Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Publicando o Exchange Server 2007 com ISA Server 2006

Atualizado em: 31 de janeiro de 2007

O Microsoft® Internet Security and Acceleration (ISA) Server 2006 e o Microsoft Exchange Server 2007 foram criados para trabalharem juntos em rede, a fim de fornecer um ambiente de mensagens seguro. Este documento explica como publicar computadores executando o Exchange 2007 para receber e enviar mensagens de email da Internet, bem como para permitir que os clientes acessem as suas caixas de correio a partir da Internet.

Observação:

Este documento se aplica ao Exchange Server 2007. Este documento não aborda o Exchange Server 2003, o Exchange 2000 Server ou o Exchange Server versão 5.5. Para obter mais informações sobre a publicação do Exchange 2003, consulte “Publicando o Exchange Server 2003 com o ISA Server 2006” no site do Microsoft TechNet.

O ISA Server 2006 é o gateway de segurança que ajuda a proteger os seus aplicativos de missão crítica de ameaças baseadas na Internet. O ISA Server permite que a sua empresa faça mais, com acesso seguro aos dados e aplicativos Microsoft. Resguarde a sua infra-estrutura de aplicativos Microsoft protegendo os seus aplicativos, serviços e dados corporativos em todas as camadas da rede com inspeção de pacotes por monitoração de estado, filtragem por camada de aplicativo e ferramentas abrangentes de publicação. Dinamize a sua rede com experiências simplificadas de administrador e usuário por meio de uma arquitetura de firewall e VPN (Virtual Private Network, rede privada virtual) unificada. Proteja o seu ambiente de tecnologia da informação, a fim de reduzir os riscos de segurança e os custos, além de eliminar os efeitos que um software mal-intencionado e hackers podem causar em seus negócios.

O Exchange 2007 é o mais recente produto de software servidor de mensagens e colaboração da Microsoft que é executado em servidores. Usando o Exchange 2007, você pode enviar e receber emails e outras formas de comunicação interativa através de redes de computador. Desenvolvido para operar com um aplicativo cliente de software, como o Microsoft Office Outlook®, o Exchange 2007 também opera com o Outlook Express e outros aplicativos cliente de email. As mensagens de email são enviadas e recebidas através do que é normalmente chamado de dispositivo cliente, como um computador pessoal, estação de trabalho ou dispositivo móvel, inclusive celulares ou Pocket PCs. O cliente geralmente se conecta a uma rede de sistemas de computador centralizado, os quais consistem em servidores ou computadores mainframe nos quais as caixas de correio são armazenadas. Os servidores de email centralizado conectam-se às redes de Internet e privadas para as quais as mensagens de email foram enviadas e recebidas de outros usuários de email. O Exchange 2007 também permite que as empresas enviem e recebam mensagens de email da Internet.

Conteúdo

Funções do Exchange 2007 Server

Recebendo e enviando mensagens de email da Internet

Acesso para cliente

Apêndice A: recursos adicionais de publicação

Apêndice B: solução de problemas

Apêndice C: configurando a autenticação baseada em certificados com o Exchange ActiveSync através do ISA Server

Apêndice D: configurando a delegação de autenticação Básica e Negociação do Outlook Web Access

Funções do Exchange 2007 Server

Nas versões anteriores do Microsoft Exchange Server, os administradores tinham opções limitadas sobre quais recursos poderiam ser instalados ou não. Por exemplo, no Exchange Server 2003 e no Exchange 2000 Server, o processo de instalação instalava todos os recursos, independentemente de quais recursos o administrador pretendesse usar. Esse comportamento exigia que o administrador desativasse ou desabilitasse os recursos não desejados.

Como as organizações tendem a agrupar as suas tarefas de gerenciamento em torno do conjunto principal das funções de servidor, o Exchange Server 2007 mapeia o gerenciamento do Exchange Server para essa forma mais natural de fazer as coisas. O gerenciamento do sistema no Exchange 2007 fundamentalmente altera a experiência administrativa de implantação e gerenciamento de servidores para o foco nas funções de servidor.

Para obter mais informações sobre o Exchange 2007, consulte o site do Microsoft Exchange Server 2007.

Para obter mais informações sobre os requisitos de sistema do Exchange 2007, consulte “Requisitos de sistema do Exchange 2007” no site do Microsoft TechNet.

Visão geral das funções de servidor

Uma função de servidor é uma unidade que agrupa logicamente os recursos e os componentes necessários para a execução de uma função específica no ambiente de mensagens. A exigência de uma função de servidor é que seja um servidor que possa ser executado como uma unidade atômica de escalabilidade. Uma função de servidor consiste em um grupo de recursos.

As funções de servidor, a principal unidade de desenvolvimento, permitem que os administradores selecionem facilmente quais recursos serão instalados em um servidor Exchange. O agrupamento lógico de recursos nas funções de servidor oferece as seguintes vantagens:

  • Reduz a superfície de ataque em um servidor Exchange.

  • Permite que você instale e configure um servidor Exchange da forma como pretende utilizá-lo.

  • Oferece uma instalação simples e a capacidade de personalizar totalmente um servidor, a fim de oferecer suporte aos objetivos e às necessidades dos seus negócios.

O Exchange Server 2007 inclui as seguintes funções de servidor:

Função de servidor

Descrição

Servidor de Caixa de Correio

Este é um servidor back-end que pode hospedar caixas de correio e pastas públicas.

Servidor de Acesso para Cliente

A função de servidor Acesso para Cliente oferece suporte aos aplicativos cliente Microsoft Outlook Web Access e Microsoft Exchange ActiveSync® e aos protocolos Post Office Protocol versão 3 (POP3) e Internet Message Access Protocol versão 4rev1 (IMAP4). A função de servidor Acesso para Cliente também oferece suporte a serviços, como o serviço Descoberta Automática e os serviços da Web.

Servidor de Unificação de Mensagens

Este é um servidor de camada intermediária que conecta um sistema PBX (Private Branch eXchange, central privada de comutação telefônica) ao Exchange 2007.

Servidor de Transporte de Hub

Este é o servidor de roteamento de emails que circula os emails na organização do Exchange.

Servidor de Transporte de Borda

Este é o servidor de roteamento de emails que reside no perímetro da topologia e circula os emails dentro e fora da organização do Exchange.

Para obter mais informações sobre as funções de servidor do Exchange 2007, consulte “Funções de servidor” no site do Microsoft TechNet.

Recebendo e enviando mensagens de email da Internet

As seções a seguir abordam como configurar o ISA Server de forma que você possa receber e enviar mensagens de email SMTP (Simple Mail Transfer Protocol).

Recebendo mensagens de email da Internet

Esta seção descreve como configurar o ISA Server, a fim de permitir que as mensagens de email da Internet cheguem ao servidor Exchange 2007 ou servidor SMTP através do seu computador do ISA Server. Para receber emails da Internet através de um computador do ISA Server, você precisa publicar o seu servidor de email SMTP. Quando você publicar o seu servidor de email, o tráfego SMTP na porta 25 TCP da Internet será gerado diretamente em seu servidor SMTP. Normalmente, é possível configurar um servidor do Exchange 2007 na sua organização do Exchange 2007 para enviar e receber conexões SMTP da Internet. Isso geralmente consiste em um servidor do Exchange 2007 configurado como um servidor de Transporte de Hub ou servidor de Transporte de Borda. O servidor de Transporte de Hub e o servidor de Transporte de Borda não hospedam os bancos de dados de armazenamento de informações do Exchange. O servidor de Transporte de Hub e o servidor de Transporte de Borda aceitam o recebimento de mensagens de email e o posterior encaminhamento ao servidor apropriado para processamento.

Requisitos para publicar um Servidor SMTP

Quando alguém na Internet envia mensagens de email para um funcionário na sua empresa, tudo que o remetente possui é o endereço de email do funcionário, por exemplo, mberg@contoso.com. Quando a mensagem de email for enviada para mberg@contoso.com, o programa de email do remetente ou servidor de email precisa descobrir para onde enviar a mensagem do domínio solicitado, nesse caso, contoso.com. Isso é realizado consultando o DNS (Domain Name System, sistema de nome de domínio) do registro de troca de mensagens (MX, Mail Exchange) para contoso.com. O registro MX é um tipo especial de registro de recurso no DNS, especificando a um host o registro de servidores que aceitam o recebimento de mensagens de email do domínio. Para receber mensagens de email da Internet, um domínio deve ter pelo menos um registro MX, mas é possível ter vários registros MX para fornecer tolerância a falhas. O servidor DNS retornará todos os registros MX relacionados para um domínio, e o cliente de email tentará estabelecer uma conexão SMTP usando os registros MX relacionados, na ordem de preferência. O registro MX apontará para o registro A, que apontará para o endereço IP do servidor SMTP.

Os seguintes requisitos devem ser atendidos antes de publicar o servidor SMTP:

  • Criar um registro A e apontá-lo para o endereço IP externo do computador do ISA Server.

  • Criar um registro MX apontando para o registro A.

Observe o seguinte:

  • Esses registros precisam ser criados nos servidores DNS públicos.

  • Se você estiver alterando um registro DNS existente, dependendo da configuração Vida útil do registro DNS, pode demorar algum tempo para que as alterações sejam propagadas na Internet. Certifique-se de aguardar o tempo suficiente para que essas alterações tenham efeito antes de testá-las.

Importante

Se você estiver executando o ISA Server Enterprise Edition e tiver habilitado a integração com o NLB (Network Load Balancing, balanceamento de carga de rede), você deve criar um registro MX para cada membro da matriz usando o endereço IP dedicado em vez do endereço IP virtual do cluster NLB. Se você utilizar o endereço IP virtual como o registro MX, você pode receber mensagens de email. No entanto, as mensagens de email enviadas a um servidor que estiver executando várias verificações no servidor SMTP de envio, como pesquisa reversa de DNS no seu domínio, serão rejeitadas. Para obter mais informações, consulte a seção Verificações comuns de validação de email e envio de mensagens de email da Internet com o ISA Server.

Antes de começar

Antes de executar o Assistente de Nova Regra de Publicação de Servidor de Email, use a seguinte planilha para coletar informações.

Item

Descrição ou valor

Tipo de acesso

Circule todos os que se aplicam:

  • SMTP

  • SMTP seguro

  • Grupos de notícias (NNTP)

Endereço IP interno do servidor SMTP (endereço IP do servidor de email)

Endereço IP: ___.___.___.___

Endereço IP externo que o ISA Server escutará

Endereço IP: ___.___.___.___

Importante

Este endereço precisa corresponder ao endereço resolvido pelo registro MX.

O DNS público foi corretamente configurado?

Os registros A foram configurados?

Os registros MX foram configurados?

Circule:

Sim ou Não

Sim ou Não

Sim ou Não

Publicar um servidor de email para receber mensagens de email da Internet

Nesta seção, você executará o Assistente de Nova Regra de Publicação de Servidor de Email para publicar um servidor de email SMTP. Execute o procedimento a seguir para publicar o servidor de email SMTP.

Para publicar um servidor de email
  1. Na árvore de console do Gerenciamento do ISA Server, clique em Diretiva de Firewall:

    • Para o ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006, expanda Server_Name e, em seguida, clique em Diretiva de Firewall.

    • Para o ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006, expanda Matrizes, expanda Array_Name e, em seguida, clique em Diretiva de Firewall.

  2. Na guia Tarefas, clique em Publicar servidores de email. Use o assistente para criar a regra, conforme descrito na tabela a seguir.

    Página

    Campo ou propriedade

    Configuração

    Página de boas-vindas

    Nome da regra de Publicação de Servidor de Email

    Digite um nome para a regra, como SMTP de entrada.

    Selecionar Tipo de Acesso

    Selecione o tipo de acesso que este servidor de email fornecerá.

    Selecione Comunicação de servidor para servidor: SMTP, NNTP.

    Selecionar Serviços

    Comunicações entre servidores

    Selecione SMTP.

    Se você precisar publicar SMTP ou NNTP seguro, selecione o serviço apropriado.

    Para obter mais informações sobre o SMTP ou NNTP seguro, consulte a documentação do produto Exchange 2007.

    Selecionar Servidor

    Endereço IP do servidor

    Digite o endereço IP do servidor de email SMTP que você está publicando.

    Endereços IP do Ouvinte de Rede

    Ouvir solicitações destas redes.

    Selecione a rede e o endereço IP nos quais o computador do ISA Server ouvirá as solicitações SMTP

    Selecione Externo e clique em Endereço para especificar um endereço IP específico.

    Seleção de IP do Ouvinte de Rede Externo

    Escutar solicitações em

    Endereços IP Disponíveis

    Selecione Endereços IP especificados no computador do ISA Server da rede selecionada.

    Selecione os endereços IP apropriados e clique em Adicionar.

    Importante

    Os endereços IP selecionados devem corresponder aos endereços IP do registro MX.

    Concluindo o Assistente de Nova Regra de Publicação de Servidor de Email

    Concluindo o Assistente de Nova Publicação de Servidor de Email

    Verifique as configurações selecionadas e clique em Voltar para fazer alterações e em Concluir para finalizar o assistente.

  3. Clique no botão Aplicar no painel de detalhes para salvar as alterações e atualizar a configuração.

Importante

Se você estiver publicando um servidor de Transporte de Borda localizado em uma rede de perímetro, também conhecida como DMZ (Demilitarized Zone, zona desmilitarizada), para aceitar email SMTP para servidores internos do Exchange, você precisa abrir a porta 25 TCP entre o servidor de Transporte de Borda na rede de perímetro para os servidores do Exchange na rede interna.

Testar o tráfego SMTP de entrada

Os servidores de email na Internet agora podem conectar a porta 25 TCP ao seu servidor SMTP de entrada para enviar mensagens de email à sua organização. Teste se essa conectividade está funcionando. Há várias formas de testar se o tráfego SMTP de entrada está sendo recebido. A forma mais fácil é enviar uma mensagem de email de teste para o seu domínio da Internet.

Para obter informações adicionais sobre o teste do tráfego SMTP, consulte “XFOR: Telnet para porta 25 para teste da comunicação SMTP” no site de Suporte da Microsoft.

Enviando mensagens de email da Internet

Depois de configurar o email da Internet de entrada, a próxima etapa é configurar o tráfego das mensagens de email de saída de sua organização para que seja enviado à Internet através do ISA Server. Geralmente, é necessário ter um servidor do Exchange 2007 configurado para enviar mensagens de email à Internet através do protocolo SMTP. Isso geralmente consiste em um servidor do Exchange 2007 com a função de servidor Transporte de Hub ou Transporte de Borda instalada. Nesse caso, o servidor de Transporte de Hub ou de Transporte de Borda aceita solicitações SMTP de outros servidores do Exchange na sua organização e as encaminha ao servidor de email apropriado na Internet. O servidor de Transporte de Hub ou de Transporte de Borda precisa criar sessões SMTP para os servidores de email na Internet. Além disso, o servidor de Transporte de Hub ou de Transporte de Borda deve executar consultas DNS, a fim de localizar o registro MX para o domínio ao qual a mensagem de email está sendo enviada.

As seções a seguir descrevem como criar uma regra de acesso SMTP de saída.

Confirmar se o servidor SMTP pode executar consultas DNS

Criar um objeto de computador para o servidor SMTP

Criar uma regra de acesso STMP de saída

Confirmar se o servidor SMTP pode executar consultas DNS

Quando o servidor SMTP tiver uma mensagem de email para entregar, ele deverá resolver o registro MX e o registro A correspondente do domínio do destinatário. Essa resolução é realizada por meio de consultas DNS.

A primeira etapa é confirmar se o servidor SMTP pode executar consultas DNS. Se o servidor SMTP não puder executar consultas DNS, ele não enviará as mensagens de email da Internet. Essas mensagens serão acumuladas na fila do servidor SMTP e a entrega falhará.

Execute o procedimento a seguir para confirmar se o servidor SMTP pode executar consultas DNS.

Para consultar um registro MX de um domínio a partir de um prompt de comando
  1. Abra uma janela do prompt de comando.

  2. Digite nslookup e pressione ENTER.

  3. Digite set q=mx e pressione ENTER.

    Essa ação definirá um filtro para que colete somente registros MX e informações relacionadas.

  4. Digite o seguinte: domain_name.com, onde domain_name é o domínio do qual você deseja obter os registros DNS, por exemplo, microsoft.com ou msn.com. Uma saída semelhante à apresentada a seguir será exibida:

    Servidor: [157.178.72.30]

    Endereço: 157.178.72.30

    preferência MX microsoft.com = 10, servidor de mensagens = mail1.microsoft.com

    preferência MX microsoft.com = 10, servidor de mensagens = mail2.microsoft.com

    preferência MX microsoft.com = 10, servidor de mensagens = mail3.microsoft.com

    preferência MX microsoft.com = 10, servidor de mensagens = mail4.microsoft.com

    preferência MX microsoft.com = 10, servidor de mensagens = mail5.microsoft.com

    endereço da internet mail1.microsoft.com = 131.107.3.125

    endereço da internet mail2.microsoft.com = 131.107.3.124

    endereço da internet mail3.microsoft.com = 131.107.3.123

    endereço da internet mail4.microsoft.com = 131.107.3.122

    endereço da internet mail5.microsoft.com = 131.107.3.121

Se o servidor SMTP não puder consultar o servidor DNS, verifique as configurações de TCP/IP do servidor. Se o servidor estiver configurado para usar um servidor DNS público, verifique se você possui uma regra de acesso permitindo o tráfego DNS para a Internet a partir do servidor SMTP.

Criar um objeto de computador para o servidor SMTP

Nesta seção, você criará um objeto de computador para o servidor SMTP. Esse objeto será utilizado na criação da regra de acesso, permitindo que você limite o acesso SMTP de saída ao objeto de computador criado. Se você tiver mais de um servidor SMTP que precisa enviar mensagens SMTP à Internet, faça o seguinte:

  • Crie um conjunto de computadores para todos os seus objetos de computador SMTP em vez de criar um objeto de computador.

Execute o procedimento a seguir para criar um objeto de computador.

Para criar um objeto de computador
  1. Na árvore de console do Gerenciamento do ISA Server, clique em Diretiva de Firewall:

    • Para o ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006, expanda Server_Name e, em seguida, clique em Diretiva de Firewall.

    • Para o ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006, expanda Matrizes, expanda Array_Name e, em seguida, clique em Diretiva de Firewall.

  2. Na guia Caixa de Ferramentas, clique em Objetos de Rede, clique em Novo e, em seguida, selecione Computador.

  3. Digite um nome para o objeto de computador, como Servidor SMTP, no campo Nome e digite o endereço IP dos computadores no campo Endereço IP do Computador. Se não souber o endereço IP, você pode usar o botão Procurar.

Criar uma regra de acesso STMP de saída

Execute o procedimento a seguir para criar uma regra de acesso SMTP de saída.

Para criar uma regra de acesso STMP de saída
  1. Na árvore de console do Gerenciamento do ISA Server, clique em Diretiva de Firewall:

    • Para o ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006, expanda Server_Name e, em seguida, clique em Diretiva de Firewall.

    • Para o ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006, expanda Matrizes, expanda Array_Name e, em seguida, clique em Diretiva de Firewall.

  2. Na guia Tarefas, clique em Criar regra de acesso. Use o assistente para criar a regra, conforme descrito na tabela a seguir.

    Página

    Campo ou propriedade

    Configuração

    Página de boas-vindas

    Nome da regra de acesso

    Digite um nome para a regra, como SMTP de saída.

    Ação de regra

    Ação a ser tomada quando as condições da regra forem atendidas.

    Selecione Permitir.

    Protocolos

    Esta regra aplica-se a

    Protocolos

    Selecione Protocolos selecionados.

    Adicione o protocolo SMTP à lista.

    Para adicionar o protocolo SMTP à lista, clique em Adicionar para abrir a caixa de diálogo Adicionar Protocolos. Na caixa de diálogo Adicionar Protocolos, expanda Protocolos Comuns e selecione SMTP. Clique em Adicionar e, em seguida, clique em Fechar para fechar a caixa de diálogo Adicionar Protocolos.

    Origens de Regra de Acesso

    Esta regra aplica-se ao tráfego destas origens

    Adicione o objeto de computador criado na seção anterior. Por exemplo, adicione Servidor SMTP.

    Para adicionar um objeto de computador, clique em Adicionar para abrir a caixa de diálogo Adicionar Entidades de Rede. Na caixa de diálogo Adicionar Entidades de Rede, expanda Computadores e selecione o objeto de computador correto. Clique em Adicionar e, em seguida, clique em Fechar para fechar a caixa de diálogo Adicionar Entidades de Rede.

    Destino de Regra de Acesso

    Esta regra aplica-se ao tráfego para estes destinos

    Adicione a rede Externa à lista.

    Para adicionar uma rede Externa, clique em Adicionar para abrir a caixa de diálogo Adicionar Entidades de Rede. Na caixa de diálogo Adicionar Entidades de Rede, expanda Redes e selecione Externas. Clique em Adicionar e, em seguida, clique em Fechar para fechar a caixa de diálogo Adicionar Entidades de Rede.

    Conjuntos de Usuários

    Esta regra aplica-se às solicitações dos seguintes conjuntos de usuários

    Mantenha o padrão de Todos os Usuários.

    Concluindo o Assistente de Nova Regra de Acesso

    Concluindo o Assistente de Nova Regra de Acesso

    Verifique as configurações selecionadas e clique em Voltar para fazer alterações e em Concluir para finalizar o assistente.

  3. Clique no botão Aplicar no painel de detalhes para salvar as alterações e atualizar a configuração. Pode demorar alguns minutos até que a regra seja aplicada.

    Observação:

    Lembre-se de que as regras de acesso são solicitadas, portanto se já houver uma regra de negação correspondendo às solicitações de acesso SMTP na frente dessa regra de permissão, o acesso será negado.

  4. Envie uma mensagem de email de teste para um usuário na Internet e confirme se o usuário a recebeu.

Verificações comuns de validação de email e envio de mensagens de email pela Internet com o ISA Server

Para reduzir a quantidade de mensagens spam que as empresas recebem, alguns administradores configuram os seus servidores SMTP para validar diferentes partes de informações recebidas durante diferentes fases do processo de entrega de email. Se o servidor SMTP não puder validar adequadamente as informações como configuradas no servidor SMTP, a mensagem de email será rejeitada. Como as informações que são validadas e a forma como são validadas são determinadas pelo administrador do servidor SMTP de recebimento, pode ser difícil solucionar o motivo pelo qual uma mensagem de email foi rejeitada por uma empresa, mas aceita por outras. Geralmente, a mensagem de email rejeitada mostrará o motivo pelo qual foi rejeitada. O motivo pelo qual a mensagem foi rejeitada pode ser incluído no corpo da mensagem rejeitada ou nos cabeçalhos de Internet da mensagem de email.

As seguintes informações serão enviadas pelo servidor SMTP de envio durante a tentativa de envio de mensagens de email a outro servidor SMTP.

  • Endereço IP público do servidor SMTP. Este é o endereço IP de origem dos pacotes IP.

  • Nome do host HELO/EHLO.

  • Domínio do remetente.

As seções a seguir descrevem algumas das informações mais comuns validadas pelo servidor SMTP de recebimento.

Observação:

Essas verificações de validação de email não afetam as mensagens de email enviadas pelos servidores de email da Internet ao seu domínio.

Validação do registro Ponteiro

Um registro ponteiro (PTR) DNS é utilizado para mapear um endereço IP a um nome ou nomes do host, dependendo da versão do DNS que estiver sendo utilizada. O servidor SMTP de recebimento executará uma pesquisa reversa de DNS no endereço IP do servidor SMTP de envio. Se um registro PTR tiver sido configurado, o nome do host retornará as informações solicitadas. Em seguida, o servidor SMTP executará uma pesquisa direta no nome do host. Se o endereço IP do servidor STMP de envio e o endereço IP da pesquisa direta coincidirem, supõe-se que a mensagem de email foi originada de um servidor STMP válido e, portanto, será permitida. Se os dois endereços IP não coincidirem ou não houver registro PTR, a mensagem de email será rejeitada.

Para corrigir esse cenário, confirme se você possui um registro PTR configurado corretamente para o endereço IP primário do adaptador de rede externo do computador do ISA Server. Ao aplicar a NAT (Network Address Translation, conversão de endereço de rede), o ISA Server utiliza o endereço IP primário do adaptador de rede que o tráfego utilizou para o envio do computador do ISA Server. Esse endereço IP pode ser diferente do endereço IP utilizado ao publicar o seu servidor de email.

Importante

Se você não controlar os seus registros DNS públicos, entre em contato com o seu ISP (Internet Service Provider, provedor de serviços de Internet) para adicionar os registros PTR apropriados.

Observe o seguinte:

  • Se você estiver executando um ISA Server Enterprise Edition e tiver uma matriz habilitada por NLB, você precisará criar um registro PTR para o endereço IP externo para cada membro da matriz.

  • Para verificar se você possui um registro PTR configurado corretamente, visite os seguintes sites da Web: http://www.dnsstuff.com ou http://www.dnsreport.com.

Validação do nome do host HELO/EHLO

HELO/EHLO é um comando STMP obrigatório utilizado para iniciar a transferência das mensagens de email entre servidores SMTP. O comando HELO é utilizado para identificar o servidor STMP de envio, na forma de um nome do host, ao servidor SMTP de recebimento. O nome do host deve ser um FQDN (Fully Qualified Domain Name, nome de domínio totalmente qualificado) que pode ser resolvido na Internet.

Alguns servidores STMP validam o nome do host no comando HELO. O servidor STMP de recebimento executa uma pesquisa direta no nome do host recebido no comando HELO. Se o endereço IP retornado coincidir com o endereço IP do servidor SMTP de envio, a mensagem de email será permitida. No entanto, se o endereço IP não coincidir ou não houver endereço retornado do nome do host, a mensagem de email será rejeitada.

Para corrigir esse cenário, confirme o seguinte:

  • Verifique se você configurou corretamente o comando HELO/EHLO no seu servidor SMTP. O nome do host deve ser um FQDN que possa ser resolvido na Internet. Para obter mais informações sobre a configuração do comando HELO, consulte a documentação do produto Exchange Server.

  • O nome do host resolve o endereço IP primário do adaptador de rede externo. Ao aplicar a NAT (Network Address Translation, conversão de endereço de rede), o ISA Server utiliza o endereço IP primário do adaptador de rede que o tráfego utilizou para o envio do computador do ISA Server. Esse endereço IP pode ser diferente do endereço IP utilizado ao publicar o seu servidor de email.

    Importante

    Se você não controlar os seus registros DNS públicos, entre em contato com o seu ISP para adicionar os registros host apropriados.

Observe o seguinte:

  • Se você estiver executando um ISA Server Enterprise Edition e tiver uma matriz habilitada por NLB, você precisará criar um registro host que resolva para o endereço IP primário de cada membro matriz.

  • Para verificar se você possui um registro de nome do host configurado corretamente, visite os seguintes sites: http://www.dnsstuff.com ou http://www.dnsreport.com.

Validação do registro MX de domínio

Determinados servidores STMP de recebimento tentam coincidir o endereço IP do qual a mensagem de email foi originada com o registro MX do domínio do remetente. Nesse caso, o servidor SMTP de recebimento consulta no DNS o registro MX do domínio do remetente. Será executada uma pesquisa direta nos nomes do host e o servidor STMP de recebimento tentará coincidir o endereço IP do servidor STMP de envio com um endereço IP de um registro MX. Se houver uma correspondência, a mensagem será permitida. No entanto, se não for localizada uma correspondência, a mensagem será rejeitada.

Para corrigir esse cenário, certifique-se de que o endereço no qual você esteja publicando o servidor de email seja o endereço IP primário do adaptador de rede externo.

