簡介 Microsoft Internet Security and Acceleration (ISA) Server
和 Microsoft Outlook Web Access 通過協作
共同增強電子郵件消息的安全性
本文說明如何利用郵件服務器發布規則來安全地發布 Outlook Web Access 服務器
它介紹了相關概念
並為配置 Outlook Web Access 解決方案提供了循序漸進指導
Outlook Web Access 和 ISA Server
Outlook Web Access 支持通過 Web 浏覽器訪問存儲在 Microsoft Exchange Storage System 文件夾中的電子郵件
日程安排(包括組日程安排)
聯系人和協作信息
Outlook Web Access 可以由遠程
家庭和漫游用戶使用
當通過 ISA Server 發布 Outlook Web Access 服務器時
因為用戶接觸不到 Outlook Web Access 服務器的名稱和 IP 地址
所以您能夠防止直接從外部訪問 Outlook Web Access 服務器
用戶訪問 ISA Server 計算機
該計算機隨後根據您的郵件服務器發布規則的條件
將請求轉發到 Outlook Web Access 服務器
此外
ISA Server 使您能夠輕松配置基於窗體的驗證並控制電子郵件附件的可用性
在通過 Outlook Web Access 進行訪問的同時保護公司資源
ISA Server Outlook Web Access 發布特性還使您能夠發布 Outlook Mobile Access 和 Exchange ActiveSync
Outlook Mobile Access 為用戶提供從移動設備訪問 Outlook 的能力
使用 Exchange ActiveSync
您可以從基於 Microsoft Windows Mobile 的設備(比如
Pocket PC
Pocket PC Phone Edition 和 Smartphone)直接與 Exchange 郵箱同步
這一過程具有高度的安全性
基於窗體的驗證 基於窗體的驗證是一種基於 ASP
NET 的身份驗證
其中通過身份驗證的用戶被導向 HTML 窗體
當用戶提供憑據後
系統頒發包含票證的 cookie
在後來的請求上
系統首先檢查 cookie
以便查看用戶是否已經通過身份驗證
如果是
則用戶不必再次提供憑據
最重要的是
憑據信息不會緩存在客戶端計算機上
當用戶正在從公共計算機連接您的 Outlook Web Access 服務器而您不希望緩存用戶憑據的情況下
這一功能特別重要
如果用戶關閉了浏覽器
注銷退出會話
或導航到其他 Web 站點
則他們需要重新進行身份驗證
此外
您可以配置最長空閒會話超時
從而如果用戶長時間處於空閒狀態
則需要重新進行身份驗證
我們建議當使用基於窗體的驗證時
您可以使用 HTTPS 來支持與站點進行的所有通信
以防止黑客竊取用戶的 cookie
通常
建議使用 HTTPS 來進行 Outlook Web Access 服務器發布
基於窗體的驗證的配置過程在本文的
通過偵聽器保護 Outlook Web Access
中提供
注意 ISA Server 支持 Exchange Server
Exchange
Server 和 Exchange Server
的基於窗體的驗證
當您把 ISA Server
和 Exchange Server
一起使用時
必須選擇使用其中之一的基於窗體的驗證
如果使用 ISA Server 基於窗體的驗證
您可以保留 ISA Server 功能以檢查響應主體
以及請求 URL
請求頭
請求主體和響應頭
ISA Server 基於窗體的驗證提供了在網絡邊緣的身份驗證以及基於 RADIUS 的身份驗證(無域成員身份)的額外利益
然而
如果使用 ISA Server 基於窗體的驗證
就不能使用 Exchange 數據壓縮功能
如果使用 Exchange Server
基於窗體的驗證
則 ISA Server 檢查請求 URL
請求頭
請求主體和響應頭
但是不檢查響應主體
然而
您可以保留 Exchange 數據壓縮功能
當把 ISA Server
與 Exchange Server
或 Exchange Server
(沒有提供基於窗體的驗證或數據壓縮)一起使用時
我們建議您使用 ISA Server 基於窗體的驗證功能
Outlook Web Access 包括允許用戶更改密碼的可選功能
如果用戶在 Outlook Web Access 會話期間更改密碼
在用戶最初登錄之後提供的 cookie 將不再有效
當在 ISA Server 上配置基於窗體的驗證時
在 Outlook Web Access 會話期間更改密碼的用戶將在下一次發出請求時接收到登錄頁面
控制附件可用性 因為 Outlook Web Access 經常是從公共計算機上使用
您可能希望控制用戶查看和保存附件的能力
從而不會將專用公司信息緩存或保存到公共計算機上
ISA Server 提供了為公共(共享)計算機或專用計算機(或兩者)上的用戶提供了阻止電子郵件的機制
這可以防止用戶打開或保存附件
雖然用戶可以看到該附件
本文檔中的
通過偵聽器保護 Outlook Web Access
說明了阻止電子郵件附件的過程
如果您不阻止附件
需要注意遠程連接到 Outlook Web Access 服務器的客戶端可能無法直接打開某些附件(比如
Windows Media 文件和 Excel 電子表格)
嘗試打開這種文件的操作將導致與該文件關聯的應用程序發生錯誤
這些文件必須保存到本地
然後才能打開
您可以通過將 Exchange Server
或 Exchange
Server 配置為強制用戶保存附件
來避免這一問題
Exchange Server
沒有此功能
本文檔的
要求在 Exchange 中保存附件
中說明了配置 Exchange 以強制保存附件的過程
注意 Exchange
提供了附件阻止功能
即使禁用該功能
它仍然能夠阻止某種類型的文件
情境 使用 Internet Security and Acceleration (ISA) Server
您希望發布 Outlook Web Access 服務器
從而用戶可以從家用計算機和 Internet 信息亭訪問其電子郵件消息
您希望到 Outlook Web Access 服務器的連接是安全的
而不希望在客戶端計算機上存儲憑據和專有信息
解決方案 指定的解決方案是通過使用郵件服務器發布規則的 Internet Security and Acceleration (ISA) Server
來發布 Outlook Web Access 服務器
從外部客戶端到 ISA Server 計算機的通信以及從 ISA Server 計算機到 Outlook Web Access 服務器的通信都將使用安全套接字層 (SSL) 加密
將在偵聽 Outlook Web Access 請求的 Web 偵聽器上啟用基於窗體的驗證
可以控制附件可用性
在 ISA Server 中發布 Outlook Web Access 包含這些常規步驟
設置 Outlook Web Access 服務器
安裝安全發布 Outlook Web Access 所需要的數字證書
創建郵件服務器發布規則以發布 Outlook Web Access 服務器
配置緩存
注意
當您按照建議使用 ISA Server 基於窗體的驗證時
不從 Outlook Web Access 服務器緩存任何對象
要想利用 ISA Server 緩存功能
您可以創建緩存規則以支持緩存 Outlook Web Access 所服務的映像
不支持緩存其他對象
因為這可能導致用戶意外注銷
如果不使用 ISA Server 基於窗體的驗證
在啟用 ISA Server 緩存功能時
所有 Outlook Web Access 對象將被緩存
這可能導致用戶意外注銷
為了避免這種問題
您必須創建緩存規則以防止緩存 Outlook Web Access 對象(圖像除外)
設置 Outlook Web Access 選項
如基於窗體的驗證和為公共(共享)或專用計算機阻止附件
注意
您還能夠使用面向 HTTPS 協議的服務器發布規則來發布 Outlook Web Access 服務器
這不是推薦的 ISA Server Outlook Web Access 發布解決方案
因為它需要您發布整個服務器
而不只是 Outlook Web Access 所需要的特定 Exchange 文件夾
此外
與郵件服務器發布規則一樣
服務器發布規則不允許您控制用戶身份驗證要求
而且
當您使用郵件服務器規則發布 Outlook Web Access 服務器時
您還可以利用 HTTP 篩選器提供的額外安全機制
有關服務器發布規則或 HTTP 篩選器的詳細信息
請參閱 ISA Server
產品幫助
網絡拓撲 部署該解決方案需要三台計算機
?一台計算機充當內部網絡上的 Outlook Web Access 服務器
Outlook Web Access 服務器應運行 Microsoft Windows Server
或 Windows
Server Service Pack
?ISA Server
計算機
?在外部網絡上測試解決方案的計算機
Outlook Web Access 服務器發布--演練
本演練包括以下過程
?
備份當前的配置
?配置 Outlook Web Access 服務器
?配置 ISA Server 計算機
?通過偵聽器保護 Outlook Web Access
?在 Exchange 中保存附件
?測試部署
?查看 ISA Server 日志中的 Outlook Web Access 會話信息
Outlook Web Access Server 發布演練過程
備份當前的配置
我們建議您在進行任何更改之前首先備份您的配置
如果所進行的更改導致意外結果
可以恢復到先前備份的配置
遵循本過程來備份您的 ISA Server 計算機的完整配置
展開
Microsoft ISA Server 管理
右擊 ISA Server 計算機的名稱
然後單擊
備份
在
備份陣列
中
提供您希望將配置保存到的文件的位置和名稱
您可能希望在文件名中包括導出日期以便於識別
如 ExportBackup
June
單擊
備份
因為您正在導出機密信息(比如
密碼)
程序將提示您提供密碼
從導出文件恢復配置需要該密碼
當導出操作完成時
單擊
確定
注意
因為
xml 文件被用作備份
其副本應存儲在另一台計算機上
以防出現災難性故障
Outlook Web Access Server 發布演練過程
配置 Outlook Web Ac
From:http://tw.wingwit.com/Article/os/fwq/201311/29778.html
