ISA Server 2004 中的 Outlook Web Access 伺服器發佈:用戶端憑證及表單型用戶端驗證
Microsoft Internet Security and Acceleration Server 2004
發佈日期: 2006 年 1 月 13 日
簡介
案例
解決方案
網路拓撲
逐步說明
使用本機憑證授權單位部署用戶端憑證
部署伺服器憑證
發佈 Outlook Web Access
設定 Exchange 和 Outlook Web Access Site
測試用戶端憑證驗證
其他資訊
附錄 A 在 ISA Server 陣列上設定 NLB
簡介
Microsoft Internet Security and Acceleration (ISA) Server 2004 Standard Edition 和 ISA Server 2004 Enterprise Edition 與 Microsoft Office Outlook Web Access for Exchange Server 2003 一起合作增強 Outlook Web Access 伺服器的安全性。Outlook Web Access 提供從網頁瀏覽器存取儲存在 Exchange 存放資料夾中的電子郵件、排程 (包括群組排程)、連絡人和協作資訊。Outlook Web Access 是由遠端、家庭和行動不定的使用者使用。
當透過 ISA Server 發佈 Outlook Web Access 伺服器時,您等於是保護 Outlook Web Access 伺服器免於外部直接存取,因為使用者無法存取 Outlook Web Access 伺服器的名稱和網際網路通訊協定 (IP) 位址。使用者存取的是 ISA Server 電腦,這接著會根據您的郵件伺服器發佈規則的條件,將要求轉送給 Outlook Web Access 伺服器。
ISA Server 允許您實作各種驗證方法以存取 Outlook Web Access 伺服器。本文將說明如何使用用戶端憑證安全地發佈 Outlook Web Access,以及在 Outlook Web Access 伺服器上使用表單型驗證,來驗證 ISA Server 電腦的使用者。
用戶端憑證驗證
要求用戶端憑證有助於增加 Outlook Web Access 發佈組態的安全性。它可確保只有呈現有效憑證的使用者才能夠提交認證給 Outlook Web Access 網站。
使用者可從商業憑證授權單位 (CA) 或從組織當中的內部 CA 取得用戶端憑證。當使用者對 Outlook Web Access 資源提出要求時,他們會選取一個用戶端憑證送到 ISA Server 電腦,以用於驗證。ISA Server 會將提供的用戶端憑證傳給網域控制站 (ISA Server 必須是網域成員)。Active Directory 目錄服務會判定憑證和帳戶之間的對應,並將資訊傳回給 ISA Server 以套用相關的防火牆原則規則。請注意 ISA Server 並無法傳遞用戶端憑證到內部網頁伺服器。一旦用戶端藉著使用憑證經過 ISA Server 的驗證後,使用者就可以使用表單型驗證提供 Outlook Web Access 伺服器所需的憑證。
表單型驗證
在表單型驗證中,使用者會被導向到一個超文字標記語言 (HTML) 表單。在使用者於表單中提供憑證之後,系統就會發出一個包含票證的 Cookie。對於接下來的要求,系統會先檢查 Cookie 以確認使用者是否已驗證,這樣該使用者就不需要再提供憑證。表單型驗證包括如下優點:
憑證資訊不會快取在用戶端電腦上。這在使用者從公用電腦連線到您的 Outlook Web Access 伺服器的情況下尤為重要。使用者若關閉瀏覽器、登出工作階段或導覽到其他網站,則需要重新驗證。
您可以設定閒置工作階段最長的等候逾時時間,這樣一來假使使用者閒置很長一段時間,工作階段會過期,然後就需要重新驗證。
使用者無法在 Internet Explorer 中使用 [記住我的密碼] 選項。
Outlook Web Access 包括一些選用的功能允許使用者變更密碼。假如使用者在 Outlook Web Access 工作階段期間變更密碼,則使用者初次登入後所提供的 Cookie 就不再有效。當表單型驗證是在 ISA Server 上設定時,於 Outllok Web Access 工作階段期間變更密碼的使用者在下次提出要求時就會收到登入頁面。.
