逐步指南:使用 Microsoft Exchange Server 2003 SP2 部署 Windows Mobile 裝置

附錄 B:安裝和設定 ISA Server 2004 環境

本章節將探討在 ISA Server 2004 環境中部署 Exchange Server 2003 SP2 行動訊息的步驟。在這部分的程序中,您將進行下列動作:

  • 安裝 ISA Server 2004。

  • 使用網頁發行建立 Exchange ActiveSync 發行規則,將連接埠 443 開啟成網頁接聽程式。

  • 設定主機檔案項目。

  • 將 ISA Server 2004 閒置工作階段設為 1800 秒 (30 分鐘)

Cc182251.note(zh-tw,TechNet.10).gif 附註:

增加逾時值以充分發揮 Direct Push 技術的效能,並有效利用裝置的電池壽命。

  • 測試 OWA 及 Exchange ActiveSync。

Cc182251.note(zh-tw,TechNet.10).gif 附註:

假如您打算將憑證驗證與 ISA Server 2004 搭配使用,則必須使用「伺服器發行」或通道來建立您的 Exchange ActiveSync 發行規則。請參閱 <附錄 A:部署 Exchange ActiveSync 憑證型驗證> 中的指示。

請參考 <其他網路架構選擇> 以了解關於網路架構和 SSL 設定的背景資訊。

假如您有 ISA Server 2000,請參閱 <使用 ISA Server 2000 與 Exchange Server 2003> (英文),網址是 http://go.microsoft.com/fwlink/?LinkId=62670 (英文)

如需設定 ISA 2000 的詳細資訊,請參閱下列微軟知識庫文件:<如何使用 Internet Security and Acceleration (ISA) Server 2000 來發佈 Exchange 2000 Server 電腦或 Exchange Server 2003 電腦> ,網址是 http://support.microsoft.com/kb/287646/en-us

安裝 ISA Server 2004

若您遵循<部署行動訊息解決方案的部署組態和最佳作法>一節中建議的網路架構,就應該在您的伺服器上將 ISA Server 2004 安裝成獨立的防火牆。請勿將 ISA Server 2004 安裝成 ISA 伺服器陣列的一部分,因為這種部署方式需要有網域成員資格。您的 ISA 伺服器在 Microsoft Windows 樹系中不應是成員伺服器,因為要是 ISA 伺服器受到網際網路攻擊而遭入侵,而網域資源又位於相同的網域中,攻擊者就可獲權存取這些資源。另外,您也應該盡可能減少開放給內部網路的連接埠數量。成員伺服器需要有額外的連接埠來進行一些活動,像是與網域控制站對談。

Cc182251.note(zh-tw,TechNet.10).gif 附註:

建議您在 ISA 伺服器上同時設定 Exchange ActiveSync 和 OWA 發行。除了 Exchange ActiveSync 之外再發行 OWA,將可擴充您疑難排解的能力。

安裝 ISA Server 2004

  1. 在防火牆電腦上上安裝和設定 Microsoft Windows Server 2003。

  2. 前往 Microsoft Update,然後安裝適用於 Windows Server 2003 的所有重大安全性 Hotfix 和 Service Pack。

  3. 將伺服器從任何所屬的網域中移除,然後放置於工作群組中。

  4. 安裝 ISA Server 2004。

  5. 將 OWA SSL 憑證從 Exchange 前端 OWA 伺服器匯出至檔案。

使用網頁發行建立 Exchange ActiveSync 發行規則

網頁發行規則決定著 ISA Server 2004 會如何在內部 Web 伺服器攔截對超文字傳輸通訊協定 (HTTP) 物件的連入要求,以及 ISA Server 2004 會如何代表內部 Web 伺服器進行回應。

在這個過程中,您必須提供發行規則本身、內部和外部 Web 伺服器,以及網頁接聽程式的名稱。開始之前,請先詳讀這些指示,並決定適當的名稱。

如需詳細資訊,請參閱 <使用 ISA Server 2004 發行 Web 伺服器> (英文)。

Cc182251.note(zh-tw,TechNet.10).gif 附註:

假如您打算將憑證驗證與 ISA Server 2004 搭配使用,則必須使用「伺服器發行」或通道來建立您的 Exchange ActiveSync 發行規則。請跳過下列的程序,並遵循 <附錄 A:部署 Exchange ActiveSync 憑證型驗證> 中的指示。

建立並命名好網頁發行規則之後,接下來要建立和設定網頁接聽程式、完成網站規則,以及更新防火牆原則。

建立和命名 Exchange ActiveSync 網頁發行規則

  1. 在 [Microsoft Internet Security and Acceleration Server 2004] 管理主控台中,展開伺服器名稱,再按一下 [防火牆原則] 節點。

  2. 以滑鼠右鍵按一下 [防火牆原則] 節點,指向 [新增],再按一下 [郵件伺服器發行規則]。

  3. 在 [歡迎使用新增郵件伺服器發行規則精靈] 頁面中的 [郵件伺服器發行規則名稱] 文字方塊內,鍵入規則的名稱。按一下 [下一步]。

  4. 在 [選取存取類型] 頁面上,選取 [網頁用戶端存取: Outlook Web Access (OWA)、Outlook Mobile Access、Exchange Server ActiveSync] 選項,再按一下 [下一步]。

  5. 在 [選取服務] 頁面上,按一下以選取 [Exchange ActiveSync] 核取方塊。確認 [啟用非英文字元組使用的高位元字元 (Enable high bit characters by non-English character sets)] 核取方塊中有核取記號。(如果您希望使用者只閱讀以英文為主的字元集,可清除此核取方塊來取消這個選項)。基於疑難排解的目的,我們建議您按一下以選取 [Outlook Web Access] 核取方塊。按一下 [下一步]。下圖顯示 [新增郵件伺服器發行規則精靈] 的 [橋接模式] 頁面。

    Cc182251.bug29230-fig11-sm(zh-tw,TechNet.10).gif

    新增郵件伺服器發行規則精靈
  6. 在 [橋接模式] 頁面上,按一下 [到用戶端和郵件伺服器的安全連線] 選項,再按 [下一步]。

    [到用戶端和郵件伺服器的安全連線] 選項會建立一個網頁發行規則,提供從用戶端行動裝置連接到 Exchange 網站的 SSL 連線。此選項可避免在毫無防備的情況下傳輸流量,使入侵者無法探查流量並攔截重要的資訊。

  7. 在 [指定網頁郵件伺服器 (Specify the Web Mail)] 頁面上的 [郵件伺服器] 文字方塊內,鍵入內部網站的名稱,再按一下 [下一步]。

    您輸入的名稱會用來當做內部網路上的 Exchange Server 2003 網站名稱。在 ISA Server 2004 防火牆傳送給內部網路上的 Exchange 伺服器的要求中的名稱,應該與在 Exchange ActiveSync 網站上安裝的憑證的名稱一樣。

  8. 在 [公用名稱詳細資料] 頁面上,按一下 [為右列接受要求] 清單中的 [這個網域名稱 (This domain name) (在下方鍵入)] 選項。在 [公用名稱] 方塊中,鍵入外部使用者用來存取 [Exchange ActiveSync] 網站的名稱,再按一下 [下一步]。

所有連入 Web 要求都必須由網頁接聽程式接收。網頁接聽程式可用在多項網頁發行規則中。

建立網頁接聽程式

  1. 在 [選取網頁接聽程式] 頁面上,按一下 [新增]。[ISA Server 2004 網頁接聽程式] 提供您下面幾個選項:

    • 您可以針對相同 IP 位址上的 SSL 和非 SSL 連線建立不同的網頁接聽程式。

    • 根據 ISA Server 2004 防火牆的外部介面所限制的位址數量,您可以為各個網頁接聽程式設定不同的設定。網頁接聽程式設定並不是通用的。

  2. 在 [歡迎使用新增網頁接聽程式精靈] 頁面上的 [網頁接聽程式名稱] 文字方塊內,鍵入網頁接聽程式的名稱,再按一下 [下一步]。

  3. 在 [IP 位址] 頁面上選取 [外部] 核取方塊,再按一下 [位址]。

  4. 在 [外部網路接聽程式 IP 選項 (External Network Listener IP Selection)] 對話方塊中,選取 [ISA Server 電腦上位於所選網路中的指定 IP 位址 (Specified IP address on the ISA Server)] 選項。在 [可用的 IP 位址] 清單中,按一下位於 ISA Server 2004 防火牆上並且是您想要接聽連入 OWA 網站要求的外部 IP 位址,再按一下 [新增]。您選取的外部 IP 位址現在便顯示在 [選取的 IP 位址] 清單中。按一下 [確定]。

  5. 按一下 [IP 位址] 頁面上的 [下一步]。

  6. 在 [連接埠規格] 頁面上,按一下以清除 [啟用 HTTP] 核取方塊,選取 [啟用 SSL] 核取方塊,並將 [SSL 連接埠號碼] 保留為 [443]。

    藉著將這個網頁接聽程式設定成只使用 SSL,您可以設定第二個網頁接聽程式,用不同的設定將之設定為專用於非 SSL 連線。

  7. 按一下 [選取]。在 [選取憑證] 對話方塊中,按一下您匯入至 ISA Server 2004 防火牆電腦的憑證存放區中的 [Exchange ActiveSync 網站憑證 (Exchange ActiveSync Web site certificate)],再按一下 [確定]。

    Cc182251.note(zh-tw,TechNet.10).gif 附註:

    只有當您已將網站憑證安裝至 ISA Server 2004 防火牆電腦的憑證存放區後,此憑證才會顯示在 [選取憑證] 對話方塊裡。此外,憑證還必須包含私密金鑰。假如不含私密金鑰,它將不會出現在清單中。

  8. 按一下 [連接埠規格] 頁面上的 [下一步]。

  9. 在 [正在完成新增網頁接聽程式] 頁面上,按一下 [完成]。

下一步是設定網頁接聽程式,如此就不會設定任何驗證。

設定網頁接聽程式

  1. 在 [選取網頁接聽程式] 頁面上,現在會顯示網頁接聽程式的詳細資料,按一下 [編輯]。

  2. 在 [OWA SSL 接聽程式內容] 對話方塊中,按一下 [喜好設定] 索引標籤。下圖顯示 [OWA SSL 接聽程式內容] 對話方塊。

    Cc182251.bug29230-fig12-sm(zh-tw,TechNet.10).gif

    接聽程式內容
  3. 在 [喜好設定] 索引標籤上,按一下 [驗證]。

  4. 在 [驗證] 對話方塊中,按一下以清除 [整合] 核取方塊。在警告您目前未設定任何驗證方法的 [Microsoft Internet Security and Acceleration Server 2004] 對話方塊中,按一下 [確定]。

    請勿選取 [OWA 表單型驗證 (OWA-Forms Based Authentication)] 核取方塊。

  5. 在 [SSL 接聽程式內容] 對話方塊中,按一下 [套用],再按 [確定]。

  6. 在 [選取網頁接聽程式] 頁面上,按一下 [下一步]。

  7. 在 [使用者組] 頁面上,接受預設項目 [所有使用者],再按一下 [下一步]。

    接受 [所有使用者] 預設項目並不能讓所有使用者存取 Exchange 網站。只有成功驗證的使用者才能存取 Exchange 網站。實際的驗證作業是由 Exchange 網站使用 ISA Server 2004 防火牆轉寄的認證進行。ISA Server 2004 防火牆及 Exchange 網站無法同時驗證使用者,這表示您必須允許所有使用者存取規則。此規則的例外是當使用者使用用戶端憑證驗證,進行 ISA Server 2004 防火牆本身驗證的情況。

  8. 在 [完成新增郵件伺服器發行規則精靈] 頁面上,按一下 [完成]。

在最後一個步驟中,您將允許 Exchange 網站接收行動裝置的實際 IP 位址。

  1. 在 [ISA Server 管理主控台] 的 [詳細資料] 窗格中,以滑鼠右鍵按一下 [EAS 網站規則],再按一下 [內容]。

  2. 在 [網站內容] 對話方塊中,按一下 [收件者] 索引標籤。在 [收件者] 索引標籤上,按一下 [要求看起來是來自原始用戶端] 選項。此選項會允許 Exchange 網站接收外部用戶端行動裝置的實際 IP 位址。這項功能會使安裝在 OWA 網站上的網頁記錄附加元件在建立報告時使用此項資訊。下圖顯示 [OWA 網站內容] 對話方塊。

    Cc182251.bug29230-fig13-sm(zh-tw,TechNet.10).gif

    防火牆內容
  3. 按一下 [套用],再按 [確定]。

  4. 按一下 [套用] 以儲存變更並更新防火牆原則。

  5. 在 [套用新設定] 對話方塊中,按一下 [確定]。

SSL 網站現在便可在 ISA 伺服器的外部 IP 位址上存取。您可能需要在可從外部存取的網域名稱系統 (DNS) 伺服器上進行主機記錄變更,以便將 ISA 伺服器外部介面的 IP 位址對應到 SSL 網站的主機記錄。

設定 Hosts 檔案項目

下一步是在 ISA Server 2004 防火牆電腦上建立 Hosts 檔案項目,以便將您為內部網頁郵件伺服器指定的名稱解析成位於內部網路上的 Exchange 伺服器的 IP 位址。

Cc182251.note(zh-tw,TechNet.10).gif 附註:

您也可以針對此目的使用分割 DNS 基礎結構。不過 Hosts 檔案項目比較容易建立。在實際執行的網路上,您可能得建立分割 DNS 基礎結構,以便讓 ISA Server 2004 防火牆將 OWA 網站的完整格式網域名稱 (FQDN) 解析成 Exchange 伺服器在內部網路上使用的 IP 位址。

設定 Hosts 檔案項目

  1. 按一下 [開始],然後按一下 [執行]。在 [執行] 對話方塊中的 [開啟] 文字方塊內,鍵入 Notepad, 然後按一下 [確定]。

  2. 在 [檔案] 功能表上,按一下 [開啟舊檔]。在 [開啟舊檔] 對話方塊中的 [檔名] 文字方塊內,鍵入 c:\windows\system32\drivers\etc\hosts,然後按一下 [開啟]。

  3. 新增下行至 Hosts 檔案:10.0.0.2 < 您的防火牆名稱 >

  4. 將滑鼠游標移到該行的最後,讓插入點剛好落在下一行上,然後按一下 ENTER。

  5. 在 [檔案] 功能表上,按一下 [結束]。

  6. 在記事本中,將變更儲存至檔案,然後關閉記事本。

設定 ISA Server 2004 閒置工作階段逾時

在本程序中,您將修改閒置工作階段逾時,以配合 Direct Push 技術順利操作所需的時間。

如需修改閒置工作階段逾時時間的詳細資訊,請參閱 <部署行動訊息解決方案的最佳作法> 中的「設定防火牆以最佳化 Direct Push 效能」一節。

將 ISA Server 2004 閒置工作階段設為 1800 秒¡@
  1. 在 [ISA Server 管理] 主控台樹狀目錄中,按一下 [防火牆原則]。

  2. 在 [工具箱] 索引標籤上,按一下 [網路物件]。

  3. 從資料夾清單展開 [網頁接聽程式] 節點,然後檢視適當網頁接聽程式的 [內容]。

  4. 選取 [喜好設定] 索引標籤,再按一下 [進階...] 按鈕。

  5. 將 [連線逾時] 的值從預設的 [120 秒] (兩分鐘) 修改為 [1800 秒] (30 分鐘)。

  6. 按一下 [確定] 兩次以接受變更。

  7. 按一下 [套用] 以進行這些變更。

測試 OWA 及 Exchange ActiveSync

在完成設定之後,應該測試下列您設定的功能:

  • 測試 OWA (選擇性)。

  • 測試 Exchange ActiveSync。

只要外部用戶端行動裝置可以將 FQDN 解析為 ISA Server 的外部 IP 位址,就可以存取 OWA 伺服器。這項解析作業通常是透過向公用 DNS 伺服器登錄公用網際網路網域名稱來達成,該公用 DNS 伺服器會將網站名稱對應到 ISA Server 的外部 IP 位址。

如果您是根據《Exchange Server 2003 用戶端存取指南》(英文,網址為 http://go.microsoft.com/fwlink/?LinkId=62628) 中的指示設定 OWA,可採用下列程序來測試它。

測試 OWA

若要在實驗室環境中測試部署,請在位於下列路徑的用戶端行動裝置 Hosts 檔案中,使用記事本指定網站主機名稱解析資訊:位於 Windows 安裝目錄的 \system32\drivers\etc\hosts。

測試 OWA (若已安裝)
  1. 若要從外部用戶端行動裝置連線到 OWA 網站,請鍵入您在安裝時指定的網址。請確實在 URL 中指定 https

  2. 當連線時,您應該會看到一個登入頁面要求提供認證和工作階段類型 (公用或私用)。請提供此項資訊,以便存取您的信箱。

  3. 假如您已設定逾時或封鎖附件,可讓瀏覽器閒置一段時間後嘗試存取郵件,以及嘗試開啟或存取附件來測試這些功能。

測試 Exchange ActiveSync

您可以使用 Exchange ActiveSync 來設定行動裝置連線到您的 Exchange 伺服器,並確保 ISA Server 2004 和 Exchange ActiveSync 都能正常運作。

另外,您也可以選擇使用 Internet Explorer 來測試 Exchange ActiveSync。

使用 Internet Explorer 來測試 Exchange ActiveSync
  1. 開啟 Internet Explorer。

  2. 在 [網址] 列中,鍵入 https:// published_server_name /Microsoft-Server-Activesync ,其中 published_server_name 是 OWA 伺服器的發行名稱 (即使用者要鍵入的名稱)。

  3. 鍵入要驗證的使用者名稱和資訊。

    如果您收到下列其中一個錯誤訊息:錯誤 501/505 「未實作執行」或「不支援」,表示 ISA Server 2004 和 Exchange ActiveSync 一起運作正常。

顯示: