Tuesday, October 23rd, 2018

Использование Outlook 2003 с клиентом брандмауэра

Published on Февраль 6, 2009 by   ·   Комментариев нет

Я заметил недавний всплеск сообщений от администраторов брандмауэра ISA 2004, заявляющих, что они не могут заставить работать Outlook 2003 через брандмауэр ISA. Из дальнейших опросов я обнаружил, что эти администраторы брандмауэра ISA используют клиента брандмауэра. Приятно слышать, что они приняли хорошее решение — использовать клиента брандмауэра! Это дает им, основанное на пользователях/группах, мощное управление доступом исходящих соединений для всех Winsock TCP и UDP протоколов. Клиент брандмауэра — является одним из ключевых элементов брандмауэра ISA, и позволяет обеспечивать высокий уровень безопасности, который ваш типичный аппаратный брандмауэр не сможет никогда обеспечить. Эта статья решает проблему и объясняет недоразумения, возникающие при настройки связки Outlook/Клиент брандмауэра.

Я заметил недавний взрыв сообщений от администраторов брандмауэра ISA 2004, заявляющих, что они не могут заставить работать Outlook 2003 через брандмауэр ISA. Из дальнейших опросов я обнаружил, что эти администраторы брандмауэра ISA используют клиента брандмауэра. Приятно слышать, что они приняли хорошее решение — использовать клиента брандмауэра! Это дает им, основанное на пользователях/группах, мощное управление доступом исходящих соединений для всех Winsock TCP и UDP протоколов. Клиент брандмауэра — является одним из ключевых элементов брандмауэра ISA, и позволяет обеспечивать высокий уровень безопасности, который ваш типичный аппаратный брандмауэр не сможет никогда обеспечить.

Сначала, давайте скажем напрямую:

Вам НЕ НУЖЕН клиент брандмауэра, чтобы получить доступ к исходящим SMTP или POP3 соединениям и вам НЕ НУЖНО удалять клиента брандмауэра, чтобы получить доступ к исходящим SMTP или POP3 соединениям.

За эти годы я слышал, как люди говорят, что «клиент брандмауэра не нужен, если вы хотите, чтобы Outlook 2000/2002/2003 соединялся к внешним POP3/SMTP серверам» и еще я слышал, что «вам нужно удалить клиента брандмауэра, чтобы соединиться к внешним POP3/SMTP серверам». Оба этих утверждения НЕВЕРНЫ.

Проблема с соединениями клиента брандмауэра имеет место при использовании настроек по умолчанию и требований идентификации в правилах доступа, используемых для разрешения исходящих соединений клиента Outlook 2003. Обратите внимание, что когда я ссылаюсь на Outlook 2003 в этой статье, те же принципы применяются к клиентам Outlook 2000 и Outlook 2002. Так же, когда я говорю о брандмауэре ISA 2004 в этой статье, те же принципы верны и для брандмауэра ISA 2000.

Чтобы разрешить исходящие SMTP и POP3 соединения от клиента Outlook 2003 во внутренней сети, вам нужно создать правило доступа, разрешающее этим протоколам выходить наружу. Протокол POP3 нужен клиенту Outlook, чтобы скачать почту с внешнего POP3 сервера, а протокол SMTP, чтобы отправить почту внешнему SMTP серверу. Кроме того, если вы не используете внутренний DNS сервер, клиент Outlook 2003 должен иметь исходящий доступ к протоколу DNS.

В примере, который мы будем использовать в статье, я создал брандмауэр ISA 2004 на сервере Windows 2003. Эта машина не является членом домена. Вторая машина, использованная в этом примере — машина под Windows XP, которая тоже не является членом домена. Поскольку мы не используем доменный сценарий, нам нужно продублировать учетные записи пользователей. Я создал учетную запись на Windows XP машине и назвал ее tshinder. Я создал учетную запись в брандмауэре ISA 2004 с названием tshinder и назначил учетным записям на обеих машинах одинаковый пароль. Это позволит клиенту Windows XP идентифицироваться в брандмауэре ISA для контроля исходящего доступа.

Рисунок ниже показывает правило доступа, использованное в этом примере. Это правило открывает доступ DNS, POP3 и SMTP протоколам из внутренней сети к внешней сети. Доступ разрешается только если пользователи могут идентифицироваться в брандмауэре ISA. Это видно из условия — все идентифицированные пользователи.

Outlook 2003 архангельский

Клиент Windows XP имеет установленный клиент брандмауэра. Все машины с установленными клиентами брандмауэра получают настройки конфигурации от брандмауэра ISA. Брандмауэр ISA содержит несколько настроек по умолчанию клиентов брандмауэра. Вы можете просмотреть настройки по умолчанию клиентов брандмауэра, выполнив следующие шаги:

  1. Откройте окно Microsoft Internet Security and Acceleration Server 2004, раскройте ветвь с именем сервера и затем раскройте узел Configuration (Настройка).
  2. Нажмите на узел General (Общее).
  3. В узле General (Общее), нажмите ссылку Define Firewall Client Settings (Определить настройки клиента брандмауэра) в окне Детали.
  4. В диалоговом окне Firewall Client Settings (Настройки клиента брандмауэра), выберите закладку Application Settings (Настройки приложения). Вы увидите то, что отображено на картинке ниже.

    Outlook 2007 и isa client 2004

    Обратите внимание, что в настройках приложения клиента брандмауэра приложение outlook имеет в настройке Disable (Отключен) значение 1. Когда приложение Outlook.exe запущено, клиент брандмауэра проигнорирует соединение. Если машина так же настроена как клиент SecureNAT (Безопасный NAT), то машина может использовать свои настройки SecureNAT, чтобы получить доступ к протоколам. Если же машина не настроена как клиент SecureNAT и настроена только как клиент брандмауэра, то запросы соединения не будут отправлены брандмауэру ISA, и попытки установить соединение провалятся.

Записи журнала на картинке ниже показывают, что происходит при настроенном по умолчанию клиенте брандмауэра, с машиной Windows XP настроенной как клиент брандмауэра и клиент SecureNAT. Вы можете видеть попытку соединения по протоколу SMTP и отклонение соединения правилом доступа SMTP/POP3/DNS, которое я создал.

Причина отклонения соединения в том, что по умолчанию в настройках клиента брандмауэра установлено игнорировать соединения, сделанные приложением outlook.exe. Поэтому, соединение Outlook 2003 использует настройки клиента SecureNAT, чтобы выйти в Интернет. Так как правило доступа требует идентификации, попытки соединиться проваливаются. Клиенты SecureNAT не могут отправлять данные с параметрами доступа пользователя брандмауэру ISA.

Скачать клиент outlook 2003

Что случилось бы, если бы мы настроили клиента брандмауэра так, чтобы клиент брандмауэра не игнорировал соединения сделанные приложением outlook.exe? В этом случае, приложение клиента брандмауэра прервало бы попытку соединения и отправило бы пользовательские учетные данные брандмауэру ISA, и пользователь мог бы тогда идентифицироваться в брандмауэре ISA.

Вернитесь в диалоговое окно Firewall Client Settings (Настройки клиента брандмауэра). Выберите элемент Outlook и затем нажмите кнопку Edit (Редактировать). В окне Application Entry Setting (Настройка элемента приложения) измените поле Value (Значение) с 1 на 0. Затем нажмите OK.

Outlook 2003 установить внутреннюю почту

Теперь закладка Application settings выглядит так, как вы видите на рисунке ниже. Нажмите Apply (Применить) и затем нажмите OK. Затем нажмите Apply чтобы сохранить политики брандмауэра.

Клиент межсетевого экрана outlook 2010

Перед тем как осуществлять новое соединение с машины Windows XP, настроенной как клиент брандмауэра, настройки клиента брандмауэра должны быть обновлены. Вы можете сделать это, дважды нажав на иконке клиента брандмауэра в области уведомлений панели задач (ВНИМАНИЕ: Никогда не отключайте значок клиента брандмауэра — я знаю много людей, считающих это нормальным, но это не так; спросите тех кто знает). На закладке General (Общее), нажмите кнопку Test Server (Тест сервера). Вы увидите диалоговое окно Testing ISA Server (Тестирование сервера ISA), имя брандмауэра ISA будет найдено и клиент брандмауэра загрузит новый файл настроек.

Outlook 2003 архангельский

Теперь, так как клиент брандмауэра обновил настройки, мы можем соединиться с клиентом Outlook 2003 на машине Windows XP. Записи журнала ниже показывают, что происходит, когда клиент брандмауэра включает соединения приложения Outlook.exe. Вы можете видеть, что протоколам POP3 и SMTP разрешен доступ. Вы также видите Client Username (Имя пользователя клиента) — учетная запись пользователя, которую я прописал на машине Windows XP (которая продублирована в брандмауэре ISA).

Как удалить брадмауэр оутлок?

Заключение
Outlook 2003 (и 2000 и 2002) может получить доступ к внешним POP3 и SMTP серверам в Интернете. Клиент брандмауэра не требуется, и, если он у вас установлен, вам не нужно его удалять. Проблемы имеют пользователи, у которых установлены настройки клиента брандмауэра по умолчанию, где клиент брандмауэра игнорирует соединения от приложения Outlook.exe. Так как клиент брандмауэра игнорирует попытки соединения от Outlook, то пользовательские данные не отправляются брандмауэру ISA. И так как брандмауэр ISA требует идентификации, чтобы получить доступ к протоколам POP3 и SMTP, то попытка соединения проваливается. Вы можете решить проблему или удалением требования идентификации с правила доступа (не рекомендуется) или настроить клиента брандмауэра так, чтобы клиент брандмауэра обрабатывал соединения исходящие от приложения Outlook 2003. Обратите внимание, что включение Outlook 2003 в клиенте брандмауэра может иметь неприятные последствия, если вы используете клиента Outlook 2003 для соединения к серверу Exchange во внутренней сети посредством MAPI соединения.

Источник www.isaserver.org



Смотрите также:

Tags: , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]