将 ISA Server 2006 与 Outlook Web Access 一起使用

  • 项目

 

适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上一次修改主题: 2007-04-20

Outlook Web Access for Exchange Server 2007 设计为充分利用 Internet Security and Acceleration (ISA) Server 2006 中的新功能。而 Exchange 2007 也设计为与早期版本的 ISA Server 集成。在使用 ISA Server 2006 帮助保护公司网络的环境中部署 Exchange 2007 时,Exchange 客户端访问的完整功能集都可用。

将 ISA Server 2006 与 Outlook Web Access 一起使用的好处

下表列出了 ISA Server 2006 中可以帮助保护包含 Outlook Web Access 的 Microsoft Exchange 邮件环境的功能。

ISA Server 2006 针对 Outlook Web Access 的功能

功能 说明

链接转换

ISA Server 2006 重定向 Outlook Web Access 中任何对象(例如电子邮件或日历项)正文中包含的内部 URL 的 Outlook Web Access 请求。用户再不必记住公司内部信息的外部命名空间,因为公司内部信息将映射到外部命名空间。例如,如果用户通过电子邮件将一个链接发送到内部命名空间,例如 http://contoso,并且此内部 URL 映射到外部命名空间,例如 https://www.contoso.com,那么当用户单击内部 URL 时,该内部 URL 将自动转换成外部 URL。

Web 发布负载平衡

ISA Server 2006 可以平衡客户端请求的负载,并将请求发送到客户端访问服务器阵列。ISA Server 2006 收到连接 Outlook Web Access 的请求时,将选择客户端访问服务器并将客户端访问服务器的名称以 Cookie 的形式发送回 Web 浏览器。

HTTP 压缩

过去,如果在安装了 Exchange Server 2003 和 ISA Server 2004 或 ISA Server 2000 的 ISA Server 计算机上使用基于表单的身份验证,则不可能使用 Gzip 压缩。这是因为 ISA Server 无法正确地解压缩和重新压缩信息。ISA Server 2006 可以解压缩、检查数据,并在将数据发送到 Exchange 服务器之前重新压缩数据。

note注意:
ISA Server 2004 Service Pack 2 (SP2) 中可以使用 Gzip 压缩。

Exchange 服务器位置被隐藏

通过 ISA Server 发布应用程序时,可以避免从外部直接访问服务器,因为用户看不到服务器的名称和 IP 地址。用户访问 ISA Server 计算机。然后,ISA Server 计算机根据服务器发布规则的条件来建立与客户端访问服务器的连接。

SSL 桥接和检查

通过安全套接字层 (SSL) 桥接,可以避免受到隐藏在 SSL 加密的连接中的攻击。对于启用 SSL 的 Web 应用程序,在 ISA Server 收到客户端请求之后,ISA Server 将解密并检查请求,并充当与客户端计算机的 SSL 连接的终结点。Web 发布规则确定 ISA Server 如何将对象请求传递到已发布的 Web 服务器。使用 SSL 桥接时,安全 Web 发布规则配置为使用安全 HTTP (HTTPS) 转发请求。ISA Server 将与已发布的服务器建立新的 SSL 连接。由于 ISA Server 计算机现在是 SSL 客户端,所以,将要求已发布的 Web 服务器通过证书做出响应。

SSL 桥接的另一个好处是,组织只需要为 ISA Server 计算机向外部证书颁发机构购买 SSL 证书。使用 ISA Server 作为反向代理的服务器可以不需要 SSL,也可以使用内部生成的 SSL 证书。

您还可以将 SSL 连接终结于 ISA Server 计算机,对未加密的连接,则继续连接到客户端访问服务器。这称为 SSL 减负。如果这样做,必须将 Outlook Web Access 的内部 URL 设置为使用 HTTP,并且必须将外部 URL 设置为使用 HTTPS。可以通过 Exchange 管理控制台配置内部 URL 和外部 URL,也可以在 Exchange 命令行管理程序中,使用包含 InternalURL 参数和 ExternalURL 参数的 Set-OwaVirtualDirectory cmdlet 来配置内部 URL 和外部 URL。

有关如何使用 Set-OwaVirtualDirectory cmdlet 和 Exchange 管理控制台来管理 Outlook Web Access 虚拟目录的详细信息,请参阅 Set-OwaVirtualDirectory如何修改 Outlook Web Access 虚拟目录中的属性

单一登录

通过单一登录,用户不必向每个网站进行身份验证,即可访问一组已发布的网站。使用 ISA Server 2006 作为 Outlook Web Access 的反向代理服务器时,ISA Server 2006 可以配置为获取用户的凭据并将其传递到客户端访问服务器,以便只提示用户提供凭据一次。

有关 ISA Server 2006 与 Exchange 2007 一起使用时,ISA Server 2006 新的增强功能的详细信息,请参阅 What's New and Improved in ISA Server 2006

部署选项

将 ISA Server 2006 与 Exchange 2007 一起部署时,不必对 Microsoft Exchange 基础结构进行任何其他配置。但是,可以通过不同的方式配置 ISA Server 2006,以便使用 Outlook Web Access、POP3 或 IMAP 访问、Exchange ActiveSync 和 Outlook Anywhere 进行 Exchange 客户端访问。配置选项取决于您在访问 Exchange 时要使用的身份验证方法。

早期版本的 ISA Server(包括随 Exchange 2007 部署的 ISA Server 2004 和 ISA Server 2000)对身份验证没有相同的部署选项。此外,如果要将 Exchange 2007 与 ISA Server 2006 和某个早期版本的 ISA Server 一起部署,可以使用下列身份验证选项:

  • Outlook Web Access 的基本身份验证   如果计划使用 Outlook Web Access 的基本身份验证,ISA Server 2006 和早期版本的 ISA Server 都应使用 Web 发布来发布 Outlook Web Access。

  • 客户端证书身份验证   如果计划使用基于客户端证书的身份验证方法,ISA Server 将在运行 ISA Server 的计算机上自动执行身份验证。早期版本的 ISA Server(包括 ISA Server 2004 和 ISA Server 2000)需要通过服务器发布来使用客户端证书身份验证。如果使用客户端证书身份验证,则在将 SSL 数据包发送到客户端访问服务器之前,无法使用 ISA Server 检查这些数据包。

对 Outlook Web Access 部署 ISA Server 2006

对 Outlook Web Access 部署 ISA Server 2006 时,将在防火墙策略任务中使用新建 Exchange 发布规则向导。此新建向导将显示为访问 Microsoft Exchange 而必须配置的特定设置。

important要点:
如果 Exchange 组织中拥有多个版本的 Microsoft Exchange,必须为支持的每个版本的 Microsoft Exchange 创建一个 Exchange 发布规则。

对 Outlook Web Access 配置 ISA Server 2006 涉及下列步骤:

  1. 新建发布规则。

  2. 配置其他选项。

以下各部分介绍对 Outlook Web Access 成功部署 ISA Server 2006 时必须应用于新的发布规则的设置。

新建 Exchange 发布规则

在此过程中,必须提供以下信息:

  • Exchange 发布规则名称   为发布规则提供一个友好的名称,例如“Exchange E-mail Access”。

  • 支持的客户端访问服务   在“选择服务”页上,选择要部署的 Microsoft Exchange 版本以及希望为用户支持的客户端访问服务。默认情况下,选择 Exchange Server 2007 时,也要选择 Outlook Web Access。

  • 发布类型   根据计划发布单个网站或外部负载平衡程序、Web 服务器场还是多个网站,在“发布类型”页上选择要使用的选项。

  • 服务器连接安全   使用此页可以在从 ISA Server 计算机连接到 Microsoft Exchange 时选择使用安全套接字层 (SSL) 连接还是使用无保护的连接。

  • 内部发布详细信息   在“内部发布详细信息”页上,输入 Outlook Web Access 的内部站点名称,或选择使用计算机名称或 IP 地址连接到 Microsoft Exchange 的选项。

  • 公用名称详细信息   使用“公用名称详细信息”页可以选择要从哪些域中接受请求。还必须提供公用名称,例如 www.contoso.com。

  • 选择 Web 侦听线程   使用“选择 Web 侦听线程”页,可以为正连接的 Exchange 服务器指定侦听线程。侦听线程用于指定在客户端初次联系 ISA Server 计算机时将使用的身份验证类型。侦听线程包含 ISA Server 计算机如何接受来自客户端的请求的有关信息,例如在外部连接上使用的加密、压缩和身份验证。可以使用此页新建侦听线程或编辑现有的侦听线程。

  • 身份验证委派   使用“身份验证委派”页,可以指定 ISA Server 应为客户端访问服务器委派的身份验证机制类型。从下列选项中进行选择:

    • 无委派,但是客户端可以直接进行身份验证

    • 基本身份验证

    • NTLM 身份验证

    • 协商 (Kerberos/NTLM)

    • Kerberos 有限委派

  • 用户设置   使用“用户设置”页可以选择哪些用户可使用此规则连接到 Exchange。

如果已将 ISA Server 计算机配置为对用户进行身份验证,则应根据组织要求使用的身份验证类型,将 Outlook Web Access 虚拟目录配置为使用集成 Windows 身份验证或基本身份验证。对 Outlook Web Access 虚拟目录同时使用基本身份验证或集成 Windows 身份验证以及 ISA Server 2006 身份验证时,将只提示用户提供登录信息一次。

note注意:
如果为 ISA 侦听线程选择基于表单的身份验证,Outlook Web Access 会话超时时,系统将提示用户重新输入身份验证凭据。

但是,集成 Windows 身份验证禁止通过 Outlook Web Access 访问 Windows 文件共享中的文档或 Windows SharePoint Services 文档库中的文档。如果必须通过 Outlook Web Access 访问文档,则必须对 Outlook Web Access 虚拟目录使用基本身份验证。

该向导完成后,会创建 Exchange 发布规则。创建的规则将出现在“防火墙策略”选项卡中的“防火墙策略规则”列表中。

note注意:
完成了发布规则的创建之后,必须等待设置生效。可以使用 ISA Server 2006 管理控制台中的“监视”节点来监视 ISA Server 2006 发布规则进度。

配置其他选项

可以在 ISA Server 2006 管理控制台中为新建的规则配置其他功能,例如链接转换和 HTTP 压缩。在 ISA Server 2006 管理控制台的“常规”节点下管理链接转换和 HTTP 压缩的其他设置。

配置链接转换

若要配置链接转换,必须选择所创建的 Exchange 发布规则,然后在“策略编辑任务”下单击“编辑选定的规则”。在“链接转换”选项卡中,可以基于用户的需要配置链接转换。

配置 HTTP 压缩

可以在 ISA Server 2006 管理控制台中“配置”下的“常规”节点中配置 HTTP 压缩选项。单击“定义 HTTP 压缩参考”,然后选择希望支持用户的选项。

完成了这些选项的配置之后,即完成了 Microsoft Exchange 的 ISA Server 配置。

为 ISA Server 2006 安装服务器证书

若要在客户端计算机与 ISA Server 计算机之间启用使用 SSL 加密的通道,必须在 ISA Server 计算机上安装服务器证书。此证书应当由公共证书颁发机构 (CA) 颁发,因为 Internet 上的用户将访问该证书。如果使用专用 CA,必须在任何必须与 ISA Server 计算机建立加密通道 (HTTPS) 的计算机上安装该专用 CA 颁发的根 CA 证书,否则,用户将收到不信任该证书的警告。

有关如何在 ISA Server 2006 上安装服务器证书的详细信息,请参阅 Publishing Exchange Server 2007 with ISA Server 2006

详细信息