Публикация и аутентификация доступа к Exchange с использованием AD FS и WAP (часть 2)
подпишитесь на нашу рассылку MSExchange.org по обновлению статей в реальном времени
Реализация простой предварительной аутентификации
Наш первый метод публикации Exchange Server основан на простых методах, использующих встроенную проверку подлинности IIS Windows на стороне Exchange Server, чтобы разрешить доступ к серверу. Это означает, что почти любой интерактивный вход через Интернет может выиграть от такой предварительной аутентификации, включая Exchange. Это сильно отличается от второго метода, который мы будем использовать, который основан на встроенной интеграции с AD FS, доступной только в более поздних версиях Exchange.
Создание доверия с проверяющей стороной
Наш первый шаг к подготовке AD FS к разрешению публикации Exchange через WAP. Нам нужно добавить , чтобы включить это.
Откройте , перейдите к , затем выберите , как показано ниже:
Поскольку наша конфигурация проста, мы дадим ей простое имя, которое можно повторно использовать в других приложениях, использующих встроенную проверку подлинности Windows. В приведенном ниже примере мы выбрали в качестве имени :
Далее мы укажем идентификатор доверия проверяющей стороны. Это может быть произвольное значение, поэтому в приведенном ниже примере мы использовали как показано ниже.
После завершения работы , нажмите , чтобы открыть окно . Добавьте правило , затем нажмите OK, чтобы завершить настройку AD FS, как показано ниже:
Настройка Active Directory
После завершения настройки доверия с проверяющей стороной AD FS мы настроим Active Directory, чтобы она была готова для предварительной проверки подлинности сеансов в Outlook в Интернете (OWA).
Чтобы реализовать это, нам нужно выполнить два шага.
Во-первых, нам нужно будет добавить , которые будут указывать, что WAP разрешено запрашивать токены Kerberos для запросов на основе HTTP. Затем нам нужно будет указать, что WAP-серверу разрешено аутентифицировать запросы от имени пользователей для опубликованных нами серверов Exchange.
Для этого откройте на контроллере домена Active Directory и, используя , перейдите в Active Directory, чтобы найти каждый соответствующий WAP-сервер. Щелкните правой кнопкой мыши и выберите , как показано ниже:
Откроется окно редактора атрибутов. Прокрутите вниз и найдите атрибут . Это многозначный атрибут, что означает, что мы можем добавить к нему несколько значений в дополнение к тем, которые указаны по умолчанию.
Мы добавим две строки. В первой строке будет указано полное доменное имя сервера. Во второй строке будет указано NetBIOS-имя сервера. Оба они будут иметь префикс , например и :
Нажав OK, чтобы сохранить изменения, откройте . Мы найдем WAP-сервер в Active Directory и выберем , как показано ниже:
В открывшемся окне свойств выберите вкладку . На вкладке «Делегирование» выберите , затем выберите » и, наконец, добавьте свои серверы Exchange, указав как , как показано ниже:
Настройка Exchange
С нашим сервером WAP, готовым к публикации служб Exchange, и правильной конфигурацией, созданной в нашей Active Directory, мы обеспечим настройку Exchange для разрешения доступа с предварительной проверкой подлинности с использованием для служб.
В нашем примере мы будем выполнять предварительную аутентификацию в и , а также использовать сквозную аутентификацию для других служб.
Поэтому мы откроем Центр администрирования Exchange (или консоль управления Exchange, если вы используете Exchange 2010) и перейдем к разделу , а затем в разделе выберите виртуальный каталог OWA, затем выберите , как показано ниже:
В виртуальном каталоге OWA выберите вкладку , затем убедитесь, что выбран с выбранной , как показано ниже:
После выбора мы повторим те же действия для виртуального каталога , в котором размещен центр администрирования Exchange. Чтобы применить конфигурацию, мы выполним для каждого перенастроенного сервера с помощью командной строки с повышенными привилегиями.
Издательская биржа
Чтобы опубликовать Exchange с помощью WAP и ADFS простым способом, мы откроем на WAP-сервере, чтобы опубликовать каждую службу.
В этом примере мы будем публиковать сервисы, как показано ниже:
| обслуживание | Дорожка | Тип аутентификации |
| Веб-приложение Outlook | /ОВА/ | AD FS |
| Панель управления биржой | /ЭКП/ | AD FS |
| Веб-службы Exchange | /EWS/ | Пройти через |
| Автоматическое обнаружение | /Автообнаружение/ | Пройти через |
| АктивСинк | /Microsoft-Server-ActiveSync | Пройти через |
| Автономная адресная книга | /Автономная адресная книга/ | Пройти через |
| Outlook в любом месте | /рпк/ | Пройти через |
| MAPI HTTP | /мапи/ | Пройти через |
В консоли управления удаленным доступом перейдите в затем выберите , как показано ниже:
В открывшемся для каждого виртуального каталога, прошедшего предварительную проверку подлинности, выберите в качестве типа предварительной проверки подлинности:
По мере того, как мы перемещаемся по мастеру, нам будет представлен экран в мастере. Это покажет наше доверие к ретрансляционной стороне которое мы создали ранее в этой статье. Выберите это, затем нажмите :
Затем нам будут представлены параметры, относящиеся к публикации приложения на самом внутреннем сервере Exchange. Мы позаботимся о том, чтобы здесь тщательно выбирать детали, потому что, если нам нужно изменить настройки с помощью графического интерфейса, это потребует удаления и повторного создания настроек.
В приведенном ниже примере мы ввели понятное описание, для справки, а затем ввели внешний URL-адрес для публикации OWA с косой чертой (/) в конце.
Далее мы выберем внешний сертификат. В нашем примере это будет подстановочный сертификат, а также введите URL-адрес внутреннего сервера.
Наконец, мы введем имя участника-службы (SPN) для сервера Exchange, который мы публикуем. В нашем примере это HTTP/, за которым следует полное доменное имя сервера Exchange, т. е. HTTP/LJD-MBX01.lisajanedesigns.local:
После завершения публикации каждого виртуального каталога Exchange, требующего предварительной аутентификации, мы будем использовать мастер для публикации наших виртуальных каталогов, в которых будет использоваться сквозная аутентификация. Когда мы запустим мастер, мы просто выберем , чтобы избежать предварительной аутентификации, как показано ниже:
Затем мы введем понятное имя, чтобы описать сервис, который мы публикуем, и введем внешний и внутренний URL-адреса (опять же с косой чертой в конце) и выберем соответствующий подстановочный SSL-сертификат:
После завершения публикации каждого виртуального каталога мы рассмотрим раздел консоли управления удаленным доступом. Мы увидим понятное имя, которое мы выбрали, в сочетании с внешним URL-адресом, который мы использовали для публикации ресурса.
После завершения настройки простой предварительной аутентификации через WAP мы протестируем решение. С внешнего IP-адреса или клиентского, который может разрешать DNS-имя и подключаться к нашим опубликованным ресурсам Exchange к WAP-серверу, мы попытаемся получить доступ к Outlook в Интернете, как показано ниже:
После того, как мы введем учетные данные, мы сможем получить доступ к Outlook в Интернете, как обычно. Чтобы убедиться, что доступ по всем опубликованным протоколам работает должным образом, стоит протестировать его с помощью таких инструментов, как Remote Connectivity Analyzer Это поможет убедиться, что такие службы, как Exchange ActiveSync, работают должным образом.
Что дальше?
Во второй части этой серии мы опубликовали Exchange Server с использованием простых методов предварительной проверки подлинности через AD FS и WAP. В следующей части этой серии мы рассмотрим методы аутентификации доступа к Exchange только для Exchange 2013 SP1+ и Exchange 2016 с использованием встроенной интеграции AD FS.
подпишитесь на нашу рассылку MSExchange.org об обновлении статей в реальном времени