Tuesday, October 23rd, 2018

Публикация Web доступа к Outlook и Outlook RPC/HTTP с помощью аутентификации, основанной на формах в ISA Server 2006 Enterprise Edition (Часть 1)

Published on Февраль 10, 2009 by   ·   Комментариев нет

В этой статье мы обсудим лабораторную среду (lab environment) и рассмотрим несколько фоновых и поддерживающих сетевых служб. В следующей статье мы рассмотрим проблемы, связанные с установкой DNS и сертификатов, а также приступим к конфигурации брандмауэра ISA.

Если вы пропустили остальные части этой серии статей, пожалуйста прочтите:

ISA Server 2006 – это многофункциональное универсальное устройство управления (universal threat management — UTM), которое включает корпоративный брандмауэр, VPN сервер удаленного доступа, VPN шлюз, Web proxy и кэш-сервер (caching server). Брандмауэр ISA можно настроить для выполнения как одной из этих ролей, так и любой их комбинации. Не взирая на ваш сценарий установки, брандмауэр ISA всегда производит проверку всех соединений, проходящих через брандмауэр, на прикладном и пакетном уровне.

Основной сценарий для брандмауэра ISA в корпоративной среде заключается в обеспечении безопасного удаленного доступа к Web службам Microsoft Exchange Server Web services. Эти Web службы включают:

  • Web доступ к Outlook (Outlook Web Access — OWA)
  • Мобильный доступ к Outlook (Outlook Mobile Access – OMA) – (планируется к выпуску и не включена в Exchange 2007)
  • Exchange ActiveSync (EAS – для мобильных телефонов и карманных ПК, работающих под управлением Windows Mobile)
  • Outlook RPC/HTTP (поддерживает соединения Outlook MAPI с помощью SSL на HTTP в качестве прикладного транспортного протокола)

В этой статье мы сфокусируемся на следующем:

  • Установка единичного брандмауэра ISA Server 2006 Enterprise Edition для единичного члена массива, подключенного к домену
  • Единый IP адрес на внешнем интерфейсе брандмауэра ISA
  • Единый Web listener (слушатель) для поддержки двух OWA публикаций с помощью аутентификации, основанной на формах (forms-based authentication) и RPC/HTTP

В этот раз я не буду рассказывать о проблемах с Windows Mobile. В ISA Server 2006 включена новая возможность, которая позволяет вам публиковать OWA Web сайты с помощью аутентификации, основанной на формах (forms-based authentication). И в то же время есть возможность использовать тот же самый Web listener (приемник), для публикации приложений, которые не поддерживают аутентификацию, основанную на формах (forms-based authentication — FBA). Основной сценарий для использования этой новой возможности – это RPC/HTTP. В ISA 2004 вы не можете использовать то же самый Web listener (приемник) для публикации OWA/FBA и RPC/HTTP, т.к. клиент Outlook 2003 не знает, как обрабатывать форму. Из-за этого вы должны использовать два различных Web listener, два различных сертификата и два IP адреса для публикации OWA/FBA и RPC/HTTP.

Решение этой проблемы в ISA Server 2006 заключается в определение заголовка клиентского агента при запросе. Если заголовок не принадлежит клиенту Web браузером, то брандмауэр ISA может перейти на другой механизм аутентификации. В случае RPC/HTTP отступной механизм аутентификации – это основная аутентификация, в то же время – это предпочитаемый механизм аутентификации для клиентов Outlook RPC/HTTP по безопасному соединению SSL. Эта статья будет сфокусирована на этой новой возможности.

В этой статье мы обсудим лабораторную среду и рассмотрим несколько фоновых сетевых служб поддержки. В следующей статье мы рассмотрим проблемы, связанные с установкой DNS и сертификатов и приступим к настройке брандмауэра ISA.

Описание лабораторной среды

На рисунке ниже показан обзор лабораторной среды. Все компьютеры расположены в одном сегменте сети и тем самым представляют единую зону безопасности (security zone). В промышленной среде это может быть сегмент сетевых служб или даже аутентифицированный доступ к DMZ, хотя контроллер домена (DC) может не иметь аутентифицированного доступа к DMZ. Решение заключается в том, что существует много возможных сетевых топологий для безопасной публикации OWA и RPC/HTTP.

Один важный момент в правилах безопасной публикации Exchange Web служб заключается в том, что в идеале у вас должно быть три IP адреса и три различных URL для поддержки публикации OWA, ActiveSync/OMA и RPC/HTTP. Причина этого заключается в том, что конфигурация безопасного фильтра для HTTP (HTTP Security Filter configuration) для каждой из этих Web служб сильно отличается, и безопасность конфигурации вынуждает вас настроить безопасный фильтр HTTP (HTTP Security Filter) отдельно для каждого правила публикации Web Publishing Rule. Для того чтобы поддерживать эту безопасную конфигурацию, вам нужно как минимум три IP адреса, связанных с внешним интерфейсом брандмауэра ISA. Однако, стоит отметить, что конфигурация безопасного фильтра HTTP (HTTP Security Filter configuration) выполнена на основе правил, поэтому потенциально вы можете сделать это, создав три различных правила. Об этом я расскажу в следующей статье и покажу вам, почему вы можете захотеть использовать эту альтернативную конфигурацию.

В этой статье я хочу продемонстрировать новую возможность сервера ISA Server 2006, которая позволяет вам использовать один Web listener (приемник) для OWA/FBA и RPC/HTTP, в результате чего нам понадобится только один IP адрес на внешнем интерфейсе брандмауэра ISA для поддержки конфигурации. К тому же, я использую эту возможность для того, чтобы продемонстрировать новую функциюь сервера ISA Server 2006 под названием Web farm load balancing, которая включает инструменты по балансированию нагрузки и прозрачное преодоление отказов  опубликованных Web форм, таких как набор front-end серверов Exchange Servers.

В этой лабораторной среде я использую единый сетевой сегмент для всех служб. Многие администраторы Exchange предпочитают эту топологию, т.к. она проще в использовании и не требует от вас четкого понимания богатых возможностей брандмауэра ISA. К тому же, кажется, что команда разработчиков Microsoft Exchange Server решила, что это достаточно безопасная конфигурация, и поэтому они используют эту модель в большинстве документаций, посвященных брандмауэру ISA.

Примечание: В следующих статьях я расскажу о том, как использовать более безопасную конфигурацию при использовании трех IP адресов, трех Web listener и трех различных правил публикаций Web Publishing Rules для поддержания лучшего уровня безопасности опубликованных Exchange Web служб.

Isa 2006 публикация мобильный outlook

Рисунок 1

В Таблице 1 приведена основная информация о конфигурации каждого из компьютеров в лаборатории.

Название машины (Machine name) DC BEEXCAHNGE2003 FE1EXCHANGE FE2EXCHANGE ISA2006SE**
Информация об IP адресе IP адрес: 10.0.0.2/24 Шлюз по умолчанию: 10.0.0.1 DNS: 10.0.0.2 IP адрес: 10.0.0.3/24 Шлюз по умолчанию: 10.0.0.1 DNS: 10.0.0.2 IP адрес: 10.0.0.4/24 Шлюз по умолчанию: 10.0.0.1 DNS: 10.0.0.2 IP адрес: 10.0.0.5/24 Шлюз по умолчанию: 10.0.0.1 DNS: 10.0.0.2 EXT IP адрес: 192.168.1.71/24 Шлюз по умолчанию: 192.168.1.60/24 INT IP адрес: 10.0.0.1/24 DNS: 10.0.0.2*
ОС (OS) Windows Server 2003 SP1 Windows Server 2003 SP1 Windows Server 2003 SP1 Windows Server 2003 SP1 Windows Server 2003 SP1
Установленные сетевые службы DHCP DNS Enterprise CA IAS WINS Active Directory CMAK Microsoft Exchange Server 2003 SP2 Настроен в качестве back-end Exchange Server Microsoft Exchange Server SP2 Настроен в качестве первого из двух front-end серверов Exchange Microsoft Exchange Server SP2 Настроен в качестве второго из двух front-end серверов Exchange ISA Server 2006 Enterprise Edition в качестве одного члена массива (single member array) CSS установленный на брандмауэре (firewall) Член пользовательского домена (рекомендуемая конфигурация)
Установленные сертификаты CA certificate for enterprise CA installed on the DC CA certificate for enterprise CA installed on the DC CA certificate for enterprise CA installed on the DC Web site certificate with common/subject name owa.msfirewall.org installed on the default Web site CA certificate for enterprise CA installed on the DC Web site certificate with common/subject name owa.msfirewall.org installed on the default Web site CA certificate for Enterprise CA Web site certificate with common/subject name owa.msfirewall.org installed in machine certificate store to be used by Web listener
Примечания: DC – это контроллер домен в этой сети, где все компьютеры являются членами домена msfirewall.org. Все сетевые службы поддержки, необходимые для брандмауэра  ISA firewall установлены на DC. Это не означает представлять рекомендуемую безопасную конфигурацию. Например, сервера DHCP лучше размешать на компьютерах, которые не являются DC. Некоторые службы, как CMAK и IAS устанавливаются для поддержки конфигураций, которые не обсуждаются в этой статье. BEEXCHANGE2003 — back-end сервер Exchange в том же домене, как и все другие компьютеры. Этот back-end сервер Exchange Server будет back-end для двух front-end серверов Exchange. Обратите внимание, что это не значит представлять предпочтительную конфигурацию. В зависимости от число почтовых ящиков, может понадобиться два или более back-end Exchange серверов. FE1EXCHANGE – первый из двух front-end серверов Exchange. На этой машине размещаются OWA front-end и RPC/HTTP proxy сайты. FE1EXCHANGE – первый из двух front-end серверов Exchange. На этой машине размещаются OWA front-end и RPC/HTTP proxy сайты. * Важно настроить адрес сервера DNS на брандмауэре ISA и этот адрес сервера DNS настраивается только для внутреннего интерфейса брандмауэра ISA. **Название сервера  должен отражать, что это брандмауэр Standard Edition firewall. В этой лаборатории на машине  ISA2006SE установлен ISA Server 2006 Enterprise Edition. Брандмауэр ISA – это член домена, который имеет более безопасную конфигурацию. Обратите внимание, что шлюз по умолчанию в этой лаборатории для внешнего адреса брандмауэра ISA.

