Информация с сайта: www.msexchange.ru
Работа Outlook Anywhere 2007 с сервером ISA
Начиная с Exchange Server 2003 и Outlook 2003, пользователи могли использовать полнофункциональную версию Outlook при работе через Интернет. Outlook 2003 – это полноценный MAPI-клиент, который для связи с Exchange-сервером использует RPC. Понятно, что такой подход не является дружественным для брандмауэров, поэтому компания Microsoft разработала технологию, называемую RPC поверх HTTPS. При использовании RPC поверх HTTPS, пакеты RPC туннелируются через HTTPS, так что на брандмауэре необходимо открыть порт HTTPS.
В сервере Exchange 2007 имя RPC поверх HTTPS было заменена на Outlook Anywhere, но технология осталась прежней.
На стороне Exchange-сервера
Первым делом необходимо установить на Exchange-сервере компонент прокси RPC поверх HTTPS.
Откройте консоль управления Exchange-сервера и включите функцию Outlook Anywhere в разделе Client Access (Доступ клиента) в контейнере Server Configuration (Настройки сервера).
Выберите методы внешней аутентификации. В моем примере я выбрал Basic Authentication (Базовая аутентификация).
Обратите внимание: Если вы в качестве брандмауэра используете сервер ISA 2006, есть возможность выбрать аутентификацию NTLM, так что при работе с Outlook 2007 запрос пароля пропадет (также возможно и с Outlook 2003 и сервером Exchange 2003).
На стороне IIS
Установка компонентов прокси RPC поверх HTTPS создает в IIS новый виртуальный каталог с именем RPC. Вам необходимо включить SSL для данного каталога и активировать параметры Integrated Windows Authentication (Встроенная аутентификация Windows) или Basic Authentication (Базовая аутентификация). Выбор зависит от типа аутентификации, выбранной на сервере Exchange 2007.
Рисунок 4:
Разделенная DNS или файл HOSTS?
Имя RPC.IT-TRAININGR-GROTE.DE на web-приемнике RPC должно разрешаться в IP-адрес внутреннего Exchange-сервера, поэтому у вас есть два варианта действия:
- Использование разделенной системы DNS
- Использование файла HOSTS
Если вы используете разделенную DNS, вам необходимо создать новую зону прямого просмотра с именем IT-TRAINING-GROTE.DE. Затем, вам нужно создать в этой новой зоне запись типа A с именем RPC и IP-адресом внутреннего Exchange-сервера.
Если вы используете файл HOSTS, вам необходимо добавить в него следующую запись:
IP-адрес Exchange-сервера RPC.IT-TRAINING-GROTE.DE
Далее, поскольку мы будем использовать HTTPS-сопряжение, необходимо запросить сертификат для приемника RPC на ISA-сервере. ISA-сервер завершает SSL-соединение от клиента Outlook 2007, проверяет трафик и шифрует соединение для передачи его Exchange-серверу. Обычное имя (Common name – CN) запрошенного сертификата должно совпадать с именем сервера, который клиент Outlook 2007 использует в профиле Outlook. В нашем примере FQDN сервера – RPC.IT-TRAINING-GROTE.DE, поэтому CN сертификата должно быть RPC.IT-TRAINING-GROTE.DE. Вы можете запросить сертификат через web-консоль серверов-центров сертификации (http://Имя_сервера_центра_сертификации/certsrv). Вы должны запросить сертификат web-сервера (см. Рисунок).
Обратите внимание: В зависимости от правил ISA-сервера, вам необходимо создать правило, разрешающее доступ по протоколам HTTP или HTTPS от ISA-сервера к серверу – центру сертификации.
Теперь пора создать правило публикации доступа web-клиента Exchange-сервера.
Запустите консоль управление ISA-сервера. Нажмите New (Новый) – Exchange Webclient Access Publishing Rule (Правило публикации доступа web-клиента Exchange-сервера). Задайте имя правила, выберите версию Exchange-сервера и укажите, что хотите публиковать Outlook Anywhere.
Выберите Publish a Single Website or load balancer (Публиковать единственный web-сайт или балансировщик нагрузки).
В следующем окне мастера выберите Use SSL to connect to the published Web server or server farm (Использовать SSL-соединение для связи с опубликованным web-сервером или группой серверов).
Введите название внутреннего сайта. Вы можете указать NetBIOS-имя сервера или его имя DNS FQDN.
Далее вы должны ввести имя, которое пользователи RPC поверх HTTPS с Outlook 2007 должны использовать для доступа к Exchange-серверу с помощью Outlook 2007 из Интернета (см. Рисунок 8).
Новый Web-приемник
Теперь нам нужно создать web-приемник. ISA-сервер использует web-приемники для прослушивания входящих запросов, соответствующих настройкам приемника. Web-приемник – это комбинация IP-адреса, порта и, при использовании SSL, сертификата. Web-приемник должен обладать уникальным именем.
В следующем окне мастера выберите Require SSL secured connections with clients (Для связи с клиентами требуется SSL).
Вы должны указать IP-адрес web-приемника. Если запрос приходит из Интернета, вы должны выбрать External Network (Внешняя сеть). Если ISA-сервер обладает несколькими IP-адресами, привязанными к внешнему интерфейсу, вы должны выбрать тот адрес, который используется для Outlook Web Access.
Выберите сертификат, который вы запросили с внутреннего центра сертификации и нажмите Next (Далее).
Из выпадающего списка выберите HTTP Authentication (HTTP-аутентификация) и в качестве метода аутентификации выберите Basic (Базовая).
В диалоговом окне Authentication Delegation (Делегирование аутентификации) выберите Basic Authentication (Базовая аутентификация).
Последний шаг – необходимо указать группу пользователей, к которой будет применяться правило. Установка по умолчанию – “All Authenticated Users” (Все аутентифицированные пользователи).
Завершите работу мастера и нажмите Apply (Применить) для сохранения изменений.
После создания правила RPC необходимо изменить некоторые установки:
- Измените на вкладке “To” (К) “Requests appears to come from the original Client” (Запросы приходят от оригинального клиента)
- Включите на вкладке “Traffic” (Трафик) опцию “Require 128 Bit encryption for HTTPS Traffic” (Требуется 128-битное шифрование для трафика HTTPS)
Проверка соединения клиента
После успешной настройки сервера Exchange 2007 и правила публикации RPC вы можете проверить соединение клиента. В нашем случае клиентом будет компьютер под управлением Windows XP Service Pack 2 с установленным Office 2007 Beta 2.
Вы должны создать для пользователя новый профиль. После создания профиля вам необходимо настроить Outlook Anywhere, активировав Connect to my Exchange Mailbox using HTTP (Соединяться с моим почтовым ящиком Exchange с помощью HTTP) .
Именем будет rpc.it-training-grote.de, настройки аутентификации прокси – Basic Authentication (Базовая аутентификация).
После настройки почтового профиля вы сможете зарегистрироваться на Exchange-сервере.
Заключение
Outlook Anywhere в сервере Exchange 2007 – это превосходная функция, поддерживающая полную функциональность клиента Outlook 2007 в Интернете. Outlook Anywhere, опубликованный на сервере ISA 2006, – это идеальное решение для обеспечения защиты вашей сети.