Публикация OWA и RPC/HTTP с одним IP-адресом на ISA-сервере (Часть 2)

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

• Публикация OWA и RPC/HTTP с одним IP-адресом на ISA-сервере (Часть 1)
• Публикация OWA и RPC/HTTP с одним IP-адресом на ISA-сервере (Часть 3)
• Публикация OWA и RPC/HTTP с одним IP-адресом на ISA-сервере (Часть 4)
• Публикация OWA и RPC/HTTP с одним IP-адресом на ISA-сервере (Часть 5)

Установки сертификата web-сайта на Exchange-сервере

Нам нужно запросить сертификат web-сервера для OWA-сервера msfirewall.org для того, чтобы ISA-сервер мог создавать безопасные SSL-соединения от своего внутреннего интерфейса с самим OWA-сайтом. Это позволит нам получить защищенные конечные SSL-соединения внешних клиентов с OWA-сервером, причем ISA-сервер одновременно будет осуществлять проверку соединения клиентов и сервера OWA на уровне приложений.

Для запроса сертификата web-сайта для msfirewall.org выполните следующее:

• На компьютере SNGBEEXCH2003.msfirewall.org нажмите Start (Пуск) и выберите Administrative Tools (Администрирование). Щелкните по ярлыку Internet Information Services (IIS) Manager (Консоль управления IIS).
• В левой части консоли раскройте узел Web Sites (Web-сайты), щелкните правой кнопкой по папке Default Web Site (Web-сайт по умолчанию) и выберите Properties (Свойства).
• В диалоговом окне Default Web Site Properties (СвойстваWeb-сайта по умолчанию) выберите вкладку Directory Security (Безопасность).
• На вкладке Directory Security (Безопасность) нажмите кнопку Server Certificate (Сертификат сервера), расположенную в разделе Secure communications (Безопасные соединения).

  

  Рисунок 1

• На странице Welcome to the Web Server Certificate Wizard (Начало работа мастера создания сертификата Web-сервера) нажмите Next (Далее).
• На странице Server Certificate (Сертификат сервера) выберите Create a new certificate (Создать новый сертификат) и нажмите Next (Далее).

• На странице Delayed or Immediate Request (Отложенный или срочный запрос) выберите опцию Send the request immediately to an online certificate authority (Немедленно послать запрос в центр сертификации) и нажмите Next (Далее).

На странице Name and Security примите значения по умолчанию и нажмите Next (Далее).

• На странице Organization Information (Информация об организации) введите в текстовое поле Organization (Организация) название вашей организации, а в поле Organizational Unit (Подразделение организации) введите ваше подразделение. Нажмите Next (Далее).

• На странице Your Site’s Common Name (Имя сайта) введите имя вашего сайта. Это имя, которое внутренние и внешние пользователи используют для доступа к сайту. Например, если пользователи для доступа к OWA-сайту вводят в браузере адрес https://owa.msfirewall.org, то имя сайта будет owa.msfirewall.org. В нашем примере в поле Common name (Имя) введите owa.msfirewall.org. Это значение будет отображаться и в сертификате. Это очень важная установка. Если вы введете неправильное имя, то при попытке доступа к защищенному OWA-сайту у вас будут возникать ошибки. Нажмите Next (Далее).

• На странице Geographical Information (Географическая информация) введите текстовые поля Вашу Страну/Регион, Штат/Область и Город/Населенный пункт. Нажмите Next (Далее).
• На странице SSL Port (Порт SSL) примите значение по умолчанию (443), указанное в текстовом поле SSL port this web site should use (Этот web-сайт должен использовать данный SSL-порт). Нажмите Next (Далее).
• На странице Choose a Certification Authority (Выбор центра сертификации) примите значения по умолчанию в списке Certification authorities (Центры сертификации). Нажмите Next (Далее).
• Просмотрите установки на странице Certificate Request Submission (Подтверждение запроса сертификата) и нажмите Next (Далее).
• На странице Completing the Web Server Certificate Wizard (Завершение работы мастера web-сертификатов) нажмите Finish (Завершить).
• Обратите внимание, что теперь стала доступной кнопка View Certificate (Просмотр сертификатов). Это говорит о том, что сертификат web-сайта связан с OWA-сайтом и может быть использован для принудительного SSL-соединения с этим сайтом.

  

  Рисунок 2
  

• В диалоговом окне DefaultWebSiteProperties (Свойстваweb-сайта по умолчанию) нажмите OK.

Экспорт сертификата web-сайта в файл

ISA-сервер подменяет собой OWA-сайт при первом SSL-соединении клиента OWA с ISA-сервером. Для этого вы должны экспортировать сертификат web-сайта и импортировать его в хранилище сертификатов на ISA-сервере.

Важно, чтобы вы при экспорте сертификата в файл экспортировали и закрытый ключ web-сайта. Если закрытый ключ не включен в файл экспорта, Вы не сможете привязать сертификат к web-приемнику ISA-сервера.

Для экспорта сертификата web-сайта с закрытым ключом предпримем следующие шаги:

• В левой панели консоли Internet Information Services (IIS) Manager(Управление IIS) раскройте узел Web Sites (Web-сайты) и правой кнопкой щелкните на Default Web Site (Web-сайт по умолчанию) и Properties (Свойства).
• В диалоговом окне Default Web Site Properties (Свойства web-сайта по умолчанию) выберите вкладку Directory Security (Безопасность).
• На вкладке Directory Security (Безопасность) в разделе Secure communications (Безопасные соединения) нажмите кнопку View Certificate (Просмотр сертификата).
• В диалоговом окне Certificate (Сертификат) выберите вкладку Details (Подробно) и нажмите кнопку Copy to File (Копировать в файл).

  

  Рисунок 3
  

• На странице Welcome to the Certificate Export Wizard (Начало работы мастера экспорта сертификатов) нажмите Next (Далее).
• На странице Export Private Key (Экспорт закрытого ключа) выберите опцию Yes, export the private key (Да, экспортировать закрытый ключ) и нажмите Next (Далее).

• На странице Export File Format (Формат экспортируемого файла) выберите опцию Personal Information Exchange – PKCS #12 (.PFX) (Файл обмена личной информацией — PKCS #12 (.PFX)). Отметьте опцию Include all certificates in the certification path if possible (Включить по возможности все сертификаты в путь сертификата) и снимите отметку с опции Enable strong protection (requires IE 5.0, NT 4.0 SP4 or above) (Включить усиленную защиту (требуется IE 5.0, NT 4.0 SP4 или выше)). Нажмите Next (Далее).

• На странице Password (Пароль) введите пароль, а затем введите его еще раз в поле Confirm Password (Подтвердить пароль). Нажмите Next (Далее).
• На странице FiletoExport (Имя файла экспорта) введите c:\OWAsiteCert в текстовом поле Filename (Имя файла). Нажмите Next (Далее).
• На странице Completing the Certificate Export Wizard (Завершение работы мастера экспорта сертификатов) нажмите Finish (Завершить).
• В диалоговом окне Certificate (Сертификат) нажмите OK.
• В диалоговом окне Default Web Site Properties (Свойства web-сайта по умолчанию) нажмите OK.

Скопируйте файл OWAsiteCert.pfx в корневую папку C:\ на ISA-сервер.

Импорт сертификата web-сайта в хранилище сертификатов ISA-сервера

Сертификат web-сайта должен быть импортирован в хранилище сертификатов на ISA-сервере до того, как он будет связан с web-приемником. Только после того, как сертификат (вместе с закрытым ключом) будет импортирован в хранилище сертификатов ISA-сервера, он будет доступен для привязки

Для импорта сертификата OWA-сервера msfirewall.org в хранилище сертификатов ISA-сервера выполните следующее:

• На ISA-сервере нажмите Start (Пуск), а затем Run (Выполнить). Введите mmc в текстовое окно Open (Открыть) и нажмите OK. В консоли Console 1 (Консоль 1) в меню File (Файл) нажмите Add/Remove Snap-in (Добавить/Удалить оснастку).
• В диалоговом окне Add/Remove Snap-in (Добавить/Удалить оснастку) нажмите Add (Добавить).
• Выберите пункт Certificates (Сертификаты) из списка Available Standalone Snap-in (Доступные изолированные оснастки) в диалоговом окне Add Standalone Snap-in (Добавить изолированную оснастку). Нажмите Add (Добавить).
• На странице Certificates snap-in (Оснастка диспетчера сертификатов) выберите опцию Computer account (Учетная запись компьютера) и нажмите Next (Далее).
• На странице Select Computer (Выбор компьютера) выберите опцию Local computer: (the computer this console is running on) (Локальный компьютер (тот, на котором выполняется эта консоль) и нажмите Finish (Завершить).
• В диалоговом окне Add Standalone Snap-in (Добавить изолированную оснастку) нажмите Close (Закрыть).

  

  В диалоговом окне Add/Remove Snap-in (Добавить/Удалить оснастку) нажмите OK.

• Правой кнопкой нажмите на узел Personal (Личные), выберите All Tasks (Все задачи) и нажмите Import (Импорт).
• На странице Welcome to the Certificate Import Wizard (Начало работы мастера импорта сертификатов) нажмите Next (Далее).
• Нажмите кнопку Browse (Обзор) и укажите место расположения файла сертификата. После того, как путь к файлу появится в текстовом окне Filename (Имя файла) нажмите Next (Далее).

• На странице Password (Пароль) введите пароль к файлу. Не отмечайте опцию Mark this key as exportable. This will allow you to back up or transport you keys at a late time (Пометить этот ключ как экспортируемый, что позволит Вам сохранять архивную копию ключа и перемещать его). Не следует использовать эту опцию, поскольку этот компьютер является краеугольным узлом в сети или в Интернете и он подвержен риску. Злоумышленник может украсть закрытый ключ с этого компьютера, если он помечен как экспортируемый. Нажмите Next (Далее).
• На странице CertificateStore (Хранилище сертификатов) убедитесь, что выбрана опция Placeallcertificateinthefollowstore (Поместить все сертификаты в следующее хранилище) и в поле Certificatestore (Хранилище сертификатов) выбрано Personal (Личные). Нажмите Next (Далее).
• Просмотрите установки на странице Completing the Certificate Import (Завершение импорта сертификата) и нажмите Finish (Завершить).
• В диалоговом окне Certificate Import Wizard (завершение работы мастера импорта сертификатов) нажмите OK. Импорт прошел успешно.
• Вы увидите сертификат web-сайта и сертификат центра сертификации в правой части консоли. Web-сертификат имеет FQDN (Fully Qualified Domain Name — полностью определенное имя домена), приписанное к этому web-сайту. Это имя используют удаленные пользователи для доступа к OWA-сайту. Сертификат центра сертификации должен быть помещен в хранилище Trusted Root Certification Authorities\Certificates (Доверенные корневые центра сертификации). Это значит, что компьютер доверяет сертификату web-сайта, установленному на ней. Дважды щелкните по сертификату web-сайта в правой панели консоли.
• Раскройте узел Trusted Root Certification Authorities(Доверенные корневые центры сертификации) в левой половине консоли и щелкните по узлу Certificates (Сертификаты). Вам нужно скопировать сертификат центра сертификации в папку Trusted Root Certification Authorities\Certificates(Доверенные корневые центра сертификации\Сертификаты). Щелкните правой кнопкой по сертификату центра сертификации и выберите Cut (Вырезать). Затем щелкните по узлу \Trusted Root Certification Authorities\Certificates (Доверенные корневые центра сертификации\Сертификаты) и выберите Paste (Вставить).

Закройте консоль MMC. Вы можете сохранить настройки консоли, если собираетесь в дальнейшем просматривать сертификаты.

Установка RPC/HTTP-прокси на Exchange-сервере

Для предоставления услуг RPC/HTTP-прокси для клиентов Outlook 2003, Exchange-сервер должен быть настроен как RPC/HTTP-прокси сервер. Для этого необходимо установить на Exchange-сервере службу RPC/HTTP -прокси.

Для того, чтобы установить на Exchange-сервере службу RPC/HTTP-прокси выполните следующее:

• На Exchange-сервере нажмите Start (Пуск), выберите Control Panel (Панель управления) и нажмите Add or Remove Programs (Установка/удаление программ).
• В левой части апплета Add or Remove Programs (Установка/удаление программ) нажмите Add/Remove Windows Components (Добавить/удалить компоненты Windows).
• В Мастере установки компонентов Windows на странице Windows Components (Компоненты Windows) выберите Networking Services (Сетевые службы) и нажмите кнопку Details (Подробно).
• В окне Networking Services (Сетевые службы) выберите RPC over HTTP Proxy (прокси RPC поверх HTTP) и нажмите OK.

• На странице Windows Components (Компоненты Windows) нажмите Next (Далее) для установки компонента прокси RPC поверх HTTP.

Настройка топологии «Только внутренний сервер» на Exchange-сервере

Встроенная поддержка RPC/HTTP для сервера Exchange SP1 и выше означает, что вы используете схему с внешним и внутренним Exchange-сервером и не берет во внимание то, что вы можете использовать единственный Exchange-сервер с установленным на нем компонентом RPC/HTTP-прокси. Для поддержки схемы с единственным сервером (т.е. без внешнего Exchange-сервера) вам необходимо настроить Exchange-сервер как внутренний сервер RPC/HTTP, а затем вручную выполнить некоторые действия по настройки топологии «Только внутренний сервер» для использования RPC поверх HTTP.

• В консоли Exchange System Manager (Управление Exchange-сервером) раскройте узел Administrative Groups (Административные группы), а затем раскройте ту группу, в которую входит Exchange-сервер.
• Раскройте объект Servers (Серверы), щелкните правой кнопкой по Exchange-серверу, который будет сервером RPC-прокси и выберите Properties (Свойства).
• На странице свойств сервера выберите вкладку RPC-HTTP и отметьте на ней пункт RPC-HTTP back-end server (Внутренний RPC-HTTP-сервер). Нажмите OK.

• Появится диалоговое окно (Рисунок 13), сообщающее, что в вашей организации нет внешнего Exchange-сервера. Для закрытия этого диалогового окна нажмите OK.

Настройка сервера RPC-прокси на использование указанных портов для RPC поверх HTTP

После настройки компонента RPC/HTTP для служб IIS вам необходимо настроить RPC-прокси сервер. Настройте RPC-прокси сервер на использование указанных портов для соединений со службой каталогов Active Directory и с информационным хранилищем Exchange-сервера.

Первым делом убедитесь, что значения ключей реестра для портов Exchange-сервер автоматически установлены. При запуске установки сервера Exchange Server 2003, Exchange-сервер настраивается на использование следующих портов:

Таблица 1: Порты служб

Для Exchange-сервера автоматические настраиваются ниже перечисленные значения ключей реестра. Хотя вам не нужно настраивать эти значения, следует убедиться, чо все они настроны верно

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeIS\ParametersSystem

Имя параметра: Rpc/HTTP Port

Тип: REG_DWORD

Значение: 0x1771 (Decimal 6001)

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeSA\Parameters

Имя параметра: HTTP Port

Тип: REG_DWORD

Значение: 0x1772 (Decimal 6002)

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeSA\Parameters

Имя параметра: Rpc/HTTP NSPI Port

Тип: REG_DWORD

Значение: 0x1774 (Decimal 6004)

Замечание: Не изменяйте эти значения. В случае их изменений RPC/HTTP не будет верно работать.

Для настройки сервера RPC-прокси на использование указанных портов выполните следующее:

• На сервере RPC-прокси запустите редактор реестра (Regedit).
• В дереве консоли найдите следующий ключ: HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\RpcProxy
• Правой кнопкой щелкните по параметру ValidPorts и выберите Modify (Изменить).
• В окне Edit String (Редактировать запись) в поле Value data (Значение параметра) введите следующую информацию:
  ExchangeServer:6001-6002;ExchangeServerFQDN:6001-6002;ExchangeServer:6004;ExchangeServerFQDN:6004;

• ExchangeServer – это NetBIOS-имя (имя компьютера) вашего Exchange-сервера.
• ExchangeServerFQDN – это полностью определенное доменное имя (FQDN) вашего Exchange-сервера. Если FQDN, использующееся для доступа к серверу из внешней сети отлично от внутреннего имени FQDN, нужно использовать внутреннее имя FQDN.

Для определения NetBIOS-имени и полностью определенного доменного имени сервера, войдите в режим командной строки и выполните команду ipconfig /all. Появится информация, подобная следующей:

Поле Host name (Имя узла) – это NetBIOS-имя вашего компьютера. Имя узла и первичный DNS-суффикс – это полностью определенное доменное имя компьютера. В нашем примере полностью определенное доменное имя – это mycomputer.msfirewall.org.

Поэтому, для нашего примера, в ключ реестра RpcProxy мы должны ввести такую информацию:

sngbeexch2003:6001-6002;sngbeexch2003.msfirewall.org:6001-6002;sngbeexch2003:6004;sngbeexch2003.msfirewall.org:6004;

Резюме

Во второй части мы продолжили настройку публикации единственного Exchange-сервера, не являющегося контроллером домена. Мы запросили сертификат web-сайта для сайтов OWA и RPC/HTTP, экспортировали этот сертификат на ISA-сервер и установили его в хранилище сертификатов ISA-сервера, мы установили RPC/HTTP-прокси на Exchange-сервере и настроили Exchange-сервер на использование необходимых портов для переадресации RPC-соединений на Exchange-сервер (с помощью редактора реестра). В следующей части мы создадим правила web-публикации OWA и RPC/HTTP и выполним настройку web-приемника для того, чтобы все работало так, как нам надо. До встречи.

www.isaserver.org

• Журнал системных событий
• Как создать контакт в active directori?
• Принт сервер на Windows server
• Нстройка впн server 2008
• Как выключить службу рабочая станция?

Tags: dns, domain, Exchange, mac, proxy