Несколько недель вспять компания Microsoft выпустила Beta 3 версию Microsoft Forefront TMG (Threat Management Gateway), которая содержит огромное количество умопомрачительных и восхитительных функций.
Одной из главных сильных черт Microsoft Forefront TMG является возможность публикации внутренних сетевых ресурсов в вебе через правила интернет публикации. Microsoft Forefront TMG имеет интегрированные способности публикации нескольких функций сервера Exchange Server, таких как Outlook Web Access (OWA), Outlook Anywhere и Microsoft Exchange Active Sync.
Для публикации Outlook Web Access вам необходимо указать основной шлюз (Default Gateway) сервера Exchange Client Access Server на IP адресок внутреннего интерфейса ISA Server, также сертификат интернет сервера на сервере TMG, если вы желаете использовать HTTPS на HTTPS мост. Вам также необходимо сделать сертификат интернет сервера для на публике доступного имени, через которое к OWA будет обеспечиваться доступ из веба.
Изменение FBA на ординарную проверку подлинности на сервере Exchange Server
Поначалу нам необходимо поменять аутентификацию на базе форм (FBA) на веб-сайте Exchange Server, потому что TMG также употребляет FBA и характеристики, включенные на TMG и Exchange, могут вызвать конфликт. Чтоб поменять характеристики OWA с FBA на ординарную проверку подлинности (Basic Authentication), применяемую сервером TMG, запустите консоль Exchange Management Console, перейдите к конфигурации сервера (Server Configuration) ‘ клиентскому доступу (Client Access), а потом нажмите характеристики в параметрах OWA и измените FBA на Basic and Windows Authentication, как показано на последующем рисунке.
Прирастить
Набросок 1: Изменение проверки подлинности с FBA на ординарную проверку подлинности
После того, как мы включили ординарную проверку подлинности на веб-сайте Exchange, нам необходимо запросить новый сертификат для TMG веб-прослушивателя для общественного DNS имени, которое будет употребляться для доступа к Outlook Web Access из веба.
Принципиально:общее имя сертификата (CN) должно совпадать с общественным именованием DNS, применяемым для доступа к OWA. К примеру: если ваше общественное DNS имя OWA.IT-Training-Grote.de, имя сертификата CN должно быть таким же.
При помощи оснастки сертификатов Windows Server 2008 MMC Certificate Snap In можно добавлять дополнительную информацию в процесс запроса сертификата. Эти дополнительные характеристики пригодятся вам для сотворения запроса сертификата с пользовательским CN, как показано на последующем рисунке.
Набросок 2: Запрос нового сертификата
Нажмите по ссылке в мастере запроса сертификата и изберите тип общего имени, а потом введите необходимое CN, в нашем случае это будет owa.it-training-grote.de. Потом нажмите Добавить (Add).
Набросок 3: Указание CN для общественного сертификата
После того как сертификат был удачно сотворен, вы увидите результаты в оснастке сертификатов.
Примечание:если процесс запроса сертификата при помощи консоли MMC не был удачным, неувязка может заключаться в том, что запрос сертификата может добиваться DCOM доступ, который можно вручную настроить на ISA/TMG Firewall. Для дополнительной инфы прочтите последующий пост команды разработчиков ISA/TMG.
Набросок 4: Удачная регистрация сертификата
Запустите консоль управления TMG, перейдите к узлу Политика брандмауэра и сделайте новое правило публикации Exchange Web Client Access Publishing.
Набросок 5: Создание нового правила публикации доступа интернет клиента
Запустится новый мастер, который проведет вас через процесс интернет публикации OWA. Введите имя для нового правила публикации.
Набросок 6: Имя правила публикации Exchange
Укажите правильную версию Exchange и почтовой службы интернет клиента, которые вы желаете опубликовать.
Набросок 7: Публикация OWA и Exchange Server 2007
Мы желаем опубликовать один интернет веб-сайт, потому избираем подобающую опцию.
Набросок 8: Публикация 1-го интернет веб-сайта
Избираем SSL, чтоб TMG создавал защищенное подключение к серверу Client Access Server (CAS).
Набросок 9: Внедрение SSL для подключения к общественному серверу
Вводим имя внутреннего веб-сайта сервера Client Access Server. Это будет внутреннее FQDN сервера CAS. Имя внутреннего веб-сайта должно совпадать с общим именованием (CN) сертификата, применяемого сервером Client Access Server.
Набросок 10: Указание имени внутреннего веб-сайта
В последующем шаге мастера вводим общественное имя, которые клиенты должны использовать в собственных обозревателях для доступа к общественному серверу Outlook Web Access Server через веб.
Набросок 11: Указание общественного имени для доступа OWA
Создаем новый OWA веб-прослушиватель (Web listener). Веб-прослушиватель должен использовать SSL по причинам безопасности.
Набросок 12: Добиваться SSL для подключений с клиентами
Сейчас необходимо избрать Сеть, на которой Microsoft TMG будет слушать входящий сетевой трафик для Outlook Web Access. Избираем Внешнюю сеть (External network), и если у вас есть только один IP адресок, назначенный для наружного сетевого интерфейса на TMG, вы сможете не поменять характеристики, в неприятном случае вам необходимо избрать IP адресок на прослушивателе, который будет употребляться для публикации Outlook Web Access.
Набросок 13: Выбор веб-прослушивателя для наружных запросов
Дальше избираем сертификат, который будет привязан к веб-прослушивателю для доступа к OWA через веб. Необходимо избрать сертификат, который мы сделали в MMC.
Прирастить
Набросок 14: Выбор сертификата для общественного OWA доступа
Избираем опцию Forms Based Authentication (FBA) с проверкой подлинности Windows.
Набросок 15: Выбор метода аутентификации
Так как мы не используем SSO (Single Sign On), необходимо убрать флаг с этой функции.
Набросок 16: Отключение SSO
Нажмите Окончить и Дальше.
Метод делегирования проверки подлинности (Authentication Delegation) выбирает ординарную проверку подлинности. Так как обычная проверка подлинности употребляется с SSL, это не представляет риска для безопасности.
Набросок 17: Делегирование проверки подлинности
Когда это изготовлено, изберите юзеров и группы юзеров, которым будет разрешен доступ к Outlook Web Access через веб.
Набросок 18: Изберите юзеров, которые будут использовать OWA через TMG
Нажмите Окончить и Применить.
После того, как работа мастера удачно завершена, вы сможете проверить свою конфигурацию. В этой статье я зашел на интернет веб-сайт OWA со собственного нетбука Windows 7 Netbook.
Набросок 19: Успешное подключение к интернет веб-сайту OWA через веб
Заключение
В этой статье я попробовал показать вам, как публиковать Exchange Server 2007 Outlook Web Access при помощи Microsoft Forefront TMG. Как вы лицезрели, публикация OWA при помощи TMG осуществляется так же, как и в ISA Server 2006, потому у вас не должно появляться заморочек с публикацией нужных ресурсов через TMG, если вы знакомы с ISA Server 2006 Firewall.
Дополнительные ссылки
Forefront Threat Management Gateway Beta 3
Forefront TMG Beta 3 is Released
Что нового в Forefront TMG Beta 2 (часть 1)
Установка и настройка Microsoft Forefront TMG Beta 2