Monday, January 22nd, 2018

Публикация OWA и RPC/HTTP с одним IP-адресом на ISA-сервере (Часть 2)

Published on Февраль 16, 2009 by   ·   Комментариев нет

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

Установки сертификата web-сайта на Exchange-сервере

Нам нужно запросить сертификат web-сервера для OWA-сервера msfirewall.org для того, чтобы ISA-сервер мог создавать безопасные SSL-соединения от своего внутреннего интерфейса с самим OWA-сайтом. Это позволит нам получить защищенные конечные SSL-соединения внешних клиентов с OWA-сервером, причем ISA-сервер одновременно будет осуществлять проверку соединения клиентов и сервера OWA на уровне приложений.

Для запроса сертификата web-сайта для msfirewall.org выполните следующее:

  • На компьютере SNGBEEXCH2003.msfirewall.org нажмите Start (Пуск) и выберите Administrative Tools (Администрирование). Щелкните по ярлыку Internet Information Services (IIS) Manager (Консоль управления IIS).
  • В левой части консоли раскройте узел Web Sites (Web-сайты), щелкните правой кнопкой по папке Default Web Site (Web-сайт по умолчанию) и выберите Properties (Свойства).
  • В диалоговом окне Default Web Site Properties (СвойстваWeb-сайта по умолчанию) выберите вкладку Directory Security (Безопасность).
  • На вкладке Directory Security (Безопасность) нажмите кнопку Server Certificate (Сертификат сервера), расположенную в разделе Secure communications (Безопасные соединения).

    Isa server закрытый ключ не установлен

    Рисунок 1

  • На странице Welcome to the Web Server Certificate Wizard (Начало работа мастера создания сертификата Web-сервера) нажмите Next (Далее).
  • На странице Server Certificate (Сертификат сервера) выберите Create a new certificate (Создать новый сертификат) и нажмите Next (Далее).
  • На странице Delayed or Immediate Request (Отложенный или срочный запрос) выберите опцию Send the request immediately to an online certificate authority (Немедленно послать запрос в центр сертификации) и нажмите Next (Далее).

На странице Name and Security примите значения по умолчанию и нажмите Next (Далее).

  • На странице Organization Information (Информация об организации) введите в текстовое поле Organization (Организация) название вашей организации, а в поле Organizational Unit (Подразделение организации) введите ваше подразделение. Нажмите Next (Далее).
  • На странице Your Site’s Common Name (Имя сайта) введите имя вашего сайта. Это имя, которое внутренние и внешние пользователи используют для доступа к сайту. Например, если пользователи для доступа к OWA-сайту вводят в браузере адрес https://owa.msfirewall.org, то имя сайта будет owa.msfirewall.org. В нашем примере в поле Common name (Имя) введите owa.msfirewall.org. Это значение будет отображаться и в сертификате. Это очень важная установка. Если вы введете неправильное имя, то при попытке доступа к защищенному OWA-сайту у вас будут возникать ошибки. Нажмите Next (Далее).
  • На странице Geographical Information (Географическая информация) введите текстовые поля Вашу Страну/Регион, Штат/Область и Город/Населенный пункт. Нажмите Next (Далее).
  • На странице SSL Port (Порт SSL) примите значение по умолчанию (443), указанное в текстовом поле SSL port this web site should use (Этот web-сайт должен использовать данный SSL-порт). Нажмите Next (Далее).
  • На странице Choose a Certification Authority (Выбор центра сертификации) примите значения по умолчанию в списке Certification authorities (Центры сертификации). Нажмите Next (Далее).
  • Просмотрите установки на странице Certificate Request Submission (Подтверждение запроса сертификата) и нажмите Next (Далее).
  • На странице Completing the Web Server Certificate Wizard (Завершение работы мастера web-сертификатов) нажмите Finish (Завершить).
  • Обратите внимание, что теперь стала доступной кнопка View Certificate (Просмотр сертификатов). Это говорит о том, что сертификат web-сайта связан с OWA-сайтом и может быть использован для принудительного SSL-соединения с этим сайтом.

    Isa server закрытый ключ не установлен

    Рисунок 2

  • В диалоговом окне DefaultWebSiteProperties (Свойстваweb-сайта по умолчанию) нажмите OK.

Экспорт сертификата web-сайта в файл

ISA-сервер подменяет собой OWA-сайт при первом SSL-соединении клиента OWA с ISA-сервером. Для этого вы должны экспортировать сертификат web-сайта и импортировать его в хранилище сертификатов на ISA-сервере.

Важно, чтобы вы при экспорте сертификата в файл экспортировали и закрытый ключ web-сайта. Если закрытый ключ не включен в файл экспорта, Вы не сможете привязать сертификат к web-приемнику ISA-сервера.

Для экспорта сертификата web-сайта с закрытым ключом предпримем следующие шаги:

  • В левой панели консоли Internet Information Services (IIS) Manager(Управление IIS) раскройте узел Web Sites (Web-сайты) и правой кнопкой щелкните на Default Web Site (Web-сайт по умолчанию) и Properties (Свойства).
  • В диалоговом окне Default Web Site Properties (Свойства web-сайта по умолчанию) выберите вкладку Directory Security (Безопасность).
  • На вкладке Directory Security (Безопасность) в разделе Secure communications (Безопасные соединения) нажмите кнопку View Certificate (Просмотр сертификата).
  • В диалоговом окне Certificate (Сертификат) выберите вкладку Details (Подробно) и нажмите кнопку Copy to File (Копировать в файл).

    Isa server закрытый ключ не установлен

    Рисунок 3

  • На странице Welcome to the Certificate Export Wizard (Начало работы мастера экспорта сертификатов) нажмите Next (Далее).
  • На странице Export Private Key (Экспорт закрытого ключа) выберите опцию Yes, export the private key (Да, экспортировать закрытый ключ) и нажмите Next (Далее).
  • На странице Export File Format (Формат экспортируемого файла) выберите опцию Personal Information Exchange – PKCS #12 (.PFX) (Файл обмена личной информацией — PKCS #12 (.PFX)). Отметьте опцию Include all certificates in the certification path if possible (Включить по возможности все сертификаты в путь сертификата) и снимите отметку с опции Enable strong protection (requires IE 5.0, NT 4.0 SP4 or above) (Включить усиленную защиту (требуется IE 5.0, NT 4.0 SP4 или выше)). Нажмите Next (Далее).
  • На странице Password (Пароль) введите пароль, а затем введите его еще раз в поле Confirm Password (Подтвердить пароль). Нажмите Next (Далее).
  • На странице FiletoExport (Имя файла экспорта) введите c:\OWAsiteCert в текстовом поле Filename (Имя файла). Нажмите Next (Далее).
  • На странице Completing the Certificate Export Wizard (Завершение работы мастера экспорта сертификатов) нажмите Finish (Завершить).
  • В диалоговом окне Certificate (Сертификат) нажмите OK.
  • В диалоговом окне Default Web Site Properties (Свойства web-сайта по умолчанию) нажмите OK.

Скопируйте файл OWAsiteCert.pfx в корневую папку C:\ на ISA-сервер.

Импорт сертификата web-сайта в хранилище сертификатов ISA-сервера

Сертификат web-сайта должен быть импортирован в хранилище сертификатов на ISA-сервере до того, как он будет связан с web-приемником. Только после того, как сертификат (вместе с закрытым ключом) будет импортирован в хранилище сертификатов ISA-сервера, он будет доступен для привязки

Для импорта сертификата OWA-сервера msfirewall.org в хранилище сертификатов ISA-сервера выполните следующее:

  • На ISA-сервере нажмите Start (Пуск), а затем Run (Выполнить). Введите mmc в текстовое окно Open (Открыть) и нажмите OK. В консоли Console 1 (Консоль 1) в меню File (Файл) нажмите Add/Remove Snap-in (Добавить/Удалить оснастку).
  • В диалоговом окне Add/Remove Snap-in (Добавить/Удалить оснастку) нажмите Add (Добавить).
  • Выберите пункт Certificates (Сертификаты) из списка Available Standalone Snap-in (Доступные изолированные оснастки) в диалоговом окне Add Standalone Snap-in (Добавить изолированную оснастку). Нажмите Add (Добавить).
  • На странице Certificates snap-in (Оснастка диспетчера сертификатов) выберите опцию Computer account (Учетная запись компьютера) и нажмите Next (Далее).
  • На странице Select Computer (Выбор компьютера) выберите опцию Local computer: (the computer this console is running on) (Локальный компьютер (тот, на котором выполняется эта консоль) и нажмите Finish (Завершить).
  • В диалоговом окне Add Standalone Snap-in (Добавить изолированную оснастку) нажмите Close (Закрыть).

    Закрытый ключ не установлен isa

    В диалоговом окне Add/Remove Snap-in (Добавить/Удалить оснастку) нажмите OK.

  • Правой кнопкой нажмите на узел Personal (Личные), выберите All Tasks (Все задачи) и нажмите Import (Импорт).
  • На странице Welcome to the Certificate Import Wizard (Начало работы мастера импорта сертификатов) нажмите Next (Далее).
  • Нажмите кнопку Browse (Обзор) и укажите место расположения файла сертификата. После того, как путь к файлу появится в текстовом окне Filename (Имя файла) нажмите Next (Далее).
  • На странице Password (Пароль) введите пароль к файлу. Не отмечайте опцию Mark this key as exportable. This will allow you to back up or transport you keys at a late time (Пометить этот ключ как экспортируемый, что позволит Вам сохранять архивную копию ключа и перемещать его). Не следует использовать эту опцию, поскольку этот компьютер является краеугольным узлом в сети или в Интернете и он подвержен риску. Злоумышленник может украсть закрытый ключ с этого компьютера, если он помечен как экспортируемый. Нажмите Next (Далее).
  • На странице CertificateStore (Хранилище сертификатов) убедитесь, что выбрана опция Placeallcertificateinthefollowstore (Поместить все сертификаты в следующее хранилище) и в поле Certificatestore (Хранилище сертификатов) выбрано Personal (Личные). Нажмите Next (Далее).
  • Просмотрите установки на странице Completing the Certificate Import (Завершение импорта сертификата) и нажмите Finish (Завершить).
  • В диалоговом окне Certificate Import Wizard (завершение работы мастера импорта сертификатов) нажмите OK. Импорт прошел успешно.
  • Вы увидите сертификат web-сайта и сертификат центра сертификации в правой части консоли. Web-сертификат имеет FQDN (Fully Qualified Domain Name — полностью определенное имя домена), приписанное к этому web-сайту. Это имя используют удаленные пользователи для доступа к OWA-сайту. Сертификат центра сертификации должен быть помещен в хранилище Trusted Root Certification Authorities\Certificates (Доверенные корневые центра сертификации). Это значит, что компьютер доверяет сертификату web-сайта, установленному на ней. Дважды щелкните по сертификату web-сайта в правой панели консоли.
  • Раскройте узел Trusted Root Certification Authorities(Доверенные корневые центры сертификации) в левой половине консоли и щелкните по узлу Certificates (Сертификаты). Вам нужно скопировать сертификат центра сертификации в папку Trusted Root Certification Authorities\Certificates(Доверенные корневые центра сертификации\Сертификаты). Щелкните правой кнопкой по сертификату центра сертификации и выберите Cut (Вырезать). Затем щелкните по узлу \Trusted Root Certification Authorities\Certificates (Доверенные корневые центра сертификации\Сертификаты) и выберите Paste (Вставить).

Закройте консоль MMC. Вы можете сохранить настройки консоли, если собираетесь в дальнейшем просматривать сертификаты.

Установка RPC/HTTP-прокси на Exchange-сервере

Для предоставления услуг RPC/HTTP-прокси для клиентов Outlook 2003, Exchange-сервер должен быть настроен как RPC/HTTP-прокси сервер. Для этого необходимо установить на Exchange-сервере службу RPC/HTTP -прокси.

Для того, чтобы установить на Exchange-сервере службу RPC/HTTP-прокси выполните следующее:

  • На Exchange-сервере нажмите Start (Пуск), выберите Control Panel (Панель управления) и нажмите Add or Remove Programs (Установка/удаление программ).
  • В левой части апплета Add or Remove Programs (Установка/удаление программ) нажмите Add/Remove Windows Components (Добавить/удалить компоненты Windows).
  • В Мастере установки компонентов Windows на странице Windows Components (Компоненты Windows) выберите Networking Services (Сетевые службы) и нажмите кнопку Details (Подробно).
  • В окне Networking Services (Сетевые службы) выберите RPC over HTTP Proxy (прокси RPC поверх HTTP) и нажмите OK.
  • На странице Windows Components (Компоненты Windows) нажмите Next (Далее) для установки компонента прокси RPC поверх HTTP.

Настройка топологии «Только внутренний сервер» на Exchange-сервере

Встроенная поддержка RPC/HTTP для сервера Exchange SP1 и выше означает, что вы используете схему с внешним и внутренним Exchange-сервером и не берет во внимание то, что вы можете использовать единственный Exchange-сервер с установленным на нем компонентом RPC/HTTP-прокси. Для поддержки схемы с единственным сервером (т.е. без внешнего Exchange-сервера) вам необходимо настроить Exchange-сервер как внутренний сервер RPC/HTTP, а затем вручную выполнить некоторые действия по настройки топологии «Только внутренний сервер» для использования RPC поверх HTTP.

