Включение аутентификации на основе форм брандмауэра ISA (FBA) для соединений OWA как для внутренних, так и для внешних клиентов (часть 2)

Включение аутентификации на основе форм брандмауэра ISA (FBA) для соединений OWA как для внутренних, так и для внешних клиентов (часть 2)

Томас Шиндер, доктор медицинских наук, MVP

В части 1 этой серии из двух частей, посвященной настройке функции аутентификации на основе форм брандмауэра ISA для поддержки как внутренних, так и внешних клиентов, мы рассмотрели вопросы и проблемы, которые необходимо решить, чтобы все клиенты могли воспользоваться превосходной безопасностью, обеспечиваемой функция FBA брандмауэра ISA. Мы также рассмотрели процедуры, необходимые на веб-сайте OWA для создания сертификатов, необходимых для веб-слушателей на брандмауэре ISA. Во второй части этой серии, состоящей из двух частей, мы сосредоточим наше внимание на этапах настройки брандмауэра ISA, а затем протестируем конфигурацию.

Если вы пропустили первую часть статьи, ознакомьтесь с ней по адресу http://isaserver.org/tutorials/Enabling-ISA-Firewall-Forms-based-Authentication-OWA-Connections-Internal-External-Clients-Part1.html.

Примечание:
Поскольку вы зашли так далеко в этом цикле статей, я открою вам небольшой секрет. Обсуждаемый здесь метод — не единственный способ включить FBA брандмауэра ISA как для внутренних, так и для внешних клиентов. Однако метод, который я описываю в этой серии, является более гибким и позволяет детально контролировать доступ для внутренних и внешних клиентов OWA. Альтернативному методу, который я опишу в следующей статье, не хватает гибкости решения, обсуждаемого в этом документе.

Скопируйте сертификаты на брандмауэр ISA и импортируйте их в хранилище сертификатов машины брандмауэра ISA.

Мы закончили нашу работу с Exchange Server, так что теперь мы перенесем наше внимание на брандмауэр ISA. Скопируйте два файла сертификата на устройство брандмауэра ISA. После копирования файлов сертификатов на устройство брандмауэра ISA импортируйте каждый из сертификатов в хранилище сертификатов компьютера брандмауэра ISA. Сертификаты будут готовы для привязки к веб-прослушивателям после того, как они будут импортированы в хранилище сертификатов компьютера устройства брандмауэра ISA.

Выполните следующие шаги, чтобы импортировать сертификаты в хранилище сертификатов машины брандмауэра ISA:

1. На устройстве брандмауэра ISA нажмите кнопку «Пуск», а затем нажмите «Выполнить». В диалоговом окне «Выполнить» введите MMC и нажмите «ОК».
2. В окнах Console-1 нажмите «Файл», а затем нажмите «Добавить/удалить оснастку».
3. В диалоговом окне «Добавить/удалить оснастку» нажмите «Добавить».
4. В диалоговом окне «Добавить автономную оснастку» выберите «Сертификаты» в списке «Доступные автономные оснастки» и нажмите «Добавить».
5. Выберите параметр «Учетная запись компьютера» на странице оснастки «Сертификаты» и нажмите «Далее».
6. На странице «Выбор компьютера» выберите параметр «Локальный компьютер» и нажмите «Готово».
7. Нажмите «Закрыть» на странице «Добавить автономную оснастку».
8. Нажмите «ОК» на странице «Добавить/удалить оснастку».
9. Разверните узел Сертификаты (локальный компьютер), а затем разверните узел Личный. Щелкните узел Сертификаты.
10. Щелкните правой кнопкой мыши узел «Сертификаты», выберите «Все задачи» и нажмите «Импорт».
11. Нажмите «Далее» на странице «Добро пожаловать в мастер импорта сертификатов».
12. Введите имя файла и путь для сертификата внешнего интерфейса в текстовом поле Имя файла или нажмите кнопку Обзор, чтобы найти его. Затем нажмите «Далее».

    
    фигура 1
    

13. На странице «Пароль» введите пароль, назначенный сертификату, и нажмите «Далее».
14. Примите настройки по умолчанию на странице Хранилище сертификатов и нажмите Далее.
15. Нажмите «Готово» на странице «Завершение работы мастера импорта сертификатов».
16. Нажмите OK в диалоговом окне, сообщающем об успешном импорте.
17. Повторите процедуру, но на этот раз импортируйте сертификат, который будет использоваться на веб-приемнике внутреннего интерфейса.
18. Щелкните правой кнопкой мыши сертификат ЦС, который был импортирован в хранилище PersonalCertificates компьютера, и выберите Вырезать.

