Публикация OWA-сайта в конфигурации Back-to-Back ISA Firewall (Часть 2)

Опубликовано: 12 Апреля, 2023

Публикация OWA-сайта в конфигурации Back-to-Back ISA Firewall (Часть 1)

Публикация OWA-сайта в конфигурации Back-to-Back ISA Firewall (Часть 2)

Томас Шиндер, доктор медицинских наук, MVP


Есть вопросы по статье?
Спросите по адресу: http://forums.isaserver.org/ultimatebb.cgi?ubb=get_topic;f=23;t=000679

В части 1 этой серии из двух частей, посвященной настройке доступа к OWA в конфигурации back-to-back брандмауэра ISA, мы сосредоточились на внутренней инфраструктуре. В этой, второй части серии, мы обратим внимание на интерфейсную инфраструктуру брандмауэра ISA и закончим тестированием решения.

В этой статье мы рассмотрим следующие процедуры:

  • Запуск мастера публикации Outlook Web Access и создание записи файла HOSTS для внутреннего брандмауэра ISA на внешнем брандмауэре ISA. Запись файла HOSTS сопоставляет имя сертификата веб-сайта с IP-адресом внутреннего брандмауэра ISA. который используется в веб-прослушивателе, используемом в правиле веб-публикации OWA на внутреннем брандмауэре ISA. Мы также создадим правило веб-публикации на внешнем брандмауэре ISA, которое публикует сайт OWA через IP-адрес веб-прослушивателя внутреннего брандмауэра ISA.
  • Создание правила доступа All Open на внешнем брандмауэре ISA. Это правило не является обязательным, но оно используется в демонстрационных целях в этом примере. Вы можете создать правило доступа, разрешающее весь исходящий трафик только с IP-адресов, привязанных к внешнему интерфейсу внутреннего брандмауэра ISA. Если у вас есть другие серверы в сегменте DMZ между внешним и внутренним брандмауэрами ISA, вы можете создать пользовательскую политику брандмауэра на внешнем брандмауэре ISA, чтобы разрешить исходящий трафик с этих устройств по мере необходимости. Обратите внимание, что для исходящего доступа из внутренней сети, расположенной за внутренним брандмауэром ISA, вам необходимо настроить внутренний брандмауэр ISA в качестве клиента SecureNAT вышестоящего брандмауэра ISA или настроить внутренний брандмауэр ISA. клиент брандмауэра восходящего потока (используя цепочку брандмауэра), или сделайте внутренний брандмауэр ISA клиентом веб-прокси вышестоящего потока (через цепочку веб-прокси), или любую комбинацию этих трех вариантов.
  • Создание правила веб-публикации для веб-сайта регистрации на внешнем брандмауэре ISA. Это необязательный шаг. Это правило разрешает внешним хостам доступ к веб-сайту регистрации ЦС предприятия. Если вы планируете поддерживать только членов домена или узлы, которые должны находиться в корпоративной сети какое-то время, то это правило не требуется.
  • Настройка общедоступного DNS для разрешения имени сайта OWA Внешние хосты должны иметь возможность разрешать имя сайта OWA в IP-адрес на внешнем интерфейсе внешнего брандмауэра ISA. Это имя также должно совпадать с именем, включенным в тему/общее имя сертификата веб-сайта OWA, используемого во внешнем веб-приемнике брандмауэра ISA.
  • Установка сертификатов ЦС на клиентах OWA Это необязательный шаг. Если вы не установите сертификат ЦС на веб-клиентах, то пользователи увидят диалоговое окно с сообщением об ошибке, информирующее их о том, что они не доверяют ЦС, выпустившему сертификат веб-сайта, представленный внешним брандмауэром ISA. Однако пользователи смогут щелкнуть это диалоговое окно. Если вы установите сертификат ЦС на веб-клиенты, диалоговое окно не появится.
  • Создание записи в файле HOSTS на клиентском компьютере OWA В производственной среде этот шаг не требуется, поскольку общедоступный DNS уже будет иметь имя сайта OWA, включенное в уполномоченную зону DNS для этого домена. Тем не менее, в лабораторной установке, которую мы используем для демонстрации публикации OWA-сайтов в конфигурации брандмауэра ISA «back-to-back», мы будем использовать запись файла HOSTS, чтобы мне не пришлось выполнять процедуру настройки общедоступного DNS-сервера.
  • Подключение к веб-сайту OWA Здесь мы тестируем решение.

Запуск мастера публикации Outlook Web Access и создание записи файла HOSTS для внутреннего брандмауэра ISA Server 2004 на внешнем брандмауэре ISA Server 2004.

В производственной среде вы должны создать разделенную инфраструктуру DNS, которая позволит узлам во внешних сетях правильно разрешать имя веб-сайта OWA в IP-адрес на внешнем интерфейсе внешнего интерфейса брандмауэра ISA. Кроме того, внешний брандмауэр ISA должен иметь возможность преобразовать имя веб-сайта OWA в IP-адрес на внешнем интерфейсе внутреннего брандмауэра ISA, который прослушивает входящие запросы к веб-сайту OWA по умолчанию. Внутренняя сеть за внутренним брандмауэром ISA.

Мы не настроили разделенную инфраструктуру DNS в нашем текущем примере, поэтому мы будем использовать файл HOSTS на внешнем брандмауэре ISA, который позволяет внешнему брандмауэру преобразовать имя сайта OWA в IP-адрес на внешнем интерфейсе. внутреннего брандмауэра ISA.

Выполните следующие шаги, чтобы создать запись в файле HOSTS, которая сопоставляет сайт OWA с IP-адресом на внешнем интерфейсе внутреннего брандмауэра ISA:

  1. Откройте проводник Windows, перейдите в каталог WINDOWSsystem32driversetc и откройте файл hosts.
  2. В диалоговом окне «Открыть с помощью» выберите «Блокнот» и нажмите «ОК».
  3. Файл HOSTS открывается в блокноте. Добавьте строку в конец файла hosts, которая разрешает имя в перенаправлении на IP-адрес, который может связаться с сервером OWA. В текущем примере введите в последней строке файла HOSTS следующее:

10.0.1.2 owa.msfirewall.org

«10.0.1.2» — это IP-адрес внешнего интерфейса внутреннего брандмауэра ISA Server 2004, который публикует OWA-сайт Exchange Server во внутренней сети. Убедитесь, что вы нажимаете клавишу ВВОД после добавления этой строки в файл hosts, чтобы убедиться, что в конце файла есть пустая строка.


фигура 1

  1. Закройте Блокнот и нажмите Да, чтобы сохранить изменения, внесенные в файл.

Теперь мы готовы создать правило веб-публикации OWA на внешнем брандмауэре ISA. Выполните следующие действия, чтобы безопасно опубликовать веб-сайт Exchange OWA:

  1. В консоли управления Microsoft Internet Security and Acceleration Server 2004 разверните имя сервера и щелкните узел Политика брандмауэра. Перейдите на вкладку «Задачи» на панели задач. Щелкните ссылку Опубликовать почтовый сервер.
  2. На странице Добро пожаловать в мастер нового правила публикации почтового сервера введите имя правила в текстовом поле Имя правила публикации почтового сервера. В этом примере мы назовем его «Публикация веб-сайта OWA». Нажмите «Далее».
  3. На странице «Выбор типа доступа» выберите доступ к веб-клиенту (Outlook Web Access (OWA), Outlook Mobile Access, Exchange Server ActiveSync) и нажмите «Далее».


фигура 2

  1. На странице Выбор служб установите флажок в поле Outlook Web Access. Убедитесь, что установлен флажок Включить символы старшего бита, используемые не- Английский наборы символов. Эта опция позволяет пользователям OWA получать доступ к почте, не используя Английский наборы символов. Нажмите «Далее».


Рисунок 3

  1. На странице «Режим моста» выберите параметр «Безопасное подключение к клиентам и почтовому серверу» и нажмите «Далее». Этот параметр создает правило веб-публикации, которое обеспечивает безопасное SSL-соединение клиента с веб-сайтом OWA. Это предотвращает движение трафика в открытом виде, где злоумышленник может пронюхать трафик и перехватить ценную информацию. Внешний клиент, который устанавливает соединение SSL, ожидает, что трафик будет безопасным от начала до конца.


Рисунок 4

  1. На странице Specify the Web Mail Server введите имя внутреннего веб-сайта OWA в текстовом поле Web mail server. В этом примере мы будем использовать имя owa.msfirewall.org. Обратите внимание, что это имя используется для сайта Exchange Server во внутренней сети, и это общее имя в сертификате веб-сайта OWA. Вы можете использовать IP-адрес, но это создаст проблемы с соединением SSL между внутренним интерфейсом внешнего брандмауэра ISA Server 2004 и веб-прослушивателем внутреннего брандмауэра ISA Server 2004. Вы можете использовать либо разделенный DNS, либо запись в файле HOSTS на внешнем компьютере брандмауэра ISA Server 2004, чтобы преобразовать это имя в IP-адрес, используемый сервером Exchange во внутренней сети. В текущем примере мы использовали файл HOSTS. Нажмите «Далее».


Рисунок 5

  1. На странице сведений об общедоступном имени выберите параметр Это доменное имя (введите ниже) в списке Принимать запросы на. Введите имя, которое внешние пользователи будут использовать для доступа к веб-сайту OWA, в текстовом поле Общедоступное имя. В этом примере внешние пользователи будут использовать имя owa.msfirewall.org. Опять же, это имя, которое внешние пользователи используют при доступе к веб-сайту, и это также общее имя в сертификате веб-сайта. Это имя, которое пользователь вводит в своем браузере в адресной строке браузера. Нажмите «Далее».


Рисунок 6

  1. На странице «Выбор веб-прослушивателя» нажмите кнопку «Создать». Веб-прослушиватель работает так же, как веб-прослушиватель в ISA Server 2000, но с ISA Server 2004 у вас больше возможностей. Например, вы можете создать отдельный веб-прослушиватель для SSL- и не-SSL-соединений на одном и том же IP-адресе. Кроме того, настройки веб-прослушивателя больше не являются глобальными, и вы можете настроить отдельные параметры для каждого прослушивателя в зависимости от количества адресов, привязанных к внешнему интерфейсу брандмауэра ISA Server 2004.
  2. На странице Вас приветствует мастер создания нового веб-прослушивателя введите имя прослушивателя в текстовом поле Имя веб-прослушивателя. В этом примере мы будем использовать имя OWA SSL Listener. Нажмите «Далее».
  3. На странице IP-адреса поставьте галочку в поле Внешний. Нажмите кнопку Адрес.
  4. В диалоговом окне Выбор IP-адреса прослушивателя внешней сети выберите указанные IP-адреса на компьютере ISA Server в опции выбора сети. Щелкните внешний IP-адрес на брандмауэре ISA Server 2004, который вы хотите прослушивать для входящих запросов на сайт OWA, в списке доступных IP-адресов. В этом примере мы выберем 192.168.1.70. Щелкните Добавить. Теперь IP-адрес появится в списке Выбранные IP-адреса. Нажмите ОК.


Рисунок 7

  1. Нажмите «Далее» на странице «IP-адреса».
  2. На странице «Спецификация порта» снимите флажок «Включить HTTP». Поставьте галочку в поле Включить SSL. Оставьте номер порта SSL равным 443. Настроив этот прослушиватель на использование только SSL, вы можете настроить второй прослушиватель с другими параметрами, предназначенный для соединений без SSL.
  3. Нажмите кнопку Выбрать. В диалоговом окне Select Certificate щелкните сертификат веб-сайта OWA, который вы импортировали в хранилище сертификатов компьютеров брандмауэра ISA, и нажмите OK. Обратите внимание, что этот сертификат появится в этом диалоговом окне только после того, как вы установили сертификат веб-сайта в хранилище сертификатов компьютера брандмауэра ISA Server 2004. Кроме того, сертификат должен содержать закрытый ключ. Если закрытый ключ не был включен, сертификат не будет отображаться в этом списке.


