После того, как вы проработали с одним и тем же продуктом почти 8 лет, вы начинаете воспринимать некоторые вещи как нечто само собой разумеющееся и уже не думаете о том, как они работают, и о том, что другим может быть трудно понять новые для них концепции. Хуже того, когда вы столь долго работали с одним продуктом, вы уверены, что разбираетесь во всех концепциях и в том, как с ними работать, хотя в действительности можете вообще их не понимать. На прошлой неделе я обнаружил, что нахожусь в подобной ситуации, когда попытался понять, как опубликовать функцию автообнаружения, позволяющую клиенту Outlook 2007 автоматически настраиваться так, чтобы использовать ISA Firewall в качестве reverse Web Proxy.
Надо отдать должное Джиму Хариссону и Джейсону Джонсу. Они помогли мне понять, как нужно использовать единственный веб-прослушиватель для публикации двух защищенных веб-сайтов. Проблема была в том, что я все еще думал о том, как 2004 ISA Firewall обращался с защищенными правилами веб-публикации и веб-прослушивателями. Как только Джим и Джейсон раскачали меня, я понял, что то, что они мне пытались сказать, вполне возможно.
Для начала давайте посмотрим, что происходит, когда клиент Outlook пытается получить информацию для автообнаружения. Когда клиент Outlook 2007 не состоит в домене, он использует предопределенный список URL для получения доступа к странице автообнаружения, расположенной на Client Access Server. Этими URL являются:
Как вы можете видеть, это может быть проблемой, потому что когда вы опубликовываете сайты OWA, ActiveSync и Outlook Anywhere, вам нужно иметь два разных FQDN и, следовательно, два сертификата для публикации сайтов служб Exchange Web и сайта автообнаружения. Например, предположим, что SMTP имя домена —msfirewall.org, и все наши пользователи принадлежат к домену msfirewall.org, так что у них есть адреса наподобие user@msfirewall.org. Нам нужно прослушивать:
Как я считаю, нам нужно как минимум два IP адреса на внешнем интерфейсе ISA Firewall. Дело в том, что первый адрес будет использоваться для веб-прослушивателя, что прикрепляется к сертификату owa.msfirewall.org, а второй для веб-прослушивателя, который прикрепляется к сертфикату autodiscover.msfirewall.org. В дополнение к этим веб-прослушивателям, нам нужно будет создать два правила веб-публикации, одно, использующее веб-прослушиватель owa.msfirewall.org, и второе, использующее веб-прослушиватель autodiscover.msfirewall.org.
Хоть все это верно и правильно для ситуации с ISA 2004 Firewall, это не требуется с 2006 ISA Firewall. Почему? Потому что новые возможности в 2006 ISA Firewall позволяют нам привязывать многочисленные сертификаты к одному веб-прослушивателю, до тех пор, пока каждый сертификат прикреплен к отдельному IP адресу, прослушиваемому веб-прослушивателем.
Давайте взглянем на веб-прослушиватели ISA 2006 и посмотрим, как это работает. Думаю, после того, как мы это сделаем, многое станет понятней.
Веб-прослушиватель являеся программным компонентом, принимающим подключения от не-Web Proxy клиентов и перенаправляющим их к Web Proxy фильтру ISA Firewall. Веб-прослушиватель схож с прослушивателем Web Proxy, который прикрепляется к каждой сети ISA Firewall Network (если вы включили прослушиватель Web Proxy в выбранной сети ISA Firewall Network). Однако у веб-прослушивателей есть дополнительные возможности, которых нет у прослушивателей Web Proxy, что делает их идеальным выбором для приема подключений к опубликованным серверам. Веб-прослушиватели могут работать лишь после того, как вы связали их с правилом веб-публикации.
Веб-прослушиватель отвечает за:
На рисунке ниже вы можете видеть закладку General, выбранную в диалоговом окне веб-прослушивателя Properties. Здесь вы можете как-либо назвать веб-прослушиватель и дать описание целей веб-прослушивателя.
Рисунок 1
На рисунке ниже вы можете видеть панель Connections для веб-прослушивателя. Здесь вы задаете, какие протоколы он будет поддерживать. В этом примере нам нужно, чтобы он прослушивал лишь SSL соединения, так что уберите галочку из поля Enable HTTP connections on port. Этот веб-прослушиватель будет использоваться для приема подключений к OWA и ActiveSync, а также соединений Outlook Anywhere, каждое из которых должно быть выполнено через защищенный канал SSL. В дополнение к этому, данный веб-прослушиватель будет использоваться для приема соединений от клиента Outlook 2007 для получения информации для автообнаружения.
исунок 2
На вкладке Authentication вы задаете, какой метод аутентификации будет использовать клиент, чтобы быть аутентицифированным в ISA Firewall. Когда соединение установлено с опубликованным веб-сервером, происходит следующее:
Как вы видите, пользователь аутентифицируется дважды – брандмауэром ISA Firewall, а затем опубликованным веб-сервером. Лишь после успешной аутентификации обоими устройствами ему разрешается соединение с опубликованным веб-сервером. Кроме того, пользователь должен быть авторизован для допуска к веб-серверу, эта авторизация включается самим правилом веб-публикации, не веб-прослушивателем.
Обратите внимание, что в данном веб-прослушивателе включена HTML Form Authentication. В ISA 2004 аутентификация на базе форм для Outlook или любого клиента, не являющегося веб-браузером, не заработала бы, потому это приложение не знало бы, что делать с этой формой. В брандмауэре ISA 2006 же, напротив, ISA Firewall изучит заголовок клиента-агента и если он не является веб-браузером, веб-прослушиватель брандмауэра ISA Firewall вернется к Basic Authentication. Следовательно, Outlook и клиенты ActiveSync при аутентификации для ISA Firewall будут использовать Basic Authentication.
Рисунок 3
Вкладка Forms позволяет вам использовать встроенные и настраиваемые формы для аутентификации. При использовании мастера Web Publishing Rule Wizard для служб Exchange вам не нужно что-либо изменять в диалоговом окне Form Customization. Однако, поскольку мы используем веб-прослушиватель для нашего правила веб-публикации OWA, вы включить опции управления паролями, такие как Allow users to change their passwords и Remind users that their password will expire in this number of days. Впрочем, включение этих опций не повлияет на клиентов Outlook 2007, подключающихся через веб-прослушиватель.
Рисунок 4
На вкладке SSO вы задаете единую регистрацию для доменов. Пользователям, аутентифицировавшимся в любом из этих доменов, не нужно будет выполнять повторную авторизацию при подключении к другому серверу внутри того же домена.
Рисунок 5
На вкладке Networks вы задаете те IP адреса, которые веб-прослушиватель будет прослушивать на предмет входящих соединений. В примере, приведенном ниже веб-прослушиватель настроен на прослушивание двух IP адресов, прикрепленных ко внешнему интерфейсу, и одного IP адреса, прикрепленного к внутреннему интерфейсу.
Два IP адреса на внешнем интерфейсе разрешаются как два разных полностью уточненных имени: 192.168.1.71 разрешается как owa.msfirewall.org,и192.168.1.72 как autodiscover.msfirewall.org. IP адрес 10.0.0.1 для внутренних клиентов разрешается как owa.msfirewall.org. Как и всегда, мы задействуем встроенную инфраструктуру с раздельным DNS, так что внешние клиенты разрешают имена как адреса, доступные извне, а внутренние клиенты – как адреса, доступные изнутри. Внутренние клиенты разрешают имя owa.msfirewall.org таким образом, что они могут воспользоваться преимуществами формы, предоставляемой ISA Firewall, и проверки благонадежности, предоставляемой HTTP Security Filter как внутренним клиентам, так и внешним.
Рисунок 6
Теперь, когда мы видим, что несколько IP адресов может быть прикреплено к одному веб-прослушивателю, нам нужно позаботиться о том, чтобы прикрепить сертификат к каждому из этих IP адресов. На рисунке, приведенном ниже, вы можете видеть вкладку Certificates для этого веб-прослушивателя. Брандмауэр ISA 2006 Firewall позволяет вам прикрепить сертификат к каждому IP адресу при выборе опции Assign a certificate for each IP address и нажатии кнопки Select Certificate.
Как вы можете видеть, к IP адресам 10.0.0.1 и 192.168.1.71 прикреплен сертификат owa.msfirewall.org так что, когда на адрес owa.msfirewall.org идет запрос к этим IP адресам, веб-прослушиватель может создать SSL сессию с IP адресом клиента 192.168.1.72, к которому прикреплен сертификат autodiscover.msfirewall.org, таким образом, когда запрос идет на адрес autodiscover.msfirewall.org расположенный по данному IP адресу, ISA Firewall сможет создать SSL сессию с клиентом.
Рисунок 7
На рисунке внизу показано, как прикрепить сертификат к IP адресу, используемому веб-прослушивателем. Сначала вам нужно выбрать IP адрес, как показано на рисунке выше, и затем нажать на кнопку Select Certificate. Затем, как показано на рисунке внизу, вы увидите диалоговое окно Select Certificate. Щелкните на сертификате, который вы хотите прикрепить к этому IP адресу, и нажмите Select. Обратите внимание, что в этом диалоговом окне вам дается информация о параметрах сертификата Validity и Expiration Date.
Рисунок 8
Веб-прослушиватели почти бесполезны без правил веб-публикации, к которым их можно присоединить. В этом примере, рассказывающем о работе с веб-прослушивателями и правилами веб-публикации для OWA, ActiveSync и RPC/HTTP и автообнаружения Outlook, есть несколько ключевых элементов.
На рисунке ниже вы можете видеть диалоговое окно Properties нашего правила веб-публикации Outlook Anywhere. На вкладке Public Name мы указываем два публичных имени: одно для owa.msfirewall.org являющееся тем именем, что клиент Outlook использует для соединения с ISA Firewall, чтобы подключиться к RPC/HTTP на Client Access Server, и второе —autodiscover.msfirewall.org которое используется для соединения с папкой /Autodiscover, расположенной на Client Access Server.
Важно помнить, что эти два имени разрешаются как два разных IP адреса. Это нормально, поскольку веб-прослушиватель, используемый правилом веб-публикации, настроен прослушивать эти IP адреса, и у каждого адреса есть верный сертификат веб-сайта, связанный с общим именем, совпадающим с одним из этих публичных имен.
Рисунок 9
На вкладке Paths показан список путей, по которым правило веб-публикации будет перенаправлять соединения. Например, когда внешний клиент Outlook 2007 соединяется с RPC/HTTP прокси, расположенной на Client Access Server, он будет использовать это правило для получения доступа к ресурсам, расположенным по адресу https://owa.msfirewall.org/rpc
Кроме того, поскольку правило веб-публикации также занимается подключениями к autodiscover.msfirewall.org, это правило может перенаправлять подключения к адресу https://autodiscover.msfirewall.org/AutoDiscover
Рисунок 10
Теперь мы видим, как можно опубликовывать многочисленные сайты SSL с различными публичными именами, используя единственный веб-прослушиватель и единственное правило веб-публикации. Ключом к пониманию того, как мы можем сделать то, является то, что один веб-прослушиватель может прослушивать несколько IP адресов, а также то, что вы можете прикрепить к каждому адресу отдельный серфикат. Это позволяет нам использовать единственное правило веб-публикации для того, чтобы опубликовать все эти защищенные веб-сайты. Это работает, потому что мы используем одинаковую аутентификацию ISA Firewall для каждого из этих сайтов.
Окей, на бумаге все выглядит неплохо, и, как сказали мне Джим и Джейсон, это должно работать. Однако я поверю в это только когда увижу! Следующую статью мы посвятим седьмой части рассказа о публикации Exchange 2007, а также посмотрим, сможем ли мы заставить работать автообнаружение Outlook. Мы даже можем начать разбираться с Offline Address Book между делом, и если все пойдет так, как надо, посмотрим, сможем ли мы получить доступ к File Share из Exchange 2007 OWA.
www.isaserver.org
Tags: dns, domain, Exchange, proxy