    
    фигура 2
    

19. Разверните узел Доверенные корневые центры сертификации в левой панели консоли и щелкните узел Сертификаты.
20. Щелкните правой кнопкой мыши узел Сертификаты и выберите Вставить.
21. Вернитесь к узлу PersonalCertificates. Дважды щелкните сертификат с понятным именем сертификата внешнего веб-прослушивателя. Нажмите на вкладку Путь сертификации. Вы не должны видеть красный крестик на корневом сертификате ЦС. Если вы видите красный «X» на корневом сертификате ЦС, значит, вы не скопировали сертификат ЦС в хранилище сертификатов доверенных корневых центров сертификации брандмауэра ISA. Нажмите OK, чтобы закрыть диалоговое окно Сертификат.

    
    Рисунок 3
    

22. Вам не нужно проверять другой сертификат, так как он был выпущен тем же CA.

Создайте внешние и внутренние веб-прослушиватели

Теперь мы готовы создать веб-прослушиватели для внешних и внутренних правил веб-публикации OWA. Мы могли бы создавать веб-прослушиватели «на лету» при создании правил веб-публикации, но чтобы сделать шаги более понятными, мы создадим прослушиватели перед созданием правил.

Выполните следующие шаги, чтобы создать прослушиватель, используемый для внешнего веб-прослушивателя:

1. В консоли брандмауэра ISA разверните имя сервера и щелкните узел Политики брандмауэра.
2. В узле «Политика брандмауэра» щелкните вкладку «Панель инструментов» на панели задач.
3. На вкладке Панель инструментов щелкните ссылку Сетевые объекты. Нажмите меню «Создать», а затем нажмите «Веб-прослушиватель».
4. На странице Добро пожаловать в мастер создания нового веб-прослушивателя введите имя прослушивателя. В этом примере мы назовем прослушиватель External OWA Listener в текстовом поле Имя веб-прослушивателя и нажмем Next.
5. На странице «IP-адреса» поставьте галочку в поле «Внешний» и нажмите «Далее». Если у вас есть более одного IP-адреса, привязанного к внешнему интерфейсу брандмауэра ISA, нажмите кнопку «Адрес» и выберите IP-адрес, который должен получать входящие запросы для сайта OWA.
6. На странице «Спецификация порта» снимите флажок «Включить HTTP». Поставьте галочку в поле Включить SSL. Нажмите кнопку Выбрать.
7. В диалоговом окне «Выбор сертификата» выберите сертификат с понятным именем, которое вы присвоили сертификату, который будет использоваться для внешнего прослушивателя. В этом примере мы выберем сертификат с понятным именем External Web Listener Cert и нажмем OK.

   
   Рисунок 4
   

8. Нажмите «Далее» на странице «Спецификация порта».

   
   Рисунок 5
   

9. Нажмите «Готово» на странице «Завершение работы мастера создания нового веб-прослушивателя».

Выполните следующие шаги, чтобы создать внутренний веб-прослушиватель:

1. Нажмите меню «Создать», а затем нажмите «Веб-прослушиватель».
2. На странице Добро пожаловать в мастер создания нового веб-прослушивателя введите имя прослушивателя. В этом примере мы назовем прослушиватель Internal OWA Listener в текстовом поле Имя веб-прослушивателя и нажмем Next.
3. На странице «IP-адреса» поставьте галочку в поле « Внутренние» и нажмите «Далее».
4. На странице «Спецификация порта» снимите флажок «Включить HTTP». Поставьте галочку в поле Включить SSL. Нажмите кнопку Выбрать.
5. В диалоговом окне «Выбор сертификата» выберите сертификат с понятным именем, которое вы присвоили сертификату, который будет использоваться для внешнего прослушивателя. В этом примере мы выберем сертификат, которому присвоено понятное имя Internal Web Listener Cert, и нажмем OK.

   
   Рисунок 6
   

6. Нажмите «Далее» на странице «Спецификация порта».

   
   Рисунок 7
   

7. Нажмите «Готово» на странице «Завершение работы мастера создания нового веб-прослушивателя».

Создайте правила веб-публикации

Теперь мы создадим два правила веб-публикации: одно будет использоваться внешними пользователями для доступа к веб-сайту OWA, а второе — пользователями корпоративной сети для доступа к веб-сайту OWA. Мы будем использовать созданные ранее веб-слушатели, но немного изменим их конфигурацию. Нам нужно настроить каждого слушателя на использование FBA в качестве метода аутентификации.

Создайте правило веб-публикации для внешних пользователей

Выполните следующие шаги, чтобы создать правило веб-публикации для внешних пользователей:

1. В консоли брандмауэра ISA разверните имя сервера и щелкните узел Политики брандмауэра.
2. В узле «Политика брандмауэра» щелкните вкладку «Задачи» на панели задач, а затем щелкните ссылку «Опубликовать почтовый сервер».
3. На странице Добро пожаловать в мастер нового правила публикации почтового сервера введите имя правила в текстовом поле Имя правила публикации почтового сервера. В этом примере мы назовем правило «Внешний доступ к OWA» и нажмем «Далее».
4. На странице «Выбор типа доступа» выберите доступ к веб-клиенту: Outlook Web Access (OWA), Outlook Mobile Access, Exchange Server ActiveSync и нажмите «Далее».
5. На странице Выбор служб выберите параметр Outlook Web Access. Оставьте включенным параметр Включить символы старшего разряда, используемые наборами символов, отличными от английского, если вам необходимо принимать электронную почту с наборами символов, отличными от английского. Нажмите «Далее».
6. На странице «Режим моста» выберите параметр «Безопасное подключение к клиентам и почтовому серверу» и нажмите «Далее».
7. На странице Specify the Web Mail Server введите имя сервера OWA в корпоративной сети. Это имя должно совпадать с именем в сертификате веб-сайта, связанном с веб-сайтом OWA в корпоративной сети. В этом примере общее/субъектное имя сертификата веб-сайта, привязанного к веб-сайту OWA, — owa.msfirewall.org, поэтому мы будем использовать это имя в текстовом поле имени почтового веб-сервера.

   Примечание:
   очень важно, чтобы брандмауэр ISA мог преобразовать это имя в фактический IP-адрес сайта OWA в корпоративной сети. Для этого вам нужно будет создать запись в файле HOSTS на брандмауэре ISA, которая преобразует это имя в сайт OWA в корпоративной сети. В этом примере разделенный DNS не будет работать корректно, позволяя брандмауэру ISA разрешать адрес сайта OWA, поскольку компонент разделенного DNS, используемый клиентами корпоративной сети за брандмауэром ISA, будет настроен на сопоставление адреса сайта OWA с внутренним адресом. Веб-слушатель. Запись в файле HOSTS позволит брандмауэру ISA преобразовать имя в фактический веб-сайт, что, по сути, переопределяет настройки разделенного DNS. Нажмите «Далее».

   
   Рисунок 8
   

8. На странице сведений об общедоступном имени выберите параметр Это доменное имя (введите ниже) в списке Принимать запросы на. В текстовом поле Общедоступное имя введите имя, которое внешние пользователи будут использовать для доступа к сайту OWA. Имя, которое внешние пользователи должны использовать для доступа к веб-сайту OWA , должно совпадать с общим/субъектным именем в сертификате веб-сайта, связанном с прослушивателем, используемым в этом правиле веб-публикации. Общее/субъектное имя, используемое в веб-прослушивателе, которое мы будем использовать в этом правиле веб-публикации, — owa.msfirewall.org, поэтому мы введем это имя в текстовое поле Общедоступное имя. Нажмите «Далее».

   
   Рисунок 9
   

9. На странице «Выбор веб-прослушивателя» щелкните стрелку вниз на веб-прослушивателе и выберите запись «Внешний прослушиватель OWA». Нажмите кнопку «Изменить».
10. В диалоговом окне «Свойства внешнего прослушивателя OWA» щелкните вкладку «Параметры».
11. На вкладке «Настройки» нажмите кнопку «Аутентификация».
12. В диалоговом окне «Аутентификация» снимите флажок «Интегрировано». Нажмите OK в диалоговом окне, информирующем вас о том, что методы аутентификации не настроены. Поставьте галочку в поле OWA Forms-based. Установите флажок Требовать аутентификацию всех пользователей. Нажмите ОК.

    
    Рисунок 10
    

13. Нажмите «ОК» в диалоговом окне «Свойства внешнего прослушивателя OWA».
14. Нажмите «Далее» на странице «Выбор веб-прослушивателя».

    
    Рисунок 11
    

15. На странице «Наборы пользователей» щелкните запись «Все пользователи» и нажмите «Удалить». Нажмите кнопку «Добавить».
16. В диалоговом окне «Добавить пользователей» дважды щелкните запись «Все прошедшие проверку» и нажмите «Закрыть».
17. Нажмите «Далее» на странице «Наборы пользователей».
18. Нажмите «Готово» на странице «Завершение работы мастера создания правила публикации нового почтового сервера».

Создайте правило веб-публикации для внутренних пользователей

Теперь выполните следующие шаги, чтобы создать правило веб-публикации, используемое внутренними пользователями в корпоративной сети для доступа к сайту OWA:

1. В узле «Политика брандмауэра» щелкните вкладку «Задачи» на панели задач, а затем щелкните ссылку «Опубликовать почтовый сервер».
2. На странице Добро пожаловать в мастер нового правила публикации почтового сервера введите имя правила в текстовом поле Имя правила публикации почтового сервера. В этом примере мы назовем правило Internal OWA Access и нажмем Next.
3. На странице «Выберите тип доступа» выберите доступ к веб-клиенту: Outlook Web Access (OWA), Outlook Mobile Access, Exchange Server ActiveSync и нажмите «Далее».
4. На странице Выбор служб выберите параметр Outlook Web Access. Оставьте включенным параметр Включить символы старшего разряда, используемые наборами символов, отличными от английского, если вам необходимо принимать электронную почту с наборами символов, отличными от английского. Нажмите «Далее».
5. На странице «Режим моста» выберите параметр «Безопасное подключение к клиентам и почтовому серверу» и нажмите «Далее».
6. На странице Specify the Web Mail Server введите имя сервера OWA в корпоративной сети. Это имя должно совпадать с именем в сертификате веб-сайта, связанном с веб-сайтом OWA в корпоративной сети. В этом примере общее/субъектное имя сертификата веб-сайта, привязанного к веб-сайту OWA, — owa.msfirewall.org, поэтому мы будем использовать это имя в текстовом поле имени почтового веб-сервера.

   Примечание:
   очень важно, чтобы брандмауэр ISA мог преобразовать это имя в фактический IP-адрес сайта OWA в корпоративной сети. Для этого вам потребуется создать запись в файле HOSTS на брандмауэре ISA, которая преобразует это имя в сайт OWA в корпоративной сети. В этом примере разделенный DNS не будет работать корректно, позволяя брандмауэру ISA разрешать адрес сайта OWA, так как компонент разделенного DNS, используемый клиентами корпоративной сети за брандмауэром ISA, будет настроен на сопоставление адреса сайта OWA с внутренним адресом. Веб-слушатель. Запись в файле HOSTS позволит брандмауэру ISA преобразовать имя в фактический веб-сайт, что, по сути, переопределяет настройки разделенного DNS. Нажмите «Далее».

   
   Рисунок 12
   

7. На странице сведений об общедоступном имени выберите параметр Это доменное имя (введите ниже) в списке Принимать запросы на. В текстовом поле Общедоступное имя введите имя, которое внутренние пользователи в корпоративной сети будут использовать для доступа к сайту OWA. Имя, которое пользователи внутренней корпоративной сети должны использовать для доступа к веб-сайту OWA , должно совпадать с общим/субъектным именем в сертификате веб-сайта, связанном с прослушивателем, используемым в этом правиле веб-публикации. Общее/субъектное имя, используемое в веб-прослушивателе, которое мы будем использовать в этом правиле веб-публикации, — owa.msfirewall.org, поэтому мы введем это имя в текстовое поле Общедоступное имя. Нажмите «Далее».

   
   Рисунок 13
   

8. На странице «Выбор веб-прослушивателя» щелкните стрелку вниз на веб-прослушивателе и выберите запись «Внутренний прослушиватель OWA». Нажмите кнопку «Изменить».
9. В диалоговом окне «Свойства внутреннего прослушивателя OWA» щелкните вкладку «Параметры».
10. На вкладке «Настройки» нажмите кнопку «Аутентификация».
11. В диалоговом окне «Аутентификация» снимите флажок «Интегрировано». Нажмите OK в диалоговом окне, информирующем вас о том, что методы аутентификации не настроены. Поставьте галочку в поле OWA Forms-based. Установите флажок Требовать аутентификацию всех пользователей. Нажмите «ОК».

