Sunday, November 18th, 2018

Настройка сервера ISA Server 2004 для работы в качестве front-end сервера Exchange в DMZ (Часть 2)

Published on Январь 16, 2009 by   ·   Комментариев нет

Во второй части я более подробно рассмотрю задачи по настройке ISA Server 2004 в роли обратного прокси-сервера в DMZ, защищенной двумя другими брандмауэрами.

Если вы пропустили первую часть статьи, прочтите ее

Мы рассмотрим, как настроить и максимально защитить такую конфигурацию.

Данная схема обычно разрабатывается для того, чтобы небольшие и средние организации (а иногда и большие) могли безопасно публиковать:

  • Outlook Web Access
  • Outlook Mobile Access
  • Exchange Server Sync
  • Службы RPC поверх HTTPS

Подготовка окружения

До начала установки вы должны определиться с аппаратным обеспечением для вашего обратного прокси-сервера. Поскольку он будет защищен двумя аппаратными брандмауэрами, вам придется использовать только одну сетевую карту. Это облегчает процесс настройки. Для того, чтобы все работало корректно, вам необходимо выбрать шаблон “Single Network Adapter” (Один сетевой адаптер). Данный выбор означает, что все IP-адреса будут внутренними/

Настройка служб RADIUS/IAS

В вашей внутренней сети должна быть доступна служба IAS. Данная служба может быть установлена на любой компьютер под управлением Windows Server 2003. Если вы хотите добиться высокой работоспособности, продумайте возможность использования двух служб IAS.

678

Рисунок 1: Установка службы IAS

После установки служб IAS вам нужно настроить их на распознавание клиентов RADIUS для ISA-сервера в DMZ. Обычно соединения используют известные порты RADIUS: 1812 и 1813, но для большей безопасности я бы предложил настроить собственные порты.

689

Рисунок 2: Настройка портов для IAS

Наконец, с помощью оснастки IAS вы должны убедиться, что IAS-сервер зарегистрирован в Active Directory (Рисунок 3).

698

Рисунок 3: Регистрация IAS в Active Directory

После завершения работы в Active Directory нужно настроить соединения ISA-сервера и служб IAS.

709

Рисунок 4: Настройка службы IAS на поддержку ISA-сервера

7113

Рисунок 5: Настройка параметра Shared Secret службы IAS

Служба IAS будет более защищена, если вы настроите все запросы на использование в них атрибута Message Authenticator (Аутентификатор сообщения).

7211

Рисунок 6: Подготовка сервера ISA Server 2004

Теперь ISA-сервер знает о существовании IAS-клиента и сможет общаться со службами IAS.

Защита конфигурации

Если вы хотите, чтобы ваши соединения были максимально защищены, вам необходимо настроить HTTPS между внешней сетью и ISA-сервером, и между ISA-сервером и Exchange-сервером. Для вашего URL используйте сертификат web-сервера. Вследствие внутренних проблем ISA-сервера, предпочтительным решением является использование только одного сертификата на обоих серверах.

Использование одного сертификата – крайне простое решение, однако, вам нужно будет создать область DNS для внутреннего сервера и убедиться, что сервер, выдавший сертификат, находится в хранилище доверенных корневых центрах сертификации.

Настройка web-публикации

Мы закончили подготовительные настройки. Теперь настроим работу обратного прокси.

7310

Рисунок 7: Создание нового правила публикации почтового сервера

Вначале мы должны создать новое правило публикации почтового сервера для нашего Exchange-сервера.

749

749Рисунок 8: Выбор службы для публикации

Далее, мы должны выбрать нужную службу для публикации. Здесь нам необходим первый вариант, поскольку мы будем публиковать службы Exchange-сервера напрямую.

759

Рисунок 9: Выбор почтовых служб

Теперь выберем почтовые службы, которые мы хотим опубликовать.

768

Рисунок 10: Выбор метода сопряжения

Для большей безопасности весь трафик от внешней сети в ISA-серверу и от ISA-сервера к Exchange-серверу должен быть зашифрован. Сопряжение означает, что для проверки пакетов в целях безопасности будут использоваться фильтры приложений.

778

Рисунок 11: Настройка внутреннего почтового сервера

Введите IP-адрес или FQDN внутреннего почтового сервера, т.е. вашего Exchange-сервера.

788

Рисунок 12: Настройка доменного имени

Теперь вы должны выбрать имя для внутренней службы, которое также является адресом URL, выбранном вами для SSL-сертификата.

798

Рисунок 13: Настройка нового web-приемника на соответствующем IP-адресе

Теперь выберите верный IP-адрес, на котором ISA-сервер будем принимать входящие запросы.

808

Рисунок 14: Выбор метода аутентификации (RADIUS)

Одним из последних шагов при создании нового приемника является настройка метода аутентификации. Выберите аутентификацию RADIUS.

8112

Рисунок 15: Добавление соответствующего сервера RADIUS

Теперь добавьте соответствующий сервер RADIUS для правила публикации.

828

Рисунок 16: Настройка пользователей

И, наконец, настройте группу пользователей RADIUS из пользователей Active Directory для разрешения ей доступа к опубликованному серверу.

838

Рисунок 17: Применение новых установок

Последний шаг – применение нового правила к вашему ISA-серверу. Убедитесь, что все работает верно.

Если вы обнаружили проблемы, найдите их и исправьте с помощью журналов ISA-сервера.

Заключение

После того, как вы все настроите и протестируете, вы увидите, что такая схема более безопасна, чем размещение Exchange Server 2003 напрямую в DMZ. К увеличению безопасности вы получаете и уменьшение расходов, поскольку лицензия ISA-сервера дешевле лицензии Exchange-сервера. Если у вас все еще остались вопросы, не стесняйтесь спрашивать меня.

Источник  http://www.msexchange.org


Смотрите также:

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]