none
TMG 发布 Exchange 2010 OWA RRS feed

  • 常规讨论

  • 一. 介绍:

          为了实现Exchange用户可以在组织外部在任何地方、以多种形式安全地去访问组织内部的资源,通常,企业都会采取一些措施确保数据的安全性,例如:防火墙,这种技术可以提供发布向导和安全特性,以确保Exchange用户可以在企业外网安全地访问企业内部的资源。目前有几种主要的防火墙,Forefront TMG是其一,Forefront TMG一个高级状态检测以及应用层检测防火墙,它不仅可以负责网络边缘的安全与防护,而且还能实现企业安全威胁管理。
    下图是Forefront TMG发布Exchange2010owa之前和之后的登录界面。

    https://edperg.bay.livefilestore.com/y1pPaKpTynlSYV-loM8jSnX7amJ2HCf7j1IGUEr6zeO95DPBWscCNo5YgkzSaCrWd0qF6u0D9cnFZ51vAtMCLy-iPYw4ekgGhFQ/1.jpg?psid=1
    https://edperg.bay.livefilestore.com/y1pnf7EPgbI4Ko3wmV7babpJaf876t07G_weMYar5V7L-GeiWeUo0sAbZ4LDk7uZJOVUUaIpKNyQNq1bWJ3vtwcCGfP5olnoWM4/2.jpg?psid=1


    二. 先决条件

    1. Forefront TMG系统要求 (推荐使用以下条件的系统)
    Windows Server 2008 SP2 或 Windows Server 2008 R2
    2. Exchange2010系统要求
    a. 带sp2的64位版本的Windows Server2008标准版
    b. 带sp2的64位版本的Windows Server2008企业版
    c. 带sp1的64位版本的Windows Server 2008 R2标准版
    d. 带sp1的64位版本的Windows Server2008 R2企业版
    e. Windows Server 2008 Datacenter RTM 或更高版本
    f. Windows Server 2008 R2 Datacenter RTM 或更高版本


    三. Forefront TMG发布exchange(Owa和Outlook anywhere)的主要步骤(以加入Forefront TMG为例)

    1. 申请Exchange证书及在Forefront TMG服务器上安装该证书。(Forefront TMG必须信任CAS所使用证书的CA。如果CAS所使用的证书来企业内部的CA,且Forefront TMG是域的成员,则Forefront TMG会自动信任这个CA,如果Forefront不是域的成员,或者这个证书不是由企业内部CA颁发的,则这个证书链必须被安装到Forefront TMG本地计算机信任的根域下。
    a. 首先在CAS服务器上申请一张证书(打开EMC,创建一个证书请求,然后利用这个证书请求文件从CA上申请一张Web Server证书),申请好后,下载该证书,再到EMC上选择Complete Pending Request,最后通过EMC,选择导出证书或者Export-ExchangeCertificate命令导出该证书为.pfx文件。

    https://edperg.bay.livefilestore.com/y1pywHVO5azday3F6Y-yBz9KQvE3r4cQElGxMw-E1p9abOB1SBuGjNw5G8cDQZxNcjuzB87qWDfQ5jFouy7J7jxlcVmrBOzvDzN/3.jpg?psid=1


    创建新的 Exchange 证书(注意:由于这个证书在Forefront上使用,因此创建好该证书后,建议不要assign该证书到任何Exchange服务)
    b. 将该证书transfer到Forefront TMG服务器上。
    c. 在Forefront TMG服务器上,打开MMC,添加证书插件,选择computer账号,点击完成,展开证书,右击Personal,在all tasks中,选择import证书.同时,请确保导入的证书在Trusted Root Certificate Authorities下。
    2. 创建一个Web Listener.
    在Forefront TMG management console中,在防火墙策略上,在右边控制台上选择toolbox,右击Web Listener,选择新建Web Listener(注意:在创建过程中,在验证设置页,请选择HTML Form Authentication)

    https://edperg.bay.livefilestore.com/y1pPsbMN5dB86ZizVfhjGL21V9sGx8WpemFnJeQXmkt_hkeWIQN0-COLBAXU0CAV8MONkhEHsGnaliphhavoXl1WHXYj76xlQYw/4.jpg?psid=1

    https://edperg.bay.livefilestore.com/y1p-mSEGMkf1Bdjx9OIgpSdwDRvZlxEm9-HPOJE9abfZ8XHkxXlOtsD62_QKFCdByCuJF8wRoZrcICab85B7UlFTiRDle1qJplU/5.jpg?psid=1

    3. 创建一个web farm.
    同上,在toolbox中,右击Server farms,选择新建Server Farm.(如果你的环境中只有一台CAS的话,你可以不用创建web farm,如果你的环境中有多台CAS的话,则需要创建web farm,如果你之后在部署另外的CAS的话,建议你将它们加到已经创建好的web farm中,避免策略的重新配置)
    4. 创建发布规则(它将监听器、farm和用户访问的资源结合在一起),
    a. 在Forefront TMG console上,右击防火墙策略,选择新建“Exchange Web Client Access Publishing Rule”,在Web client mail services下,选择Outlook Web Access.

    https://edperg.bay.livefilestore.com/y1p9wipM1EIYBqfzzdI9BSLfjoKbecMYmzYUBfV37oZWK8nfDljAWC0J8z_4lNBDv52R4ARtiGtOyKEVauilBZkL-FWhv00q1Mi/6.jpg?psid=1
    Web发布规则测试结果
    https://edperg.bay.livefilestore.com/y1pqfsWIE8BJ3mA9CYYlO4iUTU2tIiVe9aX8KTNjcf5l1wsd_5WuUI8oQW4ZQHBoYNmmYan77bHl2k7_dLxWtWzvH5Qzr958hLQ/7.jpg?psid=1
    b. 在Forefront TMG console上,右击防火墙策略,选择新建“Exchange Web Client Access Publishing Rule”,在Web client mail services下,选择Outlook Anywhere(Rpc/Http(s)).

    https://edperg.bay.livefilestore.com/y1pQdCUeN6mEFq9Sq7YTrKkUQKyadhBtp3hhP8a076ugS8IaSt2oI_f71_ASStc1nQsIGTbnA15ZDIJwTECFixeBwTfGXYf2QAJ/8.jpg?psid=1

    注意:该发布规则创建好后,还需要在新建的发布规则的Public Name属性上,添加autodiscover name,如下图:
    https://edperg.bay.livefilestore.com/y1ppC2b1ZON50r-HDmJaBBdAPn_THiDo2HiYext1PMMtzFM4o7VFgkY-fEaTRif_GoFpmEtGDVBZ8fWfqfc9_1qQGYJLx1SO2tK/9.jpg?psid=1

    Outlook Anywhere发布测试结果

    https://edperg.bay.livefilestore.com/y1pjHDv1sAqnkWppyq7N06a3Oe8t0ihDuXKCkyxPcD7hKjMgZILnCCySkWTQUcXzaopZVV8db60H7zGFRdqt-wWbhDFIkyXQ1ur/10.jpg?psid=1

    5. 创建DNS记录
    在公网DNS上创建2个A记录,一个是autodiscover的A记录,一个是外部域名的A记录
    6. 在CAS上配置验证方式。验证方式配置好后,请重启iis.

    https://edperg.bay.livefilestore.com/y1pelZPKIuD20whC8B4KfrW0N3u-xexrNC-xl1U3AIhBj_bpsXvV6AmcqWRsrc8RnpjjMMa5UeOvQdSgEqo6YC-ZNnkzQb2kber/11.jpg?psid=1

    https://edperg.bay.livefilestore.com/y1p-68k1BHChxZ6YxX9hoZRsSLhrj5zcGljtMHWLTh8y8KHjniwbfCguz2ObY4W7l5gnGG8VrkLUYsna7t59FxON43i7PCf6j87/12.jpg?psid=1


    四. 测试TMG发布Exchange 是否成功的方法
    a.测试owa.
    在IE浏览器上,输入发布的url,对于我的环境,就是https://mail.wall.com/owa ,
    Owa登录界面出现,如下图:

    https://edperg.bay.livefilestore.com/y1pjNH58lTKLSE1ySGWxYHrGZvftq-BQ_d7dqmiX-tfIa9GBBCHGB3m8J631l7mIlOQiDfv87hldeFz1JCN2phGhwii1yptAqkw/13.jpg?psid=1

    使用域用户名和密码访问邮箱,确认mailbox是否可以display,若可以,则说明该发布已成功。

    https://edperg.bay.livefilestore.com/y1px4BcjkT7q1m1bjlD3529qDWas39z6d_XZua2QsCqRk4t0_-4VIHUcp_Um8J77OV4oh7JFA4pMANpnGCeqQItK1c5qhnG5Nhs/14.jpg?psid=1

         b.测试Outlook Anywhere和Autodiscover服务。
    在公司外网的一台computer上,配置一个Outlook Exchange账号,选择自动配置账号。出现如下图的结果,则说明Outlook Anywhere配置成功,以及Autodiscover配置是正确的。
     

    https://edperg.bay.livefilestore.com/y1pGoUCWI7D3H2aD39WhWTXLr30lqg_GBWxFYll8ilFMzczBJKqpSK34z3BlOp_e8FcQFHIOXCSMGZlOQmQ13wb5-MZX9kSQb5U/15.jpg?psid=1


    五. 发布可能碰到的问题和解决方案
    1. Error details: 0x80090325-The certificate chain was issued by an authority that is not trust.
    出现该问题可能是由于根证书不在信任的CA folder下。请将你的CA证书安装到客户端信任的CA folder下。
    有更多类似的Thread供你参考。
    Publishing Exchange/ TMG 2010 / VeriSign - The certificate chain was issued by an authority that is not trusted
    http://social.technet.microsoft.com/Forums/en-US/exchange2010/thread/dd4b7c51-8c7d-4711-a5f8-57698d612145
    Problem of "Certificate chain was issued by an authority that is not trusted", I have imported the CA certificate
    http://social.technet.microsoft.com/Forums/en-US/FTMGNext/thread/12c4febb-18e7-4a77-a23e-a615b3913e67
    2. 证书名不匹配
    常见的错误是The target principal name is incorrect。
    为了解决该问题,请确保所有的ExternalURL是正确的,且证书上包括这些名字。然后通过再次颁发证书将这些name添加到该证书中。
    3. 验证方式不正确。
    默认情况下,owa和ecp支持FBA验证方式,请确认在owa和ecp虚拟目录上设置验证方式是basic 验证;outlook anywhere和ActiveSync也配置basic验证


    Simon Wu
    TechNet Community Support





    2012年12月31日 9:16
    版主