Friday, December 14th, 2018

О веб-прослушивателях и правилах веб-публикации

Published on Февраль 13, 2009 by   ·   Комментариев нет

После того, как вы проработали с одним и тем же продуктом почти 8 лет, вы начинаете воспринимать некоторые вещи как нечто само собой разумеющееся и уже не думаете о том, как они работают, и о том, что другим может быть трудно понять новые для них концепции. Хуже того, когда вы столь долго работали с одним продуктом, вы уверены, что разбираетесь во всех концепциях и в том, как с ними работать, хотя в действительности можете вообще их не понимать. На прошлой неделе я обнаружил, что нахожусь в подобной ситуации, когда попытался понять, как опубликовать функцию автообнаружения, позволяющую клиенту Outlook 2007 автоматически настраиваться так, чтобы использовать ISA Firewall в качестве reverse Web Proxy.

Надо отдать должное Джиму Хариссону и Джейсону Джонсу. Они помогли мне понять, как нужно использовать единственный веб-прослушиватель для публикации двух защищенных веб-сайтов. Проблема была в том, что я все еще думал о том, как 2004 ISA Firewall обращался с защищенными правилами веб-публикации и веб-прослушивателями. Как только Джим и Джейсон раскачали меня, я понял, что то, что они мне пытались сказать, вполне возможно.

Для начала давайте посмотрим, что происходит, когда клиент Outlook пытается получить информацию для автообнаружения. Когда клиент Outlook 2007 не состоит в домене, он использует предопределенный список URL для получения доступа к странице автообнаружения, расположенной на Client Access Server. Этими URL являются:

  • https://smtpdomain/Autodiscover/Autodiscover.xml
  • https://autodiscover.smtpdomain/Autodiscover/Autodiscover.xml
  • http://autodiscover.smtpdomain/Autodiscover/Autodiscover.xml

Как вы можете видеть, это может быть проблемой, потому что когда вы опубликовываете сайты OWA, ActiveSync и Outlook Anywhere, вам нужно иметь два разных FQDN и, следовательно, два сертификата для публикации сайтов служб Exchange Web и сайта автообнаружения. Например, предположим, что SMTP имя домена —msfirewall.org, и все наши пользователи принадлежат к домену msfirewall.org, так что у них есть адреса наподобие user@msfirewall.org. Нам нужно прослушивать:

  • Подключения к OWA, ActiveSync и OutlookAnywhere на https://owa.msfirewall.org
  • Подключения к сайту автообнаружения на https://autodiscover.msfirewall.org

Как я считаю, нам нужно как минимум два IP адреса на внешнем интерфейсе ISA Firewall. Дело в том, что первый адрес будет использоваться для веб-прослушивателя, что прикрепляется к сертификату owa.msfirewall.org, а второй для веб-прослушивателя, который прикрепляется к сертфикату autodiscover.msfirewall.org. В дополнение к этим веб-прослушивателям, нам нужно будет создать два правила веб-публикации, одно, использующее веб-прослушиватель owa.msfirewall.org, и второе, использующее веб-прослушиватель autodiscover.msfirewall.org.

Хоть все это верно и правильно для ситуации с ISA 2004 Firewall, это не требуется с 2006 ISA Firewall. Почему? Потому что новые возможности в 2006 ISA Firewall позволяют нам привязывать многочисленные сертификаты к одному веб-прослушивателю, до тех пор, пока каждый сертификат прикреплен к отдельному IP адресу, прослушиваемому веб-прослушивателем.

Давайте взглянем на веб-прослушиватели ISA 2006 и посмотрим, как это работает. Думаю, после того, как мы это сделаем, многое станет понятней.

Веб-прослушиватели ISA 2006

Веб-прослушиватель являеся программным компонентом, принимающим подключения от не-Web Proxy клиентов и перенаправляющим их к Web Proxy фильтру ISA Firewall. Веб-прослушиватель схож с прослушивателем Web Proxy, который прикрепляется к каждой сети ISA Firewall Network (если вы включили прослушиватель Web Proxy в выбранной сети ISA Firewall Network). Однако у веб-прослушивателей есть дополнительные возможности, которых нет у прослушивателей Web Proxy, что делает их идеальным выбором для приема подключений к опубликованным серверам. Веб-прослушиватели могут работать лишь после того, как вы связали их с правилом веб-публикации.

Веб-прослушиватель отвечает за:

  • От каких сетей (или IP адресов) правило веб-публикации, связанное с веб-прослушивателем, примет входящие соединения
  • Какие протоколы допускаются для соединений (HTTP или HTTPS)
  • Какие сертификаты прикреплены к тем IP адресам, что прослушивает веб-прослушиватель
  • Определение домена единой регистрации
  • Какие формы могут быть использованы для авторизации для веб-прослушивателя
  • Какой тип метода или протокола авторизации подходит для подключений к веб-прослушивателю

На рисунке ниже вы можете видеть закладку General, выбранную в диалоговом окне веб-прослушивателя Properties. Здесь вы можете как-либо назвать веб-прослушиватель и дать описание целей веб-прослушивателя.

Протокол адаптера прослушивателя

Рисунок 1

На рисунке ниже вы можете видеть панель Connections для веб-прослушивателя. Здесь вы задаете, какие протоколы он будет поддерживать. В этом примере нам нужно, чтобы он прослушивал лишь SSL соединения, так что уберите галочку из поля Enable HTTP connections on port. Этот веб-прослушиватель будет использоваться для приема подключений к OWA и ActiveSync, а также соединений Outlook Anywhere, каждое из которых должно быть выполнено через защищенный канал SSL. В дополнение к этому, данный веб-прослушиватель будет использоваться для приема соединений от клиента Outlook 2007 для получения информации для автообнаружения.

Сервер состояний начинает прослушивание 6 прослушивателями

исунок 2

На вкладке Authentication вы задаете, какой метод аутентификации будет использовать клиент, чтобы быть аутентицифированным в ISA Firewall. Когда соединение установлено с опубликованным веб-сервером, происходит следующее:

  • Сперва внешний клиент аутентифицируется ISA Firewall
  • ISA Firewall перенаправляет данные о клиенте к опубликованному веб-серверу, и этот сервер аутентифицирует пользователя

Как вы видите, пользователь аутентифицируется дважды – брандмауэром ISA Firewall, а затем опубликованным веб-сервером. Лишь после успешной аутентификации обоими устройствами ему разрешается соединение с опубликованным веб-сервером. Кроме того, пользователь должен быть авторизован для допуска к веб-серверу, эта авторизация включается самим правилом веб-публикации, не веб-прослушивателем.

Обратите внимание, что в данном веб-прослушивателе включена HTML Form Authentication. В ISA 2004 аутентификация на базе форм для Outlook или любого клиента, не являющегося веб-браузером, не заработала бы, потому это приложение не знало бы, что делать с этой формой. В брандмауэре ISA 2006 же, напротив, ISA Firewall изучит заголовок клиента-агента и если он не является веб-браузером, веб-прослушиватель брандмауэра ISA Firewall вернется к Basic Authentication. Следовательно, Outlook и клиенты ActiveSync при аутентификации для ISA Firewall будут использовать Basic Authentication.

Публикация autodiscover

Рисунок 3

Вкладка Forms позволяет вам использовать встроенные и настраиваемые формы для аутентификации. При использовании мастера Web Publishing Rule Wizard для служб Exchange вам не нужно что-либо изменять в диалоговом окне Form Customization. Однако, поскольку мы используем веб-прослушиватель для нашего правила веб-публикации OWA, вы включить опции управления паролями, такие как Allow users to change their passwords и Remind users that their password will expire in this number of days. Впрочем, включение этих опций не повлияет на клиентов Outlook 2007, подключающихся через веб-прослушиватель.

Dt прослушиватель isa 2006 b rbhbkkbwf

Рисунок 4

На вкладке SSO вы задаете единую регистрацию для доменов. Пользователям, аутентифицировавшимся в любом из этих доменов, не нужно будет выполнять повторную авторизацию при подключении к другому серверу внутри того же домена.

Домашний прослушиватель его функции

Рисунок 5

На вкладке Networks вы задаете те IP адреса, которые веб-прослушиватель будет прослушивать на предмет входящих соединений. В примере, приведенном ниже веб-прослушиватель настроен на прослушивание двух IP адресов, прикрепленных ко внешнему интерфейсу, и одного IP адреса, прикрепленного к внутреннему интерфейсу.

Два IP адреса на внешнем интерфейсе разрешаются как два разных полностью уточненных имени: 192.168.1.71 разрешается как owa.msfirewall.org,и192.168.1.72 как autodiscover.msfirewall.org. IP адрес 10.0.0.1 для внутренних клиентов разрешается как owa.msfirewall.org. Как и всегда, мы задействуем встроенную инфраструктуру с раздельным DNS, так что внешние клиенты разрешают имена как адреса, доступные извне, а внутренние клиенты – как адреса, доступные изнутри. Внутренние клиенты разрешают имя owa.msfirewall.org таким образом, что они могут воспользоваться преимуществами формы, предоставляемой ISA Firewall, и проверки благонадежности, предоставляемой HTTP Security Filter как внутренним клиентам, так и внешним.

Обратите внимание значение нет прослушивателя

Рисунок 6

Теперь, когда мы видим, что несколько IP адресов может быть прикреплено к одному веб-прослушивателю, нам нужно позаботиться о том, чтобы прикрепить сертификат к каждому из этих IP адресов. На рисунке, приведенном ниже, вы можете видеть вкладку Certificates для этого веб-прослушивателя. Брандмауэр ISA 2006 Firewall позволяет вам прикрепить сертификат к каждому IP адресу при выборе опции Assign a certificate for each IP address и нажатии кнопки Select Certificate.

Как вы можете видеть, к IP адресам 10.0.0.1 и 192.168.1.71 прикреплен сертификат owa.msfirewall.org так что, когда на адрес owa.msfirewall.org идет запрос к этим IP адресам, веб-прослушиватель может создать SSL сессию с IP адресом клиента 192.168.1.72, к которому прикреплен сертификат autodiscover.msfirewall.org, таким образом, когда запрос идет на адрес autodiscover.msfirewall.org расположенный по данному IP адресу, ISA Firewall сможет создать SSL сессию с клиентом.

Протокол адаптера прослушивателя

Рисунок 7

На рисунке внизу показано, как прикрепить сертификат к IP адресу, используемому веб-прослушивателем. Сначала вам нужно выбрать IP адрес, как показано на рисунке выше, и затем нажать на кнопку Select Certificate. Затем, как показано на рисунке внизу, вы увидите диалоговое окно Select Certificate. Щелкните на сертификате, который вы хотите прикрепить к этому IP адресу, и нажмите Select. Обратите внимание, что в этом диалоговом окне вам дается информация о параметрах сертификата Validity и Expiration Date.

Свойства веб прослушивателя

Рисунок 8

Правила веб-публикации ISA 2006

Веб-прослушиватели почти бесполезны без правил веб-публикации, к которым их можно присоединить. В этом примере, рассказывающем о работе с веб-прослушивателями и правилами веб-публикации для OWA, ActiveSync и RPC/HTTP и автообнаружения Outlook, есть несколько ключевых элементов.

На рисунке ниже вы можете видеть диалоговое окно Properties нашего правила веб-публикации Outlook Anywhere. На вкладке Public Name мы указываем два публичных имени: одно для owa.msfirewall.org являющееся тем именем, что клиент Outlook использует для соединения с ISA Firewall, чтобы подключиться к RPC/HTTP на Client Access Server, и второе —autodiscover.msfirewall.org которое используется для соединения с папкой /Autodiscover, расположенной на Client Access Server.

Важно помнить, что эти два имени разрешаются как два разных IP адреса. Это нормально, поскольку веб-прослушиватель, используемый правилом веб-публикации, настроен прослушивать эти IP адреса, и у каждого адреса есть верный сертификат веб-сайта, связанный с общим именем, совпадающим с одним из этих публичных имен.

Https прослушиватель Windows

Рисунок 9

На вкладке Paths показан список путей, по которым правило веб-публикации будет перенаправлять соединения. Например, когда внешний клиент Outlook 2007 соединяется с RPC/HTTP прокси, расположенной на Client Access Server, он будет использовать это правило для получения доступа к ресурсам, расположенным по адресу https://owa.msfirewall.org/rpc

Кроме того, поскольку правило веб-публикации также занимается подключениями к autodiscover.msfirewall.org, это правило может перенаправлять подключения к адресу https://autodiscover.msfirewall.org/AutoDiscover

Служба веб публикаций отключить

Рисунок 10

Теперь мы видим, как можно опубликовывать многочисленные сайты SSL с различными публичными именами, используя единственный веб-прослушиватель и единственное правило веб-публикации. Ключом к пониманию того, как мы можем сделать то, является то, что один веб-прослушиватель может прослушивать несколько IP адресов, а также то, что вы можете прикрепить к каждому адресу отдельный серфикат. Это позволяет нам использовать единственное правило веб-публикации для того, чтобы опубликовать все эти защищенные веб-сайты. Это работает, потому что мы используем одинаковую аутентификацию ISA Firewall для каждого из этих сайтов.

Заключение

Окей, на бумаге все выглядит неплохо, и, как сказали мне Джим и Джейсон, это должно работать. Однако я поверю в это только когда увижу! Следующую статью мы посвятим седьмой части рассказа о публикации Exchange 2007, а также посмотрим, сможем ли мы заставить работать автообнаружение Outlook. Мы даже можем начать разбираться с Offline Address Book между делом, и если все пойдет так, как надо, посмотрим, сможем ли мы получить доступ к File Share из Exchange 2007 OWA.

www.isaserver.org


Смотрите также:

Tags: , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]