Для повышения безопасности всех доступных методов клиентского доступа к Microsoft Exchange Server 2007 рекомендуется использовать сервер Internet Security and Acceleration (ISA) Server 2006. При настройке клиентского доступа Exchange ActiveSync с помощью сервера ISA Server 2006 соединения между клиентами Exchange ActiveSync и компьютером Exchange проходят через компьютер с ISA Server, что обеспечивает дополнительный уровень шифрования SSL.

Exchange ActiveSync позволяет информационным работникам получать доступ к данным системы обмена сообщениями Microsoft Exchange с мобильного устройства. Дополнительные сведения о Exchange ActiveSync см. в следующих разделах:

Преимущества использования сервера ISA Server 2006 с Exchange ActiveSync

В следующей таблице описано несколько преимуществ использования ISA Server 2006 для защиты клиентского доступа на основе мобильного Outlook к развернутому серверу Exchange.

Возможности сервера ISA Server 2006 для Exchange ActiveSync

Возможность	Описание
Скрытие расположения серверов Exchange	При публикации приложения с помощью ISA Server сервер защищается от прямого внешнего доступа, так как пользователи не могут узнать имя и IP-адрес сервера. Пользователи получают доступ к компьютеру с ISA Server. Этот компьютер переадресует запрос серверу в соответствии с условиями правила публикации сервера.
Мост SSL и проверка	Мост SSL защищает от атак, которые скрыты в подключениях с шифрованием SSL. Если веб-приложение поддерживает SSL, после того как ISA Server получает запрос клиента, он расшифровывает и проверяет его, а затем завершает SSL-подключение к клиентскому компьютеру. Правило веб-публикации определяет, как ISA Server передает запрос объекта опубликованному веб-серверу. Если настроено правило безопасной веб-публикации для переадресации запроса с использованием HTTPS, ISA Server инициирует новое SSL-подключение к опубликованному серверу. Так как компьютер с ISA Server теперь является SSL-клиентом, он требует от опубликованного веб-сервера предоставления сертификата сервера.

Возможность

Описание

Скрытие расположения серверов Exchange

При публикации приложения с помощью ISA Server сервер защищается от прямого внешнего доступа, так как пользователи не могут узнать имя и IP-адрес сервера. Пользователи получают доступ к компьютеру с ISA Server. Этот компьютер переадресует запрос серверу в соответствии с условиями правила публикации сервера.

Мост SSL и проверка

Мост SSL защищает от атак, которые скрыты в подключениях с шифрованием SSL. Если веб-приложение поддерживает SSL, после того как ISA Server получает запрос клиента, он расшифровывает и проверяет его, а затем завершает SSL-подключение к клиентскому компьютеру. Правило веб-публикации определяет, как ISA Server передает запрос объекта опубликованному веб-серверу. Если настроено правило безопасной веб-публикации для переадресации запроса с использованием HTTPS, ISA Server инициирует новое SSL-подключение к опубликованному серверу. Так как компьютер с ISA Server теперь является SSL-клиентом, он требует от опубликованного веб-сервера предоставления сертификата сервера.

Требования для развертывания сервера ISA Server 2006 для Exchange ActiveSync

При развертывании сервера ISA Server 2006 для защиты подключения клиентов Exchange ActiveSync в Интернете к компьютерам Exchange 2007 с установленной ролью сервера клиентского доступа рекомендуется убедиться в том, что выполнены указанные ниже условия.

На сервере клиентского доступа Exchange не настроена проверка подлинности на основе форм. При использовании сервера ISA Server 2006 для публикации клиентского доступа Exchange рекомендуется настраивать проверку подлинности на основе форм только на компьютере с ISA Server.
На сервере клиентского доступа Exchange установлен сертификат сервера. Данный сертификат может быть выдан внутренним или внешним центром сертификации.
Протокол SSL требуется для всех виртуальных каталогов клиентского доступа Exchange.

После проверки этих параметров можно настроить сервер ISA Server 2006 для предоставления доступа на основе Exchange ActiveSync для клиентов.

Развертывание сервера ISA Server 2006 для Exchange ActiveSync

Чтобы установить шифрованный канал между клиентским компьютером и компьютером с ISA Server, необходимо сначала установить сертификат сервера на компьютер с ISA Server. Этот сертификат должен быть выдан общим центром сертификации, так как к нему будут получать доступ пользователи из Интернета. Если используется частный центр сертификации, необходимо установить корневой сертификат на любой компьютер, который должен устанавливать безопасное подключение по протоколу HTTPS с компьютером ISA Server.

Дополнительные сведения об установке сертификата сервера на ISA Server см. в статье Публикация Exchange Server 2007 с помощью ISA Server 2006 (на английском языке).

После установки сертификата сервера на компьютер с ISA Server можно запустить мастер правил публикации Exchange. Запуск мастера правил публикации Exchange для предоставления доступа по протоколу Exchange ActiveSync включает в себя выполнение перечисленных ниже действий.

Создание фермы серверов (необязательно). При наличии нескольких северов клиентского доступа в организации можно использовать ISA Server для обеспечения балансировки нагрузки для этих серверов. Свойства фермы серверов определяют следующее:
- конкретные серверы, которые входят в ферму;
- метод проверки подключения, который ISA Server будет использовать для проверки правильности работы серверов.
Создание веб-прослушивателя. При создании правила веб-публикации необходимо задать веб-прослушиватель. Свойства веб-прослушивателя определяют следующее:
- IP-адреса и порты в указанных сетях, которые компьютер с ISA Server использует для прослушивания веб-запросов (HTTP или HTTPS);
- сертификаты сервера, которые используются с IP-адресами;
- используемый способ проверки подлинности;
- разрешенное число одновременных подключений;
- параметры единого входа.
Создание правила публикации доступа веб-клиента Exchange. При публикации внутреннего сервера клиентского доступа Exchange 2007 с помощью ISA Server 2006 веб-сервер защищается от прямого внешнего доступа, так как пользователи не могут узнать имя и IP-адрес сервера. Пользователи получают доступ к компьютеру с ISA Server. Этот компьютер переадресует запрос внутреннему веб-серверу в соответствии с условиями правила публикации веб-сервера. Правило публикации доступа веб-клиента Exchange — это правило веб-публикации, которое содержит параметры по умолчанию, подходящие для клиентского доступа к Exchange,

Дополнительные сведения об использовании мастера правил публикации Exchange см. в статье Microsoft ISA Server 2006 (на английском языке).

Важно!
Перед публикацией сервера Exchange Server 2007 на сервер ISA Server 2006 необходимо установить обновление программного обеспечения. Дополнительные сведения об этом обновлении см. в статье Обновления для публикации сервера Microsoft Exchange Server 2007 для сервера Internet Security and Acceleration (ISA) Server 2006 (на английском языке).

Важно!

Перед публикацией сервера Exchange Server 2007 на сервер ISA Server 2006 необходимо установить обновление программного обеспечения. Дополнительные сведения об этом обновлении см. в статье Обновления для публикации сервера Microsoft Exchange Server 2007 для сервера Internet Security and Acceleration (ISA) Server 2006 (на английском языке).

Дополнительные сведения

Дополнительные сведения о настройке сервера ISA Server 2006 для клиентского доступа см. в разделе Настройка ISA Server 2006 для клиентского доступа Exchange.