在上一篇博文中我们直接使用TMG的隧道模式来发布了Exchange Server 2010的OWA,在本篇博文中我们将利用TMG的桥接模式来发布Exchange Server 2010的OWA,至于隧道模式和桥接模式的区别就是在于,检查不检查https,如果使用隧道模式,那么当TMG收到外部发起的https请求后直接把数据包转给内部的Exchange Server的443端口,而桥接模式意味着当TMG收到外部发起的https请求后,会利用证书私钥对https进行解密检查,如果符合安全性,那么TMG再把数据包转发给内部Exchange Server的443端口。
网络拓扑如下图,其中TMG没有加入域
实验目标:公网的客户端赵芳使用OWA访问内部的Exchange Server
实验思路:
1.因为TMG要使用桥接模式发布OWA,所以我们需要把Exchange服务器上的证书进行导出,该导出的证书中是包含私钥的,然后导入到TMG中,此外TMG也必须信任我们的证书颁发机构CA
2.TMG发布Exchange 2010 OWA
3.测试一台和TMG外网卡在同一网段的客户端访问内部网络的Exchange Server
如下图,我们定位到服务器配置,然后选择以前申请的证书邮件选择“导出Exchange证书”
我直接把证书导出到桌面,选择“导出”
导出完成
如下图,我们的桌面上就有了一张Exchange 证书
在TMG上导入证书,我们把该证书复制到TMG上,然后导入到TMG的本地计算机,如下图,选择 “导入”
浏览到证书,选择“下一步”
输入刚才导出时候的密码
直接保持默认,选择“下一步”
如下图,导入成功
如下图,证书导入到了TMG中
TMG通过Web访问CA,做信任,如下图,选择“下载CA证书、证书链或CRL”
选择下载证书链,说明如果我们的TMG加入了域,那么我们刷新TMG的组策略就可以完成信任证书颁发机构了,由于我TMG没有加入域我们要手动做信任
完成后我们的桌面上多了一张证书
我们把该证书导入到受信任的证书颁发机构
浏览到证书,选择“下一步”
保持默认,直接下一步
如下图,我们成功把该证书导入到了受信任的根证书颁发机构中
以上我们就把证书的问题搞定了。
TMG发布Exchange owa
如下图,选择任务“发布Exchange Web客户端访问”
Exchange发布规则名称,输入“Publish Exchange 2010 OWA”
Exchange版本选择 “Exchange Server 2010”选择“Outlook Web Access”
选择“发布单个网站或负载平衡器”
选择使用SSL连接,选择“下一步”
内部站点名称,输入mail.abc.com,因TMG无法解析出该域名,顾我们输入对应IP地址
在公用名称中输入,mail.abc.com,选择“下一步”
我们目前没有443的侦听器,所以选择“新建”
Web侦听器名称,输入listen 443
选择“需要与客户端建立SSL安全连接”
选择“外部”,选择“下一步”
选择证书
由于我们已经导入了证书,所以直接选择该证书即可
TMG的侦听器不需要验证客户端身份
保持默认
完成侦听器的创建
返回后我们直接选择“下一步”
Exchange不委派TMG对客户端进行身份验证,但是TMG允许客户端把身份验证传递给Exchange进行验证,选择“下一步”
保持默认,所有用户,选择下一步后完成创建
完成后我们就多了条策略,如下图
测试该策略,如下图,选择 “测试规则”
如下图,测试成功
公网的客户端测试访问
如下图,修改hosts文件,以便域名解析到TMG的外网卡
公网客户端输入http://mail.abc.com/owa
测试成功
