简介
Microsoft Internet Security and Acceleration (ISA) Server 2004 和 Microsoft Exchange Server 2003 被设计成能够在用户的网络环境中紧密协作,以便提供一个安全的消息环境。
本文介绍如何将 ISA Server 2004 部署为高级的防火墙服务器,从而保护用户的消息环境。
ISA Server 2004 和 Exchange Server 2003
注意:既使用户将 Exchange 前端服务器从外围网络中移出,它们仍然在公司内部网络中充当前端服务器。
ISA Server 扮演的角色相当于高级防火墙,通过多网络功能,控制与其连接的多个网络的成员之间的 Internet 通讯。在 Exchange 情境中,ISA Server 负责控制进入公司内部网络的流量,以及从公司消息环境流出的出站流量。如果使用 ISA Server 处理来自客户端应用程序(比如:Microsoft Office Outlook 2003 和 Outlook Web Access)的所有入站请求,将不再需要从外围网络定位 Exchange 前端服务器。Exchange 资源将得到保护,免受攻击。
ISA Server 可以保护所有针对 Exchange 服务器的入站 Internet 流量,例如 Microsoft Office Outlook Web Access、来自 Microsoft Office Outlook 2003 客户端的 HTTP 上的 RPC、邮局协议版本 3 (POP3) 和 Internet 邮件访问协议版本 4rev1(IMAP4)。当 ISA Server 接收到来自客户端应用程序(比如:Outlook 2003)对 Exchange 服务器信息的访问请求时,ISA Server 将把该请求路由到内部网络中相应的 Exchange 服务器。内部 Exchange 服务器把被请求的数据返回给 ISA Server,然后 ISA Server 再将信息通过 Internet 发送给客户端。
ISA Server 功能
ISA Server 2004 中包含多项有助于简化和辅助 Exchange 服务器的发布的功能。
新建邮件服务器发布向导
“新建邮件服务器发布向导”可以帮助用户方便地配置访问规则,从而发布:
| • | Web 客户端访问 |
| • | 客户端访问 |
| • | 服务器对服务器通讯:简单邮件传输协议 (SMTP) 和网络新闻传输协议 (NNTP) |
Web 客户端访问
Web 客户端访问包括:
| • | Outlook Web Access。借助 Outlook Web Access,用户可以通过网络浏览器以安全 SSL 的方式访问位于 Exchange 服务器的电子邮件、日历、组计划和公共文件夹信息。 |
| • | Outlook Mobile Access。Outlook Mobile Access 为用户提供从移动设备访问 Outlook 的能力。 |
| • | Exchange ActiveSync。Exchange ActiveSync 允许用户从 Microsoft Windows 支持的设备以较高级别的安全性直接与 Exchange 邮箱进行同步操作,这样的设备包括:Pocket PC 2002、Pocket PC Phone和Windows Powered Smartphone. |
关于如何发布“Web 客户端访问服务”的更多信息,请参考“ISA Server 2004 中的 OWA Server 发布”(http://www.microsoft.com)。
ISA Server 还支持 RPC 代理服务器的发布,这样,Microsoft Office Outlook 2003 客户端就可以通过 HTTP 上的 RPC 访问自己的邮箱。
客户端访问
ISA Server 支持允许客户端基于以下协议直接访问的 Exchange 发布:
| • | RPC |
| • | IMAP |
| • | POP3 |
| • | SMTP(支持电子邮件的发送) |
服务器对服务器通讯
“新建邮件服务器发布向导”支持用户发布基于 SMTP、Secure SMTP 和 NNTP 的服务器,从而其他服务器可以向其发送电子邮件。
SMTP Filter 和 Message Screener
ISA Server 中包含用于防止网络邮件延迟、病毒和不受欢迎的附件的组件:SMTP Filter 和 Message Screener。
SMTP Filter 能够截获所有到达 25 端口的 SMTP 流量,支持对 SMTP 命令词汇进行筛选,从而防止特定用户和域访问网络。 SMTP 应用程序筛选器随同 ISA Server 一并安装。SMTP Filter 总是位于 ISA Server 计算机上。当 SMTP 流量到达 ISA Server 计算机时,SMTP Filter 使用已经配置好的规则分析流量,如果符合规则,则进行转发。
重要
不推荐和 Exchange Server 2003 一起使用 Message Screener,因为 Message Screener 将会影响 Exchange Server 的“连接筛选”和“收件人筛选”功能。
SMTP Filter 可以和 Exchange Server 2003 一起使用。
Message Screener 用于筛选“SMTP Filter”属性窗口的其他选项卡上指定的关键字和附件。Message Screener 必须安装在 Internet Information Services(IIS)6.0 或 IIS 5.0 SMTP 服务器上。该服务器可以不是 ISA Server 计算机。例如,Message Screener 可以被安装在 ISA Server 计算机、Exchange Server 计算机、或者内部网络或外围网络中的任何 IIS 6.0 或 IIS 5.0 SMTP 服务器上。
关于 SMTP Filter 和 Message Screener 的安装及配置,请参考“使用 ISA Server 2004 SMTP Filter 和 Message Screener”(http://www.microsoft.com)。
情境
本文档主要考虑两种常见的情境:
| • | Exchange Server 2003 部署:包括位于外围网络的 Exchange 前端服务器和位于内部网络的后端服务器。用户希望通过 ISA Server 保护该部署。 |
| • | Exchange Server 2003 部署:包括位于内部网络的前端和后端服务器。用户希望通过 ISA Server 保护该部署。 |
解决方案
如果 Exchange 前端服务器位于外围网络,解决方案将把前端服务器移至内部网络,并让 ISA Server 负责处理来自公司网络之外的请求,例如来自 Internet 的请求。这样就无法直接从公司网络之外访问 Exchange 服务器,从而保证了它们的安全。
如果前端服务器已经位于内部网络中,可以将 ISA Server 部署在前端服务器之前以保护它们。
该文档后面将介绍的过程涉及这两种解决方案。如果前端服务器已经位于内部网络中,请跳过关于转移服务器的步骤。
部署建议
整个演练过程描述了如何在生产环境中部署 ISA Server。但是,在生产环境中部署 ISA Server 之前,应该首先在非生产环境,即测试实验室环境中进行全面测试。为了将用户可能遇到的服务失败降到最低限度,除了进行实验室测试,还应该采用分阶段的产品上线过程,在配置的正确性被验证之前不要将服务器从外围网络移出。
网络拓扑
为了部署该解决方案,需要以下计算机(它们是实验室配置的最低要求):
| • | 充当 Exchange 前端服务器的计算机。该计算机必须运行 Windows Server 2003 或 Windows 2000 Server 和 Exchange 2003。关于 Exchange 的系统要求的更多信息,请参考“Exchange Server 2003 的系统要求”(http://www.microsoft.com)。 |
| • | 充当 Exchange 后端服务器的计算机。该计算机必须运行 Windows Server 2003 或 Windows 2000 Server 和 Exchange 2003。关于 Exchange 的系统要求的更多信息,请参考“Exchange Server 2003 的系统要求”(http://www.microsoft.com)。 |
| • | 内部网络的域控制器。 |
| • | 至少有一台内部客户端计算机。 |
| • | ISA Server 2004 计算机,至少两块网络适配器。 |
| • | 至少一台外部客户端计算机。 |
网络拓扑(服务器从外围网络移出之后)如下图所示。
重要
不要将 ISA Server 计算机用作前端服务器。Exchange 前端服务器需要具备一些 ISA Server 计算机无法提供的功能,例如针对外部访问的统一命名空间。我们推荐用户将 ISA Server 部署在 Exchange 前端服务器之前。
结合 ISA Server 使用 Exchange Server 2003 的演练
这个演练包括以下过程:
| • | 过程 1:部署 ISA Server 2004 |
| • | 过程 2:转移 Exchange 前端服务器至内部网络 |
| • | 过程 3:配置公司 DNS 服务器 |
| • | 过程 4:配置 SMTP 服务器 |
| • | 过程 5:为入站邮件配置 ISA Server |
| • | 过程 6:为出站邮件配置 ISA Server |
| • | 过程 7:启用 Exchange 服务器的外部客户端访问 |
| • | 过程 8:为 Outlook 2003 配置 HTTP 上的 RPC |
结合 ISA Server 使用 Exchange Server 2003 演练过程 1:部署 ISA Server 2004
在外围网络部署 ISA Server 并将 Exchange 服务器转移至内部网络之前,必须先在一台至少具备两块网络适配器的计算机上安装 ISA Server。
放置 ISA Server 计算机
安装 ISA Server 之前,首先需要考虑 ISA Server 计算机的摆放位置。可以将 ISA Server 计算机放在公司域中。但在某些拓扑结构中,可能需要将 ISA Server 计算机放在公司域之外。针对此类情境,可以将 ISA Server 添加到支持身份验证请求的公司域的一个信任域中;或者放到一个工作组中,并在必要的时候使用 RADIUS 身份验证。
使用静态的内部 IP 地址
确保 ISA Server 计算机的内部网络网卡的 IP 地址是静态的。这种配置是必要的,因为我们必须配置 SecureNAT 客户端,例如入站 SMTP 服务器,并让它们指向 ISA Server 计算机的内部 IP 地址。如果内部网络适配器的 IP 地址发生变化,则必须手动更新这些客户端。使用静态 IP 地址可以避免这个问题。
ISA Server 计算机与内部网络和外围网络都连接之后,它就可以控制入站和出站的 Internet 流量。
为 ISA Server 获取一个外部 IP 地址
外围网络网卡需要一个 IP 地址,这样 Internet 通讯才能连接到它。为外部网络适配器获取一个 IP 地址,并在 TCP/IP 设置中进行配置。
如果已经采用自己的公司 DNS 服务器来处理外部名称解析,可以考虑使用分配给 Internet 域的名称服务器的 IP 地址。如果采用这个 IP 地址,您就可以将 DNS 服务器转移至内部网络,并使用 ISA Server 转发来自 Internet 的 DNS 请求。如果为 ISA Server 获取另外一个单独的 IP 地址,然后将 DNS 服务器移至内部网络,则必须在 Internet Registrar 中更新您的名称服务器记录,使其指向新的 ISA Server IP 地址。
安装 ISA Server 2004
想在指定计算机上安装 ISA Server,请执行以下步骤。
| 1. | 将 ISA Server CD 插入光盘驱动器,或者从共享的网络驱动器运行 ISAautorun.exe。 | ||||||||
| 2. | 在“Microsoft ISA Server 安装”中,单击安装 ISA Server。 | ||||||||
| 3. | 安装程序检查完系统配置之后,在欢迎页面上单击下一步。 | ||||||||
| 4. | 如果接受最终用户许可协议中的各项条款,请单击我接受许可协议中的条款,然后单击下一步。 | ||||||||
| 5. | 输入用户信息,然后单击下一步。 | ||||||||
| 6. | 单击典型安装。
注意: 这里有四个组件可供安装。
典型安装安装 ISA Server 服务 和 ISA Server 管理。完整安装安装所有组件。自定义安装允许用户选择自己需要安装的组件。 | ||||||||
| 7. | 单击下一步。 |
想要配置内部网络,请执行以下步骤。
| 1. | 单击添加。 | ||||
| 2. | 单击配置内部网络。 | ||||
| 3. | 选择基于 Windows 路由表添加地址范围。
| ||||
| 4. | 选择一个或多个连接到内部网络的网络适配器。这些地址将被包含在 ISA Server 默认定义的内部网络中。 | ||||
| 5. | 取消对添加以下专用 IP 范围的选择,除非要将这些地址范围添加到内部网络中。 | ||||
| 6. | 单击确定。阅读“安装信息”,并单击确定,再次单击确定,完成内部网络配置。然后单击下一步。 | ||||
| 7. | 在“防火墙客户端连接设置”页面上,选择是否允许防火墙客户端和 ISA Server 计算机之间的非加密连接。ISA Server 2004 防火墙客户端软件采用了加密功能,但是较早版本的软件没有采用。并且某些版本的 Windows 也不支持加密。可以进行以下选择:
| ||||
| 8. | 在服务页面上查看在 ISA Server 安装过程中将被停止和取消的服务。想要继续安装,请单击下一步。 | ||||
| 9. | 单击安装。 | ||||
| 10. | 安装完成之后,如果想要立即调用“ISA Server 管理”,请选择调用 ISA 管理复选框,然后单击完成。 |
结合 ISA Server 使用 Exchange Server 2003 演练过程 2:将 Exchange 前端服务器移至内部网络
为了确保 ISA Server 计算机是唯一暴露给 Internet 的计算机,需要将 Exchange 服务器放置在内部网络中。过程 1 中所述的 ISA Server 安装已经定义了内部网络,现在需要做的仅是在物理上将前端 Exchange 服务器连接到 ISA Server 计算机的内部网卡上,或者连接到一个与该网卡连接的路由器上。
结合 ISA Server 使用 Exchange Server 2003 演练过程 3:配置公司 DNS 服务器
为了确保针对 Exchange 服务器的请求能够被正确解析,需要执行几个步骤。
更新 MX 记录,以指向 ISA Server
通常情况下,组织的 MX 记录指向一个主机记录,然后该主机记录再指向一个位于外围网络的 SMTP 网关的 IP 地址。现在,必须更新主机记录,使其指向 ISA Server 计算机的外部 IP 地址。可以继续使用原来的 MX 记录和主机名,但必须指向新的 IP 地址,即 ISA Server 计算机的外部 IP 地址。
例如,考虑以下 DNS 项:
Mail Exchanger (MX) [10] smtp.contoso.com. smtp Host (A) 192.168.0.2
MX 记录指向名为 smtp 的主机记录,它的 IP 地址为 192.168.0.2。在这个例子中,需要将 smtp 主机记录的 IP 地址改为 ISA Server 计算机的外部 IP 地址。
注意:必须在负责处理 Exchange 服务器名称解析请求的 DNS 服务器上对 MX 记录进行更新。如果有一台 DNS 服务器负责处理这样的请求,那么就在这台 DNS 服务器上进行更改。如果请求由外部 DNS 服务器负责处理,则把所做的修改提交给管理该服务器的组织。
以下步骤仅适用于使用公司 DNS 服务器处理 Exchange 服务器名称解析请求的情况。如果请求由外部 DNS 服务器负责处理,例如由 Internet 服务提供商管理的服务器负责,请跳过该步骤。
移动 DNS 服务器
将 DNS 服务器从外围网络转移至内部网络。现在,DNS 服务器仅需要一块网络适配器连接到内部网络。确保 DNS 服务器拥有一个静态 IP 地址,因为如果 IP 地址发生改变,入站邮件路由可能失败。
发布 DNS 服务器
将公司 DNS 服务器移至内部网络之后,需要创建一个服务器发布规则,基于 DNS 协议将服务器发布到外部网络。
| 1. | 展开“Microsoft ISA Server 管理”并单击 防火墙策略。 |
| 2. | 在防火墙策略任务窗格(位于任务选项卡)上单击创建新的服务器发布规则,启动“新建服务器发布规则向导”。 |
| 3. | 在向导的欢迎页面上,为规则提供一个名称,例如 Publish Corporate DNS for Exchange Name Resolution,然后单击下一步。 |
| 4. | 在选择服务器页面上,为 DNS 服务器提供 IP 地址,然后单击下一步。 |
| 5. | 在选择协议页面上,选择 DNS 服务器,然后单击下一步。 |
| 6. | 在 IP 地址页面上,选择 ISA Server 将要侦听请求的网络。因为要接收来自 Internet 的名称解析请求,所以选择外部,然后单击下一步。 |
| 7. | 在完成新建服务器发布规则向导页面上,滚动浏览整个规则配置,确保规则配置正确,然后单击完成。 |
| 8. | 在“ISA Server”详细信息窗格中,单击应用,应用所做的更改。应用更改将需要一段时间。 |
| 9. | 然后,必须修改名称服务器记录,使其指向 ISA Server 计算机的外部 IP 地址。 注意:ISA Server 系统策略中有一个访问规则,支持从 ISA Server 计算机到所有网络的 DNS 协议。ISA Server 安装的时候,该规则被默认启用,因此不必创建此规则。 |
将 DNS 服务器配置成 SecureNAT 客户端
必须将公司 DNS 服务器配置成 SecureNAT 客户端。SecureNAT 客户端是没有安装防火墙客户端软件的计算机,并且拥有默认的 TPC/IP 路由规则,即通过 ISA Server 计算机连接到 Internet。当 ISA Server 把来自 Internet 的 DNS 请求转发给公司 DNS 服务器时,DNS 服务器需要被配置成 SecureNAT 客户端,从而可以通过 ISA Server 将响应成功地路由回 Internet。为了使 DNS 服务器可以正确地路由这些响应,必须在 SecureNAT 客户端上将默认网关设置为 ISA Server 内部网络适配器的 IP 地址。
想要将 DNS 服务器配置为 SecureNAT 客户端,请打开服务器网络适配器的“TCP/IP”属性页面,然后将默认网关的 IP 地址设为 ISA Server 内部网络适配器的 IP 地址。
注意:该设置假定 DNS 服务器与 ISA Server 计算机位于同一网段。如果它们位于不同的网段,请将默认网关指向路由器,并配置路由器把流向 Internet 的数据包路由到 ISA Server 的内部 IP 地址。
从 Internet 测试公司 DNS 服务器
具备 Internet 访问能力的计算机现在可以查询公司 DNS 服务器,即使 DNS 服务器位于内部网络中。测试外部的 DNS 查询可以正常地工作。首先,在公司 DNS 服务器上创建一个用于测试目的的新主机记录(命名为 dnstest)。然后,在连接到 Internet 的另外一台计算机上使用诸如 NSLOOKUP 的工具查询 dnstest.example.com(其中 example 是域名)并验证查询是否成功。记住,用于 NSLOOKUP 查询的 IP 地址应该是 ISA Server 外部网络适配器的 IP 地址。
结合 ISA Server 使用 Exchange Server 2003 演练过程 4:配置 SMTP 服务器
为了配置 SMTP 服务器,需要将 SMTP 服务器从外围网络移出,然后将其配置为 SecureNAT 客户端。
将 SMTP 服务器移出外围网络
ISA Server 负责处理所有来自 Internet 的入站流量。请将 SMTP 网关服务器从外围网络转移至内部网络。SMTP 服务器现在只需一块网络适配器连接到内部网络。
重要
验证作为 ISA Server 转发目标的服务器均是静态 IP 地址。因为 ISA Server 被配置为把传入的流量路由到特定的 IP 地址,如果 SMTP 或 DNS 服务器的 IP 地址发生变化,入站邮件路由将会失败。
将 SMTP 服务器配置为 SecureNAT 客户端
与 DNS 一样,默认情况下入站 SMTP 服务器也需要通过 ISA Server 计算机路由 Internet 流量。将 SMTP 服务器配置为 SecureNAT 客户端……为了将 SMTP 服务器配置为 SecureNAT 客户端,请在服务器的网络适配器上打开“TCP/IP”属性页面,然后将默认网关的 IP 地址设为 ISA Server 内部网络适配器的 IP 地址。
注意:注意:该操作假定 SMTP 服务器与 ISA Server 计算机位于同一网段。如果它们位于不同的网段,请将默认网关指向路由器,并配置路由器把 Internet 数据包路由到 ISA Server 的内部 IP 地址。
结合 ISA Server 使用 Exchange Server 2003 演练过程 5:为入站邮件配置 ISA Server
必须配置 ISA Server,以允许流量通过。首先,配置入站 Internet 邮件。
需要对 ISA Server 进行配置,使其为内部用户处理来自 Internet 的邮件。SMTP 网关服务器不再负责接收来自外围网络的入站邮件。配置之后的 ISA Server 负责接收传入的 SMTP 流量,并将其转发到位于内部网络的 SMTP 服务器。
为入站 SMTP 流量创建邮件服务器发布规则
必须创建一个邮件服务器发布规则,指导 ISA Server 将传入的 SMTP 请求转发至 SMTP 网关。请使用“新建邮件服务器发布规则向导”,按照以下步骤创建一个新的邮件发布规则。
| 1. | 展开“Microsoft ISA Server 管理”并单击防火墙策略。 |
| 2. | 在防火墙策略任务窗格(位于任务选项卡)上单击发布邮件服务器,启动“新建邮件服务器发布规则向导”。 |
| 3. | 在向导的欢迎页面上,为规则提供一个名称(比如:Inbound SMTP),然后单击下一步。
|
| 4. | 在选择访问类型页面上,选择服务器对服务器通讯:SMTP、NNTP,然后单击下一步。
|
| 5. | 在选择服务页面上,选择 SMTP。也可以选择安全的 SMTP,如果想要将 Exchange 服务器发布为接收安全的 SMTP 通讯。新闻组 NNTP 用于新闻服务器的发布,从而接收来自新闻组的电子邮件。
|
| 6. | 在选择服务器页面上,提供 Exchange 服务器的 IP 地址,然后单击下一步。
|
| 7. | 在 IP 地址页面上,选择 ISA Server 将要侦听请求的网络。因为想要接收来自外围网络的通讯,所以选择外部,然后单击下一步。
|
| 8. | 在完成新建邮件服务器发布规则向导页面上,滚动浏览规则配置,确信配置正确,然后单击完成。 |
| 9. | 在“ISA Server”详细信息窗格中,单击应用,应用所作的更改。需要花费一些时间应用更改。 |
使用 Telnet 测试入站 SMTP 流量
Internet 上的邮件服务器现在应该可以连接到入站 SMTP 服务器的端口 25 并向组织发送邮件。现在,测试该连接是否工作正常。在一台连接到 Internet 的计算机上使用 Telnet 访问位于端口 25 的外部 MX 记录主机。
例如,如果公司 DNS 中的一个 MX 记录将 smtp.contoso.com 列为主机,应该输入以下命令行:
telnet smtp.contoso.com 25
在这个例子中,应该得到类似如下的响应:
220 smtp.contoso.com Microsoft ESMTP MAIL Service, Version:6.0.3790.0 ready at Wed, 25 Jun 2003 09:08:58 -0700
如果没有从 SMTP 服务器获得响应,请尝试直接连接 ISA Server 计算机的 IP 地址。如果连接成功,可能是 DNS 配置有问题。
如果确定可以使用 Telnet 通过 ISA Server 访问 SMTP 服务器,内部网络就应该可以接收来自 Internet 的入站 SMTP 邮件。从 Internet 发送一封电子邮件给组织中的某个人,验证是否到达。
结合 ISA Server 使用 Exchange Server 2003 演练过程 6:为出站邮件配置 ISA Server
配置完入站 Internet 邮件之后,下一个步骤是配置出站邮件,保证从组织流出的邮件流量可以通过 ISA Server 被路由到 Internet。负责处理 Internet 邮件的 SMTP 桥头服务器必须可以创建指向 Internet 上其他邮件服务器的 SMTP 会话。另外,网络中的计算机必须可以查询 Internet 上的 DNS 服务器。
创建 SMTP 访问规则
为了支持出站 SMTP 连接,需要在 ISA Server 上创建一个访问规则,以允许出站 SMTP 流量:
| 1. | 在“Microsoft ISA Server 管理”控制台树中,选择防火墙策略。 |
| 2. | 在任务窗格(位于任务选项卡)上选择创建新的访问规则,启动“新建访问规则向导”。 |
| 3. | 在向导的欢迎页面上,为访问规则输入一个名称,例如 Outbound SMTP,然后单击下一步。
|
| 4. | 在规则操作页面上,选择允许,然后单击下一步。
|
| 5. | 在协议页面上,在本规则应用于中选择所选协议,然后使用添加按钮打开添加协议对话框。
|
| 6. | 在添加协议对话框中,展开邮件,然后选择 SMTP。单击添加,然后单击关闭,关闭添加协议对话框。在协议页面上,单击下一步。
|
| 7. | 在访问规则源页面上,单击添加,打开添加网络实体对话框,展开网络,选择内部,单击添加,然后单击关闭。
|
| 8. | 在“访问规则源”页面上单击下一步。 注意:可以将访问规则源限制给一个包含处理入站邮件的 Exchange 服务器的计算机集。如果已经将 Exchange 上的 SMTP 连接器配置为处理所有出站邮件,那么只有 Exchange 服务器在“访问规则源”中被列出(作为一个 Computer 网络对象)。关于 Computer 和 Computer Set 网络对象的更多信息,请参考附录 A:创建规则元素。 |
| 9. | 在访问规则目标页面上,单击添加打开添加网络实体对话框,展开网络,选择外部网络 (Internet),单击添加,然后单击关闭。在访问规则目标页面上,单击下一步。 |
| 10. | 在用户集页面上,可以指定一个用户集,也可以保留默认的用户集所有用户。如果想要指定一个特定的用户集,请选择所有用户,然后单击删除。然后,使用添加按钮来打开添加用户对话框,从该对话框中,您可以添加规则所应用到的用户集。添加用户对话框还通过新建菜单项提供对“新建用户集向导”的访问。有关用户集的更多信息,请参阅附录 A:创建规则元素。在完成用户集选择之后,请单击下一步。
|
| 11. | 检查向导摘要页面上的信息,然后单击完成。 |
| 12. | 在“防火墙策略”详细信息窗格中,单击应用,应用所作的更改。应用更改可能要花费一些时间。记住,访问规则是有顺序的,因此如果在该顺序中的允许规则前面存在一个 SMTP 请求的拒绝规则,则访问将被拒绝。 |
启用出站 DNS 流量
为了允许 Exchange 向 Internet 地址发送邮件,它必须可以解析 Internet 上的 DNS 名称。如果内部网络中存在一台公司 DNS 服务器负责 DNS 解析,您必须在 ISA Server 计算机上创建一个访问规则,允许来自 DNS 服务器的出站 DNS 查询。如果不存在负责出站名称解析(名称解析在公司网络之外进行)的公司 DNS 服务器,访问规则必须允许来自 Exchange 服务器的出站 DNS 查询。
如果想对访问规则进行限制,使其仅应用于 DNS 服务器或 Exchange 服务器,可以创建一个仅包含这些服务器的 Computer 或 Computer Set 网络对象。关于 Computer 和 Computer Set 网络对象的更多信息,请参考附录 A:创建规则元素。
| 1. | 在“Microsoft ISA Server 管理”控制台树中,选择防火墙策略。 |
| 2. | 在任务窗格(位于任务选项卡)中选择创建新的访问规则,启动“新建访问规则向导” |
| 3. | 在向导的欢迎页面上,为访问规则输入一个名称,例如 Outbound DNS,然后单击下一步。 |
| 4. | 在规则操作页面上,选择允许,然后单击下一步。 |
| 5. | 在协议页面上,在本规则应用于中选择所选协议,然后使用添加按钮打开添加协议对话框。 |
| 6. | 在添加协议对话框中,展开通用协议,然后选择 DNS。单击添加,然后单击关闭关闭添加协议对话框。在协议页面上,单击下一步。 |
| 7. | 在访问规则源页面上,单击添加打开添加网络实体对话框,选择之前创建的 Computer 或 Computer Set 网络对象,单击添加,然后单击关闭。在访问规则源页面上,单击下一步。 |
| 8. | 在访问规则目标页面上,单击添加打开添加网络实体对话框,单击 网络,选择外部网络(代表 Internet),单击添加,然后单击关闭。在访问规则目标页面上,单击下一步。 |
| 9. | 在用户集页面上,可以指定一个用户集,也可以保留默认的用户集所有用户。如果想要指定一个特定的用户集,请选择所有用户并单击删除。然后,使用添加按钮来打开添加用户对话框,从该对话框中,您可以添加规则所应用到的用户集。添加用户对话框还通过新建菜单项提供对“新建用户集向导”的访问。有关用户集的更多信息,请参阅附录 A:创建规则元素。在完成用户集选择之后,请单击下一步。 |
| 10. | 检查向导摘要页面上的信息,然后单击完成。 |
| 11. | 在“防火墙策略”详细信息窗格中单击应用,应用所作的更改。应用更改可能要花费一些时间。记住,访问规则是有顺序的,因此如果在该顺序中的允许规则前面存在一个 SMTP 请求的拒绝规则,则访问将被拒绝。 |
将 SMTP 桥头服务器配置为 SecureNAT 客户端
如果用于出站 Internet 邮件的 SMTP 连接器被配置为使用 DNS,那么它所在的 Exchange 服务器必须被配置为 SecureNAT 客户端。如果连接器不使用 DNS,而是被配置为路由到一个智能主机,则这个智能主机(被配置为通过 DNS 路由出站邮件)必须是一个 SecureNAT 客户端。
想要将 SMTP 桥头服务器配置为 SecureNAT 客户端,请打开服务器网络适配器的“TCP/IP”属性页面,将默认网关的 IP 地址设置为 ISA Server 内部网络适配器的 IP 地址。
注意:该操作假定服务器与 ISA Server 计算机位于同一网段。如果它们位于不同的网段,请将默认网关指向路由器,并配置路由器将 Internet 数据包路由到 ISA Server 内部 IP 地址。
向 Internet 上的一个用户发送测试消息
现在,应该可以向具备 Internet 邮件地址的收件人发送邮件。向 Internet 上的一个用户发送测试消息,确认出站邮件工作正常。
结合 ISA Server 使用 Exchange Server 2003 演练过程 7:启用到 Exchange 服务器的外部客户端访问
可以使用“新建邮件服务器规则发布规则向导”发布两类外部客户端访问:
| • | Web 客户端访问,其中包括 Outlook Web Access、Outlook Mobile Access 和 Exchange Server ActiveSync。 |
| • | 使用 RPC、IMAP、 POP3 和 SMTP 协议的客户端访问。 |
关于 Web 客户端访问服务的发布,请参考文档“ISA Server 2004 中的 Outlook Web Access 发布”(http://www.microsoft.com)。该文档介绍了如何启用基于 RPC、IMAP、POP3 和 SMTP 协议的客户端访问。
创建新的邮件发布规则
为了支持来自外部客户端的访问,请使用“新建邮件服务器发布规则向导”创建一个新的邮件发布规则。
| 1. | 展开“Microsoft ISA Server 管理”并单击防火墙策略。 |
| 2. | 在防火墙策略任务窗格(位于任务选项卡)上选择发布一个邮件服务器,启动“新建邮件服务器规则向导”。 |
| 3. | 在向导的欢迎页面上,为规则提供一个名称,例如 External Client Access,然后单击下一步。 |
| 4. | 在“选择访问类型”页面上,选择客户端访问:RPC、IMAP、POP3、SMTP,然后单击 下一步。
重要 |
| 5. | 在选择服务页面中,选择允许访问的协议。安全端口绑定到 SSL 加密协议:IMAPS、POP3S 和 SMTPS。
|
| 6. | 在选择服务器页面上,提供 Exchange 服务器的 IP 地址,然后单击下一步。 |
| 7. | 在 IP 地址页面上,选择 ISA Server 将要侦听外部客户端请求的网络。因为要接收来自外围网络的流量,所以请选择外部,然后单击下一步。 |
| 8. | 在完成新建邮件服务器发布规则向导页面上,滚动查看规则配置情况,验证配置正确,然后单击完成。 注意:“新建邮件服务器发布规则向导”为每个选中的协议创建一个独立的发布规则。可以在“防火墙策略”详细信息窗格查看各个规则。 |
| 9. | 在“防火墙策略”详细信息窗格中,单击应用,应用所作的更改。需要花费一些时间应用更改。 |
在 RPC 规则上要求加密
如果已经创建了一个发布 Exchange RPC 服务器的规则(不是 HTTP 上的 RPC,有关内容请参考“结合 ISA Server 使用 Exchange Server 2003 演练过程 8: 为 Outlook 2003 配置 HTTP 上的 RPC”),应该对这些连接要求加密。想要对 Exchange RPC 服务器通讯要求加密,请执行以下步骤。
| 1. | 展开“Microsoft ISA Server 管理”并单击防火墙策略。 |
| 2. | 在防火墙策略详细信息窗格中,双击“Exchange RPC 服务器”规则。规则的名称就是在“新建邮件服务器发布规则向导”中指定的名称加上 Exchange RPC Server,例如 External Client Access Exchange RPC Server。
|
| 3. | 在规则属性中,选择流量选项卡,单击筛选,然后选择配置 Exchange RPC 打开配置 Exchange RPC 策略对话框。
|
| 4. | 选择强制加密,然后单击确定。
|
| 5. | 单击确定关闭规则属性页面。 |
| 6. | 在 ISA Server 详细信息窗格中单击应用,应用所作的更改。需要花费一些时间应用更改。 |
结合 ISA Server 使用 Exchange Server 2003 演练过程 8:为 Outlook 2003 配置 HTTP 上的 RPC
Microsoft Office Outlook 2003 客户端可以使用 HTTP 上的 RPC 访问自己的邮箱。想要为 Outlook 2003 用户提供对 Exchange 服务器的 HTTP 上的 RPC 访问,首先需要在 RPC 代理服务器上发布 /rpc 虚拟目录。可以使用一个 Web 发布规则在 RPC 代理服务器上指定 /rpc 虚拟目录,从而发布该目录。在这个例子中,RPC 代理服务器位于 Exchange 前端服务器上,您也可以将它放置在另外一台 Web 服务器上。为了便于维护,我们推荐您使用 Exchange 前端服务器作为 RPC 代理服务器。
为了发布 /rpc 虚拟目录,请创建一个 Web 发布规则。
| 1. | 打开“Microsoft ISA Server 管理”,展开 ISA Server 计算机节点,然后单击防火墙策略。 | ||||||||
| 2. | 在任务窗格(位于任务选项卡)中单击发布一个 Web 服务器,启用“新建 Web 发布规则向导”。 | ||||||||
| 3. | 在欢迎页面的名称字段中为规则输入一个名称,例如 Publish RPC over HTTP,然后单击下一步。 | ||||||||
| 4. | 在选择规则操作页面上,确保默认的允许被选中,保证满足规则要求的 Web 服务器请求可以通过。单击下一步。 | ||||||||
| 5. | 在定义要发布的网站页面上,在计算机名称或 IP 地址中指定想要发布的 RPC 代理服务器。可以使用计算机名称或者 IP 地址。选择转发原始主机头。(更多信息,请参考文档“使用 ISA Server 2004 发布 Web 服务器”(http://www.microsoft.com)。在路径中指定 /rpc 目录。单击下一步。
| ||||||||
| 6. | 在公用名详细信息页面上,提供相关信息,指出哪些请求将会被 ISA Server 计算机接收并转发至 Web 服务器。在接收所请求的对象中,如果选择任何域名,则任何被解析为 ISA Server 计算机外部 Web 侦听器 IP 地址的请求都将被转发至组织的网站。如果选择此域名并提供特定的域名,例如 www.fabrikam.com,则只有对 http://www.fabrikam.com 的请求会被转发至 Web 服务器。因为指定了文件夹 /rpc,所以请求中也需要包含它:http://www.fabrikam.com/rpc。要求的请求格式显示在站点中。单击下一步。
| ||||||||
| 7. | 在选择 Web 侦听器页面上,指定用于侦听需要转发至 Web 服务器的请求的侦听器,然后单击下一步。如果还没有定义 Web 侦听器,请单击新建,并按照以下步骤创建一个新的侦听器。
| ||||||||
| 8. | 在用户集页面上显示默认的所有用户。这使得外围网络的所有计算机都可以访问发布的 Web 页面。如果想要指定一个特定的用户集,请选择所有用户,然后单击删除。然后,使用添加按钮来打开添加用户对话框,从该对话框中,您可以添加规则所应用到的用户集。添加用户对话框还通过新建菜单项提供对“新建用户集向导”的访问。有关用户集的更多信息,请参阅附录 A:创建规则元素。完成用户集的选择之后,单击下一步。 | ||||||||
| 9. | 在完成新建 Web 发布规则向导页面上,滚动浏览所有规则设置,确保设置正确,然后单击完成。 | ||||||||
| 10. | 在“ISA Server”详细信息窗格单击应用,应用所作的更改。 |
附录 A:创建规则元素
ISA Server 规则元素是一种用于改进 ISA Server 规则的对象。例如,一个子网规则元素代表网络中的一个子网。既可以创建仅应用于一个子网的规则,也可以创建应用于除指定子网之外整个网络的规则。
用户集是规则元素的另外一个例子,它代表一组用户。通过创建用户集并在 ISA Server 规则中使用它们,可以创建仅应用于指定用户集的规则。
想要查看哪些规则元素可用,请展开 ISA Server 计算机节点,单击防火墙规则,然后选择工具箱选项卡。其中包括五种类型的规则元素:
| • | 协议。 这种规则元素类型包括各种协议,用于限制访问规则的适用性。例如,除了同等对待所有协议之外,您还可以允许或禁止一或多种协议。 |
| • | 用户。在这种规则类型中,您可以创建将被应用规则的用户集,或者不被应用规则的用户集。 |
| • | 内容类型。这种规则元素类型用于指定想要应用规则的内容类型。 |
| • | 计划。在这种规则元素类型中,您可以指定规则应用的时间计划。 |
| • | 网络对象。在这种规则元素类型中,您可以创建计算机集合,用于指定规则应用或者不应用于这些计算机。 |
请按照以下步骤创建一个规则元素。
| 1. | 打开“Microsoft ISA Server 管理”,展开 ISA Server 计算机节点,单击防火墙策略。 |
| 2. | 在任务窗格中选择工具箱选项卡。 |
| 3. | 单击相应的标题(协议、用户、内容类型、计划或网络对象)选择规则元素类型。 |
| 4. | 在元素列表的顶部单击新建。
|
| 5. | 提供需要的信息。完成之后单击对话框中的确定,新的规则元素将被创建。 |
| 6. | 在详细信息窗格中单击应用,应用所作的更改。如果愿意,您也可以在创建 Web 发布规则之后单击应用。也就是说,在完成所有更改之后一起应用,而不是每完成一项更改就应用一次。需要花费一些时间应用更改。 |
扫一扫
100
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
