Настройка веб-клиента Outlook с проверкой подлинности на основе форм

Чтобы настроить веб-клиент Outlook с проверкой подлинности на основе форм:

В дереве консоли управления Forefront TMG щелкните узел Политика межсетевого экрана.
В области Задачи откройте вкладку Инструментарий.
На вкладке Инструментарий щелкните Сетевые объекты, нажмите кнопку Создать, затем выберите пункт Веб-прослушиватель, чтобы открыть мастер создания веб-прослушивателя.

Завершите настройки с помощью мастера создания веб-прослушивателя, как показано в таблице.

Страница	Поле или свойство			Параметр или действие
Страница приветствия мастера создания веб-прослушивателя	Имя веб-прослушивателя			Введите имя для нового веб-прослушивателя. Например, введите Прослушиватель на основе форм Outlook Web Access.
Безопасность клиентских подключений				Выберите пункт Требовать безопасного подключения SSL для клиентов.
IP-адреса веб-прослушивателя	Прослушивать входящие веб-запросы данных сетей			Установите флажок Внешняя. Нажмите кнопку Выбрать IP-адреса и установите переключатель Указанные IP-адреса на компьютере Forefront TMG в выбранной сети. В разделе Доступные IP-адреса выберите IP-адрес для веб-сайта, нажмите кнопку Добавить, а затем — кнопку ОК.
SSL-сертификаты прослушивателя			Выберите Использовать единый сертификат для данного веб-прослушивателя, нажмите кнопку Выбор сертификата и выберите сертификат, для которого имя узла, используемое пользователями для доступа к опубликованному веб-сайту, отображается в поле Кому выдан.
Параметры проверки подлинности		Укажите способ предоставления клиентами учетных данных для Forefront TMG.	В раскрывающемся списке выберите пункт Проверка подлинности на основе HTML-форм. Инструкции по использованию параметра "Проверка подлинности HTTP" (по умолчанию) или Проверка подлинности SSL-сертификата клиента см. в разделе Настройка доступа для клиентов Outlook Web Access.
		Собирать дополнительные учетные данные пользователей для делегирования в форме Этот флажок активен только при выбранном параметре Проверка подлинности на основе HTML-форм.	Устанавливайте этот флажок, только планируя выбрать вариант RADIUS OTP или SecurID.
		Укажите, как Forefront TMG будет проверять учетные данные клиентов	Выберите одну из следующих возможностей. Для развертывания рабочей группы можно использовать только параметры RADIUS, LDAP (Active Directory), RADIUS OTP или SecurID.
Параметры единого входа		Включение единого входа в систему для узлов, опубликованных при помощи этого прослушивателя	Чтобы включить единый вход, нажмите кнопку Добавить и укажите домен, в котором будет применяться единый вход.
Завершение работы мастера создания веб-прослушивателя			Просмотрите параметры и нажмите кнопку Готово. Если появится окно с сообщением, нажмите кнопку Да, чтобы правило политики системы разрешало весь HTTP-трафик из Forefront TMG во все сети (для загрузки списка отзыва сертификатов).

В области Задачи откройте вкладку Задачи.
На вкладке Задачи нажмите кнопку Опубликовать доступ веб-клиента Exchange, чтобы открыть мастер создания правила публикации Exchange.

Завершите настройку с помощью мастера создания правила публикации Exchange, как показано в таблице.

Страница	Поле или свойство	Параметр или действие
Вас приветствует мастер создания правила публикации Exchange	Имя правила публикации Exchange	Введите имя для нового правила публикации Exchange. Например, введите На основе форм Outlook Web Access.
Выберите службы	Версия Exchange	Выберите версию Exchange Server, запущенную на серверах Exchange.
	Почтовые службы веб-клиента	Установите флажок Outlook Web Access.
Тип публикации		Выберите Опубликовать один веб-узел или систему балансировки нагрузки. Другие варианты выходят за рамки данного процесса.
Безопасность подключения к серверу		Выберите Использовать SSL для подключения к опубликованному веб-серверу или веб-ферме. При выборе этого параметра потребуется установить на каждом сервере переднего плана Exchange SSL-сертификат сервера, для которого имя узла, используемое компонентом Forefront TMG для подключения к серверу Exchange, отображается в поле Кому выдан.
Сведения о внутренней публикации	Внутреннее имя веб-узла	Введите имя узла, которое будет использовать Forefront TMG в сообщениях HTTP-запросов, отправляемых на опубликованный сервер. Если внутреннее имя сайта, указанное в этом поле, неразрешимо и не является именем компьютера или IP-адресом опубликованного сервера, установите флажок Используйте имя или IP-адрес компьютера для подключения к опубликованному серверу и введите разрешимое имя компьютера или IP-адрес опубликованного сервера.
Параметры внешнего имени	Принимать запросы для	Выберите Доменное имя (введите ниже).
	Внешнее имя	Введите внешнее полное доменное имя или IP-адрес, который будут использовать внешние пользователи для входа в опубликованный узел веб-клиента Outlook.
Выберите веб-прослушиватель	Веб-прослушиватель	В раскрывающемся списке выберите веб-прослушиватель, созданный на шаге 4. Для изменения свойств выбранного веб-прослушивателя нажмите кнопку Изменить.
Делегирование проверки подлинности	Выберите метод, используемый Forefront TMG для проверки подлинности на опубликованном веб-сервере.	Выберите Обычная проверка подлинности.
Учетные записи пользователей	Это правило применяется к запросам от следующих наборов пользователей	Если используется проверка учетных данных Windows, не изменяйте параметр по умолчанию Все прошедшие проверку пользователи. В случае применения проверки RADIUS или LDAP необходимо использовать набор учетных записей, настроенный для пространства имен RADIUS или LDAP соответственно.
Завершение работы мастера создания правила публикации Exchange		Просмотрите параметры и нажмите кнопку Готово.

В области сведений нажмите кнопку Применить, чтобы сохранить и обновить конфигурацию, а затем — кнопку ОК.

Примечание.
Если выполняется публикация по протоколу SSL, SSL-сертификат сервера, выпущенный для имени опубликованного веб-сайта, должен быть установлен в персональном хранилище локального компьютера на компьютере Forefront TMG. Дополнительные сведения о получении и установке SSL-сертификатов серверов см. в разделе Настройка сертификатов сервера для безопасной веб-публикации. На странице IP-адреса веб-прослушивателя мастера создания веб-прослушивателя можно выбрать IP-адреса по умолчанию для сетевых плат этой сети. Если включена балансировка нагрузки сети, этот параметр автоматически выберет виртуальный IP-адрес. В противном случае для каждой сетевой платы будет автоматически выбран IP-адрес по умолчанию. Если пользователям требуется предъявить SSL-сертификат клиента, необходимо включить правило системной политики "Разрешить весь HTTP-трафик с Forefront TMG во все сети" (для загрузки списков отзыва сертификатов). Правило политики системы позволяет компоненту Forefront TMG получать обновленные списки отзыва сертификатов для проверки клиентских сертификатов. Проверку подлинности на основе форм можно включить либо на компьютере Forefront TMG, либо на сервере Exchange, но не на обоих одновременно. Эта процедура относится к проверке подлинности на основе форм на компьютере Forefront TMG, а не на серверах Exchange. При проверке подлинности на основе форм пользователь отсылается к HTML-форме. После ввода пользователем учетных данных в форму и их проверки система выдает файл cookie, который содержит билет. При последующих запросах система сначала обращается к файлу cookie, чтобы проверить не прошел ли уже пользователь проверку на подлинность, если прошел, ему больше не надо указывать учетные данные. Если используется проверка учетных данных RADIUS, компьютер Forefront TMG должен быть зарегистрирован в качестве клиента RADIUS на RADIUS-сервере, а системная политика RADIUS должна быть включена, чтобы разрешать трафик RADIUS с компьютера Forefront TMG (сеть локального узла) во внутреннюю сеть. Это правило предполагает, что RADIUS-сервер расположен во внутренней сети. Если вы выбираете проверку учетных данных RADIUS, LDAP или RADIUS OTP, необходимо изменить настройки веб-прослушивателя, который вы создали, и указать серверы RADIUS или LDAP, на которые будут отправляться запросы при проверке подлинности. Чтобы подключиться к Outlook Web Access, пользователи вводят URL-адрес, который обычно имеет вид https://имя_узла/exchange. Возможно, потребуется изменить сопоставление между путями, указываемыми пользователями, и внутренними путями на вкладке Пути в свойствах правила веб-публикации. При проверки подлинности на основе форм и обычной проверке подлинности учетные записи, отправленные на компьютер Forefront TMG, можно делегировать на опубликованный сервер. Дополнительные сведения о других параметрах, используемых в правилах веб-публикации, см. в разделе Планирование публикации. После выполнения этой задачи дальнейшие инструкции см. в разделе Блокирование вложений от доступа клиентов Outlook Web Access.

Примечание.

Если выполняется публикация по протоколу SSL, SSL-сертификат сервера, выпущенный для имени опубликованного веб-сайта, должен быть установлен в персональном хранилище локального компьютера на компьютере Forefront TMG. Дополнительные сведения о получении и установке SSL-сертификатов серверов см. в разделе Настройка сертификатов сервера для безопасной веб-публикации.
На странице IP-адреса веб-прослушивателя мастера создания веб-прослушивателя можно выбрать IP-адреса по умолчанию для сетевых плат этой сети. Если включена балансировка нагрузки сети, этот параметр автоматически выберет виртуальный IP-адрес. В противном случае для каждой сетевой платы будет автоматически выбран IP-адрес по умолчанию.
Если пользователям требуется предъявить SSL-сертификат клиента, необходимо включить правило системной политики "Разрешить весь HTTP-трафик с Forefront TMG во все сети" (для загрузки списков отзыва сертификатов). Правило политики системы позволяет компоненту Forefront TMG получать обновленные списки отзыва сертификатов для проверки клиентских сертификатов.
Проверку подлинности на основе форм можно включить либо на компьютере Forefront TMG, либо на сервере Exchange, но не на обоих одновременно. Эта процедура относится к проверке подлинности на основе форм на компьютере Forefront TMG, а не на серверах Exchange.
При проверке подлинности на основе форм пользователь отсылается к HTML-форме. После ввода пользователем учетных данных в форму и их проверки система выдает файл cookie, который содержит билет. При последующих запросах система сначала обращается к файлу cookie, чтобы проверить не прошел ли уже пользователь проверку на подлинность, если прошел, ему больше не надо указывать учетные данные.
Если используется проверка учетных данных RADIUS, компьютер Forefront TMG должен быть зарегистрирован в качестве клиента RADIUS на RADIUS-сервере, а системная политика RADIUS должна быть включена, чтобы разрешать трафик RADIUS с компьютера Forefront TMG (сеть локального узла) во внутреннюю сеть. Это правило предполагает, что RADIUS-сервер расположен во внутренней сети.
Если вы выбираете проверку учетных данных RADIUS, LDAP или RADIUS OTP, необходимо изменить настройки веб-прослушивателя, который вы создали, и указать серверы RADIUS или LDAP, на которые будут отправляться запросы при проверке подлинности.
Чтобы подключиться к Outlook Web Access, пользователи вводят URL-адрес, который обычно имеет вид https://имя_узла/exchange. Возможно, потребуется изменить сопоставление между путями, указываемыми пользователями, и внутренними путями на вкладке Пути в свойствах правила веб-публикации.
При проверки подлинности на основе форм и обычной проверке подлинности учетные записи, отправленные на компьютер Forefront TMG, можно делегировать на опубликованный сервер.
Дополнительные сведения о других параметрах, используемых в правилах веб-публикации, см. в разделе Планирование публикации.
После выполнения этой задачи дальнейшие инструкции см. в разделе Блокирование вложений от доступа клиентов Outlook Web Access.

См. также

Основные понятия

Настройка публикации веб-клиента Outlook