Обратный прокси-сервер можно использовать для управления входящими запросами, поступающими на компьютер с Microsoft Exchange Server 2007 с установленной ролью сервера клиентского доступа или на серверы с Outlook Web Access. Ниже перечислены преимущества обратного прокси-сервера перед непосредственным подключением к серверу клиентского доступа.
- Безопасность. Обратный прокси-сервер обеспечивает
дополнительный уровень защиты между сетью и внешними компьютерами.
В качестве меры безопасности рекомендуется использовать обратный
прокси-сервер, чтобы сервер клиентского доступа не был напрямую
доступен из Интернета.
- Шифрование SSL и ускорение. Вместо настройки
сервера клиентского доступа для шифрования SSL можно назначить эту
функцию обратному прокси-серверу. Кроме шифрования данных,
пересылаемых между веб-обозревателем и сервером клиентского
доступа, обратный прокси-сервер может проверять пакеты данных и
применять к ним фильтры до того, как они достигнут сервера
клиентского доступа. Если шифрование SSL выполняет прокси-сервер,
данные, пересылаемые между обратным прокси-сервером и сервером
клиентского доступа, будут шифроваться только в том случае, если
используется мост SSL.
- Мост SSL. Если необходимо шифровать данные,
пересылаемые между обратным прокси-сервером и сервером клиентского
доступа, можно завершить сеанс SSL между веб-обозревателем и
обратным прокси-сервером, а затем создать между ними новый сеанс
SSL. Это защищает сервер клиентского доступа от непосредственного
доступа из Интернета, позволяет обратному прокси-серверу
фильтровать пакеты данных до того, как они достигают сервера
клиентского доступа, и обеспечивает шифрование данных на всех
этапах их передачи между веб-обозревателем и сервером клиентского
доступа. Сертификат надежного центра сертификации требуется только
обратному прокси-серверу. Сервер клиентского доступа может
использовать или самозаверяющий сертификат, или сертификат,
выданный центром сертификации предприятия. Если обратный
прокси-сервер подключен к нескольким внутренним серверам, это
позволяет сократить затраты на сертификаты.
- Разгрузка SSL Можно также закрыть
SSL-подключение на обратном прокси-сервере и продолжать работать с
сервером клиентского доступа через незашифрованное подключение. Это
называется разгрузкой SSL. При использовании разгрузки SSL
внутренний URL-адрес для Outlook Web Access необходимо
настроить на использование HTTP, а внешний URL-адрес — на
использование HTTPS. Внутренний и внешний URL-адреса можно
настроить с помощью консоли управления Exchange или командлета
командной консоли Exchange Set-OwaVirtualDirectory с
параметрами InternalURL и ExternalURL.
- Балансирование нагрузки. Обратный прокси-сервер
может распределять трафик, направленный на один URL-адрес, между
несколькими серверами.
В качестве обратного прокси-сервера можно использовать Microsoft Internet Security and Acceleration (ISA) Server.
Дополнительные сведения об использовании сервера ISA Server в качестве обратного прокси-сервера см. на веб-узле Microsoft Internet Security and Acceleration Server (на английском языке).
Предварительная подготовка
Для выполнения описанных ниже действий на компьютере с сервером ISA Server 2006 используемой учетной записи необходимо делегировать роль администратора предприятия ISA Server. Для настройки Outlook Web Access на сервере клиентского доступа Exchange используемой учетной записи необходимо делегировать роль администратора Exchange Server и членство в локальной группе администраторов на целевом сервере.
Дополнительные сведения о разрешениях, делегировании ролей и правах, необходимых для администрирования Exchange Server 2007, см. в разделе Вопросы, связанные с разрешениями.
Процедура
Настройка обратного прокси-сервера для Outlook Web Access с помощью сервера ISA Server 2006
-
В консоли сервера ISA Server 2006 воспользуйтесь мастером публикации доступа веб-клиента Exchange для публикации Outlook Web Access.
-
Настройте ISA Server для проверки подлинности пользователей при их подключении к виртуальным каталогам Outlook Web Access (необязательно).
Дополнительные сведения о настройке сервера ISA Server см. в статье Публикация Exchange Server 2007 с помощью ISA Server 2006 (на английском языке).
Если компьютер с сервером ISA Server настроен для проверки подлинности пользователей, рекомендуется настроить виртуальные каталоги Outlook Web Access так, чтобы для них использовалась или встроенная проверка подлинности Windows, или обычная проверка подлинности (это зависит от требований организации). При использовании обычной проверки подлинности или встроенной проверки подлинности Windows пользователям предлагается ввести учетные данные для входа в систему только один раз.
Примечание. |
---|
Встроенная проверка подлинности Windows блокирует доступ к документам, хранящимся в общих папках Windows или библиотеках документов Windows SharePoint Services, из Outlook Web Access. Если требуется получать доступ к этим документам из Outlook Web Access, необходимо использовать обычную проверку подлинности. |
Дополнительные сведения
- Дополнительные сведения об использовании сервера ISA Server
2006 с Exchange 2007 см. в следующих разделах:
- Дополнительные сведения о способах проверки подлинности
Outlook Web Access см. в следующих разделах:
- Дополнительные сведения об использовании командлета
Set-OwaVirtualDirectory и консоли управления Exchange для
управления виртуальными каталогами Outlook Web Access см.
в следующих разделах: