none
Публикация Exchange OWA в Интернет RRS feed

  • Вопрос

  • Доброе время суток!!!
    Нужна помошь... В связи с выносом OWA наружу есть два вопроса:
    1) можно ли прокинуть не 443 порт. Т.е. например снаружи входим по адресу https://mail.mycorp.ru:12345/owa на фаерволе идет проброс порта на 443 на exchange? я попытался так сделать, но к сожалению доходит только до страницы предупреждения о нетрастед сертификате. при пробросе 443 порта на 443 все работает замечательно.
    2) как можно ограничить список сотрудников, которым доступен OWA из инета, при этом не ограничивая их в возможности доступа к OWA из внутренней  сети?

     
    • Перемещено Hengzhe Li 12 марта 2012 г. 9:14 forum merge (От:Exchange Server 2007)
    18 августа 2009 г. 13:19

Ответы

  • Ну если предположить, что сервис OWA в любом случае ожидает на 443 порту, мне видится, что ему все равно с какого порта будет проходить запрос снаружи, 443 или с 1234, проверяйте настройки вашего брандмауэра, например на предмет контент-фильтрации ошибок быть не может?
    Я нашел проблему. проблема в "form based authentication". Она просто не поддерживает наличие указания номера порта в поле URL-адреса...
    При включении не form based аутификации, а например "Basic auth" все работает замечательно. Но это не безопастно, так что надо ставить ISA и публиковать OWA на нем.

    • Помечено в качестве ответа Nikita PanovModerator 9 сентября 2009 г. 9:13
    26 августа 2009 г. 11:28

Все ответы

  • Доброе время суток!!!
    Нужна помошь... В связи с выносом OWA наружу есть два вопроса:
    1) можно ли прокинуть не 443 порт. Т.е. например снаружи входим по адресу https://mail.mycorp.ru:12345/owa  на фаерволе идет проброс порта на 443 на exchange? я попытался так сделать, но к сожалению доходит только до страницы предупреждения о нетрастед сертификате. при пробросе 443 порта на 443 все работает замечательно.
    2) как можно ограничить список сотрудников, которым доступен OWA из инета, при этом не ограничивая их в возможности доступа к OWA из внутренней  сети?

     

    1. Можно.
    2. Создайте группу доступа. Разрешите в правиле публикации OWA доступ не всем пользователям, а только членам этой группы....
    Из возможностей у пользователей, которые будут обращаться "из-вне" пропадет только возможность смены пароля через интерфейс OWA в случае, если в свойствах УЗ установлена галка "пользователь должен сменить пароль" или пароль просрочен....

    Если ответ Вам помог, нажмите на изображение зеленой галочки - «пометить как ответ». Если ответ был для Вас полезен, Вы можете пометить это сообщение как «полезное», нажав на ссылку "проголосовать за полезное сообщение" в правом верхнем углу сообщения.
    18 августа 2009 г. 13:58
  • 1. Можно.
    2. Создайте группу доступа. Разрешите в правиле публикации OWA доступ не всем пользователям, а только членам этой группы....
    Из возможностей у пользователей, которые будут обращаться "из-вне" пропадет только возможность смены пароля через интерфейс OWA в случае, если в свойствах УЗ установлена галка "пользователь должен сменить пароль" или пароль просрочен....

    1. Не могли бы Вы рассказать об этом "можно" более подробно? Через публикацию на ISA? А если наружу смотрит хардовый фаервол (ZyWall70) и ISA работает с одним интерфейсом в режиме прокси?
    2. Насколько я понимаю правило публикации необходимо создавать на ISA сервере? но, как сказано выше, у меня стоит железный фаервол (ZyXel ZyWall 70) и ISA работает в "мертвом" режиме, т.е. как прокси с одним сетевым интерфейсом.
    19 августа 2009 г. 6:24
  • По первому вопросу:

    1. На "железном" брандмауере вам нужно просто сделать редирект портов(что уже сделано), причем я бы делал  не https://mail.mycorp.ru:12345/owa , а снаружи 443 --->12345.  
    2. Собственно сделать правило публикации для OWA, вот тут хоршая статья на тему публикации(по-моему даже разбирается пример с одним сетевым адаптером): http://msexchange.ru/articles/publishing-exchange-client-access-isa-2006-complete-solution-part1.php

    3. Для справки ограничения ISA с одним сетевым адаптером: http://technet.microsoft.com/en-us/library/cc302586.aspx

    • Предложено в качестве ответа ЮА 21 августа 2009 г. 8:04
    21 августа 2009 г. 7:51
  • 1. На "железном" брандмауере вам нужно просто сделать редирект портов(что уже сделано), причем я бы делал  не https://mail.mycorp.ru:12345/owa , а снаружи 443 --->12345.  

    Почему так (снаружи 443 --->12345)? Если в целях безопастности, то в чем безопастность такого решения?
    Вопрос был в том, что редирект сделан (12345----->443)  без публикации на ISA, те напрямую на Exchange, но он не работает (доходит только до страницы предупреждения о нетрастед сертификате). А при пробросе 443 порта на 443 все работает замечательно (так же без участия ISA).


    2. Собственно сделать правило публикации для OWA, вот тут хоршая статья на тему публикации(по-моему даже разбирается пример с одним сетевым адаптером): http://msexchange.ru/articles/publishing-exchange-client-access-isa-2006-complete-solution-part1.php

    За ссылку на статью СПАСИБО! Хорошая статья. После внедрения ISA2006 в нормальном режиме объязательно воспользуюсь. Но изначально вопрос был о публикации OWA без участия ISA сервера! Т.к. использование установленного на данный момент сервера ISA2000 не актуален, тк планируется внедрение ISA2006 в режиме с двуми сетевыми интерфейсами.

    24 августа 2009 г. 13:00
  • Приветствую!

    "Почему так (снаружи 443 --->12345)?" Это сделано не в целях повышения безопасности, а в целях удобства использования сервиса, все же в итоге мы для пользователей работаем, им не очень будет удобно набирать 123452 после имени сайта :).

    Ну если предположить, что сервис OWA в любом случае ожидает на 443 порту, мне видится, что ему все равно с какого порта будет проходить запрос снаружи, 443 или с 1234, проверяйте настройки вашего брандмауэра, например на предмет контент-фильтрации ошибок быть не может?
    24 августа 2009 г. 18:41
  • Ну если предположить, что сервис OWA в любом случае ожидает на 443 порту, мне видится, что ему все равно с какого порта будет проходить запрос снаружи, 443 или с 1234, проверяйте настройки вашего брандмауэра, например на предмет контент-фильтрации ошибок быть не может?
    Я нашел проблему. проблема в "form based authentication". Она просто не поддерживает наличие указания номера порта в поле URL-адреса...
    При включении не form based аутификации, а например "Basic auth" все работает замечательно. Но это не безопастно, так что надо ставить ISA и публиковать OWA на нем.

    • Помечено в качестве ответа Nikita PanovModerator 9 сентября 2009 г. 9:13
    26 августа 2009 г. 11:28
  • Если вы используете "Basic auth" совместно с SSL, то это вполне безопастное и рекомендуемое решение. Собственно ISA + OWA работает также. Так что вполне можете на тестовый период - до ИСЫ ипользовать такое решение. Насчет порта, тоже правильно, нет смысла заставлять пользователей набирать в адресе порт, это не повлияет на безопастность решения.
    31 августа 2009 г. 14:47