Чтобы настроить веб-клиент Outlook с проверкой подлинности на основе форм:

  1. В дереве консоли управления Forefront TMG щелкните элемент Политика межсетевого экрана.

  2. В области задач перейдите на вкладку Инструменты.

  3. На вкладке Инструменты выберите Сетевые объекты, щелкните Создать, а затем нажмите кнопку Веб-прослушиватель, чтобы открыть мастер создания веб-прослушивателя.

  4. Выполните действия мастера создания веб-прослушивателя, как описано в следующей таблице.

    Страница Поле или свойство Параметр или действие

    Вас приветствует мастер создания веб-прослушивателя

    Имя веб-прослушивателя

    Укажите имя для веб-прослушивателя. Например, введите Прослушиватель на основе форм веб-клиента Outlook.

    Безопасность клиентских подключений

    Выберите Требуются SSL-соединения с клиентами.

    IP-адрес веб-прослушивателя

    Прослушивать входящие веб-запросы в этих сетях

    Выберите внешнюю сеть. Нажмите Выбор IP-адресов и щелкните Указанные IP-адреса на компьютере Forefront TMG в указанной сети. Из списка Доступные IP-адреса выберите соответствующий IP-адрес для веб-узла и нажмите кнопку Добавить, а затем ОК.

    SSL-сертификаты для прослушивателя

    Выберите Использовать один сертификат для этого веб-прослушивателя, щелкните Выбор сертификата и укажите сертификат, чье имя хоста, используемое пользователями для входа в опубликованный веб-узел, отображается в поле Выдан.

    Параметры проверки подлинности

    Выбрать способ указания учетных данных для Forefront TMG

    Из ниспадающего списка выберите Проверка подлинности на основе HTML-форм.

    Указания по использованию проверки подлинности на основе HTTP (параметр по умолчанию) или параметра Проверка подлинности SSL-сертификата клиента см. раздел Настройка доступа для клиентов Outlook Web Access.

    Собрать учетные данные пользователей для делегирования в форме

    Это окно отображается, только если выбран пункт Проверка подлинности на основе HTML-форм

    Установите этот флажок, если необходимо выбрать Метод RADIUS OTP или SecurID.

    Указать способ проверки компьютером Forefront TMG учетных данных клиента

    Выберите одну из следующих возможностей. Для развертывания рабочей группы можно использовать только параметры RADIUS, LDAP (Active Directory), RADIUS OTP или SecurID.

    Параметры единого входа

    Включить SSO для веб-узлов, опубликованных для этого прослушивателя

    Если включить единый вход, необходимо нажать кнопку Добавить и указать домен, в котором будет применяться единый вход.

    Завершение работы мастера создания веб-прослушивателя

    Проверьте правильность параметров и нажмите кнопку Готово. Если появится окно с сообщением, нажмите кнопку Да, чтобы включить правило системной политики «Разрешить весь HTTP-трафик с Forefront TMG во все сети» (для загрузки списков отзыва сертификатов).

  5. В области задач перейдите на вкладку Задачи.

  6. На вкладке Задачи щелкните Публикация доступа веб-клиента Exchange, чтобы открыть мастер создания правил публикации Exchange

  7. Выполните действия мастера создания правил публикации Exchange, как описано в таблице.

    Страница Поле или свойство Параметр или действие

    Вас приветствует мастер создания правил публикации Exchange

    Имя правила публикации Exchange

    Укажите имя для правила публикации Exchange. Например, введите На основе форм веб-клиента Outlook.

    Выбор служб

    Версия Exchange

    Выберите версию Exchange Server, которая запущена на серверах Exchange.

    Почтовые службы веб-клиента

    Выберите Веб-клиент Outlook.

    Тип публикации

    Выберите Публиковать один веб-узел или балансировку нагрузки. Другие параметры не входят в эту процедуру.

    Безопасность подключения к серверу

    Выберите Использовать SSL для подключения опубликованного веб-сервера или веб-фермы. Для этого параметра необходимо установить на каждый сервер переднего плана Exchange SSL-сертификата сервер, чье имя хоста, используемое пользователями Forefront TMG для обращения к серверу Exchange, отображается в поле Выдан.

    Сведения о внутренней публикации

    Имя внутреннего веб-узла

    Введите имя хоста, которое будет использоваться Forefront TMG для отправки на опубликованный сервер HTTP-запросов.

    Если указанное в этом поле имя внутреннего узла неразрешимо или не является именем компьютера или IP-адресом опубликованного сервера, выберите параметр Использовать имя компьютера или IP-адрес для подключения к опубликованному серверу

    Сведения о внешнем имени

    Принимать запросы для

    Выберите параметр Это доменное имя (ввести далее).

    Внешнее имя

    Введите внешнее полное доменное имя или IP-адрес, который будут использовать внешние пользователи для входа в опубликованный узел веб-клиента Outlook.

    Выбор веб-прослушивателя

    Веб-прослушиватель

    Из ниспадающего списка выберите веб-прослушиватель, созданный в шаге № 4. Далее можно нажать кнопку Изменить, чтобы внести изменения в свойства выбранного веб-прослушивателя.

    Делегирование проверки подлинности

    Выбрать способ, используемый компьютером Forefront TMG для проверки подлинности опубликованного веб-сервера.

    Выберите Обычная проверка подлинности.

    Наборы учетных записей

    Это правило применимо к запросам на основе следующих наборов учетных записей

    При использовании проверки с помощью учетных записей Windows не следует изменять параметр по умолчанию Все проверенные пользователи. При RADIUS или LDAP-проверке необходимо использовать набор учетных записей, настроенный для пространства имени RADIUS или LDAP соответственно.

    Завершение работы мастера создания правил публикации Exchange

    Проверьте правильность параметров и нажмите кнопку Готово.

  8. На панели сведений нажмите кнопку Применить, чтобы сохранить и обновить настройку, после чего щелкните ОК.

Примечание.

  • Дополнительные сведения о веб-прослушивателях см. в разделе Обзор веб-прослушивателей.

  • При публикации через SSL необходимо установить SSL-сертификат сервера, выданный на внешнее имя хоста опубликованного веб-узла, в личное хранилище для локального компьютера на компьютере Forefront TMG. Дополнительные сведения о получении и установке SSL-сертификатов сервера см. раздел Настройка сертификатов сервера для безопасной веб-публикации.

  • На странице IP-адреса веб-прослушивателя в мастере создания веб-прослушивателей также можно выбрать параметр Стандартные IP-адреса для сетевых плат в этой сети. Если включена балансировка сетевой нагрузки, в этом параметре автоматически будет выбран виртуальный IP-адрес. В противном случае для каждого сетевого адаптера будет автоматически выбран стандартный IP-адрес.

  • Если пользователям требуется предъявить SSL-сертификат клиента, необходимо включить правило системной политики «Разрешить весь HTTP-трафик с Forefront TMG во все сети» (для загрузки списков отзыва сертификатов). Это правило системной политики позволяет в Forefront TMG получать обновленные списки отзыва сертификатов для проверки сертификатов клиента.

  • Проверку подлинности на основе форм можно включить либо на компьютере Forefront TMG, либо на сервере Exchange, но не на обоих одновременно. Эта процедура относится к проверке подлинности на основе форм на компьютере Forefront TMG, а не на серверах Exchange.

  • При проверке подлинности на основе форм пользователь отсылается к HTML-форме. После ввода пользователем учетных данных в форму и их проверки система выдает файл cookie, который содержит билет. При последующих запросах система сначала обращается к файлу cookie, чтобы проверить не прошел ли уже пользователь проверку на подлинность, если прошел, ему больше не надо указывать учетные данные.

  • При проверке учетных данных RADIUS компьютер Forefront TMG необходимо зарегистрировать как клиент RADIUS на сервере RADIUS, а также необходимо включить правило системной политики RADIUS, чтобы разрешить трафик RADIUS с компьютера Forefront TMG (локальная сеть) во внутреннюю сеть. Это правило исходит из того, что сервер RADIUS расположен во внутренней сети.

  • Если выбрать проверку учетных записей RADIUS, LDAP или RADIUS OTP необходимо изменить свойства созданного веб-прослушивателя, чтобы указать серверы RADIUS или LDAP, на которые будут отправляться запросы на проверку подлинности.

  • Пользователи могут подключиться к веб-клиенту Outlook, открыв URL, который обычно представлен в виде https://host_name/exchange. Может понадобиться изменение сопоставлений между путями, указанными пользователями, и внутренними путями на вкладке Пути в свойствах правил веб-публикации.

  • При проверкие подлинности на основе форм и обычной проверке подлинности отправленные на компьютер Forefront TMG учетные записи можно делегировать на опубликованный сервер.

  • Дополнительные сведения об этих параметрах в правилах веб-публикации см. в разделе Обзор принципов веб-публикации.

  • После завершения этой задачи см. раздел Блокирование вложений от доступа клиентов Outlook Web Access.