Главная Exchange/UC, Без рубрики, Новое Публикация Exchange 2010 – OWA и ActiveSync
  • Публикация Exchange 2010 – OWA и ActiveSync

    image В прошлой статье “Сертификация” мы рассмотрели вопрос выдачи сертификата серверу Exchange 2010, без которого не получиться организовать защищенное SSL соединение. Теперь можно приступать непосредственно к настройке внешнего доступа к службам Outlook Web App и Exchange ActiveSync.

    По умолчанию службы Exchange 2010 настроены на работу с локальными URL`ми, следовательно, нам необходимо добавить к ним ещё и внешние. Делается это на уровне конфигурирования серверов – роль Client AccessOutlook Web Appсвойства OWAExternal URL.

    image

    Рис.1: Установка External URL для Outlook Web App.

    Кроме того, необходимо изменить метод аутентификации на сайте OWA, c Form-based на стандартный. Делается это во вкладке Authentication, как показано на рисунке:

    image

    Рис.2: Изменение метода аутентификации.

    Мы изменяем метод аутентификации т.к. планируется, что FBA будет использоваться на сервере TMG, который в свою очередь будет «пробрасывать» пользователей на локальный сайт, автоматически аутентифицируя их при помощи обычной проверки подлинности. Использовать FBA и для локальных пользователей и для внешних не получиться.

    Аналогичные настройки необходимо повторить для Exchange Control Panel и для Exchange ActiveSync. Когда все настройки будут выполнены, нужно будет перезапустить IIS командой iisreset /noforce.

    Закончив с конфигурированием Exchange, давайте переместимся на сервер с TMG и настроим публикацию необходимых сервисов в Интернет.

    Публикация сервисов Exchange на TMG

    Перед тем, как настраивать публикацию сервисов Exchange 2010 в сети Интернет нужно на сервер с TMG импортировать все необходимые сертификаты безопасности, в нашем случае это будут:

    • · Сертификат корневого ЦС (т.к. сервер TMG находится в рабочей группе);
    • · Сертификат Exchange.

    О том, как сделать импорт/экспорт, мы говорили ранее, теперь, в результате проделанных манипуляций в оснастке Сертификаты (Локальный компьютер) на сервере с TMG у вас должен быть установлен сертификат сервера Exchange – в контейнере Личные (Personal) и сертификат доменного ЦС – в контейнере Доверенные корневые центры сертификации (Trusted Root Certification Authorities).

    image

    Рис.3: Сертификаты на сервере TMG.

    Если все так и есть, то можно приступить к настройке TMG.

    Создадим правило публикации OWA

    Для этого откроем консоль управления сервером TMGПолитики межсетевого экранаОпубликоваться доступ веб-клиента Exchange – в мастере впишем понятное имя правила (например, OWA) и на следующем шаге выберем версию сервера – Exchange 2010Веб-клиент Outlook.

    image

    Рис.4: Создание правила публикации доступ веб-клиента Exchange.

    Пройдем по шагам мастера:

    • · Опубликовать один веб-сайт;
    • · Использовать SSL для подключения…;
    • · Имя внутреннего веб-сайта – mail.test.local (у меня);
    • · Внешнее имя – mail.alexxhost.ru (у меня);
    • · Создать веб-прослушиватель (если ещё не создан):
      • o Назовем его Exchange-Listener;
      • o Требовать безопасного подключения SSL для клиентов;
      • o Выберем внешнюю сеть, либо IP-адреса на которых нужно слушать запросы;
      • o Использовать единый сертификат для данного веб-прослушивателя и выберем ранее импортированный сертификат (у меня mail.alexxhost.ru);
      • o Проверка подлинности на основе HTML-форм, способ проверки Active Directory (LDAP), т.к. у меня сервер TMG находится в рабочей группе!;
      • o Можно отключить единый вход для веб-сайтов, опубликованных с данным веб-прослушивателем;
      • o Т.к. наш сервер с TMG не входит в домен, соответственно нужно вручную добавить LDAP-сервер, как показано на рисунке:

    image

    Рис.5: Добавление LDAP-сервера.

    • · Вернемся в мастер публикации Exchange и установим обычную проверку подлинности;
    • · Т.к. сервер не входит в домен, то придется создать новый набор учетных записей:
      • o Назовем их Domain Users;
      • o Добавить – LDAP…;
      • o Набор LDAP-серверов – Default Set (в него входит LDAP-сервер настроенный ранее), Имя пользователя – Все пользователи…;

    image

    Рис.6: Добавление нового набора пользователей.

      • o Включим новый набор пользователей в правило публикации и на этом закончим работу мастера.

    После того, как правило будет создано, и изменения применены, можно попробовать через веб-браузер открыть Outlook Web App по локальному адресу и по внешнему. Если все было сделано правильно, то на внешнем адресе должна сработать авторизация на основе веб-формы OWA, а на локальном адресе – обычная авторизация Windows. При этом браузер должен доверять сертификату ОБОИХ сайтов, проверить это можно нажав на значок замка, справа от строки адреса.

    image

    Рис.7: Проверка SSL-сертификата веб-сайта.

    Правило публикации Exchange ActiveSync

    Публикация Exchange ActiveSync происходит аналогичным образом, только в начале нужно выбрать не Веб-клиент Outlook, а Exchange ActiveSync. При этом в данном правиле нужно будет использовать тот же прослушиватель (Exchange-Listener), который мы создали во время настройки правила публикации OWA.

    После применения правила публикации на TMG, нужно настроить ActiveSync на самом коммуникаторе, но перед этим необходимо установить сертификат доменного ЦС в корневой контейнер коммуникатора, для этого скачиваем сертификат ЦС на флэш-карту КПК и запускаем его. Сертификат установится автоматически, и вы увидите соответствующее сообщение:

    image

    Рис.8: Установка сертификата корневого ЦС на КПК.

    Чтобы проверить наличие и правильный импорт сертификата необходимо открыть меню Settings – System – Certificates – вкладка Root, там должен быть сертификат корневого ЦС.

    Далее можно приступать к конфигурированию ActiveSync. Открыв ActiveSync нужно нажать MenuServer Source – указать ваш E-mail адресвнешнее имя сервера и учетные данные пользователя.

    image

    Рис.9: Настройка ActiveSync.

    Если все было настроено правильно, то синхронизация пройдет без ошибок и вы сможете пользоваться корпоративным сервером Exchange 2010 у себя на КПК.

    Заключение

    На этом публикацию таких сервисов Exchange 2010 как Outlook Web App и Exchange ActiveSync можно закончить. В следующей статье мы поговорим про настройку Outlook Anywhere и функции Autodiscover.

    Данная статья является частью цикла “Публикация сервисов Exchange 2010 через TMG”, скачать все целиком вы можете в виде PDF файла – здесь, или посмотреть веб-каст на эту тему на портале TechDays по адресу – http://www.techdays.ru/videos/2814.html

    Алексей Богомолов (Alexx)
    http://alexxhost.ru

Комментарии

  1. Если в OWA включить Form Based Auth, то совсем не нужно будет беспокоиться об аутентификации пользователя на стороне TMG, линковку LDAP и прочее делегирование.

    Что внутри сети, что снаружи достаточно будет ввести логинпароль в OWA’шной форме.

  2. to Argon.
    Правильно, внутри сети нужно будет вводить логинпароль в OWA’шной форме.
    В большинстве случаев клиенты Exchange будут подключаться изнутри с доменных рабочих станций под доменными же учетными записями. Так что, лучше оставить Integrated Windows Аuthentication. Тем более, что пока не весь функционал OWA доступен из Outlook. Для доступа к персональному автосекретарю или для отслеживания доставки писем приходится заходить в OWA.

  3. и снова доброго времени суток! )
    сертификат на коммуникатор установил, учетные данные ввел, к сети интернет подключен.
    Результат: Синхронизацию не удалось завершить. код поддержки: 0х80004005
    есть какие-то соображения?

  4. Александр, а ранее на этом устройстве проводилась какая либо синхронизация при помощи ActvieSync? Если да, то можно попробовать сначала удалить все файлы синхронизации, а потом настроить ActiveSync ещё раз.
    Попробуйте сначала настроить все на эмуляторе Windows Mobile, скачать можно тут – http://www.microsoft.com/downloads/en/details.aspx?FamilyID=20686a1d-97a8-4f80-bc6a-ae010e085a6e
    PS Вы смотрели веб-каст на эту тему, ссылка есть в конце статьи?

  5. спасибо, разобрался! ))
    1. на коммуникаторе выл вбит DNS статикой, из-за чего инет работал оч медленно и через опу! )
    2. не внимательно ввел учетные данные ))

  6. А возможно ли настроить это всё не имея внешнего домена, просто имея Static IP

  7. тогда у вас сертификат будет ругаться, ну или используйте данные из файла host

  8. Немножко оживлю тему)
    А могу ли я OWA и ActiveSync публиковать на один url, например: mail.domain.ru? Точнее, понимаю, что могу, вот только нормально ли ActiveSync уживаться будет с FBA-аутентификацией? Я думал, ему только Basic подавай….

  9. Здравствуйте, Илья! Подскажите, если TMG является членом домена, то все таки нужно на нем настраивать проверку подлинности на основе HTML-форм, способ проверки Active Directory (LDAP)?, просто было случае когда TMG являясь членом домена элементарно для доступа в Интернет доменным пользователям при настроенным “Всем прошедшим проверку” не запрашивал логин и пароль.