Utilizzo di ISA Server 2006 con Outlook Web Access
Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Ultima modifica dell'argomento: 2007-04-20
Outlook Web Access per Exchange Server 2007 è progettato per trarre il massimo vantaggio dalle nuove funzionalità disponibili in Internet Security and Acceleration (ISA) Server 2006. Exchange 2007 è anche progettato per integrarsi con le versioni precedenti di ISA Server. Se si distribuisce Exchange 2007 in un ambiente in cui si utilizza ISA Server 2006 per garantire la protezione della rete aziendale, è disponibile la serie completa di funzionalità per Accesso client di Exchange.
Vantaggi offerti da ISA Server 2006 con Outlook Web Access
Nella seguente tabella sono elencate le funzionalità di ISA Server 2006 utili a garantire la protezione dell'ambiente di messaggistica di Microsoft Exchange che include Outlook Web Access.
Funzionalità di ISA Server 2006 con Outlook Web Access
| Funzionalità | Descrizione |
|---|---|
Conversione collegamento |
ISA Server 2006 reindirizza le richieste di Outlook Web Access di URL interni contenuti nel corpo di qualsiasi oggetto in Outlook Web Access, ad esempio un messaggio di posta elettronica o una voce di calendario. Gli utenti non hanno più necessità di ricordare spazi di nomi esterni relativi a informazioni aziendali interne associate a spazi di nomi esterni. Ad esempio, se un utente invia un collegamento, in un messaggio di posta elettronica, a uno spazio di nomi interno come http://contoso e questo URL interno viene associato a uno spazio di nomi esterno come https://www.contoso.com, quando gli utenti fanno clic sull'URL interno, l'URL interno viene convertito automaticamente nell'URL esterno. |
Bilanciamento del carico per pubblicazione sul Web |
ISA Server 2006 è in grado di bilanciare il carico delle richieste client e di inviarle a un array di server Accesso client. Quando ISA Server 2006 riceve una richiesta di connessione a Outlook Web Access, seleziona un server Accesso client e ne invia il nome al browser Web in un cookie. |
Compressione HTTP |
In passato, se si utilizzava un'autenticazione basata su form nel computer ISA Server in cui erano installati Exchange Server 2003 e ISA Server 2004 o ISA Server 2000, non era possibile utilizzare il metodo di compressione Gzip. Questo perché ISA Server non era in grado di decomprimere e ricomprimere correttamente le informazioni. ISA Server 2006 è in grado di decomprimere, verificare e quindi ricomprimere i dati prima di inviarli ai server di Exchange. Nota La compressione Gzip è disponibile in ISA Server 2004, Service Pack 2 (SP2). |
I percorsi del server Exchange sono nascosti |
Quando si pubblica un'applicazione utilizzando ISA Server, il server è protetto dall'accesso esterno diretto perché il nome e l'indirizzo IP del server non possono essere visualizzati dall'utente. L'utente accede al computer ISA Server. Il computer ISA Server crea quindi una connessione al server Accesso client in base alle condizioni della regola di pubblicazione server. |
Bridging SSL e ispezione |
Il bridging Secure Sockets Layer (SSL) protegge da attacchi nascosti nelle connessioni crittografate con SSL. Per le applicazioni Web abilitate per SSL, dopo aver ricevuto la richiesta del client, ISA Server la decrittografa, la ispeziona e funge da endpoint per la connessione SSL con il computer client. Le regole di pubblicazione sul Web determinano il modo in cui ISA Server comunica la richiesta dell'oggetto al server Web pubblicato. Quando si utilizza il bridging SSL, la regola di pubblicazione sul Web protetta è configurata per l'inoltro della richiesta mediante Secure HTTP (HTTPS). ISA Server inizia quindi una nuova connessione SSL con il server pubblicato. Poiché il computer ISA Server è diventato un client SSL, richiede che il server Web pubblicato risponda con un certificato. Un ulteriore vantaggio del bridging SSL è che un'organizzazione deve acquistare certificati SSL da un'autorità di certificazione solo per i computer ISA Server. I server che utilizzano ISA Server come server proxy inverso possono non richiedere certificati SSL o utilizzare quelli generati internamente. È inoltre possibile terminare la connessione SSL sul computer ISA Server e passare al server Accesso client con una connessione non crittografata. Questa procedura è nota come ripartizione carico di lavoro SSL. Per eseguire questa operazione, è necessario impostare l'URL interno per Outlook Web Access per l'utilizzo di HTTP e l'URL esterno per l'utilizzo di HTTPS. L'URL interno e l'URL esterno possono essere configurati tramite Exchange Management Console oppure utilizzando il cmdlet Set-OwaVirtualDirectory con i parametri InternalURL e ExternalURL in Exchange Management Shell. Per ulteriori informazioni su come utilizzare il cmdlet Set-OwaVirtualDirectory e Exchange Management Console per gestire le directory virtuali di Outlook Web Access, vedere Set-OwaVirtualDirectory e Come modificare le proprietà in una directory virtuale di Outlook Web Access. |
Single Sign-On |
Con Single Sign-On gli utenti possono accedere a un gruppo di siti Web pubblicati senza dover autenticare ciascun sito Web. Quando si utilizza ISA Server 2006 come server proxy inverso per Outlook Web Access, è possibile configurarlo per ottenere le credenziali degli utenti e per trasmetterle al server Accesso client in modo che vengano richieste una sola volta. |
Per ulteriori informazioni sui nuovi miglioramenti di ISA Server 2006 utilizzato con Exchange 2007, vedere What's New and Improved in ISA Server 2006 (informazioni in lingua inglese).