Таблица 1: Информация о конфигурации на лабораторных машинах

У контроллера домена DC есть некоторое число установленных на нем сетевых служб, которые используются для поддержки конфигурации брандмауэра ISA для нескольких различных сценариев. Одна из наиболее частых ошибок при настройке и установке брандмауэра ISA – это установка и настройка этих сетевых служб поддержки до того, как установлен и настроен сам брандмауэр ISA.

Эти сетевые службы включают в себя:

  • DHCP
    При установке брандмауэра ISA DHCP обеспечивает поддержку информации об IP адресации для удаленного доступа для клиентов VPN и шлюзов VPN. Т.к. DHCP не требуется в этих сценариях, то вы можете сильно упростить установку с помощью DHCP для адресации клиентов и шлюзов VPN. Мы не будем использовать службы DHCP в этой статье, но мы будем использовать их в наших следующих статьях, посвященных конфигурации ISA Server 2006, удаленного доступа к VPN серверу и VPN шлюза.
  • DNS
    DNS – это очень важная сетевая служба, от которой очень сильно зависит брандмауэр ISA. Брандмауэр ISA использует DNS для выполнения прямых (forward) и обратных (reverse) поисков исходящих запросов, входящих запросов и для определения их контроллера домена (domain controller). Инфраструктура DNS должна быть установлена и правильно настроена перед установкой брандмауэра ISA.
  • IAS (RADIUS)
    Брандмауэр ISA можно настроить для использования аутентификации RADIUS для входящих и исходящих Web соединений через Web прокси фильтр брандмауэра ISA. Дополнительно, брандмауэр ISA может использовать аутентификацию RADIUS для конфигураций удаленного доступа к VPN и VPN шлюза. Мы не будем использовать аутентификацию RADIUS в этой статье, кроме службы, установленной для поддержки аутентификации RADIUS в следующих статьях.
  • Certificate Services (службы сертификатов)
    Службы сертификатов – это основной компонент любого сценария для безопасной публикации Exchange с помощью брандмауэра ISA. Брандмауэр ISA использует службы сертификатов для поддержки безопасной публикации Web, которые выполняют роль опубликованных серверов. Web сервера должны иметь сертификаты Web сайтов установленные таким образом, что бы брандмауэр мог обеспечить безопасную связь SSL к SSL. Эти сертификаты Web сайтов экспортируются наряду с закрытыми ключам (private keys) и устанавливаются в хранилище сертификатов на брандмауэре ISA. Это позволяет брандмауэру ISA использовать эти сертификаты в Web listeners, используемых в правилах публикации Web Publishing Rules, которые публикуют безопасные службы Exchange Web.
  • WINS
    WINS обеспечивает поддержку соглашений по наименованию для имен (компьютеров) NetBIOS. Пользователи во многих компаниях знакомы с подключением к корпоративным ресурсам, используя название компьютера вместо полного доменного имени (qualified domain name). Проблема заключается в том, что ни одна пользовательская машина не настроена так, чтобы правильно квалифицировать неквалифицированный запрос, и поэтому надо быть в состоянии сделать откат назад на NetBIOS наименование. WINS очень важен, если вы планируете использовать брандмауэр ISA в качестве удаленного доступа к серверу VPN, однако в этой статье он упоминаться не будет.
  • CMAK
    CMAK (Connection Manager Administration Kit) используется для создания клиентских пакетов VPN, которые пользователи могут устанавливать при помощи одного нажатия мыши. Пакеты CMAK могут быть отправлены пользователям по почте, или вы можете послать им инструкцию по загрузке клиентского пакета CMAK VPN с Web или FTP сайта. Пакет CMAK можно настроить для предоставления особых настроек безопасности, которые необходимы для обеспечения безопасности в вашей организации. CMAK используется для поддержки брандмауэра ISA, если он настроен для работы в качестве удаленного доступа к VPN серверу. В этой статье CMAK упоминаться не будет.

