标题：在工作组环境下的 ISA Server 2006 上发布 Windows SBS 2003 R2 ST 中的 Exchange Server OWA
出处：gOxiA=苏繁=SuFan Blog
时间：Wed, 17 Sep 2008 18:11:13 +0000
作者：gOxiA
地址：https://goxia.maytide.net/read.php/1068.htm

内容：
在工作组环境下的 ISA Server 2006 上发布 Windows SBS 2003 R2 ST 中的 Exchange Server OWA环境说明：两个子网（子网 A 和子网 B）分别是两个独立的 AD，其中子网 B 基于 Windows SBS 2003 R2，共同使用同一台 ISA Server 2006 访问互联网，并同时使用同一个公网 IP 用于服务的发布。其中 子网 A 暂不提供邮件服务的发布。实施目标：使用 ISA Server 2006 发布子网 B 中 Windows SBS 2003 R2 上 Exchange Server 的 OWA实施要点：1、导出 Windows SBS 2003 R2 中涉及的证书；2、修改 Exchange Server 中的 HTTP 协议，禁用“启用基于表单的身份验证”；3、在 ISA Server 2006 上导入 Windows SBS 2003 R2 的证书；4、在 ISA Server 2006 上访问 OWA 进行测试，确保访问过程无任何提示警告（如：证书警告）；5、在 ISA Server 2006 上配置 LDAP 服务器的访问；6、在 ISA Server 2006 上创建用于发布服务的端口侦听；7、在 ISA Server 2006 上创建用于发布 OWA 的防火墙策略；实施步骤：一、在 Windows SBS 2003 R2 中导出证书，该证书用于 ISA Server 2006 发布 OWA 时所需。1、在 Windows SBS 2003 R2 上打开 IIS 管理器，进入 Exchange 站点属性。2、切换到“目录安全性”选项页，单击“查看证书”，在“证书”的“详细信息”选项页中单击“复制到文件”，将该证书导出。 3、在证书导出向导中，选择导出私钥。 4、个人信息交换复选中，勾选“如果可能，包括证书路径中所有证书”。5、由于要导出私钥，所以会要求我们键入一个用于保证私钥安全的密码。6、最后，将导出的证书保存到我们指定的一个位置。 二、禁用 Exchange 的“启用基于表单的身份验证”，才能保证 ISA Server 2006 正确发布 OWA。为此，在 Windows SBS 2003 R2 上，运行 Exchange 的系统管理器，切换到当前服务器-“协议”-“HTTP”-“Exchange”，鼠标右键单击“Exchange 虚拟服务器”进入“属性”-“设置”，去除“启用基于表单的身份验证”勾选。三、在 ISA Server 2006 上导入 Windows SBS 2003 R2 的证书。为此，通过在“运行”框中键入“mmc”启动 MMC 控制台，在“文件”菜单下单击“添加删除管理单元”，之后单击添加，选中“独立管理单元”下的“证书”进行添加。在随后的向导界面中，选择添加“计算机帐号”，并指定为“本地计算机”。之后，我们在“个人”-“证书”中导入证书。 按照向导提示，选择证书所在位置，并键入私钥密码，最后将证书保存在个人存储中。到这里还并未完成，由于 ISA Server 2006 不在子网 B 的 AD 中，所以无法认证 CA Root，故我们要将该证书导入到受信任的根证书颁发机构。为此，我们只需要在将“个人”-“证书”下的证书复制并粘贴到“受信任的根证书颁发机构”下即可。四、现在我们要在 ISA Server 2006 上访问 Windows SBS 2003 R2 上的 OWA 进行测试，检查是否在连接过程中出现错误或证书警告，并执行相应的排错。注意，由于在 Windows SBS 2003 R2 上配置邮件时，填写的是公网域名，所以生成的证书地址将对应此公网地址，所以在 ISA Server 2006 上进行访问测试前，建议修改“%WINDIR%system32driversetc”目录下的“hosts”添加一条记录，将此公网域名指向到 Windows SBS 2003 R2 的内网地址上。五、由于环境的特殊性，ISA Server 2006 并不隶属于子网 B 中的 AD，所以在发布 OWA 时涉及到的身份验证传输就需要依靠 LDAP。为此，我们打开 ISA Server 2006 控制台，切换到“配置”-“常规”下，单击“指定 RADIUS 和 LDAP 服务器”。在 LDAP 服务器选项页中，我们添加一个 LDAP 服务器级，将其命名为“contoso”，并添加一个服务器，机器名为“sbs”，可以在描述中注释该机器的 IP 地址，并键入 "Active Directory 域名（使用完全限定的域名）"为“contoso.com”，同时提供有权限查询该AD的帐号和密码。最后，添加用于匹配用户登录字符串的登录表达式“contoso*”，LDAP 服务器集选择为刚才创建的“contoso”。六、所有的前期准备工作基本上都完成了，下面我们来创建用于发布 OWA 的端口侦听，这里我们要用到 TCP 80 和 443，虽然 OWA 需要 SSL 连接方式，而默认只使用 443 端口，但是由于还要发布其他非 SSL 连接的网站，故我们同时要添加对 80 端口的侦听。为此，在网络对象中新建“Web 侦听器”，启动向导页后，将这个侦听命名为“Listen 80 & 443”。 选择“需要与客户端建立 SSL 安全连接”。 从“外部”侦听传入的 Web 请求。在“侦听器 SSL 证书”向导页，单击“选择证书”。选中之前导入的证书。确认无误后，单击“下一步”。身份验证设置中，选择使用“HTML 窗体身份验证”的方式，并选择使用“LDAP (Active Directory)”来验证客户端凭据。 由于 Windows SBS 2003 R2的特殊性，我们需要再对“Listen 80 & 443”进行配置，勾选“将通过身份验证的通讯从 HTTP 重定向到 HTTPS”，这样保证了我们在通过“www.contoso.com/exchange”作为地址方式时，系统会自动帮我们重定向为“https://www.contoso.com/exchange”并进入 ISA Server 2006 的 “HTML 窗体身份验证”。 最后，创建“Exchange Web 客户端访问发布规则”，右键单击“防火墙策略”，单击“新建”-“创建 Exchange Web 客户端访问发布规则”。 将该发布规则命名为“Publish OWA”。 选择 Exchange 版本为 Exchange Server 2003，在“Web 客户端邮件服务支持”下勾选“Outlook Web Access”。选择“发布单个网站或负载平衡器”作为发布类型。 填写内部站点名称，并根据需要复选“使用计算机名称或IP地址连接到已发布的服务器”，在此我填写的是IP地址。 在“公用名称细节”这里填写我的公用名称“www.contoso.com”，在实际环境中，可能会更多的使用“mail.contoso.com”作为访问地址，同时更希望直接通过“mail.contoso.com”来访问 OWA 而不是“https://mail.contoso.com/exchange”，这些都是可以实现的，不过我会放在以后与大家介绍具体的实施方法。 选择我们之前创建好的 Web 侦听器。 “身份验证委派”我们选择使用“基本身份验证”的方法。 默认应用于来自“所有通过身份验证的用户”请求。由于此环境并未设计到单点登录，所以在下一步的单点登录配置向导，我们可以去除复选，最后完成 OWA 的发布。现在我们可以在外部的客户端通过 IE 浏览器来访问 OWA 了。如果提示证书警告，直接忽略继续访问即可。这是由于客户端的受信任证书颁发机构中并不存在 OWA 的证书。针对此问题我们可以单独导出一个证书链提供给用户下载，并导入到客户端本地受信任证书颁发机构中。尾注：本实施说明纯粹为了作技术备忘，并没有完全去介绍每个细节的概念，如需了解更多的 OWA 发布细节可以在网上搜索。 



Generated by Bo-blog 2.1.1 Release