Tài liệu về cấu hình exchange client access với ISA 2006

Bài viết này sẽ đề cập với các bạn một số vấn đề dưới đây: • Cấu hình ISA Server • Cấu hình Exchange • Các chứng chỉ: cách lấy, cài đặt và export • Cách tạo một lắng nghe web thích h

Cấu hình Exchange Client Access với ISA 2006 (Phần 1)

Việc cấu hình Exchange Server Client Access với ISA sẽ là một nhiệm vụ dễ dàng không hề phức tạp? Thực tế điều này là không Mặc dù có nhiều nguồn trên Internet viết về chủ đề này

và Microsoft cũng cung cấp các tài liệu kỹ thuật mở rộng với nhiều bước chi tiết hoặc vắn tắt khác nhau, nhưng sự thực là mỗi lần thực hiện một quá trình cung cấp truy cập vào Exchange cho người dùng mở rộng bằng ISA Server chúng ta lại gặp phải một

số vấn đề khó khăn

Bài viết này sẽ đề cập với các bạn một số vấn đề dưới đây:

• Cấu hình ISA Server

• Cấu hình Exchange

• Các chứng chỉ: cách lấy, cài đặt và export

• Cách tạo một lắng nghe web thích hợp

• Các nguyên tắc cấu hình ISA Server

• Điều khiển lại (thư mục và giao thức)

Bài này được áp dụng cho cả Exchange 2003 và Exchange 2007

Các đối tượng chính

Các mục tiêu chính cần thực hiện là:

• Cấu hình Exchange Client Access đầy đủ trên Internet

o Outlook Web Access (OWA)

o Outlook Mobile Access và ActiveSync

o RPC trên HTTP(s) / Outlook Anywhere

• Sử dụng một URL đơn giản mà không cần phải đánh HTTPS hoặc /exchange (hoặc /owa)

• Sử dụng Forms-Based Authentication trên Internet

• Mở một tập nhỏ các cổng TCP trên tường lửa

Hình 1: Cấu trúc Exchange Các đặc điểm chính của cấu trúc này:

• ISA Server là một nhóm làm việc

• ISA Server chỉ có một giao diện mạng

• ISA Server trong một DMZ

Cấu hình máy chủ ISA

Nhiệm vụ đầu tiên của chúng ta là cấu hình ISA Server trong nhóm làm việc chỉ có một giao diện mạng Chúng tôi sẽ bỏ qua thủ tục cài đặt ISA Server, vì vậy sẽ bắt đầu từ điểm ISA đã được cài đặt trong môi trường Windows Server 2003 mà không thuộc về một miền nào Những

gì chúng ta phải làm là áp dụng Single Network Adapter Template

1 Mở ISA Server Management Console Bạn vào Configuration > Networks Trên cửa sổ Templates, bạn sẽ tìm thấy Single Network Adapter Chọn nó và bạn sẽ kích hoạt được cửa sổ cấu hình Kích Next hai lần

Hình 2

2 Trên cửa sổ Internal Network IP Addresses, bạn sẽ thấy các địa chỉ sẽ được cấu hình để

định nghĩa ISA firewall Internal Network mặc định Bạn có thể chấp nhận các tùy chọn

mặc định Kích Next

Hình 3

3 Chọn Apply default web proxying and caching configuration sau đó kích Next

Các chứng chỉ

Để bảo đảm truyền thông giữa tất cả các thiết bị được an toàn, bạn cần phải cài đặt chứng chỉ máy chủ trên cả Exchange CAS/Front-End và ISA Server Nếu chứng chỉ này đến từ một CA bên trong thì bạn cần phải cài đặt chứng chỉ CA trên cả máy chủ và máy khách với cùng một CA bên trong

Khi bạn cài đặt Exchange 2007, bạn có thể cài đặt mặc định chứng chỉ Secure Sockets Layer (SSL), đây là chứng chỉ được tạo bởi Exchange Setup Mặc dù vậy, chúng tôi không khuyên bạn

sử dụng nó, vì chứng chỉ này không phải là một chứng chỉ SSL an toàn

1 Để đạt được một chứng chỉ máy chủ mới bằng sử dụng Web Server Certificate Wizard, trong IIS Manager, bạn phải mở phần máy tính cục bộ (local computer), sau đó mở thư mục Web Sites Kích chuột phải vào Web site trong các dịch vụ Exchange và chọn

Properties Trên tab Directory Security, kích Server Certificate Sử dụng wizard để

yêu cầu và cài đặt chứng chỉ Web server Trong Web Server Certificate Wizard, bạn chọn

Create a new certificate

Hình 7

2 Trên Delayed or Immediate Request page, chọn Send the request immediately to an online certification authority nếu bạn có một Windows Server 2003 enterprise CA đã cài đặt trong miền, ngược lại chọn Prepare the request now, but send it later

3 Nhập vào các thông tin cần thiết trên Name and Security Settings và các trang

Organization Information

Hình 8

Hình 9

4 Đánh FQDN trên cửa sổ Your Site's Common Name Tên này phải phù hợp với tên mà

ISA Server sẽ sử dụng để truyền thông với máy chủ Exchange Nó không phải là tên mở rộng cuối cùng như chúng ta sẽ nhìn thấy phía trước

bạn Các hành động này cũng sẽ cài đặt chứng chỉ cho Web site của bạn

Nếu bạn đã chọn Prepare the request now, but send it later, hãy lưu yêu cầu vào một

file văn bản và đệ trình nó bằng trình duyệt Nếu nó là một CA của Microsoft thì URL sẽ

là http://CAServerName/CertSrv Chọn Request a certificate, kích Next và chọn

Advanced request Kích Next và chọn Submit a certificate request using a base64 encoded PKCS #10 file Kích Next, và mở file yêu cầu mà bạn đã lưu từ Web Certificate

Wizard trong Notepad Dán toàn bộ văn bản của file, gồm có các dòng BEGIN và END

vào trong hộp văn bản Base64 Encoded Certificate Request Khi chứng chỉ được đưa

ra, hãy trở lại IIS Manager, kích chuột phải vào web site trên tab Directory Security, kích

Server Certificate Chọn Process the pending request

Hình 12

Hình 13

Bước tiếp theo là cài đặt chứng chỉ máy chủ trên máy tính ISA Server, để kích hoạt một kết nối

an toàn giữa máy khách và ISA Server Nếu một CA riêng được sử dụng thì chứng chỉ CA gốc từ

CA riêng sẽ cần phải được cài đặt trên máy tính khách cần tạo kết nối an toàn (kết nối HTTPS) đến máy chủ ISA

Chứng chỉ này có thể có cùng tên với chứng chỉ được cài đặt trên Exchange CAS/Front-End, nếu tên bên trong tương ứng với tên công cộng Trong trường hợp đó, chúng ta sẽ thực hiện thủ tục sau để export chứng chỉ máy chủ:

1 Trên CAS / Front-End, trong IIS Manager, mở rộng phần máy cục bộ và sau đó mở thư mục Web Sites Kích chuột phải vào Web Site trong các dịch vụ Exchange, sau đó chọn

Properties

2 Trên tab Directory Security, kích Server Certificate để bắt đầu Web Server

Certificate Wizard Kích Next trên trang Welcome

3 Chọn Export the current certificate to a pfx file trên cửa sổ Modify the Current Certificate Assignment

Hình 14

4 Đánh đường dẫn và tên file trên cửa sổ Export Certificate, kích Next Nhập mật khẩu cho

file pfx, tốt nhất bạn nên chọn một mật khẩu mạnh Mật khẩu này sẽ được yêu cầu khi người dùng đang nạp file pfx

5 Copy file pfx đã được tạo trong phần trước vào máy chủ ISA

6 Trên máy chủ ISA, kích Start, sau đó kích Run Trong Open, đánh MMC và sau đó kích

OK Kích File, kích Add/Remove Snap-in, và kích Add để mở hộp thoại đính kèm Add Standalone Chọn Certificates, kích Add, chọn Computer account, sau đó kích Next Chọn Local Computer, và sau đó kích Finish Kích Close và kích OK

7 Mở nút Certificates, kích chuột phải vào thư mục Personal Chọn All Tasks, sau đó kích Import Khi đó bạn sẽ vào được Certificate Import Wizard

8 Trên cửa sổ File to Import, duyệt đến file bạn đã tạo trước và copy đến máy chủ ISA, sau đó kích Next

9 Trên cửa sổ Password, đánh mật khẩu cho file này, sau đó kích Next

10 Trên cửa sổ Certificate Store, chọn Place all certificates in the following store và Certificate Store được thiết lập là Personal (thiết lập mặc định), và sau đó kích Next

11 Trên trang hoàn thành, kích Finish

12 Nếu đang sử dụng CA riêng thì bạn cần phải nhập chứng chỉ CA Nếu nó là CA

Microsoft thì bạn phải vào http://CAServerName/CertSrv và chọn Download a CA certificate, certificate chain or CRL Lặp lại bước 6 đến bước 11, nhưng khi được hỏi nơi để đặt chứng chỉ (bước 10), bạn chọn Trusted Root Certification Authorities

Hình 15

13 Xác nhận lại rằng chứng chỉ máy chủ đã được cài đặt đúng Kích đúp vào chứng chỉ máy

chủ mới Trên tab General, phải có một chú ý hiện thị là You have a private key that corresponds to this certificate Trên tab Certification Path, bạn phải nhìn thấy mối quan hệ có thứ bậc giữa chứng chỉ của bạn và CA, và một chú ý hiển thị là This

Trong phần tiếp theo, chúng tôi sẽ tiếp tục giới thiệu các thiết lập cấu hình cần thiết cho Exchange CAS/Front-End Server và cách cấu hình cơ chế thẩm định cho máy chủ ISA khi nó không phải là một phần của miền Active Directory

Cấu hình Exchange Client Access với ISA 2006 (Phần 2)

Qua bài này, chúng ta sẽ xem xét đến việc cấu hình được Exchange CAS/Front-End và ISA Server có cơ chế thẩm định được yêu cầu làm việc

front-• Kích hoạt RPC qua HTTP trên máy chủ Exchange front-end

• Yêu cầu các kênh truyền thông an toàn (SSL) với Web site

1 Để xác nhận rằng thẩm định dựa trên các biểu mẫu không được chọn trên máy chủ

Exchange front-end, bạn khởi chạy Exchange System Manager, mở rộng phần Servers,

sau đó mở rộng phần front-end server của bạn Tiếp tục mở rộng phần Protocols, HTTP, kích chuột phải vào Exchange Virtual Server, sau đó chọn Properties Kích tab

Settings, sau đó xóa hộp kiểm Enable Forms Based Authentication Kích OK

Hình 1

2 Để tạo cho máy chủ Exchange Front-End một máy chủ RPC proxy, bạn mở rộng phần

Servers, kích chuột phải vào máy chủ front-end, sau đó kích Properties Chọn cửa sổ RPC-HTTP, chọn RPC-HTTP front-end server, và kích OK để đóng hộp thoại các thuộc tính của máy chủ đã chọn Kích OK

3 Sau khi một chứng chỉ được cài đặt cho Web site, bạn cần yêu cầu Web site chỉ chấp nhận cho các truyền thông kênh an toàn Trong IIS Manager, mở rộng máy tính cục bộ,

và sau đó mở rộng thư mục Web Sites Kích chuột phải vào thư mục ảo /Exchange và kích Properties Trên tab Directory Security kích Edit Chọn Require secure channel (SSL) trên cửa sổ Secure Communication sau đó kích OK Kích OK một lần nữa để đóng hộp thoại các thuộc tính Web site Lặp lại bước này cho /Public, /Exchweb và /rpc

Hình 2

Cấu hình Exchange 2007 Client Access

Với Exchange 2007, các thay đổi cần thiết là:

• Xác nhận thẩm định dựa trên các biểu mẫu không được chọn trên máy chủ Exchange Client Access

• Kích hoạt Outlook Anywhere trên máy chủ Exchange Client Access

• Yêu cầu các truyền thông kênh an toàn (SSL) cho Web site

1 Để xác nhận rằng thẩm định dựa trên các biểu mẫu không được chọn trên một Exchange

CAS, trong Exchange Management Console, bạn mở rộng phần Server Configuration, sau đó kích Client Access Chọn máy chủ Client Access của bạn sau đó chọn owa (Default Web Site) trên cửa sổ Outlook Web Access Trong cửa sổ này, bạn kích

Properties bên dưới owa (Default Web Site)

Hình 3

2 Chọn cửa sổ Authentication và xác nhận rằng dòng dưới đây đã được chọn: Use one or more of the following standard authentication methods và Basic authentication (password is sent in clear text) Kích OK

Hình 4

3 Xem lại hộp thoại Microsoft Exchange Warning và kích OK Với các thay đổi mà chúng

ta vừa thực hiện, bạn phải khởi động lại Internet Information Services (IIS) Để khởi động lại IIS, bạn chạy lệnh dưới đây: "iisreset /noforce"

Hình 5

4 Lặp lại các bước từ 1-3 cho các trang dưới đây: Exchange (Default Web Site), Exchweb (Default Web Site), và Public (Default Web Site)

5 Để kích hoạt Outlook Anywhere trên máy chủ Client Access của bạn, trong Exchange

Management Console, mở rộng phần Server Configuration, sau đó kích Client Access Chọn máy chủ Client Access của bạn Trong cửa sổ này, kích Enable Outlook

Anywhere ở bên dưới tên máy chủ mà bạn vừa chọn Nhập tên cấu hình mà máy khách

sẽ sử dụng để kết nối với máy chủ Client Access trong trường External Host name Tên

này phải phù hợp với tên chung hoặc FQDN được sử dụng trong chứng chỉ máy chủ được

cài đặt trên máy chủ ISA Xác nhận rằng phương pháp thẩm định mở rộng được thiết lập

là NTLM authentication và kích Enable

Hình 6

6 Để yêu cầu Web site chỉ chấp nhận cho các truyền thông kênh an toàn, bạn hãy theo bước

3 từ phần trước (Cấu hình Exchange 2003 Front-End) cho tất cả các thư mục ảo được

Bước 1, xác nhận các thông tin máy khách: máy khách sẽ gửi yêu cầu kết nối đến máy chủ

Outlook Web Access trong mạng bên trong Máy khách cũng cung cấp các thông tin quan trọng trong biểu mẫu HTML

Bước 2 và 3, gửi các thông tin: máy chủ ISA gửi các thông tin đến bộ cung cấp thẩm định như

bộ điều khiển miền cho thẩm định Windows tích hợp trong Active Directory, hoặc máy chủ RADIUS, nhận được phúc đáp từ bộ cung cấp thẩm định mà người dùng được thẩm định

Bước 4, ủy nhiệm thẩm định: máy chủ ISA chuyển tiếp yêu cầu của máy chủ đến máy chủ

Outlook Web Access, và tự thẩm định bản thân nó với máy chủ Outlook Web Access bằng các thông tin của máy khách Máy chủ Outlook Web Access sẽ hợp lệ lại các thông tin này bằng cách sử dụng cùng một bộ cung cấp thẩm định Máy chủ Web phải được cấu hình để sử dụng cơ chế thẩm định hợp với phương pháp ủy nhiệm đã được sử dụng bằng máy chủ ISA

Bước 5, đáp ứng máy chủ: máy chủ Outlook Web Access gửi một đáp ứng trả lại phía máy

khách, đáp ứng này bị chặn bởi máy chủ ISA

Bước 6, việc chuyển tiếp đáp ứng: máy chủ ISA sẽ chuyển tiếp đáp ứng đến máy khách Bạn

phải nhớ rằng sự hợp lệ Active Directory chỉ có thể xảy ra khi máy chủ ISA là một thành viên miền (cùng tên miền với bộ điều khiển miền hoặc trong một miền tin cậy) Khi máy chủ ISA của chúng ta ở trong cấu hình nhóm làm việc thì chúng ta sẽ phải sử dụng RADIUS hoặc LDAP

Để sử dụng RADIUS, bạn có thể cài đặt dịch vụ ISA trên máy chủ thành viên Windows 2003 trên mạng bên trong

Máy chủ ISA có thể kết nối đến một máy chủ LDAP theo cách được mô tả trong bảng dưới đây:

Yêu cầu tên miền Active Directory

Hỗ trợ tùy chọn thay đổi mật khẩu

LDAP using global

1 Mở giao diện ISA Firewall và mở rộng nút Arrays, sau đó mở phần mảng tên Mở rộng nút Configuration và kích Genera Trong cửa sổ ở giữa, kích liên kết RADIUS and LDAP Servers

Hình 8

2 Trên tab LDAP Servers Sets, kích Add để mở hộp thoại Add LDAP Server Set Trong LDAP Server Set bạn đánh tên của miền

3 Kích Add, để bổ sung thêm tên LDAP server hoặc địa chỉ IP Trong tên Server, chỉ định

DC và kích OK Chúng ta cũng phải cung cấp các thông tin người dùng đã được sử dụng

để truy cập Active Directory Bạn không cần sử dụng tài khoản quản trị miền, một tài

khoản người dùng thông thường cũng có thể được sử dụng ở đây Kích OK để đóng hộp

thoại Add LDAP Server Set

Hình 9

4 Kích New để mở hộp thoại New LDAP Server Mapping Trong Login expression, bạn đánh DOMAIN\* Trong LDAP server set, chọn tên miền được định nghĩa trước sau đó kích OK

Hình 10

5 Kích Close để đóng cửa sổ Authentication Servers

Kết luận

Qua đây ta đã cấu hình được Exchange CAS/Front-End và ISA Server có cơ chế thẩm định được yêu cầu đang làm việc, chúng ta có thể chuyển sang các nguyên tắc cấu hình Vấn đề này sẽ được chúng tôi giới thiệu cho các bạn trong phần tiếp theo