安装和配置 Microsoft Forefront TMG 以实现安全的 OWA 访问
在本文档中,我们将介绍部署 Microsoft Exchange Server 安装时最常见的安装之一 2010 e 确保您通过 OWA 访问从外部连接 (或必要的服务) 通过 DMZ 网络上的 TMG 主机. 我们将执行 Microsoft Forefront TMG 的安装 (威胁管理网关) DMZ 计算机上的旧 ISA Server,该服务器将仅通过 HTTPS 从 Internet 进行连接,并且该服务器将仅连接到具有 HUB 角色的 Exchange 服务器 (或 CAS 阵列).
在本文档中,我们将看到一个典型的情况, 我们已经有一个 DMZ,我们将在其中引入一个主机,我们将在该主机上安装 Microsoft Forefront 威胁管理网关 2010 具有以太网支路,请求将从外部传入 (互联网网络) 他会进去 (局域网). 本文档将允许 OWA 连接 (Outlook 网页应用程序) 从外部,我们会将它们重定向到我们拥有的 Client Access 服务器数组 (CAS 低阵列 NLB), 如果我们没有这种类型的集群,我们会将其转发到具有 Client Access 角色的 Exchange 服务器.
安装 Microsoft Forefront TMG 2010,
我们在 DMZ 有一个团队准备就绪, 我们只需安装 Windows 并设置一个计算机名称即可, DMZ 范围 IP 地址 (无需配置 DNS 的, 甚至不是为了控制, 的条目位于 'hosts’ 相应…). Microsoft Forefront 威胁管理网关 DVD 简介 2010 在 authorun 中,我们选择 “运行 Preparation Tool”
向导将开始准备具有所有必要要求的本地设备并为我们安装, “以后”,
“我接受许可条款” & “以后”
我们标记第一个选项 “Forefront TMG 服务和管理” & “以后”,
… 也就是说,我们等待几分钟,等待它安装和配置必要的功能…
选择 “启动 Forefront TMG 安装向导” & “结束”,
TMG 安装向导将开始, “以后”,
“我同意许可协议的条款” & “以后”,
我们标明必要的数据, 以及序列号, “以后”,
选择安装路径 (默认 %ProgramFiles%Microsoft Forefront 威胁管理网关), “以后”,
此时,我们将指示哪个 IP 范围属于“内部网络”, 压 “加…”
我们添加我们感兴趣的内容, 或 DMZ 的专用适配器或 IP 范围, 为此 “添加间隔…”,
我们表示 DMZ 的范围, 初始 IP 到结束 IP, “接受”,
“接受”,
“以后”,
我们必须考虑到指定的服务将重新启动 (如果我们在生产中使用它们),
准备开始安装!
… 我们等了很久…
我们已经安装了新的 ISA! 我们保持选中该选项 “向导关闭时启动 Forefront TMG 管理” & “结束”,
在入门向导中,我们将首先配置计算机的网络选项, 点击 “配置网络选项”,
“以后”,
在我目前的情况下,我有一个净腿,所以我只能选择 “单个网络适配器”, 其他选项将用于不同情况或用于其他目的, 就我而言,我将简单地将外部连接安全地传输到内部以使用 OWA, Outlook 无处不在… “以后”,
它将向我们显示计算机的网络适配器及其网络配置, 我们检查它是否正确 “以后”,
准备, 我们确认 “结束”,
还行, “配置系统选项”
如果我们认为有必要,可以修改一些服务器选项的简短向导,
我们检查一切是否正确 & “以后”,
“结束”,
最后,我们以助手结束 “定义部署选项”,
“以后”,
我们必须指出 “使用 Microsoft Update 服务检查更新” 使 Forefront TMG 保持最新状态, “以后”,
我们配置 TMG 许可并更新问题, “以后”,
如果我们想参与改进和体验计划… “不” & “以后”,
如果我们想要发送 Microsoft 恶意软件使用报告, 等… “没有” & “以后”,
最后, 准备 “结束”,
我们关闭向导, 如果我们愿意,我们可以使用 Assistant for Web Access 并能够与 TMG 建立连接,或者我们稍后对其进行配置.
为 OWA 生成证书,
在配置 TMG 之前,我们必须拥有使用 OWA 的有效证书, 所以我们需要从 Exchange 生成一个证书请求, 然后使用有效的 CA 生成证书, 将其导入到我们发出证书请求的服务器中,并将其分配给 IIS 服务. 我们必须以 PFX 格式导出此证书 (使用私钥) 并将其导入到我们需要的设备中, 无论是其他 Exchange 服务器还是 TMG 本身, 为此,我们必须使用每台计算机的本地证书,而不是用户的本地证书; 因此,我们需要打开一个 MMC 并添加 'Certificates' 插件’ 和“主队帐户”, 从那里我们可以导出/导入证书, 我们需要在“个人’ 并且显然具有 CA 证书 (证书颁发机构 – 证书颁发机构) 在“受信任的根证书颁发机构”下.
井, 开始, 从 Exchange 管理控制台 > “服务器配置” > “新的 Exchange 证书…”
我们指明证书的名称, “以后”,
“以后”,
我们指示希望证书具有的服务, 为此,我们必须指明 OWA 所需的域名, ActiveSync, Outlook 无处不在… 就我而言,所有内容都将始终使用相同的域名, 我们表明它 & “以后”,
我们确认域名正确无误 & “以后”,
我们指示证书数据: 组织, 组织统一, 国家或地区, 城市或城镇, 州或省以及我们将保留证书申请的地方. “以后”,
“新增功能” 生成证书请求,
“结束”,
现在我们必须转到证书颁发机构并提交我们刚刚生成的应用程序, 我们将为即用型 Web 服务器获取证书, 我们将能够使用公有的 CA (推荐) 或在我们的网络上使用 Microsoft CA.
生成证书后,我们将其导入, 继续我们在发出请求的同一服务器上的位置,单击“证书”’ > “完成待处理的申请…”
我们从中选择证书 “检查” & “完成”,
“结束”,
正确安装证书后 (我们信任您的 CA) 我们必须将其分配给 Exchange 服务, 在我们的例子中,它将是针对 OWA 的, 因此,我们会将其分配给 IIS 服务. 关于证书 > “将服务分配给证书…”
我们指示将受影响的 Exchange 服务器的名称 & “以后”
表明 “互联网信息服务” & “以后”,
“分配”,
就是这样!
在设置 TMG 之前,所有这些都需要准备好, 一旦我们拥有它, 上面说过的, 我们必须在 TMG 服务器上安装此证书 (在团队帐户上) 和 AC(如有必要).
Microsoft Forefront TMG 配置 2010 授予对 OWA 的访问权限,
在文档的这一部分,我们将了解如何允许以安全的方式从组织外部到内部使用 OWA, 我们打开 Forefront TMG 管理控制台, 我们将 “防火墙策略” > “发布 Exchange Web 客户端访问”
我们给规则起个名字, “以后”,
我们指示组织中拥有的 Exchange 版本,并检查 “Outlook 网络访问”, “以后”,
“发布单个网站或负载均衡” 如果我们有一个具有 Client Access 角色的服务器,或者我们有一个 CAS 数组, “以后”,
我们指示希望 TMG 如何连接到客户端访问服务器, 我们标记第一个选项 “使用 SSL”, “以后”,
我们指明了我们网站的内部名称 (我们的 CAS), 如果它没有按名称解析 TMG,我们必须指示具有 OWA 的服务器的 IP 地址, “以后”,
我们指示您仅接受公有域名的申请,我们将使用该域名从外部访问和输入这些域名, “以后”,
我们创建一个 Web 侦听器来指示我们将听到来自国外的请求, “新增功能…”,
我们标明网站的名称 & “以后”,
马克 “需要与客户端建立安全的 SSL 连接” & “以后”,
我们指明我们将使用的监听网络 (在这种情况下,由于我只有一个以太网适配器,因此我不会在乎, 所以我们选择 'Internal'). “以后”,
选择我们之前在客户端访问服务器上生成的证书 “选择 证书…”
我们选择唯一的一个 & “选择”. 如果我们在这里没有获得任何证书,我们必须检查, 我们在计算机帐户上安装了证书, 我们拥有您的私钥,并且我们知道/信任整个认证路径.
我们指示所需的身份验证以及 TMG 将针对我们的域控制器进行验证的方式 (这取决于我们必须允许此设备到网络 DC 的流量的方式), “以后”,
取消选中 SSO (单点登录) & “以后”,
“结束”,
我们继续执行 TMG 规则, “以后”,
我们指示要使用 OWA 服务器验证的身份验证, 建议配置 “Basic Authentication”’ 它是纯文本的,但我们已经建立了一个 SSL 会话,因此它将被加密. “以后”
因此,我们必须在 'owa 的属性’ 配置相同的身份验证方法 (在 Exchange 管理控制台中 > “服务器配置” > “客户端访问” > 睫毛 “Outlook 网页应用程序”).
我们指示规则将适用的用户, “以后”,
我们以 “结束”,
我们在 TMG 中应用更改…
我们将能够从外部检查我们是否有端口映射 (在防火墙级别) 我们如何能够通过 TMG 服务器从外部安全地访问 OWA!
我们确认 OWA 门户如何表明我们“受到 Microsoft Forefront Threat Management Gateway 的保护”.
