|
ISA and E2k OWA<br>
ISA发布OWA <br>
分两部分:<br>
<br>
<br>
a.如何配置ISA服务器,使得用户可以使用OWA来访问Microsoft Exchange 邮箱。<br>
<br>
<br>
b.如何在OWA站点上使用SSL.<br>
<br>
<br>
如何在ISA服务器后面发布OWA<br>
<br>
<br>
1.配置ISA服务器接受外网卡的web请求:<br>
<br>
<br>a. 启动 ISA Server 管理控制台:单击开始,指向程序,指向 Microsoft ISA Server,<br>
<br>然后单击 ISA Management(ISA 管理)。 <br>
<br><br>
<br>b.展开左窗格中的"Servers(服务器)"文件夹,然后右键选择您的服务器属性。<br>
<br>
<br>c.点击”Incoming Web Requests“页,再单击"Configure listeners individually per IP address".<br>
<br><br>
<br>d.单击"Add", 然后选择ISA Server和它的的外网卡ip地址。这一步确定了服务器响应<br>
<br>外部http请求的ip地址和端口。<br>
<br>
<br>e.单击"OK"完成,再单击"OK"回到ISA管理界面。<br>
<br><br>
<br>
2. 创建"destination set"将Web客户端指向OWA站点的对应目录:<br>
<br>
<br>
<br>a. 启动 ISA Server 管理控制台:单击开始,指向程序,指向 Microsoft ISA Server,<br>
<br>然后单击 ISA Management(ISA 管理)。 <br>
<br>
<br>b. 展开左窗格中的"Servers(服务器)"文件夹,再展开Policy Elements,右键选择<br>
<br>Destination Set文件夹,单击New, 然后单击Set. 您可以将该destination set命名为"OWA".<br>
<br>
<br>c.在Destination 一栏,输入外网用户访问OWA所使用的URL。<br>
<br><br>
<br>注意:不要在URL里面包括"<a target=_blank href=http://">http://"</a>;;或者"<a target=_blank href=https://">https://"</a>;;部分。<br>
<br>
<br>d. 在Path一栏, 输入"/exchange*" (没有引号),然后单击OK.<br>
<br>
<br>e.重复步骤d,分别为Exchweb和Public文件创建相应的路径:"/exchweb*"和"/public*".<br>
<br>
<br>
3. 用刚才创建的policy element 配置web publishing rule:<br>
<br>
<br>a.展开Publishing,右键单击 Web Publishing Rules,选择New->Rule.<br>
<br>
<br>b.在name一栏输入"OWA Access Rule" ,再单击Next.<br>
<br><br>
<br>c.选择" specified destination set",选择刚刚创建的OWA set,再单击Next.<br>
<br>
<br>d. Apply the rule to Any Request, 再单击Next.<br>
<br>
<br>e. 单击 "Redirect the request to this internal Web Server",输入运行OWA的服务器的<br>
<br>名称或者ip地址.<br>
<br>
<br>f. 单击选择"Send the original header to publishing server instead<br>
<br>of the actual one" ,再选择Next.<br>
<br>
<br>g.单击finish.<br>
<br>
<br>h. 在ISA 管理控制台里展开Monitoring图标,然后单击Services.<br>
<br>
<br>i. 重新启动Web proxy和Firewall 服务:右键点击相应的服务,单击Stop,然后在菜单上启动。<br>
<br>
<br>
<br>
如果OWA应用了SSL,必须在ISA服务器创建一条Server Publishing rule(HTTPS协议),选择<br>
<br>
内部OWA服务器的ip地址和ISA服务器外网卡地址(OWA服务器必须将ISA服务器的内网卡设为<br>
<br>
默认网关)。<br>
<br>
<br>
如何用IIS5.0 和Certificate Server 2.0 建立SSL.<br>
<br>
<br>
1. 首先,Web服务器必须做按照一下步骤证书请求:<br>
<br>
<br>a.启动Internet Service Manager (ISM):开始->程序->管理工具->Internet Service Manager .<br>
<br>
<br>b.右键点击需要建立SSL的站点,单击属性。<br>
<br>
<br>c.单击目录安全页,再单击'服务器证书',进入"Web服务器证书向导".<br>
<br><br>
<br>d.单击下一步开始向导,选择"创建一个新证书"。<br>
<br><br>
<br>e.单击下一步,选择'现在准备请求,但稍候发送'。<br>
<br><br>
<br>f.单击下一步,输入您的证书名称,你可以用web站点的名称。现在选择<br>
<br>位长,位长越长,证书加密越强。如果你的用户可能来自有加密限制的<br>
<br>国家,就需要选择"服务器网关加密证书".<br>
<br>
<br>g.单击下一步,输入组织和组织单位。<br>
<br>
<br>h. 单击下一步,输入公用名称,公用名称必须符合注册在DNS服务器上的<br>
<br>域名。例如如果URL是<a target=_blank href=https://www.mydomain.com/securedir>https://www.mydomain.com/securedir</a>,那么公用<br>