На компьютере BEEXCHANGE2003 установлен Exchange 2003 SP2 под управлением операционной системы Windows Server 2003. Эта машина выполняет роль back-end сервера Exchange и является членом домена msfirewall.org, как и все остальные машины в этой лаборатории.

Компьютеры FE1EXCHANGE и FE2EXCHANGE выполняют роль front-end серверов Exchange для компьютера BEEXCHANGE2003. На этих машинах установлен RPC/HTTP прокси (proxy), поэтому они могут работать в качестве RPC proxy для клиентов Outlook 2003. Front-end сервера Exchange принадлежат домену msfirewall.org, как и все машины в этой лаборатории. Сертификат Web сайта связан с Web сайтом на двух этих машинах с помощью имени owa.msfirewall.org.

Компьютер ISA2006SE работает в полноценном режиме брандмауэра с внешним интерфейсом, подключенным к внешней сети, и внутренним интерфейсом, подключенным к внутренней сети. Брандмауэр ISA выполняет роль одного члена массива на одной машине с помощью ISA Server 2006 Enterprise Edition. Т.к. это член массива на одной машине, то не нужен сетевой интерфейс внутри массива. Если бы я настраивал компьютер в качестве члена массива на нескольких машинах (multiple machine array), то каждая машина должна будет иметь три интерфейса, чтобы третий интерфейс выполнял роль NIC внутри массива.

Брандмауэр ISA настроен в качестве члена домена для усиления общей безопасности сети. Если брандмауэр ISA не является членом домена, то мы можем не использовать прозрачную аутентификацию для клиентов Web proxy и брандмауэра. В действительности, мы вовсе можем не использовать клиент брандмауэра, что значительно ограничивает количество протоколов, которые мы можем использовать для исходящего доступа. Мы также не сможем получить информацию о приложениях, которые используют пользователи для доступа к интернету без поддержки клиента брандмауэра.

Примечание: Будет не совсем точно сказать, что клиент брандмауэра не поддерживается, если брандмауэр ISA не является членом домена пользователя. Вы можете использовать клиента брандмауэра, если у вас есть зеркальная копия учетной записи пользователя на брандмауэре ISA firewall. Зеркальные копии учетных записей пользователей должны иметь такое же имя и пароль, что и в учетной записи в домене. Это нереальный сценарий в корпоративной среде, т.к. такая конфигурация не очень масштабируема.

Мы также можем использовать брандмауэр ISA для выполнения основной аутентификации, что позволяет брандмауэру ISA производить предварительную аутентификацию пользователей и передавать эти учетные записи и пароли на front-end сервера Exchange. Благодаря основной аутентификации, брандмауэр ISA сначал проводит аутентификацию и авторизацию соединений пользователя и если пользователь успешно аутентифицирован и имеет права для подключения к OWA или RPC/HTTP сайтам, то брандмауэр ISA передает учетные записи и пароли на front-end сервера Exchange. Таким образом пользователю не надо проходить аутентификацию во второй раз.

Резюме

ISA Server 2006 – это брандмауэр (firewall), VPN сервер для удаленного доступа, VPN шлюз (gateway), Web proxy и кэш-сервер. Один из основных сценариев установки брандмауэра ISA в качестве сервера reverse proxy заключается в предоставлении безопасного удаленного доступа к Web службам Microsoft Exchange Web. Брандмауэр ISA в нужный момент приходит на помощь, позволяя вам создавать безопасные правила публикации Web Publishing Rules с минимальными затратами сил и времени.

В этой серии статей я расскажу о концепциях, принципах и практиках публикации OWA и RPC/HTTP Web сайтов с помощью брандмауэра ISA используя всего однин внешний IP адрес.Существует множество возможных топологий и конфигураци, из которых я решил выбрать именно эту конфигурацию для моей первой статьи, посвященной публикации Web (Web Publishing) для ISA Server 2006. Именно потому, что она лучшим образом позволяет показать на примере о новых возможностях публикации OWA и RPC/HTTP сайтов с помощью одного IP адреса.

В продолжении статьи я расскажу о возникающих проблемах с DNS и сертификатами в такой конфигурации сети. Правильная настройка DNS очень важна, но очень часто ее недооценивают, что приводит к неправильной работе. Также я расскажу об установке сертификатов (certificate deployment) и соглашениях по наименованию (naming conventions), которые тесно связаны с соглашениями по наименованию DNS. До новых встреч!

www.isaserver.org








Смотрите также:

Tags: , , , , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]