如何为 Outlook Web Access 配置代理服务器

适用于： Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上一次修改主题： 2007-04-20

对于正在运行 Microsoft Exchange Server 2007 并安装了客户端访问服务器角色的计算机或提供 Outlook Web Access 的服务器，您可能希望使用反向代理服务器管理其传入请求。与直接连接到客户端访问服务器相比，反向代理服务器具有下列优点：

• 安全性   反向代理服务器在网络和外部计算机之间提供了额外的保护层。作为安全性最佳实践，请使用反向代理服务器，以免客户端访问服务器直接暴露在 Internet 上。

• SSL 加密和加速   您可以在反向代理服务器上配置安全套接字层 (SSL) 加密，而不是通过配置客户端访问服务器提供该功能。此功能不仅对在 Web 浏览器和客户端访问服务器之间传送的数据进行加密，还可使反向代理服务器检查数据包，并在数据包到达客户端访问服务器之前对其应用筛选器。如果已设置为由代理服务器实现 SSL 加密，则除非使用 SSL 桥接，否则不会对在反向代理服务器和客户端访问服务器之间传送的数据进行加密。

• SSL 桥接   如果必须对反向代理服务器与客户端访问服务器之间的通信进行加密，可以先结束 Web 浏览器与反向代理服务器之间的 SSL 会话，然后在反向代理服务器与客户端访问服务器之间建立新的 SSL 会话。这样可避免直接从 Internet 访问客户端访问服务器，并使反向代理服务器在数据包到达客户端访问服务器之前对其进行筛选，还可在 Web 浏览器与客户端访问服务器之间的整个路径中对数据进行加密。只有反向代理服务器需要可靠的证书颁发机构颁发的证书。客户端访问服务器可使用自签名证书，也可以使用企业证书颁发机构颁发的证书。如果将反向代理服务器连接到多个内部服务器，可降低证书成本。

• SSL 减负   您还可以将 SSL 连接终结于反向代理服务器，对未加密的连接，则继续连接到客户端访问服务器。这称为 SSL 减负。如果使用 SSL 减负，必须将 Outlook Web Access 的内部 URL 设置为使用 HTTP，并且必须将外部 URL 设置为使用 HTTPS。可以使用 Exchange 管理控制台配置内部 URL 和外部 URL，也可以在 Exchange 命令行管理程序中，使用包含 InternalURL 参数和 ExternalURL 参数的 Set-OwaVirtualDirectory cmdlet 来配置内部 URL 和外部 URL。

• 负载平衡   反向代理服务器可以将发往单个 URL 的通信分发到一组服务器。

您可以使用 Microsoft Internet Security and Acceleration (ISA) Server 作为反向代理服务器。

有关如何使用 ISA Server 作为反向代理服务器的详细信息，请参阅 Microsoft Internet Security and Acceleration Server。

开始之前

要在 ISA Server 2006 计算机上执行以下步骤，必须为您使用的帐户委派 ISA Server 企业管理员角色。若要在 Exchange 客户端访问服务器上配置 Outlook Web Access，必须为您使用的帐户委派 Exchange Server 管理员角色，并且该帐户必须是目标服务器的本地 Administrators 组成员。

有关权限、角色委派以及管理 Exchange Server 2007 所需权限的详细信息，请参阅权限注意事项。

步骤

使用 ISA Server 2006 为 Outlook Web Access 配置反向代理服务器

1. 在 ISA Server 2006 控制台中，使用“发布 Exchange Web 客户端访问”向导发布 Outlook Web Access。

2. 将 ISA Server 配置为在用户连接到 Outlook Web Access 虚拟目录时对其进行身份验证（可选）。

   有关如何配置 ISA Server 的详细信息，请参阅 Publishing Exchange Server 2007 with ISA Server 2006。

如果已将 ISA Server 计算机配置为对用户进行身份验证，则建议您根据组织要求使用的身份验证类型，将 Outlook Web Access 虚拟目录配置为使用集成 Windows 身份验证或基本身份验证。使用基本身份验证或集成 Windows 身份验证时，将仅提示用户输入登录信息一次。

注意：
集成 Windows 身份验证禁止通过 Outlook Web Access 访问 Windows 文件共享上的文档或 Windows SharePoint Services 文档库中的文档。如果必须访问来自 Outlook Web Access 的文档，则必须使用基本身份验证。

详细信息

• 有关如何使用 ISA Server 2006 和 Exchange 2007 的详细信息，请参阅下列主题：

  • 为 Exchange 客户端访问配置 ISA Server 2006

  • 使用 ISA Server 2006 和 Exchange 2007

• 有关 Outlook Web Access 身份验证方法的详细信息，请参阅下列主题：

  • 管理 Outlook Web Access 安全性

  • 如何配置集成 Windows 身份验证

  • 如何配置基本身份验证

• 有关如何使用 Set-OwaVirtualDirectory cmdlet 和 Exchange 管理控制台来管理 Outlook Web Access 虚拟目录的详细信息，请参阅下列主题：

  • Set-OwaVirtualDirectory

  • 如何修改 Outlook Web Access 虚拟目录中的属性