<br>名称必须是 www.mydomain.com.如果客户使用IP地址访问该网站,<br>
<br>如192.168.1.11,这儿的公用名称一定要使用"192.168.1.11".<br>
<br>
<br>i.单击下一步,输入您的国家、省、市。<br>
<br><br>
<br>j.单击下一步,选择路径和您保存请求的文件名。<br>
<br>
<br>k.再单击下一步两次,单击完成关闭向导。<br>
<br>
<br>
2. 用Certificate Server处理您的请求,可以按照下列步骤来做:<br>
<br>
<br>a. 在浏览器里面输入<a target=_blank href=http://CAServerName/certsrv>http://CAServerName/certsrv</a>, 选择’Request a certificate‘.<br>
<br>注意:不要用"localhost“作为服务器名。<br>
<br>
<br>b.单击Next并选择Advanced request.<br>
<br><br>
<br>c.单击Next并选择Submit a certificate request using a base64 encoded<br>
<br>PKCS #10 file or a renewal request using a base64 encoded PKCS #7 file.<br>
<br><br>
<br>d.单击下一步,用Notepad打开您在Web证书向导中创建的请求文件。将整个<br>
<br>文本文件(包括BEGIN和END两行),粘贴到Base64 Encoded Certificate<br>
<br>Request文本框。 <br>
<br>
<br>e. 单击Submit。<br>
<br>
<br>f. 关闭浏览器,在证书服务器上,打开Certification Authority 控制台。<br>
<br>
<br>g.展开服务器名,选择Pending Requests folder.右键点击您提交的证书,选择<br>
<br>All Tasks,再选择Issue.<br>
<br>
<br>h.右键点击服务器名您现在可以关闭Certification Authority 控制台。<br>
<br>
<br>h. 打开一个新的浏览器窗口,输入步骤a里面的URL,选择Check on a <br>
<br>pending certificate.<br>
<br>
<br>i. 单击下一步,选择您刚刚建立request.<br>
<br>
<br>j. 单击下一步,选择DER encoded, 然后点击Download CA certificate的连接.<br>
<br>保存证书文件到您的web服务器的本地硬盘,关闭浏览器。<br>
<br>
<br>
3. 在IIS里完成证书安装,并启动SSL:<br>
<br>
<br>a. 打开Internet Information Services MMC,右键点击需要应用SSL的web站点。<br>
<br>
<br>b. 单击目录安全性,然后选择Server Certificate.<br>
<br>
<br>c. 单击下一步,选择Process the pending request and install the certificate.<br>
<br>
<br>d. 单击下一步,输入您上一部分保存的证书文件所在的路径和文件名。<br>
<br>
<br>e. 单击下一步两次,点击完成推出向导。<br>
<br>
<br>f. 单击web站点页,确认SSL端口一栏的端口是否正确。默认为443。<br>
<br>
<br>g. 点击确认关闭web站点属性窗口。<br>
<br>
<br>
现在我们已经建立了自己的一个SSL站点,但是这个站点不在Windows系列操作系统内建的信任之列,<br>
<br>
所以需要自己建立对该机构的信任,否则每次客户端访问该SSL站点,都会弹出该站点不被信任的窗口。<br>
<br>
假如在试验中自己建立了一个根证书颁发机构MyCA2002,这个机构不在内建的受信任证书颁发机构<br>
<br>
之列,你可以按照下列步骤建立信任:<br>
<br>
<br>
1.导出MyCA2002证书颁发机构的证书.<br>
<br>
<br>
(1)在CA服务器上单击"开始"菜单->"程序"->"管理工具"->"证书颁发机构"MMC管理单元,或者直接运行"%System<br>
<br>
Root%\System32\certsrv.msc /s".<br>
<br>
<br>
(2)右击"证书颁发机构(本地)"下的"MyCA2002"节点,选择"属性"菜单项,打开"MyCA2002属性"对话框.<br>
<br>
<br>
(3)在"MyCA2002属性"对话框"常规"页面单击"查看证书",在跳出的"证书"对话框中切换到"详细信息"页面,单击<br>
<br>
下面的"复制到文件..."按钮,启动证书导出向导,将证书导出为"DER编码二进制X.509(.CER)"格式文件,假设文<br>
<br>
件名是"myca2002.cer",文件大小约1k左右,复制到一个终端用户可以取到的位置,如软盘,网站(可以提供客户端下载)等.<br>
<br>
<br>
2.在客户机建立对MyCA2002证书颁发机构的信任<br>
<br>
<br>
(1)在客户机单击"开始"菜单->"设置"->"控制面板"->"Internet选项",打开"Internet属性"对话框.<br>
<br>
<br>
(2)切换到"内容"页面,单击下面的"证书..."按钮,打开"证书"对话框.<br>
<br>
<br>
(3)切换到"受信任的根证书颁发机构"页面,单击下面的"导入..."按钮,启动"证书导入向导",使用系统缺省的选<br>
<br>
项将myca2002.cer证书导入.<br>
<br>
<br>
(4)MyCA2002证书颁发机构成为受信任的根证书颁发机构.<br>
<br>
<br>
<br>
如果OWA服务装在ISA服务器上,您需要禁用Socket Pooling. Socket Pooling 在<br>
<br>
IIS5.0里默认被启用,它使得IIS侦听所有ip地址的TCP 80 端口。<br>
<br>
|
|