Рисунок 8

  1. Нажмите «Далее» на странице «Спецификация порта».
  2. Нажмите «Готово» на странице «Завершение создания нового веб-прослушивателя».
  3. Детали веб-прослушивателя теперь отображаются на странице «Выбрать веб-прослушиватель». Щелкните Изменить.


Рисунок 9

  1. В диалоговом окне свойств OWA SSL Listener щелкните вкладку Preferences.


Рисунок 10

  1. На вкладке «Настройки» нажмите кнопку «Аутентификация».
  2. В диалоговом окне «Аутентификация» снимите флажок «Интегрировано». Нажмите OK в диалоговом окне Microsoft Internet Security and Acceleration Server 2004 с предупреждением о том, что в настоящее время не настроены методы проверки подлинности.
  3. Поставьте галочку в поле Аутентификация на основе форм OWA. Функция проверки подлинности на основе форм OWA очень полезна и повышает безопасность, которую брандмауэр ISA Server 2004 обеспечивает для вашего сайта OWA. Брандмауэр создает форму входа в систему, а затем пересылает учетные данные, отправленные пользователем, на сайт OWA для аутентификации. Только после успешной аутентификации пользователя запрос на подключение перенаправляется на сайт OWA. Это предотвращает подключение неаутентифицированных пользователей к сайту OWA и устраняет риски, связанные с доступом неаутентифицированных пользователей к сайту OWA. Обратите внимание, что вы не должны включать проверку подлинности на основе форм на сайте OWA сервера Exchange. Аутентификация на основе форм должна быть включена только на брандмауэре ISA. Нажмите кнопку Настроить.


Рисунок 11

  1. В диалоговом окне OWA Forms-Based Authentication установите флажки в полях Клиенты на общедоступных компьютерах, Клиенты на частных компьютерах и Выход из OWA, когда пользователь покидает сайт OWA. Эти настройки повышают безопасность вашего сайта OWA. Обратите внимание, что у вас также есть возможность установить время ожидания сеанса для клиентов как на общедоступных, так и на частных компьютерах. Важно отметить, что пользователь решает, следует ли распознавать машину как общедоступную или частную. Поскольку это не очень хорошая политика безопасности, позволяющая пользователю определять уровень безопасности, применяемый к соединению, вы должны установить одну и ту же политику для всех пользователей. Нажмите ОК.


Рисунок 12

  1. Нажмите «ОК» в диалоговом окне «Аутентификация».
  2. Нажмите «Применить», а затем «ОК» в диалоговом окне «Свойства прослушивателя SSL OWA».
  3. Нажмите «Далее» на странице «Выбор веб-прослушивателя».


Рисунок 13

  1. На странице «Наборы пользователей» примите значение по умолчанию « Все пользователи» и нажмите «Далее». Обратите внимание, что это не означает, что все пользователи смогут получить доступ к сайту OWA. Только пользователи, которые смогут успешно пройти аутентификацию, смогут получить доступ к сайту. Фактическая аутентификация выполняется сайтом OWA с использованием учетных данных, которые ему пересылает брандмауэр ISA Server 2004. Вы не можете использовать сам брандмауэр ISA Server 2004 и сайт OWA для аутентификации пользователя. Это означает, что вы должны разрешить всем пользователям доступ к правилу. Исключением из этого правила являются случаи, когда пользователи аутентифицируются на самом брандмауэре ISA Server 2004, используя аутентификацию клиентского сертификата.
  2. Нажмите «Готово» на странице «Завершение работы мастера создания правила публикации нового почтового сервера».
  3. Нажмите «Применить», чтобы сохранить изменения и обновить политику брандмауэра.
  4. Нажмите «ОК» в диалоговом окне «Применить новую конфигурацию».

Есть вопросы по статье?
Спросите по адресу: http://forums.isaserver.org/ultimatebb.cgi?ubb=get_topic;f=23;t=000679

Создание правила доступа All Open на внешнем брандмауэре ISA.

