Публикация Exchange 2010 – OWA и ActiveSync

В прошлой статье “Сертификация” мы рассмотрели вопрос выдачи сертификата серверу Exchange 2010, без которого не получиться организовать защищенное SSL соединение. Теперь можно приступать непосредственно к настройке внешнего доступа к службам Outlook Web App и Exchange ActiveSync.

По умолчанию службы Exchange 2010 настроены на работу с локальными URL`ми, следовательно, нам необходимо добавить к ним ещё и внешние. Делается это на уровне конфигурирования серверов – роль Client Access – Outlook Web App – свойства OWA – External URL.

Рис.1: Установка External URL для Outlook Web App.

Кроме того, необходимо изменить метод аутентификации на сайте OWA, c Form-based на стандартный. Делается это во вкладке Authentication, как показано на рисунке:

Рис.2: Изменение метода аутентификации.

Мы изменяем метод аутентификации т.к. планируется, что FBA будет использоваться на сервере TMG, который в свою очередь будет «пробрасывать» пользователей на локальный сайт, автоматически аутентифицируя их при помощи обычной проверки подлинности. Использовать FBA и для локальных пользователей и для внешних не получиться.

Аналогичные настройки необходимо повторить для Exchange Control Panel и для Exchange ActiveSync. Когда все настройки будут выполнены, нужно будет перезапустить IIS командой iisreset /noforce.

Закончив с конфигурированием Exchange, давайте переместимся на сервер с TMG и настроим публикацию необходимых сервисов в Интернет.

Публикация сервисов Exchange на TMG

Перед тем, как настраивать публикацию сервисов Exchange 2010 в сети Интернет нужно на сервер с TMG импортировать все необходимые сертификаты безопасности, в нашем случае это будут:

• Сертификат корневого ЦС (т.к. сервер TMG находится в рабочей группе);
• Сертификат Exchange.

О том, как сделать импорт/экспорт, мы говорили ранее, теперь, в результате проделанных манипуляций в оснастке Сертификаты (Локальный компьютер) на сервере с TMG у вас должен быть установлен сертификат сервера Exchange - в контейнере Личные (Personal) и сертификат доменного ЦС - в контейнере Доверенные корневые центры сертификации (Trusted Root Certification Authorities).

Рис.3: Сертификаты на сервере TMG.

Если все так и есть, то можно приступить к настройке TMG.

Создадим правило публикации OWA

Для этого откроем консоль управления сервером TMG – Политики межсетевого экрана – Опубликоваться доступ веб-клиента Exchange – в мастере впишем понятное имя правила (например, OWA) и на следующем шаге выберем версию сервера - Exchange 2010 – Веб-клиент Outlook.

Рис.4: Создание правила публикации доступ веб-клиента Exchange.

Пройдем по шагам мастера:

• Опубликовать один веб-сайт;
• Использовать SSL для подключения…;
• Имя внутреннего веб-сайта – mail.test.local (у меня);
• Внешнее имя – mail.alexxhost.ru (у меня);
• Создать веб-прослушиватель (если ещё не создан):
  • Назовем его Exchange-Listener;
  • Требовать безопасного подключения SSL для клиентов;
  • Выберем внешнюю сеть, либо IP-адреса на которых нужно слушать запросы;
  • Использовать единый сертификат для данного веб-прослушивателя и выберем ранее импортированный сертификат (у меня mail.alexxhost.ru);
  • Проверка подлинности на основе HTML-форм, способ проверки Active Directory (LDAP), т.к. у меня сервер TMG находится в рабочей группе!;
  • Можно отключить единый вход для веб-сайтов, опубликованных с данным веб-прослушивателем;
  • Т.к. наш сервер с TMG не входит в домен, соответственно нужно вручную добавить LDAP-сервер, как показано на рисунке:

Рис.5: Добавление LDAP-сервера.

• Вернемся в мастер публикации Exchange и установим обычную проверку подлинности;
• Т.к. сервер не входит в домен, то придется создать новый набор учетных записей:
  • Назовем их Domain Users;
  • Добавить - LDAP…;
  • Набор LDAP-серверов – Default Set (в него входит LDAP-сервер настроенный ранее), Имя пользователя – Все пользователи…;

Рис.6: Добавление нового набора пользователей.

• Включим новый набор пользователей в правило публикации и на этом закончим работу мастера.

После того, как правило будет создано, и изменения применены, можно попробовать через веб-браузер открыть Outlook Web App по локальному адресу и по внешнему. Если все было сделано правильно, то на внешнем адресе должна сработать авторизация на основе веб-формы OWA, а на локальном адресе – обычная авторизация Windows. При этом браузер должен доверять сертификату ОБОИХ сайтов, проверить это можно нажав на значок замка, справа от строки адреса.

Рис.7: Проверка SSL-сертификата веб-сайта.

Правило публикации Exchange ActiveSync

Публикация Exchange ActiveSync происходит аналогичным образом, только в начале нужно выбрать не Веб-клиент Outlook, а Exchange ActiveSync. При этом в данном правиле нужно будет использовать тот же прослушиватель (Exchange-Listener), который мы создали во время настройки правила публикации OWA.

После применения правила публикации на TMG, нужно настроить ActiveSync на самом коммуникаторе, но перед этим необходимо установить сертификат доменного ЦС в корневой контейнер коммуникатора, для этого скачиваем сертификат ЦС на флэш-карту КПК и запускаем его. Сертификат установится автоматически, и вы увидите соответствующее сообщение:

Рис.8: Установка сертификата корневого ЦС на КПК.

Чтобы проверить наличие и правильный импорт сертификата необходимо открыть меню Settings – System – Certificates - вкладка Root, там должен быть сертификат корневого ЦС.

Далее можно приступать к конфигурированию ActiveSync. Открыв ActiveSync нужно нажать Menu – Server Source – указать ваш E-mail адрес – внешнее имя сервера и учетные данные пользователя.

Рис.9: Настройка ActiveSync.

Если все было настроено правильно, то синхронизация пройдет без ошибок и вы сможете пользоваться корпоративным сервером Exchange 2010 у себя на КПК.

Заключение

На этом публикацию таких сервисов Exchange 2010 как Outlook Web App и Exchange ActiveSync можно закончить. В следующей статье мы поговорим про настройку Outlook Anywhere и функции Autodiscover.

Данная статья является частью цикла “Публикация сервисов Exchange 2010 через TMG”, скачать все целиком вы можете в виде PDF файла – здесь, или посмотреть веб-каст на эту тему на портале TechDays по адресу - http://www.techdays.ru/videos/2814.html