在 ISA Server 2004 Enterprise Edition 當中包含多伺服器 ISA Server 陣列的案例中,您必須確保特定工作階段的用戶端要求是由相同的陣列成員處理,這樣用戶端的 Cookie 才能被辨認。假如要求是被不同的成員接收到,Cookie 就無法被辨認,而該 ISA Server 成員就會捨棄該項要求。確保要求是由相同的伺服器成員處理的有效方法,是啟用 ISA Server 陣列上的整合式「網路負載平衡」(Network Load Balancing, NLB)。如需詳細資訊,請參閱本文中的〈附錄 A:在 ISA Server 陣列上設定 NLB〉。
回到頁首
案例
您想要使用 ISA Server 2004 發佈 Outlook Web Access 伺服器,讓員工能夠從住家電腦,以及從網際網路資訊站存取他們的電子郵件。您希望用戶端到 Outlook Web Access 伺服器有安全的連線,並確保只提示已驗證的使用者提供憑證。您不希望將憑證或專利資訊存放在用戶端電腦上。
回到頁首
解決方案
本文中所述的解決方案可摘要如下:
您透過 Internet Security and Acceleration (ISA) Server 2004 使用郵件伺服器發佈規則來發佈 Outlook Web Access 伺服器。從外部用戶端到 ISA Server 電腦,以及從 ISA Server 電腦到 Outlook Web Access 伺服器的通訊,是經由「安全超文字傳輸通訊協定」(HTTPS) 連至 Outlook Web Access 的「安全通訊端階層」(SSL) 連線。外部用戶端要求必須以用戶端憑證的方式來驗證。表單型驗證是在 Outlook Web Access 伺服器上啟用。只有通過用戶端憑證順利驗證的用戶端會收到表單提示提供憑證給 Outlook Web Access 伺服器。ISA Server 是安裝成網域成員。
回到頁首
網路拓撲
下列是部署本文中提出的解決方案所建議的必要拓撲:
一部在內部網路上作為 Outlook Web Access 伺服器的電腦。Outlook Web Access 伺服器應該執行 Microsoft Windows Server 2003 或 Windows 2000 Server 加裝 Service Pack 3。
一部與 ISA Server 位於同一網域的本機 CA 電腦。
在 ISA Server 2004 Standard Edition 中:
- 一部執行 ISA Server 2004 Standard Edition,並安裝在網域中的電腦。
在 ISA Server 2004 Enterprise Edition 中:
一部作為 ISA Server Configuration Storage 伺服器的電腦。
陣列中最少要有兩部電腦執行 ISA Server 服務。
屬於同一網域的陣列電腦和 Configuration Storage 伺服器。
一部在外部網路上的電腦以測試解決方案。
此一逐步說明會假設您已安裝 ISA Server 2004 Standard Edition 或 ISA Server 2004 Enterprise Edition。在 Enterprise Edition 的情況下,您應該已安裝一部 Configuration Storage 伺服器,和至少一個 ISA Server 陣列,您將藉此發佈 Outlook Web Access 伺服器。這些 ISA Server 元件的安裝在 ISA Server 線上說明,以及《入門指南》中均有說明。
回到頁首
逐步說明
本逐步說明將描述下列內容:
使用本機 CA 部署用戶端憑證:安裝企業 CA。在 Active Directory 中建立使用者帳戶。這比為各個使用者帳戶取得用戶端憑證更有效率。接著,使用「憑證要求精靈」來要求使用此帳戶的用戶端憑證。當您要求憑證時,它會自動與要求它的帳戶相關聯,不過您還是應該另外將憑證對應到使用者帳戶。這稱為一對一對應。當用戶端呈現憑證時,會檢查該項對應來決定應該登入哪個使用者帳戶。接下來會匯出憑證及私密金鑰,並將之安裝在用戶端電腦上,該電腦必須驗證由 ISA Server 發佈的 Outlook Web Access 資源。
設定伺服器憑證:ISA Server 電腦上需要伺服器憑證來驗證外部用戶端,網際網路資訊服務 (IIS) 通常不會安裝在 ISA Server 電腦上,而要在 ISA Server 電腦上安裝伺服器憑證,您需要在網頁伺服器上要求伺服器憑證,然後將之匯入到 ISA Server。您無法將憑證直接安裝到 ISA Server 電腦。對於大多數網頁發佈情況,您是從 ISA Server 電腦上的商業 CA 來安裝憑證。當 ISA Server 驗證使用伺服器憑證的外部用戶端時,用戶端會向發行伺服器憑證的 CA 要求一個根憑證,來指明該 CA 是信任的 CA。許多商業 CA 根憑證預設都會安裝在用戶端電腦上。在本文中的案例中,要求只來自已驗證的用戶端,而且您可以考慮使用由本機 CA 所發行的伺服器憑證,並將根憑證從此 CA 發行到用戶端。
您也可以在 Outlook Web Access 上要求伺服器憑證以向 ISA Server 驗證。針對此目的,可從內部企業 CA 要求伺服器憑證。
發佈 Outlook Web Access:請在進行變更之前備份您目前的組態設定。在網頁接聽程式上設定用戶端憑證驗證,並建立郵件發佈規則。
設定 Exchange 和 Outlook Web Access 網站:設定在 Exchange 中儲存附件,在 Outlook Web Access IIS 網站上要求使用 SSL,設定表單型驗證。
測試用戶端憑證驗證:測試部署。
使用本機憑證授權單位部署用戶端憑證
憑證服務提供兩種 CA,各擁有不同的功能組:即企業 CA 和獨立 CA。企業 CA 提供 Active Directory 整合的優點。在本文所述的案例中,用戶端憑證需要對應到 Active Directory,因此需要企業 CA。如需詳細的比較,請參閱〈實作 Windows Server 2003 公開金鑰基礎結構的最佳實務〉(英文)。請注意 ISA Server 和企業根 CA 應該位於同一網域中。
本節包含下列程序:
安裝企業 CA。
在 Active Directory 中建立帳戶。
要求用戶端憑證。
將用戶端憑證對應到帳戶。
將憑證安裝到用戶端電腦。
部署用戶端憑證程序 1:安裝企業 CA
在執行 Windows Server 2003 或 Windows 2000 Server 的網域成員電腦上,安裝憑證服務。若要使用網頁註冊,您必須在電腦上安裝 IIS 和 Active Server 元件。
在 [控制台] 中,按兩下 [新增或移除程式]。
按一下 [新增/移除 Windows 元件]。
按兩下 [應用程式伺服器]。
按兩下 [Internet Information Services (IIS)]。
按兩下 [World Wide Web Service]。
選取 [Active Server Pages]。
按一下 [確定] 以關閉 [World Wide Web Service] 對話方塊,按一下 [確定] 以關閉 [Internet Information Service (IIS)] 對話方塊,再按 [確定] 以關閉 [應用程式伺服器] 對話方塊。
選取 [憑證服務]。檢閱關於電腦名稱和網域成員資格的警告。如果您要繼續,按一下警告對話方塊中的 [是],再按 [Windows 元件] 對話方塊中的 [下一步]。
在 [CA 類型] 頁面上,選擇 [企業根 CA]。企業根 CA 在收到已授權使用者的要求 (由網域控制站加以識別),將自動發行憑證。接著按一下 [下一步]。
在 [CA 識別資訊] 頁面上,提供 CA 的一般名稱,檢查辨別名稱首碼,選取有效期間,再按一下 [下一步]。
在 [憑證資料庫設定] 頁面上,檢閱預設設定。您可修改資料庫位置。按一下 [下一步]。若網際網路資訊服務 (IIS) 正在執行中,會有訊息提示您停止該服務。若要停止 IIS,選擇 [是]。
當「Windows 元件精靈」在安裝 Microsoft 憑證服務時,會出現一則訊息通知您必須啟用 Active Server Pages 才能提供網頁註冊服務。若要啟用 ASP,選擇 [是]。
在 [完成 Windows 元件精靈] 頁面上,檢閱摘要,再按一下 [完成]。
部署用戶端憑證程序 2:在 Active Directory 中建立帳戶
假如您在想要求憑證之下沒有帳戶,則必須建立帳戶,如下所示:
按一下 [開始],指向 [系統管理工具],再按一下 [Active Directory 使用者和電腦]。
展開嵌入式管理單元右窗格中的網域,再以滑鼠右鍵按一下您想要在當中建立新使用者帳戶的資料夾。
指向 [新增],再按一下 [使用者]。
在 [新物件 - 使用者] 對話方塊中,填妥使用者詳細資料。
清除 [使用者下次登入時須變更密碼]。接著按一下 [下一步]。
在 [密碼] 及 [確認密碼] 中,輸入密碼。選取 [使用者不得變更密碼] 和 [密碼永遠不會到期]。接著按一下 [下一步]。
清除 [建立 Exchange 信箱],因為這個動作不需要 Exchange Server 信箱。
檢查設定是正確的,然後按一下 [完成]。
部署用戶端憑證程序 3:要求用戶端憑證
您現在可以使用您建立的帳戶來要求用戶端憑證。當從網域中的 Windows Server 2003 企業 CA 要求憑證時,您可以使用位於 [憑證] 嵌入式管理單元的「憑證要求精靈」。您可以在 CA 本身上或在任何網域成員上執行此精靈。
若要為帳戶要求憑證,執行下列動作:
使用您建立的 Active Directory 帳戶登入電腦。
開啟 [憑證] 嵌入式管理單元,並且在主控台樹狀目錄中,按一下 [憑證 - 目前使用者]。
在 Personal 資料夾上按一下右鍵,指向 [所有工作],再按一下 [要求新憑證] 以啟動「憑證要求精靈」。
在「憑證要求精靈」的 [歡迎] 畫面上,按一下 [下一步]。
在 [憑證類型] 頁面上,按一下 [使用者]。選取 [進階] 核取方塊。接著按一下 [下一步]。
在 [密碼編譯服務提供者] 中,按一下 [將這個金鑰設成可匯出]。接著按一下 [下一步]。
在 [憑證授權單位] 頁面上,確定有顯示企業 CA 名稱。接著按一下 [下一步]。
在 [憑證好記的名稱及描述] 中,鍵入憑證好記的名稱。您可以選擇任何名稱,因為這與憑證功能性無任何關聯。接著按一下 [下一步]。
在精靈的最後一頁上,檢查憑證設定,再按一下 [完成]。
如果出現確認頁面,按一下 [確定]。
.gif "Cc713343.note(zh-tw,TechNet.10).gif")
附註:若要開啟 [憑證] 嵌入式管理單元,依序按一下 [開始]、[執行],輸入 regedit.exe,再按 [確定]。在 [檔案] 功能表上,按一下 [開啟舊檔]。按一下您想要開啟的嵌入式管理單元,再按 [開啟]。在主控台樹狀目錄中,按一下 [憑證]。
部署用戶端憑證程序 4:將用戶端憑證對應到帳戶
您現在需要將用戶端憑證對應到 Active Directory 帳戶,如下所示:
使用系統管理員帳戶登入電腦。
在網域控制站上,按一下 [開始],指向 [系統管理工具],再按一下 [Active Directory 使用者和電腦]。
在您建立的帳戶上按一下右鍵,再按 [內容]。
按一下 [發佈憑證] 索引標籤。
在 [公佈給使用者帳戶的 X509 憑證清單],按一下 [複製到檔案]。在 [將憑證儲存到檔案] 中,於 [檔案名稱] 中指定憑證的名稱,再按一下 [儲存]。按一下 [確定] 以關閉 [內容] 對話方塊。
在使用者帳戶上按一下右鍵,再按 [名稱對應]。
在 [安全性識別對應] 中,按一下 [X.509 憑證] 索引標籤,再按 [新增]。
在 [新增憑證] 中,選取憑證 (.cer),再按一下 [開啟]。檢閱憑證組態設定,確定已選取 [使用主體來作為其他的安全性識別]。當憑證出現在 [X-509 憑證] 清單中時,按一下 [確定]。
部署用戶端憑證程序 5:匯出用戶端憑證
您必須匯出用戶端憑證以便將之部署到需要存取 Outlook Web Access 資源的用戶端電腦。憑證包含憑證所對應之帳戶的私密金鑰。
在您從中要求用戶端憑證的電腦上,執行下列動作:
開啟 Internet Explorer,按一下 [工具] 功能表,再按 [網際網路選項]。
在 [內容] 索引標籤上,按一下 [憑證]。
在 [憑證] 對話方塊中的 [個人] 索引標籤上,按一下憑證,再按 [匯出]。
在「歡迎使用憑證匯出精靈」中,按一下 [下一步]。
在 [匯出私密金鑰],選取 [是],匯出私密金鑰,再按一下 [下一步]。
在 [匯出檔案格式] 中,選取 [個人資訊交換 - PKCS #12 (.pfx)]。盡可能選擇在憑證路徑中包含所有的憑證。清除所有其他選項。接著按一下 [下一步]。
在 [密碼] 中,指定並確認密碼。接著按一下 [下一步]。
在 [檔案名稱] 中,鍵入要存放已匯出憑證及私密金鑰的 PKCS#12 檔案的檔名和路徑。接著按一下 [下一步]。
檢閱所有設定,然後按一下 [完成]。
當您收到訊息告知匯出已順利完成時,按一下 [是]。
按一下 [關閉] 以關閉 [憑證] 對話方塊。
按一下 [確定] 以關閉 [網際網路選項]。
部署用戶端憑證程序 6:將憑證安裝到用戶端電腦
在需要用戶端憑證存取 Outlook Web Access 的每部電腦上,安裝用戶端憑證,如下所示:
以要用於 Outlook Web Access 的使用者帳戶登入。
開啟 Internet Explorer,按一下 [工具] 功能表,再按 [網際網路選項]。
在 [內容] 索引標籤上,按一下 [憑證]。
在 [憑證] 對話方塊中的 [個人] 索引標籤上,按一下 [匯入]。
在「歡迎使用憑證要求精靈」頁面上,按一下 [下一步]。
在 [匯入檔案] 頁面上的 [檔案名稱] 中,輸入名稱和位置,或使用 [瀏覽] 按鈕找出檔案的位置。接著按一下 [下一步]。
在 [密碼] 中,指定您在匯出憑證時所指定的密碼。請勿選取 [啟用加強私密金鑰保護],因為使用者將無法登入 Outlook Web Access 網站。請勿選取 [將私密金鑰標示為可匯出]。您不會想允許使用者與憑證一起匯出私密金鑰。
在 [憑證存放區] 中,選取 [自動根據憑證類型來選取憑證存放區]。接著按一下 [下一步]。
檢閱設定,然後按一下 [完成]。
當出現訊息顯示匯入已順利完成時,按一下 [確定]。
按一下 [關閉] 以關閉 [憑證] 對話方塊。
按一下 [確定] 以關閉 [網際網路選項]。
部署伺服器憑證
建議的 Outlook Web Access 發佈組態是,從外部用戶端到 ISA Server,以及從 ISA Server 電腦到 Outlook Web Access 伺服器皆使用 SSL 加密的通訊。ISA Server 並不支援將 HTTP 要求轉送成 HTTPS 的 Outlook Web Access 發佈規則。如果您建立一個將 HTTPS 要求從外部用戶端轉送成 HTTPS 的發佈規則,那麼請不要啟用連結轉譯。在此 SLL 或 SSL 組態中,您在兩個位置中都需要伺服器憑證:
在要向要求的用戶端驗證的 ISA Server 電腦上;
在要向 ISA Server 電腦驗證的 Outlook Web Access 伺服器上。
本節包含下列程序:
在 ISA Server 電腦上取得伺服器憑證。
在 Outlook Web Access 伺服器上取得伺服器憑證。
部署伺服器憑證程序 1:在 ISA Server 電腦上取得伺服器憑證
若要為 ISA 帳戶取得憑證,請執行下列動作:
在執行 IIS 的 Outlook Web Access 伺服器上,從商業 CA 或從本機 CA 要求伺服器憑證。
將此憑證及其機密金鑰一同匯出。
將憑證匯入到 ISA Server。
若是 ISA Server 2004 Enterprise Edition,您需要在每個陣列成員上準備和安裝相同的伺服器憑證。
如需設定伺服器憑證的詳細資訊和指示,請參閱〈ISA Server 2004 的數位憑證〉(英文)。
部署伺服器憑證程序 2:在 Outlook Web Access 伺服器上取得伺服器憑證
在 Outlook Web Access 伺服器上需要有伺服器驗證才能跨 SSL 連線向 ISA Server 電腦驗證。因為這僅供內部使用,所以最簡單且最便宜的方法,是從本機 CA 針對此需求取得伺服器憑證,如下所示:
在 Outlook Web Access 伺服器上,按一下 [開始],指向 [系統管理工具],然後按一下 [Internet Authentication Service (IIS) Manager]。
展開 [網站] 節點,然後按一下 [預設網站]。在 [預設網站] 上按一下滑鼠右鍵,再按 [內容]。
在 [預設網站內容] 對話方塊中,按一下 [目錄安全性] 索引標籤。
在 [目錄安全性] 索引標籤上,按一下 [伺服器憑證]。
在 [歡迎使用憑證要求精靈] 頁面上,按一下 [下一步]。
選取 [建立新憑證],然後按一下 [下一步]。
選取 [立即傳送要求到線上憑證授權]。接著按一下 [下一步]。
在 [名稱] 中,指定網站好記的名稱 (這可以是任何名稱,而且不會影響憑證功能)。在 [位元長度],指定您要使用之金鑰的位元長度。接著按一下 [下一步]。
在 [組織資訊] 中,於 [組織 (O)] 和 [組織單位 (OU)] 中指定您的資訊。例如,若您的公司稱為 Fabrikam,而您正為業務部門設定網頁伺服器,可在組織輸入 Fabrikam,在 OU 輸入 Sales。完成時,按一下 [下一步]。
在 [您網站的一般名稱] 中,於 [一般名稱] 中指定網站的一般名稱。您指定的一般名稱應該是 ISA Server 參照 Outlook Web Access 的名稱 (在發佈規則的 [收件者] 索引標籤上指定)。接著按一下 [下一步]。
在 [國家/地區]、[城市] 和 [州] 中輸入您的資訊。要特別注意的是不要輸入州或城市的名稱縮寫。接著按一下 [下一步]。
為您將要建立的憑證要求檔案選擇一個名稱。此檔案將包含您建立的所有資訊,以及用於您網站的公開金鑰。您想要的話可以瀏覽檔案名稱。這會在步驟完成時,建立一個 .txt 檔案。檔案的預設名稱是 Certreq.txt。當您完成此步驟時,按一下 [完成] 按鈕。
您現在會看到一個摘要螢幕,當中包含您輸入的所有資訊。確認所有這些資訊都是正確的,然後按一下 [完成]。
附註:ISA Server 在其信任的根存放區中需要有本機 CA 的根憑證。當 ISA Server 所屬的網域與企業 CA 相同時,它會自動在其 [信任的根憑證授權] 存放區中擁有該企業 CA 的憑證。
發佈 Outlook Web Access
本節包含下列程序:
備份您目前的組態
建立網頁接聽程式
在網頁接聽程式上設定用戶端憑證驗證
建立郵件發佈規則
發佈 Outlook Web Access 程序 1:備份您目前的組態
建議您在進行任何變更之前,先備份您的伺服器。如果您所做的變更引發非預期的行為,可將之還原到之前的備份組態。若要將 ISA Server 電腦的完整組態備份成 .xml 文件,請採用下列程序:
若是 Standard Edition 執行下列動作:
開啟 Microsoft ISA Server 管理。
展開 [Microsoft Internet Security and Acceleration Server 2004],以滑鼠右鍵按一下 [Server_Name],再按一下 [匯出]。
在 [匯出組態] 對話方塊中的 [儲存於] 中,指定要儲存匯出檔案的資料夾。在 [檔案名稱] 中,鍵入匯出檔案的名稱。選擇一個有意義的名稱,並考慮在檔名中包含日期。
您可以選取以下選項,然後按一下 [匯出]。
您可以選擇匯出使用者權限設定,方法是選取 [匯出使用者權限設定值]。使用者權限設定值包含 ISA Server 使用者的安全性角色,例如,指名誰具有系統管理權利。
您可以選擇匯出憑證資訊。若選擇匯出,憑證資訊會在匯出過程中加密。如果您想要匯出憑證資訊,選取 [匯出憑證資訊]。在按下 [匯出] 後,於 [設定密碼] 對話方塊中,提供並確認密碼,然後按一下 [確定]。
匯出完成時,按一下 [確定]。
若是 Enterprise Edition 請執行下列動作:
開啟 Microsoft ISA Server 管理。
依序展開 [Microsoft Internet Security and Acceleration Server 2004]、[陣列],以滑鼠右鍵按一下您要藉之發佈 Outlook Web Access 的陣列,再按 [匯出 (備份)] 以啟動「匯出精靈」。
在 [歡迎] 畫面上,按一下 [下一步]。
在 [匯出喜好設定] 頁面上,您可以選取以下選項,然後按一下 [下一步]。
您可以選擇匯出憑證資訊。若選擇匯出,憑證資訊會在匯出過程中加密。如果您想要匯出憑證資訊,選取 [匯出憑證資訊]。在按下 [匯出] 後,於 [設定密碼] 對話方塊中,提供並確認密碼。
您可以選擇匯出使用者權限設定,方法是選取 [匯出使用者權限設定值]。使用者權限設定值包含 ISA Server 使用者的安全性角色,例如,指名誰具有系統管理權利。
匯出完成時,按一下 [確定]。
在 [匯出檔案位置] 頁面,提供您要在當中儲存組態的檔案位置和名稱。選擇一個有意義的名稱,並考慮在檔名中包含日期。按一下 [下一步]。
在 [完成匯出精靈] 頁面上,按一下 [完成]。
匯出完成時,按一下 [確定]。
附註:因為 .xml 文件是用作備份,所以應該在另外一部電腦另存一份副本,以防發生嚴重失敗。
發佈 Outlook Web Access 程序 2:建立網頁接聽程式
建立網頁接聽程式來接聽指定網路 (在此例中,即外部網路) 上的 Outlook Web Access 要求。網頁接聽程式只會接聽 HTTPS 要求,並且會使用用戶端憑證驗證。
若要建立網頁接聽程式,請執行下列動作:
在 ISA Server 管理中,按一下 [防火牆原則] 節點,如下所示:
若是 Standard Edition,依序展開 [Microsoft Internet Security and Acceleration Server 2004]、[Server_Name]],再按一下 [防火牆原則]。
若是 Enterprise Edition,依序展開 [Microsoft Internet Security and Acceleration Server 2004]、[陣列]、[Array_Name],再按一下 [防火牆原則]。
在 [工具箱] 索引標籤上,按一下 [網路物件]。在 [網路物件] 下的工具列上,按一下 [新增],再按 [網頁接聽程式]。
在「新增網頁接聽程式精靈」的 [歡迎] 畫面上,鍵入新網頁接聽程式的名稱 (例如 Listener on External network for internal Web publishing),再按一下 [下一步]。
在 [IP 位址] 頁面上,選取將接聽網頁要求的網路。因為您希望 ISA Server 接收來自外部網路 (即網際網路) 的要求,因此接聽程式應該是 ISA Server 的外部網路介面卡上的其中一個或多個 IP 位址。因此選取 [外部]。不要按 [下一步]。
在您按下 [IP 位址] 頁面上的 [下一步] 之前,選取您要接聽的指定位址。按一下 [位址] 按鈕。預設的選項是接聽網路上所有的 IP 位址。
附註:在 ISA Server 2004 Enterprise Edition 中,NLB 是啟用的,這會同時包括專用 IP 位址和虛擬 IP 位址。
建議您選取 [在此網路上網路介面卡的預設 IP 位址]。這將選取 ISA Server 2004 Standard Edition 中 ISA Server 電腦的網路介面卡上的預設 IP 位址,或 ISA Server 2004 Enterprise Edition 中 ISA Server 陣列的網路介面卡上預設的 IP 位址。在 Enterprise Edition NLB 的案例中,這將選取預設的虛擬 IP 位址。
如果您已啟用 NLB,也建立了一個以上的 IP 位址,那麼應該選取 [ISA Server 電腦上位於所選網路中的指定 IP 位址],然後在 [可用的 IP 位址] 清單中選取指定的虛擬 IP 位址。
.jpg "外部網路接聽程式 IP 選取範圍")
按一下 [確定],再按 [IP 位址] 頁面上的 [下一步]。
在 [連接埠規格] 頁面上,清除 [啟用 HTTP]。選取 [啟用 SSL],並確認 [SSL 連接埠] 已設為 443 (預設設定)。在 [憑證] 欄位中提供伺服器憑證名稱。若要這麼做,按一下 [選取],並選取您安裝在 ISA Server 電腦上的伺服器憑證。按一下 [確定],再按 [下一步]。
.jpg "新增網頁接聽程式")
.gif "Cc713343.important(zh-tw,TechNet.10).gif")
重要:用於 Outlook Web Access 發佈,請只使用標準連接埠號碼 (預設設定)。
在 [完成新增網頁接聽程式精靈] 頁面上,檢閱設定,再按一下 [完成]。
發佈 Outlook Web Access 程序 3:在網頁接聽程式上設定用戶端憑證驗證
若要在網頁接聽程式上設定用戶端憑證驗證,請執行下列動作:
在 ISA Server 管理中,以滑鼠右鍵按一下 [防火牆原則] 節點,如下所示:
若是 Standard Edition,依序展開 [Microsoft Internet Security and Acceleration Server 2004]、[Server_Name],再以滑鼠右鍵按一下 [防火牆原則]。
若是 Enterprise Edition,依序展開 [Microsoft Internet Security and Acceleration Server 2004]、[陣列]、[Array_Name],再以滑鼠右鍵按一下 [防火牆原則]。
在 [工具箱] 索引標籤上,按一下 [網路物件]。展開 [網頁接聽程式]。按兩下以開啟您為 Outlook Web Access 建立的網頁接聽程式的內容。
在 [喜好設定] 索引標籤上的 [設定允許的驗證方法] 下,按一下 [驗證]。
在驗證方法清單中,選取 [SSL 憑證]。清除所有其他驗證方法。然後選取 [需要驗證所有使用者]。
按一下 [確定] 以關閉網頁接聽程式內容。在 [防火牆原則] 詳細資料窗格中,按一下 [套用] 以套用您所做的變更。
發佈 Outlook Web Access 程序 4:建立郵件發佈規則
使用「新增郵件伺服器發佈規則精靈」來建立一條新的郵件發佈規則。請遵循這些步驟:
在 ISA Server 管理中,按一下 [防火牆原則] 節點,如下所示:
若是 Standard Edition,依序展開 [Microsoft Internet Security and Acceleration Server 2004]、[Server_Name]],再按一下 [防火牆原則]。
若是 Enterprise Edition,依序展開 [Microsoft Internet Security and Acceleration Server 2004]、[陣列]、[Array_Name] (將發佈 Outlook Web Access 的陣列),再按一下 [防火牆原則]。
在 [防火牆] 工作窗格中的 [工作] 索引標籤上,選取 [發佈郵件伺服器] 來啟動「新增郵件伺服器發佈規則精靈」。
在精靈的 [歡迎] 畫面上,為規則提供名稱,再按一下 [下一步]。
在 [選取存取類型] 頁面上,選取 [網頁用戶端存取:Outlook Web Access (OWA)、Outlook Mobile Access、Exchange Server ActiveSync],再按一下 [下一步]。
.jpg "新增郵件伺服器發佈規則精靈")
在 [選取服務] 頁面上,選取 [Outlook Web Access]。
附註:預設會啟用 [啟用非英文字元組使用的高位元字元]。這允許在一些非英文語言中使用 DBCS 或 Latin 1 字元。假如您清除此選項,則使用這些字元的要求將遭到封鎖。
在 [橋接模式] 頁面上,選取 [到用戶端和郵件伺服器的安全連線],讓雙方的通訊管道可受到數位憑證的保護。按一下 [下一步]。
.jpg "橋接模式")
在 [指定網頁郵件伺服器] 頁面上,輸入 Outlook Web Access 伺服器的完整格式網域名稱 (FQDN) 或 IP 位址。此名稱必須與 Outlook Web Access 伺服器數位憑證上的名稱一致。按一下 [下一步]。
在 [公用名稱詳細資料] 頁面上,提供 ISA Server 電腦將收到什麼樣的要求然後轉送到 Outlook Web Access 伺服器的相關資訊。在 [接受要求] 中,如果您選取 [任何網域名稱],則任何解析成 ISA Server 電腦外部網頁接聽程式的 IP 位址的要求,都將轉送到您的 Outlook Web Access 伺服器。如果您選取 [此網域名稱],並提供指定的網域名稱,如 mail.fabrikam.com,假設網域是解析成 ISA Server 電腦外部網頁接聽程式的 IP 位址,則只有 https://mail.fabrikam.com 的要求會轉送到您的 Outlook Web Access 伺服器。按一下 [下一步]。
附註:公用名稱必須與 ISA Server 上的數位憑證名稱一致。
在 [選取網頁接聽程式] 頁面上,選取之前建立的安全網頁接聽程式,再按一下 [下一步]。
在 [使用者組] 頁面上,選取 [所有使用者],再按一下 [移除]。
按一下 [新增],然後在 [新增使用者] 對話方塊中,選取 [所有已驗證的使用者]。依序按下 [新增]、[關閉],再按 [下一步]。
在 [完成新增郵件伺服器發佈規則精靈] 頁面上,捲動以檢視規則組態,以確定已正確設定規則,然後按一下 [完成]。
在 ISA Server 詳細資料窗格中,按一下 [套用] 以套用您所做的變更。套用變更將會花一小段時間。
設定 Exchange 和 Outlook Web Access Site
本節包含下列程序:
在 Exchange 中要求儲存附件
在 Outlook Web Access 網站上要求使用 SSL
設定表單型驗證
測試用戶端憑證驗證
設定 Exchange 程序 1:在 Exchange 中要求儲存附件
您可以完全封鎖透過 Outlook Web Access 收到的附件,讓使用者無法開啟或儲存任何附件。
如果您不封鎖附件,請注意有些附件,像是 Microsoft Windows Media 檔案和 Microsoft Office Excel 2003 試算表,並不能直接從遠端連線到 Outlook Web Access 伺服器的用戶端來開啟。嘗試開啟此類檔案的動作將造成與檔案相關的應用程式失敗。這些檔案必須儲存在本機後才能開啟。您可以設定 Exchange Server 2003 和 Exchange 2000 Server 強制使用者儲存附件來避免此問題。Exchange Server 5.5 版中無法使用此功能。
若要強制使用者儲存附件,可在 Exchange Server 電腦上設定下列登錄機碼:
HKLM\SYSTEM\CurrentControlSet\Services\MSExchangeWEB\OWA\Level2FileTypes
此登錄值會指定一組有可能是危險附件的副檔名。符合這些類型的附件將不會自動開啟。反而會提示使用者將附件儲存到他們的電腦本機。
設定 Exchange 程序 2:在 Outlook Web Access 網站上要求使用 SSL
在 Outlook Web Access 伺服器上,設定 IIS 僅供 SSL 通訊,如下所示:
開啟 [Internet 服務管理員] 主控台或您自訂的 IIS 嵌入式管理單元,依序展開伺服器節點、[預設網站] 節點,選取 [虛擬路徑/Exchange],然後按一下 [內容]。
按一下 [目錄安全性] 索引標籤,並在 [安全通訊] 下,按一下 [編輯]。
在 [安全通訊] 對話方塊中,選取 [必須使用安全通道 (SSL)] 核取方塊,再按兩次 [確定]。
對虛擬路徑 /public 重複這些步驟。
對虛擬路徑 /exchweb 重複這些步驟,但選取 [啟用匿名存取],並清除所有其他驗證存取核取方塊。
設定 Exchange 程序 2:設定表單型驗證
在 Outlook Web Access 網站上設好 SSL 後,您現在需要在 Exchange 系統管理員中的 HTTP 虛擬伺服器上啟用表單型驗證,如下所示:
開啟 Exchange 系統管理員。
導覽至您的伺服器物件。
展開您的伺服器物件,並展開 [通訊協定]。
展開 [HTTP]。
在 [Exchange 虛擬伺服器] 上按一下右鍵,然後選取 [內容]。
在 [設定] 索引標籤上,選取 [啟用表單型驗證] 核取方塊。
按一下 [確定],再按一次 [確定] 來關閉警告訊息。
從 [服務] 嵌入式管理單元或從 [IIS 管理] 嵌入式管理單元重新啟動 IIS。
測試用戶端憑證驗證
若要測試組態能如預期般運作,請執行下列動作:
開啟 Internet Explorer,然後鍵入 Outlook Web Access 網站的 URL。您應該會看到一個 [用戶端驗證] 對話方塊。選取您要用於驗證的用戶端憑證,然後按一下 [確定]。
您接著應該會看到一個由表單型驗證提供的登入頁面。指定憑證,然後按一下 [確定]。
您現在應該已連線到 Exchange 伺服器 (頁面上會顯示一個鎖指明是 SSL 連結)。
按一下 [登出] 按鈕以登出。
回到頁首
其他資訊
提供下列額外的資源:
如需如何在 Exchange Server 2003 中部署 Outlook Web Access 的相關資訊,請參閱《Exchange 2003 部署指南》(英文)。
如需如何在 Exchange 2000 Server 中部署 Outlook Web Access 的相關資訊,請參閱〈Exchange 2000 Server 中的 Outlook Web Access〉 (www.microsoft.com) 和〈自訂 Microsoft Outlook Web Access〉(英文) 文件。
ISA Server 2004 Guidance 網頁尚有提供其他的 ISA Server 2004 說明文件。
回到頁首
附錄 A:在 ISA Server 陣列上設定 NLB
ISA Server 2004 Enterprise Edition 中支援 NLB。您可以在整合或非整合模式中設定 NLB。在整合模式中,您可使用 ISA Server 管理來設定 NLB。此模式可讓您設定指定網路的 NLB,而 NLB 會自動設定為單點傳播模式,加上單一關聯。單一關聯可確保將所有來自特定用戶端的網路流量導向相同的主機。此程序會在 ISA Server 陣列中的某電腦上進行。您必須登入為陣列或企業系統管理員。
若要設定在 ISA Server 網路上設定整合 NLB,請執行下列動作:
在其中一個 ISA Server 陣列成員上,依序展開 [陣列]、陣列節點、[組態],再按一下 [網路]。
在詳細資料窗格中,確認已選取 [網路] 索引標籤。
在工作窗格中的 [工作] 索引標籤上,按一下 [啟用網路負載平衡整合] 來啟動「網路負載平衡整合精靈」。在 [歡迎] 畫面上,按一下 [下一步]。
在 [選取負載平衡的網路] 頁面上,選取要啟用 NLB 的網路。建議您在 Outlook Web Access 伺服器網路,以及外部網路上啟用 NLB。選取這些網路。不要按 [下一步]。
在按 [下一步] 之前,您必須設定每個網路的虛擬 IP 位址。若要設定虛擬 IP 位址,在選取網路之後,按一下 [設定虛擬 IP]。在 [設定虛擬 IP 位址] 對話方塊中,提供要使用之虛擬 IP 位址的 IP 位址和子網路遮罩。請注意此 IP 位址必須是有效的靜態 IP 位址 (無法由您的 DHCP 伺服器指定),而且必須屬於您正在設定的網路。按一下 [下一步]。
在摘要頁面上,按一下 [完成]。
在詳細資料窗格中,按一下 [套用]。
您對此文件有任何指教嗎?請寄出批評與指教。
下載
.gif "下載"){kind=icon}
OWAclientcertfba.doc
473 KB
Microsoft Word 檔
回到頁首