VnExperts - Đào tạo quản trị mạng CCNA, CCNP, MCSA, Linux, CEH

Publish Outlook Web Access Exchange 2003 server qua ISA 2004 (Part II) PDF Print E-mail

Trong phần I tôi đã giới thiệu với các bạn các bước cấu hình

- Tạo một Web Site Certificate tới OWA Web site.

- Export OWA Web Site Certificate sử dụng Private Key.

- Cấu hình OWA Site sử dụng phương thức mã hoá SSL và Basic Authentication.

- Import OWA Web Site Certificate vào Certificate Store trên máy ISA.


Phần II của bài này tôi xin tiếp tục hướng dẫn với các bạn chi tiết các bước cấu hình tiếp theo.

- Sử dụng Outlook Web Access Publishing Winzard và sửa HOSTS file trên ISA để truy vấn tới địa chỉ OWA Website

- Gia tăng bảo mật bằng cách yêu cầu xác thực Certificate từ Client bằng Web Requests Listener

- Configure HOST file trên máy OWA client

- Connection OWA Web Site.

* Sửa HOST file trên máy ISA để khi có truy vấn yêu cầu truy cập OWA Web Site nó sẽ resolve name tới OWA server qua Internal Address,

sau đây là các bước thực hiện:

+ Trên máy ISA firwall mở Windows explorer tìm hosts file ở đường dẫn sau \WINDOWS\system32\drivers\etc

+ Mở hosts file bằng Notepad

+ Sau đó ta nhập thêm một dòng vào phần cuối nội dung trong hosts file để Resolve name sang địa chỉ IP address để có thể tìm thấy OWA Server trong Internal network.

+ Ví dụ như trong bài này tôi resolve name owa.msfirewall.org tới địa chỉ OWA server là 10.0.0.2 trong Internal network.

+ Sau đó đóng Notepad và chọn Yes để save hosts file chúng ta vừa configure.

* Tiếp theo chúng ta thực hiện Public OWA Exchange server 2003 trên máy ISA firewall dùng Outlook Web Acces Publishing Winzard.

Sau đây là các bước thực hiện:

+ Truy cập vào Microsoft Internet Security and Acceleration Server 2004 management console, click vào server name sau đó click Firewall Policy chọn tab Task trong Task pane. Click Publish a Mail Server.

+ Form Welcome to the New Mail Server Publishing Rule Wizard hiện ra và điền tên rule trong text box Mail Server Publishing Rule name, ở đây tôi lấy tên rule là Publish OWA Web Site và click Next.

+ Tại form Select Access Type, chọn option Web client access (Outlook Web Access (OWA), Outlook Mobile Access, Exchange Server ActiveSync và click Next.

+ Trên form Select Services chọn vào dấu check box Oulook Web Access và kiểm tra xem check box the Enable high bit characters used by non-English character sets đã tích chọn vào đó chưa, nếu chưa ta phải tích vào đó, mục đích của việc chọn option này là nó cho phép OWA users truy cập mail có thể sử dụng non-English character. Sau đó click Next.

+ Ta chọn Secure connection to clients and mail server trên form Bridging Mode và lick Next, option này cho phép ta tạo một Web Publishing Rule sử dụng cơ chế bảo mật SSL để kết nối từ client tới OWA Web site.

+ Trên form Specify the Web Mail Server nhập tên của OWA Web site internal vào trong text box Web Mail Server trong ví dụ này tôi sử dụng là owa.msfirewall.org

Chú ý: Tên này chính là tên sử dụng cho Exchange server site trên internal network và là common name trên OWA Web Site's certificate. Nếu như ta sử dụng 1 địa chỉ IP address, nó sẽ ngăn cản SSL kết nối giữa cổng internal của ISA và Exchange OWA site. Ta có thể sử dụng HOSTS file để resolve name sang IP address của Exchange server trong internal network, điều này giải thích tại sao ta phải cấu hình HOSTS file ở phần trước.

Click Next.

+ Tại form Public Name Details chọn This domain name (Type below) trong list Accept requests for. Sau đó nhập tên mà ta muốn cho các external users sử dụng để truy cập đến OWA web site trong text box Public name. Ở đây tôi dùng owa.msfirewall.org, tên này sẽ được các external users sử dụng truy cập vào web site thông qua Web site certificate và được resolve sang IP address trên external interface của máy ISA firewall.

+ Trên form Select Web Listener click New button: bạn có thể tạo Web listener riêng cho SSL hoặc là non-SSL trên cùng một IP address hoặc bạn có thể thiết lập mỗi listener riêng phụ thuộc vào số IP address của external interface trên máy ISA firewall.

+ Ở form Welcome to the New Web Listener Wizard nhập tên cho listener mà bạn muốn vào Web listener name text box, ở đây tôi sử dụng tên là OWA SSL Listener, click Next

+ Tại form IP Addresses chọn vào check box External và click vào Address button.

+ Trong dialog box External Network Listener IP Selection chọn Specified IP addresses on the ISA Server computer in the select network và click vào địa chỉ external trên máy ISA mà bạn muốn nghe các yêu cầu từ OWA site trong Available IP Addresses list, trong ví dụ này tôi chọn là 192.168.1.70 click Add. Địa chỉ IP này bây giờ sẽ xuất hiện trong Selected IP Addresses list, sau đó click OK.

+ Click Next trên form IP Addresses

+ Trên form Port Specification bỏ chọn trong check box Enable HTTP và tích chọn vào check box Eable SSL chọn SSL port number là 443 ( bạn có thể cấu hình với listener non-SSL connections ).

+ Click Select button, trong dialog box Select Certificate click chọn OWA Web site certificate mà bạn import vào certificate store trên máy ISA firewall và lick OK,

Chú ý: Cerfiticate này chỉ xuất hiện sau khi chúng ta đã install Web site certificate vào trong certificate store trong máy ISA firewall, thêm nữa certificate phải là private key nếu không phải certificate cũng không xuất hiện ở list này

+ Click Next trên form Port Specification

+ Click Finish on the Completing the New Web Listener page

+ Bây giờ OWA SSL Listener ta vừa thiết lập sẽ hiện chi tiết trên form Select Web Listener, sau đó click Edit

+ Trong dialog box OWA SSL Listener Properties chọn tab Preferences

+ Trên tab Preferences tab, click Authentication button.

+ Trong Authentication dialog box, bỏ chọn check box Integrated click OK, sau đó ISA 2004 sẽ thống báo bạn là không có authentication nào được cấu hình.

+ Sau đó tích chọn vào check box OWA Forms-Based. OWA Forms-Based là tính năng rất hĩu ích trong cơ chế bảo bật của ISA cung cấp cho OWA site, nó sẽ tạo ra form log on sau đó nó forward uỷ nhiệm cho OWA site để xác thực. Chỉ sau khi các users được xác thực thành công thì nó mới gửi yêu cầu kết nối đến OWA site. Tiếp theo click Configure button.

+ Trong OWA Forms-Based Authentication dialog box, tích chọn vào 3 check box : Clients on public machines, Clients on private machinesLog off OWA when the user leaves OWA site

Những thiết lập này làm năng câo tính bảo mật cho OWA site, nó thiết lập các session times-outs cho client ở cả 2 máy Public và Private. Sau đó click OK

+ Click OK trong Authentication dialog box

+ Click Apply and sau đó click OK trong OWA SSL Listener Properties dialog box

+ Click Next trên form Select Web Listener

+ Trên form User Sets để ở chế độ default là All users sau đó click Next. Chú ý rằng điều này không có nghĩa là tất cả các user đều có thể truy cập vào OWA Site, chỉ khi công việc xác thực thành công thì các user mới có thể truy cập OWA site.

+ Click Finish trên form Completing the New Mail Server Publishing Rule Wizard

+ Sau đó Right click OWA Web site Rule vừa tạo và chọn Properties.

+ Trong dialog box OWA Web site Properties click vào tab To. Trong tab To chọn option Requests appear to come from the original client. Lựa chọn này cho phép OWA Web site nhận IP address của external client, tính năng này enable log add-ons được thiết lập trên OWA Web site sử dụng các thông tin này khi tạo report.

+ Click Apply và sau đó click OK

+ Click Apply để lưu các thay đổi và update firewall policy

+ Click OK trong dialog box Apply New Configuration

* Configure HOST file trên máy OWA client (IP address: 192.168.1.90)

Tại máy OWA client cần phải thiết lập để truy vấn tới external của máy ISA, external ISA sẽ nghe các yêu cầu và chuyển về OWA server. Để làm được điều này chúng ta cần phải configure HOSTS file để resolve name (owa.msfirewall.org) tới địa chỉ IP trên external interface (192.168.1.70) của máy ISA firewall để nghe các yêu cầu đi vào OWA server.

Tại máy OWA client

+ Click Start và chọn Explore

+ Mở file HOSTS bằng Notepad tại đường dẫn \system32\drivers\etc

+ Thêm dòng dưới vào dòng cuối cùng của hosts file

192.168.1.70 owa.msfirewall.org

+ Đóng hosts file và save sự thay đổi

* Connection OWA Web Site

+ Mở Internet Explore nhập https://owa.msfirewall.org/exchange vào Address bar và nhấn enter

+ Trên form log on của Outlook Web Access nhập MSFIREWALL\Administrator vào text box Domain\user name, sau đó nhập password của Administrator vào text box Password và click log on

+ Truy cập thành công OWA qua SSL

Qua bài hướng dẫn này các bạn có thể xậy dựng hệ thống mail Exchange 2003 với sự bảo mật của ISA 2003 và để nâng cao thêm tính năng bảo mật cho mail server bằng cấu hình cho các users truy cập OWA server qua SSL.

Chúc các bạn thực hiện thành công!

Theo - Vnexperts Research Department.