釋出Exchange OWA方法及故障分析：ISA2006系列之十七

 <b>Exchange </b><b>OWA</b><b>釋出方法及故障分析</b>

Exchange伺服器是微軟公司重量級的郵件伺服器，也是目前企業内網中郵件解決方案的代表作，鑒于Exchange伺服器在微軟産品中的重要性，我們準備組織幾篇文章，以專題的形式系統地介紹如何用ISA釋出Exchange伺服器。今天我們從介紹釋出 Exchange　OWA開始，OWA是Outlook Web Access的縮寫，OWA允許使用者通過浏覽器通路Exchange郵箱，是使用最廣泛的Exchange通路方法之一，下面我們就通過執行個體來來說明Exchange OWA具體應該如何釋出，實驗完成後後再分析一下常見的Exchange OWA釋出故障。

實驗拓撲如下圖所示，Denver是Contoso.com域中的域控制器，DNS伺服器，Exchange伺服器和CA伺服器。Beijing是ISA2006伺服器，Istanbul是外網的測試客戶機。

實驗前已做好下列準備：

一  Denver已經建立CA伺服器，類型是企業根，已被所有的計算機承認。

二  Istanbul已經利用Hosts檔案把denver.contoso.com解析為ISA的外網位址192.168.1.254

我們推薦的釋出方法是利用SSL保護OWA資料，ISA使用橋接方法檢查外網發來的加密資料，在ISA上啟用表單驗證，這樣對Exchange的安全非常有利，具體步驟如下：

<b>一</b><b>  </b><b>證書申請</b>

釋出Exchange OWA可以使用HTTP，也可以使用HTTPS，從安全角度考慮，我們推薦使用HTTPS對資料進行加密保護。既然想用HTTPS，那肯定要在Denver的IIS上申請證書，在Denver的IIS管理器中打開預設站點屬性，切換到目錄安全性标簽，如下圖所示，點選“伺服器證書”。

出現Web伺服器證書申請向導，下一步。

選擇“建立證書”。

由于Denver上的證書伺服器是企業根，支援線上頒發證書，是以我們選擇“立即把證書請求發送到聯機證書頒發機構”。

證書的名稱和位長都可以使用預設值。

機關和部門屬于描述資訊，随便填填就可以了。

證書的公用名稱是關鍵，這個名稱需要和Exchange伺服器釋出到公網上的完全合格域名一模一樣，而且ISA在釋出規則中也需要使用這個名稱來表示Exchange伺服器。

填寫證書的地理資訊，這些不是關鍵參數，随便填填就可以了。

使用SSL的預設端口443。

把證書申請直接發送到Active Directory中的CA伺服器。

開始送出證書申請。

證書申請成功，CA伺服器已經滿足了IIS的證書申請要求。

在IIS預設站點屬性中切換到目錄安全性标簽，點選“檢視證書”，如下圖所示，證書是由CA伺服器頒發給denver.contoso.com伺服器的。

<b>二</b><b> </b><b>導出證書</b>

IIS申請證書之後，由于ISA準備采用橋接的方法釋出Exchange站點，是以ISA伺服器需要用證書向外網使用者證明自己就是他們要通路的denver.contoso.com，ISA需要的證書從何而來呢？答案是從Denver上導出。下面我們就來看看如何進行證書導出，在denver的IIS管理器中打開預設站點屬性，切換到目錄安全性标簽，點選“檢視證書”，切換到證書的“詳細資訊”标簽，如下圖所示，點選“複制到檔案”。

出現證書導出向導，下一步。

注意，必須導出私鑰，否則ISA伺服器無法解密資料。

導出為PFX格式的證書檔案。

輸入保護私鑰的密碼，導入證書時必須回答出此密碼才能導入私鑰。

設定導出檔案的路徑和檔案名。

如下圖所示，證書導出成功，接下來我們把證書檔案複制到ISA伺服器上，為下一步的證書導入做好準備。

<b>三</b><b> </b><b>導入證書</b>

ISA伺服器需要導入此前Denver導出的證書，這樣才能用于Web偵聽器上加密外網使用者發來的資料。在ISA伺服器上用MMC自定義一個證書管理工具，負責管理計算機存儲的證書（具體的定義方法請參見之前博文），如下圖所示，在證書管理工具中選擇“導入”。

出現證書導入向導，下一步。

導入的owa.pfx檔案就是Denver導出的證書檔案。

輸入私鑰保護密碼。

将證書存儲在個人區域。

如下圖所示，證書導入成功。

<b>四</b><b> </b><b>建立</b><b>OWA</b><b>釋出規則</b>

證書的申請，導出，導入等工作已經完成，接下來就可以在ISA伺服器上進行Exchange的OWA釋出了，如下圖所示，我們在ISA伺服器上選擇建立“Exchange Web用戶端通路釋出規則”。其實ISA隻有兩個釋出規則，Web伺服器和非Web伺服器，其餘的都是在上述兩種釋出規則的基礎上衍生出來的。

輸入釋出規則的名稱。

選擇Exchange版本為Exchange 2003，用戶端的通路方式是Outlook Web Access。

網站釋出類型為釋出單個網站。

選擇使用SSL連接配接到被釋出的Exchange伺服器。

内部站點名稱為denver.contoso.com，注意，這個名稱應該和證書的公用名稱保持一緻。

Exchange伺服器對外的公用域名也是denver.contoso.com。

由于沒有Web偵聽器，我們選擇建立一個。

出現建立Web偵聽器向導，我們為偵聽器取名為listen 443。

偵聽器與外網通路者之間的資料傳遞也用SSL進行加密。

偵聽器監聽的區域是外網。

在偵聽器中選擇使用導入的denver.contoso.com證書。

用戶端驗證方式可以選擇HTML窗體驗證，窗體驗證對于使用公用計算機的外網使用者來說更加靈活安全。

在本例中我們不需要使用單一登入設定。

好了，Web偵聽器建立完畢。

在Exchange OWA的釋出規則中選擇使用剛建立的Web偵聽器。

<b>ISA</b><b>使用基本身份驗證來進行驗證委派，雖然基本身份驗本身對資料沒有進行加密保護，但由于使用了SSL</b><b>，基本身份驗證也是很安全的。如果使用內建驗證委派，那需要我們在Active Directory</b><b>中配置相關的SPN</b><b>。</b>

由于釋出的Exchange OWA需要對使用者進行身份驗證，是以釋出規則針對的使用者應該是所有通過身份驗證的使用者。

好了，終于完成了釋出規則！

五 測試

完成了OWA的釋出之後，我們在外網的Istanbul上測試一下，在Istanbul的浏覽器中輸入[url]https://denver.contoso.com/exchange/administrator[/url]，結果如下圖所示，出現表單登入界面，選擇我們使用的計算機是公用計算機上，輸入使用者名和密碼，點選登入。

登入後的結果如下圖所示，我們進入了Exchange郵箱，OWA釋出成功！

上述是我們推薦的Exchange OWA釋出方法，建議大家參考使用，在此将釋出OWA時的一些常見問題共總結如下：

1 建議釋出OWA時使用HTTPS保護資料安全，注意，如果證書是從自己建立的CA伺服器申請的，那公網的通路者必須信任證書頒發機構，否則通路會失敗。

2 如果釋出OWA時使用HTTP協定，那要注意ISA2006預設不允許在HTTP協定中進行身份驗證，客戶機通路Exchange時會被ISA拒絕，前不久為一位博友解決的Exchange OWA釋出故障就是因為這個原因。解決方法是在Web偵聽器屬性－身份驗證－進階中勾選“允許通過HTTP進行用戶端身份驗證”。

3 如果在ISA中不是通過建立Exchange Web通路規則來釋出OWA，而是通過建立網站釋出規則來釋出OWA，那有可能會出現無法顯示郵箱的故障。原因是釋出規則的HTTP過濾中阻止了高位字元，漢字也在被阻止的範圍之内，是以無法顯示中文郵箱。解決方法是在釋出規則中配置HTTP過濾，取消阻止高位字元即可。

本文轉自yuelei51CTO部落格，原文連結： http://blog.51cto.com/yuelei/90105，如需轉載請自行聯系原作者