Monday, December 11th, 2017

Создание множественных периметров безопасности с использованием Multihomed ISA-брандмауэров Часть 4: Настройка правил web-публикации, поддерживающих соединения с внешним Exchange-сервером в DMZ с установленным доступом

Published on Февраль 13, 2009 by   ·   Комментариев нет

В первой части статьи о том, как сделать ISA-сервер многосетевым ISA-сервером для нескольких периметров, мы обсудили концепции и проблемы построения нескольких DMZ в нескольких зонах безопасности. Во второй части мы рассмотрели настройку сетей ISA-сервера и сетевых правил для поддержки многосетевого ISA-сервера. В третьей части были освещены вопросы, связанные с сертификатами web-сайтов и ключевые положения правильного именования сертификатов.

Если вы пропустили первые три части статьи, прочтите их:

В данной, четвертой, части статьи мы продолжим настройку ISA-сервера. Мы создадим правила web-публикации для всех входящих соединений с web-сайтами внешнего Exchange-сервера. Мы рассмотрим следующие процедуры:

  • Создание правила web-публикации OWA
  • Создание правила web-публикации RPC/HTTP
  • Создание правила web-публикации OMA/ActiveSync

Прежде, чем начать, ознакомьтесь с Таблицей 1 для того, чтобы удостовериться, что вы понимаете соглашения по именованию, используемые для сертификатов в нашем решении. ISA-сервер будет настроен на работу двух web-приемников: один для правила web-публикации OWA, которое использует аутентификацию с помощью форм; а другой будет использовать базовую аутентификацию и поддерживать публикацию RPC/HTTP, OMA и ActiveSync.

Web-приемник для правила web-публикации OWA будет использовать сертификат с именем owa.msfirewall.org. Внешние пользователи получают доступ к OWA-сайту с помощью адреса https://owa.msfirewall.org/exchange.

Web-приемник для правил web-публикации RPC/HTTP и OMA/ActiveSync будет использовать сертификат с именем rpc.msfirewall.org, а клиентские приложения для связи с сайтами RPC/HTTP, OMA и ActiveSync будут настроены на использование имени rpc.msfirewall.org.

Службы Exchange-сервера Имя сертификата web-сайта
OWA owa.msfirewall.org
RPC/HTTP rpc.msfirewall.org
Web-сайт внешнего Exchange-сервера feexchange.msfirewall.org
SMTP mail.msfirewall.org
POP3 mail.msfirewall.org
IMAP4 mail.msfirewall.org

Таблица 1: Имена сертификатов, привязанных к web-приемникам ISA-сервера и web-службам внешнего Exchange-сервера

Обратите внимание, что мы создаем три правила. Правило OWA должно быть отделено от правил, разрешающих соединения RPC/HTTP, OMA или ActiveSync, поскольку клиентские приложения для RPC/HTTP, OMA и ActiveSync не понимают аутентификацию с помощью форм и обрывают соединение.

Однако, вы можете использовать одно и то же правило для соединений RPC/HTTP, OMA и ActiveSync. Мы же будем использовать два разных правила для поддержки входящих соединений с RPC/HTTP, OMA и ActiveSync, поскольку это позволит нам более тщательно контролировать настройки фильтра безопасности HTTP. Компания Microsoft опубликовала достаточно полное руководство по настройке фильтра безопасности HTTP для публикации OWA и RPC/HTTP.

К настоящему моменту, компания Microsoft не опубликовала никакого руководства по настройке фильтра безопасности HTTP для публикации OMA и ActiveSync. Вследствие этого, мы создадим правило web-публикации для публикации RPC/HTTP и настроим пользовательские установки фильтра безопасности HTTP для этого правила. Мы создадим другое правило web-публикации для OMA/ActiveSync, которое будет использовать общие установки фильтра безопасности HTTP.

Создание правила web-публикации OWA

Правило web-публикации OWA будет разрешать входящие SSL (HTTPS)-соединения из Интернета через ISA-сервер ко внешнему Exchange-серверу. На рисунке показан путь входящего соединения через ISA-сервер ко внешнему Exchange-серверу в сегменте DMZ с установленным доступом.

Максимальная длина url адреса

Рисунок 1

Правило web-публикации будет принимать входящие соединения с узлом owa.msfirewall.org. Пользователи должны будут пройти аутентификацию и авторизоваться на ISA-сервере до переадресации соединения на OWA-сайт внешнего Exchange-сервера. Поскольку базовое делегирование разрешено, ISA-сервер будет переадресовывать пользовательские учетные данные на OWA-сайт, так что OWA-сайт сможет аутентифицировать пользователя. Только после предварительной аутентификации на ISA-сервере, авторизации соединения и аутентификации на OWA-сайте соединению внешнего пользователя будет разрешен доступ к сайтам внешнего Exchange-сервера.

И, наконец, на ISA-сервере включено SSL-сопряжение, так что ISA-сервер сможет проводить проверку пакетов на уровне приложений данных SSL-туннеля. Это одно из главных преимуществ ISA-сервера перед обычными аппаратными брандмауэрами с функцией проверки обычных пакетов. ISA-сервер предотвращает скрытие в SSL-туннеле злоумышленниками вредных программ.

Имя Действие Протоколы От/Приемник К Условие
Web Pub OWA Svr Разрешить HTTPS OWA Listener Feexchange.msfirewall.org Все аутентифицированные пользователи

Таблица 2: Описание правила web-публикации OWA

Для создания правила web-публикации OWA выполните следующее:

  1. В консоли управления ISA-сервера раскройте имя сервера и выберите узел Firewall Policy (Политики сервера).
  2. В панели задач узла Firewall Policy (Политики сервера) выберите Tasks (Задачи) и Publish a Mail Server (Публикация почтового сервера).
  3. На странице Welcome to the New Mail Server Publishing Rule Wizard Начало работы мастера правил публикации нового почтового сервера) в текстовом окне Mail Server Publishing Rule name (Имя правила публикации почтового сервера) введите название правила. В нашем примере это Web Pub FE OWA Svr. Нажмите Next (Далее).
  4. На странице Select Access Type (Выбор типа доступа) выберите опцию Web client access: Outlook Web Access (OWA), Outlook Mobile Access, Exchange Server ActiveSync (Доступ web-клиентов: OWA, Outlook Mobile Access, Exchange Server ActiveSync) и нажмите Next (Далее).
  5. На странице Select Services (Выбор сервисов) выберите только опции Outlook Web Access (Web-доступ к Outlook) и Enable high bit characters used by non-English character sets(Разрешить символы, используемы в не-английских наборах символов). Нажмите Next (Далее).
  6. На странице Bridging Mode (Способ сопряжения) выберите опцию Secure connection to clients and mail server (Безопасные соединения клиентов и почтового сервера) и нажмите Next (Далее).
  7. На странице Specify the Web Mail Server (Укажите почтовый web-сервер) введите имя сертификата web-сайта внешнего Exchange-сервера. Это имя, которое появится на вкладке To (К) правила web-публикации. Помните, что это имя должно совпадать с именем сертификата web-сайта, привязанного к внешнему Exchange-серверу. В нашем примере это имя feexchange.msfirewall.org. Введите его в поле Web mail server (Почтовый web-сервер) и нажмите Next (Далее).

    Максимальная длина url адреса

    Рисунок 2

  8. На странице Public Name Details (Подробности имени) из списка Accept requests for (Принимать запросы для) выберите This domain name (type below) (Этот домен (обозначен ниже)). Введите имя, которое пользователи внешней сети будут использовать для доступа к OWA-сайту в текстовое поле Public name (Имя). Это имя должно совпадать с именем сертификата web-сайта, привязанного к приемнику в правиле web-публикации. В нашем случае это имя owa.msfirewall.org, поэтому введите его в текстовое поле Public name (Имя). Нажмите Next (Далее).

    Максимальная длина url адреса

    Рисунок 3

  9. На странице Select Web Listener (Выбор web-приемника) нажмите кнопку New (Новый).
  10. На странице Welcome to the New Web Listener Wizard (Начало работы мастера нового web-приемника) введите в поле Web listener name (Имя web-приемника) название вашего приемника. В нашем примере это OWA Listener. Нажмите Next (Далее)
  11. На странице IP Addresses (IP-адреса) отметьте опцию External (Внешний) и нажмите Address (Адрес).
  12. В диалоговом окне External network Listener IP Selection (Выбор IP-адреса внешнего сетевого приемника) выберите опцию Specified IP addresses on the ISA Server computer in the selected network (IP-адреса ISA-сервера в выбранной сети). Дважды щелкните по IP-адресу, связанному с полностью определенным доменным именем, указанном на странице Public Name (Имя). В нашем примере внешний DNS-сервер разрешает имя owa.msfirewall.org в IP-адрес 192.168.1.70, поэтому щелкаем по этому адресу, и он появляется в списке Selected IP Addresses (Выбранные IP-адреса). Нажмите OK.

    Несколько dmz

    Рисунок 4
  13. На странице IP Addresses (IP-адреса) нажмите Next (Далее).

    Несколько dmz

    Рисунок 5
  14. На странице Port Specification (Порт) уберите флажок с опции Enable HTTP (Разрешить HTTP). Отметьте опцию Enable SSL (Разрешить SSL). Нажмите кнопку Select (Выбор).
  15. В диалоговом окне Select Certificate (Выбор сертификата) выберите сертификат с именем для внешнего приемника. В нашем примере ISA-сервер в правиле web-публикации OWA будет использовать имя owa.msfirewall.org. Выберите сертификат и нажмите OK.

    Правила для входящих HTTP соединений

    Рисунок 6

  16. Нажмите Next (Далее) на странице Port Specification (Порт).

    Правила для входящих HTTP соединений

    Рисунок 7

  17. На странице Completing the New Web Publishing Rule Wizard (Завершение создания нового правила web-публикации) нажмите Finish (Завершить).
  18. На странице Select Web Listener (Выбор web-приемника) нажмите кнопку Edit (Редактировать).
  19. В диалоговом окне OWA Listener Properties (Свойства OWA Listener) откройте вкладку Preferences (Предпочтения).
  20. На вкладке Preferences (Предпочтения) нажмите кнопку Authentication (Аутентификация).
  21. В диалоговом окне Authentication (Аутентификация) уберите отметку с опции Integrated (Встроенная). Нажмите OK в диалоговом окне, сообщающим, что вами не выбран не один из методов аутентификации.
  22. Отметьте опцию OWA Forms-based (Формы OWA-сайта). Отметьте пункт Require all users to authenticate (Требовать аутентификации всех пользователей). Нажмите кнопку Configure (Настроить).

    Exchange имя сервера внешнее HTTP rpc

    Рисунок 8

  23. На странице OWA Forms-Based Authentication (Аутентификация с помощью форм) прочтите описание настроек. В нашем примере мы оставим значение времени ожидания по умолчанию и отметим пункты Clients on public machines (Клиенты компьютеров общего пользования) и Log off OWA when the user leaves OWA site (Выходить из OWA, если пользователь уходит с сайта OWA). Эти настройки не являются необходимыми для достижения наилучшей производительности, это то, что я обычно устанавливаю по умолчанию, если не знаю, чего хочет клиент. Нажмите OK.

    Exchange имя сервера внешнее HTTP rpc

    Рисунок 9
  24. На странице Authentication (Аутентификация) нажмите OK.
  25. На странице OWA Listener Properties (Свойства OWA Listener) нажмите OK.
  26. На странице Select Web Listener (Выбор web-приемника) нажмите Next (Далее).

    Exchange разрешить привязываться к любому сайту

    Рисунок 10

  27. На странице User Sets (Установки пользователей) выберите пункт All Users (Все пользователи) и нажмите Remove (Удалить). Нажмите кнопку Add (Добавить).
  28. В диалоговом окне Add Users (Добавить пользователей) дважды щелкните по пункту All Authenticated Users (Все пользователи, прошедшие аутентификацию), затем нажмите Close (Закрыть).

    Isa post method

    Рисунок 11

  29. На странице User Sets (Установки пользователей) нажмите Next (Далее).
  30. На странице Completing the New Mail Server Publishing Rule Wizard (Завершение создания правила публикации нового почтового сервера) нажмите Finish (Завершить).

Следующим шагом мы сделаем пару изменений в правило, которые нельзя сделать с помощью мастера:

  1. Дважды щелкните по правилу web-публикации OWA
  2. В диалоговом окне Web Pub FE OWA Svr Properties (Свойства правила Web Pub FE OWA Svr) выберите вкладку Traffic (Трафик). Установите отметку на пункте Require 128-bit encryption for HTTPS traffic (Требовать 128-битное шифрование для HTTPS-трафика).

    Isa post method

    Рисунок 12

  3. Откройте вкладку Users (Пользователи). Отметьте пункт Forward Basic authentication credentials (Basic delegation) (Переадресовывать учетные данные для аутентификации (базовое делегирование)). Нажмите OK.

    Microsoft isa создание правила allow

    Рисунок 13

Последний шаг – настройка фильтра безопасности HTTP для усиления уровня безопасности, устанавливаемого ISA-сервером на web-сайт внешнего Exchange-сервера.

Для настройки фильтра безопасности HTTP для правила web-публикации OWA выполните следующее:

  1. Дважды щелкните по правилу web-публикации OWA и нажмите Configure HTTP (Настройка HTTP).
  2. На вкладке General (Общие) диалогового окна Configure HTTP policy for rule (Настройка политики HTTP для правила) настройте следующие параметры:
    Maximum headers length (Максимальная длина заголовков) 32768
    Allow any payload length (Разрешить любую длину полезной нагрузки)
    Maximum URL Length (Максимальная длина адреса URL) 260
    Maximum query length (Максимальная длина запроса) 4096
    Enable Verify normalization (Включить подтверждение нормализации)
    Disable Block high bit characters (Отключить блокировку символов с высоким битом)

    Microsoft isa создание правила allow

    Рисунок 14

  3. На вкладке Methods (Методы) выберите опцию Allow only specified methods (Разрешить только определенные методы) из списка Specify the action taken for HTTP methods (Укажите действия методов HTTP). Нажмите Add (Добавить). В диалоговом окне Method (Метод) в текстовое поле Method (Метод) введите GET. Нажмите OK. Повторите эту процедуру для следующих методов:
    GET
    POST
    PROPFIND
    PROPPATCH
    BPROPPATCH
    MKCOL
    DELETE
    BDELETE
    BCOPY
    MOVE
    SUBSCRIBE
    BMOVE
    POLL
    SEARCH

    Msfirewall org это

    Рисунок 15

  4. Список разрешенных вами методов должен выглядеть как на рисунке ниже.

    Oma настройки

    Рисунок 16

  5. Выберите вкладку Extensions (Расширения). Из списка Specify the action taken for file extensions (Укажите действия для расширения файла) выберите пункт Block specified extensions (allow all others)(Блокировать указанные расширения (разрешать все остальные)). Нажмите кнопку Add (Добавить). В диалоговом окне Extension (Расширение) введите в текстовое поле Extension (Расширение) .exe и нажмите OK. Повторите эту процедуру для следующих расширений:
    .exe
    .bat
    .cmd
    .com
    .htw
    .ida
    .idq
    .htr
    .idc
    .shtm
    .shtml
    .stm
    .printer
    .ini
    .log
    .pol
    .dat

    Oma настройки

    Рисунок 17
  6. Список расширений должен выглядеть как на рисунке ниже.

    Owa фильтр по IP mac

    Рисунок 18
  7. Выберите вкладку Signatures (Подписи). Нажмите кнопку Add (Добавить). В диалоговом окне Signature (Подпись) в текстовое поле Name (Имя) введите OWA1. Из выпадающего списка Search in (Поиск в) выберите Request URL (Запрошенный URL). Текстовое поле Signature (Подпись) введите ./. Нажмите OK. Повторите данную процедуру для следующих подписей:
    \
    %

    Owa фильтр по IP mac

    Рисунок 19
  8. Список подписей должен выглядеть как на рисунке:

    Propfind isa

    Рисунок 20
  9. В окне Configure HTTP policy for rule (Настройка политики HTTP для правила) нажмите OK.

Создание правила web-публикации RPC/HTTP

Следующий шаг – создание правила web-публикации для сайта RPC/HTTP. Как и правило web-публикации OWA это правило разрешает входящие SSL (HTTPS) соединения к сайту RPC-прокси внешнего Exchange-сервера. На рисунке показан путь входящих SSL-соединений с внешним Exchange-сервером:

Безопасная публикация owa в dmz

Рисунок 21

Данное правило web-публикации разрешает все входящие соединения к имени rpc.msfirewal.org, и будет работать только если путь в запросе содержит /rpc/. Как и в правиле web-публикации OWA, SSL-публикация призвана обеспечить более высокий уровень безопасности в сравнении с аппаратными брандмауэрами. До того, как RPC/HTTP-соединения будут переадресованы на сайт RPC-прокси внешнего Exchange-сервера, также потребуется предварительная аутентификация и авторизация на ISA-сервере.

В Таблице 3 представлено краткое описание правила web-публикации RPC/HTTP.

Имя Действие Протоколы От/Приемник К Условие
Web Pub RPC Proxy Разрешить HTTPS Приемник RPC/OMA/ActiveSync feexchange.msfirewall.org Аутентифицированные пользователи

Таблице 3: Описание правила web-публикации RPC поверх HTTP

Для создания правила web-публикации RPC/HTTP выполните следующее:

  1. В консоли управления ISA-сервера правой кнопкой щелкните по правилу web-публикации OWA и нажмите Copy (Копировать).
  2. Еще раз правой кнопкой щелкните по правилу web-публикации OWA и нажмите Paste (Вставить).
  3. Дважды щелкните по новому правилу Web Pub FE OWA Svr(1).
  4. На вкладке General (Общие) переименуйте правило. В текстовое поле Name (Имя) введите Web Pub RPC Proxy. Нажмите Apply (Применить).
  5. Выберите вкладку Listener (Приемник) и нажмите кнопку New (Новый).
  6. На странице Welcome to the New Web Listener Wizard (Начало работы мастера нового web-приемника) введите в поле Web listener name (Имя web-приемника) название вашего приемника. В нашем примере это RPC/OMA/ActiveSync Listener. Нажмите Next (Далее).
  7. На странице IP Addresses (IP-адреса) отметьте опцию External (Внешний) и нажмите Address (Адрес).
  8. В диалоговом окне External network Listener IP Selection (Выбор IP-адреса внешнего сетевого приемника) выберите опцию Specified IP addresses on the ISA Server computer in the selected network (IP-адреса ISA-сервера в выбранной сети). Дважды щелкните по адресу, разрешающему имя rpc.msfirewall.org. То есть вы выбираете адрес, в который будет разрешаться имя сертификата web-сайта для данного приемника. В нашем примере имя owa.msfirewall.org разрешается в IP-адрес 192.168.1.71, поэтому щелкаем по этому адресу, и он появляется в списке Selected IP Addresses (Выбранные IP-адреса). Нажмите OK.

    Безопасная публикация owa в dmz

    Рисунок 22

  9. На странице IP Addresses (IP-адреса) нажмите Next (Далее).
  10. На странице Port Specification (Порт) уберите флажок с опции Enable HTTP (Разрешить HTTP). Отметьте опцию Enable SSL (Разрешить SSL). Нажмите кнопку Select (Выбор).
  11. В диалоговом окне Select Certificate (Выбор сертификата) выберите сертификат для правила web-публикации HTTP-RPC/OMA/ActiveSync. В нашем внешние клиенты HTTP-RPC/OMA/ActiveSync для доступа к ISA-серверу будут использовать имя owa.msfirewall.org. Выберите сертификат и нажмите OK.

    Бузопастность owa

    Рисунок 23

  12. Нажмите Next (Далее) на странице Port Specification (Порт).

    Внешняя безопасность HTTP что это

    Рисунок 24

  13. На странице Completing the Web-Listener Wizard (Завершение создания нового web-приемника) нажмите Finish (Завершить).
  14. Обратите внимание, что новый web-приемник выбран на вкладке Listener (Приемник). Нажмите кнопку Properties (Свойства).
  15. В диалоговом окне RPC/OMA/ActiveSync Listener Properties (Свойства приемника RPC/OMA/ActiveSync) выберите вкладку Preferences (Предпочтения).
  16. На вкладке Preferences (Предпочтения) нажмите кнопку Authentication (Аутентификация).
  17. В диалоговом окне Authentication (Аутентификация) уберите отметку с опции Integrated (Встроенная). Нажмите OK в диалоговом окне, сообщающим, что вами не выбран не один из методов аутентификации.
  18. Отметьте пункт Basic (Базовая). Также выберите опцию Require all users to authenticate (Требовать аутентификации всех пользователей). Нажмите OK.

    Внешняя безопасность HTTP что это

    Рисунок 25
  19. В диалоговом окне RPC/OMA/ActiveSync Listener Properties (Свойства приемника RPC/OMA/ActiveSync) нажмите OK. Вкладка Listener (Приемник) должна выглядеть так, как изображено на рисунке.

    Выходит окошко требуется аутентификация как убрать

    Рисунок 26

  20. Выберите вкладку Paths (Пути). Для каждого пути из списка нажмите кнопку Remove (Удалить). Теперь список путей пуст. Нажмите кнопку Add (Добавить). В диалоговом окне Path Mapping (Присоединенные пути) в текстовое поле введите путь /OMA/*. Повторите данную процедуру для добавления следующих путей:
    /rpc/*

    Имя домена совпадает с именем сайта

    Рисунок 27
  21. Вкладка Path (Путь) теперь должна выглядеть как на рисунке ниже.

    Имя домена совпадает с именем сайта

    Рисунок 28

  22. Выберите вкладку Public Name (Имя), далее выберите запись owa.msfirewall.org и нажмите кнопку Remove (Удалить). Нажмите Add (Добавить).
  23. В диалоговом окне Public Name (Имя) введите имя, которые внешние пользователи будут использовать для связи с ресурсами с помощью правила web-публикации. В нашем случае это rpc.msfirewall.org. Введите это имя в текстовое поле Public domain name or IP address (Имя домена или IP-адрес) и нажмите OK.

    Как настроить правила входящих HTTP соединений?

    Рисунок 29

  24. Теперь имя появилось в списке. Нажмите OK.

    Как настроить правила входящих HTTP соединений?

    Рисунок 30

Теперь нам нужно настроить фильтр безопасности HTTP для увеличения защиты сайта RPC поверх HTTP на внешнем Exchange-сервере.

Для этого внесем в фильтр безопасности HTTP следующие изменения:

  1. Дважды щелкните по правилу Web Pub RPC Proxy и выберите Configure HTTP (Настройка HTTP).
  2. На вкладке General (Общие) диалогового окна Configure HTTP policy for rule (Настройка политики HTTP для правила) измените значение Maximum URL length (bytes) Maximum URL Length (Максимальная длина адреса URL (в байтах)) на 16384 и значение параметра Maximum query length (bytes) (Максимальная длина запроса (в байтах)) на 4096.

    Множественные сайты exchange

    Рисунок 31

  3. На вкладке Methods (Методы) выберите опцию Allow only specified methods (Разрешить только определенные методы) из списка Specify the action taken for HTTP methods (Укажите действия методов HTTP). Нажмите Add (Добавить).
  4. В диалоговом окне Method (Метод) в текстовое поле Method (Метод) введите RPC_IN_DATA. Нажмите OK. Снова нажмите Add (Добавить) и в диалоговом окне Method (Метод) в текстовое поле Method (Метод) введите RPC_OUT_DATA. Нажмите OK.

    Отключены правила для входящих HTTP соединений

    Рисунок 32

  5. Вкладка Methods (Методы) должна выглядеть, как изображено на рисунке.

    Отключены правила для входящих HTTP соединений

    Рисунок 33
  6. В диалоговом окне Configure HTTP policy for rule (Настройка политики HTTP для правила) нажмите OK.

Создание правила web-публикации для OMA и ActiveSync

Теперь создадим правило web-публикации OMA/ActiveSync. Данное правило будет иметь все те же характеристики, что и правило web-публикации RPC/HTTP, за исключение того, что оно будет работать при запросе пути /OMA/ или /Microsoft-Server-ActiveSync.

Для создания правила web-публикации OMA/ActiveSync выполните следующее:

  1. В консоли управления ISA-сервера правой кнопкой щелкните по правилу web-публикации RPC-прокси и нажмите Copy (Копировать).
  2. Еще раз правой кнопкой щелкните по правилу web-публикации RPC-прокси и нажмите Paste (Вставить).
  3. Дважды щелкните по новому правилу Web Pub RPC Proxy(1).
  4. На вкладке General (Общие) переименуйте правило. В текстовое поле Name (Имя) введите Web Web Pub OMA/ActiveSync. Нажмите Apply (Применить).
  5. На странице IP Addresses (IP-адреса) нажмите Next (Далее).
  6. O На странице Port Specification (Порт) уберите флажок с опции Enable HTTP (Разрешить HTTP). Отметьте опцию Enable SSL (Разрешить SSL). Нажмите кнопку Select (Выбор).
  7. Выберите вкладку Paths (Пути). Выберите путь /rpc/* и нажмите кнопку Remove (Удалить). Теперь список путей пуст. Нажмите кнопку Add (Добавить). В диалоговом окне Path Mapping (Присоединенные пути) в текстовое поле введите путь /OMA/*. Повторите данную процедуру для добавления пути /Microsoft-Server-ActiveSync/*.

    Пользователь интернет сервер

    Рисунок 34

  8. Вкладка Path (Путь) должна выглядеть также, как на рисунке.

    Правила входящих соединений

    Рисунок 35
  9. Нажмите OK.

К моменту написания статьи компания Microsoft не предоставила никакого руководства по настройке фильтра безопасности HTTP для защиты OMA и ActiveSync. Если Microsoft сделает данную информацию доступной, эта статья будет обновлена.

Резюме

В четвертой части статьи о создании нескольких периметров для много сетевого ISA-сервера мы детально рассмотрели на стройку правил web-публикации для разрешения входящих безопасных соединений к внешнему Exchange-серверу в сегменте DMZ с установленным доступом. Были созданы три правила: для web-сайта OWA, для web-сайта RPC/HTTP и для web-сайта OMA/ActiveSync. Следующей части мы создадим правила публикации сервера и правила доступа для разрешения входящих соединений из Интернет к внешнему Exchange-серверу и для связи внешнего Exchange-сервера с контроллером домена и внутренним Exchange-сервером корпоративной сети.

www.isaserver.org










































Смотрите также:

Tags: , , , , , , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]