Importante

Se você tiver vários servidores SMTP protegidos pelo computador do ISA Server, somente um servidor STMP poderá ser publicado com o endereço IP primário do adaptador de rede externo. Nesse caso, instale um gateway SMTP que manipulará todo o tráfego STMP de todos os seus servidores SMTP. Você também precisará configurar o seguinte:

  • Configure o gateway SMTP para que aceite mensagens de email de todos os seus domínios; além disso, faça o roteamento correto das mensagens SMTP para o servidor Exchange interno adequado.

  • Configure o gateway STMP para que aceite mensagens SMTP dos servidores SMTP internos.

  • Configure os seus servidores SMTP existentes para que enviem mensagens de email STMP ao novo gateway STMP.

Você pode usar um servidor de Transporte de Borda do Exchange ou o serviço STMP com os IIS (Internet Information Services, serviços de informações da Internet) para que atue como o seu gateway SMTP. Para obter mais informações sobre a configuração, consulte a documentação do produto Exchange ou IIS.

Ações adicionais

Se as alterações propostas não puderem ser alteradas ou não for possível determinar o motivo pelo qual as mensagens foram rejeitadas, você pode entrar em contato com o administrador da empresa para a qual está tentando enviar a mensagem de email. Pergunte se o aplicativo que eles estão utilizando possui uma lista de remetentes/destinatários confiáveis e solicite que o seu domínio seja adicionado à lista. Depois que o seu domínio ou endereço IP do seu servidor SMTP tiver sido adicionado à lista de confiança, as mensagens de email enviadas do seu servidor SMTP serão aceitas.

Acesso para cliente

Várias empresas precisam que os seus funcionários tenham acesso às suas caixas de correio quando não estiverem no escritório. Esse acesso fornece uma margem competitiva para os seus negócios, garantindo que os funcionários possam responder a importantes mensagens de email, verificar os seus calendários, atualizar seus contatos e enviar atualizações para seus gerentes a partir do site de um cliente, do hotel, do aeroporto ou de sua residência, tudo no momento oportuno. Além disso, essa funcionalidade pode ser utilizada pela empresa para oferecer planos de trabalho flexíveis aos funcionários.

A tabela a seguir apresenta os métodos de acesso para cliente compatíveis com o ISA Server 2006 para Exchange 2007, além dos caminhos configurados para cada método.

Método de acesso

Caminhos

Outlook Web Access

/owa/*

/public/*

/exchange/*

/Exchweb/*

Outlook em Qualquer Lugar (RPC sobre HTTP ou HTTPS)

/rpc/*

Outlook em Qualquer Lugar (RPC sobre HTTP ou HTTPS) com a seleção de Publicar pastas adicionais no Exchange Server para clientes do Outlook 2007

/unifiedmessaging/*

/rpc/*

/OAB/*

/ews/*

/AutoDiscover/*

Exchange ActiveSync

/Microsoft-Server-ActiveSync/*

Observação:

O Outlook Mobile Access não está disponível no Exchange 2007.

Importante

Ao publicar o Exchange 2007, você precisa executar o Assistente de Nova Regra de Publicação do Exchange para cada método de acesso separadamente. Você pode usar o mesmo ouvinte da Web para cada regra. No entanto, você pode publicar somente um método de acesso por vez se, durante a execução do Assistente de Nova Regra de Publicação do Exchange, você selecionar o Exchange Server 2007 como a versão do Exchange.

Observação:

Se você estiver usando caminhos diferentes, será necessário modificar os caminhos padrão na regra de publicação.

Este documento explica como publicar o acesso para cliente do Exchange com o ISA Server 2006. As comunicações de clientes externos com o computador do ISA Server e do computador do ISA Server com os servidores publicados são criptografadas com SSL.

Ao publicar o acesso para cliente do Exchange com o ISA Server 2006, você terá os seguintes benefícios em relação à segurança:

  • Quando você publica um aplicativo pelo ISA Server, está protegendo o servidor de acesso externo direto, pois o nome e o endereço IP do servidor não estão disponíveis ao usuário. O usuário acessa o computador do ISA Server, que por sua vez encaminha a solicitação ao servidor, de acordo com as condições da regra de publicação do servidor.

  • A ponte SSL protege contra ataques ocultos nas conexões criptografadas SSL. Para os aplicativos Web habilitados para SSL, após receber a solicitação do cliente, o ISA Server descriptografa-a, inspeciona-a e encerra a conexão SSL com o computador cliente. As regras de publicação na Web determinam como o ISA Server comunica a solicitação do objeto ao servidor Web publicado. Se a regra de segurança de publicação na Web estiver configurada para encaminhar a solicitação usando Secure HTTP (HTTPS), o ISA Server iniciará uma nova conexão SSL com o servidor publicado. Como o computador do ISA Server é, agora, um cliente SSL, ele requer que o servidor Web publicado responda com um certificado do lado do servidor.

    Observação:

    O certificado da autoridade (CA, Certification Authority) de certificação raiz para um CA, emitido no certificado do servidor no servidor da Web publicado, precisará ser instalado no computador do ISA Server.

  • Você pode configurar a autenticação baseada em formulários para aplicativos compatíveis. Com o uso da autenticação baseada em formulários, você pode impor os métodos de autenticação obrigatórios, habilitar a autenticação de dois fatores, controlar a disponibilidade de anexos de email e fornecer logon centralizado. Para obter mais informações sobre autenticação, consulte “Autenticação no ISA Server 2006” no site do Microsoft TechNet.

O ISA Server 2006 também supera as dificuldades da utilização das conexões VPN de acesso para cliente das seguintes formas:

  • O acesso a aplicativos publicados é via navegador da Web.

  • Agora, os aplicativos são mais amplamente disponíveis e mais acessíveis do que os VPNs de acesso remoto devido à utilização de SSL. Os usuários podem acessar seus aplicativos publicados atrás de firewalls, de conexões utilizando NAT e de outros dispositivos de rede que poderiam estar bloqueando as conexões VPN de acesso remoto.

  • O processo de reconexão é mais fácil e mais rápido, devido ao SSL. Se sua conexão à Internet for desconectada, você não precisará mais se reconectar com a discagem VPN de acesso remoto. Depois que o acesso à Internet for reconectado, você poderá retornar para seu aplicativo publicado.

  • Parceiros, fornecedores e funcionários que não estejam no escritório poderão facilmente acessar as informações necessárias em um modo seguro.

Publicando o acesso de cliente da Web do Exchange

As seções a seguir fornecem as etapas necessárias para publicar o acesso de cliente da Web do Exchange. Os procedimentos descrevem uma implantação do ISA Server em um ambiente de produção. Recomendamos que você teste complemente o ISA Server em um ambiente de teste, que não seja de produção, antes de implantar o ISA Server na produção.

Topologia de rede

Para implantar essa solução, você precisará dos seguintes computadores, que são os requisitos mínimos para uma configuração de laboratório:

  • Computador para ser usado como o servidor de Acesso para Cliente do Exchange

  • Computador para ser usado como um servidor de Caixa de Correio do Exchange e servidor de Transporte de Hub

  • Computador para ser usado como um controlador de domínio

  • Pelo menos um computador cliente interno

  • Um servidor executando um ISA Server 2006 Standard Edition ou uma matriz de computadores executando o ISA Server 2006 Enterprise Edition

    Importante

    Para obter mais informações sobre o hotfix necessário para publicar o Exchange Server 2007, consulte “Atualização para publicação do Microsoft® Exchange Server 2007 para Internet Security and Acceleration (ISA) Server 2006” no site de Suporte da Microsoft.

    Observação:

    Uma matriz de um computador será suficiente para a execução dos serviços do ISA Server e do servidor de Armazenamento de Configuração. Em um ambiente de produção, recomendamos que o servidor de Armazenamento de Configuração seja instalado protegido pelo computador de serviços do ISA Server, a fim de reforçar a segurança. O servidor de Armazenamento de Configuração armazena todos os dados de configuração do ISA Server, inclusive as funções administrativas.

  • Pelo menos um computador cliente externo ou dispositivo móvel apropriado

Para obter mais informações sobre os requisitos do sistema do Exchange 2007, consulte Requisitos do sistema do Exchange 2007.

Bb794751.39cf1c38-fc41-465c-96c0-dcddb64edff1(pt-br,TechNet.10).gif
Autenticação

Você pode configurar a autenticação baseada em formulários para aplicativos compatíveis, como o Outlook Web Access. Com o uso da autenticação baseada em formulários, você pode impor os métodos de autenticação obrigatórios, habilitar a autenticação de dois fatores e fornecer logon centralizado. Você pode publicar um aplicativo que não ofereça suporte à autenticação baseada em formulários mesmo com um ouvinte da Web, o qual esteja configurado com essa autenticação. Nesse caso, o ISA Server utiliza a autenticação para aplicativos que não oferece suporte à autenticação baseada em formulários.

Para obter mais informações sobre autenticação, consulte “Autenticação no ISA Server 2006” no site do Microsoft TechNet.

Observe o seguinte:

  • Se você não limitar o acesso aos usuários autenticados, como no caso de quando uma regra de permissão de acesso é aplicada a todos os usuários, o ISA Server não validará as credenciais do usuário. O ISA Server utilizará as credenciais do usuário para autenticação no servidor da Web, de acordo com o método de delegação configurado.

  • Recomendamos que você aplique cada regra de publicação a todos os usuários autenticados ou a um conjunto de usuários específicos, em vez de selecionar Exigir autenticação de todos os usuários no ouvinte da Web, o que requer que todo usuário que estiver se conectando através do ouvinte realize a autenticação.

Certificado de cliente e suporte à delegação restrita de Kerberos

O ISA Server 2006 introduz o uso da delegação restrita de Kerberos, que é descrita no artigo “Transição de protocolos e delegação restrita de Kerberos” no site da Web do Microsoft TechNet. Sem a delegação restrita de Kerberos, o ISA Server pode delegar credenciais somente quando as credenciais de cliente forem recebidas usando a autenticação Básica ou baseada em formulários. Com a delegação restrita de Kerberos, o ISA Server pode aceitar outros tipos de credenciais de clientes, como certificados de cliente. O ISA Server deve estar habilitado no controlador de domínios para que a delegação restrita de Kerberos seja utilizada (restrita a um nome da entidade de serviço específico).

Se a autenticação falhar, o ISA Server fornecerá a notificação de falha do servidor ao cliente. Se o servidor exigir um tipo diferente de credenciais, um alerta do ISA Server será disparado.

Autenticação LDAP

O ISA Server 2006 oferece suporte à autenticação LDAP (Lightweight Directory Access Protocol). A autenticação LDAP é semelhante à autenticação de serviço de diretório do Active Directory®, exceto pelo fato de o computador do ISA Server não precisar ser um membro do domínio. O ISA Server se conecta a um servidor LDAP configurado sobre o protocolo LDAP para autenticar o usuário. Todo o controlador de domínio do Microsoft Windows® é também um servidor LDAP, por padrão, sem necessidade de alterações de configuração adicionais. Utilizando a autenticação LDAP, você obtém os seguintes benefícios:

  • Um servidor executando membros de matriz do ISA Server 2006 Standard Edition ou do ISA Server 2006 Enterprise Edition no modo de grupo de trabalho. Quando o ISA Server está instalado em uma rede de perímetro, você não precisa mais abrir todas as portas necessárias para membros do domínio.

  • Autenticação de usuários em um domínio com o qual não há relação de confiança.

Para obter mais informações sobre a configuração do ISA Server para autenticação LDAP, consulte “Publicação segura de aplicativos” no site do Microsoft TechNet.

A tabela a seguir apresenta os métodos de delegação de autenticação e autenticação de cliente mais comuns e recomendados para o Exchange 2007.

Método de autenticação de cliente

Método de validação de autenticação

Delegação de autenticação

Métodos de acesso

Autenticação baseada em formulários HTML

Windows (Active Directory)

LDAP (Active Directory)

RADIUS

Básica

Negociação (Kerberos/NTLM)

Outlook Web Access (consulte a observação Importante a seguir)

Outlook em Qualquer Lugar

Microsoft ActiveSync (somente Básica)

Autenticação baseada em formulários HTML

RSA SecurID

RSA SecurID

Outlook Web Access

Microsoft ActiveSync (requer que o componente RSA SecurID seja instalado nos servidores do Exchange)

Autenticação de certificado de cliente SSL

Windows (Active Directory)

Delegação restrita de Kerberos

Outlook Web Access

Microsoft ActiveSync

Importante

  • Se a opção Básica estiver selecionada para a delegação de autenticação, os seguintes recursos do Exchange 2007 não funcionarão conforme o esperado:

    • Web Part do Outlook Web Access 2007. A Web Part do Outlook Web Access 2007 requer que a autenticação Integrada do Windows esteja configurada no diretório /owa/*.

    • Proxy entre os servidores de Acesso para Cliente do Exchange em diferentes sites do Active Directory. Requer a configuração da autenticação Integrada do Windows nos servidores de Acesso para Cliente do Exchange. Para obter mais informações sobre como usar proxy para servidores de Acesso para Cliente do Exchange, consulte a documentação do produto Exchange Server 2007.

  • Se a opção Negociação estiver selecionada para a delegação de autenticação, os seguintes recursos não funcionarão:

  • Acesso a caixas de correio que residam no Exchange 2003, através de pastas herdadas, como /public/*, /exchange/* e /Exchweb/*. O acesso a essas caixas de correio através desse método requer a autenticação Básica.

  • Clientes que acessarem a caixa de correio de usuário através de pastas herdadas, como Microsoft Entourage 2004 para Mac e aplicativos personalizados escritos usando extensões WebDAV. Requer a autenticação Básica.

    Para obter mais informações sobre como se beneficiar dos novos recursos do Exchange 2007, os quais requerem a delegação de autenticação Negociação, bem os que ainda fornecem acesso às pastas herdadas exigindo a delegação de autenticação Básica, consulte Apêndice D. Configurando a delegação de autenticação Básica e Negociação do Outlook Web Access.

Observação:

Alguns dos recursos do Outlook em Qualquer Lugar e do Outlook Web Access que requerem o caminho /ews/* atualmente funcionam somente com a autenticação Básica.

Este documento assume que o uso do método de autenticação configurado padrão, a autenticação Básica, foi aceito no servidor Acesso para Cliente.

Requisitos da configuração do Exchange

Esta seção descreve as alterações na configuração do Exchange necessárias para que a publicação do cliente da Web do ISA Server funcione corretamente.

Confirmar que a autenticação baseada em formulários não esteja selecionada no servidor Acesso para Cliente do Exchange

Habilitar o Outlook em Qualquer Lugar no servidor Acesso para Cliente do Exchange

Instalar um certificado do servidor no servidor Acesso para Cliente do Exchange

Exigir comunicações do canal de seguro (SSL) para o site da Web

Confirmar que a autenticação baseada em formulários não esteja selecionada no servidor Acesso para Cliente do Exchange

A autenticação baseada em formulários pode ser configurada no servidor Acesso para Cliente quando o ISA Server não estiver sendo utilizado para publicar o acesso de cliente da Web do Exchange. Quando o ISA Server estiver sendo utilizado para publicar o acesso de cliente da Web do Exchange, a autenticação baseada em formulários deve ser configurada somente no computador do ISA Server.

Execute o procedimento a seguir para confirmar que a autenticação baseada em formulários não esteja selecionada no servidor de Acesso para Cliente do Exchange.

Para confirmar que a autenticação baseada em formulários não esteja selecionada em um servidor front-end do Exchange
  1. Inicie o Console de Gerenciamento do Exchange.

  2. No Console de Gerenciamento do Exchange, expanda Configuração de Servidor e, em seguida, clique em Acesso de Cliente.

  3. Selecione o seu servidor de Acesso de Cliente, como cas01 e, em seguida, selecione owa (Site Padrão) na página Outlook Web Access.

    Bb794751.c55dd338-2b29-4e53-a446-e27a4d4cf2f9(pt-br,TechNet.10).gif
  4. No painel de ações, clique em Propriedades em owa (Site Padrão).

  5. Selecione a página Autenticação e confirme se as seguintes opções estão selecionadas: Usar um ou mais dos seguintes métodos de autenticação padrão e Autenticação básica (a senha é enviada em texto não criptografado).

    Bb794751.a99d0cb9-b9ca-4a79-8ab3-3e84018d43c3(pt-br,TechNet.10).gif
  6. Clique em OK.

  7. Verifique a caixa de diálogo Aviso do Microsoft Exchange e clique em OK. Para as alterações que acabaram de ser feitas, você deve reiniciar o ISS. Para obter instruções, consulte a etapa 9.

    Bb794751.00f68f63-c589-4dad-bb0e-2c537f9f14c6(pt-br,TechNet.10).gif
  8. Repita as etapas de 1 a 6 para os sites a seguir: Exchange (Site Padrão), Exchweb (Site Padrão) e Public (Site Padrão)

  9. Para reiniciar o IIS, execute o seguinte comando: "iisreset /noforce".

Observação:

Siga esse procedimento para todos os servidores de Acesso para Cliente do Exchange em seu ambiente que serão utilizados para o Outlook Web Access.

Habilitar o Outlook em Qualquer Lugar no servidor de Acesso para Cliente

Se você for fornecer acesso ao Outlook em Qualquer Lugar (RPC sobre HTTP) para os seus usuários, será necessário habilitar o Outlook em Qualquer Lugar nos seus servidores de Acesso para Cliente.

Para habilitar o Outlook em Qualquer Lugar, você deve executar os procedimentos a seguir.

Para instalar o componente de rede Windows RPC sobre HTTP
  1. Clique em Iniciar, aponte para Configurações, clique em Painel de Controle e, em seguida, clique em Adicionar ou Remover Programas.

  2. Clique em Adicionar ou Remover Componentes do Windows.

  3. Na página Componentes do Windows, na janela Componentes, selecione Serviços de Rede e, em seguida, clique no botão Detalhes.

  4. Na página Serviços de Rede, na janela Subcomponentes e Serviços de Rede, marque a caixa de seleção ao lado de RPC sobre Proxy HTTP e, em seguida, clique em OK.

  5. Na página Componentes do Windows, clique em Avançar.

  6. Clique em Concluir para fechar o Assistente de Componentes do Windows.

Para habilitar o Outlook em Qualquer Lugar no seu servidor de Acesso para Cliente
  1. Inicie o Console de Gerenciamento do Exchange.

  2. No Console de Gerenciamento do Exchange, expanda Configuração de Servidor e, em seguida, clique em Acesso de Cliente.

  3. Selecione o seu servidor de Acesso para Cliente, como cas01.

  4. No painel de ações, clique em Habilitar o Outlook em Qualquer Lugar no nome do servidor que você acabou de selecionar.

  5. Digite o nome do host que o cliente utilizará para conectar-se ao servidor de Acesso para Cliente no campo Nome de host externo, como mail.contoso.com.

    Observação:

    Esse nome deve coincidir com o nome comum ou FQDN utilizado no certificado do servidor instalado no computador do ISA Server.

    Bb794751.1a57a13c-63ae-4dae-ade4-39827b3f72a5(pt-br,TechNet.10).gif
  6. Confirme se a opção Método de autenticação externa está definida como Autenticação NTLM e clique em Habilitar.

Observação:

Siga esse procedimento para todos os servidores de Acesso para Cliente do Exchange em seu ambiente.

Instalar um certificado do servidor no servidor Acesso para Cliente do Exchange

Para garantir que as comunicações entre o computador do ISA Server e o servidor de Acesso para Cliente do Exchange estejam corretamente protegidas, será necessário instalar um certificado do servidor no servidor de Acesso para Cliente do Exchange. Esse certificado pode ser de uma CA interna e não precisa ser adquirido de uma CA pública. O Outlook em Qualquer Lugar não funcionará sem um certificado do servidor, a menos que você selecione Permitir descarregamento de canal seguro (SSL), ao habilitar o Outlook em Qualquer Lugar.

Esse procedimento será executado no servidor de Acesso para Cliente. Ele supõe que uma autoridade de certificação corporativa interna já tenha sido instalada. Para obter mais informações sobre como instalar uma autoridade de certificação corporativa do Microsoft Windows Server® 2003, consulte “Como instalar uma autoridade de certificação do Windows Server 2003” no site da Web do Microsoft TechNet.

Antes de começar, você deve escolher o FQDN (nome de domínio totalmente qualificado) (também conhecido como um nome comum).

Importante

O FQDN utilizado para criar o certificado do servidor no servidor de Acesso para Cliente precisa coincidir com o valor definido nos campos Nome do site interno ou Nome ou endereço IP do computador na página Detalhes de Publicação Interna do Assistente de Nova Regra Publicação do Exchange. A conexão SSL entre o computador do ISA Server e o servidor de Acesso para Cliente não será bem-sucedida se o Servidor do ISA utilizar um FQDN diferente do utilizado na criação do certificado.

Execute o procedimento a seguir para instalar um certificado do servidor no servidor de Acesso para Cliente.

Observação:

Ao instalar o Exchange 2007, você pode instalar um certificado SSL (Secure Sockets Layer) padrão, o qual é criado pela Instalação do Exchange. No entanto, esse certificado não é um certificado SSL confiável. Recomendamos que você instale um certificado a partir de uma autoridade de certificação confiável.

Importante

Esse procedimento funcionará somente se você tiver uma autoridade de certificação do Windows Server 2003 instalada em seu domínio.

Para obter um novo certificado do servidor usando o Assistente de certificado de servidor Web
  1. No Gerenciador do IIS, expanda o computador local e, em seguida, expanda a pasta Sites.

  2. Clique com o botão direito do mouse no site da Web de serviços front-end do Exchange, por padrão, o Site Padrão e clique em Propriedades.

  3. Na guia Segurança de Diretório, em Comunicações Seguras, clique em Certificado do Servidor. Use o assistente para solicitar e instalar o certificado de servidor Web.

  4. No Assistente de certificado de servidor Web, selecione Criar um novo certificado.

    Observação:

    Se você tiver instalado um certificado durante a Instalação do Exchange , selecione Remover o certificado atual na página Modificar a atribuição do certificado atual e clique em Avançar. Agora, você pode reiniciar o procedimento.

  5. Na página Solicitação atrasada ou imediata, selecione Enviar a solicitação imediatamente a uma autoridade de certificação on-line.

  6. Insira as informações necessárias nas páginas Configurações de nome e segurança e Informações da organização.

  7. Digite o FQDN na página Nome comum do site.

    Importante

    O ISA Server deve resolver esse nome para o servidor de Acesso para Cliente. O FQDN inserido será utilizado na publicação do Acesso de Cliente da Web do Exchange.

  8. Insira as informações necessárias na página Informações geográficas.

  9. Aceite a porta padrão 443 na página Porta SSL.

  10. Na lista em Autoridades de certificação, selecione a autoridade de certificação corporativa interna correta.

  11. Verifique a sua solicitação na página Envio da solicitação de certificação e clique em Avançar para enviá-la. Essa ação também instalará o certificado do seu site da Web.

  12. Clique em Concluir na página Concluindo o Assistente de certificado de servidor Web para fechar o assistente.

Observação:

Se você tiver vários servidores de Acesso para Cliente do Exchange fornecendo acesso de cliente da Web do Exchange, você precisará executar esse procedimento em cada servidor de Acesso para Cliente que use o mesmo nome comum ou FQDN para cada servidor. Opcionalmente, você pode exportar o certificado junto com sua chave particular e importá-lo para os servidores de Acesso para Cliente adicionais.

Além disso, você pode configurar a autenticação de cliente SSL entre o servidor de Acesso para Cliente e o computador do ISA Server. Para obter mais informações, consulte a Ajuda do produto ISA Server.

Exigir comunicações do canal seguro (SSL) para o site da Web

Depois da instalação de um certificado no site da Web, será necessário solicitar que o site da Web aceite somente comunicações do canal seguro (somente comunicações SSL).

Execute o procedimento a seguir para habilitar Exigir canal seguro (SSL).

Para habilitar as comunicações seguras
  1. No Gerenciador do IIS, expanda o computador local e, em seguida, expanda a pasta Sites.

  2. Clique com o botão direito do mouse no site da Web no qual os serviços front-end do Exchange foram instalados, por padrão, o Site Padrão e clique em Propriedades.

  3. Na guia Segurança de Diretório, em Comunicações Seguras, clique em Editar.

  4. Selecione Exigir canal seguro (SSL) na página Comunicação Segura e, em seguida, clique em OK. Clique em OK novamente para fechar a caixa de diálogo de propriedades do site da Web.

Observação:

Se você tiver vários servidores de Acesso para Cliente do Exchange fornecendo acesso de cliente da Web do Exchange, você precisará executar esse procedimento em cada servidor de Acesso para Cliente.

Requisitos do ISA Server

Antes da execução do Assistente de Nova Regra de Publicação do Exchange, é necessário concluir os procedimentos a seguir.

Instalar um certificado do servidor no computador do ISA Server

Atualizar DNS público

Instalar um certificado do servidor no computador do ISA Server

Para habilitar uma conexão segura entre o computador cliente e o computador do ISA Server, será necessário instalar um certificado do servidor no computador do ISA Server. Esse certificado deve ser emitido por uma autoridade de certificação pública, pois ele será acessado por usuários na Internet. Se for utilizada uma autoridade de certificação privada, o certificado da autoridade de certificação raiz da autoridade de certificação privada precisará ser instalado em qualquer computador que precisar criar uma conexão segura (uma conexão HTTPS) com o computador do ISA Server.

Em muitos casos, o computador do ISA Server não tem o IIS instalado. Os procedimentos a seguir supõem que o IIS não está instalado no computador do ISA Server. Use os procedimentos a seguir para importar um certificado no computador do ISA Server.

Solicitar e instalar um certificado do servidor de uma autoridade de certificação pública

Exportar o certificado do servidor a um arquivo

Importar o certificado do servidor no computador do ISA Server

Solicitar e instalar um certificado do servidor de uma autoridade de certificação pública

Esse procedimento criará um novo site da Web em um computador existente com o IIS instalado. Depois que o site da Web tiver sido criado, siga as etapas fornecidas pela autoridade de certificação pública para solicitar e instalar um certificado do servidor para o novo site da Web.

Execute o procedimento a seguir para solicitar e instalar um certificado do servidor em um computador com o IIS instalado.

Para solicitar e instalar um certificado do servidor de uma autoridade de certificação pública
  1. No IIS, crie um novo site da Web, apontando o site da Web para um novo diretório vazio.

  2. No Gerenciador do IIS, expanda o computador local, clique com o botão direito do mouse na pasta Sites, clique em Novo e, em seguida, clique emSite para iniciar o Assistente para criação de site da Web.

  3. Clique em Avançar na página de Boas-vindas.

  4. Digite um nome para o site da Web no campo Descrição. Por exemplo, digite Site Cert ISA e clique em Avançar.

  5. Aceite as configurações padrão na página Configurações de porta e endereço IP.

  6. Digite um caminho para o site da Web na página Diretório base do site. Por exemplo, digite c:\temp.

  7. Aceite as configurações padrão na página Permissões de acesso do site da Web e clique em Avançar.

  8. Clique em Concluir para finalizar o Assistente para criação de site da Web.

    Importante:

    Por padrão, o novo site da Web será parado. Você deve sair desse site da Web no estado de parado. Não há motivo para iniciar esse site da Web.

    Observação:

    Para obter mais informações sobre como criar um novo site da Web, consulte a documentação do produto IIS.

  9. Siga as etapas fornecidas pela autoridade de certificação pública para criar e instalar um certificado do servidor.

    Importante:

    A informação mais importante no certificado é o nome comum ou FQDN. Digite o FQDN que será utilizado pelos usuários na Internet para conexão com o site do Exchange Outlook Web Access. Por exemplo, digite mail.contoso.com.

    Observação:

    Confirme se a chave particular do certificado que você instalará é exportável.

Exportar o certificado do servidor a um arquivo

Depois que o certificado for instalado no site da Web que você acabou de criar, você exportará o certificado para um arquivo. Esse arquivo será então copiado e importado para o computador do ISA Server.

Execute o procedimento a seguir para exportar o certificado do servidor que você acabou de instalar.

Para exportar o certificado do servidor a um arquivo .pfx
  1. No Gerenciador do IIS, expanda o computador local e, em seguida, expanda a pasta Sites.

  2. Clique com o botão direito no site da Web de serviços front-end do Exchange, por padrão, o Site Padrão e clique em Propriedades.

  3. Na guia Segurança de Diretório, em Comunicações seguras, clique em Certificado do Servidor para iniciar o Assistente de certificado de servidor Web.

  4. Clique em Avançar na página de Boas-vindas.

  5. Selecione Exportar o certificado atual para um arquivo .pfx na página Modificar a atribuição do certificado atual.

  6. Digite o caminho e o nome do arquivo na página Exportar certificado. Por exemplo, digite c:\certificates\mail_isa.pfx e, em seguida, clique em Avançar.

  7. Digite a senha para o arquivo .pfx. Essa senha será solicitada quando um usuário estiver importando o arquivo .pfx. Recomendamos que seja utilizada uma senha difícil, pois o arquivo .pfx também tem a chave particular.

    Importante:

    O arquivo .pfx deve ser transferido para o computador do ISA Server de forma segura, pois ele contém a chave particular do certificado a ser instalado no computador do ISA Server. O arquivo .pfx deve ser excluído do computador do ISA Server depois que for importado com êxito.

Importar o certificado do servidor no computador do ISA Server

Execute o procedimento a seguir no computador do ISA Server para importar o certificado do servidor para o armazenamento do computador local.

Para importar o certificado do servidor no computador do ISA Server
  1. Copie de forma segura o arquivo .pfx, criado na seção anterior, para o computador do ISA Server.

  2. Clique em Iniciar e depois em Executar. Em Abrir, digite MMC e clique em OK.

  3. Clique em Arquivo e em Adicionar/Remover Snap-in. Na caixa de diálogo Adicionar/Remover Snap-in, clique em Adicionar para abrir a caixa de diálogo Adicionar snap-in autônomo.

  4. Selecione Certificados, clique em Adicionar, selecione Conta de computador e, em seguida, clique em Avançar

  5. Selecione Computador Local e, em seguida, clique em Concluir. Na caixa de diálogo Adicionar/Remover Snap-in, clique em Fechar. Na caixa de diálogo Adicionar/Remover Snap-in, clique em OK.

  6. Expanda o nó Certificados e clique com o botão direito do mouse na pasta Particular.

  7. Selecione Todas as tarefas e, em seguida, clique em Importar. Essa ação iniciará o Assistente para importação de certificados.

  8. Na página de Boas-vindas, clique em Avançar.

  9. Na página Arquivo a ser importado, procure o arquivo que você criou anteriormente e copiou para o computador do ISA Server e, em seguida, clique em Avançar.

  10. Na página Senha, digite a senha para esse arquivo e, em seguida, clique em Avançar.

    Observação:

    A página Senha fornece a opção Marcar esta chave como exportável. Se você quiser impedir a exportação da chave a partir do computador do ISA Server, não selecione essa opção.

  11. Na página Armazenamento de Certificados, verifique se a opção Colocar todos os certificados no armazenamento a seguir está selecionada e a opçãoArmazenamento de Certificados definida como Particular (as configurações padrão) e, em seguida, clique em Avançar.

  12. Na página de conclusão do assistente, clique em Concluir.

  13. Verifique se o certificado do servidor foi instalado corretamente. Clique em Certificados e clique duas vezes no novo certificado do servidor. Na guia Geral, há uma observação que mostra Tem uma chave particular correspondente a este certificado. Na guia Caminho de Certificação, você verá uma relação hierárquica entre o seu certificado e a autoridade de certificação, além de uma observação que mostra Este certificado é válido.

  14. Exclua o arquivo .pfx do computador.

Observação:

Se você tiver o ISA Server 2006 Enterprise Edition, você deve importar o certificado em cada membro da matriz.

Atualizar DNS público

Crie um novo registro host DNS nos servidores DNS públicos do seu domínio. Os usuários iniciarão uma conexão usando o nome do site da Web. Esse nome precisa coincidir com o nome comum ou FQDN utilizado no certificado instalado no computador do ISA Server. Por exemplo, um usuário pode procurar por https://mail.contoso.com/owa. Nesse caso, as seguintes condições devem ser atendidas para que o usuário inicie com êxito uma conexão:

  • O FQDN utilizado no certificado do servidor instalado no computador do ISA Server precisa ser mail.contoso.com.

  • Os usuários precisam resolver mail.contoso.com para um endereço IP.

  • O endereço IP que mail.contoso.com resolver precisa ser configurado na rede externa do computador do ISA Server.

    Observação:

    Para o ISA Server Enterprise Edition, se você estiver trabalhando com uma matriz habilitada por NLB, o endereço IP deverá ser um endereço IP virtual configurado para a matriz. Para obter mais informações sobre NLB, consulte a Ajuda do produto ISA Server.

Publicação do Exchange

Agora que o servidor front-end do Exchange e o computador do ISA Server foram corretamente configurados e possuem os certificados do servidor apropriados instalados, você pode iniciar os procedimentos para publicar o servidor front-end do Exchange. Usando o Assistente de Nova Regra de Publicação do Exchange, você pode fornecer acesso seguro ao seu servidor front-end do Exchange.

Os procedimentos a seguir são utilizados para publicar o seu servidor front-end do Exchange.

Criar um farm de servidores (opcional)

Criar um ouvinte da Web

Criar uma regra de publicação do acesso de cliente da Web do Exchange

Criar um farm de servidores (opcional)

Quando você tem mais de um servidor front-end do Exchange, pode usar o ISA Server para fornecer balanceamento de carga para esses servidores. Isso permitirá que você publique o site uma vez, em vez de ficar executando o assistente diversas vezes. Isso também elimina a necessidade de um produto de terceiros para balancear a carga de um site. Se um dos servidores estiver indisponível, o ISA Server detectará o fato e direcionará os usuários aos servidores que estiverem funcionando. O ISA Server verifica, em intervalos regulares, se os servidores membros do farm de servidores estão funcionando. As propriedades do farm de servidores determinam o seguinte:

  • Servidores incluídos no farm

  • O método de verificação de conectividade que o ISA Server utilizará para verificar se os servidores estão funcionando

Execute o seguinte procedimento para criar um farm de servidores.

Para criar um farm de servidores
  1. Na árvore de console do Gerenciamento do ISA Server, clique em Diretiva de Firewall:

    • Para o ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006, expanda Server_Name, e clique em Diretiva de Firewall.

    • Para o ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006, expanda Matrizes, expanda Array_Name e, em seguida, clique em Diretiva de Firewall.

  2. Na guia Caixa de Ferramentas, clique em Objetos de Rede, clique em Novo e selecione Farm de Servidores. Use o assistente para criar o farm de servidores conforme descrito na tabela a seguir.

    Página

    Campo ou propriedade

    Configuração

    Página de boas-vindas

    Nome do farm de servidores

    Digite um nome para o farm de servidores. Por exemplo, digite Servidores front-end do Exchange.

    Servidores

    Servidores incluídos neste farm

    Selecione Adicionar e insira os endereços IP ou os nomes de seus servidores front-end do Exchange.

    Monitoramento de Conectividade

    Método usado para monitorar a conectividade de farm de servidores

    Selecione Enviar uma solicitação GET HTTP/HTTPS.

    Concluindo o Assistente de Novo Farm de Servidores

    Concluindo o Assistente de Novo Farm de Servidores

    Verifique as configurações selecionadas e clique em Voltar para fazer alterações e em Concluir para finalizar o assistente.

  3. Quando o assistente terminar, clique em Sim na caixa de diálogo Habilitar Verificação de Conectividade HTTP.

  4. Clique no botão Aplicar no painel de detalhes para salvar as alterações e atualizar a configuração.

Para obter mais informações sobre verificadores de conectividade, consulte a Ajuda do produto ISA Server.

Criar um ouvinte da Web

Quando você cria uma regra de publicação na Web, precisa especificar um ouvinte da Web a ser usado. As propriedades do ouvinte da Web determinam o seguinte:

  • Endereços IP e portas nas redes especificadas que o computador do ISA Server utilizará para ouvir as solicitações da Web (HTTP ou HTTPS)

  • Certificados do servidor que serão utilizados com endereços IP

  • Método de autenticação a ser utilizado

  • Número de conexões simultâneas permitidas

  • Configurações de logon único (SSO, Single Sign On)

    Atualize a seguinte tabela com informações que serão utilizadas quando você usar o Assistente de Novo Ouvinte da Web.

Utilize as informações na planilha preenchida anteriormente e execute o procedimento a seguir para criar um ouvinte da Web.

Para criar um ouvinte da Web
  1. Na árvore de console do Gerenciamento do ISA Server, clique em Diretiva de Firewall:

    • Para o ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006, expanda Server_Name, e clique em Diretiva de Firewall.

    • Para o ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006, expanda Matrizes, expanda Array_Name e, em seguida, clique em Diretiva de Firewall.

  2. Na guia Caixa de Ferramentas, clique em Objetos de Rede, clique em Novo e selecione Ouvinte da Web. Use o assistente para criar o ouvinte da Web conforme descrito na tabela a seguir.

    Página

    Campo ou propriedade

    Configuração

    Página de boas-vindas

    Nome do ouvinte da Web

    Digite um nome para o ouvinte da Web. Por exemplo, digite Exchange FBA.

    Segurança da Conexão do Cliente

    Selecione o tipo de conexão que este ouvinte da Web estabelecerá com clientes

    Selecione Exigir conexões SSL seguras com clientes.

    Endereços IP do Ouvinte da Web

    Ouvir entrada de solicitações da Web nestas redes

    O ISA Server compactará o conteúdo

    Selecione a rede Externa.

    A caixa de seleção deve ser marcada (padrão).

    Clique em Selecionar Endereços IP

    Seleção de IP do Ouvinte de Rede Externo

    Escutar solicitações em

    Endereços IP Disponíveis

    Selecione Endereços IP especificados no computador do ISA Server da rede selecionada.

    Selecione o endereço IP apropriado e clique em Adicionar.

    Observação:

    Para o ISA Server Enterprise Edition com uma matriz habilitada por NLB, você deve selecionar o endereço IP virtual.

    Certificados SSL de Ouvinte

    Selecione um certificado para cada endereço IP ou especifique um único certificado para este ouvinte da Web

    Selecione Atribuir um certificado para cada endereço IP.

    Selecione o endereço IP que você acabou de selecionar e clique em Selecionar Certificado.

    Selecionar Certificado

    Selecione um certificado na lista de certificados disponíveis

    Selecione o certificado que você acabou de instalar no computador do ISA Server. Por exemplo, selecione mail.contoso.com e clique em Selecionar. O certificado deve ser instalado antes da execução do assistente.

    Configurações de Autenticação

    Selecione como os clientes fornecerão credenciais para o ISA Server

    Selecione como o ISA Server validará credenciais de cliente

    Selecione Autenticação de Formulário HTML para a autenticação baseada em formulários e selecione o método apropriado que o ISA Server utilizará para validar as credenciais de cliente.

    Por exemplo, selecione Windows (Active Directory) se o seu computador do ISA Server for um membro de um domínio.

    Configurações de Logon Único

    Habilitar SSO para sites publicados com este ouvinte da Web

    Nome de domínio SSO

    Mantenha a configuração padrão para habilitar SSO.

    Para habilitar SSO entre dois sites publicados, como

    portal.contoso.com
    e
    mail.contoso.com,
    digite .contoso.com.

    Concluindo o Assistente de Novo Ouvinte da Web

    Concluindo o Assistente de Novo Ouvinte da Web

    Verifique as configurações selecionadas e clique em Voltar para fazer alterações ou em Concluir para finalizar o assistente.

Criar uma regra de publicação do acesso de cliente da Web do Exchange

Quando você publica um servidor de Acesso para Cliente do Exchange 2007 através de um ISA Server 2006, está protegendo o servidor Web do acesso externo direto, pois o nome e o endereço IP do servidor não estão disponíveis ao usuário. O usuário acessa o computador do ISA Server, que por sua vez encaminha a solicitação ao servidor Web interno de acordo com as condições da sua regra de publicação do servidor Web. Uma regra de publicação de acesso de cliente da Web do Exchange é uma regra de publicação na Web que contém as configurações padrão apropriadas para o acesso de cliente da Web do Exchange.

Atualize a seguinte tabela com informações que serão utilizadas quando você usar o Assistente de Nova Regra de Publicação do Exchange.

Propriedade

Valor

Nome da regra de publicação do Exchange

Nome: ________________________

Serviços

Observação:

Você pode publicar somente um serviço por vez em uma única regra. Para publicar um servidor adicional, será necessário executar novamente o assistente de publicação.

Versão do Exchange: Exchange 2007

__Outlook Web Access

__Outlook em Qualquer Lugar (RPC sobre HTTP)

__Exchange ActiveSync

Tipo de publicação

__Publicar um único site

ou

__Publicar um farm de servidores para carga balanceada

e

Nome do farm de servidores:_____________

Segurança da conexão do servidor

HTTPS ou HTTP (circule um)

Observe o seguinte:

  • Se o HTTP estiver selecionado, as informações entre o computador do ISA Server e o servidor Web serão transferidas em texto sem formatação.

  • Se o HTTPS estiver selecionado, o servidor front-end do Exchange precisará ter um certificado do servidor instalado.

