клиентов, хотя в данном случае мы это не будем использовать)
Снова запустите Microsoft Update для обновления компонентов, которые могли установить данные службы
Настройте сетевую карту, указав правильные IP-адрес и маску подсети, и настройте ее на использование собственных серверов DNS и WINS. Укажите в качестве шлюза по умолчанию внутренний IP-адрес ISA-сервера

Exchange-сервер

Установите операционную систему Windows Server 2003 SP1
Запустите Microsoft Update и обновите операционную систему
Установите службы IIS WWW, SMTP, NNTP и RPC/HTTP
Установите Microsoft Exchange Server 2003
Установите Microsoft Exchange Server SP2
Снова запустите Microsoft Update для обновления компонентов Exchange-сервера
Настройте сетевую карту, указав правильные IP-адрес и маску подсети, и настройте ее на использование контроллера домена в качестве серверов DNS и WINS. Укажите в качестве шлюза по умолчанию внутренний IP-адрес ISA-сервера

Windows XP Service Pack 2

Установите Windows XP Service Pack 2
Укажите на сетевой карте клиента IP-адрес внешней сети, включая DNS-сервер и шлюз по умолчанию, которые позволят клиенту получать доступ к сайту Microsoft Update
Запустите Microsoft Update и обновите операционную систему
Установите на клиенте Outlook 2003
Запустите Microsoft Update для обновления компонентов Microsoft Office
Удалите адрес DNS-сервера с сетевой карты (чтобы общие открытые записи домена msfirewall.org не использовались клиентом)

Ниже на рисунке показана схема сети.

Рисунок1

Мы будем делать следующее:

Установка сертификата web-сайта на Exchange-сервере Exchange-серверу требуется сертификат web-сайта для того, чтобы мы могли установить безопасный SSL-канал между внутренним интерфейсом ISA-сервера и самим web-сайтом.
Экcпорт сертификата в файл Сертификат Web-сайта вместе с закрытым ключом необходимо экспортировать в файл, который затем нужно скопировать на ISA-сервер. Это позволит нам установить сертификат вместе с закрытым ключом в хранилище сертификатов ISA-сервера.
Импорт сертификата web-сайта в хранилище сертификатов ISA-сервера Нам необходимо импортировать сертификат web-сайта Exchange-сервера в хранилище сертификатов ISA-сервера для привязки его к web-приемнику, который будет принимать входящие соединения к сайтам OWA и RPC/HTTP.
Установка RPC/HTTP-прокси на Exchange-сервере Server Служба RPC/HTTP-прокси не является частью установки Exchange-сервера. Установите эту службу как одну из дополнительных служб Windows необходимо с помощью апплета Add/Remove Programs (Установка/удаление программ) Панели управления.
Настройка топологии «Только внутренний сервер» на Exchange-сервере Встроенная поддержка RPC/HTTP, включенная в Exchange, предполагает, что вы используете схему с внешним и внутренним сервером. В случае с единственным сервером, т.е. то, что у нас, мы должны принудить Exchange-сервер считать себя единственным внутренним сервером.
Настройка сервера RPC-прокси на использование отдельных портов для RPC поверх HTTP Данный пункт автоматизирован только для схем с внутренним/внешним Exchange-сервером, так что нам придется создавать записи в реестре вручную.
Создание правил web-публикации OWA и RPC/HTTP Настройка Exchange-сервера закончена и можно приниматься на ISA-сервер. Начнем с создания правил web-публикации OWA и RPC/HTTP.
Настройка клиента Outlook Часто в подобных статьях не уделяют внимания настройкам клиента. Авторы много говорят о том, как работают настройки сервера, оставляя вас наедине с установками клиента. И часто из-за этого ничего не работает, поскольку именно клиентские настройки выполнены неверно. Мы не будем делать эту ошибку и детально рассмотрим информацию об установках Outlook 2003.
Проверка Узнать, что блюдо готово, можно только попробовав его. Мы протестируем наши настройки с помощью клиента Outlook 2003 и Internet Explorer и посмотрим, что получилось. По идее, все должно работать.
Создание группыLDAP и ограничение использованияOWA иRPC/HTTP только этой группой. Проверка Мы рассмотрим более серьезные варианты настройки, которые не затронут наше правило web-публикации. Многие администраторы ISA-серверов вынуждены удалять ISA-сервер из домена. В таких случаях администраторы получат преимущество от LDAP-аутентификации и использовать существующие группы и пользователей, являющихся частью Active Directory.
Создание HTTPS-переадресации для HTTP-соединений и проверка Здесь мы посмотрим, как можно настроить ISA-сервер на автоматическую переадресацию HTTP-соединений в HTTPS, для того, чтобы пользователи не вводили в адресной строке браузера HTTPS-адреса.
Создание переадресации на переопределения соединений с корневым каталогом в каталог /Exchange Еще одна проблема, с которой сталкиваются администраторы ISA-сервера: пользователи «забывают» вводить в конце адреса URL путь /Exchange. В данном разделе мы обсудим возможность решения этой проблемы путем автоматической переадресации пользователей
Включение изменения паролей и уведомлений LDAP-аутентификации Часто спрашивают о возможности смены пароля пользователями внутри интерфейса OWA, а также о сообщениях пользователю о скором окончании срока действия пароля. В новом ISA-сервере данные функции поддерживаются, и мы увидим, как их настроить в случае использования LDAP-аутентификации.
Публикация Exchange-сервера для клиентов Outlook MAPI Clients с помощью безопасной публикации RPC Многие организации еще не перешли на Outlook 2003 и Windows XP SP1 или выше, и потому у их не поддерживается RPC/HTTP. Функция безопасной публикации RPC в ISA-сервере делает возможным для этих компаний использование защищенных соединений удаленного доступа.

Резюме

В данной части мы обсудили проблемы, которые не были освещены в предыдущих статьях о серверах Exchange/ISA на нашем сайте, поскольку все эти статьи базировались на том, что Exchange-сервер одновременно является контроллером домена или же используется схема с внутренним и внешним Exchange-сервером. Здесь мы изменили данное положение вещей и рассматриваем вопрос о том, как публиковать на ISA-сервере единственный Exchange-сервер, который не является контроллером домена. Мы остановимся на самых популярных схемах внедрения – публикация и OWA, и RPC/HTTP – с целью сделать данную статью официальным сообщением о публикации OWA и RPC/HTTP с единственным сервером. После публикации сайтов OWA и RPC/HTTP мы рассмотрим некоторые более серьезные возможности и продемонстрируем, как они представлены в сервере ISA 2006.

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

Автор: Томас Шиндер (Thomas Shinder)

Томас Шиндер (Thomas Shinder) Доктор Томас Шиндер (Thomas W. Shinder) является MCSE, MCP+I и MCT. Он работает в качестве инструктора и консультанта по технологиям в Dallas-Ft. Worth муниципальном районе, помогая в разработке и внедрении коммуникационных стратегий, основанных на IP, для таких больших фирм, как Xerox, Lucent и FINA.