Exchange 2007經過ISA2006安全發佈

這幾天經過精心設計和實施，將Exchange 2007中Edge、OWA、Outlook Anywhere、POP3等客戶端訪問協議經過ISA2006發佈出來，感受這幾種方式各有千秋，有沒絕對的好與壞，我今天主要是想告訴你們，一般經過ISA2006發佈這些Exchange客戶端訪問時，必定要注意一些細節的地方，好比說身份驗證，身份委派等，不少人被這些功能都搞暈了，經過個人此次實驗，我想把些疑團統統的給予解答。

1、發佈安全的Exchange2007 Edge Server

在Exchange2007中，Edge服務器是單獨安裝，而且是被安置在DMZ區域中，不加入到企業域內，因此經過個人實驗環境，我想在ISA上做6條訪問規則和一條發佈規則。

容許HUB Server（IP）到Edge Server（IP）的25端口訪問

容許Edge Server（IP）到公網郵件服務器25端口訪問

容許Edge Server（IP）到公網的DNS服務發出53端口查詢

採用ISA2006中的發佈郵件服務器規則（服務器到服務器通信），把Edge Server的25端口發佈到公網

容許Edge Server（IP）到內網中的Hub Server（IP）25端口的訪問

容許Edge Server（IP）到內網中的DNS 服務器發出53端口查詢

容許內網中Hub Server（IP）到Edge Server（IP）發出50636（LDAPS）端口訪問，到此，Edge服務器的發佈規則已經結束，咱們能夠經過telnet方式來測試是否通信正常

從Edge服務器Telnet到內網中Hub服務器25端口

從Edge服務器Telnet到公網中郵件服務器25端口

從內網中Hub服務器Telnet到Edge服務器25端口

從公網Telnet到發佈出來的Edge服務器25端口

2、發佈安全的Exchange2007 OWA

一、要在內網中的集線器傳輸服務器上申請一張證書，而且證書的公用名爲這臺CSA服務器的域名（如：mail.contoso.com）;

二、確保證書被本地受信任。

三、在IIS的OWA虛擬目錄中啓用SSL安全加密；

四、在IIS中建立一個網站，而且選擇目錄安全性，選擇服務器證書，再次爲ISA申請一張證書，而且導出這張證書到桌面爲*.PFX格式，把此文件複製到ISA的桌面，輸入MMC，打開證書管理單元，把這張申請的證書做一個用戶證書的導入操做，並把這張證書做爲受信任的根證書來導入操做。

五、在ISA2006中，選擇發佈Exchange Web 客戶端訪問；

六、選擇發佈exchnge2007 的outlook web access；

七、選擇發佈一臺單一服務器或是一臺服務器場；

八、選擇安全的鏈接發佈Web服務；

九、輸入內部站點中客戶端訪問服務器的FQDN名；

十、輸入發佈到公網上的域名；

十一、新建一個WEB偵聽器；

（1）選擇須要與客戶端創建SSL鏈接；

（2）選擇ISA外網口爲偵聽端口；

（3）在身份驗證中選擇HTML窗體身份驗證，在下面的如何驗證客戶端憑據選擇LDAPS（Active Directory）；

（4）單一登陸名（SSO）輸入內網中的域名；

十二、ISA服務器對WEB服務器身份驗證使用方法選擇基自己份驗證。

1三、在客戶端訪問服務器上打開Exchange管理控制檯，在服務器級別中選中客戶端訪問，在右邊中五個虛擬目錄的身份驗證所有選爲基自己份驗證。

1四、在IIS中，對默認網站身份驗證選擇啓用匿名以及選擇基本和集成身份驗證，在OWA虛擬目錄中的身份驗證只選擇集成和基自己份驗證；

 

3、發佈Outlook Anywhere

此功能是把RPC的協議封閉在HTTP上進行加密傳輸，能達到像在企業內部同樣來訪問本身的郵件。

一、在內網中的CAS Server上打開添加刪除程序，添加組件，選擇網絡服務，安裝RPC的代理服務。

二、打開IIS管理控制檯，查看RPC的虛擬目錄是否被正確安裝。併爲RPC虛擬目錄啓用SSL。

三、打開Exchange2007管理控制檯，找到服務器級別的客戶端訪問，在右邊啓用outlook anywhere功能。此時服務器上的配置基本完成。

四、在公網客戶端打開outlook2007，找到工具菜單中的電子郵件設置，並查看電子郵件設置，展開以後選擇其它設置，在其它設置對話框中選擇鏈接，並選中「使用HTTP鏈接到個人郵箱」，再點擊「Exchange代理服務器設置」，對彈出對話框中，使用此URL鏈接到個人Exchange代理服務器中輸入 HTTPS:/mail.contoso.com，並選中啓用SSL鏈接時相互難會話，在代理服務器主體名稱中輸入：msstd:mail.contoso.com，其它爲默認便可。