易宝典文章——怎样配置TMG能够使外部用户成功访问Outlook Anywhere?

易宝典:http://support.microsoft.com/kb/2580470/zh-cn

在企业中通常部署Exchange Server 2010服务器都是使用内部网络环境进行的。用户在企业内部使用Outlook客户端通过MAPI的方式来访问时是能够顺利访问到了,但是需要在企业外部网络或Internet来访问时,过去很多企业只能提供给用户使用SMTP/POP的方式来收发邮件,或者只能提供OWA的方式基于Web来进行访问,从而使用户的某些使用有了局限性。

现在可以使用Exchange Server 2010的Outlook Anywhere实现让企业用户无论在内部网络还是在Internet,均能使用相同的用户体验访问Exchange Server 2010所提供的完整服务,该功能将通过RPC Over HTTP来顺利实现。而ForeFront TMG 2010也为Exchange Server 2010提供了该功能发布配置接口,能够简化管理员的配置复杂度。以下是具体的系统需求和配置过程。

注:ForeFront TMG 2010作为早期微软ISA Server的升级换代产品,在企业网络边缘提供网络防火墙服务,该产品解决方案,已被诸多大中型企业采用,并在生产环境中等都充分的实践。

步骤一:为TMG加载证书

一、从Exchange Server 2010导出证书

注意:部署环境的前提条件是Exchange Server 2010已经申请并加载了由指定CA颁发的非自签名证书,并工作正常。此处的非自签名证书的申请和加载属于Exchange Server 2010服务器部署的范畴,在此不再累述。此外,ForeFront TMG 2010的基本部署在此也不再做过多介绍,本文默认这些配置均已完成,并且正常工作。

1、打开“Exchange管理控制台”,在左侧导航栏中选择“服务器配置”节点;

2、在右侧窗口上部选择Exchange Server 2010服务器;

3、在右侧窗口下部“Exchange证书”选项卡中选择该服务器加载并正在使用的非自签名证书;

4、点击右侧任务栏中的“导出Exchange证书…”,打开导出“Exchange”证书向导;

5、在向导中指定导出的pfx文件放置的位置,并输入私钥保护密码,根据向导完成导出。

clip_image002

二、将证书安装到TMG

在进行下列操作之前先要把从Exchange中导出的含有附加了私钥的pfx证书文件通过安全的途径复制到TMG服务器上。

1、通过“运行”打开一个空白的“MMC”控制台,在“文件”菜单中点击“添加/删除管理单元”;

2、在弹出“添加或删除管理单元”对话框中选择“证书”管理单元,点击中部的“添加”按钮;

3、在弹出向导中选择“计算机证书”并制定“本地计算机”,点击“确定”完成“证书(本地计算机)”管理单元的添加;

4、在管理控制台中,展开此前添加的“证书(本地计算机)”管理单元,右击“个人”容器,在上下文菜单中选择“所有任务”,在扩展菜单中选择“导入…”;

5、通过证书导入向导,指定“要导入的文件”即之前复制到TMG的Exchange证书pfx文件;

6、输入导出证书是设置的保护密码,并勾选包括所有扩展属性;

7、根据向导默认的证书“存储位置”进行存储,完成证书导入。

注意:要是上述导入的证书有效还需要在TMG上导入颁发Exchange证书的CA证书链,并导入到受信任的根证书容器。

clip_image004

步骤二:在TMG上发布Outlook Anywhere

一、为RPC Over HTTP创建Web侦听器

通过TMG的管理控制台,定位到防火墙策略,在右侧“工具箱”中点击“网络对象”选卡,“新建”“Web侦听器”。

1、在打开的“新建Web侦听器定义向导”中首先为要创建Web侦听器命名;

2、在“客户端连接安全设置”中选择“需要与客户端建立SSL安全连接”;

3、指定“Web侦听器IP地址”为TMG的“外部”网络地址;

4、指定“Web侦听器证书”为之前导入的Exchange证书;

5、在“身份验证设置”页中,通过下拉列表选择“没有身份验证”;

6、根据向导剩余步骤按默认完成该Web侦听器的创建。

clip_image006

二、为Outlook Anywhere创建发布规则

1、在TMG管理控制台中,右击“防火墙策略”,在上下文菜单中选择“新建”,在扩展菜单中选择“Exchange Web客户端访问发布规则”;

2、在使用新Exchange发布规则向导欢迎页面中为该规则命名;

3、指定“Exchange版本”为“Exchange Server 2010”,并勾选“Web客户端邮件服务”为“Outlook Anywhere(RPC/HTTP(s))”;

4、在“发布类型”页面中选择“发布单个网站或负载平衡器”即可;

5、指定“服务器连接安全”为“使用SSL连接到发布的Web服务器或服务器场”;

6、通过“内部发布详细信息”页面,指定“内部站点名称”,即Exchange服务器的域名,这个域名必须和申请Exchange证书时提交的内部访问域名相同;如果TMG没有配置内部域名的DNS解析,则可以勾选该页面底部的“使用计算机名称或IP地址连接到发布的服务器”,并在文本框中指定Exchange服务的计算机名或IP地址,此处建议使用IP地址;

7、在指定“公共名称细节”页面中填写通过Internet访问邮件服务器的Internet已注册的域名,该域名必须和申请Exchange证书时提交的外部访问域名相同;

8、在“选择Web侦听器”页面的下来菜单中选择此前所创建的Web监听器;

9、指定“身份验证委派”类型为“无委派,但是客户端可以直接进行身份验证”;

10、选择该规则针对的“用户集”为“所有用户”;

11、根据向导剩余步骤按默认完成该发布规则的创建。

clip_image008

步骤三:配置Outlook启用Outlook Anywhere

以Outlook 2010为例,在Outlook中打开“Microsoft Exchange”账户的设置界面,在“其他设置”对话框中选择“连接”选项卡。在“Exchange无处不在”中启用“使用HTTP连接到Microsoft Exchange”,然后点击“Microsoft Exchange代理服务器设置”按钮。

1、在弹出对话框中指定代理服务器的URL为“https://Exchange外部访问域名”,同时勾选“仅使用SSL连接”和“仅连接到其证书中包含该主体名称的代理服务器”,在文本框中以“msstd:Exchange外部访问域名”格式填写,点击“确定”完成配置。

2、当Outlook通过Outlook Anywhere成功连接到Exchange后,打开其连接状态,可以看到其连接方式为HTTPS方式。

clip_image010

注意:在对Outlook配置完Outlook Anywhere后,建议在企业内部进行邮箱访问登录测试成功后,在从Internet进行邮箱访问登录测试和使用。