Внутреннему брандмауэру ISA необходим исходящий доступ в Интернет через внешний брандмауэр ISA Server 2004. Этого можно добиться несколькими способами. В производственной среде вы можете настроить цепочку брандмауэров и сделать внутренний брандмауэр ISA Server 2004 клиентом брандмауэра вышестоящего внешнего брандмауэра ISA Server 2004, а затем создать правило, разрешающее только внутренний брандмауэр ISA Server 2004 « исходящий доступ учетной записи пользователя. Кроме того, вы должны определить, каким протоколам должен быть разрешен исходящий доступ от внутреннего брандмауэра.

В текущем примере мы создадим правило доступа «все открыто», которое разрешает внутреннему брандмауэру ISA Server 2004 доступ ко всем протоколам при подключении к Интернету. Мы делаем это для простоты для текущего примера. В производственной сети контроль исходящего доступа имеет решающее значение, и вы должны определить точные протоколы, которым разрешен доступ.

ВНИМАНИЕ:
На этом этапе, когда вам нужен исходящий доступ из Интернет-сети по умолчанию внутреннего брандмауэра ISA и из Интернета, вы должны убедиться, что внутренний брандмауэр ISA является клиентом SecureNAT внешнего брандмауэра ISA.

Выполните следующие шаги, чтобы создать правило доступа «все открыто» для внутреннего брандмауэра ISA Server 2004:

  1. В консоли управления Microsoft Internet Security and Acceleration Server 2004 на интерфейсном брандмауэре ISA Server 2004 разверните имя сервера и щелкните узел Политика брандмауэра.
  2. В узле «Политика брандмауэра» щелкните вкладку «Задачи» на панели задач. В области задач нажмите ссылку «Создать новое правило доступа».
  3. На странице Добро пожаловать на страницу мастера нового правила доступа введите All Open for Back-end ISA Firewall в текстовом поле Имя правила доступа. Нажмите «Далее».
  4. Выберите «Разрешить» на странице «Действие правила».
  5. На странице Протоколы выберите запись Весь исходящий трафик в списке Это правило применяется к. Нажмите «Далее».
  6. На странице Источники правил доступа щелкните Добавить.
  7. В диалоговом окне «Добавить сетевые объекты» откройте меню « Создать» и выберите «Компьютер».
  8. В диалоговом окне New Computer Rule Element введите Back End ISA Firewall в текстовом поле Имя. Введите 10.0.1.2 в текстовое поле IP-адрес компьютера. Нажмите ОК.
  9. В диалоговом окне Add Network Entities щелкните папку Computers, а затем дважды щелкните запись Back End ISA Firewall. Щелкните Закрыть.
  10. Нажмите «Далее» на странице «Источники правил доступа».
  11. На странице «Назначения правил доступа» нажмите «Добавить».
  12. В диалоговом окне «Добавить сетевые объекты» щелкните папку «Сети». Дважды щелкните запись «Внешний» и нажмите «Закрыть».
  13. Нажмите «Далее» на странице «Назначения правил доступа».
  14. На странице «Наборы пользователей» примите значение по умолчанию « Все пользователи» и нажмите «Далее».
  15. Нажмите «Готово» на странице «Завершение работы мастера создания нового правила доступа».
  16. Нажмите «Применить», чтобы сохранить изменения и обновить политику брандмауэра.
  17. Нажмите «ОК» в диалоговом окне «Применить новую конфигурацию».

Создание правила веб-публикации для веб-сайта регистрации на внешнем брандмауэре ISA

Внешний клиент OWA должен получить сертификат CA, чтобы доверять сертификату веб-сайта на внешнем брандмауэре ISA, когда он создает SSL-ссылку на внешний брандмауэр. Этого можно добиться несколькими способами, но самый простой способ — сделать веб-сайт регистрации ЦС предприятия доступным для внешнего хоста. Мы можем добиться этого, создав правила веб-публикации как на внутреннем, так и на внешнем брандмауэрах ISA.

Выполните следующие шаги на внешнем брандмауэре ISA, чтобы опубликовать веб-сайт регистрации ЦС предприятия:

  1. В консоли управления Microsoft Internet Security and Acceleration Server 2004 разверните имя сервера и щелкните узел Политика брандмауэра.
  2. В области задач щелкните вкладку Задачи. На вкладке Задачи щелкните ссылку Опубликовать веб-сервер.
  3. Введите имя правила веб-публикации на странице Добро пожаловать в мастер создания правила веб-публикации. В этом примере мы введем имя «Публикация веб-сайта регистрации» в текстовом поле «Имя правила веб-публикации». Нажмите «Далее».
  4. Выберите параметр «Разрешить» на странице «Выбор действия правила».
  5. На странице «Определить веб-сайт для публикации» введите IP-адрес внешнего интерфейса внутреннего брандмауэра ISA Server 2004, который публикует веб-сайт регистрации, в текстовом поле «Имя компьютера или IP-адрес». В этом примере IP-адрес — 10.0.1.2, поэтому мы введем это значение в текстовое поле. В текстовом поле Путь введите /certsrv/*. Нажмите «Далее».


Рисунок 14

  1. На странице сведений об общедоступном имени выберите параметр Это доменное имя (введите ниже) в поле списка Принять запрос на. В текстовом поле Public name введите IP-адрес внешнего интерфейса внешнего брандмауэра ISA Server 2004. В этом примере внешний адрес внешнего брандмауэра ISA Server 2004 — 192.168.1.70, поэтому мы введем это значение в текстовое поле. Введите /certsrv/* в текстовое поле «Путь» (необязательно). Нажмите «Далее».


Рисунок 15

  1. На странице «Выбор веб-прослушивателя» нажмите кнопку «Создать».
  2. На странице «Вас приветствует новый веб-прослушиватель» введите имя правила в текстовом поле «Имя веб-прослушивателя». В этом примере мы назовем прослушиватель HTTP Listener, чтобы указать IP-адрес, на котором прослушиватель прослушивает. Нажмите «Далее».
  3. На странице IP-адреса поставьте галочку в поле Внешний и нажмите Далее.
  4. На странице Спецификация порта примите настройки по умолчанию. Убедитесь, что в поле «Включить HTTP» установлен флажок, а в текстовом поле «Порт HTTP» указано значение 80. Нажмите «Далее».


Рисунок 16

  1. Нажмите «Готово» на странице «Завершение работы мастера создания нового веб-прослушивателя».
  2. Нажмите «Далее» на странице «Выбор веб-прослушивателя».
  3. Примите настройку по умолчанию All Users на странице User Sets и нажмите Next.
  4. Нажмите «Готово» на странице «Завершение работы мастера создания правила веб-публикации».
  5. Щелкните правой кнопкой мыши правило публикации веб-сайта регистрации и выберите Свойства.
  6. В диалоговом окне «Публикация свойств веб-сайта регистрации» перейдите на вкладку «Пути». На вкладке «Пути» нажмите кнопку «Добавить». В диалоговом окне Сопоставление пути добавьте запись /CertControl/* в поле Укажите папку на веб-сайте, который вы хотите опубликовать. Чтобы опубликовать весь веб-сайт, оставьте это поле пустым. Нажмите ОК.


Рисунок 17

  1. Нажмите «Применить», а затем нажмите «ОК» в диалоговом окне «Свойства веб-сайта регистрации публикации».
  2. Нажмите «Применить», чтобы сохранить изменения и обновить политику брандмауэра.
  3. Нажмите «ОК» в диалоговом окне «Применить новую конфигурацию».

Настройка общедоступного DNS для разрешения имени сайта OWA

Правильное разрешение имени хоста DNS имеет решающее значение при разработке решения для удаленного доступа. Идеальная конфигурация DNS позволяет пользователям, которые перемещаются между внутренней и внешней сетями, иметь возможность разрешать имена хостов в правильный адрес независимо от того, где они в настоящее время находятся.

Идеальной конфигурацией DNS является разделенный DNS. Инфраструктура разделенного DNS состоит из двух зон, которые обслуживают домен зоны и поддомены:

  • Внутренняя зона, которая используется только узлами внутренней сети.
  • Внешняя зона, которая используется только узлами внешней сети.

