Sunday, July 22nd, 2018

ISA Server 2004 Игнорирует мое Правило Web Публикации

Published on Февраль 6, 2009 by   ·   Комментариев нет

Я слышал следующие высказывания от нескольких клиентов: «ISA Server игнорирует мое серверное правило публикации и всегда использует правило по умолчанию». Это случается особенно, если вы работаете в запутанной сети, где брандмауэр ISA и сервера приложений расположены в разных подсетях. Прочитайте эту статью для объяснения, почему это случается и каково решение.

Некоторые из вас могли уже работать с этим типом сложных сетей и могли сталкиваться с этой проблемой. Когда вы обращаетесь за поддержкой к специалисту с этой проблемой, их первая реакция будет «упростите вашу сеть». Мы все знаем, что не предполагалось, что такое случится. Эта статья даст вам решение этой проблемы. Этот сценарий использует правила публикации OWA.

Я использую тот же тестовый сценарий, который я описал в одной из моих предыдущий статей (http://www.isaserver.org/tutorials/2004cannotlogon.html) для объяснения этой ситуации. Рисунок внизу показывает мою тестовую конфигурацию для объяснения этой проблемы:

As moe web de

В примере сверху вы можете увидеть, что Внутренняя Сеть Брандмауэра ISA (10.10.1.X), Контроллеры Доменов Active Directory (10.10.2.X), Back-End Компьютеры Exchange (10.10.3.X) и Front-End Компьютеры Exchange (10.10.4.X) расположены на разных подсетях. Я знаю, что это сложная сеть, но я работал с подобной структурой у нескольких клиентов.

Моя цель — опубликовать мой OWA (Outlook Web Access — Web Доступ к Outlook) через ISA Server 2004. Для публикации OWA, я выполнил следующие задачи:

  1. Установил Windows 2003 со всеми services packами
  2. Настроил Windows Routing Table (WRT) (Таблицу маршрутизации Windows)
  3. Установил ISA Server 2004.
  4. Создал новое правило Публикации OWA для публикации моего Exchange FE сервера (10.10.4.45).

На данное время мы завершили конфигурацию ISA сервера и публикацию OWA через ISA. Что случится, если клиент попытается получить доступ к OWA сайту? Это будет работать? Простой ответ Нет. (Однако, эта проблема касается только сложных сетей. Если ваша Внутренняя сеть ISA Сервера и Exchange FE находятся на одной и той же подсети или если брандмауэр ISA используется как шлюз по умолчанию для Exchange, вы не должны иметь эту проблему).

Если вы просмотрите logи на брандмауэре ISA, вы увидите попытки использовать правило публикации OWA (Открытие и Закрытие соединений), но затем начинало использоваться правило по умолчанию ISA Сервера («clean up» правило («зачищающее»)) и отклоняется ваш OWA запрос.

Здесь объяснение, почему не используется ваше правило публикации OWA: когда ISA Сервер принимает OWA запрос от внешнего клиента, ISA Сервер изменяет оригинальный адрес назначения (внешний адрес ISA) на адрес опубликованного OWA сервера. Этот пакет также содержит оригинальный адрес клиентского источника.

В моем сценарии внутренние сервера, включая Exchange сервера, не имеют маршрута по умолчанию к интернету через ISA Сервер, поэтому, пакет выкидывается. Наша политика безопасности не позволяет нам изменять маршрут по умолчанию любого из моих серверов приложений. Что мне надо сделать для решения этой проблемы? Следующий раздел объяснит, что делать, чтобы обойти эту ситуацию без выполнения каких-либо модификаций на сервере или в сети:

  1. Откройте консоль ISA Server Management (Управление ISA Сервера).
  2. Выберете Firewall Policy (Политика Брандмауэра) на правой панели и в левой панели, щелкните правой кнопкой на Правиле Публикации OWA и перейдите к properties (свойства).

    Опубликовать web через isa

  3. Выберите вкладку To (Адрес назначения) в окне свойств.

    Опубликовать web через isa

  4. Вы увидите конфигурацию по умолчанию под разделом Proxy Requests to published server (Подменять Запросы к опубликованному серверу), снизу Specify how ISA Server forwards requests to the published server (Описание, как ISA Сервер пересылает запросы на опубликованный сервер), выберете опцию Requests appear to come from the original client (Запросы кажутся приходящими от оригинального клиента). Это показано на следующем снимке экрана:

    Isa voip шлюз ghfdbkf ge kbrfwbb

    Примечание: Когда вы создаете правило публикации OWA, по умолчанию выбирается опция Requests appear to come from the original client (Запросы кажутся приходящими от оригинального клиента).

  5. В разделе Proxy Requests to published server, снизу Specify how ISA Server forwards requests to the published server, выберете опцию Requests appear to come from the ISA Server computer (Запросы кажутся приходящими от компьютера ISA Сервера).

    Isa voip шлюз ghfdbkf ge kbrfwbb

  6. Нажмите Ok в окне OWA Publishing Rule Properties (Свойства Правила Публикации OWA).

    Isa voip шлюз ghfdbkf ge kbrfwbb

  7. Испытайте OWA с компьютера внешнего клиента.

Если вы проконтролируете деятельность ISA Сервера, вы увидите, что используется правило публикации OWA вместо правила по умолчания.

Примечание: Если вы используете ISA 2000 с SP1, это может быть установлено изменением реестра. Нет встроенного механизма или поля с галочкой для изменения этой опции.

Я надеюсь, что этой статьей я обеспечил для вас лучшее понимание правил публикации, когда вы работаете в сложной сети. Если вы имеете любые вопросы, касающиеся этой статьи, напишите мне по e-mail или оставьте комментарий в группе новостей.

Источник www.isaserver.org


Смотрите также:

Tags: , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]