В прошлой статье “Сертификация” мы рассмотрели вопрос выдачи сертификата серверу Exchange 2010, без которого не получиться организовать защищенное SSL соединение. Теперь можно приступать непосредственно к настройке внешнего доступа к службам Outlook Web App и Exchange ActiveSync.
По умолчанию службы Exchange 2010 настроены на работу с локальными URL`ми, следовательно, нам необходимо добавить к ним ещё и внешние. Делается это на уровне конфигурирования серверов – роль Client Access – Outlook Web App – свойства OWA – External URL.
Рис.1: Установка External URL для Outlook Web App.
Кроме того, необходимо изменить метод аутентификации на сайте OWA, c Form-based на стандартный. Делается это во вкладке Authentication, как показано на рисунке:
Рис.2: Изменение метода аутентификации.
Мы изменяем метод аутентификации т.к. планируется, что FBA будет использоваться на сервере TMG, который в свою очередь будет «пробрасывать» пользователей на локальный сайт, автоматически аутентифицируя их при помощи обычной проверки подлинности. Использовать FBA и для локальных пользователей и для внешних не получиться.
Аналогичные настройки необходимо повторить для Exchange Control Panel и для Exchange ActiveSync. Когда все настройки будут выполнены, нужно будет перезапустить IIS командой iisreset /noforce.
Закончив с конфигурированием Exchange, давайте переместимся на сервер с TMG и настроим публикацию необходимых сервисов в Интернет.
Публикация сервисов Exchange на TMG
Перед тем, как настраивать публикацию сервисов Exchange 2010 в сети Интернет нужно на сервер с TMG импортировать все необходимые сертификаты безопасности, в нашем случае это будут:
- · Сертификат корневого ЦС (т.к. сервер TMG находится в рабочей группе);
- · Сертификат Exchange.
О том, как сделать импорт/экспорт, мы говорили ранее, теперь, в результате проделанных манипуляций в оснастке Сертификаты (Локальный компьютер) на сервере с TMG у вас должен быть установлен сертификат сервера Exchange – в контейнере Личные (Personal) и сертификат доменного ЦС – в контейнере Доверенные корневые центры сертификации (Trusted Root Certification Authorities).
Рис.3: Сертификаты на сервере TMG.
Если все так и есть, то можно приступить к настройке TMG.
Создадим правило публикации OWA
Для этого откроем консоль управления сервером TMG – Политики межсетевого экрана – Опубликоваться доступ веб-клиента Exchange – в мастере впишем понятное имя правила (например, OWA) и на следующем шаге выберем версию сервера – Exchange 2010 – Веб-клиент Outlook.
Рис.4: Создание правила публикации доступ веб-клиента Exchange.
Пройдем по шагам мастера:
- · Опубликовать один веб-сайт;
- · Использовать SSL для подключения…;
- · Имя внутреннего веб-сайта – mail.test.local (у меня);
- · Внешнее имя – mail.alexxhost.ru (у меня);
- · Создать веб-прослушиватель (если ещё не создан):
- o Назовем его Exchange-Listener;
- o Требовать безопасного подключения SSL для клиентов;
- o Выберем внешнюю сеть, либо IP-адреса на которых нужно слушать запросы;
- o Использовать единый сертификат для данного веб-прослушивателя и выберем ранее импортированный сертификат (у меня mail.alexxhost.ru);
- o Проверка подлинности на основе HTML-форм, способ проверки Active Directory (LDAP), т.к. у меня сервер TMG находится в рабочей группе!;
- o Можно отключить единый вход для веб-сайтов, опубликованных с данным веб-прослушивателем;
- o Т.к. наш сервер с TMG не входит в домен, соответственно нужно вручную добавить LDAP-сервер, как показано на рисунке:
Рис.5: Добавление LDAP-сервера.
- · Вернемся в мастер публикации Exchange и установим обычную проверку подлинности;
- · Т.к. сервер не входит в домен, то придется создать новый набор учетных записей:
- o Назовем их Domain Users;
- o Добавить – LDAP…;
- o Набор LDAP-серверов – Default Set (в него входит LDAP-сервер настроенный ранее), Имя пользователя – Все пользователи…;
Рис.6: Добавление нового набора пользователей.
-
- o Включим новый набор пользователей в правило публикации и на этом закончим работу мастера.
После того, как правило будет создано, и изменения применены, можно попробовать через веб-браузер открыть Outlook Web App по локальному адресу и по внешнему. Если все было сделано правильно, то на внешнем адресе должна сработать авторизация на основе веб-формы OWA, а на локальном адресе – обычная авторизация Windows. При этом браузер должен доверять сертификату ОБОИХ сайтов, проверить это можно нажав на значок замка, справа от строки адреса.
Рис.7: Проверка SSL-сертификата веб-сайта.
Правило публикации Exchange ActiveSync
Публикация Exchange ActiveSync происходит аналогичным образом, только в начале нужно выбрать не Веб-клиент Outlook, а Exchange ActiveSync. При этом в данном правиле нужно будет использовать тот же прослушиватель (Exchange-Listener), который мы создали во время настройки правила публикации OWA.
После применения правила публикации на TMG, нужно настроить ActiveSync на самом коммуникаторе, но перед этим необходимо установить сертификат доменного ЦС в корневой контейнер коммуникатора, для этого скачиваем сертификат ЦС на флэш-карту КПК и запускаем его. Сертификат установится автоматически, и вы увидите соответствующее сообщение:
Рис.8: Установка сертификата корневого ЦС на КПК.
Чтобы проверить наличие и правильный импорт сертификата необходимо открыть меню Settings – System – Certificates – вкладка Root, там должен быть сертификат корневого ЦС.
Далее можно приступать к конфигурированию ActiveSync. Открыв ActiveSync нужно нажать Menu – Server Source – указать ваш E-mail адрес – внешнее имя сервера и учетные данные пользователя.
Рис.9: Настройка ActiveSync.
Если все было настроено правильно, то синхронизация пройдет без ошибок и вы сможете пользоваться корпоративным сервером Exchange 2010 у себя на КПК.
Заключение
На этом публикацию таких сервисов Exchange 2010 как Outlook Web App и Exchange ActiveSync можно закончить. В следующей статье мы поговорим про настройку Outlook Anywhere и функции Autodiscover.
Данная статья является частью цикла “Публикация сервисов Exchange 2010 через TMG”, скачать все целиком вы можете в виде PDF файла – здесь, или посмотреть веб-каст на эту тему на портале TechDays по адресу – http://www.techdays.ru/videos/2814.html
Алексей Богомолов (Alexx)
http://alexxhost.ru
Если в OWA включить Form Based Auth, то совсем не нужно будет беспокоиться об аутентификации пользователя на стороне TMG, линковку LDAP и прочее делегирование.
Что внутри сети, что снаружи достаточно будет ввести логинпароль в OWA’шной форме.
to Argon.
Правильно, внутри сети нужно будет вводить логинпароль в OWA’шной форме.
В большинстве случаев клиенты Exchange будут подключаться изнутри с доменных рабочих станций под доменными же учетными записями. Так что, лучше оставить Integrated Windows Аuthentication. Тем более, что пока не весь функционал OWA доступен из Outlook. Для доступа к персональному автосекретарю или для отслеживания доставки писем приходится заходить в OWA.
и снова доброго времени суток! )
сертификат на коммуникатор установил, учетные данные ввел, к сети интернет подключен.
Результат: Синхронизацию не удалось завершить. код поддержки: 0х80004005
есть какие-то соображения?
Александр, а ранее на этом устройстве проводилась какая либо синхронизация при помощи ActvieSync? Если да, то можно попробовать сначала удалить все файлы синхронизации, а потом настроить ActiveSync ещё раз.
Попробуйте сначала настроить все на эмуляторе Windows Mobile, скачать можно тут – http://www.microsoft.com/downloads/en/details.aspx?FamilyID=20686a1d-97a8-4f80-bc6a-ae010e085a6e
PS Вы смотрели веб-каст на эту тему, ссылка есть в конце статьи?
спасибо, разобрался! ))
1. на коммуникаторе выл вбит DNS статикой, из-за чего инет работал оч медленно и через опу! )
2. не внимательно ввел учетные данные ))
[…] Публикация Exchange 2010 – OWA и ActiveSync […]
[…] […]
А возможно ли настроить это всё не имея внешнего домена, просто имея Static IP
тогда у вас сертификат будет ругаться, ну или используйте данные из файла host
Немножко оживлю тему)
А могу ли я OWA и ActiveSync публиковать на один url, например: mail.domain.ru? Точнее, понимаю, что могу, вот только нормально ли ActiveSync уживаться будет с FBA-аутентификацией? Я думал, ему только Basic подавай….
Здравствуйте, Илья! Подскажите, если TMG является членом домена, то все таки нужно на нем настраивать проверку подлинности на основе HTML-форм, способ проверки Active Directory (LDAP)?, просто было случае когда TMG являясь членом домена элементарно для доступа в Интернет доменным пользователям при настроенным “Всем прошедшим проверку” не запрашивал логин и пароль.