isa 2006 下釋出 owa

在 Exchange 伺服器提供的郵件通路服務功能中，最常用的是以下三個： 

• 基于Web協定的OWA，讓用戶端可以通過Web浏覽器通路郵件服務； 

• 基于RPC協定的MAPI，讓用戶端可以通過Outlook通路郵件服務，具有最完整的使用者服務特性； 

• SMTP協定，用于郵件伺服器之間的郵件轉發，和非MAPI用戶端的郵件發送； 

在這篇文章中，我将給大家介紹如何在 ISA Server 2006 中釋出這三個服務之一OWA。 

本文中的試驗環境如下所示，ISA Server 2006 作為邊緣防火牆，連接配接Internet和内部網絡，并未加入域；内部網絡的IP位址範圍為192.168.1.13/24，部署了域 mail.benet.com 是域控制器，并安裝了DNS/證書權威/Exchange服務，在這個試驗中，我将釋出 why 上的郵件服務。

在 ISA Server 2006 中釋出OWA服務和 ISA Server 2004 基本一緻，其實釋出OWA服務和釋出安全Web服務非常相似，通常的流程為： 

• 在 Exchange 伺服器上安裝伺服器證書并配置OWA站點使用SSL連接配接。注意：如果在 ISA Server 和Exchange伺服器之間需要安全連接配接，則不能在Exchange伺服器上啟用基于表單的身份驗證； 

• 在 Exchange 伺服器上導出OWA站點的伺服器證書（含私鑰）； 

• 在 ISA Server 上将OWA站點伺服器證書的證書頒發機構的CA憑證導入到本地計算機的受信任的根證書存儲中， 再導入OWA站點的伺服器證書； 

• 在 ISA Server 上确認通路OWA服務沒有任何錯誤或警告提示； 

• 在 ISA Server 上建立OWA服務釋出規則； 　 

具體步驟如下

<b>一</b><b>  </b><b>證書申請</b>

釋出Exchange OWA可以使用HTTP，也可以使用HTTPS，從安全角度考慮，我們推薦使用HTTPS對資料進行加密保護。既然想用HTTPS，那肯定要在why上的IIS上申請證書，在why的IIS管理器中打開預設站點屬性，切換到目錄安全性标簽，如下圖所示，點選“伺服器證書”。

出現Web伺服器證書申請向導，下一步（建議先把之前的證書删除）。

建立證書

由于why上的證書伺服器是企業根，支援線上頒發證書，是以我們選擇“立即把證書請求發送到聯機證書頒發機構”。

<a target="_blank" href="http://blog.51cto.com/attachment/201211/183054196.jpg"></a>

證書的名稱和位長都可以使用預設值。

證書的公用名稱是關鍵，這個名稱需要和Exchange伺服器釋出到公網上的完全合格域名一模一樣，而且ISA在釋出規則中也需要使用這個名稱來表示Exchange伺服器。

<a target="_blank" href="http://blog.51cto.com/attachment/201211/183344529.jpg"></a>

下步填寫證書的地理資訊，這些不是關鍵參數，随便填填就可以了接着下一步

把證書申請直接發送到Active Directory中的CA伺服器。 

開始送出證書申請

完成證書

在IIS預設站點屬性中切換到目錄安全性标簽，點選“檢視證書”，如下圖所示，證書是由CA伺服器頒發給denver.benet.com伺服器的。

<b>二</b><b> </b><b>導出證書</b>

IIS申請證書之後，由于ISA準備采用橋接的方法釋出Exchange站點，是以ISA伺服器需要用證書向外網使用者證明自己就是他們要通路的mail.benet.com，ISA需要的證書從何而來呢？答案是從why上導出。下面我們就來看看如何進行證書導出，在why的IIS管理器中打開預設站點屬性，切換到目錄安全性标簽，點選“檢視證書”，切換到證書的“詳細資訊”标簽，如下圖所示，點選“複制到檔案”。

出現證書導出向導，下一步

注意，必須導出私鑰，否則

輸入保護私鑰的密碼，導入證書時必須回答出此密碼才能導入私鑰

完成證書導出 

接下來我們把證書檔案複制到ISA伺服器上，為下一步的證書導入做好準備。

<b>三</b><b> </b><b>導入證書</b>

ISA伺服器需要導入此前why導出的證書，這樣才能用于Web偵聽器上加密外網使用者發來的資料。在ISA伺服器上用MMC自定義一個證書管理工具，負責管理計算機存儲的證書如下圖所示，在證書管理工具中選擇“導入”（或者直接輕按兩下安裝）。

将證書存儲在個人區域。

然後再下載下傳安裝證書鍊 

導入守信認得頒發機構 

<b>四</b><b> </b><b>建立</b><b>OWA</b><b>釋出規則</b>

證書的申請，導出，導入等工作已經完成，接下來就可以在ISA伺服器上進行Exchange的OWA釋出了，如下圖所示，我們在ISA伺服器上選擇建立“Exchange Web用戶端通路釋出規則”。

<a target="_blank" href="http://blog.51cto.com/attachment/201211/184147291.jpg"></a>

輸入釋出規則的名稱

選擇Exchange版本為Exchange 2007，用戶端的通路方式是Outlook Web Access。

<a target="_blank" href="http://blog.51cto.com/attachment/201211/184147416.jpg"></a>

網站釋出類型為釋出單個網站下步，選擇使用SSL連接配接到被釋出的Exchange伺服器，

<a href="http://blog.51cto.com/attachment/201211/185216103.jpg" target="_blank"></a>

Exchange伺服器對外的公用域名也是mail.benet.com

由于沒有Web偵聽器，我們選擇建立一個

輸入選下一步再選選偵聽器與外網通路者之間的資料傳遞也用SSL進行加密。

偵聽器監聽的區域是外網。

在偵聽器中選擇使用導入的mail.benet.com證書

用戶端驗證方式可以選擇HTML窗體驗證，窗體驗證對于使用公用計算機的外網使用者來說更加靈活安全

在本例中我們不需要使用單一登入設定

在Exchange OWA的釋出規則中選擇使用剛建立的Web偵聽器ISA使用基本身份驗證來進行驗證委派，雖然基本身份驗本身對資料沒有進行加密保護，但由于使用了SSL，基本身份驗證也是很安全的。如果使用內建驗證委派，那需要我們在Active Directory中配置相關的SPN

由于釋出的Exchange OWA需要對使用者進行身份驗證，是以釋出規則針對的使用者應該是所有通過身份驗證的使用者

五 測試

完成了OWA的釋出之後，我們在外網的機器上測試一下，在外網的浏覽器中輸入[url]https://mailbenet.com/owa/administrator結果如下圖所示，出現表單登入界面，選擇我們使用的計算機是公用計算機上，輸入使用者名和密碼，點選登入。

<a href="http://blog.51cto.com/attachment/201211/185907784.jpg" target="_blank"></a>

内部站點名稱為mail.benet.com，注意，這個名稱應該和證書的公用名稱保持一緻。

測試成功！！！！！！！！！！！！！！！

ISA伺服器無法解密資料。

本文轉自legendfu51CTO部落格，原文連結： http://blog.51cto.com/legendfu/1073351，如需轉載請自行聯系原作者