环境拓扑图:
clip_image002
ISA 网络图:
clip_image004
如上图,ISA Server加入域中,内部网络中有DC、Mail(Exchange Server 2007),DMZ区域有Edge-A、Edge-B两台边缘传输服务器。本实验将进行以下内容:
1. 将内网中Exchange Server的OWA对外发布
2. 创建访问规则为边缘订阅做准备,允许内网的Exchange Server 访问DMZ区域的两台Edge服务器TCP 25和TCP 50636端口;允许DMZ区域使用SMTP协议访问内网。
3. 将DMZ区域的两台Edge服务器TCP 25端口对外发布。
4. 创建访问规则允许Edge服务器的TCP 25端口对外访问
本实验不讨论Exchange Server的配置内容,下面进行具体操作步骤:
1. 发布OWA
由于本次进行发布的是带SSL的OWA访问,所以发布之前我们首先需要从Exchange Server 2007(CAS)中将证书导出拿到ISA服务器中进行导入,否则发布将无法进行下去。
首先,登录内网中的Exchange Server 2007服务器,将IIS中的证书进行导出,操作如下:
在IIS控制台中选择“服务器证书”,如下图:
clip_image006
在“服务器证书”窗口中选择“导出”,如下图:
clip_image008
在弹出的“导出证书”窗口中选择导出的目标位置和设置一个密码,如下图:
clip_image009
将刚才导出的证书拷贝到ISA服务器中进行导入。
切换到ISA服务器,在运行栏中输入MMC,然后添加计算机证书,如下图:
clip_image011
分别在“个人”和“受信任的根证书颁发机构”将证书进行导入,导入过程在此省略。
clip_image013
将证书成功导入到ISA服务器中之后,现在就可以开始发布OWA了,下面打开“ISA 服务器管理”,切换到“工具箱”,在此首先要创建一个WEB侦听器,如下图:
clip_image014
在弹出的“新建Web 侦听器定义向导”窗口中输入侦听器输入一个名称,如下图:
clip_image015
在“客户端连接安全设置”窗口中选择需要SSL的安全连接,如下图:
clip_image016
在“Web 侦听器IP地址”窗口中选择侦听的目标网络,如下图:
clip_image017
在“侦听器SSL 证书”窗口中单击“选择证书”按钮,如下图:
clip_image018
在弹出的“选择证书”窗口中为侦听器选择一张有效的证书,如下图:
clip_image020
在返回的窗口中选择“下一步”,如下图:
clip_image021
在“身份验证设置”窗口中选择一种验证方式,在此选择“没有身份验证”,这种方式的意思是,ISA不进行用户请求的身份验证,直接交给目标服务器进行验证,如下图:
clip_image022
在“单一登录设置”窗口中单击“下一步”,如下图:
clip_image023
在完成窗口单击“完成”,如下图:
clip_image024
至此,Web侦听器就创建完成了,下面开始进行OWA的发布操作。
clip_image025
clip_image026
clip_image027
clip_image028
clip_image029
clip_image030
clip_image031
clip_image032
clip_image033
clip_image034
clip_image035
至此,OWA的发布已经完成。
2. 创建访问规则
在创建上面的相关发布规则之后,下面接着为内部网络创建访问规则,以便让内网中的Exchange Server 能够跟DMZ区域中的Edge服务器进行通讯。在此我们需要开放两个端口,TCP 25和TCP 50636端口,因为后面进行的边缘订阅和邮件传输需要用到这两个端口。
由于ISA中没有内置TCP 50636端口的相关协议,所以创建访问规则之前需要先为这个端口创建一个自定义的协议,具体如下:
clip_image036
clip_image037
clip_image038
clip_image039
clip_image040
clip_image041
clip_image042
至此,为TCP 50636端口创建自定义协议工作已经完成。下面开始创建相关的访问规则:
clip_image043
clip_image044
clip_image045
clip_image046
clip_image047
clip_image048
clip_image049
clip_image050
最后将刚才所做的操作应用一下。
3. 发布Edge
下面准备将DMZ区域中的Edge服务器对外发布,以便能够接收到来自组织外部的邮件:
clip_image051
clip_image052
clip_image053
clip_image054
clip_image055
clip_image056
clip_image057
clip_image058
clip_image059
至此,Edge的发布操作已经完成,最后将操作应用即可。
由于我的环境中使用两台Edge进行负载均衡,所以还需要发布第二台Edge:
clip_image060
clip_image053[1]
clip_image054[1]
clip_image061
clip_image062
clip_image063
4. 创建访问规则允许Edge服务器的TCP 25端口对外访问
为了能够让组织内部的邮件传输到组织以外,还需要为DMZ区域创建相关访问规则,以便Edge服务器能够将邮件向外投递:
clip_image064
clip_image065
clip_image045[1]
clip_image066
clip_image067
clip_image068
clip_image049[1]
clip_image069
clip_image071
至此,整个实验过程全部完成。^_^