Если Вы не читали первую часть этой статьи, посмотрите, Конфигурирование ISA-сервера для переадресации пользователей Outlook Web Access (OWA) на правильные папки и протоколы (Часть 1).
В части 1 статьи о том, как переадресовывать пользователей Outlook Web Access (OWA) на правильные папки и протоколы, обсуждались проблемы, связанные с созданием переадресаций для пользователей, которые вводят неверные адреса и протоколы для доступа к сайту OWA. Мы также рассмотрели начальные шаги конфигурации таких переадресаций. Во второй, и последней, части мы пройдемся по всему процессу конфигурации от начала и до конца, логически обосновывая все этапы. После того, как вы предпримите все эти шаги, пользователи смогут вводить неправильные пути и неверные протоколы, однако все равно они будут переадресованы на нужный OWA-сайт. Конечным результатом является уменьшение звонков в службу поддержки пользователей.
В этой статье мы обсудим следующие темы:
Программа WebDirect устанавливается следующим образом:
В этом примере я рассмотрю вариант публикации web-сайта OWA, доступного по адресу https://owa.msfirewall.org/exchange. В нашем случае, в сети существует хорошо организованная инфраструктура раздельного DNS, и пользователи и в корпоративной и во внешней сети используют одно и то же имя для доступа к сайту OWA.
Раздельный DNS — важный компонент для получения оптимального результата для служб Outlook Mobile Access (OMA), ActiveSync, протокола удаленного вызова процедур (RPC) поверх HTTP и защищенного RPC публикаций Exchange (secure Exchange RPC Publishing). Раздельный DNS позволяет внешним адресам разрешать адрес owa.msfirewall.org на внешний IP-адрес через ISA-сервер, а внутренним адресам разрешать адрес owa.msfirewall.org на IP-адрес сайта во внутренней сети.
Также нам нужно использовать SSL-сопряжение, для того, чтобы достигнуть максимального уровня безопасности и избежать серьезных ошибок, связанных с сопряжением SSL и HTTP (сопряжение SSL и HTTP упомянуто только для того, чтобы избежать его). Сертификат web-сайта, связанный с OWA-сайтом, обычно имеет имя вида owa.msfirewall.org и этот сертификат экспортируется с открытым ключом и устанавливается в хранилище сертификатов ISA-сервера.
Для создания правила web-публикации OWA предпринимаются следующие шаги:
Следующим шагом является создания правила web-публикации, которое защитит нас от пользователей, вводящих правильный протокол, но забывающих вводить путь к папке /exchange. Это правило использует возможности переадресации ISA-сервера, так что все соединения к сайту https://owa.msfirewall.org будут перенаправляться на папку /Exchange OWA-сайта.
Для создания этого правила сделайте следующее:
Последнее правило, которое защитит нас от пользователей, вводящих неправильный протокол. Когда пользователь вводит адрес http://owa.msfirewall.org (неважно, с указанием полного пути или нет), он будет автоматически переадресован на https://owa.msfirewall.org. Эта переадресация отсылает их к правилу переадресации пути на Exchange, которое дает им доступ к папке /Exchange и не дает свернуть с верного пути.
Для создания правила переадресации HTTP на HTTPS выполните следующие шаги:
Последний шаг — расставить правила в правильном порядке:
Нажмите Apply для сохранения сделанных изменений в политике ISA-сервера, а затем в диалоговом окне Apply New Configuration нажмите OK.