Detalhes de publicação interna

Nome do site interno (FQDN): ______________________

Se o FQDN não puder ser resolvido pelo computador do ISA Server, forneça um nome de computador ou endereço IP:_____________________

Detalhes do nome público

Aceitar solicitação para:

__Este nome de domínio:______________

ou

__Qualquer nome de domínio

Selecionar Ouvinte da Web

Ouvinte da Web:________________

Conjunto de usuários

Relacione os conjuntos de usuários que terão acesso a essa regra:

_________________

__________________

Utilize as informações na planilha preenchida anteriormente e execute o procedimento a seguir para criar uma regra de publicação de acesso de cliente da Web do Exchange.

Para criar uma regra de publicação do acesso de cliente da Web do Exchange
  1. Na árvore de console do Gerenciamento do ISA Server, clique em Diretiva de Firewall:

    • Para o ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006, expanda Server_Name, e clique em Diretiva de Firewall.

    • Para o ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006, expanda Matrizes, expanda Array_Name e, em seguida, clique em Diretiva de Firewall.

  2. Na guia Tarefas, clique em Publicar Acesso de Cliente da Web do Exchange. Use o assistente para criar a regra conforme descrito nas tabelas a seguir.

    Para um servidor Web único, use a tabela em Assistente de Nova Regra de Publicação do Exchange para um site único.

    Se você estiver usando um farm de servidores, use a tabela em Assistente de Nova Regra de Publicação do Exchange para um farm de servidores único.

    Assistente de Nova Regra de Publicação do Exchange para um site único

    Página

    Campo ou propriedade

    Configuração

    Página de boas-vindas

    Nome da regra de Publicação do Exchange

    Digite um nome para a regra. Por exemplo, digite Publicação do Acesso de Cliente da Web do Exchange.

    Selecionar Serviços

    Versão do Exchange

    Serviços de email de cliente da Web

    Selecione a versão apropriada do Exchange. Por exemplo, selecione Exchange Server 2007.

    Selecione o método de acesso desejado.

    Tipo de Publicação

    Selecione se esta regra publicará um único site ou balanceador externo de carga, um farm de servidores Web ou vários sites

    Selecione Publicar um único site ou um balanceador de carga.

    Segurança da Conexão do Servidor

    Escolha o tipo de conexões que o ISA Server estabelecerá com o farm de servidores ou o servidor Web publicado

    Selecione Usar SSL para conectar ao servidor Web ou ao farm de servidores publicado.

    Observação:

    Um certificado do servidor deve ser instalado no servidor de Acesso para Cliente do Exchange publicado; além disso, um certificado da autoridade de certificação raiz da autoridade de certificação, a qual emitiu o certificado do servidor no servidor de Acesso para Cliente do Exchange, deve ser instalado no computador do ISA Server.

    Detalhes de Publicação Interna

    Nome do site interno

    Digite o FQDN interno do servidor de Acesso para Cliente do Exchange. Por exemplo, digite exchfe.corp.contoso.com.

    Importante:

    O nome do site interno deve corresponder ao nome do certificado do servidor que está instalado no servidor de Acesso para Cliente do Exchange.

    Observação:

    Se você não consegue resolver adequadamente o nome do site interno, é possível selecionar Usar um nome ou endereço IP de computador para se conectar ao servidor publicado e digitar o endereço IP ou nome que pode ser resolvido pelo computador do ISA Server.

    Detalhes do Nome Público

    Aceitar solicitações de

    Nome público

    Este nome de domínio (digite abaixo)

    Digite o nome de domínio para o qual deseja que o ISA Server aceite a conexão. Por exemplo, digite mail.contoso.com. Esse nome deve coincidir com o FQDN do certificado selecionado durante a criação do ouvinte da Web.

    Selecionar Ouvinte da Web

    Ouvinte da Web

    Selecione o ouvinte da Web que você criou anteriormente. Por exemplo, selecione Exchange FBA.

    Delegação de Autenticação

    Selecione o método usado pelo ISA Server para autenticação no servidor Web publicado

    Para o Outlook Web Access, selecione Autenticação básica.

    Para o Exchange ActiveSync, selecione Autenticação básica.

    Conjuntos de Usuários

    Esta regra aplica-se às solicitações dos seguintes conjuntos de usuários

    Selecione o conjunto de usuários aprovado para acessar essa regra.

    Concluindo o Assistente de Nova Regra de Publicação do Exchange

    Concluindo o Assistente de Nova Publicação do Exchange.

    Verifique as configurações selecionadas e clique em Voltar para fazer alterações e em Concluir para finalizar o assistente.

    Observação:

    Ao publicar o Outlook Web Access, depois de clicar em Concluir, verifique a caixa de diálogo Tarefas de Publicação Restantes do Exchange e clique em OK.

  3. Clique no botão Aplicar no painel de detalhes para salvar as alterações e atualizar a configuração.

    Observação:

    Execute o Assistente de Nova Regra de Publicação do Exchange para cada método de acesso que você deseja publicar. Confirme se o método de autenticação configurado no servidor de Acesso para Cliente coincide com a delegação de autenticação na regra de publicação.

    Vá para Ponte SSL.

    Assistente de Nova Regra de Publicação do Exchange para um farm de servidores

    Página

    Campo ou propriedade

    Configuração

    Página de boas-vindas

    Nome da regra de Publicação do Exchange

    Digite um nome para a regra. Por exemplo, digite Publicação do Acesso de Cliente da Web do Exchange.

    Selecionar Serviços

    Versão do Exchange

    Serviços de email de cliente da Web

    Selecione a versão apropriada do servidor do Exchange. Por exemplo, selecione Exchange Server 2007.

    Selecione o método de acesso desejado.

    Tipo de Publicação

    Selecione se esta regra publicará um único site ou balanceador externo de carga, um farm de servidores Web ou vários sites

    Selecione Publicar um farm de servidores Web com carga balanceada.

    Segurança da Conexão do Servidor

    Escolha o tipo de conexões que o ISA Server estabelecerá com o farm de servidores ou o servidor Web publicado.

    Selecione Usar SSL para conectar ao servidor Web ou ao farm de servidores publicado.

    Observação:

    Um certificado do servidor deve ser instalado em todos os servidores de Acesso para Cliente do Exchange publicados; além disso, um certificado da autoridade de certificação raiz da autoridade de certificação, a qual emitiu o certificado do servidor no servidor de Acesso para Cliente do Exchange, deve ser instalado no computador do ISA Server.

    Detalhes de Publicação Interna

    Nome do site interno

    Digite o FQDN interno do servidor de Acesso para Cliente do Exchange. Por exemplo, digite exchfe.corp.contoso.com.

    Especificar Farm de Servidores

    Selecione o farm de servidores do Exchange que você deseja publicar

    Selecione o nome do farm de servidores que você criou anteriormente. Por exemplo, selecione Servidores front-end do Exchange.

    Detalhes do Nome Público

    Aceitar solicitações de

    Nome público

    Este nome de domínio (digite abaixo)

    Digite o nome de domínio para o qual deseja que o ISA Server aceite a conexão: Por exemplo, digite mail.contoso.com.

    Selecionar Ouvinte da Web

    Ouvinte da Web

    Selecione o ouvinte da Web que você criou anteriormente. Por exemplo, selecione Exchange FBA.

    Delegação de Autenticação

    Selecione o método usado pelo ISA Server para autenticação no servidor Web publicado

    Para o Outlook Web Access, selecione Autenticação básica.

    Para o Exchange ActiveSync, selecione Autenticação básica.

    Conjuntos de Usuários

    Esta regra aplica-se às solicitações dos seguintes conjuntos de usuários

    Selecione o conjunto de usuários aprovado para acessar essa regra.

    Concluindo o Assistente de Nova Regra de Publicação do Exchange

    Concluindo o Assistente de Nova Publicação do Exchange

    Verifique as configurações e clique em Voltar para fazer alterações e em Concluir para finalizar o assistente.

    Observação:

    Ao publicar o Outlook Web Access, depois de clicar em Concluir, verifique a caixa de diálogo Tarefas de Publicação Restantes do Exchange e clique em OK.

  4. Clique no botão Aplicar no painel de detalhes para salvar as alterações e atualizar a configuração.

    Observação:

    Execute o Assistente de Nova Regra de Publicação do Exchange para cada método de acesso que você deseja publicar. Confirme se o método de autenticação configurado no servidor de Acesso para Cliente coincide com a delegação de autenticação na regra de publicação.

Ponte SSL

A ponte SSL é utilizada quando o ISA Server encerra ou inicia uma conexão SSL. No ISA Server 2006, a ponte SSL é automaticamente configurada quando o ouvinte da Web especificado é configurado para ouvir o tráfego HTTPS.

Especificamente, a ponte SSL funciona nos seguintes cenários:

  • Um cliente solicita um objeto SSL. O ISA Server descriptografa a solicitação e criptografa-a novamente, encaminhando-a ao servidor Web. O servidor Web retorna o objeto criptografado ao ISA Server. O ISA Server descriptografa o objeto e criptografa-o novamente, enviando-o ao cliente. As solicitações SSL são encaminhadas como solicitações SSL.

  • Um cliente solicita um objeto SSL. O ISA Server descriptografa a solicitação e a encaminha sem criptografia ao servidor Web. O servidor Web retorna o objeto HTTP ao ISA Server. O ISA Server criptografa o objeto e envia-o ao cliente. As solicitações SSL são encaminhadas como solicitações HTTP.

Para solicitações Web de entrada, um cliente externo utiliza HTTPS para solicitar um objeto de um servidor Web localizado em sua rede interna. O cliente se conecta ao ISA Server na porta SSL especificada nas propriedades do ouvinte da Web – por padrão, a porta 443.

Depois de receber a solicitação do cliente, o ISA Server decodifica-a, encerrando a conexão SSL. As regras de publicação na Web determinam como o ISA Server comunica a solicitação do objeto ao servidor Web publicado (FTP, HTTP ou HTTPS).

Se a regra de segurança de publicação na Web estiver configurada para encaminhar a solicitação usando HTTPS, o ISA Server iniciará uma nova conexão SSL com o servidor publicado, enviando uma solicitação para a porta ouvinte (por padrão, a porta 443). Como o computador do ISA Server é, agora, um cliente SSL, ele requer que o servidor Web de publicação responda com um certificado do lado do servidor.

Testar Regra de Publicação do Exchange

Nesta seção, você testará a nova regra de publicação do Exchange que acabou de criar.

Testar Outlook Web Access

De um computador na Internet, use o seguinte procedimento para testar o Outlook Web Access.

Observação:

Certifique-se de ter a autoridade de certificação raiz da autoridade de certificação emissora do certificado mail.contoso.com instalada.

Para testar a regra de publicação do Outlook Web Access
  1. Abra o Microsoft Internet Explorer.

  2. Procure o site do Outlook Web Access, como a URL https://mail.contoso.com/owa e insira as suas credenciais de usuário para efetuar logon.

    Bb794751.65cf64a6-59ff-4b3d-9002-01e7ca7cd65a(pt-br,TechNet.10).jpg

Agora, você pode ler e enviar emails.

Testar o Exchange ActiveSync

Configure um dispositivo móvel para que se conecte a seu servidor Exchange usando o Microsoft Exchange ActiveSync, e certifique-se de que o ISA Server e o Exchange ActiveSync estejam funcionando adequadamente. Para obter mais informações sobre como configurar o ActiveSync, verifique a documentação do fabricante do dispositivo móvel que você deseja configurar.

Ao configurar o seu dispositivo móvel e quando for solicitado a digitar um nome para o servidor no nome de campo do servidor, digite o nome do servidor Exchange ActiveSync que você acabou de publicar, como https://mail.contoso.com/microsoft-server-activesync.

Observação:

Você também pode testar o Exchange ActiveSync usando o Internet Explorer. Abra o Internet Explorer e em Endereço, digite a URL https://nome_servidor_publicado/Microsoft-Server-Activesync, em que published_server_name é o nome publicado do servidor de Acesso para Cliente (o nome que um usuário utilizaria para acessar o Outlook Web Access). Depois de efetuar a sua autenticação, se você receber a mensagem de erro Erro 501/505 – Não implementado ou sem suporte, o ISA Server e o Exchange ActiveSync estarão trabalhando juntos adequadamente.

Testar o Outlook em Qualquer Lugar

Esse procedimento deve ser executado a partir de um cliente na rede interna. Recomendamos configurar o Outlook 2003 sem RPC sobre HTTP. Confirme se o Outlook está funcionando adequadamente na rede Interna antes de configurar RPC sobre HTTP.

Para testar o Outlook em Qualquer Lugar a partir do Outlook 2003
  1. Altere a seguinte configuração de conta no Outlook 2003:

    1. No menu Ferramentas do Outlook 2003, selecione Contas de email.

    2. Selecione Exibir ou alterar contas de email existentes e clique em Avançar.

    3. Selecione sua conta do Microsoft Exchange e clique em Alterar.

    4. Clique em Mais Configurações.

    5. Se receber um erro do Outlook de que ele não conseguiu se conectar ao Exchange, clique em Cancelar e continue na etapa H.

    6. Clique na guia Conexão, selecione Conectar à minha caixa de correio do Exchange usando HTTP e clique em Configurações de Proxy do Exchange.

    7. Digite mail.contoso.com em Usar esta URL para a conexão com meu servidor proxy para o Exchange em Configurações de conexão.

    8. Selecione Autenticar mutuamente a sessão durante a conexão com SSL e digite, por exemplo, msstd:mail.contoso.com em Nome principal do servidor proxy.

    9. Selecione Autenticação NTLM para Configurações de autenticação de proxy.

      Bb794751.2fe6712c-82ae-4173-8209-3ff95e40c253(pt-br,TechNet.10).gif
    10. Clique em OK para fechar a caixa de diálogo Configurações de Proxy do Exchange.

    11. Clique em OK para fechar a caixa de diálogo Microsoft Exchange Server.

  2. Clique em Avançar e clique em Concluir para fechar a caixa de diálogo Contas de email.

  3. Reinicie o Outlook.

Observação:

Para que RPC sobre HTTP funcione, quando o usuário estiver no escritório ou fora dele, o FQDN mail.contoso.com deve resolver para o endereço externo quando os usuários estiverem no escritório e quando estiverem conectados à Internet.

Apêndice A: Recursos adicionais de publicação

Nesta seção, esses recursos adicionais, que você pode configurar para facilitar suas implantações, são discutidos:

  • Redirecionamento de HTTP para HTTPS

  • Gerenciamento de senha

  • Bloqueio de anexo

Redirecionamento de HTTP para HTTPS

Ao publicar um site, recomendamos que os usuários abram uma conexão HTTPS entre eles e o computador do ISA Server, para proteger as informações sensíveis que estão sendo transferidas pela Internet. Para isso os usuários devem inserir uma URL como https://mail.contoso.com/owa. Se o usuário apenas inserir http://mail.contoso.com/owa, receberá o seguinte erro.

Bb794751.30acd38d-c5b5-49f5-8281-6eb2b55a5542(pt-br,TechNet.10).gif

Usuários têm a tendência a não inserir a parte HTTPS da URL mesmo quando estão acessando um site seguro. Esse comportamento foi reforçado pelos administradores da Web que criaram o script de seus sites para redirecionar os usuários para uma página HTTPS, mesmo quando inserem HTTP. Eles fizeram isso para reduzir o número de chamadas para o Suporte Técnico de usuários que não conseguem abrir uma URL.

Para habilitar HTTP para redirecionamento a HTTPS, execute o procedimento a seguir.

Para habilitar HTTP para redirecionamento a HTTPS
  1. Na árvore de console do Gerenciamento do ISA Server, clique em Diretiva de Firewall:

    • Para o ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006, expanda Server_Name, e clique em Diretiva de Firewall.

    • Para o ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006, expanda Matrizes, expanda Array_Name e, em seguida, clique em Diretiva de Firewall.

  2. Na guia Caixa de Ferramentas, clique em Objetos de Rede, expanda Ouvintes da Web, clique com o botão direito do mouse no ouvinte da Web e selecione Propriedades.

  3. Selecione a guia Conexões.

  4. Selecione Habilitar conexões HTTP na porta e confirme que a porta ouvinte para HTTP é 80.

  5. Confirme se a opção Habilitar conexões SSL (HTTPS) na porta está selecionada e está ouvindo a porta 443.

  6. Selecione Redirecionar todo o tráfego de HTTP para HTTPS.

    Bb794751.457bec84-baec-4030-98a3-176f3c3b8082(pt-br,TechNet.10).gif
  7. Clique em OK para fechar as propriedades do ouvinte da Web.

  8. Clique no botão Aplicar no painel de detalhes para salvar as alterações e atualizar a configuração.

Gerenciamento de senha

É uma boa diretiva de segurança solicitar a seus usuários alterar suas senhas em intervalos regulares. Os usuários que não estão regularmente no escritório precisam de um método para alterar as senhas quando estiverem fora.

Ao usar autenticação baseada em formulários, você poderá informar aos usuários que suas senhas expirarão dentro de um número específico de dias e você poderá habilitá-los a mudarem as senhas para que isso não ocorra. Os usuários também podem alterar uma senha expirada.

Para habilitar a funcionalidade de alteração de senha para autenticação baseada em formulários
  1. Na árvore de console do Gerenciamento do ISA Server, clique em Diretiva de Firewall:

    • Para o ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006, expanda Server_Name, e clique em Diretiva de Firewall.

    • Para o ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006, expanda Matrizes, expanda Array_Name e, em seguida, clique em Diretiva de Firewall.

  2. Na guia Caixa de Ferramentas, clique em Objetos de Rede, expanda Ouvintes da Web, clique com o botão direito do mouse no ouvinte da Web desejado e selecione Propriedades.

  3. Selecione a guia Formulários.

  4. Selecione Permitir que os usuários alterem suas senhas e Lembrar os usuários de que a senha expirará neste número de dias. O número padrão de dias é 15.

    Bb794751.0f41508e-f9aa-4e57-997d-45a61ba3a040(pt-br,TechNet.10).gif
  5. Clique em OK para fechar as propriedades do ouvinte da Web.

  6. Clique no botão Aplicar no painel de detalhes para salvar as alterações e atualizar a configuração.

  7. Agora, os usuários verão a tela de logon a seguir. Observe a opção Quero alterar a minha senha depois de fazer logon.

    Bb794751.880e2ee7-fc08-4f9a-90d6-8a0e8b0156d6(pt-br,TechNet.10).gif

Para configurar a opção Alterar Senha ao utilizar a autenticação LDAP, o LDAP precisa ser configurado da seguinte forma:

  • A conexão com os servidores LDAP deve ser sobre uma conexão segura. Isso requer que um certificado SSL seja instalado nos servidores do Active Directory. Para obter mais informações sobre LDAP sobre SSL, consulte “Como habilitar LDAP sobre SSL com uma autoridade de certificação” no Site de Suporte da Microsoft.

  • O computador do ISA Server precisa ter um certificado raiz de uma autoridade de certificação que emitiu o certificado SSL instalado nos servidores Active Directory.

  • A conexão com os servidores LDAP não pode ser via catálogo global.

  • São necessários nome de usuário e senha utilizados para verificar o status da conta de usuário e alteração de senhas.

Bloqueio de anexo

Não é oferecido suporte ao bloqueio de anexo do ISA Server 2006 com Exchange Server 2007. Se você estiver usando o Exchange Server 2007 e quiser bloquear anexos, você precisa configurar o bloqueio de anexo no servidor do Exchange 2007. Para obter mais informações sobre como configurar o bloqueio de anexo no Exchange Server 2007, consulte a Ajuda do produto Exchange Server 2007.

Apêndice B: solução de problemas

Esta seção fornece informações sobre a solução de problemas.

ISA Server Best Practices Analyzer

Para definir a integridade geral e para diagnosticar erros comuns de configuração, faça o download e execute a ferramenta Microsoft ISA Server Best Practices Analyzer no Centro de Download da Microsoft.

Recurso removido: fazer logoff quando o usuário deixar o site

A configuração Fazer logoff quando o usuário deixar o site foi removida do ISA Server 2006. Os usuários sempre devem usar o botão de logoff para efetuar corretamente o logoff do Outlook Web Access.

Os usuários do Windows Mobile recebem a mensagem de erro 401 – Não Autorizado

Quando um usuário do Microsoft Windows Mobile® tentar acessar um site do Outlook Web Access ou do Windows Mobile publicado com o assistente da Nova Regra de Publicação do Exchange, ele receberá o erro 401 em vez de formulários de logon do Exchange.

Os diretórios de formulário HTML necessários para o acesso ao Windows Mobile estão faltando no diretório do conjunto de formulários, o que está causando o erro.

A solução é criar manualmente os seguintes dois diretórios cHTML e xHTML na pasta %programfiles%\Microsoft ISA Server\CookieAuthTemplate\Exchange. Em seguida, copie o conteúdo da pasta %programfiles%\Microsoft ISA Server\CookieAuthTemplate\Exchange\HTML para as pastas cHTML e xHTML. Reinicie o serviço Firewall para que as alterações tenham efeito.

Os usuários recebem uma mensagem de erro de acesso negado

Quando um usuário tentar se conectar a um site do Outlook Web Access publicado e não adicionar o sufixo /owa no final da URL (como https://mail.contoso.com), será exibida uma mensagem de erro "Acesso negado", em vez da tela de logon da autenticação baseada em formulários. Esse erro pode ser de difícil resolução, pois o ISA Server está se comportando como esperado.

Uma solução para isso é publicar a raiz do servidor front-end do Exchange, com uma ação de Negar e redirecionar os usuários para a URL adequada, como https://mail.contoso.com/owa.

Execute o seguinte procedimento para redirecionar automaticamente os usuários à URL adequada do Outlook Web Access.

Para criar uma regra de publicação do acesso de cliente da Web do Exchange
  1. Na árvore de console do Gerenciamento do ISA Server, clique em Diretiva de Firewall:

    • Para o ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006, expanda Server_Name, e clique em Diretiva de Firewall.

    • Para o ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006, expanda Matrizes, expanda Array_Name e, em seguida, clique em Diretiva de Firewall.

  2. Na guia Tarefas, clique em Publicar Sites. Use o assistente para criar a regra conforme descrito nas tabelas a seguir.

    Página

    Campo ou propriedade

    Configuração

    Página de boas-vindas

    Nome da regra de publicação de Web

    Digite um nome para a regra, como Redirecionar Exchange.

    Selecionar Ação de Regra

    Ação a ser tomada quando as condições da regra forem atendidas

    Selecione Negar.

    Tipo de Publicação

    Selecione se esta regra publicará um único site ou balanceador externo de carga, um farm de servidores Web ou vários sites

    Selecione Publicar um único site ou um balanceador de carga.

    Segurança de Conectividade do Servidor

    Escolha o tipo de conexões que o ISA Server estabelecerá com o farm de servidores ou o servidor Web publicado.

    Selecione Usar SSL para conectar ao servidor Web ou ao farm de servidores publicado.

    Observação:

    Um certificado de servidor deve estar instalado nos servidores de Acesso para Cliente do Exchange publicados e o certificado da autoridade de certificação raiz deve estar instalado no computador do ISA Server.

    Detalhes de Publicação Interna

    Nome do site interno

    Digite o FQDN interno do servidor front-end do Exchange. Por exemplo: exchfe.corp.contoso.com.

    Importante:

    O nome do site interno deve corresponder ao nome do certificado do servidor que está instalado no servidor de Acesso para Cliente do Exchange.

    Observação:

    Se você não consegue resolver adequadamente o nome do site interno, é possível selecionar Usar um nome ou endereço IP de computador para se conectar ao servidor publicado e digitar o endereço IP ou nome que pode ser resolvido pelo computador do ISA Server.

    Detalhes de Publicação Interna

    Caminho (opcional)

    Digite / no campo Caminho.

    Detalhes do Nome Público

    Aceitar solicitações de

    Nome público

    Este nome de domínio (digite abaixo)

    Digite o nome de domínio para o qual deseja que o ISA Server aceite a conexão: Por exemplo, digite mail.contoso.com.

    Selecionar Ouvinte da Web

    Ouvinte da Web

    Selecione o ouvinte da Web que você criou anteriormente, como Exchange FBA.

    Delegação de Autenticação

    Selecione o método usado pelo ISA Server para autenticação no servidor Web publicado

    Selecione Autenticação básica.

    Conjuntos de Usuários

    Esta regra aplica-se às solicitações dos seguintes conjuntos de usuários

    Selecione o conjunto de usuários aprovado para acessar essa regra. O conjunto deve ser o mesmo conjunto de usuários utilizado na regra de publicação do Exchange.

    Concluindo o Assistente de Nova Regra de Publicação de Web

    Concluindo o Assistente de Nova Publicação de Web

    Verifique as configurações selecionadas e clique em Voltar para fazer alterações e em Concluir para finalizar o assistente.

  3. Clique com o botão direito do mouse na regra que você acabou de criar e clique em Propriedades.

  4. Selecione a guia Ação, selecione Redirecionar solicitações HTTP a esta página da Web e digite a URL correta, como https://mail.contoso.com/owa, no campo Redirecionar as solicitações HTTP para uma página da Web alternativa.

  5. Selecione a guia Configurações do Aplicativo, selecione Usar formulários HTML personalizados em vez do padrão, digite Exchange no campo Diretório do conjunto de formulários HTML personalizados e, em seguida, clique em OK.

  6. Clique no botão Aplicar no painel de detalhes para salvar as alterações e atualizar a configuração.

    Importante:

    Essa regra deve ser inserida antes de a regra de publicação Exchange apresentar os resultados esperados.

Marcador desatualizado causa falha no logon depois da segunda tentativa

Os usuários podem criar um marcador na página de logon da autenticação baseada em formulários do Outlook Web Access. Com um marcador, os usuários não precisam inserir a URL sempre que quiserem acessar o site. Na primeira vez, os usuários devem inserir uma URL, como https://mail.contoso.com/owa. Essa URL será redirecionada automaticamente pelo ISA Server para a página da Web adequada da autenticação baseada em formulários. Essa URL pode ser longa, como https://mail.contoso.com/CookieAuth.dll?GetLogon?reason=0&formdir=2&curl=Z2Fowa. A URL que é adicionada no menu Favoritos é a mais longa.

Se o administrador alterar a configuração, como alterar a pasta HTML personalizada que é utilizada, a URL armazenada no menu Favoritos do usuário não será mais válida. Os usuários recebem duas telas de logon. Depois de inserir as credenciais pela segunda vez, eles recebem a mensagem de erro “A página não pode ser exibida”.

Uma solução para isso é publicar a URL desatualizada, com uma ação de Negar e redirecionar os usuários para a URL adequada, como https://mail.contoso.com/owa. É importante testar o redirecionamento e confirmar se ele está ocorrendo somente para os usuários desejados.

Apêndice C: configurando a autenticação com base em certificados com o Exchange ActiveSync através do ISA Server

O Exchange ActiveSync no Exchange Server 2007 permite que os dispositivos baseados no Windows Mobile e os dispositivos de terceiros habilitados pelo Exchange ActiveSync sincronizem as informações de email, calendário, contatos e tarefas que estiverem armazenadas no servidor Exchange do usuário, bem como retenham o acesso a essas informações quando o dispositivo móvel estiver online ou offline.

O Exchange Server 2007 acrescenta o recurso de autenticar uma conexão ActiveSync usando uma autenticação com base em certificados. Antes do ISA Server 2006, para publicar o ActiveSync com autenticação com base em certificados, você precisava publicar o ActiveSync no modo de encapsulamento. Quando você publicar um site no modo de encapsulamento, você perde o benefício de inspeção do tráfego SSL pelo ISA Server.

O ISA Server 2006 oferece suporte à delegação restrita de Kerberos, a qual permite que o ISA Server autentique as conexões de cliente com um certificado de cliente e emite um tíquete Kerberos para o servidor da Web publicado. Quando a delegação restrita de Kerberos estiver configurada corretamente, o servidor da Web publicado aceita o tíquete Kerberos em vez das credenciais de cliente.

Esse apêndice fornece informações sobre as alterações de configuração no servidor de Acesso para Cliente do Exchange, nos servidores back-end e no computador do ISA Server, as quais são necessárias para publicar o ActiveSync com êxito com autenticação com base em certificados de cliente através do ISA Server 2006.

As ações a seguir são necessárias para configurar a autenticação com base em certificados com o ActiveSync através do ISA Server 2006:

  • Elevação dos níveis funcionais de domínio para o Windows Server 2003.

  • Configuração da delegação restrita de Kerberos e transição de protocolo para:

    • ISA Server

    • Servidores de acesso para Cliente do Exchange

  • Configuração da autenticação Integrada do Windows nos servidores de Acesso para Cliente do Exchange.

  • Criação e atribuição de uma diretiva de Caixa de Correio do Exchange ActiveSync. Para obter mais informações sobre como criar e atribuir uma diretiva de Caixa de Correio do Exchange ActiveSync, consulte a Ajuda do produto Exchange 2007.

  • Criação de um ouvinte da Web com autenticação de cliente definida como autenticação de certificado de cliente.

  • Criação de uma regra de publicação do Exchange, definindo a delegação de autenticação como delegação restrita de Kerberos.

  • Teste da nova configuração.

Elevação dos níveis funcionais de domínio para o Windows Server 2003

Para que a delegação restrita de Kerberos funcione corretamente, será necessário confirmar se o domínio do Active Directory está funcionando no nível de modo nativo do Windows Server 2003.

Para elevar os níveis funcionais de domínio para o Windows Server 2003
  1. Clique em Iniciar, aponte para Arquivos de programas, aponte para Ferramentas administrativas e clique em Usuários e computadores do Active Directory.

    Importante:

    As alterações nas etapas 2, 3 e 4 são permanentes. Você não pode desfazer essas ações.

  2. Clique com o botão direito do mouse no domínio e, em seguida, selecione Aumentar nível funcional do domínio.

  3. Na caixa Aumentar nível funcional do domínio, selecione Windows Server 2003 na lista e clique em Aumentar.

  4. Clique em OK.

Configuração da delegação restrita de Kerberos e transição de protocolo

Kerberos é um protocolo de autenticação de rede que autentica a identidade de usuários que estão tentando fazer logon em uma rede e criptografa suas comunicações pelo uso de criptografia de chave secreta.

Você deve configurar a delegação restrita de Kerberos quando o ISA Server estiver configurado para autenticar o usuário através de um certificado de cliente e, em seguida, representar o usuário para o servidor front-end do Exchange. O servidor de Acesso para Cliente do Exchange representará então o usuário quando você acessar as informações de email, calendário, contato e tarefas do usuário no servidor back-end do Exchange, no qual está localizada a caixa de correio do usuário. Isso é necessário pelo fato de o ISA Server não poder delegar o certificado de cliente apresentado a ele pelo cliente.

Quando você quiser configurar a delegação restrita de Kerberos, de forma que o servidor de Acesso para Cliente do Exchange confie no tíquete Kerberos a partir do computador do ISA Server, a configuração deverá ser concluída na conta do computador do ISA Server. Para configurar a delegação restrita de Kerberos, de forma que os servidores da Caixa de Correio do Exchange confiem no tíquete Kerberos emitido a partir dos servidores de Acesso para Cliente do Exchange, a configuração deverá ser concluída na conta do computador dos servidores de Acesso para Cliente do Exchange.

Para obter mais informações, consulte o Autenticação Kerberos no Windows Server 2003.

O snap-in de usuários e computadores do Active Directory é um snap-in do MMC que é parte padrão dos sistemas operacionais do Microsoft Windows Server. Entretanto, quando você instala o Exchange Server 2003, o assistente de instalação automaticamente amplia a funcionalidade do snap-in de usuários e computadores do Active Directory para incluir as tarefas específicas do Exchange.

Você inicia o snap-in de usuários e computadores do Active Directory do servidor Exchange ou de uma estação de trabalho que tenha ferramentas de gerenciamento do Exchange instaladas.

Observação:

Se o snap-in de usuários e computadores do Active Directory estiver instalado em um computador que não tenha o Exchange Server nem as ferramentas de gerenciamento do Exchange Server instaladas, você não poderá executar as tarefas do Exchange Server deste computador.

A guia Delegação que é mencionada nos procedimentos a seguir lhe permite configurar delegações de três formas:

  • Não permitido   Selecione a opção Não confiar no computador para delegação.

  • Permitido para todos os serviços   Selecione a opção Confiar no computador para delegação a qualquer serviço (só Kerberos). Refere-se ao método de delegação do Windows 2000 Server.

  • Permitido apenas para um conjunto limitado de serviços   Selecione a opção Confiar no computador para delegação apenas a serviços especificados. Refere-se ao método de delegação restrita disponível com o Windows Server 2003.

    Observação:

    O ISA Server e os servidores de Acesso para Cliente do Exchange precisam estar no mesmo domínio.

Para configurar a delegação restrita de Kerberos nos computadores do ISA Server, execute o procedimento a seguir.

Para usar o snap-in de usuários e computadores do Active Directory para configurar a transição de protocolos e delegação restrita
  1. Clique em Iniciar, aponte para Arquivos de programas, aponte para Ferramentas administrativas e clique em Usuários e computadores do Active Directory.

  2. Na árvore de console, clique no seu Domínio e expanda a exibição da árvore.

  3. Clique em Computadores e expanda a exibição da árvore. Da lista de computadores, clique com o botão direito do mouse no computador do ISA Server, clique em Propriedades e clique na guia Delegação.

  4. Na guia Delegação, selecione Confiar no computador para delegação apenas a serviços especificados e clique em Adicionar.

  5. Selecione Usar qualquer protocolo de autenticação para ativar a transição de protocolos e clique em Adicionar.

  6. Clique em Usuários ou Computadores, digite o nome do servidor de Acesso para Cliente do Exchange e clique em OK.

  7. Selecione HTTP e W3SVC e clique em OK duas vezes.

  8. Observação   Execute esse procedimento para cada computador do ISA Server que estará publicando o Exchange ActiveSync.

Para configurar a delegação restrita de Kerberos nos servidores de Acesso para Cliente do Exchange, execute o procedimento a seguir.

Para usar o snap-in de usuários e computadores do Active Directory para configurar a transição de protocolos e delegação restrita, siga as etapas do servidor de Acesso para Cliente.
  1. Clique em Iniciar, aponte para Arquivos de programas, aponte para Ferramentas administrativas e clique em Usuários e computadores do Active Directory.

  2. Na árvore de console, clique no seu Domínio e expanda a exibição da árvore.

  3. Clique em Computadores e expanda a exibição da árvore. Da lista de computadores, clique com o botão direito do mouse no servidor de acesso para Cliente do Exchange, clique em Propriedades e clique na guia Delegação.

  4. Na guia Delegação, selecione Confiar no computador para delegação apenas a serviços especificados e clique em Adicionar.

  5. Selecione Usar qualquer protocolo de autenticação para ativar a transição de protocolos e clique em Adicionar.

  6. Clique em Usuários ou Computadores, digite o nome do servidor ou servidores de Caixa de Correio do Exchange e clique em OK.

  7. Selecione HTTP e W3SRV e clique em OK duas vezes.

  8. Clique com o botão direito do mouse no computador Exchange back-end, clique em Propriedades e, em seguida, clique em Delegação.

  9. Na guia Delegação, selecione Confiar no computador para delegação apenas a serviços especificados. Se o servidor de Caixa de Correio for um controlador de domínio, ele já está configurado para confiar no computador para atribuição apenas a serviços especificados.

    Observação:

    Esse é o procedimento para cada servidor de Acesso para Cliente do Exchange em seu ambiente que fornecerá os serviços do Exchange ActiveSync.

Configuração da autenticação Integrada do Windows nos servidores front-end do Exchange

Para que os servidores front-end do Exchange aceitem o tíquete Kerberos, o diretório ActiveSync precisará ser configurado para aceitar a autenticação Integrada do Windows no Gerenciador do IIS.

Execute o procedimento a seguir para configurar a autenticação Integrada do Windows nos servidores front-end do Exchange.

Para configurar a autenticação Integrada do Windows no diretório ActiveSync no Gerenciador do IIS
  1. No Gerenciador do IIS, clique duas vezes no computador local, clique com o botão direito do mouse no diretório ActiveSync que deseja configurar e clique em Propriedades.

  2. Clique na guia Segurança de diretório.

  3. Na seção Autenticação e controle de acesso, clique em Editar.

  4. Na seção Acesso autenticado, selecione Autenticação Integrada do Windows.

  5. Clique em OK duas vezes.

Criação de um novo ouvinte da Web

Você precisará criar um novo ouvinte da Web com autenticação de cliente configurada com a autenticação de certificado de cliente.

Siga as instruções no tópico Criar um ouvinte da Web, com a seguinte alteração:

  • Na página Configurações de Autenticação, selecione Autenticação de Certificado de Cliente SSL.

Criação de uma Nova Regra de Publicação do Exchange

Para criar uma nova regra de publicação do Exchange, siga as instruções no tópico Criar uma regra de publicação do acesso de cliente da Web do Exchange, com as seguintes alterações:

  • Na página Selecionar Serviços, selecione Exchange ActiveSync.

  • Na página Delegação de Autenticação, selecione Delegação restrita de Kerberos. O nome de princípio do serviço será automaticamente inserido, com base nas informações digitadas na caixa Nome do site interno na página Detalhes de Publicação Interna.

Apêndice D: configurando a delegação de autenticação Básica e Negociação do Outlook Web Access

Para se beneficiar dos novos recursos do Exchange 2007, os quais requerem a delegação de autenticação Negociação, bem os que ainda fornecem acesso às pastas herdadas exigindo a delegação de autenticação, são necessárias duas regras de publicação. Para obter informações sobre as limitações na publicação do Outlook Web Access com apenas um método de autenticação, consulte Autenticação.

Os procedimentos a seguir permitem que você publique corretamente o Outlook Web Access com diferentes métodos de delegação para o diretório /OWA/* e para os diretórios herdados, bem como configure a autenticação Integrada do Windows no servidor de Acesso para Cliente do Exchange 2007.

O procedimento a seguir pressupõe que você já tenha configurado o owa (Site Padrão), como descrito em Confirmar que a autenticação baseada em formulários não esteja selecionada no servidor Acesso para Cliente do Exchange.

Para adicionar a autenticação Integrada do Windows à pasta /OWA/ no servidor de Acesso para Cliente do Exchange

  1. Inicie o Console de Gerenciamento do Exchange.

  2. No Console de Gerenciamento do Exchange, expanda Configuração de Servidor e, em seguida, clique em Acesso de Cliente.

  3. Selecione o seu servidor de Acesso de Cliente, como cas01 e, em seguida, selecione owa (Site Padrão) na página Outlook Web Access.

    Bb794751.c55dd338-2b29-4e53-a446-e27a4d4cf2f9(pt-br,TechNet.10).gif
  4. No painel de ações, clique em Propriedades em owa (Site Padrão).

  5. Selecione a página Autenticação e selecione Autenticação Integrada do Windows. Agora, você terá a autenticação básica e Integrada do Windows selecionadas.

    Bb794751.f76ff2fc-4992-4ed6-b6bb-0a81053a3f32(pt-br,TechNet.10).gif
  6. Clique em OK.

    Você precisa publicar agora o Outlook Web Access para a delegação de autenticação Básica e Negociação.

    Observação:

    Depois de ter configurado a delegação de autenticação Básica e Negociação para o Outlook Web Access, você pode desmarcar a opção Autenticação básica (senha enviada em texto não criptografado) da página Autenticação para a pasta /OWA/, caso não seja necessária internamente.

Para configurar a delegação de autenticação Básica e Negociação do Outlook Web Access

  1. Publique o Outlook Web Access, como descrito em Criar uma regra de publicação do acesso de cliente da Web do Exchange. Para Nome da regra de Publicação do Exchange, digite Exchange 2007 OWA Básica; na página Delegação de Autenticação, selecione Autenticação Básica.

  2. Clique com o botão direito do mouse na regra que você acabou de criar e clique em Copiar.

  3. Clique com o botão direito do mouse novamente na regra que você acabou de criar e clique em Colar. Essa ação colará a regra acima da regra selecionada. O nome da regra colada será Exchange 2007 OWA Básica (1).

    Bb794751.b6f8106c-0a17-4062-aede-9af66ec2c554(pt-br,TechNet.10).gif
  4. Clique com o botão direito do mouse na regra colada da Etapa 3 e clique em Propriedades.

  5. Na guia Geral, altere o nome da regra para Exchange 2007 OWA Negociação.

  6. Selecione a guia Caminho, selecione o caminho /public/* e clique em Remover. Repita essa etapa para os caminhos /Exchweb/* e /Exchange/*. O único caminho relacionado deverá ser /OWA/*.

    Bb794751.65aff610-e900-439e-9193-fbb911693d26(pt-br,TechNet.10).gif
  7. Selecione a guia Delegação de Autenticação e selecione Negociação (Kerberos/NTLM).

  8. Clique em OK.

  9. Clique com o botão direito do mouse na regra nomeada Exchange 2007 OWA Básica e clique em Propriedades.

  10. Selecione a guia Caminho, selecione o caminho /OWA/* e clique em Remover.

    Bb794751.629bb877-7743-456b-8965-b73fa9eae244(pt-br,TechNet.10).gif
  11. Clique em OK.

  12. Clique no botão Aplicar no painel de detalhes para salvar as alterações e atualizar a configuração.

  13. Configuração da autenticação Integrada do Windows na pasta /OWA/ no servidor de Acesso para Cliente. Para obter detalhes, consulte o próximo procedimento.

    O ISA Server utilizará agora Negociação como o método de delegação de autenticação para o caminho /OWA/* e Básica como o método de delegação de autenticação para as pastas /public/*, /Exchange/* e /Exchweb/*.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft