Публикация OWA и RPC/HTTP с одним IP-адресом на ISA-сервере (Часть 4)

В первых трех частях этой статьи мы рассказали о сетевой конфигурации, установили простой PKI, и создали правило публикации OWA и RPC/HTTP Web Publishing Rule.

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

• Публикация OWA и RPC/HTTP с одним IP-адресом на ISA-сервере (Часть 1)
• Публикация OWA и RPC/HTTP с одним IP-адресом на ISA-сервере (Часть 2)
• Публикация OWA и RPC/HTTP с одним IP-адресом на ISA-сервере (Часть 3)
• Публикация OWA и RPC/HTTP с одним IP-адресом на ISA-сервере (Часть 5)

В этой четвертой части этой статьи мы рассмотрим, как настроить клиент Outlook RPC/HTTP для подключения к серверу Exchange с помощью RPC/HTTP. Затем, мы протестируем конфигурацию и убедимся, что все работает так, как ожидалось.

Настройка клиента Outlook Client

Как я выяснил, в большинстве случаев администраторы брандмауэра ISA Firewall правильно настраивают правило публикации ISA Firewall Web Publishing Rule для поддержки соединений OWA и RPC/HTTP, но неправильно настраивают клиента Outlook RPC/HTTP client. Первое, в чем вы должны убедится – это что вы используете самую последнюю версию Outlook 2003 или 2007, и что установлены все обновления на Outlook. Также помните, что RPC/HTTP работает лишь с операционной системой Windows XP SP1 и выше. Я предполагаю, что вы используете операционную систему Windows XP SP2, т.к. срок поддержки SP1 подходит к концу.

В больших промышленных средах вы должны использовать инструмент под названием Офисный набор ресурсов (Office Resource Kit — ORK) для настройки конфигурации клиента Outlook, которая также включает в себя конфигурацию RPC/HTTP.

В небольших средах вполне реально ожидать, что вы сможете подробно проинструктировать ваших пользователей о том, как им самим настроить свой клиент Outlook. В действительности приветствуется такой подход, когда вы используете этот раздел статьи, для создания подробных графических инструкций по самостоятельной настройке клиентов Outlook RPC/HTTP. В этой статье мы вручную настроим клиент Outlook 2003 RPC/HTTP client.

Для настройки клиента Outlook 2003 необходимо выполнить следующий набор шагов:

• Нажмите на кнопку Start (пуск) и щелкните правой кнопкой мыши на иконке E-mail (Microsoft Office Outlook) а затем выберите из появившегося контекстного меню команду Properties (свойтсва).

  

  Рисунок 1

• В диалоговом окне Mail Setup (настройка почты), нажмите на кнопку Show Profiles (показать профиль).

• В диалоговом окне Mail (почта) нажмите на кнопку Add (добавить).

• В диалоговом окне New Profile (новый профиль) введите название для профиля. В этом примере мы назовем профиль AdminTest. Нажмите на кнопку OK.

• На странице E-mail Accounts (учетные записи почты) выберите параметр Add a new e-mail account (добавить новую учетную запись для почты) и нажмите на кнопку Next.

  

  Рисунок 2
  

• На странице Server Type (тип сервера) выберите параметр Microsoft Exchange Server и нажмите на кнопку Next.

• На странице Exchange Server Settings (свойства сервера) введите полное квалификационное доменное название для сервера Exchange в текстовом поле Microsoft Exchange Server. Обратите внимание, важно, чтобы это название было распозноваемо из интернета. Вам не нужно включать это название в общий DNS для публикации RPC/HTTP publishing. В прошлом возникала небольшая путаница, т.к. это название должно было распознаваться из интерне для безопасной публикации Secure Exchange RPC Publishing (которая не использует инкапсуляцию HTTP encapsulation для соединений RPC MAPI).
  Введите имя пользователя в текстовом User Name (имя пользователя). В нашем примере по умолчанию мы будем использовать учетную запись администратора (Administrator). Вероятно, мне следовало бы создать регулярную пользовательскую учетную запись, но в данном случае учетная запись администратора очень хорошо подходит для того, чтобы продемонстрировать доступ к OWA и RPC/HTTP.
  Нажмите на кнопку More Settings (Более подробные настройки).

• Появится окно Microsoft Office Outlook, которое сообщит вам, что сервер Exchange не доступен. Это все правильно, нам пока еще не нужен к нему доступ. Нажмите на кнопку OK, чтобы закрыть это диалоговое окно.

• Появится диалоговое окно Microsoft Exchange Server. Нам не нужно что-то менять в этом окне, поэтому просто нажмите на кнопку OK, чтобы его закрыть.

• Появится еще одно окно Microsoft Exchange Server. В этот раз нажмите на закладку Connection (соединения). На закладке Connection поставьте галочку в поле Connect to my Exchange mailbox using HTTP (подключиться к моему почтовому ящику Exchange с помощью HTTP). Затем нажмите на кнопку Exchange Proxy Settings (параметры прокси).

• В диалоговом окне Exchange Proxy Settings (параметры прокси) есть несколько настроек, к которым нам надо обратиться. Во-первых, есть текстовое поле под строкой Use this URL to connect to my proxy server for Exchange. В этом текстовом поле вы должны ввести общее/частное (common/subject) название для сертификата Web site certificate, которые вы свяжете со слушателем Web Listener. Дополнительно, это название должно соответствовать внешнему интерфейсу (external interface) брандмауэра ISA Firewall (или общему адресу устройства, которое передает соединения на внешний интерфейс брандмауэра ISA Firewall). Это название, которое должны использовать внешние клиенты для подключения к сайту RPC/HTTP.
  В этом примере общее/частное название (common/subject) на сертификате Web site certificate, связанного со слушателем Web Listener для правила публикации OWA и RPC/HTTP Web Publishing Rule — owa.msfirewall.org, поэтому мы введем это название в текстовое поле Use this URL to connect to my proxy server for Exchange (использовать этот URL для подключения к моему прокси для Exchange).
  В поле Connect using SSL only (подключаться только с использованием SSL) должна стоять галочка по умолчанию; если это не так, то необходимо ее туда поставить. Поставьте галочку в поле Mutually authenticate the session when connecting with SSL (проводить ручную аутентификацию при подключении по SSL). В текстовом поле Principle name for proxy server (принципиальное название прокси сервера) введите общее/частное (common/subject) название сертификата Web site certificate, связанного со слушателем Web Listener, которые слушает входящие соединения RPC/HTTP, после префикса msstd: в нашем примере мы введем msstd:owa.msfirewall.org.
  По умолчанию настройка On fast networks, connect using HTTP first, then connect using TCP/IP отключена, а настройка On slow networks, connect using HTTP first, then connect using TCP/IP включена. Это нормальные значения по умолчанию, но для того чтобы показать вам как все работает в нашей тестовой среде, мы должны поставить галочку в поле On fast networks, connect using HTTP first, then connect using TCP/IP, чтобы клиент использовал RPC/HTTP при быстрых сетевых подключениях.
  Последний параметр касается настройки аутентификации (authentication). Из выпадающего списка Use this authentication when connecting to my proxy server for Exchange выберите параметр Basic Authentication (основная аутентификация). Мы должны использовать эту настройку, т.к. слушатель Web listener брандмауэра ISA Firewall настроен для использования аутентификации, основанной на формах (Forms-based authentication) и основную аутентификацию (Basic authentication) для не Web browser клиентов, как клиент Outlook RPC/HTTP. Основным недостатком использования основной аутентификации (Basic authentication) является то, что пользователи должны вводить свою учетную запись и пароль каждый раз, когда они открывают Outlook.
  Нажмите на кнопку OK в диалоговом окне Exchange Proxy Settings.

  

  Рисунок 3
  

• Нажмите на кнопку OK в диалоговом окне Microsoft Exchange Server.

• Нажмите на кнопку Next на странице Exchange Server Settings (настройки сервера).

• Нажмите на кнопку Finish (завершить) на странице Congratulations!.

• В диалоговом окне Mail (почта), убедитесь, что выбрана настройка Prompt for a profile to be used (запрашивать используемый профиль), чтобы в том случае, если на этом компьютере используется более одного профиля, вы смогли выбрать профиль AdminTest для нашей демонстрации.

  

  Рисунок 4

Установка сертификата CA Certificate на машине с клиентом Outlook RPC/HTTP

Если вы используете браузер (Web browser) для подключения к безопасным SSL Web сайтам, то вы можете увидеть диалоговое окно, которое сообщает вам, что ваш компьютер не доверяет сертификату, представленному Web серверу. В этом случае вы можете выбрать либо продолжить подключение к Web серверу, либо прервать соединение.

Доверяет ваш компьютер сертификату, представляемому Web сайтом, или нет, зависит от присутствия сертификата CA certificate, который подписывает сертификат Web сайта в хранилище сертификатов Trusted Root Certification Authorities. Если такой сертификат CA certificate отсутствует в хранилище сертификатов Trust Root Certification Authorities, то клиентский компьютер не будет доверять сертификату Web сайта.

В то время, как у нас есть возможность выбора продолжить или прервать соединения при работе с браузером, то при подключении с помощью клиента Outlook RPC/HTTP у нас такой возможности нет. Если клиентский компьютер не доверяет сертификату, который был ему представлен компьютером с брандмауэром ISA Firewall, то соединения разрывается и вы не получаете никакой информации, почему это произошло. Решение этой проблемы заключается в том, чтобы поместить сертификат CA certificate в хранилище сертификатов Trusted Root Certification Authorities на клиентской машине.

Самый простой способ для установки сертификата CA на машинах клиентов заключается в установке корпоративного CA в вашей организации, а затем включение компьютера клиента в члены домена (domain member). В результате этого корпоративный сертификат CA certificate автоматически попадет в машинное хранилище сертификатов Trusted Root Certification Authorities machine certificate store.

Однако, если у вас есть машины, которые не являются членами домена (domain members), и вы хотите, чтобы эти машины были клиентами RPC/HTTP, то вы должны вручную установить сертификат CA certificate. Для этого есть несколько способов, например, обязать клиентов перейти на сайт Web enrollment site или выпустить файл сертификата CA certificate file для пользователей, который затем они должны будут установить вручную. В следующем примере, машина с клиентом RPC/HTTP client не является членом домена, поэтому мы вручную импортируем сертификат CA certificate.

Для установки сертификата CA certificate на клиенте Outlook RPC/HTTP client выполните следующие шаги:

• Перейдите на компьютер, который является контроллером домена (domain controller), в нашем случает это dc.msfirewall.org, откройте Проводник (Windows Explorer) и посмотрите в корневую директорию C:. Там вы увидите сертификат CA certificate этого корпоративного CA. Скопируйте этот файл на переносимый носитель или любой другой носитель информации и перенесите его на клиентскую машину.
• Нажмите на кнопку Start (Пуск) а затем запустите команду Run (Выполнить). Введите mmc в диалоговом окне Open (открыть) и нажмите на кнопку OK.
• В окне Console1 нажмите на File (файл) а затем выберите Add/Removesnap-in
• В диалоговом окне Add/Remove Snap-in нажмите на кнопку Add (добавить)
• В диалоговом окне Add Standalone Snap-in выберите пункт Certificates (сертификаты) и нажмите на кнопку Add (добавить).
• На странице Certificates snap-in выберите элемент Computer account (учетная запись компьютера) и нажмите на кнопку Next.
• На странице Select Computer (выбор компьютера) выберите параметр Local computer (локальный компьютер) и нажмите на кнопку Finish.
• Нажмите на кнопку Close (закрыть) в диалоговом окне Add Standalone Snap-in.
• Нажмите на кнопку OK в диалоговом окне Add/Remove Snap-in.
• В левом окне консоли раскройте узел Trusted Root Certification Authorities и щелкните правой кнопкой мыши на узле Certificates (сертификаты). Выберите All Tasks (все задачи) и нажмите на кнопку Import (импортировать).

  

  Рисунок 5

• Нажмите на кнопку Next на странице Welcome to the Certificate Import Wizard.
• На странице File to Import (файл для импорта) нажмите на кнопку Browse (обзор) и найдите файл сертификата CA. Щелкните на файле и нажмите на кнопку Open (открыть).

• Нажмите на кнопку Next на странице File to Import.
• На странице Certificate Store (хранилище сертификатов) примите все настройки по умолчанию и нажмите на кнопку Next.
• Нажмите на кнопку Finish (завершить) на странице Completing the Certificate Import Wizard.
• Нажмите на кнопку OK в диалоговом окне, которое информирует вас, что импорт прошел успешно (import was successful).
• Сертификат CA certificate появится в списке сертификатов CA.

Проверка конфигурации

Теперь мы готовы к проверке конфигурации. Начнем с запуска Outlook 2003. Вы увидите диалоговое окно Choose Profile (выберите профиль), как показано на рисунке ниже. Выберите профиль AdminTest из выпадающего списка и нажмите на кнопку OK.

Рисунок 6

Появится диалоговое окно для входа. Введите имя пользователя и пароль для учетной записи. В нашем примере, мы используем учетную запись администратора в домене msfirewall.org. Нажмите на кнопку OK.

Т.к. это первый раз, когда Outlook используется на машине клиента, то вы увидите диалоговое окно Preparing Outlook for first use (подготовка к первому использованию). После этого откроется и вы увидите почтовый ящик пользователя.

Удерживайте клавишу CTRL на клавиатуре и щелкните правой кнопкой мыши ни иконке Outlook в System Tray. Выберите команду Connection Status (статус соединения). Появится окно Exchange Server Connection Status (статус соединения). Вы можете увидеть в столбце Conn, что используется протокол HTTP/RPC.

Теперь давайте проверим соединение OWA connection. В Internet Explorer в адресной строке введите https://owa.msfirewall.org/exchange и нажмите на клавишу ENTER. Вы увидите форму, сгенерированную брандмауэром ISA Firewall. Выберите параметр This is a private computer (это частный компьютер) и введите имя пользователя и пароль. Т.к. мы используем общую аутентификацию (basic authentication), то вы должны ввести имя пользователя как msfirewall\administrator. Нажмите на кнопку Log on для входа.

Рисунок 7

Откроется OWA!

Резюме

Итак, дальше — лучше. Мы смогли опубликовать сайты OWA и RPC/HTTP с помощью одного IP адреса. Это то, чего мы не могли сделать с помощью ISA 2004. Но есть также еще много всего нового в брандмауэре ISA Firewall. В следующей части этой серии мы посмотрим, как мы можем использовать аутентификацию LDAP для использования групп безопасности Active Directory и ограничения доступа таким образом, чтобы лишь пользователи, которые являются членами этих групп смогли пройти через брандмауэр ISA Firewall к опубликованному серверу Exchange. Мы также посмотрим на то, как вы можете автоматически перенаправить пользователей, которые забыли набрать https:// и /exchange в строке адреса.

www.isaserver.org

• Журнал системных событий
• Пользовательские политики
• Маршрутизация Windows 2008
• Управление папками в Windows vista
• Как выключить службу рабочая станция?

Tags: dns, domain, Exchange, ldap, mac, proxy, Windows XP