Создание нестандартной политики клиентского доступа VPN для соединения Outlook MAPI Clients с Microsoft Exchange (Часть 2)

Если вы пропустили первую часть этой статьи, то пожалуйста прочитайте Создание нестандартной политики клиентского доступа VPN для Microsoft Exchange в Connect Outlook MAPI Clients (Часть1)

В первой части статьи мы рассмотрели, как настроить ISA Firewall для поддержания безопасных MAPI соединений с Exchange Server через соединения удаленного клиентского доступа VPN, мы поняли базовые причины того, почему ISA Firewall является наиболее безопасным решением, чем другие брандмауэры/VPN серверы, а затем мы научились включать компонент VPN сервера в ISA Firewall. Мы создали пользователя и группу, которые будем использовать для демонстрации того, как мы можем влиять на строгий доступ к Exchange Server с использованием MAPI/RPC через соединения удаленного доступа VPN.

На этот раз мы закончим создание требуемого протокола описаний и политики брандмауэра с целью разрешения соединяться с Exchange Server только авторизованным пользователям.

Создание доступа и правил публикации сервера ограниченного доступа в Exchange Server

Теперь мы готовы создать правило доступа и правило публикации сервера, которые ограничат доступ в Exchange Server, при использовании всех MAPI клиентов Outlook 2000 (тоже правило будет работать для пользователей Outlook 2002, Outlook 2003, и Outlook 2007). Правило доступа разрешит членам VPN Exchange Users групповой доступ в протоколы DNS и Direct Access(445). Нижеприведенная таблица содержит более подробные детали правила.

Примечание:Этот шаг не требуется, так как вы можете использовать протокол описания Microsoft CIFS (TCP). Однако, с тех пор как мы перестали использовать этот протокол для CIFS, и вы не можете переименовать имена встроенных протоколов, я выбираю создание обычного протокола описаний для доступа в Exchange Server.

Протокол прямого доступа требуется для доступа к директории сервиса (LDAP преобразование) для клиента Outlook в этом сценарии.

Второе правило доступа отменит все RPC трафики ото всех пользователей в сети VPN клиентов кроме членов группы VPN пользователей Exchange. Это правило отказывает членам, которые не являются членами группы VPN пользователей Exchange, в соединении с Exchange Server через Secure Exchange RPC.

Следуйте следующим инструкциям для создания правила доступа Прямого доступа/VPN клиенты:

1. В ISA Firewall Console, расширьте имя сервера и нажмите на Firewall Policy.
2. В панели Task Pane нажмите на ярлыкTasks. В ярлыке Tasks кликните на Create New Access Rule.
3. На странице Welcome to the New Access Rule Wizard введите имя для правила в текстовом поле Access Rule name. В данном примере мы введем RPC over VPN Clients и нажмем Next.
4. На странице Rule Action выберите опцию Allow и нажмите Next.
5. На странице Protocols выберите Selected protocols в списке This rule applies to. Нажмите Add.
6. В диалоговом окне Add Protocols нажмите на папку All Protocols. Дважды щелкните на DNS.
7. Нажмите на меню New в диалоговом окне Add Protocols. Нажмите на команду Protocol.

   

   Рисунок 1

1. На странице Welcome to the New Protocol Definition Wizard введите имя для протокола описания в текстовом поле Protocol definition name. В этом примере мы присвоим протоколу имя Direct Access (445). Нажмите Next.
2. На странице Primary Connection Information нажмите на кнопку New.
3. На странице New/Edit Protocol Connection установите Protocol type на TCP. Установите Direction как Outbound. В рамке Port Range установите From как 445 и To как 445. Нажмите OK.

   

   Рисунок 2

1. Нажмите Next на странице Primary Connection Information.

   

   Рисунок 3

1. На странице Secondary Connections выберите опцию No и нажмите Next.
2. Нажмите Finish на странице Completing the New Protocol Definition Wizard page.
3. Дважды нажмите на Direct Access (445), которая появится в списке All Protocols, далее нажмите Close.

   

   Рисунок 4

1. На странице Protocols нажмите Next.
2. На странице Access Rule Sources нажмите Add. В диалоговом окне Add Network Entities нажмите на папку Networks, далее дважды щелкните по сети VPN Clients. Нажмите Close.
3. На странице Access Rule Destinations нажмите Add. В диалоговом окне Add Network Entities щелкните на папку Networks и далее дважды щелкните по сети Internal. Нажмите Close.
4. Нажмите Next на странице Access Rule Destinations.
5. На странице User Sets нажмите на All Users и далее нажмите на кнопку Remove. Далее нажмите на кнопку Add.
6. В диалоговом окне Add Users дважды щелкните на VPN Exchange Users. Нажмите Close.
7. Нажмите Next на странице User Sets.
8. Нажмите Finish на странице Completing the New Access Rule Wizard.

Теперь, когда группа VPN пользователей Exchange имеет доступ в DNS и протоколы прямого доступа (445), следующим шагом будет создание правила отказа для отказа VPN пользователям, которые не являются членами группы VPN пользователей Exchange в соединении с Exchange Server через RPC протокол Secure Exchange.

Следуйте следующим инструкциям для создания правила Deny RPC All Interfaces:

1. В ISA Firewall Console расширьте имя сервера в левой панели меню, и далее нажмите на Firewall Policy.
2. В панели Task нажмите на ярлык Tasks. В ярлыке Tasks нажмите на Create New Access Rule.
3. На странице Welcome to the New Access Rule Wizard введите имя правила в текстовом блоке Access Rule name. В этом примере мы присвоим правилу имя Deny RPC All Interfaces. Нажмите Next.
4. Выберите Deny на странице Rule Action.
5. На странице Protocols выберите опцию Selected protocols в списке This rule applies to. Нажмите Add.
6. В диалоговом окне Add Protocols нажмите на папку All Protocols и дважды щелкните на протоколе RPC (all interfaces). Наконец дважды щелкните на протоколе DNS. Нажмитеk Close.
7. Нажмите Next на странице Protocols.
8. На странице Access Rule Sources нажмите Add. В диалоговом окне Add Network Entities нажмите на папку Networks. Дважды щелкните на VPN Clients. Нажмите Close.
9. Нажмите Next на странице Access Rule Sources.
10. На странице Access Rule Destinations нажмите Add. В диалоговом окне Add Network Entities нажмите на папку Computers. Дважды щелкните на Exchange Server. Нажмите Close.
11. Нажмите Next в диалоговом окне Access Rule Destinations.
12. На странице User Sets примите по умолчанию All Users, далее нажмите Next.
13. Нажмитеk Finish на странице Completing the New Access Rule Wizard.
14. В панели Details меню управления Microsoft Internet Security and Acceleration Server 2004 дважды щелкните на правиле доступа Deny RPC All Interfaces.
15. В диалоговом окне Deny RPC All Interfaces Properties нажмите на кнопку Add в секции Exceptions. В диалоговом окне Add Users дважды щелкните на VPN Exchange Users. Нажмите Close.

    

    Рисунок 5

1. Нажмите на Apply и далее нажмите OK в диалоговом окне Deny RPC All Interfaces Properties.

Теперь мы готовы создать правило публикации RPC сервера Secure Exchange, которое позволит MAPI клиентам Outlook иметь соединение с Exchange Server.

Следуйте следующим инструкциям для создания правила публикации Secure Exchange RPC:

1. В меню ISA Firewall расширьте имя сервера и нажмите на Firewall Policy.
2. В панели Task нажмите на ярлык Tasks. В ярлыке Tasks нажмите на Create New Server Publishing Rule.
3. На странице Welcome to the New Server Publishing Rule Wizard введите имя для правила в текстовый блокServer publishing rule name. В этом примере мы присвоим правилу имя Secure Exchange RPC. Нажмите Next.
4. На странице Select Server введите IP адрес Exchange Server во внутренней сети в текстовый блокServer IP address. В этом примере IP адресом является 10.0.0.2, и мы введем этот адрес в текстовый блок. Нажмите Next.

   

   Рисунок 6

1. On the IP Addresses page, put a checkmark in the VPN Clients checkbox. Click Next.

   

   Рисунок 7

1. Click Finish on the Completing the New Server Publishing Rule Wizard page.

Создание правила доступа, разрешающего доступ в веб-сайт регистрации

Хотя все хост-узлы запретили доступ к RPC протоколу в Exchange Server, мы хотим разрешить соединения с таким же устройством таким образом, чтобы все хост-узлы могли требовать сертификаты на веб-сайте регистрации, который расположен в том же устройстве. Мы можем выполнить эту задачу, создав правило доступа, которое позволит VPN клиентам иметь доступ к устройству, используя HTTP и HTTPS протоколы. К тому же мы разрешим всем пользователям иметь доступ к протоколу сервера DNS так как DNS сервер расположен в том же устройстве..

Следуйте следующим инструкциям для разрешения VPN клиентам доступа ы веб-сайт регистрации:

1. В ISA Firewall Console расширьте имя сервера в левой панели меню и далее нажмите на Firewall Policy.
2. В панели Task нажмите на ярлык Tasks. В ярлыке Tasks нажмите на Create New Access Rule.
3. На странице Welcome to the New Access Rule Wizard введите имя правила в текстовый блок Access Rule nameВ этом примере мы присваиваем правилу имя VPN Clients to CA Web. Нажмите Next.
4. Выберите Allow на странице Rule Action.
5. На странице Protocols выберите опцию Selected protocols в списке This rule applies to. Нажмите Add.
6. В диалоговом окне Add Protocols нажмите на папку Common Protocols и далее дважды щелкните по протоколу HTTP. Далее дважды щелкните по протоколу HTTPS. Наконец, дважды щелкните по протоколу DNS. Нажмите Close.
7. Нажмите Next на странице Protocols.

   

   Рисунок 8

1. На странице Access Rule Sources нажмите Add. В диалоговом окне Add Network Entities нажмите на папку Networks. Дважды щелкните на VPN Clients. Нажмите Close.
2. Нажмите Next на странице Access Rule Sources.
3. На странице Access Rule Destinations нажмите Add. В диалоговом окне Add Network Entities нажмите на меню New. Нажмите Computer.
4. В диалоговом окне New Computer Rule Element введите имя компьютера в текстовый блок Name. В этом примере мы присваиваем компьютеру имя Web Enrollment Site. Ведите IP адрес веб-сайта регистрации в текстовый блок Computer IP Address. В этом примере IP адресом будет 10.0.0.2, поэтому мы введем это значение в текстовый блок. Нажмите OK.

   

   Рисунок 9

1. In the Add Network Entities dialog box, click the Computers folder and then double click the Web Enrollment Site entry. Click Close.

   

   Рисунок 10

1. Нажмите Next в диалоговом окне Access Rule Destinations.
2. На странице User Sets примите по умолчанию All Users и далее нажмите Next.
3. Нажмите Finish на странице Completing the New Access Rule Wizard.

Размещение порядка правил

Нам нужно разместить правила доступа таким образом, чтобы они располагались в порядке, обеспечивающем Exchange RPC доступ для членов группы VPN пользователей Exchange, но мы не должны разрешить другим пользователям иметь доступ в Exchange Server через RPC в случае, когда другое правило заканчивается и непреднамеренно позволяет другим пользователям иметь RPC доступ.

Следуйте следующим инструкциям для размещения правил в желаемом порядке:

1. В ISA Firewall Console расширьте имя сервера и нажмите наFirewall Policy.
2. Вам нужно переместить правила наверх или вниз списка таким образом, чтобы они оказались в том же порядке, что показа на нижеприведенном рисунке.

   

   Рисунок 11

1. Вы можете передвигать правила, нажав на нужном и используя кнопки «вверх» и «вниз» на клавиатуре.

   

   Рисунок 12

1. Нажмите Apply, чтобы сохранить изменения и обновить политику брандмауэра.
2. Нажмите OK, когда измененные настройки сохранятся.

Образование VPN соединение и соединение с Microsoft Exchange через Secure RPC

Теперь мы готовы подключиться к Exchange Server из устройства VPN клиента во внешней сети. Внешнее устройство VPN клиента – это компьютер Windows 2000 Professional и Outlook 2000, установленный в устройстве. Прикладная программа Outlook 2000 настраивается для соединения с Exchange Server. Однако так как Outlook должен иметь возможность разрешать имя Exchange Server, используя DNS, мы должны быть уверены, что операционная система клиента могут полностью квалифицировать хост-имя Exchange Server. Существует несколько способов того, как это сделать. В этом примере мы настроим устройство VPN клиента с помощью обычного имени домена, поэтому оно будет добавлено в неквалифицированные DNS запросы. Так как Exchange Server принадлежит домену msfirewall.org, мы будем настраивать устройство VPN клиента для использования имени простого домена msfirewall.org.

Следует отметить, что я выбрал пример клиента Outlook 2000 в качестве сценария наихудшего случая. Однако преобразование имен сетевых узлов IP адреса важно для всех клиентов. Вы должны быть уверены, что компьютеры VPN клиентов могут разрешать имя Exchange Server правильному внутреннему IP адресу. Процедура, которую я опишу ниже, будет работать для всех версий Outlook и всех типов соединений VPN клиентов. Существуют другие методы, которыми вы можете пользоваться, но этот самый простой.

Следуйте следующим инструкциям для настройки устройства VPN клиента с подходящим именем обычного домена:

1. Правой кнопкой щелкните на иконке My Computer на Рабочем столе и нажмите Properties.
2. В диалоговом окне System Properties нажмите на ярлык Network Identification.
3. В ярлыке Network Identification нажмите на кнопку Properties.
4. В диалоговом окне Identification Changes нажмите на кнопку More.
5. В диалоговом окне DNS Suffix and NetBIOS Computer Name введите msfirewall.org в текстовом блоке Primary DNS suffix of computer. Нажмите OK.
6. Нажмите OK в диалоговом окне Identification Changes.
7. НажмитеOK в диалоговом окне Network Identification, информирующем вас, что вам нужно перезапустить компьютер.
8. Нажмите OK в диалоговом окне System Properties.
9. Нажмите Yes в диалоговом окне System Settings Change.
10. Зарегистрируйтесь как Администратор, когда компьютер перезагрузиться.

Теперь, когда устройство VPN клиента может полностью квалифицировать имя Exchange Server, мы можем создать VPN соединение. Прикладная программаOutlook 2000 была настроена с Outlook Profile, чтобы иметь соединение с аккаунтом Administrator в Exchange Server. Имя Exchange Server в профайле Outlook 2000 — EXCHANGE2003BE. Устройство VPN клиента сможет использовать адрес DNS сервера, которое ему будет доступно благодаря VPN серверу, чтобы найти Exchange Server.

Следуйте следующим инструкциям для соединения с VPN сервером и Exchange Server:

1. Создайте соединение VPN клиента из иконки Make New Connection в окне Network and Dial-up Connections. Используйте IP адрес 192.168.1.70 для VPN сервера.
2. Соединить VPN соединение с аккаунтом пользователя MSFIREWALL\Administrator. Соединение будет использовать PPTP, потому что у нас нет расширенных сертификатов в этом сценарии.
3. Запустите Outlook 2000. Будет небольшое запаздывание, и вы увидите диалоговое окно, сообщающее, что Outlook не может иметь соединение с Exchange Server. Причиной является то ,что вы зарегистрировались в VPN, используя аккаунт, у которого нет доступа к RPC протоколу. Нажмите Work Offline в диалоговом окне Microsoft Exchange Server.

   

   Рисунок 13

1. Нажмите OK в диалоговом окне Microsoft Outlook, информирующем вас, что нельзя открыть по умолчанию папки электронной почты.
2. Нажмите No в диалоговом окне Microsoft Outlook, спрашивающем вас хотите ли вы открыть по умолчанию папку File System.
3. правой кнопкой мыши нажмите на иконке соединения в System Tray и нажмите на команду Disconnect.

Теперь, когда мы написали, что пользователи, не являющиеся членами группы VPN пользователей Exchange, не омгут иметь соединение с Exchange Server из MAPI клиентов Outlook, следующий шаг – показать, что член группы может иметь соединение с Exchange Server.

Следуйте следующей инструкции, чтобы протестировать удачно созданное соединение с Exchange Server:

1. Используйте то же VPN соединение, но на этот раз зарегистрируйтесь с помощью аккаунта MSFIREWALL\user1.
2. Откройте Outlook 2000.
3. Outlook 2000 успешно соединяется. Если вы посмотрите файл регистрации, вы увидите входное сообщение, указывающее, что Direct Access (445) разрешает user1 иметь доступ к правилу публикации Exchange Server и Exchange Server.

   

   Рисунок 14

1. Close Outlook and then disconnect the VPN connection.

Создание VPN соединения и соединения с веб-сайтом регистрации

Теперь мы можем протестировать может ли пользователь, не являющейся членом группы VPN пользователей Exchange иметь соединение с ресурсами во внутренней сети, используя другой протокол. В этом примере мы зарегистрируемся как администратор (который не является членом группы VPN пользователей) и попробуем соединиться с веб-сайтом регистрации во внутренней сети.

Следуйте следующем инструкциям, чтобы протестировать соединение:

1. Создайте VPN соединение, используя тоже VPN соединение, которое вы использовали раньше. Зарегистрируйте MSFIREWALL\Administrator.
2. Откройте Internet Explorer и введите http://10.0.0.2/certsrv в Address. Нажмитеk Go.
3. Зарегистрируйтесь на веб-сайте в User Name как Administrator и введите пароль Администратора.
4. Вы сможете зарегистрироваться на сайте и увидите страницу Welcome. Если вы возьмете файл регистрации, то вы увидите, что правило VPN Clients to CA Web разрешило соединение.

   

   Рисунок 15

1. Закройте Internet Explorer и закройте VPN соединение.

Заключение

В этой статье мы закончили наш рассказ о том, как включить MAPI доступ к Exchange Servers через безопасное удаленное разрешение доступа соединениям VPN клиентам. Мы можем расширить безопасность этого решения путем усиления двух факторов аутентификации в настройках удаленного доступа VPN клиентов, используя EAP-TLS аутентификацию. В этом случае, вы можете обойти настройки безопасности благодаря невозможности Outlook клиентов поддерживать два фактора аутентификации.

www.isaserver.org

• Wds служба развертывания
• K exchange servers как удалить
• Isa server отключил не TCP соединение
• Скачать tmg
• Уникальные шрифты

Tags: accel, dns, Exchange, ldap, nat, vpn