Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

Публикация Exchange 2007 OWA с помощью ISA Server 2006 (часть 4).

Создать web-приёмник

Перед тем как создать правило публикации, сначала мы должны установить web-приёмник.

  1. В консольном дереве ISA Server Management нажмите Firewall Policy (Политика брандмауэра). На закладке Toolbox (Окно инструментария) щёлкните Network Objects (Объекты сети), затем New, а потом выберите Web Listener (Web-приёмник).
1
  1. В окне Client Connection Security (Защита соединения клиента) выберите опцию Require SSL secured connections with clients (Требовать безопасные SSL-соединения с клиентами).
2
  1. В окне Web Listener IP Addresses (IP-адреса Web-приёмника), Listen for requests on these networks (Принимать запросы по этим сетям) выберите Internal (Внутренний), так как у нас только один сетевой интерфейс.
3
  1. Нажмите Select Certificate (Выбрать сертификат) и выберите сертификат, предварительно установленный на ISA Server. Нажмите Next.
4
5
  1. Выберите HTML Form Authentication для, основанной на формах, аутентификации и выберите подходящий метод, который ISA Server будет использовать для подтверждения действительности клиентского мандата. Мы будем использовать LDAP (Active Directory).
6
  1. Оставьте как есть настройку по умолчанию, чтобы включить SSO и впишите ваше DNS-имя.
7
  1. Просмотрите выбранные настройки и нажмите Finish, чтобы завершать работу мастера.
  2. Поскольку мы хотим, чтобы наши клиенты вписывали простой URL без HTTPS (ISA произведёт перенаправление), сейчас мы должны скорректировать только что созданный Web-приёмник, для того чтобы предоставить доступ к HTTP. Правой кнопкой щёлкните Web-приёмник и выберите Properties (Свойства). Нажмите Enable HTTP connections on port: 80 (Включить HTTP-соединения на порт: 80), а потом выберите Redirect all traffic from HTTP to HTTPS (Перенаправлять весь трафик с HTTP на HTTPS).
8

Правила сервера ISA

  1. Чтобы создать правило публикации Exchange Web client access, в дереве консоли ISA Server Management выберите Firewall Policy. На вкладке Tasks (Задачи) нажмите Publish Exchange Web Client Access. Напишите имя для правила. К примеру, напишите Exchange Web Client Publishing.
9
  1. Выберите подходящую версию Exchange, а затем – нужные Web client mail services (Почтовые службы Web-клиента). Для Exchange 2003 вы можете выбрать все методы в одном правиле; для Exchange 2007 вы должны создать отдельные правила для каждого метода доступа.
10
11
  1. Выберите Publish a single Web site or load balancer (Публиковать единичный сайт, или загрузить балансир).
12
  1. Выберите Use SSL to connect to the published Web server or server farm (Использовать SSL для соединения с опубликованным Web-сервером, или группой серверов).
13
  1. Введите внутреннее доменное имя FQDN сервера Exchange Client Access. Внутреннее имя сайта должно соответствовать имени серверного сертификата, который установлен на внутренний сервер Exchange Client Access. Если вы не можете определиться с внутренним именем сайта, то можете выбрать Use a computer name or IP address to connect to the published server (Использовать имя компьютера, или IP-адрес, чтобы соединиться с опубликованным сервером), а потом наберите нужный IP-адрес или имя, различаемые компьютером ISA-сервера. Вы можете использовать тот подход, который вам нравиться: использовать одинаковое внутреннее и внешнее имя сайта, или дифференцировать их. Если вы используете разные имена, то вам понадобятся два разных сертификата.
14
15
  1. Введите (внешнее) доменное имя, для которого ISA Server будет принимать соединение. Это имя должно совпадать с доменным именем сертификата (FQDN), выбранным во время создания Web-приёмника.
16
  1. Выберите Web-приёмник, который вы предварительно создали.
17
  1. На странице Authentication Delegation (Делегирование аутентификации) выберите Basic Authentication.
18
  1. Выберите настройку пользователя, утверждённую для доступа к этому правилу (All Authenticated Users). Если позднее у вас возникнут проблемы с этим правилом, то для того чтобы устранить их, замените эту настройку пользователя на All Users. Если это сработает, это может указывать на то, что имеет место проблема с LDAP-аутентификацией, которая была установлена в предыдущей части этой статьи.
19
  1. Просмотрите выбранные настройки и нажмите Finish, чтобы завершить работу мастера. Нажмите Apply(Применить) на панели подробностей, чтобы сохранить изменения и обновить конфигурацию.
  2. Если вы пользуетесь одинаковым внутренним и внешним именем для RPC, чтобы работать через HTTP(s), то вы должны произвести изменение в правиле публикации. Правой кнопкой щёлкните по правилу, выберите Properties, перейдите к закладке To и отмените выбор Forward the original host header instead of the actual one (Отправлять главный первоначальный заголовок вместо фактического).
20

Переадресация

В процессе создания Web-приёмника мы уже видели, как включить переадресацию от HTTP к HTTPS. Теперь пора удалить /Exchange или /owa из URL. Если бы вы пользовались ISA Server 2004, то это можно было бы сделать, включив особое преобразование пути, переводящее корневой путь“/” в особый путь “/Exchange\”. К сожалению, с ISA Server 2006 это больше невозможно, потому что он создаёт событие ID 21177.

У вас есть две возможности совершить это:

  • Включить корневой путь“/” в правило публикации OWA и применить код в интерфейсной части, чтобы сделать переадресацию.
  • Использовать Deny Rule (Правило отказа) на ISA Server, которое выполняет переадресацию.

Я отдаю предпочтение первому варианту, так что поясню выполняемые шаги.

  1. В консоли ISA Firewall нажмите узел Firewall Policy в левой панели этой консоли. На панели задач нажмите Publish Web Sites (Публиковать Web-сайты). Введите имя для правила на странице приветствия программы-мастера созданиям нового правила публикации (Welcome to the New Web Publishing Rule Wizard). В этом примере мы назовём правило OWA Folder Redirection и нажимаем Next.
21
  1. На странице Select Rule Action (Выберите действие правила) выберите опцию Deny (Отказывать). Все соединения, отвечающие параметрам, которые мы установили в этом правиле, получат отказ. Нажмите Next.
22
  1. На странице Publishing Type (Тип публикации) выберите Publish a single Web site or load balancer (Публиковать единичный сайт, или загрузить балансир) и нажмите Next.
23
  1. На странице Server Connection Security (Защита серверного соединения) выберите Use SSL to connect to the published Web server or server farm (Использовать SSL для соединения с опубликованным сервером или группой серверов). Фактически, эта опция ничего не значит в этом сценарии, поскольку никакие соединения не будут направляться Правилом отказа. Нажмите Next.
24
  1. На странице Internal Publishing Details (Подробности внутренней публикации) введите внутреннее имя сайта Exchange CAS/Front-End-сервера. Нажмите Next.
25
  1. На странице Internal Publishing Details нажмите Next.
  2. На странице Public Name Details введите публичное имя. Нажмите Next.
26
  1. На странице Select Web Listener (Выбрать Web-приёмник) щёлкните стрелку вниз выпадающего списка и выберите приёмник, который мы используем для Exchange-правила публикации. Нажмите Next.
27
  1. На странице Authentication Delegation примите элемент по умолчанию No delegation, and client cannot authenticate directly (Нет делегирования, и клиент не может аутентифицироваться напрямую). По этому сценарию клиенту не нужно аутентифицироваться, потому как мы хотим, чтобы соединение автоматически перенаправлялось для всех.
28
  1. На странице User Sets (Настройки пользователя) удалите запись All Authenticated Users (Все аутентифицированные пользователи.) Нажмите кнопку Add. В диалоговом окне Add Users дважды щёлкните запись All Users и нажмите Close (Закрыть). Нажмите Next. Вы увидите предупреждение, которое вы можете благополучно проигнорировать.
29
30
  1. Нажмите Finish на странице завершения работы мастера Completing the New Web Publishing Rule Wizard.
  2. Дважды щёлкните правило переадресации OWA Redirect rule, которое мы только что создали. Перейдите к закладке Action и поставьте галочку в квадратике напротив Redirect HTTP requests to this Web page (Перенаправлять HTTP-запросы на эту Web-страницу). Введите в строку полный адрес Exchange OWA (https://webmail.ruisilva.org/exchange). Нажмите OK.
31
  1. Убедитесь, что Deny-правило находиться ниже Правила разрешения с названием Exchange Web Client Publishing allow rule, как видно на рисунке ниже. Если это не так, используйте стрелки вверх-вниз на панели кнопок MMC, чтобы привести правила в порядок.
32
  1. Нажмите Apply,чтобы сохранить изменения и обновить политику брандмауэра. Нажмите OK в диалоговом окне Apply New Configuration.

Тестирование решения

Для того чтобы протестировать это решение, используйте компьютер вне внутренней сети. Откройте браузер и в строке адресов наберите URL публичного имени внешнего Exchange (webmail.ruisilva.org).

33

Если всё работает, вы будете представлены аутентификацией HTML-формы, и после успешной регистрации появится страница Outlook Web Access, как проиллюстрировано на картинках ниже.

34

35

36

Чтобы протестировать RPC через HTTP(s) / Outlook Anywhere, убедитесь, что профиль Outlook правильно настроен для поддержки этого метода доступа. Потом запустите Microsoft Outlook и проверьте, можете ли вы установить соединение с вашим почтовым сервером. Чтобы подтвердить, что вы используете HTTPS, удерживайте клавишу CTRL, щелкните правой кнопкой значок Outlook-соединения на Панели задач и выберите Connection Status…

37

38

Заключение

ISA Server 2006 ввёл некоторые новые функции и мастера публикации, что может облегчить задачу публикации Exchange. Тем не менее, есть определённые аспекты и сценарии, для которых всё ещё трудно найти правильное решение.

Сценарий, который я использовал в серии этих статей, самый распространённый из тех, что я встречаю у моих клиентов. Будем надеяться, что и у вас тоже, так что теперь у вас полное и подробное решение для опубликования клиентского доступа Exchange 2003/2007.

05.06.2009 Posted by | ms isa 2006 | Комментарии к записи Публикация Exchange 2007 OWA с помощью ISA Server 2006 (часть 4). отключены

Публикация Exchange 2007 OWA с помощью ISA Server 2006 (часть3).

Конфигурирование Exchange 2003 Front-End

Теперь нам нужно произвести некоторые изменения в конфигурации Exchange 2003, для того чтобы правильно работал клиент публикации ISA-сервера.

  • Подтвердите, что не выбрана, основанная на формах, аутентификация (Forms Based Authentication) на сервере Exchange front-end.
  • Включите протокол RPC через HTTP на сервере front-end Exchange server.
  • Потребуйте протокол безопасных соединений (SSL) для Web-сайта.
  1. Чтобы подтвердить, что не выбрана, основанная на формах, аутентификация на сервере Exchange front-end, запустите Exchange System Manager, откройте Servers, а затем откройте ваш front-end-сервер. Раскройте Protocols, откройте HTTP, правой кнопкой щёлкните Exchange Virtual Server, а затем нажмите Properties. Щелкните вкладку Settings, и удалите галочку напротив Enable Forms Based Authentication. Нажмите OK.
1
  1. Чтобы сделать ваш Exchange Front-End-сервер RPC proxy-сервером, раскройте Servers, щёлкните правой кнопкой мыши ваш front-end-сервер, а затем нажмите Properties (Свойства). Выберите страницу RPC-HTTP, затем RPC-HTTP front-end server, и нажмите OK, чтобы закрыть диалоговое окно свойств выбранного сервера. Нажмите OK.
  2. После того как установлен сертификат для Web-сайта, вам нужно потребовать, чтобы этот Web-сайт принимал соединения только по безопасному каналу. В IIS Manager откройте локальный компьютер, затем раскройте папку Web-сайтов. Правой кнопкой щёлкните Exchange virtual directory (Изменить виртуальную директорию) и нажмите Properties. На вкладке Directory Security (Защита директории) нажмите Edit (Редактировать). Выберите Require secure channel (SSL) (Затребовать безопасный канал) на странице Secure Communication (Безопасное соединение) и нажмите OK. Нажмите OK снова, чтобы закрыть диалоговое окно свойств Web-сайта. Повторите этот шаг для /Public, /Exchweb и /rpc.
2

Конфигурирование клиентского доступа Exchange 2007 Client Access

Для Exchange 2007 требуемые изменения следующие:

  • Подтвердите, что не выбрана, основанная на формах, аутентификация на сервере Exchange Client Access.
  • Включите Outlook Anywhere на сервере Exchange Client Access server.
  • Потребуйте соединения по безопасному каналу (SSL) для Web-сайта.
  1. Чтобы подтвердить, что не выбрана аутентификация, основанная на формах, на сервере Exchange Client Access (CAS), в консоли Exchange Management Console раскройте Server Configuration, а затем нажмите Client Access (Клиентский доступ). Выберите ваш сервер клиентского доступа, а потом выберите пункт owa (Default Web Site) на странице Outlook Web Access. На панели действий нажмите Properties под owa (Default Web Site).
3
  1. Выберите страницу Authentication и подтвердите, что выбрано следующее: Use one or more of the following standard authentication methods (Использовать один или более из следующих стандартных методов аутентификации) и Basic authentication (password is sent in clear text) (Базовая аутентификация (пароль посылается открытым текстом)). Нажмите OK.
4
  1. Просмотрите диалоговое окно предупреждения Microsoft Exchange и нажмите OK. Вы должны перезапустить Internet Information Services (Информационный интернет-службы) (IIS), чтобы вступили в силу только что выполненные изменения. Для того чтобы перезапустить IIS, выполните следующую команду: «iisreset /noforce».
5
  1. Повторите шаги с 1-го по 3-й для следующих сайтов: Exchange (Default Web Site), Exchweb (Default Web Site), и Public (Default Web Site).
  2. Чтобы включить Outlook Anywhere на вашем сервере клиентского доступа, в консоли Exchange Management Console откройте Server Configuration, а затем щелкните Client Access. Выберите свой сервер клиентского доступа. На панели действий нажмите Enable Outlook Anywhere под именем сервера, который вы только что выбрали. Введите имя хоста, которое клиент будет использовать, чтобы соединиться с сервером клиентского доступа в поле External Host name. Это имя должно совпадать с общим именем, или с полным доменным именем машины, использованных в серверном сертификате, который был установлен на компьютер ISA-сервер. Подтвердите, что внешний метод аутентификации — NTLM authentication и нажмите Enable (Включить).
6
  1. Для того чтобы Web-сайт принимал соединения только по безопасному каналу, следуйте шагу 3 из предыдущего параграфа (Конфигурирование Exchange 2003 Front-End) для всех упомянутых виртуальных директорий и /owa.

Основы аутентификации ISA

Перед тем как войти в раздел о ролях публикации, давайте взглянем на то, как сервер ISA предварительно аутентифицирует клиентские запросы.

7

Шаг 1: Получение клиентского мандата. Клиент отправляет запрос на соединение с корпоративным сервером Outlook Web Access во внутренней сети. Клиент предъявляет мандат в форме HTML.

Шаг 2 и 3: Отправка мандата. Сервер ISA отправляет мандат провайдеру аутентификации, такому как контроллер домена, для интегрированной аутентификации Windows в Active Directory, или на сервере RADIUS и получает подтверждение от провайдера аутентификации о том, что этот клиент аутентифицирован.

Шаг 4: Делегирование аутентификации. ISA Server пересылает запрос клиента на сервер Outlook Web Access server и аутентифицируется на Outlook Web Access server, используя мандат клиента. Сервер Outlook Web Access подтвердит действительность этого мандата, обычно с помощью того же провайдера аутентификации. Этот Web-сервер должен быть сконфигурирован, чтобы использовать схему аутентификации, которая соответствует методу делегирования, используемому сервером ISA.

Шаг 5: Ответ сервера. Сервер Outlook Web Access посылает ответ клиенту, который перехватывается сервером ISA.

Шаг 6: Пересылка ответа. ISA Server отправляет ответ клиенту.

Помните, что проверка достоверности Active Directory может происходить, только если ISA Server является членом домена (либо того же домена, что и контроллер домена, либо в доверенном домене). Поскольку наш ISA-сервер находится в конфигурации рабочей группы, нам нужно будет использовать RADIUS или LDAP.

Чтобы использовать RADIUS, вы можете установить службу IAS на любой членский сервер Windows 2003 в вашей внутренней сети.

ISA Server может соединяться с сервером LDAP любым способом из приведённых в следующей таблице.

Таблица 1

Соединение

Порт

Требует имя домена Active Directory

Поддерживает опцию замены пароля

LDAP 389 Да Нет
LDAPS 636 Да Да
LDAP используя глобальный каталог 3268 Нет Нет
LDAPS используя глобальный каталог 3269 Нет Нет

Для того чтобы использовать LDAPS или LDAPS с помощью глобального каталога, должен быть установлен серверный сертификат на сервер LDAP, а корневой сертификат из Бюро сертификации нужно установить на компьютер сервера ISA.

Я предпочитаю LDAP, так что перечислю необходимые шаги, чтобы сконфигурировать этот метод аутентификации:

  1. Откройте консоль ISA Firewall console, откройте узел Arrays (Массивы), а затем откройте имя массива. Раскройте узел Configuration и нажмите узел General. На средней панели щёлкните по ссылке Specify RADIUS and LDAP Servers.
8
  1. На закладке LDAP Servers Sets (Настройки серверов LDAP), нажмите Add, чтобы открылось диалоговое окно Add LDAP Server Set. В поле LDAP server set name впишите имя домена.
  2. Нажмите Add, чтобы добавить имя каждого LDAP-сервера или IP-адрес. В Server name определите DC и нажмите OK. Мы также должны предоставить пользовательский мандат, который будет использоваться для доступа в Active Directory. Вам не нужно пользоваться учётной записью администратора домена: подойдёт обычная учётная запись пользователя. Нажмите OK, чтобы закрыть диалоговое окно Add LDAP Server Set.
9
  1. Нажмите New, чтобы открыть диалоговое окно New LDAP Server Mapping (Новое отображение LDAP-сервера). В Login expression напечатайте DOMAIN\*. В LDAP server set выберите ранее определённое имя домена и нажмите OK.
10
  1. Нажмите Close, чтобы закрыть окно Authentication Servers.

Резюме

Теперь, когда мы настроили наш сервер Exchange CAS/Front-End, а у ISA-сервера есть необходимый работающий механизм аутентификации, мы может перейти к правилам публикации. О них будет рассказано в следующей заключительной части этой статьи.

05.06.2009 Posted by | ms isa 2006 | Комментарии к записи Публикация Exchange 2007 OWA с помощью ISA Server 2006 (часть3). отключены

Публикация Exchange 2007 OWA с помощью ISA Server 2006 (часть 2).

Конфигурирование ISA-сервера

Наша первая задача – задать ISA-серверу общую начальную конфигурацию рабочей группы.

Я пропущу процедуру установки ISA-сервера, так что мы начнём с пункта, где ISA-сервер уже установлен в окружение Windows Server 2003, которое не принадлежит домену.

Что нам придётся сделать, так это применить Single Network Adapter Template (Шаблон единого сетевого адаптера).

  1. Откройте консоль ISA Server Management Console. Откройте Configuration, а затем Networks. На панели шаблонов вы найдёте Single Network Adapter (Единый сетевой адаптер). Выберите его, и запуститься мастер конфигурации. Дважды нажмите Next.
2
  1. На странице Internal Network IP Addresses (Внутренние сетевые IP-адреса) вы увидите адреса, которые будут настроены определять внутреннюю сеть установленного по умолчанию брандмауэра ISA. Вы можете принять значения по умолчанию. Нажмите Next.
3
  1. Выберите Apply default web proxying and caching configuration, нажмите Next.
4
На странице Completing the Network Template Wizard (Завершение работы мастера сетевого шаблона) нажмите Finish
5
  1. Появится предупреждение. Нажмите OK.
6
  1. Нажмите Apply (Применить), чтобы сохранить изменения и обновить политику брандмауэра. Нажмите OK в диалоговом окне Apply New Configuration.

Сертификаты

Чтобы обеспечить надлежащую защиту связям между этими равноправными узлами сети, вам нужно установить серверный сертификат на Exchange CAS/Front-End и ISA Server. Если этот сертификат из внутреннего CA (Центра сертификации), то вам потребуется установить этот CA-сертификат на оба сервера, и все ваши клиенты должны доверять этому же внутреннему CA.

Когда вы устанавливаете Exchange 2007, вы можете установить по умолчанию сертификат Уровня защищённых гнёзд (Secure Sockets Layer (SSL)), который создаётся при установке Exchange. Однако не рекомендуется его использовать, поскольку этот сертификат не является доверенным SSL-сертификатом.

  1. Для того чтобы получить новый серверный сертификат, используя мастер Web Server Certificate Wizard, в IIS Manager раскройте локальный компьютер, затем откройте папку Web –сайтов. Щёлкните правой кнопкой по сайту служб Exchange и нажмите Properties. На вкладке Directory Security (Защита директории) нажмите Server Certificate. Используйте эту программу-мастер для запроса и установки этого сетевого серверного сертификата. В этом мастере (Web Server Certificate Wizard) выберите Create a new certificate (Создать новый сертификат).
7
  1. На странице Delayed or Immediate Request (Отсроченный или немедленный запрос) выберите Send the request immediately to an online certification authority (Отправлять запрос сразу в онлайновый центр сертификации), если в вашем домене установлен корпоративный CA (центр сертификации) сервера Windows Server 2003. В противном случае выберите Prepare the request now, but send it later (Подготовить запрос сейчас, а отослать позже).
  2. Введите требуемую информацию на страницах Name and Security Settings и Organization Information.
8
9
  1. Впишите FQDN (Полное доменное имя машины) на странице Your Site’s Common Name. Это имя должно совпадать с именем, которое ISA-сервер будет использовать для связи с Exchange-сервером. Это имя не будет окончательным внешним, как мы увидим дальше.
10
  1. Введите требуемую информацию на странице Geographical Information (Географическая информация).
11
  1. Если вы выбрали Send the request immediately to an online certification authority (Отправлять запрос сразу на онлайновое подтверждение права доступа), примите порт 443 по умолчанию на странице SSL Port и из списка под Certification authorities выберите верный внутренний корпоративный CA (Центр сертификации). Нажмите Next, чтобы подтвердить ваш запрос. Это также установит сертификат для вашегоWeb-сайта. Если вы выбрали Prepare the request now, but send it later, сохраните этот запрос как текстовый файл и передайте его с помощью браузера. Если это Microsoft CA, то URL-адрес будет http://CAServerName/CertSrv. Выберите Request a certificate (Запросить сертификат), нажмите Next и выберите Advanced request (Расширенный запрос). Нажмите Next и выберите Submit a certificate request using a base64 encoded PKCS #10 file (Отправить запрос сертификата, используя закодированный файл PKCS #10 базы 64). Нажмите Next и откройте тот файл запроса, который вы сохранили, из мастера Web Certificate Wizard в Блокноте. Вставьте весь текст этого файла от самой первой до последней строки в текстовое окно Base64 Encoded Certificate Request. Когда сертификат опубликован, вернитесь к IIS Manager, щёлкните правой кнопкой Web-сайт на вкладке Directory Security, нажмите Server Certificate. Выберите Process the pending request (Обработать ждущий запрос).
12
13

Следующий шаг – установка серверного сертификата на компьютер сервера ISA, чтобы включить безопасное соединение между компьютером пользователя и компьютером ISA-сервера. Если используется личный CA (Центр сертификации), то корневой CA-сертификат из личного CA надо будет установить на любой клиентский компьютер, которому нужно создать безопасное соединение (HTTPS-соединение) с компьютером ISA-сервера.

Этот сертификат может быть таким же, как тот, что установлен на Exchange CAS/Front-End, если внутреннее имя совпадает с публичным именем. В этом случае мы выполним следующую процедуру, чтобы экспортировать этот серверный сертификат.

  1. На CAS / Front-End, в IIS Manager, раскройте локальный компьютер, а затем откройте папку Web-сайтов. Щёлкните правой кнопкой Web-сайт служб Exchange и нажмите Properties.
  2. На закладке Directory Security нажмите Server Certificate, чтобы запустить Web Server Certificate Wizard. Нажмите Next на странице приветствия.
  3. Выберите Export the current certificate to a .pfx file на странице Modify the Current Certificate Assignment.
14
  1. Напечатайте путь и имя файла на странице Export Certificate и нажмите Next. Введите пароль для файла .pfx, желательно, сложный. Этот пароль потребуется, когда пользователь будет импортировать этот .pfx-файл.
  2. Скопируйте .pfx-файл, созданный в предыдущем разделе, на компьютер сервера ISA.
  3. На ISA-сервере нажмите Start, а дальше щёлкните Run. В Open напишите MMC и нажмите OK. Нажмите File, затем Add/Remove Snap-in и нажмите Add, чтобы открыть диалоговое окно Add Standalone Snap-in. Выберите Certificates, нажмите Add, выберите Computer account, а затем нажмите Next. Выберите Local Computer, а затем нажмите Finish. Нажмите Close и нажмите OK.
  4. Раскройте узел Certificates и правой кнопкой щёлкните Personal folder. Выберите All Tasks, а затем нажмите Import. Это запустит мастер импорта сертификата (Certificate Import Wizard).
  5. На странице File to Import найдите файл, который вы создали раньше, и скопируйте на компьютер ISA-сервера. Затем нажмите Next.
  6. На странице Password напишите пароль для этого файла и нажмите Next.
  7. На странице Certificate Store (Хранилище сертификатов) проверьте, что выбрано Place all certificates in the following store (Помещать все сертификаты в данное хранилище), и что для Certificate Store выбрано Personal (установлено по умолчанию), а затем нажмите Next.
  8. На странице завершения работы мастера нажмите Finish.
  9. Если вы используете личный CA, то вам также нужно импортировать этот CA-сертификат. Опять же, если это Microsoft CA, зайдите на http://CAServerName/CertSrv и выберите Download a CA certificate, certificate chain or CRL. Повторите шаги с 6-го по 11-й, но когда встанет вопрос, куда помещать этот сертификат (шаг 10), выберите Trusted Root Certification Authorities (Доверенные корневые центры сертификации).
15
  1. Проверьте, что этот серверный сертификат установлен должным образом. Дважды щелкните новый серверный сертификат. На вкладке General должна быть запись, говорящая о том, что у вас есть личный ключ, который соответствует этому сертификату. На вкладке Certification Path вам следует посмотреть иерархические отношения между вашим сертификатом и центром сертификации. Должна быть запись: This certificate is OK.
16

Резюме

В первой части этой статьи мы исследовали топологию решения и определили главные цели. Мы также увидели, как задать ISA-серверу общую начальную конфигурацию, и как создавать, импортировать и экспортировать сертификаты.

В следующей части мы рассмотрим необходимые настройки конфигурации для сервера Exchange CAS/Front-End, а также то, как сконфигурировать механизм аутентификации для ISA Server, когда он не является частью домена Active Directory.

05.06.2009 Posted by | ms isa 2006 | Комментарии к записи Публикация Exchange 2007 OWA с помощью ISA Server 2006 (часть 2). отключены