Публикация OWA и RPC/HTTP с одним IP-адресом на ISA-сервере (Часть 1)

Я написал много статей о публикации служб Exchange-сервера. Однако во всех этих статья подразумевалось, что вы используете либо схему с внешним и внутренним Exchange-сервером, либо ваш единственный Exchange-сервер является одновременно и контроллером домена. Хотя такие схемы мне просто устанавливать в тестовых окружениях, они могут совсем не соответствовать самым распространенным сценариям внедрения. Я не эксперт в вопросах, касающихся Exchange-сервера (как минимум, я не знаю об Exchange столько же, сколько я знаю об ISA), поэтому я могу быть не прав в отношении того, как выглядят обычные схемы внедрения Exchange-сервера.

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

• Публикация OWA и RPC/HTTP с одним IP-адресом на ISA-сервере (Часть 2)
• Публикация OWA и RPC/HTTP с одним IP-адресом на ISA-сервере (Часть 3)
• Публикация OWA и RPC/HTTP с одним IP-адресом на ISA-сервере (Часть 4)
• Публикация OWA и RPC/HTTP с одним IP-адресом на ISA-сервере (Часть 5)

Я начал думать об этом тогда, когда получил кучу вопросов о том, как публиковать единственный Exchange-сервер, не являющийся контроллером домена, и при отсутствии внешнего Exchange-сервера. Тогда я решил, что это действительно лучшая схема для небольших предприятий, которые планируют расширяться, а также для предприятий среднего масштаба. К тому же, насколько я знаю, команда разработчиков Microsoft Exchange рекомендует не устанавливать Exchange-сервер на контроллер домена по причинам производительности и безопасности.

Это все и подвигло меня на написание статьи о публикации сайтов OWA и RPC/HTTP при наличии единственного Exchange-сервера, не являющегося контроллером домена. В данной статье я остановлюсь на работе с сервером ISA 2006 (ISA Server 2006) и многих его функциях, которые поддерживают соединения удаленного доступа к серверу Microsoft Exchange и делают ISA-сервер настоящим брандмауэром для всех сетей, которым требуется безопасный удаленный доступ к серверам Exchange.

Тестовая сеть

Тестовая сеть для данной статьи достаточно проста:

• Единственный сервер ISA 2006 Standard Edition
• Единственный контроллер домена msfirewall.org
• Единственный внутренний Exchange-сервер, входящий в домен msfirewall.org
• Клиент Windows XP SP2, соединяющийся с Exchange-сервером из внешней сети

Детали настроек:

ISA-сервер

• Установите операционную систему Windows Server 2003 SP1
• Запустите Microsoft Update и обновите операционную систему
• Установите сервер ISA 2006 Standard Edition с помощью конфигурации граничного брандмауэра по умолчанию
• Снова запустите Microsoft Update для обновления всех компонентов ISA-сервера
• Настройте внешний интерфейс, указав верные IP-адрес, маску подсети, шлюз по умолчанию. Адреса DNS-серверов не указывайте
• Настройте внутренний интерфейс, указав верные IP-адрес и маску подсети. Настройте внутренний интерфейс на использование DNS-сервера, который располагается на контроллере домена
• Создайте правило анонимного доступа для HTTP/HTTPS для сайтов Microsoft Updates так, чтобы контроллер домена и Exchange-сервер имели доступ к сайтам Microsoft Update
• Данный компьютер не является контроллером домена

Контроллер домена

• Установите операционную систему Windows Server 2003 SP1
• Запустите Microsoft Update и обновите операционную систему
• Запустите программу dcpromo для того, чтобы сделать компьютер контроллером домена
• Установите службу DHCP. Создайте диапазон DHCP и активируйте его
• Установите службы сертификации Microsoft в режиме корпоративного центра сертификации
• Установите службу Microsoft IAS для поддержки RADIUS (хотя в данном случае мы это не будем использовать)
• Установите WINS (для поддержки разрешения имен VPN-клиентов, хотя в данном случае мы это не будем использовать)
• Снова запустите Microsoft Update для обновления компонентов, которые могли установить данные службы
• Настройте сетевую карту, указав правильные IP-адрес и маску подсети, и настройте ее на использование собственных серверов DNS и WINS. Укажите в качестве шлюза по умолчанию внутренний IP-адрес ISA-сервера

Exchange-сервер

• Установите операционную систему Windows Server 2003 SP1
• Запустите Microsoft Update и обновите операционную систему
• Установите службы IIS WWW, SMTP, NNTP и RPC/HTTP
• Установите Microsoft Exchange Server 2003
• Установите Microsoft Exchange Server SP2
• Снова запустите Microsoft Update для обновления компонентов Exchange-сервера
• Настройте сетевую карту, указав правильные IP-адрес и маску подсети, и настройте ее на использование контроллера домена в качестве серверов DNS и WINS. Укажите в качестве шлюза по умолчанию внутренний IP-адрес ISA-сервера

Windows XP Service Pack 2

• Установите Windows XP Service Pack 2
• Укажите на сетевой карте клиента IP-адрес внешней сети, включая DNS-сервер и шлюз по умолчанию, которые позволят клиенту получать доступ к сайту Microsoft Update
• Запустите Microsoft Update и обновите операционную систему
• Установите на клиенте Outlook 2003
• Запустите Microsoft Update для обновления компонентов Microsoft Office
• Удалите адрес DNS-сервера с сетевой карты (чтобы общие открытые записи домена msfirewall.org не использовались клиентом)

Ниже на рисунке показана схема сети.

Рисунок1

Мы будем делать следующее:

• Установка сертификата web-сайта на Exchange-сервере Exchange-серверу требуется сертификат web-сайта для того, чтобы мы могли установить безопасный SSL-канал между внутренним интерфейсом ISA-сервера и самим web-сайтом.
• Экcпорт сертификата в файл Сертификат Web-сайта вместе с закрытым ключом необходимо экспортировать в файл, который затем нужно скопировать на ISA-сервер. Это позволит нам установить сертификат вместе с закрытым ключом в хранилище сертификатов ISA-сервера.
• Импорт сертификата web-сайта в хранилище сертификатов ISA-сервера Нам необходимо импортировать сертификат web-сайта Exchange-сервера в хранилище сертификатов ISA-сервера для привязки его к web-приемнику, который будет принимать входящие соединения к сайтам OWA и RPC/HTTP.
• Установка RPC/HTTP-прокси на Exchange-сервере Server Служба RPC/HTTP-прокси не является частью установки Exchange-сервера. Установите эту службу как одну из дополнительных служб Windows необходимо с помощью апплета Add/Remove Programs (Установка/удаление программ) Панели управления.
• Настройка топологии «Только внутренний сервер» на Exchange-сервере Встроенная поддержка RPC/HTTP, включенная в Exchange, предполагает, что вы используете схему с внешним и внутренним сервером. В случае с единственным сервером, т.е. то, что у нас, мы должны принудить Exchange-сервер считать себя единственным внутренним сервером.
• Настройка сервера RPC-прокси на использование отдельных портов для RPC поверх HTTP Данный пункт автоматизирован только для схем с внутренним/внешним Exchange-сервером, так что нам придется создавать записи в реестре вручную.
• Создание правил web-публикации OWA и RPC/HTTP Настройка Exchange-сервера закончена и можно приниматься на ISA-сервер. Начнем с создания правил web-публикации OWA и RPC/HTTP.
• Настройка клиента Outlook Часто в подобных статьях не уделяют внимания настройкам клиента. Авторы много говорят о том, как работают настройки сервера, оставляя вас наедине с установками клиента. И часто из-за этого ничего не работает, поскольку именно клиентские настройки выполнены неверно. Мы не будем делать эту ошибку и детально рассмотрим информацию об установках Outlook 2003.
• Проверка Узнать, что блюдо готово, можно только попробовав его. Мы протестируем наши настройки с помощью клиента Outlook 2003 и Internet Explorer и посмотрим, что получилось. По идее, все должно работать.
• Создание группыLDAP и ограничение использованияOWA иRPC/HTTP только этой группой. Проверка Мы рассмотрим более серьезные варианты настройки, которые не затронут наше правило web-публикации. Многие администраторы ISA-серверов вынуждены удалять ISA-сервер из домена. В таких случаях администраторы получат преимущество от LDAP-аутентификации и использовать существующие группы и пользователей, являющихся частью Active Directory.
• Создание HTTPS-переадресации для HTTP-соединений и проверка Здесь мы посмотрим, как можно настроить ISA-сервер на автоматическую переадресацию HTTP-соединений в HTTPS, для того, чтобы пользователи не вводили в адресной строке браузера HTTPS-адреса.
• Создание переадресации на переопределения соединений с корневым каталогом в каталог /Exchange Еще одна проблема, с которой сталкиваются администраторы ISA-сервера: пользователи «забывают» вводить в конце адреса URL путь /Exchange. В данном разделе мы обсудим возможность решения этой проблемы путем автоматической переадресации пользователей
• Включение изменения паролей и уведомлений LDAP-аутентификации Часто спрашивают о возможности смены пароля пользователями внутри интерфейса OWA, а также о сообщениях пользователю о скором окончании срока действия пароля. В новом ISA-сервере данные функции поддерживаются, и мы увидим, как их настроить в случае использования LDAP-аутентификации.
• Публикация Exchange-сервера для клиентов Outlook MAPI Clients с помощью безопасной публикации RPC Многие организации еще не перешли на Outlook 2003 и Windows XP SP1 или выше, и потому у их не поддерживается RPC/HTTP. Функция безопасной публикации RPC в ISA-сервере делает возможным для этих компаний использование защищенных соединений удаленного доступа.

Резюме

В данной части мы обсудили проблемы, которые не были освещены в предыдущих статьях о серверах Exchange/ISA на нашем сайте, поскольку все эти статьи базировались на том, что Exchange-сервер одновременно является контроллером домена или же используется схема с внутренним и внешним Exchange-сервером. Здесь мы изменили данное положение вещей и рассматриваем вопрос о том, как публиковать на ISA-сервере единственный Exchange-сервер, который не является контроллером домена. Мы остановимся на самых популярных схемах внедрения – публикация и OWA, и RPC/HTTP – с целью сделать данную статью официальным сообщением о публикации OWA и RPC/HTTP с единственным сервером. После публикации сайтов OWA и RPC/HTTP мы рассмотрим некоторые более серьезные возможности и продемонстрируем, как они представлены в сервере ISA 2006.

www.isaserver.org

• Vpn сервер Windows 2008
• Развертывание vpn без домена
• Nat Windows 2003
• Установить сертификат на компьютер
• Локальная группа размеры

Tags: dns, Exchange, ISA Server, ldap, vpn, Windows XP