Monday, December 11th, 2017

Публикация OWA и RPC/HTTP с одним IP-адресом на ISA-сервере (Часть 1)

Published on Февраль 16, 2009 by   ·   Комментариев нет

Я написал много статей о публикации служб Exchange-сервера. Однако во всех этих статья подразумевалось, что вы используете либо схему с внешним и внутренним Exchange-сервером, либо ваш единственный Exchange-сервер является одновременно и контроллером домена. Хотя такие схемы мне просто устанавливать в тестовых окружениях, они могут совсем не соответствовать самым распространенным сценариям внедрения. Я не эксперт в вопросах, касающихся Exchange-сервера (как минимум, я не знаю об Exchange столько же, сколько я знаю об ISA), поэтому я могу быть не прав в отношении того, как выглядят обычные схемы внедрения Exchange-сервера.

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

Я начал думать об этом тогда, когда получил кучу вопросов о том, как публиковать единственный Exchange-сервер, не являющийся контроллером домена, и при отсутствии внешнего Exchange-сервера. Тогда я решил, что это действительно лучшая схема для небольших предприятий, которые планируют расширяться, а также для предприятий среднего масштаба. К тому же, насколько я знаю, команда разработчиков Microsoft Exchange рекомендует не устанавливать Exchange-сервер на контроллер домена по причинам производительности и безопасности.

Это все и подвигло меня на написание статьи о публикации сайтов OWA и RPC/HTTP при наличии единственного Exchange-сервера, не являющегося контроллером домена. В данной статье я остановлюсь на работе с сервером ISA 2006 (ISA Server 2006) и многих его функциях, которые поддерживают соединения удаленного доступа к серверу Microsoft Exchange и делают ISA-сервер настоящим брандмауэром для всех сетей, которым требуется безопасный удаленный доступ к серверам Exchange.

Тестовая сеть

Тестовая сеть для данной статьи достаточно проста:

  • Единственный сервер ISA 2006 Standard Edition
  • Единственный контроллер домена msfirewall.org
  • Единственный внутренний Exchange-сервер, входящий в домен msfirewall.org
  • Клиент Windows XP SP2, соединяющийся с Exchange-сервером из внешней сети

Детали настроек:

ISA-сервер

  • Установите операционную систему Windows Server 2003 SP1
  • Запустите Microsoft Update и обновите операционную систему
  • Установите сервер ISA 2006 Standard Edition с помощью конфигурации граничного брандмауэра по умолчанию
  • Снова запустите Microsoft Update для обновления всех компонентов ISA-сервера
  • Настройте внешний интерфейс, указав верные IP-адрес, маску подсети, шлюз по умолчанию. Адреса DNS-серверов не указывайте
  • Настройте внутренний интерфейс, указав верные IP-адрес и маску подсети. Настройте внутренний интерфейс на использование DNS-сервера, который располагается на контроллере домена
  • Создайте правило анонимного доступа для HTTP/HTTPS для сайтов Microsoft Updates так, чтобы контроллер домена и Exchange-сервер имели доступ к сайтам Microsoft Update
  • Данный компьютер не является контроллером домена

Контроллер домена

  • Установите операционную систему Windows Server 2003 SP1
  • Запустите Microsoft Update и обновите операционную систему
  • Запустите программу dcpromo для того, чтобы сделать компьютер контроллером домена
  • Установите службу DHCP. Создайте диапазон DHCP и активируйте его
  • Установите службы сертификации Microsoft в режиме корпоративного центра сертификации
  • Установите службу Microsoft IAS для поддержки RADIUS (хотя в данном случае мы это не будем использовать)
  • Установите WINS (для поддержки разрешения имен VPN-клиентов, хотя в данном случае мы это не будем использовать)
  • Снова запустите Microsoft Update для обновления компонентов, которые могли установить данные службы
  • Настройте сетевую карту, указав правильные IP-адрес и маску подсети, и настройте ее на использование собственных серверов DNS и WINS. Укажите в качестве шлюза по умолчанию внутренний IP-адрес ISA-сервера

Exchange-сервер

  • Установите операционную систему Windows Server 2003 SP1
  • Запустите Microsoft Update и обновите операционную систему
  • Установите службы IIS WWW, SMTP, NNTP и RPC/HTTP
  • Установите Microsoft Exchange Server 2003
  • Установите Microsoft Exchange Server SP2
  • Снова запустите Microsoft Update для обновления компонентов Exchange-сервера
  • Настройте сетевую карту, указав правильные IP-адрес и маску подсети, и настройте ее на использование контроллера домена в качестве серверов DNS и WINS. Укажите в качестве шлюза по умолчанию внутренний IP-адрес ISA-сервера

Windows XP Service Pack 2

  • Установите Windows XP Service Pack 2
  • Укажите на сетевой карте клиента IP-адрес внешней сети, включая DNS-сервер и шлюз по умолчанию, которые позволят клиенту получать доступ к сайту Microsoft Update
  • Запустите Microsoft Update и обновите операционную систему
  • Установите на клиенте Outlook 2003
  • Запустите Microsoft Update для обновления компонентов Microsoft Office
  • Удалите адрес DNS-сервера с сетевой карты (чтобы общие открытые записи домена msfirewall.org не использовались клиентом)

Ниже на рисунке показана схема сети.

Сервер rpc скачать

Рисунок1

Мы будем делать следующее:

  • Установка сертификата web-сайта на Exchange-сервере Exchange-серверу требуется сертификат web-сайта для того, чтобы мы могли установить безопасный SSL-канал между внутренним интерфейсом ISA-сервера и самим web-сайтом.
  • Экcпорт сертификата в файл Сертификат Web-сайта вместе с закрытым ключом необходимо экспортировать в файл, который затем нужно скопировать на ISA-сервер. Это позволит нам установить сертификат вместе с закрытым ключом в хранилище сертификатов ISA-сервера.
  • Импорт сертификата web-сайта в хранилище сертификатов ISA-сервера Нам необходимо импортировать сертификат web-сайта Exchange-сервера в хранилище сертификатов ISA-сервера для привязки его к web-приемнику, который будет принимать входящие соединения к сайтам OWA и RPC/HTTP.
  • Установка RPC/HTTP-прокси на Exchange-сервере Server Служба RPC/HTTP-прокси не является частью установки Exchange-сервера. Установите эту службу как одну из дополнительных служб Windows необходимо с помощью апплета Add/Remove Programs (Установка/удаление программ) Панели управления.
  • Настройка топологии «Только внутренний сервер» на Exchange-сервере Встроенная поддержка RPC/HTTP, включенная в Exchange, предполагает, что вы используете схему с внешним и внутренним сервером. В случае с единственным сервером, т.е. то, что у нас, мы должны принудить Exchange-сервер считать себя единственным внутренним сервером.
  • Настройка сервера RPC-прокси на использование отдельных портов для RPC поверх HTTP Данный пункт автоматизирован только для схем с внутренним/внешним Exchange-сервером, так что нам придется создавать записи в реестре вручную.
  • Создание правил web-публикации OWA и RPC/HTTP Настройка Exchange-сервера закончена и можно приниматься на ISA-сервер. Начнем с создания правил web-публикации OWA и RPC/HTTP.
  • Настройка клиента Outlook Часто в подобных статьях не уделяют внимания настройкам клиента. Авторы много говорят о том, как работают настройки сервера, оставляя вас наедине с установками клиента. И часто из-за этого ничего не работает, поскольку именно клиентские настройки выполнены неверно. Мы не будем делать эту ошибку и детально рассмотрим информацию об установках Outlook 2003.
  • Проверка Узнать, что блюдо готово, можно только попробовав его. Мы протестируем наши настройки с помощью клиента Outlook 2003 и Internet Explorer и посмотрим, что получилось. По идее, все должно работать.
  • Создание группыLDAP и ограничение использованияOWA иRPC/HTTP только этой группой. Проверка Мы рассмотрим более серьезные варианты настройки, которые не затронут наше правило web-публикации. Многие администраторы ISA-серверов вынуждены удалять ISA-сервер из домена. В таких случаях администраторы получат преимущество от LDAP-аутентификации и использовать существующие группы и пользователей, являющихся частью Active Directory.
  • Создание HTTPS-переадресации для HTTP-соединений и проверка Здесь мы посмотрим, как можно настроить ISA-сервер на автоматическую переадресацию HTTP-соединений в HTTPS, для того, чтобы пользователи не вводили в адресной строке браузера HTTPS-адреса.
  • Создание переадресации на переопределения соединений с корневым каталогом в каталог /Exchange Еще одна проблема, с которой сталкиваются администраторы ISA-сервера: пользователи «забывают» вводить в конце адреса URL путь /Exchange. В данном разделе мы обсудим возможность решения этой проблемы путем автоматической переадресации пользователей
  • Включение изменения паролей и уведомлений LDAP-аутентификации Часто спрашивают о возможности смены пароля пользователями внутри интерфейса OWA, а также о сообщениях пользователю о скором окончании срока действия пароля. В новом ISA-сервере данные функции поддерживаются, и мы увидим, как их настроить в случае использования LDAP-аутентификации.
  • Публикация Exchange-сервера для клиентов Outlook MAPI Clients с помощью безопасной публикации RPC Многие организации еще не перешли на Outlook 2003 и Windows XP SP1 или выше, и потому у их не поддерживается RPC/HTTP. Функция безопасной публикации RPC в ISA-сервере делает возможным для этих компаний использование защищенных соединений удаленного доступа.

Резюме

В данной части мы обсудили проблемы, которые не были освещены в предыдущих статьях о серверах Exchange/ISA на нашем сайте, поскольку все эти статьи базировались на том, что Exchange-сервер одновременно является контроллером домена или же используется схема с внутренним и внешним Exchange-сервером. Здесь мы изменили данное положение вещей и рассматриваем вопрос о том, как публиковать на ISA-сервере единственный Exchange-сервер, который не является контроллером домена. Мы остановимся на самых популярных схемах внедрения – публикация и OWA, и RPC/HTTP – с целью сделать данную статью официальным сообщением о публикации OWA и RPC/HTTP с единственным сервером. После публикации сайтов OWA и RPC/HTTP мы рассмотрим некоторые более серьезные возможности и продемонстрируем, как они представлены в сервере ISA 2006.

www.isaserver.org


Смотрите также:

Tags: , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]