Thursday, October 18th, 2018

Публикация OWA-сайта в сети с двумя серверами ISA ( Часть 1)

Published on Февраль 9, 2009 by   ·   Комментариев нет

Удаленные пользователи могут соединяться с Exchange -сервером практически из любого места в мире, используя протокол HTTP для соединения с web -сайтом Exchange -сервера OWA ( Outlook Web Access — Web -доступ к Outlook ). Exchange Server 2003 поднимает OWA на новый уровень. В Exchange Server 2003 сайт OWA предоставляет гораздо большую функциональность по сравнению с Exchange 5.5 или Exchange 2000, и предлагает пользователям почти то же самое, что они могут при пользовании MAPI -клиента Outlook .

Публикация OWA -сайта представляет серьезную альтернативу, как в области функциональности, так и в области безопасности, надежной публикации Exchange -сервера. Работа администратора ISA -сервера заключается в предоставлении удаленным пользователям доступа к OWA -сайту сервера Exchange , и сделано это должно быть безопасным способом.

По счастью, есть возможность предоставить удаленным пользователям безопасное соединение с корпоративным OWA -сайтом. Технологии безопасности, которые гарантируют защищенную связь между удаленным пользователем и OWA -сайтом, включают в себя:

  • SSL -соединение между OWA -клиентом и ISA -сервером. SSL -соединение гарантирует, что учетные данные пользователя и данные всегда передаются в зашифрованном виде.
  • SSL -соединение между ISA -сервером и OWA -сайтом. Используется SSL -сопряжение. Вы можете не доверять корпоративной сети, и поэтому может потребоваться SSL -соединение.
  • В каталогах OWA можно принудительно требовать предоставления сертификата клиента. Для этого ISA -сервер (также как и другие узлы сети) должен предоставить клиентский сертификат до того, как пользователь соединится с каким-либо каталогом OWA -сервера.
  • Сертификат аутентификации пользователя (клиента) может быть настроен на приемник входящих web -запросов ISA -сервера для требования от OWA -клиента предоставления клиентского сертификата для аутентификации на ISA -сервере до передачи учетных данных на OWA -сайт.
  • Формы OWA для аутентификации позволяют ISA -серверу генерировать форму ввода учетных данных. Это защищает OWA -сайт от неаутентифицированных пользователей, поскольку ISA -сервер (а не OWA -сайт) генерирует форму ввода учетных данных.
  • Передача учетных данных может быть настроена на ISA -сервере, который, в свою очередь, передает их на OWA -сайт. Это защищает от одиночных пакетов неаутентифицированных узлов, посылаемых ими на OWA -сайт, а также от атак OWA -сайта сервера Exchange неаутентифицированными соединениями.
  • Сертификат подлинности Microsoft позволяет усилить контроль сертификатов. Он используется для уменьшения рисков клиентов, которые устанавливают соединение из непроверенных узлов, таких как компьютеры в аэропортах или домашние компьютеры, не отвечающих корпоративным стандартам безопасности. Контроль доступа и сеанса связи, предоставляемый формами аутентификации ISA -сервера увеличивает безопасность.

Безопасная публикация web -сайта OWA с использованием ISA -сервера предоставляет более высокий уровень безопасности, чем практически любой другой брандмауэр такого же класса, а по уровню функциональности и безопасности более защищенным соединением является только публикация RPC сервера Exchange .

В этой статье мы рассмотрим в деталях следующие процедуры:

  • Издание и привязка сертификатаweb-сайта кweb-сайтуOWAна сервереExchange. Для того, что бы имелось непрерывное SSL -соединение, ISA -сервер должен быть способен поддерживать SSL -сопряжение. Внутренний ISA -сервер будет перенаправлять запросы, полученные от внешнего ISA -сервера, как SSL -соединение между внутренним интерфейсом внутреннего ISA -сервера и OWA -сайтом сервера Exchange .
  • Экспорт сертификатаweb-сайтаOWAв файл (включая закрытый ключ). После получения OWA -сайтом сертификата, данный сертификат экспортируется в файл. Закрытый ключ обязательно должен быть включен в файл экспорта
  • НастройкаOWA-сайта на принудительноеSSL-шифрование и открытую аутентификацию. Это необязательный пункт, но его выполнение увеличивает безопасность, поскольку от всех узлов сети будет требоваться использование SSL для связи с OWA -сайтом.
  • Импорт сертификатаweb-сайтаOWAв хранилище сертификатов внутреннегоISA-сервера. После экспорта сертификата web -сайта OWA в файл, этот файл копируется на внутренний ISA -сервер. Сертификат (вместе с закрытым ключом) импортируется в хранилище сертификатов внутреннего ISA -сервера.
  • Запуск мастера публикацииOWAи создание записи об адресеweb-сайтаOWAв файлеHOSTSна внутреннемISA-сервере. На внутреннем ISA -сервере мы создадим новую запись в файле HOSTS , так чтобы имя сертификата (точно такое же указано в закладке » To » (Куда) Правила web -публикации) преобразовывалось в IP -адрес OWA -сайта внутренней подсети.
  • Создание правилаweb-публикации для сайтаweb-регистрации на внутреннемISA-сервере. Это необязательный пункт. Мы создадим это правило, чтобы клиенты из внешней сети имели доступ к сертификату подлинности для сохранения его в хранилище сертификатов на собственном компьютере. Если Вы хотите, чтобы только члены домена имели доступ к OWA -сайту и если у Вас есть корпоративный сертификат подлинности, то у всех членов домена сертификат подлинности уже хранится в хранилище сертификатов на их компьютерах (в домене Windows Server 2003)
  • Создание правила доступа «AllOpen» (Все открыто) на внутреннемISA-сервере. Это необязательный пункт, и мы его используем только для тестирования. Нам, как минимум, нужно правило, которое разрешило бы все исходящие DNS -запросы из внутренней подсети за внутренним ISA -сервером во внешнюю подсеть.
  • Импорт сертификатаweb-сайтаOWAв хранилище сертификатов внешнегоISA-сервера. Внешний ISA -сервер также должен представлять OWA -сайт. На внешнем ISA -сервере мы произведем те же самые действия, что и на внутреннем. Мы импортируем сертификат web -сайта OWA (вместе с закрытым ключом) в хранилище сертификатов внешнего ISA -сервера.
  • Запуск мастера публикацииOWAи создание записи об адресе внутреннегоISA-сервера в файлеHOSTSна внешнемISA-сервере. Запись в файле HOSTS привязывает имя сертификата web -сайта к IP -адресу на внутреннем ISA -сервере, который используется web -приемником в правиле web -публикации OWA на внутреннем ISA -сервере. Также мы создадим правило web -публикации и на внешнем ISA -сервере, которое опубликует OWA -сайт через IP -адрес web -приемника внутреннего ISA -сервера.
  • Создание правила доступа «AllOpen» (Все открыто) на внешнемISA-сервере. Это правило необязательно, в нашем примере оно используется просто для демонстрации. Вы можете создать правило доступа, разрешающее весь исходящий трафик с IP -адреса, связанного с внешним интерфейсом только внутреннего ISA -сервера. Если же в сегменте сети между ISA -серверами есть другие сервера, Вы можете создать собственные политики доступа на внешнем ISA -сервере для разрешения исходящего трафика от этих устройств.
  • Создание правилаweb-публикации для сайтаweb-регистрации на внешнемISA-сервере. Это необязательный пункт. Это правило позволяет внешним узлам получать доступ к web -сайту регистрации сертификата подлинности. Если Вы собираетесь поддерживать только членов домена, или же все узлы обязательно будут находиться в корпоративной сети, то это правило не нужно
  • НастройкаDNSдля разрешения именOWA-сайта. Внешние узлы должны преобразовывать имя OWA -сайта в IP -адрес внешнего интерфейса внешнего ISA -сервера. Это должно быть то же самое имя, какое отображено в сертификате web -сайта OWA , используемом web -приемником внешнего ISA -сервера.
  • Установка сертификата подлинности клиентамOWA. Это необязательный пункт. Если Вы не будете устанавливать сертификат подлинности web -клиентам, пользователи будут получать ошибку, что они не доверяют сертификату подлинности, хранящему сертификат web -сайта на внешнем ISA -сервере. Однако, пользователи могут игнорировать эту ошибку. Если Вы установите сертификат подлинности web -клиентам, эта ошибка появляться не будет.
  • Создание записи в файлеHOSTSна компьютере клиентаOWA. В реальных рабочих условиях этот шаг не понадобится, поскольку в DNS уже есть имя OWA -сайта в доверенной зоне DNS домена. Однако, мы для примера демонстрации публикации OWA -сайта в сети с двумя ISA -серверами будем пользоваться файлом HOSTS , чтобы не рассказывать процедуру настройки DNS -сервера.
  • Создание соединения сOWA-сайтом. Проверим наше решение

В этой статье мы обсудим проблемы публикации web -сайта OWA в сети с двумя ISA -серверами. Такая конфигурация состоит из внешнего ISA -сервера, один интерфейс которого напрямую соединен с Интернетом, и внутреннего ISA -сервера, один интерфейс которого смотрит во внутреннюю сеть. И внутренний, и внешний ISA -серверы имеют интерфейс, который связан с сегментом сети между ними.

Рисунок ниже представляет собой схему сети, на которой основана эта статья.

Первое место сервера в сети

Рисунок 1

В этой конфигурации есть интересные детали, которые могут показаться отличными от того, что Вы знали об ISA -сервере. Важно отметить, что эта схема сети не отображает лучший вариант сети, а лишь используется в качестве примера для проблемы, обсуждаемой в этой статье.

На этой схеме Вы заметите, что внешний ISA -сервер не имеет шлюза по умолчанию. В нашей демонстрационной сети он и не нужен, однако в реальных условия Вам нужно настроить шлюз по умолчанию на внешнем ISA -сервере для того, чтобы узлы корпоративной сети и в сегменте между серверами имели доступ в Интернет.

Также Вы заметите, что и на внутреннем ISA -сервере не настроен шлюз по умолчанию. Опять же, это сделано только для демонстрации наших решений. В реальных условиях Вам нужно разрешить исходящий доступ для узлов в корпоративной сети и сегменте между ISA -серверами. Для этого Вам нужно либо настроить внутренний ISA -сервер на использование внутреннего интерфейса внешнего ISA -сервера как шлюза по умолчанию, либо создавать сцепление между внутренним и внешним ISA -серверами. Однако при сцеплении между внутренним и внешним ISA -серверами Вы не должны требовать аутентификации пользователя на внешнем ISA -сервере, поскольку в этом случае попытка аутентификации будет ошибочной, что вызовет нарушения в работе сцепления.

Причина, почему такая конфигурация работает в примере OWA -публикации, в том, что внешний ISA -сервер перенаправляет соединение на внешний интерфейс внутреннего ISA -сервера, а внутренний ISA -сервер перенаправляет соединение на OWA -сайт. В обоих случаях ISA -сервер меняет IP -адрес источника соединения на собственный IP -адрес.

Итак, когда внешний ISA -сервер перенаправляет соединение на внешний интерфейс внутреннего ISA -сервера, внутренний ISA -сервер принимает IP -адрес источника за IP -адрес внутреннего интерфейса внешнего ISA -сервера. Поскольку внутренний интерфейс внешнего ISA -сервера и внешний интерфейс внутреннего ISA -сервера находятся в одной подсети, внутреннему ISA -серверу не требуется настройка шлюза по умолчанию. Когда внутренний ISA -сервер перенаправляет соединение на OWA -сайт, OWA -сайт принимает IP -адрес источника за IP -адрес внутреннего интерфейса внутреннего ISA -сервера. Поскольку OWA -сайт и внутренний интерфейс внутреннего ISA -сервера находятся в одной подсети, OWA -серверу не требуется настройка шлюза по умолчанию ( хотя в нашем примере он есть ).

Замечание: Если Вы захотите воспроизвести нашу демонстрационную сеть для проверки исходящих соединений из внутренней сети за внутренним ISA -сервером, настройте на внешнем интерфейсе внутреннего ISA -сервера шлюз по умолчанию с адресом 10.0.1.1 .

В таблице ниже представлена информация по каждому узлу нашей сети.

Таблица 1: Параметры сети с двумя серверами ISA Server 2004

Параметры сети
Настройки EXCHANGE 2003BE Клиент OWA Внешний ISA Внутренний ISA
IP-адрес 10.0.0.2 192.168.1.90 Внутр: 10.0.1.1 Внеш: 192.168.1.70 Внутр: 10.0.0.1 Внеш: 10.0.1.2
Шлюз по умолчанию 10.0.0.1 Нет Нет Нет или 10.0.1.1 (если Вы желаете протестировать исходящий доступ из внутренней сети внутреннего ISA -сервера)
DNS 10.0.0.2 Нет Нет 10.0.0.2
WINS 10.0.0.2 Нет Нет 10.0.0.2
ОС Windows Server 2003 Windows XP Windows Server 2003 Windows Server 2003
Сервисы DC DNS WINS DHCP RADIUS Enterprise CA IIS: WWW SMTP NNTP FTP ISA Server 2004 ISA Server 2004

В первой из двух частей статьи о публикации web -сайта OWA в сети с двумя ISA -серверами, мы рассмотрим следующие процедуры:

  • Издание и привязка сертификата web -сайта к web -сайту OWA
  • Экспорт сертификата web -сайта OWA в файл — включая закрытый ключ
  • Настройка на OWA -сайте принудительного SSL -шифрования и открытой аутентификации
  • Импорт сертификата web -сайта OWA в хранилище сертификатов на внутреннем ISA -сервере
  • Создание в файле HOSTS записи об адресе web -сайта OWA и запуск мастера web -публикаций OWA
  • Создание правила доступа » all open » (Все открыто) на внутреннем ISA -сервере.
  • Импорт сертификата web -сайта OWA в хранилище сертификатов на внешнем ISA -сервере

Издание и привязка сертификата web- сайта к web- сайту OWA

Для создания SSL -сопряжения и внутренний, и внешний ISA -сервер должны установить SSL -соединения. На внутреннем ISA -сервере первое SSL -соединение между внешним ISA -сервером и внутренним ISA -сервером, и второе SSL -соединение между внутренним ISA -сервером и OWA -сайтом. На внешнем ISA -сервере первое SSL -соединение между клиентом OWA , а второе между внешним ISA -сервером и внешним интерфейсом внутреннего ISA -сервера.

Один и тот же сертификат web -сайта будет использоваться на OWA -сайте, внутреннем ISA -сервере и внешнем ISA -сервере. Первым шагом является запрос сертификата для OWA -сайта.

Для запроса сертификата web -сайта для OWA -сайта предпримем следующие шаги:

  • На компьютере с EXCHANGE 2003 BE , нажмите Start(Пуск), затем AdministrativeTools(Администрирование) . Выберите Internet Information Services (IIS) Manager(УправлениеIIS) .
  • В левой панели консоли Internet Information Services (IIS) Manager(УправлениеIIS) раскройте узел Web Sites (Web-сайты) и правой кнопкой щелкните на Default Web Site (Web-сайтпоумолчанию) и Properties (Свойства) .
  • В диалоговом окне Default Web Site Properties (Свойстваweb-сайтапоумолчанию) выберите закладку Directory Security (Безопасность) .
  • На закладке Directory Security(Безопасность) нажмите кнопку Server Certificate (Сертификатсервера) в разделе Secure communications (Безопасныесоединения) .
  • На странице Welcome to the Web Server Certificate Wizard (Началоработымастераweb-сертификатов) нажмите Next (Далее) .
  • На странице ServerCertificate(Сертификат сервера) выберите опцию Createanewcertificate(Создать новый сертификат) и нажмите Next(Далее) .

    Первое место сервера в сети

    Рисунок 2
  • На странице Delayed or Immediate Request (Отложенный или срочный запрос) выберите опцию Send the request immediately to an online certificate authority ( Немедленно послать запрос в сертификат подлинности ) и нажмите Next (Далее ) .

    Первое место сервера в сети

    Рисунок 3
  • На странице NameandSecuritySettings(Наименование и настройки безопасности) примите установки по умолчанию и нажмите Next(Далее) .
  • На странице OrganizationInformation(Информация об организации) введите в текстовое поле Organization(Организация) название Вашей организации, а в поле OrganizationalUnit(Подразделение организации) введите Ваше подразделение. Нажмите Next(Далее) .
  • На странице YourSite’sCommonName(Имя сайта) введите имя Вашего сайта. Это имя, которое внутренние и внешние пользователи используют для доступа к сайту. Например, если пользователи для доступа к OWA -сайту вводят в браузере адрес https :// owa . msfirewall . org , то имя сайта будет owa.msfirewall.org . В нашем примере в поле Commonname(Имя) введите owa.msfirewall.org . Это значение будет отображаться и в сертификате. Это очень важная установка. Если Вы введете неправильное имя, то при попытке доступа к защищенному OWA -сайту у Вас будут возникать ошибки. Нажмите Next (Далее) .

    Первое место сервера в сети

    Рисунок 4
  • На странице GeographicalInformation(Географическая информация) введите текстовые поля Вашу Страну/Регион , Штат/Область и Город/Населенный пункт. Нажмите Next (Далее) .
  • На странице SSLPort(ПортSSL) примите значение по умолчанию ( 443), указанное в текстовом поле SSLportthiswebsiteshoulduse(Этотweb-сайт должен использоватьSSL-порт). Нажмите Next (Далее) .
  • На странице ChooseaCertificationAuthority(Выбор сертификата подлинности) примите значения по умолчанию в списке Certificationauthorities(Сертификаты подлинности). Нажмите Next (Далее) .
  • Просмотрите установки на странице CertificateRequestSubmission(Подтверждение запроса сертификата) и нажмите Next(Далее) .
  • На странице CompletingtheWebServerCertificateWizard(Завершение работы мастераweb-сертификатов) нажмите Finish(Завершить) .
  • Обратите внимание, что теперь стала доступной кнопка ViewCertificate(Просмотр сертификатов) . Это говорит о том, что сертификат web -сайта связан с OWA -сайтом и может быть использован для принудительного SSL -соединения с этим сайтом.

    Первое место сервера в сети

    Рисунок 5
  • В диалоговом окне Default Web Site Properties (Свойства web -сайта по умолчанию) нажмите OK .

Экспорт сертификата web -сайта OWA в файл — включая закрытый ключ

ISA -сервер подменяет собой OWA -сайт при установлении клиентом OWA первого SSL -соединения с ISA -сервером. Для этого Вы должны экспортировать сертификат web -сайта и импортировать его в хранилище сертификатов на ISA -сервере. Важно, чтобы Вы при экспорте сертификата в файл экспортировали и закрытый ключ web -сайта. Если закрытый ключ не включен в файл экспорта, Вы не сможете привязать сертификат к web -приемнику ISA -сервера.

Для экспорта сертификата web -сайта с закрытым ключом предпримем следующие шаги:

  1. В левой панели консоли InternetInformationServices(IIS)Manager(УправлениеIIS) раскройте узел WebSites(Web-сайты) и правой кнопкой щелкните на DefaultWebSite(Web-сайт по умолчанию) и Properties(Свойства) .
  2. В диалоговом окне DefaultWebSiteProperties(Свойстваweb-сайта по умолчанию) выберите закладку DirectorySecurity(Безопасность) .
  3. В закладке DirectorySecurity(Безопасность) в разделе Securecommunications(Безопасные соединения) нажмите кнопку ViewCertificate(Просмотр сертификата)
  4. В диалоговом окне Certificate (Сертификат) выберите закладку Details (Подробно) и нажмите кнопку Copy to File (Копироватьвфайл) .

    Первое место сервера в сети

Рисунок 6
  1. На странице WelcometotheCertificateExportWizard(Начало работы мастера экспортасертификатов) нажмите Next(Далее) .
  2. На странице ExportPrivateKey(Экспорт закрытого ключа) выберите опцию Yes,exporttheprivatekey(Да, экспортировать закрытый ключ) option и нажмите Next(Далее) .

    Первое место сервера в сети

Рисунок 7
  • На странице ExportFileFormat(Формат экспортируемого файла) выберите опцию PersonalInformationExchange-PKCS#12 (.PFX) (Файл обмена личной информацией -PKCS#12 (.PFX)) . Отметьте опцию Includeallcertificatesinthecertificationpathifpossible(Включить по возможности все сертификаты в путь сертификата) и снимите отметку с опции Enablestrongprotection(requiresIE5.0,NT4.0SP4orabove) (Включить усиленную защиту (требуетсяIE5.0,NT4.0SP4 или выше)). Нажмите Next(Далее) .

    Первое место сервера в сети

    Рисунок 8
  • На странице Password(Пароль) введите пароль, а затем введите его еще раз в поле ConfirmPassword(Подтвердить пароль) . Нажмите Next(Далее) .
  • На странице FiletoExport(Имя файла экспорта) введите c:\owacert в текстовом поле Filename(Имя файла) . Нажмите Next(Далее) .
  • На странице CompletingtheCertificateExportWizard(Завершение работы мастера экспорта сертификатов) нажмите Finish(Завершить) .
  • В диалоговом окне Certificate(Сертификат) нажмите OK .
  • В диалоговом окне DefaultWebSiteProperties(Свойстваweb-сайта по умолчанию) нажмите OK .
  • Скопируйте файл owacert.pfx в корневую папку C :\ drive на внутренний и внешний ISA -сервер.

Замечание: Мы будем использовать один и тот же файл сертификата на внутреннем и внешнем ISA -сервере, поэтому убедитесь, что Вы скопировали файл на оба сервера.

Настройка на OWA -сайте принудительного SSL -шифрования и открытой аутентификации

Лучшие рекомендации по безопасности говорят, что данные и учетные данные пользователей не должны быть видимы для злоумышленников, которые могут установить в Вашей сети программы анализаторов протоколов (программы-снифферы). Если в Вашей корпоративной сети разрешены нешифрованным соединения, то любая программа анализатор протоколов сможет легко прочитать имя пользователя и пароль, передаваемые по сети.

Решением может быть установка принудительного SSL -шифрования на все соединения с OWA -сайтом. К тому же Вы можете настроить папки OWA на использование открытой аутентификации. Это позволит избежать проблем с совместимостью браузеров. Не стоит беспокоиться по поводу открытой аутентификации, поскольку все учетные данные пользователя будут защищены SSL . Обратите внимание, что это необязательно. Вы можете использовать встроенную аутентификацию папок OWA , но тогда могут возникнуть проблемы, зависящие от конфигурации сети. Я настоятельно рекомендую использовать принудительное SSL -шифрования соединений с папками OWA -сайта, и тогда Вам не придется беспокоиться об открытой аутентификации.

Для настройки на OWA -сайте принудительного SSL -шифрования и открытой аутентификации предпримем следующие шаги:

  • Нажмите Start(Пуск), затем AdministrativeTools(Администрирование) . Выберите InternetInformationServices(IIS)Manager(УправлениеIIS) . В левой панели консоли InternetInformationServices(IIS)Manager(УправлениеIIS) раскройте имя сервера, а затем узел DefaultWebSite(Web-сайт по умолчанию).
    Вы можете сделать доступными для удаленных пользователей следующие три папки OWA -сайта:

    /Exchange
    /ExchWeb
    /Public

  • Мы хотим, чтобы ISA -сервер всегда использовал SSL -соединения для связи между этими папками и удаленного клиента OWA -сайта. В начале выделим папку Exchange , а затем правой кнопкой щелкнем по пустой области в правой части консоли и выберите пункт Properties (Свойства) .
  • На странице DirectorySecurity(Безопасность папки) в разделе Authenticationandaccesscontrol(Контроль аутентификации и доступа) нажмите кнопку Edit(Редактировать).
  • В диалоговом окне Authentication Methods (Методы аутентификации) уберите все опции, кроме Basicauthentication(passwordissentincleartext) (Открытая аутентификация (пароль передается в явном виде)) . Нажмите Yes в диалоговом окне, предупреждающем Вас о том, что учетные денные будут защищены SSL . В текстовом окне Defaultdomain(Домен по умолчанию) введите имя Вашего домена. В нашем примере это MSFIREWALL . Нажмите OK .

    Первое место сервера в сети

    Рисунок 9
  • В диалоговом окне ExchangeProperties(СвойстваExchange) нажмите Apply(Применить), затем OK .
  • Повторите эти процедуры для папок / Exchweb и / Public из левой панели консоли. Закройте консоль InternetInformationServices(IIS)Manager(УправлениеIIS) после установки принудительной открытой аутентификации на папки Exchange , Exchweb и Public .

Следующим шагом будет установка принудительного использования SSL для соединения с папками OWA -сайта на фильтре web -прокси ISA -сервера (фильтр, а не сервис). Для установки принудительного использования SSL при соединении с папками OWA -сайта предпримем следующие шаги:

  • Нажмите Start(Пуск), затем AdministrativeTools(Администрирование) . Выберите InternetInformationServices(IIS)Manager(УправлениеIIS) . В левой панели консоли InternetInformationServices(IIS)Manager(УправлениеIIS) раскройте имя сервера, а затем узел DefaultWebSite(Web-сайт по умолчанию).
    Теперь установим принудительное SSL -шифрование соединений удаленных пользователей OWA со следующими папками:

    /Exchange
    /Exchweb
    /Public

  • Выделите папку Exchange, а затем правой кнопкой щелкнем по пустой области в правой части консоли и выберите пункт Properties (Свойства) .
  • На странице DirectorySecurity(Безопасность папки) в разделе Securecommunications(Безопасные соединения) нажмите кнопку Edit(Редактировать) .
  • В диалоговом окне SecureCommunications(Безопасные соединения) отметьте опции Requiresecurechannel(SSL) (Требуется защищенный канал (SSL)) и Require128-bitencryption(Требуется 128-битное шифрование) . Нажмите OK .

    Создание сертификата owa exchange 2003 isa

    Рисунок 10
  • В диалоговом окне ExchangeProperties(СвойстваExchange) нажмите Apply(Применить), затем OK .
  • Повторите эти действия для папок /Exchweb и /Public в левой панели консоли. Закройте консоль InternetInformationServices(IIS)Manager(УправлениеIIS) после установки принудительного SSL -шифрования на папки Exchange , Exchweb и Public .

Импорт сертификата web -сайта OWA в хранилище сертификатов на внутреннем ISA -сервере

Сертификат web -сайта должен быть импортирован в хранилище сертификатов на внутреннем ISA -сервере до того, как он будет связан с web -приемником OWA на внутреннем ISA -сервере. Только после того, как сертификат (вместе с закрытым ключом) будет импортирован в хранилище сертификатов на внутреннем ISA -сервере, он будет доступен для привязки.

Замечание: Если сертификат не будет доступен в консоли ISA -сервера при настройке web -приемника, это говорит о том, что Вы не экспортировали закрытый ключ. Повторите процедуру экспорта и не забудьте включить в файл закрытый ключ.

Для импорта сертификата web -сайта OWA в хранилище сертификатов на внутреннем ISA -сервере предпримем следующие шаги:

  • На внутреннем ISA -сервере нажмите Start(Пуск) , а затем Run(Выполнить). Введите mmc в текстовое окно Open(Открыть) и нажмите OK . В консоли Console1 (Консоль 1) в меню File(Файл) нажмите Add/RemoveSnap-in(Добавить/Удалить оснастку) .
  • В диалоговом окне Add/RemoveSnap-in(Добавить/Удалить оснастку) нажмите Add(Добавить).
  • Выберите пункт Certificates(Сертификаты) из списка AvailableStandaloneSnap-in(Доступные изолированные оснастки) в диалоговом окне AddStandaloneSnap-in(Добавить изолированную оснастку) . Нажмите Add(Добавить) .
  • На странице Certificatessnap-in(Оснастка диспетчера сертификатов) выберите опцию Computeraccount(Учетная запись компьютера) и нажмите Next(Далее) .
  • На странице SelectComputer(Выбор компьютера) выберите опцию Localcomputer: (thecomputerthisconsoleisrunningon) (Локальный компьютер (тот, на котором выполняется эта консоль) и нажмите Finish(Завершить) .
  • В диалоговом окне AddStandaloneSnap-in(Добавить изолированную оснастку) нажмите Close(Закрыть) .
  • В диалоговом окне Add/RemoveSnap-in(Добавить/Удалить оснастку) нажмите OK .
  • Правой кнопкой нажмите на узел Personal(Личные) , выберите AllTasks(Все задачи) и нажмите Import(Импорт) .
  • На странице WelcometotheCertificateImportWizard(Начало работы мастера импортасертификатов) нажмите Next(Далее) .
  • Нажмите кнопку Browse(Обзор) и укажите место расположения файла сертификата. После того, как путь к файлу появится в текстовом окне Filename(Имя файла) нажмите Next(Далее) .

    Первое место сервера в сети

    Рисунок 11
  • На странице Password(Пароль) введите пароль к файлу. Не отмечайте опцию Mark this key as exportable. This will allow you to back up or transport you keys at a late time (Пометитьэтотключкакэкспортируемый,чтопозволитВамсохранятьархивнуюкопиюключаиперемещатьего) . Не следует использовать эту опцию, поскольку этот компьютер является краеугольным узлом в сети или в Интернете и он подвержен риску. Злоумышленник может украсть закрытый ключ с этого компьютера, если он помечен как экспортируемый. Нажмите Next(Далее) .
  • На странице CertificateStore(Хранилище сертификатов) убедитесь, что выбрана опция Placeallcertificateinthefollowstore(Поместить все сертификаты в следующее хранилище) и в поле Certificatestore(Хранилище сертификатов) выбрано Personal(Личные) . Нажмите Next(Далее) .
  • Просмотрите установки на странице CompletingtheCertificateImport(Завершение импорта сертификата) и нажмите Finish(Завершить) .
  • В диалоговом окне CertificateImportWizard(завершение работы мастера импорта сертификатов) нажмите OK. Импорт прошел успешно.
  • Вы увидите сертификат web -сайта и сертификат подлинности в правой части консоли. Web -сертификат имеет FQDN ( Fully Qualified Domain Name — полностью определенное имя домена), приписанное к этому web -сайту. Это имя используют удаленные пользователи для доступа к OWA -сайту. Сертификат подлинности должен быть помещен в хранилище TrustedRootCertificationAuthorities\Certificates(Доверенные корневые центра сертификации) . Это значит, что компьютер доверяет сертификату web -сайта, установленному на ней. Дважды щелкните по сертификату web -сайта в правой панели консоли.

    Сертификат для owa

    Рисунок 12
  • Раскройте узел TrustedRootCertificationAuthorities(Доверенные корневые центра сертификации) в левой половине консоли и найдите корпоративный сертификат подлинности, приписанный к сертификату web -сайта. Обратите внимание, что корпоративный сертификат подлинности автоматически появился в папке TrustedRootCertificationAuthorities(Доверенные корневые центра сертификации) , поскольку корпоративный сертификат подлинности и ISA -сервер находятся в одном домене с компьютером сертификата подлинности. Если Вы используете изолированный сертификат подлинности, или ISA -сервер не входит в один домен с сертификатом подлинности, вам потребуется скопировать сертификат подлинности в папку TrustedRootCertificationAuthorities(Доверенные корневые центра сертификации) . В нашем примере мы можем сделать это, нажав правой кнопкой мыши на сертификат подлинности EXCHANGE2003BE и выбрать команду Copy(Копировать) . Затем щелкните на узел \TrustedRootCertificationAuthorities\ Доверенные корневые центра сертификации) и нажмите Paste(Вставить) .

Создание в файле HOSTS записи об адресе web -сайта OWA и запуск мастера web -публикаций OWA

В реальных рабочих условиях Вы создаете распределенную DNS -инфраструктуру, которая позволяет узлам внутренней и внешней сеть правильно разрешать имя OWA -сайта. Мы не создавали такую структуру в нашем примере, поэтому мы будем использовать файл HOSTS на внутреннем ISA -сервере для перевода имени OWA -сайта в его внутренний IP -адрес.

Замечание: Даже если в вашей сети есть распределенная структура DNS , Вы все равно можете внести запись в файл HOSTS на ISA -сервере. Однако помните, что записи в файлах HOSTS и LMHOSTS являются частыми проблемами, поскольку сетевые администраторы часто сталкиваются с вопросами разрешения имен, забывая о записях в файлах HOSTS или LMHOSTS .

Для создания записи в файле HOSTS на внутреннем ISA -сервере предпримем следующие шаги:

  • Зайдите в папку \WINDOWS\system32\drivers\etc и откройте файл hosts .
  • В окне OpenWith(Открыть с помощью) выберите Notepad(Блокнот) инажмите OK .
  • Добавьте в конце открытого файла HOSTS строку, которая будет разрешить имя и перенаправлять соединения на IP -адрес OWA -сервера во внутренней сети. В нашем примере, добавьте следующую строку:

    10.0.0.2 owa.msfirewall.org

    «10.0.0.2» — это IP -адрес OWA -сервера во внутренней сети. Убедитесь, что вы нажали ENTER после добавления строки в конец файла.

    Первое место сервера в сети

    Рисунок 13
  • Закройте Notepad(Блокнот) и нажмите Yes для сохранения изменений в файле.

Теперь мы готовы создать правило публикации OWA на внутреннем сервере. Для этого предпримем следующие шаги:

  • В консоли управления ISA -сервера MicrosoftInternetSecurityandAccelerationServer2004 раскройте имя сервера и выберите узел FirewallPolicy(Политики сервера) . В панели задач выберите Tasks(Задачи) и PublishaMailServer(Публикация почтового сервера) .
  • На странице WelcometotheNewMailServerPublishingRuleWizardНачало работы мастера правил публикации нового почтового сервера) в текстовом окне MailServerPublishingRulename(Имя правила публикации почтового сервера) введите название правила. В нашем примере это PublishOWAWebSite . Нажмите Next (Далее) .
  • На странице SelectAccessType(Выбор типа доступа) выберите опцию Web client access (Outlook Web Access (OWA), Outlook Mobile Access, Exchange Server ActiveSync) и на жмите Next (Далее) .

    Первое место сервера в сети

    Рисунок 14
  • На странице SelectServices(Выбор сервисов) отметьте опцию Outlook Web Access (Web-доступкOutlook) . Убедитесь , что выбрана опция Enable high bit characters used by non-English character sets (Разрешитьсимволы,используемывне-английскихнаборахсимволов) . Эта опция позволяет пользователям OWA использовать не-английские наборы символов. Н а жмите Next (Далее) .

    Первое место сервера в сети

    Рисунок 15
  • На странице BridgingMode(Способ сопряжения) выберите опцию Secureconnectiontoclientsandmailserver(Безопасные соединения клиентов и почтового сервера) и нажмите Next(Далее) . Эта опция создает правило web -публикации, которое обеспечивает безопасное SSL -соединение клиента с OWA -сайтом. Это исключает использования трафика в явном виде, чтобы злоумышленник не смог его анализировать и перехватывать ценную информацию. Клиенты внешней сети используют SSL -соединение и могут быть уверены, что их трафик защищен.

    Первое место сервера в сети

    Рисунок 16
  • На странице SpecifytheWebMailServer(Укажите почтовыйweb-сервер) введите в текстовое поле Webmailserver(Почтовыйweb-сервер) имя внешнего OWA -сайта. В нашем примере это owa.msfirewall.org . Обратите внимание, что это имя Exchange -сервера во внутренней сети, а также имя сертификата OWA -сайта. Вы можете использовать IP -адрес, но это создаст проблемы с SSL -соединениями между внутренним интерфейсом ISA -сервера и OWA -сайтом. Вы можете использовать распределенный DNS или файл HOSTS на ISA -сервере для разрешения этого имени в IP -адрес Exchange -сервера внутренней сети. Н а жмите Next (Далее) .

    Первое место сервера в сети

    Рисунок 17
  • На странице PublicNameDetails(Подробности имени) из списка Acceptrequestsfor(Принимать запросы для) выберите Thisdomainname(typebelow) (Этот домен (обозначен ниже)) . Введите имя, которое пользователи внешней сети будут использовать для доступа к OWA -сайту в текстовое поле Publicname(Имя) . В нашем примере это owa.msfirewall.org . Опять же, это имя, которое пользователи внешней сети используют для доступа к web -сайту, и оно же используется в сертификате. Это же имя пользователи вводят в адресную строку браузера. Н а жмите Next(Далее) .

    Первое место сервера в сети

    Рисунок 18
  • На странице SelectWebListener(Выборweb-приемника) нажмите New(Новый) . Web -приемник работает как web -приемник ISA -сервера 2000, но имеет больше возможностей. Например, Вы можете создать отдельные web -приемники для SSL и не- SSL соединений на одном IP -адресе. В добавок, настройки web -приемника больше не являются глобальными и Вы можете настроить по-своему каждый приемник, и настройки ограничены только привязкой к адресам внешнего интерфейса ISA -сервера.
  • На странице WelcometotheNewWebListenerWizard(Начало работы мастера новогоweb-приемника) введите в поле Weblistenername(Имяweb-приемника) название вашего приемника. В нашем примере это OWASSLListener . Н а жмите Next(Далее) .
  • На странице IPAddresses(IP-адреса) отметьте опцию External(Внешний) и нажмите Address(Адрес) .
  • В диалоговом окне ExternalNetworkListenerIPSelection(ВыборIPвнешнего приемника) выберите опцию Specified IP addresses on the ISA Server computer in the select network (УказанныеIP-адресаISA-сервераввыбраннойсети) . В списке AvailableIPAddresses(ДоступныеIP-адреса) выберите внешний IP -адрес ISA -сервера, который Вы хотите использовать для приема входящих запросов на OWA -сайт. В нашем примере выбираем 10.0.1.2 . Нажмите Add(Добавить) . Теперь IP -адрес появился в списке SelectedIPAddresses(ВыбранныеIP-адреса) . Нажмите OK .
  • На странице IPAddresses(IP-адреса) н а жмите Next(Далее) .
  • На странице PortSpecification(Порт) уберите флажок с опции EnableHTTP(РазрешитьHTTP) . Отметьте опцию EnableSSL(РазрешитьSSL) . Оставьте номер порта SSL443 . Настроив этот приемник на использование только SSL , Вы можете сконфигурировать другой приемник с иными параметрами для не- SSL соединений.
  • Нажмите Select(Выбор) . В диалоговом окне SelectCertificate(Выбор сертификата) выберите сертификат, который вы импортировали на ISA -сервер в хранилище сертификатов и нажмите OK . Обратите внимание, что этот сертификат появится в диалоговом окне только после установки сертификата в хранилище сертификатов на ISA -сервере. К тому же, этот сертификат должен содержать закрытый ключ. Если ключ не был включен, сертификат в списке не появится.

    Первое место сервера в сети

    Рисунок 19
  • Н а жмите Next(Далее) на странице PortSpecification(Порт) .
  • На странице CompletingtheNewWebListener(Завершение создания новогоweb-приемника) нажмите Finish(Завершить) .
  • Теперь сведения о web -приемнике появятся на странице SelectWebListener(Выборweb-приемника) . Нажмите Edit(Изменить) .

    Первое место сервера в сети

    Рисунок 20
  • На странице SelectWebListener(Выборweb-приемника) нажмите Next(Далее) .
  • На странице UserSets(Установки пользователей) примите значение по умолчанию AllUsers(Все пользователи) и нажмите Next(Далее) . Обратите внимание, что это не значит, что все пользователи имеют доступ к OWA -сайту. Доступ имеют только пользователи, успешно прошедшие аутентификацию. Аутентификация производится на OWA -сайте с использованием учетных данных, полученных от ISA -сервера в заголовке HTTP . Нельзя, чтобы и ISA -сервер, и OWA -сайт производили аутентификацию. Поэтому следует дать доступ к правилу всем пользователям. Исключением является случай, когда пользователи аутентифицируются на самом ISA -сервер с использованием сертификата аутентификации.
  • На странице CompletingtheNewMailServerPublishingRuleWizard(Завершение создания правила публикации нового почтового сервера) нажмите Finish(Завершить) .
  • Нажмите Apply(применить) для сохранения изменений и обновления политик сервера.
    22. Нажмите OK в окне Apply New Configuration (Применить новую конфигурацию) .

Публикация сайта web- регистрации

Для того, чтобы доверять сертификату web -сайта на внешнем ISA -сервере, внешнему OWA -клиенту требуется сертификат подлинности при установке SSL -соединения с внешним ISA -сервером. Есть много способов решения этой задачи, но самый простой — сделать корпоративный сайт web -регистрации сертификата подлинности, который будет доступен из внешней сети. Сделаем это путем создания правила web -публикации на внешнем и внутреннем ISA -сервере.

Для публикации корпоративного сайта web -регистрации сертификата подлинности на внутреннем ISA -сервере предпримем следующее:

  • В консоли управления ISA -сервера MicrosoftInternetSecurityandAccelerationServer2004 раскройте имя сервера и выберите узел FirewallPolicy(Политики сервера) .
  • В панели задач выберите Tasks(Задачи) и PublishaWebServer(Публикацияweb-сервера) .
  • На странице WelcometotheNewWebPublishingRuleWizard(Начало работы мастера правил публикации новогоweb-сервера) введите название правила. В нашем примере это PublishWebEnrollment . Н а жмите Next(Далее) .
  • Выберите опцию Allow(Разрешить) на странице SelectRuleAction(Выбор действия правила) .
  • На странице DefineWebsitetoPublish(Определениеweb-сайта для публикации) введите IP -адрес корпоративного сайта сертификата подлинности в поле ComputernameorIPaddress(Имя компьютера илиIP-адрес) . В нашем примере это 10.0.0.2 . В текстовое поле Path(Путь) введите /certsrv/* . Н а жмите Next(Далее) .

    Первое место сервера в сети

    Рисунок 21
  • На странице PublicNameDetails(подробности имени) из списка Acceptrequestsfor(Принимать запросы для) выберите Thisdomainname(typebelow) (Этот домен (обозначен ниже)) . В текстовом поле Publicname(Имя) введите IP -адрес внешнего интерфейса внутреннего ISA -сервера. В нашем примере это адрес 10.0.1.2 . Ввдеите /certsrv/* в текстовое поле Path(optional) (Путь (необязательно)). Н а жмите Next(Далее) .

    Первое место сервера в сети

    Рисунок 22
  • На странице SelectWebListener(Выборweb-приемника) нажмите New(Новый) .
  • На странице WelcometotheNewWebListenerWizard(Начало работы мастера новогоweb-приемника) введите в поле Weblistenername(Имяweb-приемника) название вашего приемника. В нашем примере мы назовем его HTTPListener для определения IP -адреса приемника. Н а жмите Next (Далее) .
  • На странице IPAddresses(IP-адреса) отметьте опцию External(Внешний) и н а жмите Next(Далее) .
  • На странице PortSpecification(Порт) примите значения по умолчанию. Убедитесь, что отмечена опция EnableHTTP(разрешитьHTTP) и порт установлен в значение 80 . Н а жмите Next(Далее) .

    Создание сертификата owa exchange 2003 isa

    Рисунок 23
  • На странице CompletingtheNewWebListener(Завершение создания новогоweb-приемника) нажмите Finish(Завершить) .
  • На странице SelectWebListener(Выборweb-приемника) нажмите Next(Далее) .
  • На странице UserSets(Установки пользователей) примите значение по умолчанию All Users (Всепользователи) и нажмите Next (Далее) .
  • На странице CompletingtheNewWebPublishingRuleWizard(Завершение создания правила публикации новогоweb-сервера) нажмите Finish(Завершить) .
  • Правой кнопкой щелкните на правило PublishWebEnrollmentSite и выберите Properties(Свойства) .
  • В диалоговом окне PublishWebEnrollmentSiteProperties(Свойства правилаPublishWebEnrollmentSite) откройте закладку Paths(Пути) . Нажмите кнопку Add(Добавить) . В диалоговом окне Pathmapping(Привязка пути) добавьте значение /CertControl/* в поле SpecifythefolderontheWebsitethatyouwanttopublish.To publish the entire Web site, leave this field blank (Укажитепапкунаweb-сайте,которуюВы хотите опубликовать. Для публикации всего сайта оставьте это поле пустым) . Нажмите OK .

    Первое место сервера в сети

    Рисунок 24
  • Нажмите Apply(Применить) и OK в диалоговом окне PublishWebEnrollmentSiteProperties(Свойства правилаPublishWebEnrollmentSite) .
  • Нажмите Apply(применить) для сохранения изменений и обновления политик сервера.
  • Нажмите OK в диалоговом окне ApplyNewConfiguration(Применить новую конфигурацию) .

Создание правила доступа «all open» (Все открыто) на внутреннем ISA -сервере.

Exchange -сервер должен отсылать исходящую почту и делать обзор DNS -серверов Интернет. Exchange -серверу также может требоваться доступ к другим протоколам, таким как NNTP , HTTP , HTTPS и POP 3. В реальной сети предприятия Вы должны заранее определить, какие протоколы потребуются Exchange -серверу для внешнего доступа. Также Вы должны определить, какой тип доступа Вы хотите использовать для пользователей, расположенных в подсети, защищенной внутренним ISA -сервером.

В нашем примере мы упростим процесс, разрешив Exchange -серверу доступ ко все протоколам. Обратите внимание, что это мы делаем только для примера, и не следует давать доступ Exchange -серверу на все протоколы в реальной сети предприятия. Это относится и ко всем пользователям и компьютерам. Нельзя создавать правил с открытием всего кроме как для тестирования.

Для создания правила доступа «all open» (Все открыто) на внутреннем ISA -сервере предпримем следующие шаги:

  • В консоли управления внутреннего ISA -сервера MicrosoftInternetSecurityandAccelerationServer2004 раскройте имя сервера и выберите узел FirewallPolicy(Политики сервера) .
  • В панели задач выберите Tasks(Задачи) и CreateNewAccessRule(Создать новое правило доступа) .
  • На странице WelcometotheNewAccessRuleWizard(Начало работы мастера создания нового правила доступа) введите AllOpenforExchangeServer в поле AccessRulename(Имя правила доступа) и нажмите Next(Далее) .
  • Выберите опцию Allow(Разрешить) на странице SelectRuleAction(Выбор действия правила) и нажмите Next(Далее) .
  • На странице Protocols(Протоколы) выберите опцию Alloutboundtraffic(Весь исходящий трафик) из списка Thisruleappliesto(Это правило применяется к) и нажмите Next(Далее) .
  • На странице AccessRuleSources(Источник правила доступа) нажмите Add(Добавить).
  • В диалоговом окне AddNetworkEntities(Добавить сетевые объекты) нажмите New(Новый) , а затем Computer(компьютер) .
  • В диалоговом окне NewComputerRuleElement(Новый элемент правила) введите в текстовое поле Name(Имя)ExchangeServer . В поле ComputerIPAddress(IP-адрес компьютера) введите 10.0.0.2 . Нажмите OK .
  • В диалоговом окне AddNetworkEntities(Добавить сетевые объекты) выберите папку Computers(Компьютеры) и дважды щелкните по пункту ExchangeServer . Нажмите Close(Закрыть) .
  • На странице AccessRuleSources(Источник правила доступа) нажмите Next(Далее) .
  • На странице AccessRuleDestinations(Адресатыправила доступа) нажмите Add(Добавить)
  • В диалоговом окне AddNetworkEntities(Добавить сетевые объекты) выберите папку Networks(Сети) и дважды щелкните по пункту External(Внешний) . Нажмите Close(Закрыть) .
  • На странице AccessRuleDestinations(Адресатыправила доступа) нажмите Next(Далее) .
  • На странице UserSets(Установки пользователей) нажмите Next(Далее) .
  • На странице CompletingtheNewAccessRuleWizard(Завершение создания правила доступа) нажмите Finish(Завершить) .

Импорт сертификата web -сайта OWA в хранилище сертификатов на внешнем ISA -сервере

Сертификат web -сайта должен быть импортирован в хранилище сертификатов на внешнем ISA -сервере до того, как он будет связан с web -приемником OWA . Только после того, как сертификат (вместе с закрытым ключом) будет импортирован в хранилище сертификатов на ISA -сервере, он будет доступен для привязки.

Для импорта сертификата web -сайта OWA в хранилище сертификатов на внешнем ISA -сервере предпримем следующие шаги:

  • На внешнем ISA -сервере нажмите Start(Пуск) , а затем Run(Выполнить). Введите mmc в текстовое окно Open(Открыть) и нажмите OK . В консоли Console1 (Консоль 1) в меню File(Файл) нажмите Add/RemoveSnap-in(Добавить/Удалить оснастку) .
  • В диалоговом окне Add/RemoveSnap-in(Добавить/Удалить оснастку) нажмите Add(Добавить).
  • Выберите пункт Certificates(Сертификаты) из списка AvailableStandaloneSnap-in(Доступные изолированные оснастки) в диалоговом окне AddStandaloneSnap-in(Добавить изолированную оснастку) . Нажмите Add(Добавить) .
  • На странице Certificatessnap-in(Оснастка диспетчера сертификатов) выберите опцию Computeraccount(Учетная запись компьютера) и нажмите Next(Далее) .
  • На странице SelectComputer(Выбор компьютера) выберите опцию Localcomputer: (thecomputerthisconsoleisrunningon) (Локальный компьютер (тот, на котором выполняется эта консоль) и нажмите Finish(Завершить) .
  • В диалоговом окне AddStandaloneSnap-in(Добавить изолированную оснастку) нажмите Close(Закрыть) .
  • В диалоговом окне Add/RemoveSnap-in(Добавить/Удалить оснастку) нажмите OK .
  • Правой кнопкой нажмите на узел Personal(Личные) , выберите AllTasks(Все задачи) и нажмите Import(Импорт) .
  • На странице WelcometotheCertificateImportWizard(Начало работы мастера импортасертификатов) нажмите Next(Далее) .
  • Нажмите кнопку Browse(Обзор) и укажите место расположения файла сертификата. После того, как путь к файлу появится в текстовом окне Filename(Имя файла) нажмите Next(Далее) .
  • На странице Password(Пароль) введите пароль к файлу. Не отмечайте опцию Mark this key as exportable. This will allow you to back up or transport you keys at a late time (Пометитьэтотключкакэкспортируемый,чтопозволитВамсохранятьархивнуюкопиюключаиперемещатьего) . Не следует использовать эту опцию, поскольку этот компьютер является краеугольным узлом в сети или в Интернете и он подвержен риску. Злоумышленник может украсть закрытый ключ с этого компьютера, если он помечен как экспортируемый. Нажмите Next(Далее) .
  • На странице CertificateStore(Хранилище сертификатов) убедитесь, что выбрана опция Placeallcertificateinthefollowstore(Поместить все сертификаты в следующее хранилище) и в поле Certificatestore(Хранилище сертификатов) выбрано Personal(Личные) . Нажмите Next(Далее) .
  • Просмотрите установки на странице CompletingtheCertificateImport(Завершение импорта сертификата) и нажмите Finish(Завершить) .
  • В диалоговом окне CertificateImportWizard(завершение работы мастера импорта сертификатов) нажмите OK. Импорт прошел успешно.
  • Вы увидите сертификат web -сайта и сертификат подлинности в правой части консоли. Web -сертификат имеет FQDN ( Fully Qualified Domain Name — полностью определенное имя домена), приписанное к этому web -сайту. Это имя используют удаленные пользователи для доступа к OWA -сайту. Сертификат подлинности должен быть помещен в хранилище TrustedRootCertificationAuthorities\Certificates(Доверенные корневые центра сертификации) . Это значит, что компьютер доверяет сертификату web -сайта, установленному на ней.

    Создание сертификата owa exchange 2003 isa

    Рисунок 25
  • Правой кнопкой щелкните по сертификату EXCHANGE2003BE в правой панели консоли и нажмите Cut(Вырезать) .

    Первое место сервера в сети

    Рисунок 26
  • Щелкните по узлу \ TrustedRootCertificationAuthorities\Certificates(Доверенные корневые центра сертификации) и нажмите Paste(Вставить) .
  • Сертификат подлинности появится в папке \TrustedRootCertificationAuthorities\CertificatesCertificates(Доверенные корневые центра сертификации) в правой панели консоли .

    Первое место сервера в сети

Рисунок 27

Резюме

В первой части статьи, посвященной публикации OWA -сайтов с сети с двумя ISA -серверами, мы рассмотрели базовые принципы публикации OWA -сайтов и действия по их выполнению. Мы создали сертификат web -сайта OWA , экспортировали его вместе с закрытым ключом, чтобы он мог быть импортирован в хранилище сертификатов на внешнем и внутреннем ISA -сервере. Мы также рассмотрели проблему разрешения имен и создали правило web -публикации OWA на внутреннем ISA -сервере. Во второй части мы завершим настройку внешнего ISA -сервера и протестируем конфигурацию из внешнего источника.

Источник www.isaserver.org










Смотрите также:

Tags: , , , , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]