Exchange 2007经过ISA2006安全发布

这几天经过精心设计和实施，将Exchange 2007中Edge、OWA、Outlook Anywhere、POP3等客户端访问协议经过ISA2006发布出来，感受这几种方式各有千秋，有没绝对的好与坏，我今天主要是想告诉你们，一般经过ISA2006发布这些Exchange客户端访问时，必定要注意一些细节的地方，好比说身份验证，身份委派等，不少人被这些功能都搞晕了，经过个人此次实验，我想把些疑团统统的给予解答。

1、发布安全的Exchange2007 Edge Server

在Exchange2007中，Edge服务器是单独安装，而且是被安置在DMZ区域中，不加入到企业域内，因此经过个人实验环境，我想在ISA上做6条访问规则和一条发布规则。

容许HUB Server（IP）到Edge Server（IP）的25端口访问

容许Edge Server（IP）到公网邮件服务器25端口访问

容许Edge Server（IP）到公网的DNS服务发出53端口查询

采用ISA2006中的发布邮件服务器规则（服务器到服务器通信），把Edge Server的25端口发布到公网

容许Edge Server（IP）到内网中的Hub Server（IP）25端口的访问

容许Edge Server（IP）到内网中的DNS 服务器发出53端口查询

容许内网中Hub Server（IP）到Edge Server（IP）发出50636（LDAPS）端口访问，到此，Edge服务器的发布规则已经结束，咱们能够经过telnet方式来测试是否通信正常

从Edge服务器Telnet到内网中Hub服务器25端口

从Edge服务器Telnet到公网中邮件服务器25端口

从内网中Hub服务器Telnet到Edge服务器25端口

从公网Telnet到发布出来的Edge服务器25端口

2、发布安全的Exchange2007 OWA

一、要在内网中的集线器传输服务器上申请一张证书，而且证书的公用名为这台CSA服务器的域名（如：mail.contoso.com）;

二、确保证书被本地受信任。

三、在IIS的OWA虚拟目录中启用SSL安全加密；

四、在IIS中建立一个网站，而且选择目录安全性，选择服务器证书，再次为ISA申请一张证书，而且导出这张证书到桌面为*.PFX格式，把此文件复制到ISA的桌面，输入MMC，打开证书管理单元，把这张申请的证书做一个用户证书的导入操做，并把这张证书做为受信任的根证书来导入操做。

五、在ISA2006中，选择发布Exchange Web 客户端访问；

六、选择发布exchnge2007 的outlook web access；

七、选择发布一台单一服务器或是一台服务器场；

八、选择安全的链接发布Web服务；

九、输入内部站点中客户端访问服务器的FQDN名；

十、输入发布到公网上的域名；

十一、新建一个WEB侦听器；

（1）选择须要与客户端创建SSL链接；

（2）选择ISA外网口为侦听端口；

（3）在身份验证中选择HTML窗体身份验证，在下面的如何验证客户端凭据选择LDAPS（Active Directory）；

（4）单一登陆名（SSO）输入内网中的域名；

十二、ISA服务器对WEB服务器身份验证使用方法选择基自己份验证。

1三、在客户端访问服务器上打开Exchange管理控制台，在服务器级别中选中客户端访问，在右边中五个虚拟目录的身份验证所有选为基自己份验证。

1四、在IIS中，对默认网站身份验证选择启用匿名以及选择基本和集成身份验证，在OWA虚拟目录中的身份验证只选择集成和基自己份验证；

 

3、发布Outlook Anywhere

此功能是把RPC的协议封闭在HTTP上进行加密传输，能达到像在企业内部同样来访问本身的邮件。

一、在内网中的CAS Server上打开添加删除程序，添加组件，选择网络服务，安装RPC的代理服务。

二、打开IIS管理控制台，查看RPC的虚拟目录是否被正确安装。并为RPC虚拟目录启用SSL。

三、打开Exchange2007管理控制台，找到服务器级别的客户端访问，在右边启用outlook anywhere功能。此时服务器上的配置基本完成。

四、在公网客户端打开outlook2007，找到工具菜单中的电子邮件设置，并查看电子邮件设置，展开以后选择其它设置，在其它设置对话框中选择链接，并选中“使用HTTP链接到个人邮箱”，再点击“Exchange代理服务器设置”，对弹出对话框中，使用此URL链接到个人Exchange代理服务器中输入 HTTPS:/mail.contoso.com，并选中启用SSL链接时相互难会话，在代理服务器主体名称中输入：msstd:mail.contoso.com，其它为默认便可。