逐步指南:使用 Microsoft Exchange Server 2003 SP2 部署 Windows Mobile 裝置

步驟 5 - 安裝和設定 ISA Server 2006 或其他防火牆

發佈日期: 2006 年 12 月 22 日

Microsoft Internet Security and Acceleration (ISA) Server 2006 和 Microsoft Exchange Server 2003 的設計是為了在您的網路上緊密合作以提供安全的訊息環境。

本章節將探討在建議的 ISA Server 2006 環境中部署 Exchange Server 2003 SP2 行動訊息的步驟。若要部署其他防火牆,也可以利用這些資訊來決定如何執行。

Cc182238.note(zh-tw,TechNet.10).gif 附註:

如果您是使用 ISA Server 2004,請遵循 <附錄 B:安裝和設定 ISA Server 2004 環境> 中的指示。

Cc182238.note(zh-tw,TechNet.10).gif 附註:

本文件未涵蓋即將發行的 Exchange Server 2007 版本。從 Exchange 2003 到 Exchange 2007 的轉變很大,因此將另闢專文討論 Exchange 2007。

在這部分的程序中,您將進行下列動作:

  • 安裝 ISA Server 2006

  • 在 ISA Server 上安裝伺服器憑證

  • 更新公用 DNS

  • 使用網頁發行建立 Exchange ActiveSync 發行規則,將連接埠 443 開啟成網頁接聽程式。

  • 以 LDAP 伺服器設定來設定 ISA Server

  • 將所有防火牆和代理程式伺服器閒置工作階段逾時設為 1800 秒 (30 分鐘)

Cc182238.note(zh-tw,TechNet.10).gif 附註:

增加逾時值以充分發揮 Direct Push 技術的效能,並有效利用裝置的電池壽命。

  • 測試 OWA 及 Exchange ActiveSync。

請參閱 <其他網路架構選擇> 和 <部署行動訊息解決方案的最佳作法> 以了解關於網路架構和 SSL 設定的背景資訊。

安裝 ISA Server 2006

建議您使用工作群組模式在周邊網路中設定 ISA Server 2006。

安裝 ISA Server 2006

  1. 在防火牆電腦上安裝和設定 Microsoft Windows Server 2003。

  2. 請前往 Microsoft Update,然後安裝適用於 Windows Server 2003 的所有重大安全性 Hotfix 和 Service Pack。

  3. 在周邊網路內使用工作群組模式安裝 ISA 伺服器。

  4. 安裝 ISA Server 2006。

  5. 將 OWA SSL 憑證從 Exchange 前端 OWA 伺服器匯出至檔案。

在 ISA Server 電腦上安裝伺服器憑證

若要在用戶端電腦與 ISA Server 電腦之間啟用安全連線,您必須在 ISA Server 電腦上安裝伺服器憑證。此憑證應該是由公用憑證授權單位 (CA) 所核發,因為網際網路上的使用者將會存取此憑證。如果使用私人 CA,則來自私人 CA 的根 CA 憑證就必須安裝在需要與 ISA Server 電腦建立安全連線 (HTTPS 連線) 的每一部電腦上。

在大部分的情況下,ISA Server 電腦都不會安裝 IIS。但下列程序假設已經安裝 IIS。請遵循下列程序,在 ISA Server 電腦上匯入憑證。

在本節中,您將進行下列動作

  • 從公用 CA 要求和安裝伺服器憑證

  • 將伺服器憑證匯出至檔案

  • 在 ISA Server 電腦上匯入伺服器憑證

從公用 CA 要求和安裝伺服器憑證

請執行下列程序,以便在安裝 IIS 的電腦上要求和安裝伺服器憑證。

從公用 CA 要求和安裝伺服器憑證
  1. 在 IIS 中建立新的網站,將網站指向新的空白目錄。

  2. 在 IIS 管理員中,展開本機電腦,以滑鼠右鍵按一下 [網站] 資料夾,按一下 [新增],然後按一下 [網站] 以便啟動 [網站建立精靈]。

  3. 按一下 [歡迎] 畫面上的 [下一步]。

  4. 在 [描述] 欄位內輸入網站名稱。例如,輸入 ISA Cert Site,然後按一下 [下一步]。

  5. 接受 [IP 位址及連接埠設定] 頁面上的預設設定。

  6. 在 [網站主目錄] 頁面上輸入網站路徑。例如,輸入 c:\temp。

  7. 接受 [網站存取權限] 頁面上的預設設定,並按一下 [下一步]。

  8. 按一下 [完成] 來完成 [網站建立精靈]。

    Cc182238.important(zh-tw,TechNet.10).gif 重要:

    預設會停用新網站。您應該讓此網站保持停用狀態。因為沒有啟動網站的必要。

    Cc182238.note(zh-tw,TechNet.10).gif 附註:

    如需建立新網站的詳細資訊,請參閱 IIS 產品文件。

  9. 遵循公用 CA 提供的步驟,使用您在步驟 1 建立的網站來建立和安裝伺服器憑證。

    Cc182238.important(zh-tw,TechNet.10).gif 重要:

    憑證中的重要資訊是一般名稱或 FQDN。輸入網際網路上的使用者用來連線到 Exchange Outlook Web Access 網站的 FQDN。例如,輸入 mail.contoso.com。

    Cc182238.note(zh-tw,TechNet.10).gif 附註:

    確認您將安裝的憑證私密金鑰是可匯出的私密金鑰。

將伺服器憑證匯出至檔案

在您剛才建立的網站上安裝憑證之後,將憑證匯出至檔案。接著複製此檔案並匯入 ISA Server 電腦。

請執行下列程序,以便匯出剛才安裝的伺服器憑證。

將伺服器憑證匯出至 .pfx 檔案
  1. 在 IIS 管理員中,展開本機電腦,然後展開 [網站] 資料夾。

  2. 以滑鼠右鍵按一下 [Exchange 前端服務的網站],預設為 [預設的網站],然後按一下 [內容]。

  3. 在 [目錄安全設定] 的 [安全通訊] 底下,按一下 [伺服器憑證] 以啟動 [網頁伺服器憑證精靈]。

  4. 按一下 [歡迎] 畫面上的 [下一步]。

  5. 在 [修改目前的憑證指派] 頁面上選取 [匯出目前的憑證到 .pfx 檔案]。

  6. 在 [匯出憑證] 頁面上輸入路徑和檔案名稱。例如,輸入 c:\certificates\mail_isa.pfx,然後按一下 [下一步]。

  7. 輸入 .pfx 檔案的密碼。當使用者匯入 .pfx 檔案時,系統會要求輸入此密碼。建議使用強式密碼,因為 .pfx 檔案也具有私密金鑰。

    Cc182238.important(zh-tw,TechNet.10).gif 重要:

    您應該使用安全的方式將 .pfx 檔案傳送到 ISA Server 電腦上,因為此檔案中包含的私密金鑰將用於 ISA Server 電腦上所安裝的憑證。

在 ISA Server 電腦上匯入伺服器憑證

請在 ISA Server 電腦上執行下列程序,以便將伺服器憑證匯入至本機電腦存放區。

在 ISA Server 電腦上匯入伺服器憑證
  1. 使用安全的方式將上一節建立的 .pfx 檔案複製到 ISA Server 電腦上。

  2. 按一下 [開始],然後按一下 [執行]。在 [開啟] 中輸入 MMC,然後按一下 [確定]。

  3. 依序按一下 [檔案]、[新增/移除嵌入式管理單元],然後在 [新增/移除嵌入式管理單元] 對話方塊中按一下 [新增],以便開啟 [新增獨立嵌入式管理單元] 對話方塊。

  4. 選取 [憑證],按一下 [新增],選取 [電腦帳戶],然後按一下 [下一步]。

  5. 選取 [本機電腦],然後按一下 [完成]。在 [新增獨立嵌入式管理單元] 對話中,按一下 [關閉],並在 [新增/移除嵌入式管理單元] 對話方塊中,按一下 [確定]。

  6. 展開 [憑證] 節點,並以滑鼠右鍵按一下 [個人] 資料夾。

  7. 選取 [所有工作],然後按一下 [匯入]。這會啟動 [憑證匯入精靈]。

  8. 在 [歡迎] 畫面上,按一下 [下一步]。

  9. 在 [匯入檔案] 頁面上,瀏覽至先前建立的檔案並複製到 ISA Server 電腦,然後按一下 [下一步]。

  10. 在 [密碼] 頁面上,輸入這個檔案的密碼,然後按一下 [下一步]。

    Cc182238.note(zh-tw,TechNet.10).gif 附註:

    [密碼] 頁面提供 [將這個金鑰設成可匯出] 選項。若要防止從 ISA Server 電腦匯出金鑰,請勿選取此選項。

  11. 在 [憑證存放區] 頁面上,確認已選取 [將所有憑證放入以下的存放區],將 [憑證存放區] 設成 [個人] (預設設定),然後按一下 [下一步]。

  12. 在精靈完成頁面上,按一下 [完成]。

  13. 確認已正確安裝伺服器憑證。按一下 [憑證],然後按兩下新的伺服器憑證。在 [一般] 索引標籤上,應該會有附註說明您具有與此憑證對應的私密金鑰。在 [憑證路徑] 索引標籤上,您會看到憑證與 CA 之間的階層式關聯,以及顯示 [這個憑證沒有問題] 的附註。

更新公用 DNS

在您網域的公用 DSN 伺服器中建立新的 DNS 主機記錄。使用者會使用網站名稱來起始連線。這個名稱必須符合安裝在 ISA Server 電腦上的憑證所使用的一般名稱或 FQDN。例如,使用者可能會瀏覽至 https://mail.contoso.com/exchange。在這種情況下,使用者必須符合下列條件才能成功起始連線:

  • 在 ISA Server 電腦上安裝的伺服器憑證所使用的 FQDN 必須是 mail.contoso.com。

  • 使用者必須將 mail.contoso.com 解析成 IP 位址。

  • 解析 mail.contoso.com 而來的 IP 位址必須在 ISA Server 電腦的外部網路中設定。

    Cc182238.note(zh-tw,TechNet.10).gif 附註:

    就 ISA Server Enterprise Edition 而言,如果您是使用啟用 NLB 的陣列,則 IP 位址應該是針對該陣列而設定的虛擬 IP 位址。如需 NLB 的詳細資訊,請參閱 ISA Server 產品說明。

建立 Exchange ActiveSync 發行規則

現在已經正確設定 Exchange 前端伺服器和 ISA Server 電腦,並且安裝適當的伺服器憑證,您可以開始進行發行 Exchange 前端伺服器的程序。藉由「Exchange 發行精靈」,您可以讓 Exchange 前端伺服器提供安全存取。

您可使用下列程序來發行 Exchange 前端伺服器。

  • 建立伺服器陣列 (選擇性)

  • 建立網頁接聽程式

  • 建立 Exchange 網頁用戶端存取發行規則

建立伺服器陣列 (選擇性)

如果 Exchange 前端伺服器不只一部,您可以使用 ISA Server 來維持這些伺服器的負載平衡。如此您只需要發行網站一次,而不必多次執行精靈。同時,也不需要使用協力廠商產品以平衡網站負載。若有其中一部伺服器無法使用,ISA Server 會偵測到該伺服器無法使用,並將使用者導向運作正常的伺服器。ISA Server 會定期確認伺服器陣列成員的伺服器確實正常運作。伺服器陣列內容會決定以下各項:

  • 包含在陣列中的伺服器

  • ISA Server 用來確認伺服器確實正常運作的連線能力驗證方法

請執行下列程序,建立伺服器陣列。

建立伺服器陣列
  1. 在 [ISA Server 管理] 主控台樹狀目錄中,按一下 [防火牆原則]:

    • 在 ISA Server 2006 Standard Edition 中,依序展開 [Microsoft Internet Security and Acceleration Server 2006]、[Server_Name],然後按一下 [防火牆原則]。

    • 在 ISA Server 2006 Enterprise Edition 中,依序展開 [Microsoft Internet Security and Acceleration Server 2006]、[陣列]、[Array_Name],然後按一下 [防火牆原則]。

  2. 在 [工具箱] 索引標籤上,依序按一下 [網路物件]、[新增],然後選取 [伺服器陣列]。使用精靈建立伺服器陣列,如下表中簡述。

頁面

欄位或內容

設定

歡迎使用

伺服器陣列名稱

輸入伺服器陣列的名稱。例如,輸入 Exchange 前端伺服器。

伺服器

包含在此陣列中的伺服器

選取 [新增],然後輸入 Exchange 前端伺服器的 IP 位址或名稱。

伺服器陣列連線能力監視

用來監視伺服器陣列連線能力的方法

選取 [傳送 HTTP/HTTPS GET 要求]。

完成新增伺服器陣列精靈

完成新增伺服器陣列精靈

檢視選取的設定,然後依序按一下 [上一步] 和 [完成] 以完成精靈。

  1. 精靈完成以後,在 [啟用 HTTP 連線確認] 對話方塊中按一下 [是]。

  2. 按一下 [詳細資料] 窗格中的 [套用] 按鈕,以便儲存變更並更新設定。

如需連線檢查器的詳細資訊,請參閱 ISA Server 產品說明。

建立網頁接聽程式

當您建立網頁發行規則時,必須指定要使用的網頁接聽程式。網頁接聽程式內容會決定以下各項:

  • ISA Server 電腦在指定的網路上用來接聽 Web 要求 (HTTP 或 HTTPS) 的 IP 位址及連接埠。

  • 與 IP 位址搭配使用的伺服器憑證。

  • 要使用的驗證方法。

  • 允許的同時連線數目。

  • 單一登入 (SSO) 設定值。

收集在執行「新增網頁接聽程式精靈」時所需使用的下列資訊。

內容

網頁接聽程式名稱

名稱:________________________

用戶端連線安全性

請注意下列情形:

  • 若已選取 HTTP,ISA Server 電腦與用戶端之間的資訊將以純文字傳送。

  • 若已選取 HTTPS,則 ISA Server 電腦上必須安裝伺服器憑證。

HTTPS 或 HTTP (圈選一個)

網頁接聽程式 IP 位址

網路___________________

選擇性

特定 IP 位址:___.___.___.___

Cc182238.note(zh-tw,TechNet.10).gif 附註:

若此特定 IP 位址不是主要網路介面卡 IP 位址,則必須先在 ISA Server 電腦上設定次要 IP 位址,才能建立網頁接聽程式。

網頁接聽程式 SSL 憑證驗證設定

Cc182238.note(zh-tw,TechNet.10).gif 附註:

只有選取 HTTPS 以保護用戶端連線安全性時才需要。

___在這個網頁接聽程式使用單一憑證。

憑證發給:_______________________

___為每一 IP 位址指派憑證。(此選項只有在已指派特定 IP 位址給網頁接聽程式時才可用)。

憑證發給:_______________________

驗證

您可以使用表單型驗證的相關選項來驗證 ISA Server 的使用者。

如需驗證的詳細資訊,請參閱本文內的 <ISA Server 2006 中的驗證>。

單一登入設定值

___啟用單一登入。

單一登入網域名稱:

___________________________

使用您先前在工作表上填寫的資訊來建立網頁接聽程式,然後執行下列程序。

建立網頁接聽程式
  1. 在 [ISA Server 管理] 主控台樹狀目錄中,按一下 [防火牆原則]:

    • 在 ISA Server 2006 Standard Edition 中,依序展開 [Microsoft Internet Security and Acceleration Server 2006]、[Server_Name],然後按一下 [防火牆原則]。

    • 在 ISA Server 2006 Enterprise Edition 中,依序展開 Microsoft Internet Security and Acceleration Server 2006]、[陣列]、[Array_Name],然後按一下 [防火牆原則]。

  2. 在 [工具箱] 索引標籤上,依序按一下 [網路物件]、[新增],然後選取 [網頁接聽程式]。使用精靈建立網頁接聽程式,如下表中簡述。

頁面

欄位或內容

設定

歡迎使用

網頁接聽程式名稱

輸入網頁接聽程式的名稱。例如,輸入 Exchange FBA。

用戶端連線安全性

選取此網頁接聽程式要與用戶端建立哪種連線類型

選取 [需要與用戶端之間的 SSL 安全連線]。

網頁接聽程式 IP 位址

接聽在這些網路上連入的 Web 要求

ISA Server 會壓縮傳送至用戶端的內容

選取外部網路。

應該選取核取方塊 (預設值)。

按一下 [選取 IP 位址]。

外部網路接聽程式 IP 選取範圍

接聽位於以下的要求

可用的 IP 位址

選取 [ISA Server 電腦上位於所選網路中的指定 IP 位址]。

選取正確的 IP 位址,並按一下 [新增]。

Cc182238.note(zh-tw,TechNet.10).gif 附註:

如果是包含啟用 NLB 的陣列的 ISA Server Enterprise Edition,您應該選取虛擬 IP 位址。

接聽程式 SSL 憑證

選取每一 IP 位址的憑證,或為這個網頁接聽程式指定單一憑證

選取 [為每一 IP 位址指派憑證]。

選取您剛才選定的 IP 位址,並按一下 [選取憑證]。

選取憑證

從可用憑證清單中選取憑證

選取您剛才在 ISA Server 電腦上安裝的憑證。例如,選取 mail.contoso.com,並按一下 [選取]。必須先安裝憑證,才能執行精靈。

驗證設定

選取用戶端如何提供認證到 ISA Server

選取 ISA Server 如何驗證用戶端認證

針對表單型驗證選取 [HTML 表單驗證],然後選取 ISA Server 用來驗證用戶端認證的適當方法。

例如,如果是在工作群組模式中進行安裝,請選取 [LDAP 驗證]。如果 ISA Server 電腦位於網域組態中,請選取 [Windows (Active Directory)]。

單一登入設定值

啟用以此網頁接聽程式發行的網站單一登入 (SSO)

SSO 網域名稱

保留預設設定以啟用 SSO。

若要啟用 portal.contoso.com 與 mail.contoso.com 這兩個發行站台之間的單一登入 (SSO),請輸入 .contoso.com。

正在完成新增網頁接聽程式精靈

正在完成新增網頁接聽程式精靈

檢視選取的設定,然後按一下 [上一步] 以進行變更或 [完成] 以完成精靈。

建立 Exchange 網頁用戶端存取發行規則

當透過 ISA Server 2006 發行內部 Exchange 前端伺服器時,您等於是保護 Web 伺服器免遭外部直接存取,因為使用者無法存取伺服器的名稱和 IP 位址。使用者存取的是 ISA Server 電腦,而電腦會根據您的 Web 伺服器發行規則的條件,將要求轉寄給內部 Web 伺服器。Exchange 網頁用戶端存取發行規則是包含適用於 Exchange 網頁用戶端存取預設值的網頁發行規則。

收集在下列使用「新增 Exchange 發行規則精靈」時所需使用的資訊。

內容

Exchange 發行規則名稱

名稱:________________________

服務

Cc182238.note(zh-tw,TechNet.10).gif 附註:

利用以表單型驗證設定的相同網頁接聽程式,您可以使用單一規則發行所有服務。至於不支援表單型驗證的服務,ISA Server 2006 將使用基本驗證。

Exchange 版本:____________

__Outlook Web Access

__Outlook RPC over HTTP

__Outlook Mobile Access

_X_Exchange ActiveSync

發行類型

__發行單一網站

__發行負載平衡伺服器的伺服器陣列

伺服器陣列名稱:_____________

伺服器連線安全性

HTTPS 或 HTTP (圈選一個)

請注意下列情形:

  • 若已選取 HTTP,ISA Server 電腦與 Web 伺服器之間的資訊將以純文字傳送。

  • 若已選取 HTTPS,則 Exchange 前端伺服器上必須安裝伺服器憑證。

內部發行詳細資料

內部網站名稱 (FQDN):______________________

如果 FQDN 無法由 ISA Server 電腦進行解析:

電腦名稱或 IP 位址:_____________________

公用名稱詳細資料

於右列接受要求:

__這個網域名稱:______________

__任何網域名稱

選取網頁接聽程式

網頁接聽程式:________________

使用者組

列出可存取此規則的使用者組:

_________________

__________________

使用您先前在工作表上填的資訊,並執行下列程序來建立 Exchange 網頁用戶端存取發行規則。

建立 Exchange 網頁用戶端存取發行規則
  1. 在 [ISA Server 管理] 主控台樹狀目錄中,按一下 [防火牆原則]:

    • 在 ISA Server 2006 Standard Edition 中,依序展開 [Microsoft Internet Security and Acceleration Server 2006]、[Server_Name],然後按一下 [防火牆原則]。

    • 在 ISA Server 2006 Enterprise Edition 中,依序展開 [Microsoft Internet Security and Acceleration Server 2006]、[陣列]、[Array_Name],然後按一下 [防火牆原則]。

  2. 在 [工作] 索引標籤上,按一下 [發行 Exchange 網頁用戶端存取]。使用精靈建立規則,如下表中簡述。

    若是單一 Web 伺服器,請使用單一網站的「新增 Exchange 發行規則精靈」中的表格。

    單一網站的新增 Exchange 發行規則精靈

    頁面

    欄位或內容

    設定

    歡迎使用

    Exchange 發行規則名稱

    輸入規則的名稱。例如,輸入 Exchange Web Client Publishing。

    選取服務

    Exchange 版本

    網頁用戶端郵件服務

    選取正確的 Exchange 版本。例如,選取 Exchange Server 2003。

    選取想要的存取方法。

    發行類型

    請選擇這個規則將發行單一網站或外部負載平衡器、Web 伺服器陣列,或是數個網站。

    選取 [發行單一網站或負載平衡器]。

    伺服器連線安全性

    選擇 ISA Server 將與已發行的 Web 伺服器或伺服器陣列之間建立的連線類型

    選取 [使用 SSL 連線到發行的 Web 伺服器或伺服器陣列]。

    Cc182238.note(zh-tw,TechNet.10).gif 附註:

    伺服器憑證必須安裝在已發行的 Exchange 前端伺服器上,而發行 Exchange 前端伺服器上之伺服器憑證的 CA 的根 CA 憑證則必須安裝在 ISA Server 電腦上。

    內部發行詳細資料

    內部網站名稱

    輸入 Exchange 前端伺服器的內部 FQDN。例如,輸入 exchfe.corp.contoso.com。

    Cc182238.important(zh-tw,TechNet.10).gif 重要:

    內部網站名稱必須與安裝在內部 Exchange 前端伺服器上的伺服器憑證名稱一致。

    Cc182238.note(zh-tw,TechNet.10).gif 附註:

    若無法正確解析內部網站名稱,可以選取 [使用要連線到發行伺服器的電腦名稱或 IP 位址],然後輸入可由 ISA Server 電腦解析的必要 IP 位址或名稱。

    公用名稱詳細資料

    於右列接受要求

    公用名稱

    這個網域名稱 (在下方鍵入)

    輸入要 ISA Server 接受其連線的網域名稱。例如,輸入 mail.contoso.com。

    選取網頁接聽程式

    網頁接聽程式

    選取之前建立的網頁接聽程式。例如,選取 Exchange FBA。

    驗證委派

    選取由 ISA Server 用來驗證到發行的 Web 伺服器的方法

    選取 [基本驗證]。

    使用者組

    這個規則套用到來自下列使用者組的要求

    選取核准存取此規則的使用者組。

    正在完成新增 Exchange 發行精靈

    正在完成新增 Exchange 發行規則精靈

    檢視選取的設定,然後按一下 [上一步] 以進行變更或 [完成] 以完成精靈。

    若您使用伺服器陣列,請使用伺服器陣列的「新增 Exchange 伺服器發行規則精靈」中的表格。

    伺服器陣列的新增 Exchange 伺服器發行規則精靈

    頁面

    欄位或內容

    設定

    歡迎使用

    Exchange 發行規則名稱

    輸入 Exchange Web client Publishing

    選取服務

    Exchange 版本

    網頁用戶端郵件服務

    選取正確的 Exchange 伺服器版本。例如,選取 Exchange Server 2003。

    選取想要的存取方法。

    發行類型

    請選擇這個規則將發行單一網站或外部負載平衡器、Web 伺服器陣列,或是數個網站。

    選取 [發行負載平衡的 Web 伺服器的伺服器陣列]。

    伺服器連線安全性

    選擇 ISA Server 將與已發行的 Web 伺服器或伺服器陣列之間建立的連線類型

    選取 [使用 SSL 連線到發行的 Web 伺服器或伺服器陣列]。

    Cc182238.note(zh-tw,TechNet.10).gif 附註:

    伺服器憑證必須安裝在已發行的 Exchange 前端伺服器上,而根 CA 憑證則必須安裝在 ISA Server 電腦上。

    內部發行詳細資料

    內部網站名稱

    輸入 exchfe.corp.contoso.com。

    指定伺服器陣列

    選取您要發行的 Exchange 伺服器陣列

    選取之前建立的伺服器陣列名稱。例如,選取 Exchange 前端伺服器。

    公用名稱詳細資料

    於右列接受要求

    公用名稱

    這個網域名稱 (在下方鍵入)

    輸入 mail.contoso.com。

    選取網頁接聽程式

    網頁接聽程式

    選取 [Exchange FBA]。

    驗證委派

    選取由 ISA Server 用來驗證到發行的 Web 伺服器的方法

    選取 [基本驗證]。

    使用者組

    這個規則套用到來自下列使用者組的要求

    選取核准存取此規則的使用者組。

    正在完成新增 Exchange 發行規則精靈

    正在完成新增 Exchange 發行規則精靈

    檢視選取的設定,然後按一下 [上一步] 以進行變更或 [完成] 以完成精靈。

  3. 按一下 [詳細資料] 窗格中的 [套用] 按鈕,以便儲存變更並更新設定。

設定 ISA Server 2006 以進行 LDAP 驗證

LDAP 驗證類似於 Active Directory 驗證,但是 ISA Server 電腦不必是網域的成員。ISA Server 2006 會透過 LDAP 通訊協定連線到已設定的 LDAP 伺服器,以便驗證使用者。每個 Windows 網域控制站依預設也都是 LDAP 伺服器,因此不需要其他設定變更。使用 LDAP 驗證有以下好處:

  • ISA Server 2006 Standard Edition 伺服器或工作群組模式中的 ISA Server 2006 Enterprise Edition 陣列成員。當 ISA Server 安裝在周邊網路之後,即無須再開啟網域成員所需的所有通訊埠。

  • 沒有信任關係之網域中的使用者驗證。

在本節中,您要執行下列作業:

  • 建立 LDAP 伺服器組

  • 建立 LDAP 使用者組

如需 LDAP 設定的詳細資訊,請參閱 Microsoft TechNet 上 <安全應用程式發行> 一文中的「附錄 B」。

建立 LDAP 伺服器組

請執行下列程序,建立 LDAP 伺服器組:

  • 如果是 Standard Edition,請在電腦 isa01 上執行下列程序。

  • 如果是 Enterprise Edition,請在電腦 storage01 上執行下列程序。

建立 LDAP 伺服器組
  1. 在 [ISA Server 管理] 主控台樹狀目錄中,按一下 [一般]:

    • 在 ISA Server 2006 Standard Edition 中,依序展開 [Microsoft Internet Security and Acceleration Server 2006]、[isa01]、[設定],然後按一下 [一般]。

    • 在 ISA Server 2006 Enterprise Edition 中,依序展開 [Microsoft Internet Security and Acceleration Server 2006]、[陣列]、[主要]、[設定],然後按一下 [一般]。

  2. 在 [詳細資料] 窗格中,按一下 [指定 RADIUS 及 LDAP 伺服器]。

  3. 在 [LDAP 伺服器組] 索引標籤上,按一下 [新增] 以開啟 [新增 LDAP 伺服器組] 對話方塊。

  4. 在 [LDAP 伺服器組名稱] 中,輸入 CorpLDAP

  5. 按一下 [新增],以便新增各個 LDAP 伺服器名稱或 IP 位址。

  6. 在 [伺服器名稱] 中輸入 dc01,然後再按一下 [確定]。

  7. 按一下 [確定] 以關閉 [新增 LDAP 伺服器組] 對話方塊。

  8. 按一下 [新增] 以開啟 [新 LDAP 伺服器對應] 對話方塊。

  9. 在 [登入運算式] 中輸入 corp\*。在 [LDAP 伺服器組] 中選取 [CorpLDAP],然後按一下 [確定]。

  10. 按一下 [關閉] 以關閉 [驗證伺服器] 視窗。

如需 LDAP 伺服器設定的詳細資訊,請參閱 Microsoft TechNet 文章<安全發佈應用程式>中的「附錄 B:LDAP 設定」(英文),網址是:http://www.microsoft.com/taiwan/technet/isa/2006/secure_web_publishing.mspx

建立 LDAP 使用者組

若要透過 LDAP 驗證使用者,必須決定要驗證的使用者以及由誰驗證使用者。若要執行這項操作,必須建立 LDAP 使用者組。

請執行下列程序,建立 LDAP 使用者組:

  • 如果是 Standard Edition,請在電腦 isa01 上執行下列程序。

  • 如果是 Enterprise Edition,請在電腦 storage01 上執行下列程序。

  1. 在 [ISA Server 管理] 主控台中,按一下 [防火牆原則]:

    頁面

    欄位或內容

    設定

    歡迎使用

    使用者組名稱

    輸入 LDAPUsers。

    使用者

    選取要包含於這個使用者組的使用者。

    按一下 [新增],然後選取 [LDAP]。

    新增 LDAP 使用者

    LDAP 伺服器組

    使用者名稱

    選取 [CorpLDAP],即下拉式清單中的 LDAP 伺服器組。

    選取 [這個名稱區中的所有使用者]。

    Cc182238.note(zh-tw,TechNet.10).gif 附註:

    如果您不希望將所有使用者加入此 LDAP 使用者組,也可以指定使用者群組或特定使用者帳戶。

    正在完成新增使用者組精靈

    檢閱設定。

    按一下 [上一步] 以進行變更,再按一下 [完成] 來完成精靈。

  2. 按一下 [詳細資料] 窗格中的 [套用] 按鈕,以便儲存變更並更新設定。

將所有防火牆和網路應用裝置的閒置工作階段逾時設為 1800 秒

在這個步驟中,您將修改所有防火牆、Proxy 伺服器及其他網路應用裝置上的閒置工作階段逾時,以配合 Direct Push 技術順利操作所需的時間。

ISA Server 2006 中的預設閒置工作階段逾時為 1800 秒,因此無須修改。

如需修改閒置工作階段逾時的詳細資訊,請參閱本文 <部署行動訊息解決方案的最佳作法> 一節中的「設定防火牆以最佳化 Direct Push 效能」。

確認防火牆閒置工作階段逾時

  1. 在 [ISA Server 管理] 主控台樹狀目錄中,按一下 [防火牆原則]。

  2. 在 [工具箱] 索引標籤上,按一下 [網路物件]。

  3. 從資料夾清單展開 [網頁接聽程式] 節點,然後檢視適當網頁接聽程式的 [內容]。

  4. 選取 [連線] 索引標籤,然後按一下 [進階...] 按鈕。

  5. 確認 [連線逾時] 已設為 1800 秒 (30 分鐘)。視需要進行變更。

  6. 按兩下 [確定] 以接受變更。

  7. 按一下 [套用] 以進行這些變更。

測試 Exchange 發行規則

本節將測試您剛建立的新 Exchange 發行規則。

測試 Exchange ActiveSync

使用 Microsoft Exchange ActiveSync 設定行動裝置連線到您的 Exchange 伺服器,確保 ISA Server 和 Exchange ActiveSync 都能正常運作。在設定行動裝置時,您會收到在伺服器名稱欄位輸入名稱的提示,此時輸入剛才發行的 Exchange ActiveSync 伺服器名稱,例如 https://mail.contoso.com/oma。

Cc182238.note(zh-tw,TechNet.10).gif 附註:

您也可以使用 Internet Explorer 來測試 Exchange ActiveSync。開啟 Internet Explorer,然後在 [位址] 中輸入 URL https://published_server_name/Microsoft-Server-Activesync,其中的 published_server_name 是指 Outlook Web Access 伺服器的發行名稱 (即使用者用來存取 Outlook Web Access 的名稱)。自行驗證之後,如果收到錯誤 501/505 – 未實作執行或不支援,表示 ISA Server 和 Exchange ActiveSync 一起運作正常。

顯示: