ISA Server 2004 中的 Outlook Web Access 伺服器發佈:RADIUS 及表單型用戶端驗證

Microsoft Internet Security and Acceleration Server 2004

發佈日期: 2006 年 1 月 13 日

簡介

Microsoft Internet Security and Acceleration (ISA) Server 2004 Standard Edition 和 ISA Server 2004 Enterprise Edition 與 Microsoft Office Outlook Web Access for Exchange Server 2003 一起合作增強 Outlook Web Access 伺服器的安全性。Outlook Web Access 提供從網頁瀏覽器存取儲存在 Microsoft Exchange Storage System 資料夾中的電子郵件、排程 (包括群組排程)、連絡人和協作資訊。Outlook Web Access 是由遠端、家庭和行動不定的使用者使用。

當透過 ISA Server 發佈 Outlook Web Access 伺服器時,您等於是保護 Outlook Web Access 伺服器免於外部直接存取,因為使用者無法存取 Outlook Web Access 伺服器的名稱和 IP 位址。使用者存取的是 ISA Server 電腦,這接著會根據您的郵件伺服器發佈規則的條件,將要求轉送給 Outlook Web Access 伺服器。

ISA Server 允許您實作各種驗證方法以存取 Outlook Web Access 伺服器。本文將說明一種案例,您在當中將透過郵件伺服器發佈規則採用表單型驗證,來驗證外部用戶端的 Outlook Web Access 要求,以安全地發佈 Outlook Web Access 伺服器。ISA Server 是對 RADIUS 伺服器進行驗證,而且不是網域成員。

表單型驗證

透過表單型用戶端驗證,未驗證的使用者會被導向一個 HTML 表單。在使用者於表單中提供憑證之後,系統就會發出一個包含票證的 Cookie。對於接下來的要求,系統會先檢查 Cookie 看使用者是否已驗證,如果是,則該使用者就不需要再提供憑證。表單型驗證包括如下優點:

  • 憑證資訊不會快取在用戶端電腦上。這在使用者從公用電腦連線到您的 Outlook Web Access 伺服器時尤為重要::。使用者若關閉瀏覽器、登出工作階段或導覽到其他網站,則需要重新驗證。

  • 您可以設定閒置工作階段的最長等候逾時時間。如果使用者閒置很長一段時間,工作階段會過期,就需要重新驗證。

  • 使用者無法在 Internet Explorer 中使用 [記住我的密碼] 選項。

在 ISA Server 上為 Outlook Web Access 規劃表單型驗證時,下列的考慮事項很重要:::

  • 您可以在發佈 Outlook Web Access for Exchange Server 2003、Exchange 2000 Server 和 Exchange Server 5.5 時,於 ISA Server 上啟用表單型驗證。

  • 您只能在 Exchange Server 2003 上啟用表單型驗證。Exchange 2000 Server 或 Exchange Server 5.5 並不支援表單型驗證。

  • 當設定 ISA Server 2004 與 Exchange Server 2003 時,您可以在 ISA Server 或 Exchange 伺服器上啟用表單型驗證,但不同可時在兩者上啟用。當本案例中決定要在哪裡啟用表單型驗證時,請考慮下列事項:

    • 當您在 ISA Server 上啟用表單型驗證時,您保有 ISA Server 偵查回應內文,還有要求 URL、要求標頭、要求內文和和回應標頭的能力。

    • ISA Server 表單型驗證允許您在網路的邊緣驗證使用者,而且您不需要網域成員資格就可以使用 RADIUS 型驗證。

    • 假如您使用 ISA Server 表單型驗證,就無法使用 Exchange 資料壓縮功能。

    • 若使用 Exchange Server 2003 表單型驗證,ISA Server 會偵查要求 URL、要求標頭、要求內文和回應標頭,但不會偵查回應內文。不過,可使用 Exchange 資料壓縮功能。

    • Outlook Web Access 包括一些選用的功能允許使用者變更密碼。假如使用者在 Outlook Web Access 工作階段期間變更密碼,則使用者初次登入後所提供的 Cookie 就不再有效。當表單型驗證是在 ISA Server 上設定時,於 Outllok Web Access 工作階段期間變更密碼的使用者在下次提出要求時就會收到登入頁面。.

在 ISA Server 2004 Enterprise Edition 當中包含多個 ISA Server 陣列成員的案例中,您必須確保特定工作階段的用戶端要求是由相同的陣列成員處理,這樣用戶端的 Cookie 才能被辨認。假如要求是被不同的成員接收到,Cookie 就無法被辨認,而該 ISA Server 成員就會捨棄該項要求。確保要求是由相同的伺服器成員處理的有效方法,是啟用 ISA Server 陣列上的整合式「網路負載平衡」(Network Load Balancing, NLB)。如需詳細資訊,請參閱本文中的〈附錄 A:在 ISA Server 陣列上設定 NLB〉。

對 RADIUS 伺服器驗證用戶端要求

ISA Server 2004 可以對 ISA Server 電腦上的本機帳戶驗證使用者,與 Active Directory 目錄服務伺服器 (用於 Microsoft Windows 驗證)、RSA Authentication Managers (用於 RSA SecurID 驗證),以及 Remote Authentication Dial-In User Service (RADIUS) 伺服器通訊。

RADIUS 是一種業界標準的驗證通訊協定,會透過與 RADIUS 用戶端和伺服器之間的一連串通訊來驗證使用者。RADIUS 用戶端 (在本例中,即 ISA Server) 會將使用者的相關資訊傳遞給指定的 RADIUS 伺服器,然後針對 RADIUS 伺服器傳回的回應採取行動。RADIUS 用戶端與 RADIUS 伺服器之間的交易會使用共用機密來加密,這個機密絕不會在網路上傳送。當您建立發佈規則要求 RADIUS 使用者驗證時,ISA Server 會向用戶端要求憑證,然後以使用者的資訊建立一項要求存取 RADIUS 伺服器。如需 RADIUS 驗證的詳細資訊,請參閱 RFC 2865 (英文) 和 RFC 2866 (英文) 。

當 ISA Server 採用 RADIUS 伺服器來驗證用戶端要求時,有許多優點:

  • RADIUS 伺服器不要求該 RADIUS 用戶端要屬於某個網域。因此,當將 ISA Server 設定成 RADIUS 用戶端時,ISA Server 不需要為了驗證而屬於某個網域。

  • RADIUS 通訊協定會限制為單一「使用者資料包通訊協定」(UDP) 連線。加上 ISA Server 不需要是網域成員來進行驗證,這使得 RADIUS 在周邊網路 (也稱為 DMZ、非軍事區域或屏蔽子網路) 的組態下相當實用。

  • RADIUS 伺服器上也可以定義遠端存取原則。例如,您可以指定一條遠端存取原則只允許存取特定的 Windows 群組。

當 ISA Server 採用 RADIUS 伺服器來驗證用戶端要求時,也有許多限制:

  • 對於傳入的網頁要求,只能採用未加密的「密碼驗證通訊協定」(PAP)。

  • 當建立 RADIUS 驗證的發佈規則時,您可以指定該項規則是要套用到 RADIUS 名稱區中指定的使用者還是所有的使用者。這在您想要控制特定使用者群組的存取權時,可能是項限制。不過這有因應的辦法,就是在 RADIUS 伺服器上設定遠端存取原則來指定特定使用者群組的存取權。

如需使用 ISA Server 安全地部署 RADIUS 伺服器的詳細資訊,請參閱本文中的〈附錄 B:RADIUS 伺服器組態的最佳作法〉。

案例

您想要使用 ISA Server 2004 發佈 Outlook Web Access 伺服器,讓使用者能夠從住家電腦,以及從網際網路資訊站存取他們的電子郵件。您希望 Outlook Web Access 伺服器的連線是安全的,所以只允許已驗證的使用者存取。您不希望將憑證或專利資訊存放在用戶端電腦上。ISA Server 是設定成工作群組模式,而且不是網域的一部分。

解決方案

本白皮書中所提供的解決方案是透過 Internet Security and Acceleration (ISA) Server 2004 使用郵件伺服器發佈規則來發佈 Outlook Web Access 伺服器。從外部用戶端到 ISA Server 電腦,以及從 ISA Server 電腦到 Outlook Web Access 伺服器的通訊,都會使用「安全通訊端階層」(SSL) 來加密。ISA Server 網頁接聽程式上將啟用表單型驗證,該接聽程式會接聽 Outlook Web Access 的要求。ISA Server 是安裝成工作群組模式:從外部使用者傳入的要求將會對 RADIUS 伺服器進行驗證。

網路拓撲

部署此解決方案需要下列電腦:

  • 一部在內部網路上設定為 Outlook Web Access 伺服器的電腦。Outlook Web Access 伺服器應該執行 Microsoft Windows Server 2003 或 Windows 2000 Server 加裝 Service Pack 3。

  • 一部在內部網路上的 RADIUS 伺服器 (在本例中,即 IAS)。

  • 若是 ISA Server 2004 Standard Edition:

    • 一部執行 ISA Server 2004 Standard Edition 的電腦。

  • 或 ISA Server 2004 Standard Edition:

    • 一部用作 ISA Server Configuration Storage 伺服器的電腦。

    • 陣列中最少要有兩部電腦執行 ISA Server 服務。

  • 一部在外部網路上的電腦以測試解決方案。

    附註:

    當部署 ISA Server 2004 Enterprise Edition 時,您可以使用單一電腦同時主控 Configuration Storage 伺服器和 ISA Server 服務。這個組態將不允許您使用網路負載平衡 (NLB)。

此一逐步說明會假設您已安裝 ISA Server 2004 Standard Edition 或 ISA Server 2004 Enterprise Edition。在 Enterprise Edition 的情況下,您應該已安裝一部 Configuration Storage 伺服器,和至少一個 ISA Server 陣列,您將藉此發佈 Outlook Web Access 伺服器。這些 ISA Server 元件的安裝在產品說明文件及《ISA Server 2004 入門指南》(英文) 中均有說明,文件可自 ISA Server CD 上取得,或可從產品說明文件網頁下載。

此案例也會假設 IAS 是用作為 RADIUS 伺服器。

逐步說明

規劃、安裝、設定和部署本文所述的解決方案包括下列摘要步驟:

  • 設定 RADIUS 伺服器:將 ISA Server 設定成 IAS 中的 RADIUS 用戶端,並指定共用機密。設定 RADIUS 遠端存取原則用於未加密 (PAP) 驗證。傳入網頁要求只支援未加密驗證。為了方便管理,建立一個您想要允許存取的 Active Directory 使用者帳戶群組,然後在遠端存取原則上加上一個條件來允許這個群組的存取權。群組中的所有使用者帳戶應該將撥入屬性設為 [透過遠端存取原則控制存取]。

  • 設定 Outlook Web Access 伺服器:在 Outlook Web Access 伺服器上安裝伺服器憑證,將之驗證到 ISA Server 電腦以進行 HTTPS 對 HTTPS 連線。在 Outlook Web Access 伺服器上設定 IIS 以支援 SSL 連線,並封鎖公用 (共用) 或私用電腦的附件。

  • 設定 ISA Server:在 Outlook Web Access 伺服器上取得伺服器憑證,將之驗證到要求的用戶端以進行 HTTPS 對 HTTPS 連線。在 ISA Server 中設定 RADIUS 設定,並指定在 RADIUS 伺服器上所設定的同一個共用機密。在網頁接聽程式上啟用表單型和 RADIUS 驗證,然後建立郵件伺服器發佈規則來發佈 Outlook Web Access 伺服器和設定快取。當使用 ISA Server 表單型驗證時,Outlook Web Access 伺服器不會快取任何物件。若要利用 ISA Server 快取功能,您可以建立快取規則來啟用 Outlook Web Access 所提供的影像快取。請勿啟用其他物件的快取,因為這可能會導致使用者意外登出。

  • 測試部署。

    重要::

    若要在 ISA Server 2004 Standard Edition 上同時啟用表單型驗證和 RADIUS 驗證,您必須安裝 ISA Server 2004 Standard Edition Service Pack 1,然後如知識庫文件 884560 的〈解決辦法〉(英文) 一節中所述來變更登錄機碼。

    若要在 ISA Server 2004 Enterprise Edition 上同時啟用表單型驗證和 RADIUS 驗證,請如知識庫文件 884560 的〈解決辦法〉(英文) 節中所述來變更登錄機碼。您不需要安裝任何其他更新。

設定 IAS

本節包含下列程序:

  • 安裝 IAS Server 2004

  • 將 ISA Server 設定成 RADIUS 用戶端。這包括指定共用機密,此共用機密也要在 ISA Server 電腦上設定。

  • 為允許存取 Outlook Web Access 伺服器的使用者設定 Active Directory 使用者帳戶。

  • 編輯遠端存取原則。設定遠端存取原則用於未加密 (PAP) 驗證,這是傳入網頁要求唯一支援的驗證類型。

  • 指定遠端存取原則上的存取權限。在遠端存取原則上加入一個條件允許存取您建立的使用者帳戶。

程序 1:安裝 IAS Server

IAS Server 2004 會安裝成 Windows 元件。如需相關指示,請參閱 Windows Server 2003 線上說明中的「安裝 IAS (英文) 」。安裝後,若 IAS Server 是網域成員,則必須在 Active Directory 中登錄它。如需相關指示,請參閱 Windows Server 2003 線上說明中的「啟用 IAS Server 以讀取 Active Directory 中的使用者帳戶 (英文) 」。

程序 2:將 ISA Server 設定成 RADIUS 用戶端

當將 ISA Server 設定成 RADIUS 用戶端時,請確定您在 RADIUS 伺服器上指定的設定跟您稍後在 ISA Server 管理主控台中設定 IAS 伺服器時設定的是一樣的。

將 ISA Server 設定成 RADIUS 用戶端

  1. 在執行 IAS 的電腦上,按一下 [開始],指向 [系統管理工具],然後按一下 [Internet Authentication Service]。

  2. 安裝後,若 RADIUS 伺服器是網域成員,則必須在 Active Directory 中登錄它。若要登錄,以滑鼠右鍵按一下 [Internet Authentication Service] 根節點,再按 [Active Directory 中的登錄伺服器]。

  3. 從 Internet Authentication Service 管理主控台,以滑鼠右鍵按一下 [RADIUS Clients] 資料夾,再按 [新增 RADIUS 用戶端]。

  4. 在 [名稱和位址] 頁面上的 [易記名稱],輸入 ISA Server 電腦的名稱。

  5. 在 [用戶端位址 (IP 或 DNS)] 中,輸入 ISA Server 將藉以存取 RADIUS 伺服器之介面卡的 IP 位址 (通常是 ISA Server 內部介面卡)。

    附註:

    在有多伺服器陣列的 ISA Server 2004 Enterprise Edition 環境中,將每個陣列成員定義成 RADIUS 用戶端。

    您可以為 RADIUS 用戶端指定 IP 位址或 DNS 名稱。在大多數情況下,指定 IP 位址比較有效率,因為這可避免 IAS 在啟動時需要解析用戶端名稱。如果您使用的是 Windows Server 2003 企業版或 Windows Server 2003 Datacenter Edition,可以使用 IP 位址範圍來指定 RADIUS 用戶端。該範圍中的所有 RADIUS 用戶端都必須是使用相同的組態和共用機密。如需關於表達 RADIUS 用戶端此類位址範圍的詳細資訊,請參閱 Windows Server 2003 線上說明中的「設定 RADIUS 用戶端 (英文) 」。

  6. 按一下 [下一步]。

  7. 在 [其他資訊] 頁面上的 [用戶端廠商] 中,確定已選取 [RADIUS Standard]。在 [共用機密] 中指定密碼,並在 [確認共用機密] 中,確認該密碼。

  8. 或者,可改選 [Request must contain the Message Authenticator] 屬性。

  9. 按一下 [完成]。

    附註:

    在 IAS 電腦上透過遠端存取原則的方式來控制存取,比光以發佈規則來控制使用者存取要有彈性得多。當建立 RADIUS 驗證的發佈規則時,您可以指定該項規則是要套用到 RADIUS 名稱區中指定的使用者還是所有的使用者。如果您想要將規則套用到指定的使用者群組,在遠端存取原則上設定存取權限是個蠻實用的辦法。

程序 3:設定 Active Directory 使用者帳戶

為了方便存取控制管理,您將建立一個 Windows 帳戶來包含將允許存取 Outlook Web Access 伺服器的使用者帳戶。然後將撥入權限指定給該群組帳戶。

為 ISA Server 設定 Active Directory 使用者帳戶

  1. 按一下 [開始],指向 [系統管理工具],再按一下 [Active Directory 使用者和電腦]。

  2. 在主控台樹狀目錄中,按一下以展開想要加入新群組的網域名稱。

  3. 以滑鼠右鍵按一下 [使用者],指向 [新增],再按一下 [群組]。

  4. 鍵入新群組的名稱,例如 OWA_Clients

  5. 在 [群組領域] 中,選取 [全域網域]。

  6. 在 [群組類型] 中,選取 [安全性]。

    現在您將指定撥入權限給要加入群組的使用者帳戶。

  7. 在 [Active Directory 使用者和電腦] 的主控樹狀目錄中,按一下您要加入群組的使用者所在的網域名稱。

  8. 對於每個您要加入 OWA_Clients 群組的使用者,請執行下列動作:

    • 在使用者名稱上按一下右鍵,再按一下 [內容]。

    • 在 [撥入] 索引標籤上,確定已選取 [透過遠端存取原則控制存取],再按一下 [確定]。

    現在您將加入使用者帳戶到群組中。

  9. 在 [Active Directory 使用者和電腦] 的主控樹狀目錄中,按一下群組帳戶所在的網域名稱。

  10. 在詳細資料窗格中,以滑鼠右鍵按一下群組,再按 [內容]。

  11. 在 [成員] 索引標籤上,按一下 [新增]。

  12. 在 [輸入要選取的物件名稱] 中,鍵入要加入群組的使用者名稱,再按一下 [確定]。

    附註:

    透過遠端存取原則控制使用者存取的選項只能用於 Windows Server 2003 網域或 Windows 2000 原生模式。

程序 4:確認遠端存取原則

在此程序中,您將修改 [到其他存取伺服器的連線 (Connections to other access servers)] 預設存取原則。

確認遠端存取原則

  1. 在 Internet Authentication Service 主控台中,按一下 [遠端存取原則],然後在詳細資料窗格中,按兩下 [到其他存取伺服器的連線 (Connections to other access servers)]。

  2. 在 [設定] 索引標籤上,按一下 [編輯設定檔]。

  3. 在 [驗證] 索引標籤上,確定已選取 [未加密驗證 (PAP,SPAP)],再按一下 [確定]。

    附註:

    若要啟用 IAS for PAP,須針對每一設定檔的 IAS 設定進行。

    未加密驗證只能用於傳入網頁要求。

程序 5:在遠端存取原則上指定存取權限

在遠端存取原則上設定存取權限

  1. 在 Internet Authentication Service 主控台中,按一下 [遠端存取原則],然後在詳細資料窗格中,按兩下 [到其他存取伺服器的連線 (Connections to other access servers)] 遠端存取原則。

  2. 在 [設定] 索引標籤上,按一下 [授與遠端存取使用權限]。

  3. 在 [設定] 索引標籤上,按一下 [新增]。

  4. 在 [屬性類型] 清單中,按一下 [Windows-群組],再按 [新增]。

  5. 在 [群組] 對話方塊中按一下 [新增]。

  6. 在 [選取群組] 對話方塊中,指定允許存取的群組 (在本例中,即您在 Active Directory 中設定的 OWA_Clients 群組)。按一下 [確定] 以關閉對話方塊。

  7. 按一下 [確定] 以關閉 [群組] 對話方塊,再按 [確定] 關閉遠端存取原則內容。

    附註:

    您可以選取 [拒絕遠端存取使用權限] 當作是拒絕存取指定 Windows 群組的方法。例如,您可以設定 Outlook Web Access 發佈規則來允許存取 RADIUS 名稱區中的所有使用者,然後設定遠端存取原則來排除指定的群組。

設定 Outlook Web Access

本節包含下列程序:

  • 在 Outlook Web Access 伺服器上設定伺服器憑證

  • 需要 SSL 以連線至 Outlook Web Access 伺服器。

程序 1:在 Outlook Web Access 伺服器上設定伺服器憑證

在此案例中,會保留從外部用戶端到 ISA Server,以及從 ISA Server 到已發佈的 Outlook Web Access 伺服器的 SSL 連線。對外部用戶端驗證 ISA Server 時需要有伺服器憑證,而 Outlook Web Access 伺服器上需要有伺服器憑證才能對 ISA Server 驗證。如需設定伺服器憑證的相關資訊和指示,請參閱〈ISA Server 2004 的數位憑證〉(英文)。

附註:

建議的 Outlook Web Access 發佈組態是,從外部用戶端到 ISA Server,以及從 ISA Server 電腦到 Outlook Web Access 伺服器皆使用 SSL 加密的通訊 (HTTPS)。ISA Server 並不支援將 HTTP 要求從外部用戶端作為 HTTPS 轉送到 Outlook Web Access 伺服器的 Outlook Web Access 發佈規則。如果您建立一個將 HTTPS 要求從外部用戶端作為 HTTPS 轉送到 Outlook Web Access 伺服器的發佈規則,那麼請不要啟用連結轉譯。

程序 2:在 IIS 上啟用 SSL

在 Outlook Web Access 伺服器上,設定 IIS 僅供 SSL 通訊。

設定 IIS 進行 SSL 通訊

  1. 開啟 [Internet 服務管理員] 主控台或當中包含網際網路資訊服務 (IIS) 嵌入式管理單元的自訂 Microsoft Management Console (MMC)。依序展開伺服器節點、[預設網站] 節點,選取 [虛擬路徑/Exchange],然後按一下 [內容]。

  2. 按一下 [目錄安全性] 索引標籤,並在 [安全通訊] 群組中,按一下 [編輯]。

  3. 在 [安全通訊] 對話方塊中,選取 [必須使用安全通道 (SSL)] 核取方塊,再按一下 [確定]。

  4. 對虛擬路徑 /public 重複這些步驟。

  5. 對虛擬路徑 /exchweb 重複這些步驟。另外為 /exchweb 設定下列內容:

    • 在 [目錄安全性] 索引標籤上的 [驗證和存取控制] 群組中,按一下 [編輯]。確認已選取 [啟用匿名存取],而所有其他已驗證存取核取方塊全都已清除。

    重要::

    Exchange Server 2003 有提供啟用表單型驗證的選項。請勿選取此選項,因為它不能用於 ISA Server 郵件發佈規則。表單型驗證應該在 ISA Server 電腦上設定。

設定 ISA Server

本節包含下列程序:

  • 備份目前的組態設定:建議您在進行任何變更之前,先備份陣列組態。如果您所做的變更引發非預期的行為,可將之還原到之前的備份組態。

  • 在 ISA Server 電腦上安裝伺服器憑證:ISA Server 上並沒有安裝 IIS,因此您不能直接在 ISA Server 管理主控台中要求憑證。而應該在 Outlook Web Access 上為 ISA Server 要求一個憑證,將之匯出後,再將憑證和私密金鑰一起匯入到 ISA Server 電腦。

  • 設定 RADIUS 伺服器設定:指定 ISA Server 應該用於驗證的 RADIUS 伺服器、伺服器的共用機密 (在 ISA Server 和 RADIUS 伺服器上必須相同)、RADIUS 伺服器對傳入驗證要求所使用的連接埠 (預設是 UDP 埠 1812)、重試要求的等候逾時時間,以及是否應該使用訊息驗證。

  • 啟用系統原則:您必須啟用 RADIUS 系統原則以允許 ISA Server (本機主機網路) 到內部網路的 RADIUS 流量。這項規則假設 RADIUS 伺服器是位於內部網路中。您可以修改此規則來指名指定的 RADIUS 伺服器,而不是整個內部網路。

  • 建立網頁接聽程式:建立網頁接聽程式來接聽指定網路 (在此例中,即外部網路) 上的 Outlook Web Access 要求。設定網頁接聽程式只接聽安全的 HTTPS 要求。

  • 在網頁接聽程式上設定驗證和表單型設定:在網頁接聽程式上要求以 RADIUS 進行表單型驗證,並指定表單型驗證對話方塊的設定。

  • 要求使用者必要時,在 Exchange 中儲存附件。當設定表單型設定時,您可以完全封鎖透過 Outlook Web Access 收到的附件,讓使用者無法開啟或儲存任何附件。如果您不想封鎖附件,請注意有些附件 (像是 Windows Media 檔案和 Excel 試算表) 並不能直接從遠端連線到 Outlook Web Access 伺服器的用戶端來開啟。這些檔案必須儲存在本機後才能開啟。您可以設定 Exchange Server 2003 和 Exchange 2000 Server 強制使用者儲存附件來避免此問題。Exchange Server 5.5 中無法使用此功能。

  • 為 RADIUS 使用者建立使用者組:RADIUS 驗證並不能識別 Windows 安全性群組。反而是為發佈原則建立 RADIUS 使用者組。

  • 建立郵件伺服器發佈原則:建立規則將 Outlook Web Access 伺服器發佈到網際網路。

  • 建立快取規則:當使用 ISA Server 表單型驗證時,Outlook Web Access 伺服器不會快取任何物件。若要利用 ISA Server 快取功能,您可以建立快取規則來啟用 Outlook Web Access 所提供的影像快取。請勿啟用其他物件的快取,因為這可能會導致使用者意外登出。

程序 1:備份目前的組態設定

在此程序中,您會將 ISA Server 電腦的完整組態備份成 .xml 文件。

備份目前的組態設定

  1. 在 ISA Server 管理主控台,展開 [Microsoft Internet Security and Acceleration Server 2004]。

    • 若是 Standard Edition,以滑鼠右鍵按一下 [Server_Name],再按 [匯出] 以啟動「匯出精靈」。

    • 若是 Enterprise Edition,展開 [陣列],以滑鼠右鍵按一下您要藉之發佈 Outlook Web Access 的陣列,再按 [匯出 (備份)] 以啟動「匯出精靈」。

  2. 在 [歡迎] 畫面上,按一下 [下一步]。

  3. 在 [匯出喜好設定] 頁面上,選取下列選項:

    • 您可以選擇匯出憑證資訊。若選擇匯出,憑證資訊會在匯出過程中加密。如果您想要匯出憑證資訊,選取 [匯出憑證資訊] 並提供密碼。

    • 您可以選擇匯出使用者權限,方法是選取 [匯出使用者權限設定值]。使用者權限設定值包含 ISA Server 使用者的安全性角色 (例如,指名誰具有系統管理權利)。

  4. 按一下 [下一步]。

  5. 在 [匯出檔案位置] 頁面,提供您要在當中儲存組態的檔案位置和名稱。選擇一個有意義的名稱,並考慮在檔名中包含日期。按一下 [下一步]。

  6. 在 [完成匯出精靈] 頁面上,按一下 [完成]。

  7. 匯出完成時,按一下 [確定]。

    附註:

    因為 .xml 文件是用作備份,所以應該在另外一部電腦另存一份副本,以防發生嚴重失敗。

程序 2:在 ISA Server 電腦上安裝伺服器憑證

在此案例中,會保留從外部用戶端到 ISA Server,以及從 ISA Server 到已發佈的 Outlook Web Access 伺服器的 SSL 連線。在這類的案例中,對外部用戶端驗證 ISA Server 需要有伺服器憑證。這通常是透過商業授權單位 (CA) 的憑證完成。對 ISA Server 驗證 Outlook Web Access 時也需要伺服器憑證。若是 ISA Server 2004 Enterprise Edition,您需要在每個陣列成員上準備和安裝相同的伺服器憑證。如需設定伺服器憑證的相關資訊和指示,請參閱〈ISA Server 2004 的數位憑證〉(英文)。

程序 3:設定 RADIUS 伺服器設定

下列程序將引導您在 ISA Server 管理主控台中完成設定 RADIUS 伺服器。RADIUS 伺服器是在陣列層級設定,這表示您不必為指定的陣列成員指定 RADIUS 伺服器。

設定 RADIUS 伺服器設定

  1. 在 ISA Server 管理主控台,按一下 [一般] 節點。

    • 若是 Standard Edition,依序展開 [Microsoft Internet Security and Acceleration Server 2004]、[Server_Name]、[組態],再按一下 [一般]。

    • 若是 Enterprise Edition,依序展開 [Microsoft Internet Security and Acceleration Server 2004]、[陣列]、[Array_Name]、[組態],再按一下 [一般]。

  2. 在詳細資料窗格中,按一下 [定義 RADIUS 伺服器]。

  3. 在 [RADIUS 伺服器] 索引標籤上,按一下 [新增]。

  4. 在 [伺服器名稱] 中,鍵入要用於驗證之 RADIUS 伺服器的名稱或 IP 位址。(在此例中,IAS 伺服器是位於 IP 位址為 10.0.0.1 的內部網路中)。

  5. 按一下 [變更],並在 [新機密] 和 [確認新機密] 中,鍵入要用在 ISA Server 電腦與 RADIUS 伺服器之間通訊的共用機密。確定指定的是您在 RADIUS 伺服器上將 ISA Server 設定為用戶端時所輸入的同一個機密。

  6. 在 [連接埠] 中,指定 RADIUS 伺服器對傳入 RADIUS 驗證要求所使用的 UDP 連接埠。預設值 1812 是根據 RFC 2138 而得。

  7. 在 [逾時 (秒)] 中,指定 ISA Server 在嘗試替代伺服器之前從 RADIUS 伺服器試著取得回應的時間 (以秒計)。

    附註:

    您指定的 RADIUS 伺服器設定會套用到所有接聽程式或採用 RADIUS 驗證的網路網路物件。

程序 4:啟用系統原則

啟用 ISA Server 的系統原則

  1. 在 ISA Server 管理主控台,以滑鼠右鍵按一下 [防火牆原則] 節點。

    • 若是 Standard Edition,依序展開 [Microsoft Internet Security and Acceleration Server 2004]、[Server_Name]、[組態],再以滑鼠右鍵按一下 [防火牆原則]。

    • 若是 Enterprise Edition,依序展開 [Microsoft Internet Security and Acceleration Server 2004]、[陣列]、[Array_Name],再以滑鼠右鍵按一下 [防火牆原則]。

  2. 在 [工作] 索引標籤上,按一下 [編輯系統原則]。

  3. 在 [組態群組] 清單的 [驗證服務] 區段中,按一下 [RADIUS]。

  4. 在 [一般] 索引標籤上,確定已選取 [啟用]。

程序 5:建立網頁接聽程式

建立網頁接聽程式

  1. 在 ISA Server 管理主控台,以滑鼠右鍵按一下 [防火牆原則] 節點。

    • 若是 Standard Edition,依序展開 [Microsoft Internet Security and Acceleration Server 2004]、[Server_Name]、[組態],再以滑鼠右鍵按一下 [防火牆原則]。

    • 若是 Enterprise Edition,依序展開 [Microsoft Internet Security and Acceleration Server 2004]、[陣列]、[Array_Name],再以滑鼠右鍵按一下 [防火牆原則]。

  2. 在 [工具箱] 索引標籤上,按一下 [網路物件]。在 [網路物件] 下的工具列上,按一下 [新增],再按 [網頁接聽程式]。

  3. 在「新增網頁接聽程式精靈」的 [歡迎] 畫面上,鍵入新網頁接聽程式的名稱 (例如 Listener on External network for internal Web publishing),再按一下 [下一步]。

  4. 在 [IP 位址] 頁面上,選取將接聽網頁要求的網路。在此例中,ISA Server 將接收來自外部網路的要求,因此您應該選取 ISA Server 的外部網路介面卡上的其中一個或多個 IP 位址。若要這麼做,請選取 [外部]。不要按 [下一步]。

  5. 按一下 [位址] 按鈕來選取外部網路上的指定位址。預設的選項是接聽網路上所有的 IP 位址。

    外部網路接聽程式 IP 選取範圍

    附註:

    • 在 ISA Server 2004 Enterprise Edition 中已啟用 NLB,因此 IP 位址的清單會同時指明專用 IP 位址和虛擬 IP 位址。

    • 建議您選取 [在此網路上網路介面卡的預設 IP 位址]。這將選取 ISA Server 2004 Standard Edition 中 ISA Server 網路介面卡上的預設 IP 位址,或 ISA Server 2004 Enterprise Edition 中 ISA Server 陣列的網路介面卡上預設的 IP 位址。在 Enterprise Edition NLB 的案例中,這將選取預設的虛擬 IP 位址。

    • 如果您已啟用 NLB,也建立了一個以上的 IP 位址,那麼應該選取 [ISA Server 電腦上位於所選網路中的指定 IP 位址],然後在 [可用的 IP 位址] 清單中選取指定的虛擬 IP 位址。

  6. 按一下 [確定],再按 [IP 位址] 頁面上的 [下一步]。

  7. 在 [連接埠規格] 頁面上,清除 [啟用 HTTP]。

  8. 選取 [啟用 SSL],並確認 [SSL 連接埠] 已設為 443 (預設設定)。

  9. 在 [憑證] 欄位中提供憑證名稱。若要這麼做,按一下 [選取] 來選取您安裝的憑證,按一下 [確定],再按 [下一步]。

    新增網頁接聽程式

    重要::

    對於 Outlook Web Access 發佈,請只使用標準連接埠號碼 (預設設定)。

  10. 在 [完成新增網頁接聽程式精靈] 頁面上,檢閱設定,再按一下 [完成]。

程序 6:在網頁接聽程式上設定驗證

在網頁接聽程式上設定驗證

  1. 在 ISA Server 管理主控台中,以滑鼠右鍵按一下 [防火牆原則] 節點,如下所示:

    • 若是 Standard Edition,依序展開 [Microsoft Internet Security and Acceleration Server 2004]、[Server_Name],再以滑鼠右鍵按一下 [防火牆原則]。

    • 若是 Enterprise Edition,依序展開 [Microsoft Internet Security and Acceleration Server 2004]、[陣列]、[Array_Name],再以滑鼠右鍵按一下 [防火牆原則]。

  2. 在 [工具箱] 索引標籤上,按一下 [網路物件]。展開 [網頁接聽程式]。按兩下您為 Outlook Web Access 建立的網頁接聽程式來開啟內容頁面。

  3. 在 [喜好設定] 索引標籤上的 [設定允許的驗證方法] 下,按一下 [驗證]。

  4. 在驗證方法的清單中,清除除 [OWA 表單型] 以外的所有驗證方法。

    重要::

    您無法在 ISA Server 管理主控台中同時選取 OWA 表單型和 RADIUS 驗證方法。搭配使用表單型驗證與 RADIUS 伺服器的因應辦法如下:

    若要在 ISA Server 2004 Standard Edition 上同時啟用表單型驗證和 RADIUS 驗證,您必須安裝 ISA Server 2004 Standard Edition Service Pack 1,然後如知識庫文件 884560 的〈解決辦法〉(英文) 一節中所述來變更登錄機碼。

    若要在 ISA Server 2004 Enterprise Edition 上同時啟用表單型驗證和 RADIUS 驗證,請如知識庫文件 884560 的〈解決辦法〉(英文) 節中所述來變更登錄機碼。您不需要安裝任何其他更新。

  5. 按一下 [選擇 RADIUS 伺服器來驗證] 旁邊的 [RADIUS 伺服器],並確定所有組態設定均指定正確。按一下 [確定] 以關閉對話方塊。

  6. 按一下 [設定 OWA 表單型驗證] 旁邊的 [設定],以開啟 [OWA 表單型驗證] 對話方塊。

  7. 在 [閒置工作階段逾時] 下,設定用戶端可保持閒置而不被斷線的最長時間。一般而言,您應該將 [公用電腦上的用戶端] 允許的閒置時間設定得比 [斯用電腦上的用戶端] 還短。這可降低使用者在離開公用電腦而忘記登出時,電子郵件帳戶被人存取的風險。請注意這是用於所有網頁接聽程式的全域設定。

  8. 在 [電子郵件附件] 下,您可以選擇封鎖公用和私用電腦的電子郵件附件。在公開的網際網路終端機開啟附件有可能危及公司安全性,因此您可能要封鎖該存取。

  9. 假如您希望使用者在關閉 Internet Explorer 視窗、重新整理視窗或導覽至其他網站時自動登出,則可以選取 [當使用者離開 OWA 網站時登出 OWA]。這可提供另一層安全性,如此一來,若您的使用者導覽離開 Outlook Web Access 但沒有登出或關閉瀏覽器,其他使用者就無法存取公司郵件。

  10. 按一下 [確定] 以關閉網頁接聽程式內容。在 [防火牆原則] 詳細資料窗格中,按一下 [套用] 以套用您所做的變更。

程序 7:要求將附件儲存在 Exchange 中

如之前的程序中所述,您可以完全封鎖透過 Outlook Web Access 收到的附件,讓使用者無法開啟或儲存任何附件。

如果您不封鎖附件,請注意有些附件 (像是 Windows Media 檔案和 Excel 試算表) 並不能直接從遠端連線到 Outlook Web Access 伺服器的用戶端來開啟。任何嘗試開啟此類檔案的動作都將造成與檔案相關的應用程式失敗。這些檔案必須儲存在本機後才能開啟。您可以設定 Exchange Server 2003 和 Exchange 2000 Server 強制使用者儲存附件來避免此問題。Exchange Server 5.5 中無法使用此功能。

若要強制使用者儲存附件,可在 Exchange Server 電腦上設定下列登錄機碼:

HKLM\SYSTEM\CurrentControlSet\Services\MSExchangeWEB\OWA\Level2FileTypes

此登錄值會指定一組有可能是危險附件的副檔名。符合這些類型的附件將不會自動開啟。反而會提示使用者將附件儲存到他們的電腦本機。

附註:

您無法設定 Exchange Server 5.5 來要求儲存附件。

程序 8:為 RADIUS 使用者建立使用者組

RADIUS 驗證並不能識別 Windows 安全性群組。反而是建立 RADIUS 使用者組用於該發佈原則。

為 RADIUS 使用者建立使用者組

  1. 在 ISA Server 管理主控台中,按一下 [防火牆原則] 節點。

    • 若是 Standard Edition,依序展開 [Microsoft Internet Security and Acceleration Server 2004]、[Server_Name],再以滑鼠右鍵按一下 [防火牆原則]。

    • 若是 Enterprise Edition,依序展開 [Microsoft Internet Security and Acceleration Server 2004]、[陣列]、[Array_Name],再以滑鼠右鍵按一下 [防火牆原則]。

  2. 在 [工具箱] 索引標籤上,按一下 [使用者],再按 [新增] 功能表。

  3. 在「新增使用者組精靈」的 [歡迎] 畫面,鍵入新群組的名稱。例如,RADIUS_Users。

  4. 在 [使用者] 頁面上,按一下 [新增],再按 [RADIUS]。

  5. 在 [新增使用者] 對話方塊中,按一下 [名稱區中的所有使用者],再按 [確定]。

    附註:

    若要加入個別使用者 (而不是所有的 RADIUS 使用者),您必須像使用者在驗證頁面中鍵入憑證一樣來鍵入指定的使用者名稱 (例如 Domain\UserName 或 UserName)。

  6. 按一下 [下一步],再按 [完成] 來完成精靈。

  7. 按一下 [套用] 以套用變更。

    附註:

    當您為名稱區中的所有使用者建立 RADIUS 使用者組,然後在規則中指定它時,如果 RADIUS 沒有在遠端存取原則上設定存取限制,那麼它將允許它在 Active Directory (若 IAS 是網域成員的話),或本機 (若 IAS 為工作模式的話) 中成功驗證的任何使用者。在本文中所述的案例中,這項規則會套用於名稱區中的所有使用者,而且在遠端存取原則上會建立一項限制,只允許特定的 Windows 群組存取。

程序 9:建立郵件發佈規則

在此程序中,您將使用「新增郵件伺服器發佈規則精靈」來建立一條新的郵件發佈規則。

建立郵件伺服器發佈原則

  1. 在 ISA Server 管理主控台中,按一下 [防火牆原則] 節點,如下所示:

    • 若是 Standard Edition,依序展開 [Microsoft Internet Security and Acceleration Server 2004]、[Server_Name]],再按一下 [防火牆原則]。

    • 若是 Enterprise Edition,依序展開 [Microsoft Internet Security and Acceleration Server 2004]、[陣列]、[Array_Name] (將發佈 Outlook Web Access 的陣列),再按一下 [防火牆原則]。

  2. 在 [防火牆] 工作窗格中的 [工作] 索引標籤上,選取 [發佈郵件伺服器] 來啟動「新增郵件伺服器發佈規則精靈」。

  3. 在精靈的 [歡迎] 畫面上,為規則提供名稱,再按一下 [下一步]。

  4. 在 [選取存取類型] 頁面上,選取 [網頁用戶端存取:Outlook Web Access (OWA)、Outlook Mobile Access、Exchange Server ActiveSync],再按一下 [下一步]。

  5. 新增郵件伺服器發佈規則精靈

  6. 在 [選取服務] 頁面上,選取 [Outlook Web Access]。

    附註:

    預設會啟用 [啟用非英文字元組使用的高位元字元]。這允許在一些非英文語言中使用 DBCS 或 Latin 1 字元。假如您清除此選項,則使用這些字元的要求將遭到封鎖。

  7. 在 [橋接模式] 頁面上,選取 [到用戶端和郵件伺服器的安全連線],讓雙方的通訊管道可受到數位憑證的保護。按一下 [下一步]。

    橋接模式

  8. 在 [指定網頁郵件伺服器] 頁面上,輸入 Outlook Web Access 伺服器的 FQDN 或 IP 位址。此名稱必須與 Outlook Web Access 伺服器數位憑證上的名稱一致。按一下 [下一步]。

  9. 在 [公用名稱詳細資料] 頁面上,提供 ISA Server 電腦將收到什麼樣的要求然後轉送到 Outlook Web Access 伺服器的相關資訊。在 [接受要求] 中,如果您選取 [任何網域名稱],則任何解析成 ISA Server 電腦外部網頁接聽程式的 IP 位址的要求,都將轉送到您的 Outlook Web Access 伺服器。如果選取 [此網域名稱],並提供指定的網域名稱,如 mail.fabrikam.com (假設網域是解析成 ISA Server 電腦外部網頁接聽程式的 IP 位址),則只有 https://mail.fabrikam.com 的要求會轉送到您的 Outlook Web Access 伺服器。按一下 [下一步]。

    附註:

    公用名稱必須與 ISA Server 陣列上的數位憑證名稱一致。

  10. 在 [選取網頁接聽程式] 頁面上,選取之前建立的安全網頁接聽程式,再按一下 [下一步]。

  11. 在 [使用者組] 頁面上,選取 [所有使用者],再按一下 [移除]。

  12. 按一下 [新增],然後在 [新增使用者] 對話方塊中,選取您建立的 RADIUS 使用者群組。按一下 [新增],再按 [關閉]。按一下 [下一步]。

  13. 在 [完成新增郵件伺服器發佈規則精靈] 頁面上,捲動以檢視規則組態,確定已正確設定規則。按一下 [完成]。

  14. 在 ISA Server 詳細資料窗格中,按一下 [套用] 以套用您所做的變更。套用變更將會花一小段時間。

程序 10:建立快取規則

建立快取規則

  1. 在 ISA Server 管理主控台中,按一下 [快取] 節點。

    • 若是 Standard Edition,依序展開 [Microsoft Internet Security and Acceleration Server 2004]、[Server_Name]、[組態],再按一下 [快取]。

    • 若是 Enterprise Edition,依序展開 [Microsoft Internet Security and Acceleration Server 2004]、[陣列]、[Array_Name]、[組態],再按一下 [快取]。

  2. 在詳細資料窗格中,按一下 [快取規則] 索引標籤。

  3. 在工作窗格中的 [工作] 索引標籤上,選取 [建立快取規則] 來啟動「新增快取規則精靈」。

  4. 在精靈的 [歡迎] 畫面上,為規則提供名稱,再按一下 [下一步]。

  5. 在 [快取規則目的地] 頁面上,指定只包含 http:// NameOfOutlookWebAccessServer /exchweb/img/* 的 URL 組。

  6. 在 [內容擷取] 頁面上,保留預設選項 [只有在有效版本的物件存在快取中],再按一下 [下一步]。

  7. 在 [快取內容] 頁面上,選取 [如果來源和要求標頭標示要快取] 和 [擷取時要求使用者驗證的內容]。將所有其他選項保留為預設設定。接著按一下 [下一步]。

  8. 您可以在其餘的精靈頁面上使用預設選項。檢閱精靈摘要頁面上的資訊,再按一下 [完成]。

測試和監視部署

本節包含下列程序:

  • 測試外部用戶端對 Outlook Web Access 伺服器的存取

  • 測試 Outlook Mobile Access

  • 測試 Exchange ActivSync

程序 1:測試 Outlook Web Access

測試 Outlook Web Access

外部用戶端要是可以將完整格式網域名稱解析為 ISA Server 電腦的 IP 位址的話,就可存取 Outlook Web Access 伺服器。這通常可以透過向公用 DNS 伺服器登錄公用網際網路網域名稱來達成,該公用 DNS 伺服器會將網站名稱對應到 ISA Server 的外部 IP 位址。若要在實驗室環境中測試部署,您可以在位於下列路徑下的用戶端主機電腦中,使用 Microsoft 記事本指定網站主機名稱解析資訊:\system32\drivers\etc\hosts in the Windows installation directory。

若要從外部用戶端連線到 Outlook Web Access 網站,請鍵入網址,如 https://mail.fabrikam.com/exchange。請確定在 URL 中指定 https,如下所示。

當連線時,您應該會看到一個登入頁面要求提供憑證和工作階段類型 (公用或私用)。您必須提供此項資訊之後才能存取您的信箱。

假如您有設定逾時或封鎖附件,您可以不使用瀏覽器一段時間,以及嘗試存取郵件,並嘗試開啟或存取郵件來測試這些功能。

程序 2:測試 Outlook Mobile Access

從可存取網際網路的電腦使用 Internet Explorer 連線到您的 Outlook Mobile Access DNS 位址,並確定 Outlook Mobile Access 能正常運作。

附註:

雖然 Outlook Mobile Access 並不支援 Internet Explorer 用戶端,用來測試是否能與 Exchange 前端伺服器通訊還是蠻有用的。如需詳細資訊,請參閱〈設定 Outlook Mobile Access〉(英文)。

在使用 Outlook Mobile Access 順利連線到 Exchange 伺服器後,確認您可以使用具有網際網路連線能力的受支援行動裝置連線到您的 Exchange 伺服器。

程序 3:測試 Exchange ActivSync

使用 Exchange ActiveSync 設定行動裝置連線到您的 Exchange 伺服器,以確保 ISA Server 和 Exchange ActiveSync 都能正常運作。如需相關指示,請參閱〈如何設定行動裝置來使用 Exchange ActiveSync〉(英文)。

附註:

您也可以使用 Internet Explorer 來測試 Exchange ActiveSync。開啟 Internet Explorer,並在 [位址] 中,鍵入 URL https:// published_server_name /Microsoft-Server-Activesync ,其中 published_server_name 是 Outlook Web Access 伺服器的發佈名稱 (使用者用來存取 Outlook Web Access 的名稱)。在自行驗證之後,假如您收到錯誤 501/505- 未實作或不支援,表示 ISA Server 和 Exchange ActiveSync 一起運作正常。

程序 4:在 ISA Server 記錄檔中檢視 Outlook Web Access 工作階段資訊

假如規則內容的 [執行] 索引標籤上已選取 [記錄符合這個規則的要求],則 ISA Server 會記錄符合郵件伺服器發佈規則的要求 (這是預設條件)。

檢查郵件伺服器發佈規則的記錄內容

  1. 在 ISA Server 管理主控台中,按一下 [防火牆原則] 節點。

  2. 若是 Standard Edition,依序展開 [Microsoft Internet Security and Acceleration Server 2004]、[Server_Name],再按一下 [防火牆原則]。

  3. 若是 Enterprise Edition,依序展開 [Microsoft Internet Security and Acceleration Server 2004]、[陣列]、[Array_Name],再按一下 [防火牆原則]。

  4. 在詳細資料窗格中,按兩下郵件伺服器發佈規則以開啟 [Outlook Web Access 內容] 對話方塊。

  5. 選取 [執行] 索引標籤,並確認已選取 [記錄符合這個規則的要求]。

    OWA 內容

  6. 按一下 [確定] 以關閉 [Outlook Web Access 內容] 對話方塊。

檢視郵件伺服器發佈規則記錄檔

  1. 在 ISA Server 管理主控台中,按一下 [監視] 節點。

  2. 在 [監視] 詳細資料窗格中,選取 [記錄]。

  3. 建立一個篩選器,這樣一來就只會收到關於 Outlook Web Access 存取嘗試的記錄資訊。在工作窗格中的 [工作] 索引標籤上,按一下 [編輯篩選器] 以開啟 [編輯篩選器] 對話方塊。篩選器有三個預設條件,即指定記錄時間是即時的,應該提供防火牆和網頁 Proxy 兩者的記錄資訊,以及不應該提供連線狀態。您可以編輯這些條件,並加入其他條件來限制查詢期間擷取的資訊。

  4. 選取 [記錄時間]。從 [條件] 下拉式功能表選取 [前 24 小時],再按一下 [更新]。

  5. 您可以從 [由以下篩選] 下拉式功能表選取項目來加入其他運算式,然後提供 [條件] 和 [值]。例如,要限制記錄只顯示對您發佈的網頁伺服器的存取,請使用這些運算式:由以下篩選記錄檔記錄類型條件等於網頁 Proxy 篩選器,以及由以下篩選服務條件等於反向 Proxy。這會將記錄檔限制為只符合網頁發佈規則的項目,包括 Outlook Web Access 發佈規則,

  6. 在建好運算式之後,按一下 [加入清單] 將之加入查詢清單中,再按 [開始查詢]。[開始查詢] 指令也可在 [工作] 索引標籤上的工作窗格中找到。

程序 5:監視 RADIUS 伺服器

為 ISA Server 監視 RADIUS 伺服器

  1. 在 ISA Server 管理主控台中,按一下 [監視] 節點。

    • 若是 Standard Edition,依序展開 [Microsoft Internet Security and Acceleration Server 2004]、[Server_Name],再按一下 [監視]。

    • 若是 Enterprise Edition,依序展開 [Microsoft Internet Security and Acceleration Server 2004]、[陣列]、[Array_Name],再以滑鼠右鍵按一下 [監視]。

  2. 在詳細資料窗格中,按一下 [連線能力] 索引標籤。

  3. 在工作窗格中的 [工作] 索引標籤上,按一下 [建立新連線能力檢查器]。

  4. 在精靈的 [歡迎] 畫面上,鍵入連線能力檢查器的名稱,再按一下 [下一步]。

  5. 在 [連線能力檢查詳細資料] 頁面上,執行下列動作:

    • 在 [監視到這個伺服器或 URL 的連線能力] 中,鍵入 RADIUS 伺服器的名稱。

    • 在 [檢查方法] 中,選取 [傳送 Ping 要求]。

    • 按一下 [下一步],再按 [完成]。

  6. 在詳細資料窗格中,選取您剛剛建立的規則。

  7. 在 [工作] 索引標籤上,按一下 [編輯選取的檢查器]。

  8. 在 [內容] 索引標籤上,確認已選取 [如果伺服器回應不在指定的等候逾時時間內,觸發警訊]。

    附註:

    如果您無法與 RADIUS 伺服器通訊,檢查 Windows 防火牆沒有封鎖執行 RADIUS 伺服器的電腦上的流量。如需詳細資訊,請參閱〈Windows 防火牆:IAS〉(英文)。

其他資訊

ISA Server 2004 Guidance 網頁尚有提供其他的 ISA Server 2004 說明文件。

如需如何在 Exchange Server 2003 中部署 Outlook Web Access 的相關資訊,請參閱《Exchange 2003 部署指南

如需如何在 Exchange 2000 Server 部署 Outlook Web Access 的相關資訊,請參閱〈Exchange 2000 Server 中的 Outlook Web Access〉(英文) 和〈自訂 Microsoft Outlook Web Access〉(英文) 文件。

附錄 A:在 ISA Server 陣列上設定 NLB

遵循此程序來設定陣列的網路負載平衡 (NLB)。NLB 會自動設定為單點傳播模式和單一關聯。單一關聯可確保將所有來自特定用戶端的網路流量導向相同的主機。此程序會在 ISA Server 陣列中的某電腦上進行。您必須登入為陣列或企業系統管理員。

在 ISA Server 陣列上設定 NLB

  1. 在其中一個 ISA Server 陣列成員上,依序展開 [陣列]、陣列節點、[組態],再按一下 [網路]。

  2. 在詳細資料窗格中,確認已選取 [網路] 索引標籤。

  3. 在工作窗格中的 [工作] 索引標籤上,按一下 [啟用網路負載平衡整合] 來啟動「網路負載平衡整合精靈」。在 [歡迎] 畫面上,按一下 [下一步]。

  4. 在 [選取負載平衡網路] 頁面上,選取將啟用 NLB 的網路。您是在 Outlook Web Access 伺服器網路和外部網路上啟用 NLB。選取這些網路。不要按 [下一步]。

  5. 在按 [下一步] 之前,您必須設定每個網路的虛擬 IP 位址。若要設定虛擬 IP 位址,先選取網路,再按一下 [設定虛擬 IP]。在 [設定虛擬 IP 位址] 對話方塊中,提供要使用之虛擬 IP 位址的 IP 位址和子網路遮罩。請注意此 IP 位址必須是有效的靜態 IP 位址 (無法由您的 DHCP 伺服器指定),而且必須屬於您正在設定的網路。按一下 [下一步]。

  6. 在摘要頁面上,按一下 [完成]。

  7. 在詳細資料窗格中,按一下 [套用]。

附錄 B:設定 RADIUS 伺服器的最佳作法

本節包含幾個秘訣和提示可協助您安全並有效率地以 ISA Server 部署 RADIUS 。

  • 共用機密:共用機密是一個文字字串,其作用是 RADIUS 用戶端和 RADIUS 伺服器之間的密碼。當在 RADIUS 用戶端與 RADIUS 伺服器之間採用密碼型驗證方法時,RADIUS 伺服器會使用共用機密來加密密碼,並以存取要求封包的形式傳送。請在建立和使用共用機密時,利用下列秘訣:

    • 您必須在 RADIUS 伺服器和 RADIUS 用戶端上使用大小寫相同的共用機密。

    • 對每個 RADIUS 伺服器 RADIUS 用戶端配對使用不同的共用機密。

    • 為了確保共用機密是隨機的,請產生至少 22 個字元長的隨機序列。

    • 您可以對共用機密使用任何標準的演算法和特殊字元。

    • 您可以使用最長 128 個字元的共用機密。為了保護您的 IAS 伺服器和 RADIUS 用戶端免於暴力攻擊,請使用長共用機密 (22 個以上的字元)。

    • 以隨機順序的字母、數字和標點符號來組成共用機密,並經常加以變更來保護您的 IAS 伺服器和 RADIUS 用戶端免於字典攻擊。

  • 訊息驗證器:共用機密是用來驗證由已啟用 RADIUS 並設有相同共用機密的裝置送出的 RADIUS 訊息 (存取要求訊息除外)。共用機密也會驗證 RADIUS 訊息在傳輸中未經修改 (訊息完整性)。在預設的情況下,並不會對傳入存取要求訊息進行加密驗證。RADIUS 伺服器會驗證訊息是源自已設定的 RADIUS 用戶端的 IP 位址,不過來源 IP 位址有可能作假。解決辦法是在所有的存取要求訊息中要求訊息驗證器屬性。訊息驗證器屬性是整個存取要求訊息的 Message Digest-5 (MD5) 雜湊,使用共用機密作為金鑰。請注意,如果您選取 [自動使用訊息驗證器],請確定您的 RADIUS 伺服器能接收訊息驗證器,而且也已設定為接收它。

  • 網際網路通訊協定安全性 (IPSec):IPsec 提供您預防不要的流量來保障 RADIUS 伺服器安全的能力,方法是篩選指定的網路介面卡 (允許或封鎖指定的通訊協定),以及讓您從允許的流量選擇來源 IP 位址。對於組織單位,您可以建立 IPsec 原則,這儲存在 Active Directory 中。或者,您可以在 RADIUS 伺服器上建立本機原則,然後將這些原則套用到指定的電腦。使用 IPsec 為 RADIUS 用戶端和伺服器提供額外的安全性。如需詳細資訊,請參閱 Technet 上的〈設定 ISA Server 2004 流量的 IPSec 保護〉(英文)。

  • 遠端存取原則:假如您在 ISA Server 中將 RADIUS 用於發佈之外,還用於 VPN 用戶端驗證,您可能要分開遠端存取原則來防止您的 VPN 用戶端使用 PAP。

  • 用戶端重新驗證:用戶端每次遇到規則,RADIUS 就會重新驗證該用戶端。這有可能會在繁忙的網站上造成過量的 RADIUS 流量,而非正常的網域驗證。ISA Server COM 設定可減少此流量。SingleRADIUSServerAuthPerSession 是 FPCWebListener 物件的屬性,對於網路物件和網頁接聽程式物件來說都是有效的。如果您將屬性從其預設 FALSE 值變更為 TRUE,則會快取送至 ISA Server 且由 RADIUS 伺服器順利驗證的憑證。對於從相同 TCP 連線上的使用者提出的後續要求,送至 ISA Server 的憑證會與為該連線儲存在快取中的憑證相比較,而不是重新驗證 RADIUS 伺服器。

  • 存取要求封包中的資訊:ISA Server 在存取要求封包中包含的資訊不多 (例如,NAS IP、NAS 連接埠、使用者名稱和密碼等),因此 ISA Server 與其他服務之間可能會有差別,視包含在這些服務中的額外資訊而定,如果他們是從相同的電腦執行的話。比方說,作為 VPN 伺服器的路由及遠端存取在存取要求封包中提供的資訊比 ISA Server 多。因此,如果您在相同的 ISA Server 電腦上需要有不同的 VPN 和 Outlook Web Access 驗證原則,可能需要解決這兩種要求類型之間的差異。

附錄 C:Internet Authentication Service (IAS)

Internet Authentication Service (IAS) 是 Microsoft 對 RADIUS 伺服器的實作。IAS 會執行集中化連線驗證和授權。當您將 IAS 安裝成 Active Directory 網域成員時,IAS 會向 Active Directory 中的使用者帳戶驗證憑證。IAS 伺服器可以為網域中屬於成員的使用者帳戶,以及所有網域中具有雙向信任關係的使用者帳戶,驗證其憑證。為了改進效能,您可以在網域控制站上安裝 IAS,但這是不必要的。如果您將 IAS 安裝成工作群組模式而不是網域成員,IAS 會向本機安全性帳戶管理員 (SAM) 中的使用者帳戶驗證憑證。如需將 IAS 設定成 RADIUS 伺服器的詳細資訊,請參閱 Microsoft Windows Server 2003 說明文件中的〈IAS 概念 (英文) 和〈IAS 部署概觀〉(英文)。

網頁 Proxy 要求的驗證過程可總結如下:

  1. 使用者提交存取要求到 ISA Server。

  2. ISA Server 嘗試將該要求與存取規則相比較。

  3. 如果找到相對應的項目,並且已啟用 RADIUS 驗證,則瀏覽器會提示使用者輸入使用者名稱和密碼。

  4. 當 ISA Server 收到憑證時,它會以 RADIUS 存取要求封包的形式將驗證要求傳送給 IAS 伺服器。存取要求訊息會經由網路提交給 RADIUS 伺服器,而用戶端與伺服器之間的任何使用者密碼都會使用共用機密加密。每部 IAS 伺服器對於每個 RADIUS 用戶端都必須有個共用機密,而該共用機密在伺服器和用戶端上必須完全一樣。

  5. 當 RADIUS 伺服器收到要求時,它會透過檢查要求的來源 IP 位址,先驗證 RADIUS 用戶端。如果無法驗證 RADIUS 用戶端,RADIUS 伺服器就不會回應,甚至不會拒絕連線要求。如果 RADIUS 用戶端在逾時期間內沒有收到回應,它就會擷取要求。

  6. 如果存取要求封包是由有效的 RADIUS 用戶端所送出,並且 RADIUS 用戶端也啟用了訊息驗證器 (也稱為數位簽章),那麼就會使用共用機密檢查封包中的數位簽章。如果已啟用數位簽章卻找不到,或失敗,則 IAS 會放棄該封包而不會顯示任何訊息。

    為了提供保護以防詐騙的存取要求訊息及 RADIUS 訊息竄改,可使用訊息驗證器屬性為每個 RADIUS 訊息提供額外的保護,此屬性是整個 RADIUS 訊息的 Message Digest 5 (MD5) 雜湊,它以共用機密作為金鑰。在 IAS 伺服器和 ISA Server 上啟用訊息驗證器。

  7. RADIUS 伺服器會對照遠端存取原則的條件來檢查連線要求。在本文中使用的範例中,該條件是使用者必須屬於 WebProxy_Users 群組。如果連線嘗試與條件相符,則會檢查遠端存取原則的遠端存取權限。在 Active Directory 環境中,若 IAS 伺服器無法連線到網域控制站,或找不到使用者所屬的網域控制站,則它會放棄該封包而不會顯示任何訊息。

  8. RADIUS 伺服器會以存取接受或存取拒絕的形式將回應傳回用戶端。RADIUS 回應可能會以存取屬性的形式作為給用戶端的回應的一部分來攜帶授權資訊。RADIUS 實作通常會套用這些傳回的存取限制。ISA Server 不支援此功能,它會直接接受或拒絕回應採取行動。

  9. 如果 ISA Server 收到接受回應,它會進行下列其中一個動作:

    • 如果存取規則套用到 (RADIUS) 名稱區中的所有使用者或所有授權使用者,則 ISA Server 會允許存取。

    • 如果存取規則套用於指定的使用者名稱,而且在規則中指定和提交的憑證中兩者之間的特定使用者名稱大小寫的字串比對成功,則 ISA Server 會允許存取。

    • 如果 ISA Server 收到拒絕回應,則它會拒絕存取。當 ISA Server 收到拒絕回應時,這可能表示 RADIUS 伺服器不授權該用戶端。即使憑證已經過授權,ISA Server 可能還是會根據 RADIUS 伺服器授權原則來拒絕用戶端要求。

您對此文件有任何指教嗎?請寄出批評與指教

下载

OWAradiusfba.doc
722 KB
Microsoft Word 文件

取得 Office 檔案檢視器

顯示: