环境拓扑图:
clip_p_w_picpath002
ISA 网络图:
clip_p_w_picpath004
如上图,ISA Server加入域中,内部网络中有DC、Mail(Exchange Server 2007),DMZ区域有Edge-A、Edge-B两台边缘传输服务器。本实验将进行以下内容:
1. 将内网中Exchange Server的OWA对外发布
2. 创建访问规则为边缘订阅做准备,允许内网的Exchange Server 访问DMZ区域的两台Edge服务器TCP 25和TCP 50636端口;允许DMZ区域使用SMTP协议访问内网。
3. 将DMZ区域的两台Edge服务器TCP 25端口对外发布。
4. 创建访问规则允许Edge服务器的TCP 25端口对外访问
本实验不讨论Exchange Server的配置内容,下面进行具体操作步骤:
1. 发布 OWA
由于本次进行发布的是带SSL的OWA访问,所以发布之前我们首先需要从Exchange Server 2007(CAS)中将证书导出拿到ISA服务器中进行导入,否则发布将无法进行下去。
首先,登录内网中的Exchange Server 2007服务器,将IIS中的证书进行导出,操作如下:
在IIS控制台中选择“服务器证书”,如下图:
clip_p_w_picpath006
在“服务器证书”窗口中选择“导出”,如下图:
clip_p_w_picpath008
在弹出的“导出证书”窗口中选择导出的目标位置和设置一个密码,如下图:
clip_p_w_picpath009
将刚才导出的证书拷贝到ISA服务器中进行导入。
切换到ISA服务器,在运行栏中输入MMC,然后添加计算机证书,如下图:
clip_p_w_picpath011
分别在“个人”和“受信任的根证书颁发机构”将证书进行导入,导入过程在此省略。
clip_p_w_picpath013
将证书成功导入到ISA服务器中之后,现在就可以开始发布OWA了,下面打开“ISA 服务器管理”,切换到“工具箱”,在此首先要创建一个WEB侦听器,如下图:
clip_p_w_picpath014
在弹出的“新建Web 侦听器定义向导”窗口中输入侦听器输入一个名称,如下图:
clip_p_w_picpath015
在“客户端连接安全设置”窗口中选择需要SSL的安全连接,如下图:
clip_p_w_picpath016
在“Web 侦听器IP地址”窗口中选择侦听的目标网络,如下图:
clip_p_w_picpath017
在“侦听器SSL 证书”窗口中单击“选择证书”按钮,如下图:
clip_p_w_picpath018
在弹出的“选择证书”窗口中为侦听器选择一张有效的证书,如下图:
clip_p_w_picpath020
在返回的窗口中选择“下一步”,如下图:
clip_p_w_picpath021
在“身份验证设置”窗口中选择一种验证方式,在此选择“没有身份验证”,这种方式的意思是,ISA不进行用户请求的身份验证,直接交给目标服务器进行验证,如下图:
clip_p_w_picpath022
在“单一登录设置”窗口中单击“下一步”,如下图:
clip_p_w_picpath023
在完成窗口单击“完成”,如下图:
clip_p_w_picpath024
至此,Web侦听器就创建完成了,下面开始进行OWA的发布操作。
clip_p_w_picpath025
clip_p_w_picpath026
clip_p_w_picpath027
clip_p_w_picpath028
clip_p_w_picpath029
clip_p_w_picpath030
clip_p_w_picpath031
clip_p_w_picpath032
clip_p_w_picpath033
clip_p_w_picpath034
clip_p_w_picpath035
至此,OWA的发布已经完成。
2. 创建访问规则
在创建上面的相关发布规则之后,下面接着为内部网络创建访问规则,以便让内网中的Exchange Server 能够跟DMZ区域中的Edge服务器进行通讯。在此我们需要开放两个端口,TCP 25和TCP 50636端口,因为后面进行的边缘订阅和邮件传输需要用到这两个端口。
由于ISA中没有内置TCP 50636端口的相关协议,所以创建访问规则之前需要先为这个端口创建一个自定义的协议,具体如下:
clip_p_w_picpath036
clip_p_w_picpath037
clip_p_w_picpath038
clip_p_w_picpath039
clip_p_w_picpath040
clip_p_w_picpath041
clip_p_w_picpath042
至此,为TCP 50636端口创建自定义协议工作已经完成。下面开始创建相关的访问规则:
clip_p_w_picpath043
clip_p_w_picpath044
clip_p_w_picpath045
clip_p_w_picpath046
clip_p_w_picpath047
clip_p_w_picpath048
clip_p_w_picpath049
clip_p_w_picpath050
最后将刚才所做的操作应用一下。
3. 发布 Edge
下面准备将DMZ区域中的Edge服务器对外发布,以便能够接收到来自组织外部的邮件:
clip_p_w_picpath051
clip_p_w_picpath052
clip_p_w_picpath053
clip_p_w_picpath054
clip_p_w_picpath055
clip_p_w_picpath056
clip_p_w_picpath057
clip_p_w_picpath058
clip_p_w_picpath059
至此,Edge的发布操作已经完成,最后将操作应用即可。
由于我的环境中使用两台Edge进行负载均衡,所以还需要发布第二台Edge:
clip_p_w_picpath060
clip_p_w_picpath053[1]
clip_p_w_picpath054[1]
clip_p_w_picpath061
clip_p_w_picpath062
clip_p_w_picpath063
4. 创建访问规则允许 Edge 服务器的 TCP 25 端口对外访问
为了能够让组织内部的邮件传输到组织以外,还需要为DMZ区域创建相关访问规则,以便Edge服务器能够将邮件向外投递:
clip_p_w_picpath064
clip_p_w_picpath065
clip_p_w_picpath045[1]
clip_p_w_picpath066
clip_p_w_picpath067
clip_p_w_picpath068
clip_p_w_picpath049[1]
clip_p_w_picpath069
clip_p_w_picpath071
至此,整个实验过程全部完成。^_^