Sunday, May 27th, 2018

Публикация OWA и RPC/HTTP с одним IP-адресом на ISA-сервере (Часть 5)

Published on Февраль 17, 2009 by   ·   Комментариев нет

Это последняя часть статьи о публикации сайтов OWA и RPC/HTTP в окружении с единственным Exchange-сервером, не являющимся контроллером домена. В первых четырех частях мы рассмотрели требования и процедуры, которые позволили нам успешно опубликовать сайты OWA и RPC/HTTP на ISA-сервере с одним IP-адресом на внешнем интерфейсе.

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

В данной части мы узнаем, как осуществить контроль авторизации доступа к сайтам OWA и RPC/HTTP, и проверим, как можно быстро переадресовывать запросы пользователей, если они не добавили к пути URL https:// или /exchange. И, наконец, мы увидим, как можно включить изменение пароля пользователем и оповещение о паролях при использовании LDAP-аутентификации.

Создание группы LDAP и ограничение OWA и RPC/HTTP для группы LDAP. Проверка конфигурации

В созданном нами правиле web-публикации мы использовали для аутентификации установки по умолчанию, т.е. мы разрешили доступ к опубликованным сайтам всем пользователям, прошедшим аутентификацию. В реальных условиях у вас может возникнуть желание ограничить доступ до определенных групп, не предоставляя доступ любому пользователю, имеющему учетную запись в домене.

К примеру, предположим, что мы создали в домене msfirewall.org глобальную группу OWA Users, в которую поместили всех пользователей, которым мы хотим разрешить удаленный доступ к сайтам OWA и RPC/HTTP. Решить такую задачу можно, просто создав группу LDAP. Помните, что у LDAP есть преимущество перед RADIUS: LDAP может использовать существующие группы Active Directory, в то время как RADIUS не может.

Прежде, чем выполнить нижеследующие процедуры, в консоли Active Directory Users and Computers (Пользователи и компьютеры Active Directory) сделайте следующее:

  • Создайте группу безопасности OWA Users
  • Создайте пользователя User1
  • Поместите пользователя User1 в группу OWA Users

Дальнейшие процедуры показывают, как создать группу LDAP на ISA-сервере, основываясь на глобальной группе Active Directory OWA Users:

  • В консоли ISA-сервера щелкните по узлу Firewall Policy (Политика сервера) и дважды щелкните по правилу web-публикации OWA and RPC/HTTP.
  • В диалоговом окне OWA and RPC/HTTP Properties (Свойства правила OWA and RPC/HTTP) выберите вкладку Users (Пользователи), на которой отметьте параметр All Authenticated Users (Все аутентифицированные пользователи) из списка This rule applies to requests from the following user sets (Данное правило применяется к запросам следующих наборов пользователей) и нажмите кнопку Remove (Удалить).

    Публикация owa

    Рисунок 1

  • На вкладке Users (Пользователи) нажмите Add (Добавить).
  • В диалоговом окне Add Users (Добавление пользователей) нажмите New (Новый).
  • На странице Welcome to the New User Set Wizard (Начало работы мастера создания нового набора пользователей) введите имя набора пользователей LDAP в текстовое поле User set name (Имя набора пользователей). В нашем примере мы назовем набор MSFIREWALL OWA Users. Нажмите Next (Далее).

    Kak isa server add noviy IP

    Рисунок 2

  • На странице Users (Пользователи) нажмите Add (Добавить). В выпадающем меню выберите пункт LDAP….
  • В диалоговом окне Add LDAP User (Добавить пользователя LDAP) из выпадающего списка LDAP server set (Набор серверов LDAP) выберите запись MSFIREWALL. Выберите параметр Specified group or user (Указать группу или пользователя) и введите OWA Users (имя группы пользователей с разрешенным доступом к сайту OWA). Нажмите OK.
  • Появится окно аутентификации, в которое необходимо ввести имя уполномоченного пользователя и пароль (не обязательно администратора домена). Нажмите OK.
  • ISA-сервер соединяется с контроллером домена, и после нахождения группы окно регистрации пропадает, и вы увидите LDAP-группу в окне Users (Пользователи). Нажмите Next (Далее).
  • На странице Completing the New User Set Wizard (Завершение работы мастера создания нового набора пользователей) нажмите Finish (Завершить).
  • В диалоговом окне Add Users (Добавление пользователей) дважды щелкните по пункту MSFIREWALL OWA Users и нажмите Close (Закрыть).
  • На вкладке Users (Пользователи) вы теперь можете увидеть набор пользователей LDAP, к которым применяется правило. Нажмите OK.
  • Для сохранения изменений и обновления политики нажмите Apply (Применить). В диалоговом окне Apply New Configuration (Применить новые настройки) нажмите OK.
    Теперь давайте проверим эффективность нашего правила и зарегистрируемся на сайте OWA как пользователь user1. Вы увидите, что этот пользователь аутентифицирован и авторизован ISA-сервером, и соединения переадресованы на сайт OWA.
    Теперь попробуем зайти на сайт под учетной записью администратора домена msfirewall.org. Вы увидите, что соединение отклонено. Так произошло из-за того, что мы не включили пользователя Administrator в группу OWA Users. Попытайтесь использовать профиль AdminTest, созданный ранее в Outlook 2003. Вы увидите, что клиент Outlook заблокирован для сайта RPC/HTTP, и опять именно потому, что пользователь Administrator не включен в группу OWA Users.
    Ниже приведены рисунки того, что видит пользователь Administrator при попытке соединения с сайтом OWA, а также окно статуса соединения Outlook с отклоненными соединениями.

    Exchange

    Рисунок 3

Прежде, чем двинуться дальше, зайдите на контроллер домена и внесите учетную запись Administrator в группу OWA Users.

Создание переадресации на HTTPS для соединений HTTP и проверка настроек

Часто администраторам ISA-сервера приходится сталкиваться с пользователями, которые не могут запомнить правильный протокол для ввода в адресную строку Internet Explorer. Я достаточно строг с такими пользователями, хотя понимаю, что это не совсем правильно. Причина в том, что обычно пользователи вообще не вводят протокол в адресную строку. Если пользователь хочет зайти на сайт www.microsoft.com, он не вводит протокол http://, поскольку Internet Explorer сделает это автоматически за него. Так что для пользователя может быть неестественным вводить протокол, поскольку он никогда не делал этого раньше.

В сервер ISA 2006 включена новая функция, которая позволяет настроить web-приемник на автоматическую переадресацию пользователей, набирающих адрес owa.msfirewall.org/exchange, на https://owa.msfirewall.org/exchange.

Для создания переадресации дважды щелкните по правилу OWA and RPC/HTTP и выберите вкладку Listener (Приемник) диалогового окна OWA and RPC/HTTP Properties (Свойства правила OWA and RPC/HTTP). Нажмите кнопку Properties (Свойства).

Публикация webpart на сервере

Рисунок 4

В диалоговом окне SSL Listener Properties (СвойстваSSL-приемника) выберите вкладку Connections (Соединения). Обратите внимание, что приемник настроен на разрешение только SSL-соединений. Поскольку мы хотим переадресовывать запросы пользователей, соединяющихся не по SSL, нам нужно отметить параметр Enable HTTP connections on port (Разрешить HTTP-соединения по порту) и оставить значение по умолчанию 80.

Помимо этого, нам нужно сделать переадресацию принудительной. В разделе HTTP to HTTPS Redirection (ПереадресацияHTTP наHTTPS) выберите Redirect all traffic from HTTP to HTTPS (Переадресовывать весь трафик сHTTP наHTTPS) . Теперь все HTTP-соединения с данным web-приемником и любое правило, использующее данный приемник, будут переадресовываться.

После изменений нажмите OK.

В диалоговом окне OWAandRPC/HTTPProperties (Свойства правилаOWAandRPC/HTTP) нажмите OK.

Для сохранения изменений и обновления политики нажмите Apply (Применить). В диалоговом окне Apply New Configuration (Применить новые настройки) нажмите OK.

Теперь откройте Internet Explorer на компьютере клиента и введите в качестве адреса owa.msfirewall.org/exchange. Поскольку мы не написали протокол, Internet Explorer автоматически подставит http://, и соединение будет обычным HTTP-запросом к ISA-серверу.

После установления соединения вы увидите, что оно автоматически изменилось на HTTPS. Появится форма регистрации.

Создание переадресации с корневого каталога на папку /Exchange

Пользователи создают администраторам много проблем. Помимо неправильного протокола они часто забывают включать (или специально не вводят) в путь URL папку /Exchange. Вместо адреса owa.msfirewall.org/exchange пользователи хотят набирать owa.msfirewall.org и автоматически переадресовываться на сайт https://owa.msfirewall.org/exchange.

В новый ISA-сервер включена функция, которая позволяет настроить переадресацию. Для этого вам нужно создать запрещающее правило web-публикации. Таким образом вы легко можете переадресовывать соединения с запрещенных URL на любой другой внутренний или внешний сайт.

Необходимо сделать следующее:

  • Создать запрещающее правило web-публикации, переадресовывающее путь / в путь /Exchange. Это правило будет отклонять запросы к owa.msfirewall.org и переадресовывать их на owa.msfirewall.org/exchange
  • Поместить правило RPC/HTTP над правилом запрета, а правило запрета разместить над правилом публикации OWA and RPC/HTTP Правило запрета должно располагаться выше правила OWA and RPC/HTTP, поскольку вначале нам нужно отклонить соединение для переадресации

Вы можете поинтересоваться, почему в этом случае не прерывается соединение RPC/HTTP. Дело в том, что переадресация затрагивает только адрес owa.msfirewall.org/, но не owa.msfirewall.org/rpc. Это значит, что соединения клиента Outlook RPC/HTTP будут игнорироваться первым правилом, а правило OWA and RPC/HTTP будет первым, соответствующим соединению.

Создание запрещающего правила web-публикации, переадресовывающего путь / в путь /Exchange

Создадим запрещающее правило web-публикации. Для этого выполните следующее:

  • В консоли управления ISA-сервером щелкните по узлу Firewall Policy (Политика сервера) и выберите вкладку Tasks (Задачи) в Панели задач. Нажмите Publish Web Sites (Публикация web-сайтов).
  • На странице Welcome to the New Web Publishing Rule Wizard (Начало работы мастера создания правила web-публикации) введите имя правила. Мы назовем правило OWA Redirect. Нажмите Next (Далее).

    Публикация owa

    Рисунок 5

  • На странице Select Rule Action (Выбор действия по правилу) выберите Deny (Запрет). Все соединения с заданными параметрами будут запрещены. Было бы неплохо, если бы разработчики ISA-сервера тут же включили текстовое поле для ввода адресе для переадресации, однако нам придется подождать, пока правило не создастся, а затем зайти в его свойства. Нажмите Next (Далее).
  • На странице Publishing Type (Тип публикации) выберите Publish a single Web site or load balancer (Публиковать единственный web-сайт или балансировщик нагрузки) и нажмите Next (Далее).
  • На странице Server Connection Security (Защита соединений с сервером) выберите Use SSL to connect to the published Web server or server farm (Использовать SSL для связи с опубликованным web-сервером или группой серверов). Для нас данный параметр не имеет никакого значения, поскольку никакие соединения не будут переадресовываться. Нажмите Next (Далее).
  • На странице Internal Publishing Details (Детали внутренней публикации) введите внутренней имя сайта в поле Internal site name (Имя внутреннего сайта). Отметьте параметр Use a computer name or IP address to connect to the published server (Использовать имя компьютера или IP-адрес для связи с опубликованным сервером) и введите IP-адрес OWA-сервера. Еще раз замечу, что эти данные не имеют никакого значения, поскольку никакие соединения не будут переадресовываться. Нажмите Next (Далее).
  • На странице Internal Publishing Details (Детали внутренней публикации) введите / (без звездочки после /) в поле Path (optional) (Путь (по желанию)). Нажмите Next (Далее).
  • На странице Public Name Details (Детали имени) введите в соответствующее поле имя owa.msfirewall.org. Введите / (без звездочки после /) в поле Path (optional) (Путь (по желанию)). Это – ключевая настройка, поскольку мы хотим, чтобы все соединения с адресом owa.msfirewall.org/ были отклонены и переадресованы. Обратите внимание, что пользователю не нужно вводить /, Internet Explorer сделает это за него. Нажмите Next (Далее).
  • На странице Select Web Listener (Выбор web-приемника) из выпадающего списка Web listener (Web-приемник) выберите SSL Listener (приемник, созданный нами ранее). Нажмите Next (Далее).
  • На странице Authentication Delegation (Делегирование аутентификации) примите значение по умолчанию — No delegation, and client cannot authenticate directly (Нет делегирования. Клиент не может аутентифицироваться напрямую). Нет смысла аутентифицировать клиента, поскольку все соединения будут автоматически переадресовываться для всех.
  • На странице User Sets (Пользователи) выберите All Authenticated Users (Все аутентифицированные пользователи) из списка This rule applies to requests from the following user sets(Данное правило применяется к запросам следующих наборов пользователей) и нажмите Remove (Удалить). Нажмите Add (Добавить).
  • В диалоговом окне Add Users (Добавление пользователей) дважды щелкните по пункту All Users (Все пользователи) и нажмите Close (Закрыть).
  • На странице User Sets (Пользователи) нажмите Next (Далее).
  • На странице Completing the New Web Publishing Rule Wizard (Завершение работы мастера создания нового правила web-публикации) нажмите Finish (Завершить).
  • Дважды щелкните по правилу OWA Redirect в консоли ISA-сервера. В диалоговом окне OWA Redirect Properties (Свойства правила OWA Redirect) выберите вкладку Action (Действие). Отметьте параметр Redirect HTTP requests to this Web page (Переадресовывать HTTP-запросы на эту web-страницу) и введите https://owa.msfirewall.org/exchange. Нажмите OK.
  • Для сохранения изменений и обновления политики нажмите Apply (Применить). В диалоговом окне Apply New Configuration (Применить новые настройки) нажмите OK.

Изменение порядка правил

Убедитесь, что правило запрета находится выше правила OWA and RPC/HTTP, как показано на Рисунке 32. Если это не так, используйте стрелки для установления верного порядка правил.

HTTP отклоненное соединение

Рисунок 6

Проверка

Откройте Internet Explorer и введите owa.msfirewall.org. Обратите внимание, что этот запрос будет послан по HTTP и пути /exchange нет. Так мы сможем проверить переадресацию и протокола, и пути.

Faqman ru

Рисунок 7

Появляется окно регистрации OWA, и вы видите, что протокол изменился на HTTPS. Вы не увидите пути /exchange, но его можно обнаружить в запросе (рядом со знаком вопроса).

Включение функции изменения паролей и уведомления для LDAP-аутентификации

Мы уже создали LDAP-сервер, который разрешает ISA-серверу аутентифицировать пользователей из базы данных Active Directory. Однако, наши пользователи не могут менять пароли и не получают уведомления о том, что срок действия их пароля истек или скоро истечет.

Для поддержки изменения паролей пользователями с помощью предварительной LDAP-аутентификации на ISA-сервере мы должны включить поддержку LDAPS. Для того, чтобы использовать LDAPS, вы должны установить сертификат компьютера на контроллеры домена с правильным именем сертификата. Самый простой способ сделать это – использование корпоративного центра сертификации и автоматической регистрации через групповую политику.

ISA-серверу нужен сертификат центра сертификации, установленный в его собственном хранилище сертификатов компьютера Trusted Root Certification Authorities (Доверенные корневые центры сертификации), чтобы ISA-сервер доверял сертификатам, установленным на контроллерах домена. Мы уже установили сертификат центра сертификации на ISA-сервер, когда мы устанавливали сертификат web-сайта в хранилище сертификатов компьютера ISA-сервера.

Если LDAPS-аутентификации включена, опция Use Global Catalog (Использовать Глобальный каталог) должна быть отключена, и в поле Type the Active Directory domain name (use the fully-qualified domain name) (Введите имя домена Active Directory (используйте полностью определенное имя домена)) вы должны ввести FQDN-имя домена Active Directory. Если вы не хотите включать функцию управления паролями, отметьте опцию Use Global Catalog (Использовать Глобальный каталог) и оставьте поле имени домена Active Directory пустым.

Поскольку мы хотим использовать функцию изменения пароля, мы должны сделать указанные изменения, а также должны предоставить учетные данные для доступа в Active Directory для подтверждения статуса учетной записи пользователя и пароля. Это может быть любой пользователь Active Directory, не обязательно администратор домена.

Для выполнения необходимых изменений раскройте узел Configuration (Настройки) в левой части консоли и выберите вкладку General (Общие). Нажмите на ссылку Specify RADIUS and LDAP Servers (Указать серверы RADIUS и LDAP). В диалоговом окне Authentication Servers (Серверы аутентификации) выберите вкладку LDAP Servers (LDAP-серверы). Дважды щелкните по MSFIREWALL из списка LDAP-серверов.

В диалоговом окне Add LDAP Server Set (Добавить наборLDAP-серверов) уберите отметку с Use Global Catalog (Использовать Глобальный каталог) и отметьте Connect LDAP servers over secure connection (Соединяться с LDAP-серверами безопасными соединениями). Введите имя и пароль пользователя домена в поля User name (Имя пользователя) и Password (Пароль). Нажмите OK, затем еще раз OK в диалоговом окне Authentication Servers (Серверы аутентификации).

Как включить сервер rpc?

Рисунок8

Для поддержки изменения паролей и уведомлений о смене паролей вам нужно настроить web-приемник на предоставление этой информации пользователям OWA (пользователи RPC/HTTP не будут получать уведомления, поскольку этот клиент не поддерживает такую возможность). Есть несколько способов войти в окно свойств созданного нами приемника. Можно дважды щелкнуть по имени приемника в списке правил сервера в столбце From/Listener (От/Приемник). В любом случае, нам нужно зайти в окно свойств приемника.

В окне свойств приемника выберите вкладку Forms (Формы). Отметьте параметры Allow users to change their passwords (Разрешать пользователям изменять пароли) и Remind users that their password will expire in this number of days (Напоминать пользователям, что срок действия их пароля истекает через это количество дней). Нажмите OK.

Для сохранения изменений и обновления политики нажмите Apply (Применить). В диалоговом окне Apply New Configuration (Применить новые настройки) нажмите OK.

Зайдите на сайт OWA после сохранения изменений. Вы увидите, что окно регистрации изменилось. Теперь у вас есть параметр I want to change my password after logging on (Я хочу изменить свой пароль после регистрации).

После ввода учетных данных и нажатия кнопки Log On (Войти), вы увидите страницу смены пароля (Рисунок 38). Введите старый пароль, а затем введите новый пароль и подтвердите его. Нажмите Change Password (Изменить пароль).

После смены пароля появится окно, сообщающее о том, что пароль был изменен. Затем пользователь будет автоматически перенаправлен на свой почтовый ящик.

Резюме

В последней части нашей статьи о публикации сайтов OWA и RPC/HTTP в окружении с единственным Exchange-сервером, не являющемся контроллером домена, мы рассмотрели процедуры, необходимые для переадресации пользователей в случае ввода ими неверного пути и протокола при доступе к сайту OWA.

www.isaserver.org






Смотрите также:

Tags: , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]