Outlook Web Access для Exchange Server 2007 позволяет использовать все новые возможности сервера Internet Security and Acceleration (ISA) Server 2006. Exchange 2007 также обеспечивает интеграцию с предыдущими версиями ISA Server. При развертывании сервера Exchange 2007 в среде, где ISA Server 2006 используется для защиты корпоративной сети, доступны все возможности сервера клиентского доступа Exchange.

Преимущества использования ISA Server 2006 с Outlook Web Access

В приведенной ниже таблице перечислены возможности ISA Server 2006, позволяющие защитить среду передачи сообщений Microsoft Exchange, включающую Outlook Web Access.

Возможности ISA Server 2006 при совместном использовании с Outlook Web Access

Возможность Описание

Преобразование ссылок

ISA Server 2006 переадресует запросы Outlook Web Access внутренних URL-адресов, которые содержатся в теле любого объекта в Outlook Web Access, например сообщения электронной почты или записи календаря. Пользователям больше не требуется запоминать внешние пространства имен для внутренних корпоративных сведений, связанных с этими внешними пространствами имен. Например, если пользователь отправляет в тексте сообщения электронной почты ссылку на внутреннее пространство имен (например, http://contoso), и этот внутренний URL-адрес сопоставлен внешнему пространству имен (например, http://www.contoso.com), внутренний URL-адрес, который щелкает пользователь, автоматически преобразуется во внешний URL-адрес.

Балансировка нагрузки веб-публикаций

ISA Server 2006 позволяет выполнять балансировку нагрузки клиентских запросов и посылать их массиву серверов клиентского доступа. Когда ISA Server 2006 получает запрос на подключение к Outlook Web Access, он выбирает сервер клиентского доступа и отправляет имя сервера клиентского доступа обратно веб-обозревателю в виде файла «cookie».

Сжатие HTTP

Раньше при использовании проверки подлинности на основе форм на компьютере с сервером Exchange Server 2003 и ISA Server 2004 или ISA Server 2000 использовать сжатие Gzip было невозможно. Причиной этого было то, что ISA Server не мог правильно сжимать и распаковывать данные. ISA Server 2006 может распаковывать, проверять и повторно сжимать данные перед их отправкой на серверы Exchange.

Примечание.
Сжатие Gzip доступно в ISA Server 2004 с пакетом обновления 2 (SP2).

Скрытие расположения серверов Exchange

При публикации приложения с помощью ISA Server сервер защищается от прямого внешнего доступа, так как пользователи не могут узнать имя и IP-адрес сервера. Пользователи получают доступ к компьютеру с ISA Server. Затем компьютер с сервером ISA Server создает подключение к серверу клиентского доступа в соответствии с правилом публикации сервера.

Мост SSL и проверка

Мост SSL (Secure Sockets Layer) защищает от атак, скрытых в подключениях с шифрованием SSL. При работе с веб-приложениями, поддерживающими SSL, сервер ISA Server расшифровывает полученный от клиента запрос, проверяет его и начинает действовать в качестве конечной точки для SSL-подключения к клиентскому компьютеру. Правило веб-публикации определяет, как ISA Server передает запрос объекта опубликованному веб-серверу. При использовании моста SSL настраивается правило безопасной веб-публикации для переадресации запроса с использованием протокола HTTPS. Затем ISA Server инициирует новое SSL-подключение к опубликованному серверу. Так как компьютер с ISA Server теперь стал SSL-клиентом, он требует от опубликованного веб-сервера предоставления сертификата.

Дополнительное преимущество использования моста SSL заключается в том, что организация должна покупать сертификаты SSL у внешнего центра сертификации только для компьютеров с ISA Server. Серверы, использующие ISA Server в качестве обратного прокси-сервера, могут не требовать использования SSL или использовать внутренние сертификаты SSL.

Также можно закрыть SSL-подключение на компьютере с ISA Server и продолжать работать с сервером клиентского доступа через незашифрованное подключение. Это называется разгрузкой SSL. При этом внутренний URL-адрес для Outlook Web Access необходимо настроить на использование HTTP, а внешний URL-адрес — на использование HTTPS. Внутренний и внешний URL-адреса можно настроить с помощью консоли управления Exchange или командлета командной консоли Exchange Set-OwaVirtualDirectory с параметрами InternalURL и ExternalURL.

Дополнительные сведения об использовании командлета Set-OwaVirtualDirectory и консоли управления Exchange для управления виртуальными каталогами Outlook Web Access см. в разделах Set-OwaVirtualDirectory и Изменение свойств виртуального каталога веб-клиента Outlook.

Единый вход

Единый вход позволяет пользователям получать доступ к группе опубликованных веб-узлов без необходимости проходить проверку подлинности на каждом из них. При использовании сервера ISA Server 2006 в качестве обратного прокси-сервера для Outlook Web Access его можно настроить на получение учетных данных пользователя и передачу их на сервер клиентского доступа, что позволяет запрашивать учетные данные пользователя только один раз.

Дополнительные сведения об усовершенствованиях в ISA Server 2006 при его использовании с сервером Exchange 2007 см. в статье Новые и улучшенные возможности ISA Server 2006 (на английском языке).

Параметры развертывания

При развертывании сервера ISA Server 2006 совместно с сервером Exchange 2007 не требуется вносить изменения в конфигурацию инфраструктуры Microsoft Exchange. Однако ISA Server 2006 можно настроить по-разному, разрешив клиентский доступ Exchange с использованием Outlook Web Access, POP3 или IMAP, Exchange ActiveSync и мобильного Outlook. Параметры конфигурации зависят от способа проверки подлинности, который будет использоваться для доступа к серверу Exchange.

Предыдущие версии ISA Server, включая ISA Server 2004 и ISA Server 2000 при их развертывании совместно с сервером Exchange 2007 имеют разные параметры развертывания для проверки подлинности. Кроме того, при развертывании сервера Exchange 2007 с ISA Server 2006 и предыдущей версией ISA Server можно использовать указанные ниже параметры проверки подлинности:

  • Обычная проверка подлинности для Outlook Web Access   Если для Outlook Web Access планируется использовать обычную проверку подлинности, ISA Server 2006 и все предыдущие версии ISA Server должны использовать для публикации Outlook Web Access веб-публикацию.

  • Проверка подлинности на основе клиентского сертификата   Если планируется использовать способ проверки подлинности на основе клиентского сертификата, ISA Server будет автоматически выполнять проверку подлинности на компьютере с ISA Server. Чтобы использовать проверку подлинности на основе клиентского сертификата, для ранних версий ISA Server, включая ISA Server 2004 и ISA Server 2000, требуется публикация сервера. При использовании проверки подлинности на основе клиентского сертификата нельзя использовать ISA Server для проверки пакетов SSL перед их отправкой на сервер клиентского доступа.

Развертывание ISA Server 2006 для Outlook Web Access

При развертывании ISA Server 2006 для Outlook Web Access можно использовать мастер правил публикации Exchange для задач политики брандмауэра. Этот мастер показывает определенные параметры, которые необходимо настроить для предоставления доступа к серверу Microsoft Exchange.

Важно!
При наличии в организации Exchange нескольких версий сервера Microsoft Exchange необходимо создать правило публикации Exchange для каждой поддерживаемой версии Microsoft Exchange.

Для настройки ISA Server 2006 для Outlook Web Access необходимо выполнить следующие действия:

  1. создать новое правило публикации;

  2. настроить дополнительные параметры.

В следующих разделах описаны параметры, которые следует применить к новому правилу публикации, чтобы успешно развернуть ISA Server 2006 для Outlook Web Access.

Создайте новое правило публикации Exchange

В ходе этого процесса необходимо предоставить указанные ниже сведения.

  • Имя правила публикации Exchange. Введите понятное имя правила публикации, например «Доступ к электронной почте Exchange».

  • Поддерживаемые службы клиентского доступа. На странице Выбор служб выберите развертываемую версию сервера Microsoft Exchange, а также все службы клиентского доступа, которые следует поддерживать для пользователей. По умолчанию при выборе Exchange Server 2007 также выбирается и Outlook Web Access.

  • Тип публикации.   На странице Тип публикации выберите используемый параметр в зависимости от того, что планируется опубликовать: отдельный веб-узел или внешнюю подсистему балансировки нагрузки, ферму веб-серверов или несколько веб-узлов.

  • Безопасность подключения к серверу.   Эта страница позволяет выбрать, следует ли использовать при подключении компьютера с ISA Server к Microsoft Exchange протокол SSL (Secure Sockets Layer) или незащищенное подключение.

  • Сведения о внутренней публикации.   На странице Сведения о внутренней публикации введите имя внутреннего узла Outlook Web Access или выберите параметр использования имени компьютера или IP-адреса для подключения к Microsoft Exchange.

  • Подробности общего имени. На странице Подробности общего имени можно выбрать домены, запросы от которых будут приниматься. Также необходимо предоставить внешнее имя, например www.contoso.com.

  • Выбор веб-прослушивателя. На странице Выбор веб-прослушивателя можно указать прослушиватель для сервера Exchange, к которому происходит подключение. Прослушиватель используется для указания типа проверки подлинности, который будет использоваться при первом подключении клиента к компьютеру с ISA Server. Прослушиватель содержит сведения о том, каким образом компьютер с ISA Server принимает запросы от клиентов, такие как запросы на шифрование, сжатие данных и проверку подлинности, используемую для внешнего подключения. Эту страницу можно использовать для создания нового прослушивателя или изменения существующих прослушивателей.

  • Делегирование проверки подлинности.   Страница Делегирование проверки подлинности позволяет указать тип механизма проверки подлинности, который будет использоваться при взаимодействии сервера ISA Server с сервером клиентского доступа. Выберите один из следующих параметров:

    • Делегирование отсутствует, но клиент может пройти проверку подлинности напрямую;

    • Обычная проверка подлинности;

    • Проверка подлинности NTLM;

    • Согласование Kerberos/NTLM;

    • Делегирование, ограниченное Kerberos.

  • Пользователи На странице User sets можно выбрать, какие пользователи могут использовать это правило для подключения к Exchange.

Если компьютер с сервером ISA Server настроен на проверку подлинности пользователей, виртуальные каталоги Outlook Web Access необходимо настроить на использование либо встроенной проверки подлинности Windows, либо обычной проверки подлинности, в зависимости от типа проверки подлинности, используемого в организации. При использовании обычной проверки подлинности или встроенной проверки подлинности Windows в виртуальных каталогах Outlook Web Access совместно с проверкой подлинности ISA Server 2006 пользователям необходимо ввести свои учетные данные только один раз.

Примечание.
При выборе для прослушивателя ISA проверки подлинности на основе форм пользователю потребуется повторно ввести свои учетные данные в случае истечения срока действия сеанса Outlook Web Access.

Однако встроенная проверка подлинности Windows блокирует доступ к документам, хранящимся в общих папках Windows или библиотеках документов Windows SharePoint Services, из Outlook Web Access. Если необходимо получать доступ к документам из Outlook Web Access, для виртуального каталога Outlook Web Access необходимо использовать обычную проверку подлинности.

После завершения работы мастера создается правило публикации Exchange. Это правило будет отображено в списке Правила политики брандмауэра на вкладке Политика брандмауэра.

Примечание.
После завершения создания правила публикации необходимо подождать, пока параметры вступят в силу. За состоянием применения правила публикации в ISA Server 2006 можно наблюдать с помощью узла «Наблюдение» в консоли управления ISA Server 2006.

Настройка дополнительных параметров

Для правила, созданного в консоли управления ISA Server 2006 можно настроить дополнительные возможности, например преобразование ссылок и сжатие HTTP. Дополнительные параметры преобразования ссылок и сжатия HTTP настраиваются с помощью узла «Общие» в консоли управления ISA Server 2006.

Настройка преобразования ссылок

Чтобы настроить преобразование ссылок, необходимо выбрать правило публикации Exchange и щелкнуть Изменить выбранное правило в разделе Задачи изменения политики. На вкладке Преобразование ссылок можно настроить преобразование ссылок, основываясь на потребностях пользователей.

Настройка сжатия HTTP

Параметр сжатия HTTP можно настроить в узле «Общие» раздела Конфигурация консоли управления ISA Server 2006. Щелкните Задать параметры сжатия HTTP и выберите параметры, поддержка которых необходима для пользователей.

После настройки этих параметров настройка сервера ISA Server для Microsoft Exchange завершается.

Установка сертификата сервера для ISA Server 2006

Чтобы установить шифрованный канал между клиентским компьютером и компьютером с ISA Server с использованием протокола SSL, необходимо установить сертификат сервера на компьютер с ISA Server. Этот сертификат должен быть выдан общим центром сертификации, так как к нему будут получать доступ пользователи из Интернета. При использовании частного центра сертификации необходимо установить сертификат корневого центра сертификации на любой компьютер, который должен устанавливать зашифрованный канал связи (HTTPS) с компьютером с ISA Server. В противном случае пользователь получит сообщение с предупреждением о том, что сертификат не является доверенным.

Дополнительные сведения об установке сертификата сервера на ISA Server см. в статье Публикация Exchange Server 2007 с помощью ISA Server 2006 (на английском языке).

Дополнительные сведения