Теперь протестируем нашу конфигурацию, чтобы проверить, действительно правила, которые мы создали, защищают нас от невнимательных и упрямых пользователей, которые вводят неправильный путь или протокол. Проведем тест, используя следующие адреса:
Для первого теста введем в web-браузере адрес http://owa.msfirewall.org и нажмем ENTER. Появится экран с формой для аутентификации OWA. Вводим правильные данные и нажимаем Log On. Значения файла журнала в этом случае таковы:
192.168.1.164 | 127.0.0.0 | 1 | http | Redirect HTTP to HTTPS | http://redirect: https://owa.msfirewall.org/ |
192.168.1.164 | 192.168.1.70 | 443 | https | http://owa.msfirewall.org/ | |
192.168.1.164 | 192.168.1.70 | 443 | https | http://owa.msfirewall.org/ CookieAuth.dll?GetLogon?url=%2F&reason=0 | |
192.168.1.164 | 192.168.1.70 | 443 | https | http://owa.msfirewall.org/ CookieAuth.dll?GetPic?image=logon_IE_top.gif | |
192.168.1.164 | 192.168.1.70 | 443 | https | http://owa.msfirewall.org/ CookieAuth.dll?GetPic?image=spacer.gif | |
192.168.1.164 | 192.168.1.70 | 443 | https | http://owa.msfirewall.org/ CookieAuth.dll?GetPic?image=logon_Microsoft.gif | |
192.168.1.164 | 192.168.1.70 | 443 | https | http://owa.msfirewall.org/ CookieAuth.dll?GetPic?image=logon_logo.gif | |
192.168.1.164 | 192.168.1.70 | 443 | https | http://owa.msfirewall.org/ CookieAuth.dll?GetPic?image=logon_IE_bot.gif | |
192.168.1.164 | 192.168.1.70 | 443 | https | http://owa.msfirewall.org/ CookieAuth.dll?Logon | |
192.168.1.164 | 10.0.0.2 | 443 | https | Redirect Absent Path to Exchange | http://owa.msfirewall.org: 443/Exchange%5C |
192.168.1.164 | 10.0.0.2 | 443 | https | OWA | http://owa.msfirewall.org: 443/Exchange/ |
192.168.1.164 | 10.0.0.2 | 443 | https | OWA | http://owa.msfirewall.org: 443/Exchange/Administrator/?Cmd=navbar |
192.168.1.164 | 10.0.0.2 | 443 | https | OWA | http://owa.msfirewall.org: 443/Exchange/Administrator/Inbox/?Cmd=contents |
192.168.1.164 | 10.0.0.2 | 443 | https | OWA | http://owa.msfirewall.org: 443/exchweb/6.5.7226.0/controls/tf_TwoLine.xsl |
192.168.1.164 | 10.0.0.2 | 443 | https | OWA | http://owa.msfirewall.org: 443/Exchange/Administrator/Inbox/ |
192.168.1.164 | 10.0.0.2 | 443 | https | OWA | http://owa.msfirewall.org: 443/Exchange/Administrator/Calendar |
192.168.1.164 | 10.0.0.2 | 443 | https | OWA | http://owa.msfirewall.org: 443/Exchange/Administrator/Tasks |
192.168.1.164 | 10.0.0.2 | 443 | https | OWA | http://owa.msfirewall.org: 443/Exchange/Administrator/Tasks |
192.168.1.164 | 10.0.0.2 | 443 | https | OWA | http://owa.msfirewall.org: 443/Exchange/Administrator/Calendar |
Посмотрим, что произошло. Первый запрос вызывает к действию правило переадресации HTTP на HTTPS, которое делает переадресацию на http://redirect:https:/owa.msfirewall.org. Это отсылает пользователя к правилу переадресации пути на Exchange и создает форму для ввода учетных данных. После прохождения пользователем аутентификации автоматически запускается на выполнение правило web-публикации OWA, поскольку оно стоит выше других правил в политике и включает в себя правильный путь (на самом деле, OWA-сайт возвращает этот путь клиенту, вот почему пользователь не должен заново вводить учетные данные или адрес).
Теперь Мы протестируем второе правило, введя верный протокол, но неправильный адрес https://owa.msfirewall.org. Мы видим, что правило переадресации HTTP на HTTPS не сработало, а работает правило переадресации пути на Exchange. Затем запускается правило web-публикации OWA и пользователь получает доступ к сайту.
192.168.1.164 | 192.168.1.70 | 443 | https | http://owa.msfirewall.org/ | |
192.168.1.164 | 192.168.1.70 | 443 | HTTPS | — | |
192.168.1.164 | 192.168.1.70 | 443 | https | http://owa.msfirewall.org/ CookieAuth.dll?GetLogon?url=%2F&reason=0 | |
192.168.1.164 | 192.168.1.70 | 443 | https | http://owa.msfirewall.org/ CookieAuth.dll?GetPic?image=logon_IE_top.gif | |
192.168.1.164 | 192.168.1.70 | 443 | https | http://owa.msfirewall.org/ CookieAuth.dll?GetPic?image=spacer.gif | |
192.168.1.164 | 192.168.1.70 | 443 | https | http://owa.msfirewall.org/ CookieAuth.dll?GetPic?image=logon_logo.gif | |
192.168.1.164 | 192.168.1.70 | 443 | https | http://owa.msfirewall.org/ CookieAuth.dll?GetPic?image=logon_IE_bot.gif | |
192.168.1.164 | 192.168.1.70 | 443 | https | http://owa.msfirewall.org/ CookieAuth.dll?GetPic?image=logon_Microsoft.gif | |
192.168.1.164 | 192.168.1.70 | 443 | HTTPS | — | |
192.168.1.164 | 192.168.1.70 | 443 | https | http://owa.msfirewall.org/ CookieAuth.dll?Logon | |
10.0.0.1 | 10.0.0.2 | 443 | HTTPS | — | |
192.168.1.164 | 10.0.0.2 | 443 | https | Redirect Absent Path to Exchange | http://owa.msfirewall.org: 443/Exchange%5C |
192.168.1.164 | 192.168.1.70 | 443 | HTTPS | — | |
192.168.1.164 | 192.168.1.70 | 443 | HTTPS | — | |
192.168.1.164 | 192.168.1.70 | 443 | HTTPS | — | |
192.168.1.164 | 10.0.0.2 | 443 | https | OWA | http://owa.msfirewall.org: 443/Exchange/ |
192.168.1.164 | 10.0.0.2 | 443 | https | OWA | http://owa.msfirewall.org: 443/Exchange/Administrator/?Cmd=navbar |
10.0.0.1 | 10.0.0.2 | 443 | HTTPS | — | |
192.168.1.164 | 192.168.1.70 | 443 | HTTPS | — | |
192.168.1.164 | 10.0.0.2 | 443 | https | OWA | http://owa.msfirewall.org: 443/Exchange/Administrator/Inbox/?Cmd=contents |
192.168.1.164 | 10.0.0.2 | 443 | https | OWA | http://owa.msfirewall.org: 443/exchweb/6.5.7226.0/controls/tf_TwoLine.xsl |
192.168.1.164 | 10.0.0.2 | 443 | https | OWA | http://owa.msfirewall.org: 443/Exchange/Administrator/Inbox/ |
192.168.1.164 | 10.0.0.2 | 443 | https | OWA | http://owa.msfirewall.org: 443/Exchange/Administrator/Calendar |
192.168.1.164 | 10.0.0.2 | 443 | https | OWA | http://owa.msfirewall.org: 443/Exchange/Administrator/Tasks |
192.168.1.164 | 10.0.0.2 | 443 | https | OWA | http://owa.msfirewall.org: 443/Exchange/Administrator/Calendar |
192.168.1.164 | 10.0.0.2 | 443 | https | OWA | http://owa.msfirewall.org: 443/Exchange/Administrator/Tasks |
Мы не будем отдельно тестировать правило web-публикации OWA, поскольку в предыдущих примерах мы видели, что оно работает. Когда пользователи вводит правильный путь и протокол (https://owa.msfirewall.org/exchange), перед ними сразу возникает форма для ввода учетных данных и они получают доступ на сайт OWA.
Очень важным пунктом является использование принудительной аутентификации на ISA-сервере в правиле переадресации пути на Exchange. В нашем примере, мы использовали принудительную аутентификацию в двух случаях: мы сконфигурировали web-сервер приемки запросов так, чтобы он всегда требовал аутентификацию пользователей, а также правило создано таким образом, что оно работает только для аутентифицированных пользователей. Принудительная аутентификация на приемнике и конфигурация правила, предназначенного только для зарегистрированных пользователей является излишней, однако это было сделано как мера предосторожности, чтобы убедиться, что никаких ошибок в работе нет, и чтобы везде на ISA-сервере использовалась принудительная аутентификация.
Если Вы не используете принудительную аутентификацию и форму для ввода учетных данных в правиле переадресации пути на Exchange, могут произойти непредвиденные вещи. Так, перед Вами может высветиться обычное диалоговое окно для аутентификации, а не форма для ввода учетных данных, созданная ISA-сервером. После ввода данных Ваш браузер зависнет в бесконечном цикле.
Однако если Вы не используете принудительную аутентификацию в правиле переадресации пути на Exchange, но используете форму для ввода учетных данных, перед Вами высветится обычное диалоговое окно для аутентификации, а затем — форма для ввода учетных данных. После регистрации в форме доступ на сайт откроется.
Итог:
создавая правила, создайте правило переадресации пути на Exchange так, чтобы оно аутентифицировало пользователя, используя форму для ввода учетных данных, как и описано в этой статье.
В этой статье мы рассмотрели, что следует предпринят для помощи пользователям, которые вводят неправильный протокол и путь для доступа к сайту Outlook Web Access (OWA) сервера Exchange. Были созданы три правила: одно с помощью мастера OWA Web Publishing Rule Wizard, другое, которое переадресует на правильный адрес, если верный путь отсутствует (или же указанный путь неверный), и третье, которое переадресует запросы протокола HTTP на протокол HTTPS. Хотя переадресация может быть безопасно выполнена с использованием встроенных возможностей ISA-сервера, для переадресации и пути, и протокола одновременно требуется более серьезное решение. Эту проблему решает программа WebDirect. Также она предоставляет важную функциональность протоколу HTTP, которая отсутствует в стандартной установке ISA-сервера.
Источник http://www.msexchange.org