ISA Server发布具有Edge角色Exchange

环境拓扑图：

　　

　　ISA 网络图：

　　

　　如上图，ISA Server加入域中，内部网络中有DC、Mail(Exchange Server 2007)，DMZ区域有Edge-A、Edge-B两台边缘传输服务器。 本实验将进行以下内容：

　　1. 将内网中Exchange Server的OWA对外发布

　　2. 创建访问规则为边缘订阅做准备，允许内网的Exchange Server 访问DMZ区域的两台Edge服务器TCP 25和TCP 50636端口;允许DMZ区域使用SMTP协议访问内网。

　　3. 将DMZ区域的两台Edge服务器TCP 25端口对外发布。

　　4. 创建访问规则允许Edge服务器的TCP 25端口对外访问

　　本实验不讨论Exchange Server的配置内容，下面进行具体操作步骤：

　　1. 发布OWA

　　由于本次进行发布的是带SSL的OWA访问，所以发布之前我们首先需要从Exchange Server 2007(CAS)中将证书导出拿到ISA服务器中进行导入，否则发布将无法进行下去。

　　首先，登录内网中的Exchange Server 2007服务器，将IIS中的证书进行导出，操作如下：

　　在IIS控制台中选择“服务器证书”，如下图：

　　　在“服务器证书”窗口中选择“导出”，如下图：

　　

　　在弹出的“导出证书”窗口中选择导出的目标位置和设置一个密码，如下图：

　　

　　将刚才导出的证书拷贝到ISA服务器中进行导入。切换到ISA服务器，在运行栏中输入MMC，然后添加计算机证书，如下图：

　　

　　分别在“个人”和“受信任的根证书颁发机构”将证书进行导入，导入过程在此省略。

　　将证书成功导入到ISA服务器中之后，现在就可以开始发布OWA了，下面打开“ISA 服务器管理”，切换到“工具箱”，在此首先要创建一个WEB侦听器，如下图：

　　

　　在弹出的“新建Web 侦听器定义向导”窗口中输入侦听器输入一个名称，如下图：

　　　在“客户端连接安全设置”窗口中选择需要SSL的安全连接，如下图：

　　

　　在“Web 侦听器IP地址”窗口中选择侦听的目标网络，如下图：

　　　在“侦听器SSL 证书”窗口中单击“选择证书”按钮，如下图：

　　

　　在弹出的“选择证书”窗口中为侦听器选择一张有效的证书，如下图：

　　在返回的窗口中选择“下一步”，如下图：

　　

　　在“身份验证设置”窗口中选择一种验证方式，在此选择“没有身份验证”，这种方式的意思是，ISA不进行用户请求的身份验证，直接交给目标服务器进行验证，如下图：

　　　在“单一登录设置”窗口中单击“下一步”，如下图：

　　

　　在完成窗口单击“完成”，如下图：

　　至此，Web侦听器就创建完成了，下面开始进行OWA的发布操作。

　　

　　　

　　

　　

　　

　　

　　

　　

　　

　　

　　至此，OWA的发布已经完成。

　　2. 创建访问规则

　　在创建上面的相关发布规则之后，下面接着为内部网络创建访问规则，以便让内网中的Exchange Server 能够跟DMZ区域中的Edge服务器进行通讯。在此我们需要开放两个端口，TCP 25和TCP 50636端口，因为后面进行的边缘订阅和邮件传输需要用到这两个端口。

　　由于ISA中没有内置TCP 50636端口的相关协议，所以创建访问规则之前需要先为这个端口创建一个自定义的协议，具体如下：

　　

　　

　　

　　

　　

　　

　　　至此，为TCP 50636端口创建自定义协议工作已经完成。下面开始创建相关的访问规则：

　　

　　

　　

　　　

　　

　　

　　　3. 发布Edge

　　下面准备将DMZ区域中的Edge服务器对外发布，以便能够接收到来自组织外部的邮件：

　　

　　

　　

　　　

　　

　　

　　

　　

　　至此，Edge的发布操作已经完成，最后将操作应用即可。

　　由于我的环境中使用两台Edge进行负载均衡，所以还需要发布第二台Edge：

　　

　　

　　　

　　　

　　4. 创建访问规则允许Edge服务器的TCP 25端口对外访问

　　为了能够让组织内部的邮件传输到组织以外，还需要为DMZ区域创建相关访问规则，以便Edge服务器能够将邮件向外投递：

　　　

　　

　　

　　

　　

　　

　　

　　

　　至此，整个实验过程全部完成。