    
    Рисунок 14
    

12. Нажмите «ОК» в диалоговом окне «Свойства внутреннего прослушивателя OWA».
13. Нажмите «Далее» на странице «Выбор веб-прослушивателя».

    
    Рисунок 15
    

14. На странице «Наборы пользователей» щелкните запись «Все пользователи» и нажмите «Удалить». Нажмите кнопку «Добавить».
15. В диалоговом окне «Добавить пользователей» дважды щелкните запись «Все прошедшие проверку» и нажмите «Закрыть ».
16. Нажмите «Далее» на странице «Наборы пользователей».
17. Нажмите «Готово» на странице «Завершение работы мастера создания правила публикации нового почтового сервера».

Создайте записи узла (A) в разделенном DNS и настройте запись файла HOSTS на брандмауэре ISA.

Вам необходимо создать разделенную инфраструктуру DNS, чтобы создать удобное и прозрачное решение для доступа к OWA. Инфраструктура разделенного DNS проста в развертывании. Ключевым моментом является создание двух зон, которые являются полномочными для одного и того же домена. Одна из зон доступна узлам Интернета и доступна внешним пользователям в Интернете, а вторая зона доступна только узлам внутренней сети. Внешняя зона разрешает имена в адреса, доступные в Интернете, а внутренняя зона разрешает имена в адреса внутренней корпоративной сети.

В этом примере внешняя зона msfirewall.org преобразует имя owa.msfirewall.org в IP-адрес внешнего интерфейса брандмауэра ISA, используемого внешним веб-прослушивателем OWA. Внутренняя зона для домена msfirewall.org преобразует имя owa.msfirewall.org в IP-адрес внутреннего интерфейса брандмауэра ISA, используемого внутренним веб-слушателем.

Это немного отличается от нашей обычной разделенной инфраструктуры DNS. Обычно внутренняя зона преобразует имя веб-сайта OWA в фактический IP-адрес, используемый веб-сайтом OWA. Однако мы должны отклониться от этого типичного подхода, потому что мы хотим, чтобы пользователи внутренней корпоративной сети имели доступ к функциям FBA брандмауэра ISA. Для достижения этой цели нам нужно, чтобы имя owa.msfirewall.org разрешалось в IP-адрес внутреннего интерфейса брандмауэра ISA, используемого внутренним веб-слушателем.

Что тебе необходимо сделать:

• Создайте запись узла (A) во внешней зоне, чтобы внешние пользователи могли разрешать имя сервера веб-сайта OWA. В этом примере мы использовали owa.msfirewall.org, поэтому мы должны создать запись в общедоступном DNS для разрешения owa.msfirewall.org в IP-адрес на внешнем интерфейсе брандмауэра ISA. Если у вас есть устройство NAT перед брандмауэром ISA, то вы должны использовать адрес на внешнем интерфейсе устройства NAT, выполняющего обратный NAT, чтобы разрешить доступ к веб-слушателю правила веб-публикации OWA, используемому для приема подключений от внешних пользователей.
• Создайте запись узла (A) во внутренней зоне, которая разрешает имя сервера веб-сайта OWA. В этом примере пользователям внутренней корпоративной сети необходимо преобразовать имя веб-сайта OWA в IP-адрес, используемый для внутреннего веб-прослушивателя. Эта запись создается на ваших внутренних DNS-серверах и используется только внутренними хостами. Внешние хосты не должны иметь доступа к этой зоне DNS.
• Создайте запись в файле HOSTS на брандмауэре ISA, которая преобразует имя веб-сайта OWA в фактический IP-адрес на сервере веб-сайта OWA. Нам нужно, чтобы брандмауэр ISA преобразовал это имя в фактический IP-адрес сервера веб-сайта OWA, чтобы брандмауэр ISA мог перенаправлять подключения к фактическому серверу. В типичной среде с разделенным DNS мы могли бы полагаться на внутреннюю зону для правильного преобразования имени в фактический IP-адрес веб-сайта OWA, но в этом примере нам нужна наша внутренняя зона для преобразования имени веб-сайта OWA в адрес IP-адрес внутреннего интерфейса брандмауэра ISA, который используется внутренним веб-слушателем.

Я не буду вдаваться в детали того, как создать запись в файле HOSTS или запись узла DNS (A), так как делал это в ряде статей, посвященных публикации веб-сайта OWA. В примере, обсуждаемом в этой статье, внутренний интерфейс брандмауэра ISA имеет IP-адрес 10.0.0.1, поэтому этот адрес будет введен в запись узла (A) во внутренней зоне для имени узла owa.msfirewall.org.. Внешний интерфейс брандмауэра ISA имеет IP-адрес 192.168.1.70, поэтому внешняя зона будет иметь запись Host (A) для owa.msfirewall.org, сопоставленную с этим адресом. Наконец, фактический IP-адрес сайта OWA во внутренней корпоративной сети — 10.0.0.2, поэтому на брандмауэре ISA создается запись в файле HOSTS, которая разрешает owa.msfirewall.org в 10.0.0.2.

ВНИМАНИЕ и ПРЕДУПРЕЖДЕНИЕ:
Вам потребуется настроить внутренние клиенты веб-прокси для использования прямого доступа при подключении к сайту OWA. Это работает так же, как при настройке прямого доступа, чтобы позволить клиентам веб-прокси напрямую подключаться к веб-сайту OWA во внутренней сети. Разница в этом случае заключается в том, что клиенты веб-прокси будут использовать прямой доступ для подключения к IP-адресу веб-прослушивателя, используемому для подключения к странице OWA FBA на внутреннем интерфейсе брандмауэра ISA. Воспользуйтесь функцией поиска на этом сайте и найдите Direct Access для получения дополнительной информации о том, как реализовать Direct Access для клиентов веб-прокси.

Дополнительные сведения о создании и настройке разделенной инфраструктуры DNS см. в следующих статьях:

Вам нужно создать разделенный DNS на
http://www.isaserver.org/tutorials/You_Need_to_Create_a_Split_DNS.html

Поддержка сетей брандмауэра ISA Защита нелегальных доменов верхнего уровня: вам нужен разделенный DNS!
http://www.isaserver.org/tutorials/2004illegaltldsplitdns.html

Использование разделенного DNS для поддержки подключений удаленного доступа малого бизнеса
http://www.windowsnetworking.com/articles_tutorials/Split-DNS-Small-Business-Remote-Access-Connections.html

Корпоративный дизайн для DNS
http://www.microsoft.com/technet/itsolutions/wssra/raguide/NetworkServices/ignsbp_2.mspx

Протестируйте решение

Давайте проверим результаты нашей конфигурации. Сначала с клиента во внешней сети перейдите на сайт https://owa.msfirewall.org/exchange. Вы должны получить страницу аутентификации на основе форм брандмауэра ISA. Введите соответствующие учетные данные, и вы увидите свой почтовый ящик. На рисунке ниже показаны записи файла журнала брандмауэра ISA, относящиеся к подключениям внешнего клиента. Обратите внимание, что подключение осуществляется к IP-адресу на внешнем интерфейсе брандмауэра ISA, и что правило, разрешающее подключение, является правилом внешнего доступа к OWA.

Рисунок 16

Затем перейдите к другому клиенту, на этот раз в корпоративной сети, и войдите на веб-сайт OWA. Записи файла журнала брандмауэра ISA для такого соединения показаны на рисунке ниже. Обратите внимание, что соединение осуществляется с внутренним IP-адресом брандмауэра ISA, а брандмауэр ISA перенаправляет соединение на сайт OWA во внутренней сети.

Рисунок 17

Резюме

В этой статье мы завершили нашу серию из двух частей, посвященную разрешению как внутренним, так и внешним пользователям доступа к функции аутентификации на основе форм брандмауэра ISA. В первой части серии мы сосредоточились на проблемах и трудностях, с которыми приходится сталкиваться, когда требуется поддержка FBA брандмауэра ISA для внутренних и внешних клиентов, а затем мы настроили инфраструктуру сертификатов для поддержки решения. В этой, второй части серии, мы закончили установкой сертификатов в хранилище сертификатов компьютера брандмауэра ISA и настройкой веб-прослушивателей и правил веб-публикации для поддержки решения. Мы закончили эту статью демонстрацией того, как внутренние и внешние клиенты OWA подключаются к сайту OWA.

Если вы пропустили первую часть статьи, ознакомьтесь с ней по адресу http://isaserver.org/tutorials/Enabling-ISA-Firewall-Forms-based-Authentication-OWA-Connections-Internal-External-Clients-Part1.html.