Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

Публикация OWA на TMG (альтернативное решение).

Когда на прошлой неделе озадачился публикацией OWA на TMG , случайно в инете наткнулся на данную статью, к сожалению кто ее автор установить не удалось, сам я по этой статье ничего не пробовал за ненадобностью, просто решил запостить ее у себя в блоге, как альтернативу решению, которое приводил Я.

Изменение FBA на простую проверку подлинности на сервере Exchange Server

Сначала нам нужно изменить аутентификацию на основе форм (FBA) на сайте Exchange Server, так как TMG также использует FBA и параметры, включенные на TMG и Exchange, могут вызвать конфликт. Чтобы изменить параметры OWA с FBA на простую проверку подлинности (Basic Authentication), используемую сервером TMG, запустите консоль Exchange Management Console, перейдите к конфигурации сервера (Server Configuration) ‘ клиентскому доступу (Client Access), а затем нажмите свойства в параметрах OWA и измените FBA на Basic and Windows Authentication, как показано на следующем рисунке.

Рисунок 1: Изменение проверки подлинности с FBA на простую проверку подлинности

После того, как мы включили простую проверку подлинности на сайте Exchange, нам нужно запросить новый сертификат для TMG веб-прослушивателя для публичного DNS имени, которое будет использоваться для доступа к Outlook Web Access из интернета.

Важно:общее имя сертификата (CN) должно совпадать с публичным именем DNS, используемым для доступа к OWA. Например: если ваше публичное DNS имя OWA.IT-Training-Grote.de, имя сертификата CN должно быть таким же.

С помощью оснастки сертификатов Windows Server 2008 MMC Certificate Snap In можно добавлять дополнительную информацию в процесс запроса сертификата. Эти дополнительные параметры понадобятся вам для создания запроса сертификата с пользовательским CN, как показано на следующем рисунке.

Рисунок 2: Запрос нового сертификатаНажмите по ссылке в мастере запроса сертификата и выберите тип общего имени, а затем введите нужное CN, в нашем случае это будет owa.it-training-grote.de. Затем нажмите Добавить (Add).

Рисунок 3: Указание CN для публичного сертификата

После того как сертификат был успешно создан, вы увидите результаты в оснастке сертификатов.

Рисунок 4: Успешная регистрация сертификата

Запустите консоль управления TMG, перейдите к узлу Политика брандмауэра и создайте новое правило публикации Exchange Web Client Access Publishing.

Рисунок 5: Создание нового правила публикации доступа веб клиента

Запустится новый мастер, который проведет вас через процесс веб публикации OWA. Введите имя для нового правила публикации.

Рисунок 6: Имя правила публикации Exchange

Укажите правильную версию Exchange и почтовой службы веб клиента, которые вы хотите опубликовать.

Рисунок 7: Публикация OWA и Exchange Server 2007

Мы хотим опубликовать один веб сайт, поэтому выбираем соответствующую опцию.

Рисунок 8: Публикация одного веб сайта

Выбираем SSL, чтобы TMG создавал защищенное подключение к серверу Client Access Server (CAS).

Рисунок 9: Использование SSL для подключения к публичному серверу

Вводим имя внутреннего сайта сервера Client Access Server. Это будет внутреннее FQDN сервера CAS. Имя внутреннего сайта должно совпадать с общим именем (CN) сертификата, используемого сервером Client Access Server.

В следующем шаге мастера вводим публичное имя, которые клиенты должны использовать в своих обозревателях для доступа к публичному серверу Outlook Web Access Server через интернет.

Рисунок 11: Указание публичного имени для доступа OWA

Создаем новый OWA веб-прослушиватель (Web listener). Веб-прослушиватель должен использовать SSL по причинам безопасности.

Рисунок 12: Требовать SSL для подключений с клиентами

Теперь нужно выбрать Сеть, на которой Microsoft TMG будет слушать входящий сетевой трафик для Outlook Web Access. Выбираем Внешнюю сеть (External network), и если у вас есть только один IP адрес, назначенный для внешнего сетевого интерфейса на TMG, вы можете не менять параметры, в противном случае вам нужно выбрать IP адрес на прослушивателе, который будет использоваться для публикации Outlook Web Access.

Рисунок 13: Выбор веб-прослушивателя для внешних запросов

Далее выбираем сертификат, который будет привязан к веб-прослушивателю для доступа к OWA через интернет. Нужно выбрать сертификат, который мы создали в MMC.

Рисунок 14: Выбор сертификата для публичного OWA доступа

Выбираем опцию Forms Based Authentication (FBA) с проверкой подлинности Windows.

Рисунок 15: Выбор способа аутентификации

Поскольку мы не используем SSO (Single Sign On), нужно убрать флажок с этой опции.

Рисунок 16: Отключение SSO

Нажмите Завершить и Далее.

Способ делегирования проверки подлинности (Authentication Delegation) выбирает простую проверку подлинности. Поскольку простая проверка подлинности используется с SSL, это не представляет риска для безопасности.

Рисунок 17: Делегирование проверки подлинности

Когда это сделано, выберите пользователей и группы пользователей, которым будет разрешен доступ к Outlook Web Access через интернет.

Рисунок 18: Выберите пользователей, которые будут использовать OWA через TMG

Нажмите Завершить и Применить.

После того, как работа мастера успешно завершена, вы можете проверить свою конфигурацию.

В принципе на этом все.

Есть еще менее проблематичный способ решения данной проблемы-просто «пробросить» 443 порт, но об этом уже в следующих постах.

Всем удачи!

07.06.2010 Posted by | ms tmg 2010 (isa 2010) | Комментарии к записи Публикация OWA на TMG (альтернативное решение). отключены