一、实验环境说明:
1.
域环境:pubtest.com
2.
服务器
Nanjing
:域控制器、CA服务器、DNS服务器、Exchange 2003服务器
3.
服务器shenyang:ISA2006服务器,双网卡
4.
客户机Firenze:安装有office outlook客户端,并且信任pubtest域内的企业根
5.
服务器操作系统统一为:Windows server 2003 SP1。CA服务器为企业根,Exchange服务器安装Service Pack2补丁
二、发布思路:
1.在可以正常使用RPC访问的Exchange上的IIS中申请web服务器证书,然后连同私钥一起导出给ISA服务器,使ISA服务器具有解密客户端发过来的HTTPS数据包的能力,在通过防火墙策略审核后,再次加密送给内网的Exchange服务器。
2.在原有策略的基础上(允许内部和×××客户端访问外部),添加俩条发布规则,(因为默认情况下,内部网络与外部网络之间是正向NAT关系,而客户端对内部网络是做入站访问,所以需要做发布规则,允许符合防火墙策略的数据包进入内部网络。)一条规则发布内部Exchange的RPC服务,让外部客户端通过ISA可以找到内部的Exchange服务器。另一条规则让服务符合策略的HTTPS数据包通过防火墙。
3.设置IIS下默认网站中的RPC虚拟目录的安全性,要求必须使用SSL进行连接,并要求基本身份验证,因为外部客户机可能不是域内的邮箱用户,无法进行集成身份验证。
4.外部客户机的outlook客户端需要更改邮件帐户设置,让其通过HTTTPS连接内部Exchange服务器,并且也使用基本身份验证。
三、实验拓扑如下:
四、发布步骤
1.为IIS申请WEB服务器证书,并导出给ISA服务器
打开nanjing的【internet信息服务管理器】,在【默认网站】上右击【属性】
在【目录安全性】中,点击【服务器证书】
弹出【web服务器证书向导】,选择【新建证书】,下一步
选择【立即讲证书发送到联机证书颁发机构】
证书名称和加密位长默认即可
单位和部门信息随意
公用名称很重要,因为客户端需要使用这个名称来连接Exchange服务器。这里我的名称为:nanjing.pubtest.com
地理信息适当填写
SSL端口默认为443即可,证书颁发机构选择itetCA(之前我已刷新过组策略,使其自动信任了)
证书申请完,依次点击【查看证书】,【详细信息】,【复制文件到】把证书连同私钥一同导出。
在证书导出向导中选择【是,导出私钥】
输入一个保护私钥的安全密码
指定一个导出路径,证书格式为:*.pfx
导出后,把该证书放到ISA服务器上,并且导入到计算机证书中。打开ISA服务器上的证书,选择【本地计算机】,在【个人证书】任务中选择【导入】
导入刚才的【nanjing.pfx】证书
输入安全密码后,保存在个人存储中,就完成了导入
2.发布两条访问规则
首先发布基于RPC服务的访问规则,用来让outlook客户端可以找到内部的Exchange服务器,并修改邮件帐户设置。然后再发布基于WEB客户端的Exchange服务器访问规则,让邮件通过HTTPS进行加密传输。
先创建一条访问规则,允许【内部、本地主机和×××防火墙】可以访问任何地点。
再创建一条【邮件服务器发布规则】
规则名称【发布内部Exchange服务器】
访问类型为【客户端访问】
服务选择【Outlook RPC】
服务器IP为Exchange的IP
侦听IP选择【外部】
发布规则发布完成后,要应用防火墙配置,然后再Firenze上使用测试用户:user1尝试登录内部的Exchange服务器
添加一个【新电子邮件帐户】
选择连接到【Microsoft Exchange Server】上
输入Exchange服务器域名,及测试邮箱帐户,然后【检测姓名】,如果效果如下图,则证明ISA发布规则没有问题。建议不要【使用缓存Exchange 模式】,这样Exchange服务器会保存邮件,并把副本发送到本地,降低性能。
设置完毕,登录一下user1,也没有问题
邮箱可以正常访问了,下面再建一条允许HTTPS数据包通过的发布规则。新建【Exchange Web客户端访问发布规则】
服务选择【outlook RPC/HTTP(s)】
类型为【单个网站】
连接安全使用SSL连接,保证ISA与内部服务器是加密连接
内部站点名称:nanjing.pubtest.com
因为证书上网站的名称为FQDN,所以这里也只能使用FQDN,不能使用IP地址
新建一个WEB侦听器,用来监听443端口
ISA与客户端之间也要使用SSL加密
监听外部IP地址
证书选择刚才导入的exchange的证书:nanjing.pubtest.com
身份验证选择【基本身份验证】,完成即可
ISA服务器委派身份验证也选择【基本身份验证】
所有通过验证的用户才适用于此规则
设置完发布规则,要应用设置才能生效。
3.设置RPC虚拟目录的安全性
只设置了防火墙发布规则是不行的,因为RPC目录默认是允许匿名访问的,不符合安全性要求,所以要改为基本验证,符合防火墙策略要求。
打开RPC虚拟目录属性,在【目录安全性】中,点击【身份验证】框旁边的【编辑】,取消【启用匿名访问】,勾选【集成Windows身份验证】
并且启用SSL安全通道,要求必须使用安全连接
4.编辑外部outlook客户端邮件帐户设置
内部和防火墙都已经设置了要求基本身份验证,这时outlook已经不能登陆了,所以在客户端上也要设置通过HTTPS来连接Exchange服务器,并要求基本身份验证。
编辑电子邮件帐户
选择【其他设置】
在【连接】中启用【通过HTTP连接到我的exchange邮箱】,并点击【Exchange代理服务器设置】,设置代理服务器为:nanjing.pubtest.com,【验证设置】为【基本身份验证】
设置完,保存后,开启outlook客户端,已经提示要求输入用户名和密码了
登入邮箱后,查看连接为HTTPS,发布成功。
五、总结
其实发布还是比较简单的,重点主要是让ISA服务器拥有Exchange服务器的证书及私钥,其次是IIS和outlook客户端的基本身份验证设置。
另外,如果不发布RPC的Exchange服务器,outlook客户端会找不到内部的Exchange服务器,不过在outlook客户端正确配置完后,可以删除RPC发布策略,客户端还是可以和内部Exchange服务器进行邮件收发的。