如何使用ISA SERVER 2006安全发布OWA 2007及Outlook Anywhere
当您在企业内部署EXCHANGE SERVER 2007后,一般企业内网用户可以方便使用OFFICE OUTLOOK 2003/2007快速接连到EXCHANGE 2007方便的访问自己邮箱,以进行有效信息沟通。而如果您的企业内用户出差在外,他们一样需要安全快捷的连接到您企业内部的EXCHANGE SERVER以达到及时的获取到信息,可此时用户并不在您企业内网,针对如何解决让外网用户也一样可以方便、快捷、安全的连接到企业内网的EXCAHNGE SERVER来正常收、发邮件的问题,MICROSOFT给予了我们3种解决方案:
1、 使用OWA方式,让用户使用IE走HTTP/HTTPS(SSL)连接到企业内部EXCHANGE SERVER
2、 使用OutlookAnywhere(EXCHANGE 2003也称RPC OVER HTTP)
3、 使用MOBLIE方式或是语音邮件方式
以下我将给大家详细介绍这上两种方法在企业中的部署方法:
试验环境如图:

如何使用ISA SERVER 2006安全发布OWA 2007及Outlook Anywhere_第1张图片 
 

关于邮件流的方向:
用户----- à邮箱服务器------ à集成器传输服务器------ à防火墙------ à边缘传输服务器----- à防火墙----- àINTERNET
                 
外部用户--- à防火墙----- à客户端访问服务器(身份验证)--- à域控制器---- à邮箱服务器---- à用户邮箱---- à获取邮件(非MAPI客户端获取邮件流程)
 
防火墙所需要建立的规则:
1、 HUB------EDGE(SMTP)因为HUA要把邮件穿过防火墙递交给EDGE(邮件出站)
2、 EDGE----HUA(SMTP) 因为EDGE要把邮件穿过防火墙递交给HUA(邮件入站)
3、 HUB------EDGE(EDGEsync)(LDAPS协议端口 出站TCP:50636)同步收件人信息,方便EDGE做垃圾邮件过滤
4、 INTERNET----EDGE(SMTP服务器)此规则为服务器发布规则
5、 EDGE-----INTERNET(DNS)EDGE需要解析外部的DNS服务器
6、 EDGE-----内部DSN(DC)服务器,因为EDGE需要找到内部可用的HUB服务器
7、 EDGE-----INTERNET(SMTP)方便EDGE把邮件发送至INTERNET
相关规则如下图:

如何使用ISA SERVER 2006安全发布OWA 2007及Outlook Anywhere_第2张图片 
 

利用ISA 2006安全发布OWA配置方式:(至于太简单的操作就直接忽略了)
 
证书部分:

无论是发布OWA或是OutlookAnywhere都需要证书的支持,而EXCHANGE 2007默认证书,我们需要在CAS上的IIS删除,我们自己重新申请一张证书(当然,企业内需要有CA服务器)。这里我们已在DC上安装了CA服务。
 

如何使用ISA SERVER 2006安全发布OWA 2007及Outlook Anywhere_第3张图片 
 

步骤:
1、 右键CAS服务器“默认站点”
选择:属性

如何使用ISA SERVER 2006安全发布OWA 2007及Outlook Anywhere_第4张图片 
选择“服务器证书”

如何使用ISA SERVER 2006安全发布OWA 2007及Outlook Anywhere_第5张图片

 新建证书

如何使用ISA SERVER 2006安全发布OWA 2007及Outlook Anywhere_第6张图片 
默认

如何使用ISA SERVER 2006安全发布OWA 2007及Outlook Anywhere_第7张图片 

选择立即将证书…….
注意:你的CA必须是企业CA,此选项才可用。
 

如何使用ISA SERVER 2006安全发布OWA 2007及Outlook Anywhere_第8张图片 
输入相关信息
 

如何使用ISA SERVER 2006安全发布OWA 2007及Outlook Anywhere_第9张图片 
此公用名应该是你用户在访问你CAS服务器时,需要输入的FQDN名。
 

如何使用ISA SERVER 2006安全发布OWA 2007及Outlook Anywhere_第10张图片 如何使用ISA SERVER 2006安全发布OWA 2007及Outlook Anywhere_第11张图片
默认HTTPS为“443”

直接一下步,完成。

到此,OWA的证书就申请完毕,当然还要去启用SSL安全通道。
 

如何使用ISA SERVER 2006安全发布OWA 2007及Outlook Anywhere_第12张图片 
确定OWA目录也启用了SSL(443):

如何使用ISA SERVER 2006安全发布OWA 2007及Outlook Anywhere_第13张图片 
 

接下来,就是需要为ISA SERVER去申请一张证书:
在这里,我们用一种变通的方法为ISA SERVER申请一张证书
在CAS的IIS上新建一个新的站点
新建站点时,需要填写的信息,可随意。


 

如何使用ISA SERVER 2006安全发布OWA 2007及Outlook Anywhere_第14张图片 

SA为停止的,没关系不影响我们为此站点申请证书就行。按以上方法为ISA 服务器向CA申请一张证书:

如何使用ISA SERVER 2006安全发布OWA 2007及Outlook Anywhere_第15张图片 
 

注意:在这些填写的公用名称可以与上面为OWA站点的公用名称不一样,但这里的“公用名称”必需是外网用户在IE中输入URL访问你CAS服务器的地址


 

如何使用ISA SERVER 2006安全发布OWA 2007及Outlook Anywhere_第16张图片 如何使用ISA SERVER 2006安全发布OWA 2007及Outlook Anywhere_第17张图片
确保证书没有问题。再把证书导出到文件:
 

如何使用ISA SERVER 2006安全发布OWA 2007及Outlook Anywhere_第18张图片 如何使用ISA SERVER 2006安全发布OWA 2007及Outlook Anywhere_第19张图片

需要导出“私钥”
如何使用ISA SERVER 2006安全发布OWA 2007及Outlook Anywhere_第20张图片 
选中此两项,直接下一步,完成。再把站点删除。
 

ISA 服务器上的操作:
把刚刚导出的证书复制到ISA上
打开ISA的MMC------ à证书-------》计算机帐户---------》把证书导入到-----》”个人”区域中
 

如何使用ISA SERVER 2006安全发布OWA 2007及Outlook Anywhere_第21张图片 如何使用ISA SERVER 2006安全发布OWA 2007及Outlook Anywhere_第22张图片

选中密钥可导出。

如何使用ISA SERVER 2006安全发布OWA 2007及Outlook Anywhere_第23张图片 如何使用ISA SERVER 2006安全发布OWA 2007及Outlook Anywhere_第24张图片

证书有问题????

是因为ISA不信任RootCA所颁发的证书,此时,我们需要把RootCA的根证书,导入到ISA服务器的“受信任的根证书颁发机构”中,证书才可用。在ISA SERVER上把根证重新导入。

 

如何使用ISA SERVER 2006安全发布OWA 2007及Outlook Anywhere_第25张图片 
选择“导出”
 

如何使用ISA SERVER 2006安全发布OWA 2007及Outlook Anywhere_第26张图片 
建议导出为Base64编码,下一步,保存,把个人的RootCA证书删除,再把刚刚导出的证书导入到ISA SERVER的受“信任的根证书颁发机构“
 

待续.............