Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Cấu hình Exchange Client Access với ISA 2006 (Phần 1) Việc cấu hình Exchange Server Client Access với ISA nhiệm vụ dễ dàng không phức tạp? Thực tế điều không Mặc dù có nhiều nguồn Internet viết chủ đề Microsoft cung cấp tài liệu kỹ thuật mở rộng với nhiều bước chi tiết vắn tắt khác nhau, thực lần thực trình cung cấp truy cập vào Exchange cho người dùng mở rộng ISA Server lại gặp phải số vấn đề khó khăn Bài viết đề cập với bạn số vấn đề đây: • • • • • • Cấu hình ISA Server Cấu hình Exchange Các chứng chỉ: cách lấy, cài đặt export Cách tạo lắng nghe web thích hợp Các nguyên tắc cấu hình ISA Server Điều khiển lại (thư mục giao thức) Bài áp dụng cho Exchange 2003 Exchange 2007 Các đối tượng Các mục tiêu cần thực là: • • • • Cấu hình Exchange Client Access đầy đủ Internet o Outlook Web Access (OWA) o Outlook Mobile Access ActiveSync o RPC HTTP(s) / Outlook Anywhere Sử dụng URL đơn giản mà không cần phải đánh HTTPS /exchange (hoặc /owa) Sử dụng Forms-Based Authentication Internet Mở tập nhỏ cổng TCP tường lửa Cấu trúc giải pháp Như nói trên, giới thiệu kịch chung để cung cấp cho bạn “giải pháp hoàn tất”, giải pháp mà tập trung vào cấu hình riêng Dưới ảnh cấu trúc sử dụng viết này: Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình 1: Cấu trúc Exchange Các đặc điểm cấu trúc này: • • • ISA Server nhóm làm việc ISA Server có giao diện mạng ISA Server DMZ Cấu hình máy chủ ISA Nhiệm vụ cấu hình ISA Server nhóm làm việc có giao diện mạng Chúng bỏ qua thủ tục cài đặt ISA Server, điểm ISA cài đặt môi trường Windows Server 2003 mà không thuộc miền Những phải làm áp dụng Single Network Adapter Template Mở ISA Server Management Console Bạn vào Configuration > Networks Trên cửa sổ Templates, bạn tìm thấy Single Network Adapter Chọn bạn kích hoạt cửa sổ cấu hình Kích Next hai lần Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình 2 Trên cửa sổ Internal Network IP Addresses, bạn thấy địa cấu hình để định nghĩa ISA firewall Internal Network mặc định Bạn chấp nhận tùy chọn mặc định Kích Next Hình 3 Chọn Apply default web proxying and caching configuration sau kích Next Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình 4 Trên cửa sổ Completing the Network Template Wizard, kích Finish Hình 5 Một cảnh báo xuất Kích OK Hình 6 Kích Apply để lưu thay đổi nâng cấp sách tường lửa Kích OK hộp thoại Apply New Configuration Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Các chứng Để bảo đảm truyền thông tất thiết bị an toàn, bạn cần phải cài đặt chứng máy chủ Exchange CAS/Front-End ISA Server Nếu chứng đến từ CA bên bạn cần phải cài đặt chứng CA máy chủ máy khách với CA bên Khi bạn cài đặt Exchange 2007, bạn cài đặt mặc định chứng Secure Sockets Layer (SSL), chứng tạo Exchange Setup Mặc dù vậy, không khuyên bạn sử dụng nó, chứng chứng SSL an toàn Để đạt chứng máy chủ sử dụng Web Server Certificate Wizard, IIS Manager, bạn phải mở phần máy tính cục (local computer), sau mở thư mục Web Sites Kích chuột phải vào Web site dịch vụ Exchange chọn Properties Trên tab Directory Security, kích Server Certificate Sử dụng wizard để yêu cầu cài đặt chứng Web server Trong Web Server Certificate Wizard, bạn chọn Create a new certificate Hình Trên Delayed or Immediate Request page, chọn Send the request immediately to an online certification authority bạn có Windows Server 2003 enterprise CA cài đặt miền, ngược lại chọn Prepare the request now, but send it later Nhập vào thông tin cần thiết Name and Security Settings trang Organization Information Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình Hình Đánh FQDN cửa sổ Your Site's Common Name Tên phải phù hợp với tên mà ISA Server sử dụng để truyền thông với máy chủ Exchange Nó tên mở rộng cuối nhìn thấy phía trước Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình 10 Nhập vào thông tin cần thiết cửa sổ thông tin liên quan đến địa lý - Geographical Information Hình 11 Nếu bạn chọn Send the request immediately to an online certification authority, chấp nhận cổng mặc định 443 cửa sổ SSL Port từ danh sách Certification authorities, chọn CA hoạt động kinh doanh bên Kích Next để đệ trình yêu cầu bạn Các hành động cài đặt chứng cho Web site bạn Nếu bạn chọn Prepare the request now, but send it later, lưu yêu cầu vào file văn đệ trình trình duyệt Nếu CA Microsoft URL http://CAServerName/CertSrv Chọn Request a certificate, kích Next chọn Advanced request Kích Next chọn Submit a certificate request using a base64 encoded PKCS #10 file Kích Next, mở file yêu cầu mà bạn lưu từ Web Certificate Wizard Notepad Dán toàn văn file, gồm có dòng BEGIN END vào hộp văn Base64 Encoded Certificate Request Khi chứng đưa Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com ra, trở lại IIS Manager, kích chuột phải vào web site tab Directory Security, kích Server Certificate Chọn Process the pending request Hình 12 Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình 13 Bước cài đặt chứng máy chủ máy tính ISA Server, để kích hoạt kết nối an toàn máy khách ISA Server Nếu CA riêng sử dụng chứng CA gốc từ CA riêng cần phải cài đặt máy tính khách cần tạo kết nối an toàn (kết nối HTTPS) đến máy chủ ISA Chứng có tên với chứng cài đặt Exchange CAS/Front-End, tên bên tương ứng với tên công cộng Trong trường hợp đó, thực thủ tục sau để export chứng máy chủ: Trên CAS / Front-End, IIS Manager, mở rộng phần máy cục sau mở thư mục Web Sites Kích chuột phải vào Web Site dịch vụ Exchange, sau chọn Properties Trên tab Directory Security, kích Server Certificate để bắt đầu Web Server Certificate Wizard Kích Next trang Welcome Chọn Export the current certificate to a pfx file cửa sổ Modify the Current Certificate Assignment Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình 14 Đánh đường dẫn tên file cửa sổ Export Certificate, kích Next Nhập mật cho file pfx, tốt bạn nên chọn mật mạnh Mật yêu cầu người dùng nạp file pfx Copy file pfx tạo phần trước vào máy chủ ISA Trên máy chủ ISA, kích Start, sau kích Run Trong Open, đánh MMC sau kích OK Kích File, kích Add/Remove Snap-in, kích Add để mở hộp thoại đính kèm Add Standalone Chọn Certificates, kích Add, chọn Computer account, sau kích Next Chọn Local Computer, sau kích Finish Kích Close kích OK Mở nút Certificates, kích chuột phải vào thư mục Personal Chọn All Tasks, sau kích Import Khi bạn vào Certificate Import Wizard Trên cửa sổ File to Import, duyệt đến file bạn tạo trước copy đến máy chủ ISA, sau kích Next Trên cửa sổ Password, đánh mật cho file này, sau kích Next 10 Trên cửa sổ Certificate Store, chọn Place all certificates in the following store Certificate Store thiết lập Personal (thiết lập mặc định), sau kích Next 11 Trên trang hoàn thành, kích Finish 12 Nếu sử dụng CA riêng bạn cần phải nhập chứng CA Nếu CA Microsoft bạn phải vào http://CAServerName/CertSrv chọn Download a CA certificate, certificate chain or CRL Lặp lại bước đến bước 11, hỏi nơi để đặt chứng (bước 10), bạn chọn Trusted Root Certification Authorities Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình 15 13 Xác nhận lại chứng máy chủ cài đặt Kích đúp vào chứng máy chủ Trên tab General, phải có ý thị You have a private key that corresponds to this certificate Trên tab Certification Path, bạn phải nhìn thấy mối quan hệ có thứ bậc chứng bạn CA, ý hiển thị This certificate is OK Hình 16 Kết luận Trong phần thứ giới thiệu cho bạn cấu trúc thiết lập mục đích Chúng ta thấy cách cấu hình máy chủ ISA cấu hình có giao diện mạng cách tạo, export import chứng Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Trong phần tiếp theo, tiếp tục giới thiệu thiết lập cấu hình cần thiết cho Exchange CAS/Front-End Server cách cấu hình chế thẩm định cho máy chủ ISA phần miền Active Directory   Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Cấu hình Exchange Client Access với ISA 2006 (Phần 2) Qua này, xem xét đến việc cấu hình Exchange CAS/Front-End ISA Server có chế thẩm định yêu cầu làm việc Cấu hình Exchange 2003 Front-End Chúng ta phải thực số thay đổi cấu hình Exchange 2003 để việc công bố ISA Server Web client làm việc cách: • • • Xác nhận thẩm định dựa biểu mẫu không chọn máy chủ Exchange frontend Kích hoạt RPC qua HTTP máy chủ Exchange front-end Yêu cầu kênh truyền thông an toàn (SSL) với Web site Để xác nhận thẩm định dựa biểu mẫu không chọn máy chủ Exchange front-end, bạn khởi chạy Exchange System Manager, mở rộng phần Servers, sau mở rộng phần front-end server bạn Tiếp tục mở rộng phần Protocols, HTTP, kích chuột phải vào Exchange Virtual Server, sau chọn Properties Kích tab Settings, sau xóa hộp kiểm Enable Forms Based Authentication Kích OK Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình Để tạo cho máy chủ Exchange Front-End máy chủ RPC proxy, bạn mở rộng phần Servers, kích chuột phải vào máy chủ front-end, sau kích Properties Chọn cửa sổ RPC-HTTP, chọn RPC-HTTP front-end server, kích OK để đóng hộp thoại thuộc tính máy chủ chọn Kích OK Sau chứng cài đặt cho Web site, bạn cần yêu cầu Web site chấp nhận cho truyền thông kênh an toàn Trong IIS Manager, mở rộng máy tính cục bộ, sau mở rộng thư mục Web Sites Kích chuột phải vào thư mục ảo /Exchange kích Properties Trên tab Directory Security kích Edit Chọn Require secure channel (SSL) cửa sổ Secure Communication sau kích OK Kích OK lần để đóng hộp thoại thuộc tính Web site Lặp lại bước cho /Public, /Exchweb /rpc Hình Cấu hình Exchange 2007 Client Access Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Với Exchange 2007, thay đổi cần thiết là: • • • Xác nhận thẩm định dựa biểu mẫu không chọn máy chủ Exchange Client Access Kích hoạt Outlook Anywhere máy chủ Exchange Client Access Yêu cầu truyền thông kênh an toàn (SSL) cho Web site Để xác nhận thẩm định dựa biểu mẫu không chọn Exchange CAS, Exchange Management Console, bạn mở rộng phần Server Configuration, sau kích Client Access Chọn máy chủ Client Access bạn sau chọn owa (Default Web Site) cửa sổ Outlook Web Access Trong cửa sổ này, bạn kích Properties bên owa (Default Web Site) Hình Chọn cửa sổ Authentication xác nhận dòng chọn: Use one or more of the following standard authentication methods Basic authentication (password is sent in clear text) Kích OK Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình Xem lại hộp thoại Microsoft Exchange Warning kích OK Với thay đổi mà vừa thực hiện, bạn phải khởi động lại Internet Information Services (IIS) Để khởi động lại IIS, bạn chạy lệnh đây: "iisreset /noforce" Hình Lặp lại bước từ 1-3 cho trang đây: Exchange (Default Web Site), Exchweb (Default Web Site), Public (Default Web Site) Để kích hoạt Outlook Anywhere máy chủ Client Access bạn, Exchange Management Console, mở rộng phần Server Configuration, sau kích Client Access Chọn máy chủ Client Access bạn Trong cửa sổ này, kích Enable Outlook Anywhere bên tên máy chủ mà bạn vừa chọn Nhập tên cấu hình mà máy khách sử dụng để kết nối với máy chủ Client Access trường External Host name Tên phải phù hợp với tên chung FQDN sử dụng chứng máy chủ Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com cài đặt máy chủ ISA Xác nhận phương pháp thẩm định mở rộng thiết lập NTLM authentication kích Enable Hình 6 Để yêu cầu Web site chấp nhận cho truyền thông kênh an toàn, bạn theo bước từ phần trước (Cấu hình Exchange 2003 Front-End) cho tất thư mục ảo đề cập /owa Cơ thẩm định ISA Trước vào cấu hình phần nguyên tắc, xem cách ISA Server tiền thẩm định yêu cầu máy khách Hình Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Bước 1, xác nhận thông tin máy khách: máy khách gửi yêu cầu kết nối đến máy chủ Outlook Web Access mạng bên Máy khách cung cấp thông tin quan trọng biểu mẫu HTML Bước 3, gửi thông tin: máy chủ ISA gửi thông tin đến cung cấp thẩm định điều khiển miền cho thẩm định Windows tích hợp Active Directory, máy chủ RADIUS, nhận phúc đáp từ cung cấp thẩm định mà người dùng thẩm định Bước 4, ủy nhiệm thẩm định: máy chủ ISA chuyển tiếp yêu cầu máy chủ đến máy chủ Outlook Web Access, tự thẩm định thân với máy chủ Outlook Web Access thông tin máy khách Máy chủ Outlook Web Access hợp lệ lại thông tin cách sử dụng cung cấp thẩm định Máy chủ Web phải cấu hình để sử dụng chế thẩm định hợp với phương pháp ủy nhiệm sử dụng máy chủ ISA Bước 5, đáp ứng máy chủ: máy chủ Outlook Web Access gửi đáp ứng trả lại phía máy khách, đáp ứng bị chặn máy chủ ISA Bước 6, việc chuyển tiếp đáp ứng: máy chủ ISA chuyển tiếp đáp ứng đến máy khách Bạn phải nhớ hợp lệ Active Directory xảy máy chủ ISA thành viên miền (cùng tên miền với điều khiển miền miền tin cậy) Khi máy chủ ISA cấu hình nhóm làm việc phải sử dụng RADIUS LDAP Để sử dụng RADIUS, bạn cài đặt dịch vụ ISA máy chủ thành viên Windows 2003 mạng bên Máy chủ ISA kết nối đến máy chủ LDAP theo cách mô tả bảng đây: Cổng Yêu cầu tên miền Active Directory Hỗ trợ tùy chọn thay đổi mật LDAP 389 Yes No LDAPS 636 Yes Yes LDAP using global catalog 3268 No No LDAPS using global catalog 3269 No No Kết nối Bảng Để sử dụng LDAPS LDAPS using global catalog, chứng máy chủ phải cài đặt máy chủ LDAP chứng gốc từ CA đưa phải cài đặt tên máy chủ ISA Ở sử dụng LDAP liệt kê bước cần thiết để cấu hình phương pháp thẩm định này: Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Mở giao diện ISA Firewall mở rộng nút Arrays, sau mở phần mảng tên Mở rộng nút Configuration kích Genera Trong cửa sổ giữa, kích liên kết RADIUS and LDAP Servers Hình Trên tab LDAP Servers Sets, kích Add để mở hộp thoại Add LDAP Server Set Trong LDAP Server Set bạn đánh tên miền Kích Add, để bổ sung thêm tên LDAP server địa IP Trong tên Server, định DC kích OK Chúng ta phải cung cấp thông tin người dùng sử dụng để truy cập Active Directory Bạn không cần sử dụng tài khoản quản trị miền, tài khoản người dùng thông thường sử dụng Kích OK để đóng hộp thoại Add LDAP Server Set Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình Kích New để mở hộp thoại New LDAP Server Mapping Trong Login expression, bạn đánh DOMAIN\* Trong LDAP server set, chọn tên miền định nghĩa trước sau kích OK Hình 10 Kích Close để đóng cửa sổ Authentication Servers Kết luận Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Qua ta cấu hình Exchange CAS/Front-End ISA Server có chế thẩm định yêu cầu làm việc, chuyển sang nguyên tắc cấu hình Vấn đề giới thiệu cho bạn phần   [...]... hình cơ chế thẩm định cho máy chủ ISA khi nó không phải là một phần của miền Active Directory   Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Cấu hình Exchange Client Access với ISA 2006 (Phần 2) Qua bài này, chúng ta sẽ xem xét đến việc cấu hình được Exchange CAS/Front-End và ISA Server có cơ chế thẩm định được yêu cầu làm việc Cấu hình Exchange 2003 Front-End Chúng ta phải... bạn về cấu trúc và thiết lập các mục đích chính của bài Chúng ta cũng thấy được cách cấu hình máy chủ ISA trong một cấu hình chỉ có một giao diện mạng và cách tạo, export và import các chứng chỉ Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Trong phần tiếp theo, chúng tôi sẽ tiếp tục giới thiệu các thiết lập cấu hình cần thiết cho Exchange CAS/Front-End Server và cách cấu hình. .. không được chọn trên máy chủ Exchange Client Access Kích hoạt Outlook Anywhere trên máy chủ Exchange Client Access Yêu cầu các truyền thông kênh an toàn (SSL) cho Web site 1 Để xác nhận rằng thẩm định dựa trên các biểu mẫu không được chọn trên một Exchange CAS, trong Exchange Management Console, bạn mở rộng phần Server Configuration, sau đó kích Client Access Chọn máy chủ Client Access của bạn sau đó chọn... Management Console, mở rộng phần Server Configuration, sau đó kích Client Access Chọn máy chủ Client Access của bạn Trong cửa sổ này, kích Enable Outlook Anywhere ở bên dưới tên máy chủ mà bạn vừa chọn Nhập tên cấu hình mà máy khách sẽ sử dụng để kết nối với máy chủ Client Access trong trường External Host name Tên này phải phù hợp với tên chung hoặc FQDN được sử dụng trong chứng chỉ máy chủ được Simpo... trên máy chủ ISA Xác nhận rằng phương pháp thẩm định mở rộng được thiết lập là NTLM authentication và kích Enable Hình 6 6 Để yêu cầu Web site chỉ chấp nhận cho các truyền thông kênh an toàn, bạn hãy theo bước 3 từ phần trước (Cấu hình Exchange 2003 Front-End) cho tất cả các thư mục ảo được đề cập /owa Cơ bản về thẩm định ISA Trước khi vào cấu hình phần các nguyên tắc, chúng ta hãy xem cách ISA Server... thư mục ảo /Exchange và kích Properties Trên tab Directory Security kích Edit Chọn Require secure channel (SSL) trên cửa sổ Secure Communication sau đó kích OK Kích OK một lần nữa để đóng hộp thoại các thuộc tính Web site Lặp lại bước này cho /Public, /Exchweb và /rpc Hình 2 Cấu hình Exchange 2007 Client Access Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Với Exchange 2007,... số thay đổi trong cấu hình của Exchange 2003 để việc công bố ISA Server Web client làm việc đúng cách: • • • Xác nhận thẩm định dựa trên biểu mẫu không được chọn trên máy chủ Exchange frontend Kích hoạt RPC qua HTTP trên máy chủ Exchange front-end Yêu cầu các kênh truyền thông an toàn (SSL) với Web site 1 Để xác nhận rằng thẩm định dựa trên các biểu mẫu không được chọn trên máy chủ Exchange front-end,... máy chủ ISA chuyển tiếp yêu cầu của máy chủ đến máy chủ Outlook Web Access, và tự thẩm định bản thân nó với máy chủ Outlook Web Access bằng các thông tin của máy khách Máy chủ Outlook Web Access sẽ hợp lệ lại các thông tin này bằng cách sử dụng cùng một bộ cung cấp thẩm định Máy chủ Web phải được cấu hình để sử dụng cơ chế thẩm định hợp với phương pháp ủy nhiệm đã được sử dụng bằng máy chủ ISA Bước... Outlook Web Access gửi một đáp ứng trả lại phía máy khách, đáp ứng này bị chặn bởi máy chủ ISA Bước 6, việc chuyển tiếp đáp ứng: máy chủ ISA sẽ chuyển tiếp đáp ứng đến máy khách Bạn phải nhớ rằng sự hợp lệ Active Directory chỉ có thể xảy ra khi máy chủ ISA là một thành viên miền (cùng tên miền với bộ điều khiển miền hoặc trong một miền tin cậy) Khi máy chủ ISA của chúng ta ở trong cấu hình nhóm làm... kích OK Với các thay đổi mà chúng ta vừa thực hiện, bạn phải khởi động lại Internet Information Services (IIS) Để khởi động lại IIS, bạn chạy lệnh dưới đây: "iisreset /noforce" Hình 5 4 Lặp lại các bước từ 1-3 cho các trang dưới đây: Exchange (Default Web Site), Exchweb (Default Web Site), và Public (Default Web Site) 5 Để kích hoạt Outlook Anywhere trên máy chủ Client Access của bạn, trong Exchange ... http://www.simpopdf.com Cấu hình Exchange Client Access với ISA 2006 (Phần 2) Qua này, xem xét đến việc cấu hình Exchange CAS/Front-End ISA Server có chế thẩm định yêu cầu làm việc Cấu hình Exchange 2003... http://www.simpopdf.com Hình 1: Cấu trúc Exchange Các đặc điểm cấu trúc này: • • • ISA Server nhóm làm việc ISA Server có giao diện mạng ISA Server DMZ Cấu hình máy chủ ISA Nhiệm vụ cấu hình ISA Server nhóm... lại bước cho /Public, /Exchweb /rpc Hình Cấu hình Exchange 2007 Client Access Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Với Exchange 2007, thay đổi cần thiết là: