2004年12月07日

分两部分:
a.如何配置ISA服务器,使得用户可以使用OWA来访问Microsoft Exchange 邮箱。

b.如何在OWA站点上使用SSL.


如何在ISA服务器后面发布OWA
1.配置ISA服务器接受外网卡的web请求:
   a. 启动 ISA Server 管理控制台:单击开始,指向程序,指向 Microsoft ISA Server,然后单击 ISA Management(ISA 管理)。

  b.展开左窗格中的”Servers(服务器)”文件夹,然后右键选择您的服务器属性。

   c.点击”Incoming Web Requests“页,再单击”Configure listeners  individually per IP address”.

     d.单击”Add”, 然后选择ISA Server和它的的外网卡ip地址。这一步确定了服务器响应外部http请求的ip地址和端口。

   e.单击”OK”完成,再单击”OK”回到ISA管理界面。

2. 创建”destination set”将Web客户端指向OWA站点的对应目录:

  a. 启动 ISA Server 管理控制台:单击开始,指向程序,指向 Microsoft ISA Server, 然后单击 ISA Management(ISA 管理)。

  b. 展开左窗格中的”Servers(服务器)”文件夹,再展开Policy Elements,右键选择 Destination Set文件夹,单击New, 然后单击Set. 您可以将该destination set命名为”OWA”.

  c.在Destination 一栏,输入外网用户访问OWA所使用的URL。

    注意:不要在URL里面包括”http://”;或者”https://”;部分。

d. 在Path一栏, 输入”/exchange*” (没有引号),然后单击OK.

 e.重复步骤d,分别为Exchweb和Public文件创建相应的路径:”/exchweb*”和”/public*”.

3. 用刚才创建的policy element 配置web publishing rule:
   a.展开Publishing,右键单击 Web Publishing Rules,选择New->Rule.
   b.在name一栏输入”OWA Access Rule” ,再单击Next.
  c.选择” specified destination set”,选择刚刚创建的OWA set,再单击Next.
   d. Apply the rule to Any Request, 再单击Next.
   e. 单击 “Redirect the request to this internal Web Server”,输入运行OWA的服务器的名称或者ip地址.
   f. 单击选择”Send the original header to publishing server instead of the actual one” ,再选择Next.
   g.单击finish.
   h. 在ISA 管理控制台里展开Monitoring图标,然后单击Services.
   i. 重新启动Web proxy和Firewall 服务:右键点击相应的服务,单击Stop,然后在菜单上启动。

如果OWA应用了SSL,必须在ISA服务器创建一条Server Publishing rule(HTTPS协议),选择内部OWA服务器的ip地址和ISA服务器外网卡地址(OWA服务器必须将ISA服务器的内网卡设为默认网关)。



如何用IIS5.0 和Certificate Server 2.0 建立SSL.
1. 首先,Web服务器必须做按照一下步骤证书请求:
   a.启动Internet Service Manager (ISM):开始->程序->管理工具->Internet Service Manager .
   b.右键点击需要建立SSL的站点,单击属性。
   c.单击目录安全页,再单击’服务器证书’,进入”Web服务器证书向导”.
   d.单击下一步开始向导,选择”创建一个新证书”。
   e.单击下一步,选择’现在准备请求,但稍候发送’。
   f.单击下一步,输入您的证书名称,你可以用web站点的名称。现在选择
位长,位长越长,证书加密越强。如果你的用户可能来自有加密限制的国家,就需要选择”服务器网关加密证书”.
   g.单击下一步,输入组织和组织单位。
  h. 单击下一步,输入公用名称,公用名称必须符合注册在DNS服务器上的 域名。例如如果URL是https://www.mydomain.com/securedir,那么公用  名称必须是 www.mydomain.com.如果客户使用IP地址访问该网站,如192.168.1.11,这儿的公用名称一定要使用”192.168.1.11″.
   i.单击下一步,输入您的国家、省、市。
   j.单击下一步,选择路径和您保存请求的文件名。
   k.再单击下一步两次,单击完成关闭向导。

2. 用Certificate Server处理您的请求,可以按照下列步骤来做:
  a.  在浏览器里面输入http://CAServerName/certsrv, 选择’Request a certificate‘. 注意:不要用”localhost“作为服务器名。
   b.单击Next并选择Advanced request.
   c.单击Next并选择Submit a certificate request using a base64 encoded PKCS #10 file or a renewal request using a base64 encoded PKCS #7 file.
   d.单击下一步,用Notepad打开您在Web证书向导中创建的请求文件。将整个文本文件(包括BEGIN和END两行),粘贴到Base64 Encoded Certificate   Request文本框。  
   e. 单击Submit。
   f. 关闭浏览器,在证书服务器上,打开Certification Authority 控制台。
   g.展开服务器名,选择Pending Requests folder.右键点击您提交的证书,选择 All Tasks,再选择Issue.
   h.右键点击服务器名您现在可以关闭Certification Authority 控制台。
   h. 打开一个新的浏览器窗口,输入步骤a里面的URL,选择Check on a      pending certificate.
  i. 单击下一步,选择您刚刚建立request.
   j. 单击下一步,选择DER encoded, 然后点击Download CA certificate的连接.保存证书文件到您的web服务器的本地硬盘,关闭浏览器。

3. 在IIS里完成证书安装,并启动SSL:

  a. 打开Internet Information Services MMC,右键点击需要应用SSL的web站点。
   b. 单击目录安全性,然后选择Server Certificate.
   c. 单击下一步,选择Process the pending request and install the certificate.
   d. 单击下一步,输入您上一部分保存的证书文件所在的路径和文件名。
   e. 单击下一步两次,点击完成推出向导。
   f. 单击web站点页,确认SSL端口一栏的端口是否正确。默认为443。
   g. 点击确认关闭web站点属性窗口。

现在我们已经建立了自己的一个SSL站点,但是这个站点不在Windows系列操作系统内建的信任之列,所以需要自己建立对该机构的信任,否则每次客户端访问该SSL站点,都会弹出该站点不被信任的窗口。

假如在试验中自己建立了一个根证书颁发机构MyCA2002,这个机构不在内建的受信任证书颁发机构之列,你可以按照下列步骤建立信任:
1.导出MyCA2002证书颁发机构的证书.
1)在CA服务器上单击”开始”菜单->”程序”->”管理工具”->”证书颁发机构”MMC管理单元,或者直接运行”%SystemRoot%\System32\certsrv.msc /s”.

(2)右击”证书颁发机构(本地)”下的”MyCA2002″节点,选择”属性”菜单项,打开”MyCA2002属性”对话框.

(3)在”MyCA2002属性”对话框”常规”页面单击”查看证书”,在跳出的”证书”对话框中切换到”详细信息”页面,单击下面的”复制到文件…”按钮,启动证书导出向导,将证书导出为”DER编码二进制X.509(.CER)”格式文件,假设文件名是”myca2002.cer”,文件大小约1k左右,复制到一个终端用户可以取到的位置,如软盘,网站(可以提供客户端下载)等.

2.在客户机建立对MyCA2002证书颁发机构的信任
(1)在客户机单击”开始”菜单->”设置”->”控制面板”->”Internet选项”,打开”Internet属性”对话框.
(2)切换到”内容”页面,单击下面的”证书…”按钮,打开”证书”对话框.
(3)切换到”受信任的根证书颁发机构”页面,单击下面的”导入…”按钮,启动”证书导入向导”,使用系统缺省的选
项将myca2002.cer证书导入.

(4)MyCA2002证书颁发机构成为受信任的根证书颁发机构.
如果OWA服务装在ISA服务器上,您需要禁用Socket Pooling. Socket Pooling 在IIS5.0里默认被启用,它使得IIS侦听所有ip地址的TCP 80 端口。关于如何禁用Socket Pooling,以及关于建立SSL和OWA的更详细的信息,可以

   Q238131 How to Disable Socket Pooling

   Q290625 HOWTO: Configure SSL in a Windows 2000 IIS 5.0 Test Environment
  Q290113 How to Publish Outlook Web Access Behind ISA Server
  Q267596 XWEB: How to Change OWA Passwords Through IIS