Хосты внутренней сети, которым необходимо разрешать имена во внутренней сети, запрашивают зону внутренней сети и получают IP-адрес внутренней сети хоста, к которому они хотят подключиться. Хосты внешней сети запрашивают зону внешней сети и получают общедоступный IP-адрес, к которому они могут подключиться. Целевая машина одинакова для внешних и внутренних хостов; они просто идут разными путями, чтобы добраться до общего пункта назначения.

Например, домен вашей внутренней сети, к которому принадлежат серверы Exchange, — domain.com. Вы публикуете сайт OWA в Интернете с помощью ISA Server 2000. ISA Server использует IP-адрес 131.107.0.1 для прослушивания входящих запросов сайта OWA. Сервер Exchange во внутренней сети имеет IP-адрес 10.0.0.3.

Ваша цель — разрешить всем хостам, независимо от их местонахождения, доступ к серверу Exchange, используя полное доменное имя owa.domain.com. Вы хотите, чтобы хосты во внутренней сети подключались напрямую к сайту OWA, используя IP-адрес 10.0.0.3, а удаленные хосты, подключающиеся из Интернета, использовали IP-адрес 131.107.0.1. для доступа к сайту OWA.

Решение состоит в том, чтобы создать записи на общедоступном DNS-сервере для домена domain.com. Вы можете поручить размещение служб DNS третьей стороне или можете размещать их самостоятельно. Независимо от того, кто размещает эти адреса, записи ресурсов DNS для домена domain.com на этом общедоступном DNS-сервере содержат общедоступные адреса, которые пользователи должны использовать для доступа к ресурсам. В случае опубликованных ресурсов на сервере Exchange необходимо создать запись Host (A) для owa.domain.com, чтобы сопоставить ее с IP-адресом 131.107.0.1.

Затем вы должны создать второй DNS-сервер во внутренней сети за брандмауэром ISA Server. На DNS-сервере внутренней сети также находится зона для домена domain.com. Вы должны создать запись ресурса Host (A) на DNS-сервере внутренней сети в зоне domain.com для owa.domain.com. Разница в том, что на этот раз вы сопоставляете эти три записи с 10.0.0.3.

Хостам внешней сети назначается адрес DNS-сервера, который позволяет им преобразовывать имена в общедоступные адреса. То, как этим внешним хостам назначается IP-адрес, зависит от того, где они расположены. Обычно у вас нет контроля над конкретным адресом DNS-сервера, назначенным вашим удаленным хостам. Однако это не проблема. Если вы зарегистрировали свой domain.com у интернет-регистратора и указали правильный адрес общедоступного полномочного DNS-сервера для вашего домена, у внешних хостов не возникнет проблем с правильным разрешением ваших общедоступных адресов.

Хостам внутренней сети можно назначить правильный адрес DNS-сервера с помощью DHCP. Когда удаленный хост перемещается во внутреннюю сеть, он получает новую информацию об IP-адресации, включая адрес DNS-сервера, от вашего DHCP-сервера. Когда хост получит IP-адрес вашего внутреннего DNS-сервера, он сможет преобразовать имена, связанные с интерфейсным сервером Exchange, в его внутренний адрес.

Установка сертификата ЦС предприятия на клиентский компьютер OWA

Теперь мы должны получить сертификат ЦС от ЦС предприятия во внутренней сети. Мы можем подключиться к веб-сайту регистрации, чтобы получить сертификат ЦС. Выполните следующие шаги, чтобы получить сертификат ЦС и установить его на клиентский компьютер Outlook Express:

  1. На клиентском компьютере электронной почты Outlook Express введите http://192.168.1.70/certsrv в адресной строке и нажмите клавишу ВВОД.
  2. В диалоговом окне «Подключение к» введите «Администратор» в текстовом поле «Имя пользователя » и пароль администратора в текстовом поле « Пароль». Нажмите ОК.
  3. На странице приветствия сайта Microsoft Certificate Services щелкните ссылку Загрузить сертификат ЦС, цепочку сертификатов или CRL.
  4. На странице Загрузить сертификат ЦС, цепочку сертификатов или CRL щелкните ссылку Установить эту цепочку сертификатов ЦС.
  5. Нажмите «Да» в диалоговом окне «Предупреждение безопасности» с вопросом, хотите ли вы установить контроль регистрации сертификатов Microsoft.
  6. Нажмите «Да» в диалоговом окне «Потенциальное нарушение сценариев», информируя вас о том, что веб-узел добавит сертификат на машину.
  7. Нажмите «Да» в диалоговом окне «Хранилище корневых сертификатов» с вопросом, хотите ли вы добавить сертификат ЦС.
  8. Закройте браузер после того, как вы увидите страницу установки сертификата ЦС, которая информирует вас об успешной установке цепочки сертификатов ЦС.

Создание записи файла HOSTS на клиентском компьютере OWA

Клиентский компьютер OWA должен иметь возможность преобразовать имя сервера OWA в имя, указанное в сертификате веб-сайта сервера OWA. Имя, которое мы присвоили сертификату веб-сайта на сервере OWA, — owa.msfirewall.org. Клиентская машина OWA должна иметь возможность преобразовать это имя в IP-адрес внешнего интерфейса брандмауэра ISA, который прослушивает входящие запросы к серверу OWA. В нашем текущем примере это 192.168.1.70.

В производственной среде у вас должна быть разделенная инфраструктура DNS, которая правильно разрешает имена как для клиентов внутренней, так и для внешней сети. В нашем примере мы не создали разделенную инфраструктуру DNS, поэтому мы будем использовать файл HOSTS для преобразования owa.msfirewall.org в правильный IP-адрес.

ВНИМАНИЕ:
Запись файла HOSTS на клиенте не требуется. Мы используем запись файла HOSTS на клиенте в этом примере только для демонстрации разделенного DNS. В вашей производственной среде вы должны создать свой собственный разделенный DNS, включающий внутреннюю и внешнюю зоны DNS для одного и того же доменного имени.

Выполните следующие шаги, чтобы создать запись файла HOSTS на клиентском компьютере электронной почты:

  1. Щелкните правой кнопкой мыши «Пуск» и выберите «Исследовать».
  2. Перейдите в папку <system_root>system32driversetc и откройте файл HOSTS в Блокноте.
  3. В файле HOSTS введите строку под записью localhost:

192.168.1.70 owa.msfirewall.org

Убедитесь, что вы нажимаете клавишу ВВОД после завершения строки, чтобы точка вставки находилась под новой строкой. В противном случае новая запись не будет распознана.


Рисунок 18

  1. Закройте файл HOSTS и сохраните изменения.

Подключение к веб-сайту OWA

Выполните следующие шаги, чтобы установить соединение с веб-сайтом OWA:

  1. Откройте Internet Explorer, введите http://owa.msfirewall.org/exchange в адресную строку и нажмите ENTER.
  2. На странице входа в Outlook Web Access введите MSFIREWALLАдминистратор в текстовом поле Доменимя пользователя и введите пароль администратора в текстовом поле Пароль. Выберите опцию «Премиум» в разделе «Клиент». Выберите параметр «Частный компьютер» в разделе «Безопасность». Щелкните Войти.


Рисунок 19

  1. Сайт OWA открывается в окне SSL. Значок замка в строке состояния Internet Explorer подтверждает безопасную ссылку.


Рисунок 20

  1. Нажмите Log Off, чтобы выйти из веб-сайта OWA.

Есть вопросы по статье?
Спросите по адресу: http://forums.isaserver.org/ultimatebb.cgi?ubb=get_topic;f=23;t=000679

Вывод

В этой статье мы обсудили процедуры, необходимые для публикации защищенного веб-сайта Microsoft Exchange OWA и настройки веб-клиента OWA для безопасного соединения в среде брандмауэра ISA Server 2004. Конфигурация «спина к спине» особенно полезна, потому что она существенно удваивает уровень вашей безопасности и позволяет вам создать безопасную DMZ между брандмауэрами ISA, в то же время используя весь набор функций брандмауэра ISA, доступный для члена домена брандмауэра ISA на обратной стороне. - конец брандмауэра ISA. В следующих статьях основное внимание будет уделено проблемам исходящего доступа при использовании встречных конфигураций брандмауэра ISA.

Публикация OWA-сайта в конфигурации Back-to-Back ISA Firewall (Часть 1)