  • В консоли Exchange System Manager (Управление Exchange-сервером) раскройте узел Administrative Groups (Административные группы), а затем раскройте ту группу, в которую входит Exchange-сервер.
  • Раскройте объект Servers (Серверы), щелкните правой кнопкой по Exchange-серверу, который будет сервером RPC-прокси и выберите Properties (Свойства).
  • На странице свойств сервера выберите вкладку RPC-HTTP и отметьте на ней пункт RPC-HTTP back-end server (Внутренний RPC-HTTP-сервер). Нажмите OK.
  • Появится диалоговое окно (Рисунок 13), сообщающее, что в вашей организации нет внешнего Exchange-сервера. Для закрытия этого диалогового окна нажмите OK.

Настройка сервера RPC-прокси на использование указанных портов для RPC поверх HTTP

После настройки компонента RPC/HTTP для служб IIS вам необходимо настроить RPC-прокси сервер. Настройте RPC-прокси сервер на использование указанных портов для соединений со службой каталогов Active Directory и с информационным хранилищем Exchange-сервера.

Первым делом убедитесь, что значения ключей реестра для портов Exchange-сервер автоматически установлены. При запуске установки сервера Exchange Server 2003, Exchange-сервер настраивается на использование следующих портов:

Сервер Порт Служба
Exchange-сервер (Глобальный каталог) 6001 Хранилище
6002 DSReferral
6004 DSProxy

Таблица 1: Порты служб

Для Exchange-сервера автоматические настраиваются ниже перечисленные значения ключей реестра. Хотя вам не нужно настраивать эти значения, следует убедиться, чо все они настроны верно

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeIS\ParametersSystem

Имя параметра: Rpc/HTTP Port

Тип: REG_DWORD

Значение: 0x1771 (Decimal 6001)

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeSA\Parameters

Имя параметра: HTTP Port

Тип: REG_DWORD

Значение: 0x1772 (Decimal 6002)

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeSA\Parameters

Имя параметра: Rpc/HTTP NSPI Port

Тип: REG_DWORD

Значение: 0x1774 (Decimal 6004)

Замечание: Не изменяйте эти значения. В случае их изменений RPC/HTTP не будет верно работать.

Для настройки сервера RPC-прокси на использование указанных портов выполните следующее:

  • На сервере RPC-прокси запустите редактор реестра (Regedit).
  • В дереве консоли найдите следующий ключ: HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\RpcProxy
  • Правой кнопкой щелкните по параметру ValidPorts и выберите Modify (Изменить).
  • В окне Edit String (Редактировать запись) в поле Value data (Значение параметра) введите следующую информацию:
    ExchangeServer:6001-6002;ExchangeServerFQDN:6001-6002;ExchangeServer:6004;ExchangeServerFQDN:6004;
  • ExchangeServer – это NetBIOS-имя (имя компьютера) вашего Exchange-сервера.
  • ExchangeServerFQDN – это полностью определенное доменное имя (FQDN) вашего Exchange-сервера. Если FQDN, использующееся для доступа к серверу из внешней сети отлично от внутреннего имени FQDN, нужно использовать внутреннее имя FQDN.

Для определения NetBIOS-имени и полностью определенного доменного имени сервера, войдите в режим командной строки и выполните команду ipconfig /all. Появится информация, подобная следующей:

Поле Host name (Имя узла) – это NetBIOS-имя вашего компьютера. Имя узла и первичный DNS-суффикс – это полностью определенное доменное имя компьютера. В нашем примере полностью определенное доменное имя – это mycomputer.msfirewall.org.

Поэтому, для нашего примера, в ключ реестра RpcProxy мы должны ввести такую информацию:

sngbeexch2003:6001-6002;sngbeexch2003.msfirewall.org:6001-6002;sngbeexch2003:6004;sngbeexch2003.msfirewall.org:6004;

Резюме

Во второй части мы продолжили настройку публикации единственного Exchange-сервера, не являющегося контроллером домена. Мы запросили сертификат web-сайта для сайтов OWA и RPC/HTTP, экспортировали этот сертификат на ISA-сервер и установили его в хранилище сертификатов ISA-сервера, мы установили RPC/HTTP-прокси на Exchange-сервере и настроили Exchange-сервер на использование необходимых портов для переадресации RPC-соединений на Exchange-сервер (с помощью редактора реестра). В следующей части мы создадим правила web-публикации OWA и RPC/HTTP и выполним настройку web-приемника для того, чтобы все работало так, как нам надо. До встречи.

www.isaserver.org





Смотрите также:

Tags: , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]