Чтобы настроить доступ для клиентов Outlook Web Access, выполните следующие действия.
-
В дереве консоли управления Forefront TMG щелкните папку Политика межсетевого экрана.
-
В области задач перейдите на вкладку Инструментарий.
-
На вкладке Инструментарий щелкните Сетевые объекты, затем Создать, после чего выберите Веб-прослушиватель, чтобы открыть Мастер создания веб-прослушивателя.
-
Следуйте инструкциям Мастера создания веб-прослушивателя, как указано в таблице.
Страница Поле или свойство Параметр или действие Мастер создания веб-прослушивателя
Имя веб-прослушивателя
Введите имя для веб-прослушивателя. Например, можно ввести Прослушиватель клиента OWA (Outlook Web Access).
Безопасность подключения клиента
Выберите вариант Требовать безопасного подключения SSL для клиентов.
IP-адреса веб-прослушивателя
Прослушивать входящие веб-запросы данных сетей
Выберите внешнюю сеть. Щелкните Выбрать IP-адреса, а затем выберите вариант Указанные IP-адреса на компьютере Forefront TMG в выбранной сети. В списке Доступные IP-адреса выберите IP-адрес для веб-узла, нажмите кнопку Добавить, затем ОК.
SSL-сертификаты прослушивателей
Выберите параметр Использовать единый сертификат для данного веб-прослушивателя, щелкните Выбор сертификата и выберите сертификат, для которого имя узла, используемое для доступа к опубликованному веб-узлу, отображается в поле Кому выдан.
Параметры проверки подлинности
Выберите способ предоставления клиентских учетных данных в Forefront TMG
Для проверки подлинности HTTP (параметр по умолчанию) выберите один или несколько флажков. При развертывании рабочей группы можно выбрать только вариант Обычная.
Если необходимо, чтобы клиенты представили сертификат, в раскрывающемся списке выберите Проверка подлинности на основе SSL-сертификата клиента.
Инструкции по использованию проверки подлинности на основе HTML-форм см. в статье Настройка веб-клиента Outlook с проверкой подлинности на основе форм.
Выберите способ проверки клиентских учетных данных, который будет использовать Forefront TMG
В случае проверки подлинности HTTP, если выбрана обычная проверка подлинности в развертывании рабочей группы, можно выбрать вариант LDAP (Active Directory) или RADIUS.
Параметры единого входа
Включить единый вход (SSO) для веб-узлов, опубликованных посредством данного прослушивателя
Единый вход (SSO) доступен только при использовании проверки подлинности на основе форм.
Завершение работы Мастера создания веб-прослушивателя
Проверьте все параметры, а затем нажмите кнопку Готово. Если появится окно с сообщением, нажмите кнопку Да, чтобы правило политики системы разрешало весь HTTP-трафик из Forefront TMG во все сети (для загрузки списка отзыва сертификатов).
-
В области задач перейдите на вкладку Задачи.
-
На вкладке Задачи щелкните Публикация доступа веб-клиента Exchange, чтобы открыть Мастер создания правила публикации Exchange.
-
Следуйте инструкциям Мастера создания правила публикации Exchange, как указано в таблице ниже.
Страница Поле или свойство Параметр или действие Мастер создания правила публикации Exchange
Имя правила публикации Exchange
Введите имя для правила публикации Exchange. Например, можно ввести Клиенты OWA.
Выбор служб
Версия Exchange
Выберите версию Exchange Server, запущенную на серверах Exchange.
Почтовые службы веб-клиента
Выберите параметр Outlook Web Access.
Тип публикации
Выберите вариант Опубликовать один веб-узел или систему балансировки нагрузки. Другие параметры в данной процедуре не рассматриваются.
Безопасность подключения к серверу
Выберите вариант Использовать SSL для подключения к опубликованному веб-серверу или ферме серверов. Этот параметр требует установки на каждом клиентском сервере Exchange SSL-сертификата сервера, для которого имя узла, используемое Forefront TMG для подключения к серверу Exchange, отображается в поле Кому выдан.
Сведения о внутренней публикации
Внутреннее имя веб-узла
Введите имя узла, которое Forefront TMG будет использовать в сообщениях запросов HTTP, отправляемых на опубликованный сервер.
Если внутреннее имя узла, указанное в этом поле, неразрешимо и не является именем компьютера или IP-адресом опубликованного сервера, выберите вариант Использовать имя или IP-адрес компьютера для подключения к опубликованному серверу, а затем введите разрешимое имя компьютера или IP-адрес опубликованного сервера.
Параметры внешнего имени
Принимать запросы для
Выберите вариант Доменное имя (введите ниже).
Внешнее имя
Введите внешнее полное доменное имя или IP-адрес, который будут использовать внешние пользователи для доступа к опубликованному узлу Outlook Web Access.
Выбрать веб-прослушиватель
Веб-прослушиватель
В раскрывающемся списке выберите веб-прослушиватель, созданный в шаге 4. Затем можно нажать кнопку Изменить и изменить свойства выбранного веб-прослушивателя.
Делегирование проверки подлинности
Выберите метод для использования Forefront TMG при проверке подлинности на опубликованном веб-сервере
Если на серверах Exchange используется Exchange Server 2007 или Exchange Server 2003, можно выбрать параметр Ограниченное делегирование Kerberos. В противном случае необходимо выбрать другой параметр.
Наборы учетных записей
Это правило применяется к запросам от следующих наборов учетных записей
При использовании проверки учетных данных Windows не следует изменять параметр по умолчанию Все прошедшие проверку пользователи. В случае применения проверки RADIUS или LDAP необходимо использовать набор учетных записей, настроенный для пространства имен RADIUS или LDAP соответственно.
Завершение работы Мастера создания правила публикации Exchange
Проверьте все параметры, а затем нажмите кнопку Готово.
-
В области сведений нажмите кнопку Применить, чтобы сохранить и обновить конфигурацию, а затем щелкните ОК.
Примечания
- Дополнительные сведения о веб-прослушивателях см. в Обзор
веб-прослушивателей.
- При публикации через протокол SSL SSL-сертификат сервера,
выпущенный для внешнего имени опубликованного веб-узла, должен быть
установлен в персональном хранилище локального компьютера на
компьютере Forefront TMG. Дополнительные сведения о получении и
установке SSL-сертификатов серверов см. в статье Настройка сертификатов
сервера для безопасной веб-публикации.
- На странице IP-адреса веб-прослушивателя Мастера
создания веб-прослушивателя можно также выбрать параметр
IP-адреса по умолчанию для сетевых плат этой сети. Если
включена балансировка сетевой нагрузки, будет автоматически
использован виртуальный IP-адрес. В противном случае для каждой
сетевой платы автоматически будет использоваться IP-адрес по
умолчанию.
- Для проверки подлинности на основе SSL-сертификата клиента
необходимо включить правило политики системы, разрешающее весь
HTTP-трафик из Forefront TMG во все сети (для загрузки списка
отзывов сертификатов). Правило политики системы позволяет Forefront
TMG получать обновленные списки отзыва сертификатов для проверки
клиентских сертификатов.
- При использовании проверки учетных данных RADIUS компьютер
Forefront TMG должен быть зарегистрирован как клиент RADIUS на
RADIUS-сервере, а правило политики системы RADIUS, разрешающее
трафик RADIUS с компьютера Forefront TMG (сеть локального узла) во
внутреннюю сеть, должно быть включено. Это правило предполагает,
что RADIUS-сервер расположен во внутренней сети.
- При выборе проверки учетных данных RADIUS, LDAP или RADIUS OTP
необходимо изменить свойства веб-прослушивателя, указав серверы
RADIUS или LDAP, которые будут опрашиваться при проверке
подлинности.
- Пользователи подключаются к Outlook Web Access посредством
URL-адреса, который обычно имеет вид
https://host_name/exchange. Может потребоваться изменение
сопоставления между путями, указанными пользователем, и внутренними
путями на вкладке Пути окна свойств правила
веб-публикации.
- При выборе ограниченного делегирования Kerberos необходимо
выполнить дополнительные процедуры. Дополнительные сведения об
ограниченном делегировании Kerberos см. в статье Ограниченное
делегирование Kerberos.
- Дополнительные сведения о других параметрах правил
веб-публикации см. в Обзор принципов
веб-публикации.