Opzioni di distribuzione
Quando si distribuisce ISA Server 2006 insieme con Exchange 2007, non è necessario eseguire alcuna configurazione aggiuntiva dell'infrastruttura di Microsoft Exchange. È possibile tuttavia configurare ISA Server 2006 in diversi modi per abilitare l'accesso client di Exchange tramite Outlook Web Access, accesso POP3 o IMAP, Exchange ActiveSync e Outlook via Internet. Le opzioni di configurazione dipendono dal metodo di autenticazione che si desidera utilizzare per accedere a Exchange.
Le versioni precedenti di ISA Server, incluse ISA Server 2004 e ISA Server 2000, quando sono distribuite con Exchange 2007, non hanno le stesse opzioni di distribuzione per l'autenticazione. Inoltre, se si distribuisce Exchange 2007 con ISA Server 2006 e una versione precedente di ISA Server, è possibile utilizzare le seguenti opzioni di autenticazione:
Autenticazione di base per Outlook Web Access Se si prevede di utilizzare l'autenticazione di base per Outlook Web Access, ISA Server 2006 e le versioni precedenti di ISA Server devono utilizzare la Pubblicazione sul Web per pubblicare Outlook Web Access.
Autenticazione certificati dei client Se si prevede di utilizzare un metodo di autenticazione basato sui certificati dei client, ISA Server esegue automaticamente l'autenticazione sul computer che esegue ISA Server. Per utilizzare l'autenticazione dei certificati dei client, le versioni precedenti di ISA Server, incluse ISA Server 2004 e ISA Server 2000, richiedono la pubblicazione del server. Se si utilizza l'autenticazione dei certificati dei client, non è possibile utilizzare ISA Server per verificare i pacchetti SSL prima che vengano inviati al server Accesso client.
Distribuzione di ISA Server 2006 per Outlook Web Access
Quando si distribuisce ISA Server 2006 per Outlook Web Access, si utilizza la Creazione guidata regole di pubblicazione di Exchange nelle attività del criterio firewall. Questa nuova procedura guidata visualizza le impostazioni specifiche necessarie per consentire l'accesso a Microsoft Exchange.
Importante
Se nell'organizzazione di Exchange sono installate più versioni di Microsoft Exchange, è necessario creare una regola di pubblicazione di Exchange per ogni versione di Microsoft Exchange supportata.
La configurazione di ISA Server 2006 per Outlook Web Access viene eseguita tramite la procedura seguente:
Creazione di una nuova regola di pubblicazione.
Configurazione delle opzioni aggiuntive.
Nelle sezioni seguenti vengono descritte le impostazioni che è necessario applicare alla nuova regola di pubblicazione per una distribuzione corretta di ISA Server 2006 per Outlook Web Access.
Creazione di una nuova regola di pubblicazione di Exchange
Durante questo processo, è necessario fornire le informazioni seguenti:
Nome della regola di pubblicazione Exchange Indicare un nome descrittivo per la regola di pubblicazione, ad esempio "Accesso alla posta elettronica di Exchange".
Servizi di accesso client supportati Nella pagina Seleziona servizi, selezionare la versione di Microsoft Exchange che si distribuisce e i servizi di accesso client che si desidera supportare per gli utenti. Per impostazione predefinita, quando si seleziona Exchange Server 2007, viene selezionato Outlook Web Access.
Tipo di pubblicazione Nella pagina Tipo di pubblicazione, selezionare l'opzione da utilizzare se si prevede di pubblicare un singolo sito o un bilanciamento carico esterno, una server farm Web o più siti Web.
Protezione connessione server Questa pagina consente di scegliere se utilizzare connessioni Secure Sockets Layer (SSL) o connessioni non protette dal computer ISA Server a Microsoft Exchange.
Dettagli pubblicazione interna Nella pagina Dettagli pubblicazione interna, immettere il nome interno del sito di Outlook Web Access oppure selezionare l'opzione che consente di utilizzare un nome computer o un indirizzo IP per accedere a Microsoft Exchange.
Dettagli nome pubblico La pagina Dettagli nome pubblico consente di selezionare da quali domini si accetteranno richieste. È anche necessario fornire un nome pubblico, ad esempio www.contoso.com.
Seleziona listener Web La pagina Seleziona listener Web consente di specificare l'ascoltatore per il server Exchange al quale ci si sta connettendo. Viene utilizzato un listener per specificare il tipo di autenticazione da utilizzare quando il client contatta per la prima volta il computer ISA Server. Il listener contiene informazioni su come il computer ISA Server accetta le richieste dai client, ad esempio la crittografia, la compressione e l'autenticazione utilizzate sulla connessione esterna. È possibile utilizzare questa pagina per creare un nuovo listener o modificare listener esistenti.
Delega autenticazione La pagina Delega autenticazione consente di specificare il tipo di meccanismo di autenticazione che il server Accesso client deve aspettarsi da ISA Server. Selezionare una delle seguenti opzioni:
Nessuna delega, ma il client può essere autenticato direttamente.
Autenticazione di base
autenticazione NTLM
Negoziazione (Kerberos/NTLM)
Delega vincolata Kerberos
Impostazioni utente La pagina Impostazioni utente consente di selezionare quali utenti possono utilizzare questa regola per connettersi a Exchange.
Se il computer ISA Server è stato configurato per l'autenticazione degli utenti, è necessario configurare le directory virtuali di Outlook Web Access per l'utilizzo dell'autenticazione integrata di Windows o per l'autenticazione di base, a seconda del tipo di autenticazione richiesto dall'organizzazione. Quando si utilizza l'autenticazione di base o l'autenticazione integrata di Windows sulle directory virtuali di Outlook Web Access insieme con ISA Server 2006, le informazioni di accesso degli utenti vengono richieste una sola volta.
Nota
Se si seleziona l'autenticazione basata su form per il listener ISA, all'utente verrà richiesto di immettere nuovamente le credenziali di autenticazione se la sessione di Outlook Web Access raggiunge il timeout.
Tuttavia, l'autenticazione integrata di Windows non consente l'accesso da Outlook Web Access ai documenti sulle condivisioni file di Windows o sulle raccolte di documenti di Windows SharePoint Services. Per accedere ai documenti da Outlook Web Access, è necessario utilizzare l'autenticazione di base sulla directory virtuale di Outlook Web Access.
Dopo il completamento del processo, la procedura guidata crea la regola di pubblicazione di Exchange. La regola creata viene visualizzata nella lista Criteri firewall della scheda Criteri firewall.
Nota
Dopo aver creato la regola di pubblicazione, sarà necessario attendere perché le impostazioni vengano rese effettive. È possibile monitorare lo stato delle regole di pubblicazione di ISA Server 2006 tramite il nodo di monitoraggio nella console Gestione di ISA Server 2006.
Configurazione delle opzioni aggiuntive
È possibile configurare le funzionalità aggiuntive, ad esempio la conversione collegamento e la compressione HTTP, per la nuova regola creata nella console Gestione di ISA Server 2006. Le impostazioni aggiuntive per la conversione collegamento e la compressione HTTP vengono gestite nel nodo Generale della console Gestione di ISA Server 2006.
Configurazione della traduzione dei collegamenti
Per configurare la conversione collegamento, è necessario selezionare la regola di pubblicazione di Exchange creata, quindi fare clic su Modifica regola selezionata nella sezione Attività modifica criterio. Con la scheda Traduzione collegamenti, è possibile configurare la traduzione dei collegamenti sulla base delle necessità degli utenti.
Configurazione della compressione HTTP
L'opzione della compressione HTTP può essere configurata nel nodo Generale nella sezione Configurazione della console Gestione di ISA Server 2006. Fare clic su Definisci preferenze compressione HTTP e quindi selezionare le opzioni che si desidera supportare per i propri utenti.
Al termine della configurazione di queste opzioni, la configurazione di ISA Server per Microsoft Exchange è completata.
Installare un certificato server per ISA Server 2006
Per abilitare un canale crittografato utilizzando SSL tra il computer client e il computer ISA Server, è necessario installare un certificato server nel computer ISA Server. Questo certificato deve essere rilasciato da un'autorità di certificazione (CA) pubblica poiché sarà accessibile agli utenti in Internet. Se viene utilizzata un'autorità di certificazione privata, il certificato CA radice dell'autorità di certificazione privata deve essere installato in tutti i computer che devono creare un canale crittografato (HTTPS) per il computer ISA Server. In caso contrario, gli utenti riceveranno un avviso indicante che il certificato non è attendibile.
Per ulteriori informazioni sull'installazione di un certificato server in ISA Server 2006, vedere Publishing Exchange Server 2007 with ISA Server 2006 (informazioni in lingua inglese).
Ulteriori informazioni
Per ulteriori informazioni sull'utilizzo di ISA Server 2006 con Exchange 2007, vedere Utilizzo di ISA Server 2006 con Exchange 2007.
Per ulteriori informazioni su ISA Server 2006, vedere il sito Web di ISA Server.
Per ulteriori informazioni sulle funzionalità di ISA Server 2006, vedere ISA Server 2006 Features at a Glance (informazioni in lingua inglese).
Per ulteriori informazioni su come utilizzare un server proxy inverso, vedere Come configurare i server proxy per Outlook Web Access.
Per ulteriori informazioni su come utilizzare il cmdlet Set-OwaVirtualDirectory e Exchange Management Console per gestire le directory virtuali di Outlook Web Access, vedere i seguenti argomenti:
Per ulteriori informazioni su come configurare Outlook Web Access, vedere: