TMG发布Exchange2016服务(OWA、ActiveSync、OutlookAnywhere)-阿里云开发者社区

开发者社区> 安全> 正文

TMG发布Exchange2016服务(OWA、ActiveSync、OutlookAnywhere)

简介:

我们前面文章中有介绍到Exchange2016高可用性的部署,所以关于Exchange2016相关的服务配置就不多介绍了,今天呢主要介绍如何使用TMG将Exchange2016相关服务发布到外网,首先呢,我们回顾一下环境:

需要声明的是,Exchange2016高可用性的搭建相比Exchange2013或者更早的版本已经有了很大的变化,对于高可用的发布,微软建议使用硬件F5类似的产品或者智能DNS来搭建。所以对于很企业来说又是一个花销。但是我已找到了好的解决方法后续的文章中会介绍到,记得关注哦。

同样Office2016开始,outlook配置exchange邮箱已经不提高手动配置服务邮箱了,因为已经隐藏了手动配置服务器的选项,只能通过autodiscover的方法进行自动发现及配置了。以下为介绍图

clip_image001

Domainname:Iternalsoft.com

Hostname:Iternal-dc

Ip:10.10.1.254

Role:DC、CA、DAG见证服务

Hostname:Ex2016-01

Ip:10.10.1.11

Role:Exchange2016

Hostname:Ex2016-02

Ip:10.10.1.12

Role:Exchange2016

Hostname:Iternal-TMG

Ip:10.10.1.1

Role:TMG(Gateway)

DAG:10.10.1.10

我们在内部可以使用DAG的虚拟ip进行访问ecp、owa等服务

clip_image002

证书申请步骤就不多介绍了,我们前面的文章也有介绍到的,其实证书步骤跟exchange2013完全一样

clip_image003

设置到处路径及密码

clip_image004

这样我们可以到处exchange2016的服务证书,然后将导出的证书拷贝到TMG服务器,然后使用MMC打开控制台,将证书导入到个人证书目录下

clip_image005

导入后,我们就可以创建TMG策略来发布Exchange相关服务了,我们单机防火墙策略----新建---邮件服务器发布规则

clip_image006

定义规则名称后,我们需要发布以下所有服务。

注意:需要创建两条策略来发布邮件服务器的客户端访问记服务器到服务器的通讯

clip_image007

勾选所有客户端访问角色服务协议

clip_image008

定义服务器ip,该ip是服务器内部的ip

clip_image009

定义到外网ip

clip_image010

客户端访问服务规则定义完成

clip_image011

接下来同样按照上面的方法定义服务器到服务器之间的通讯

clip_image012

勾选需要发布的服务,在此我全部勾选了

clip_image013

选择内部服务器

clip_image014

同样选择到外网

clip_image015

服务器到服务器之间的通讯服务发布完成

clip_image016

到这一步我们还需要最后一个关键的个操作,就是需要在外部定义MX记录及外网访问的域名定义;

如果在外部域名不做MX记录解析的话,我们内部的用户只能给外部用户邮箱发送邮件,而外部的用户无法发送给内部用户,所以我们定义域名的MX记录解析

clip_image017

定义好域名后,我们就可以尝试内部外部互相发送测试邮件了

我们先在内部给外部用户发送测试邮件

clip_image018

发送邮件后,我们在外部邮箱查收一下,最后我们发现有退信,原因是对方的服务器拒绝我们发送的邮件,所以我们尝试给其他外部邮箱发送邮件

该 原因是由于对方设置了SPF,我们的邮件域名不再对方的白名单里面,所以发送失败

clip_image019

clip_image020

接着我们为了测试真实,我们使用126邮箱给我的iternalsoft.com的域用户发送测试邮件

clip_image021

我们查看邮件收到了

clip_image022

最后我们使用TMG发布Exchange2016服务器的owa、activesync、outlookanywhere,这样可以在外部使用web登录邮箱,也可以使用手机及outloo收发邮件了,

发布规则----新建---Exchange web客户端访问发布规则

clip_image023

我们首先发布owa,定义名称;因为我们知道TMG从2010就没更新了,微软就放弃了改产品,所以在选择Exchange版本的时候只有2010版本,所以我们选择Exchnage2010发布即可

clip_image024

发布单个网站或者负载均衡

clip_image025

因为我们已经导入了Exchange导出的证书,所以我们选择使用ssl

clip_image026

我们从内部访问的地址为服务器的内部地址,所以我们需要根据内部的访问地址来填写

clip_image027

然后定义从外部访问的域名信息

clip_image028

然后新建侦听器,同样适用ssl安全链接

clip_image029

然后选择证书

clip_image030

身份认证模式,选择---没有身份验证即可

clip_image031

然后单机创建可,然后选择该新建的侦听器

clip_image032

选择身份验证委派----无委派,但是客户端可以直接进行身份验证

clip_image033

最终发布owa完成,然后我们在外部测试可以成功登陆

clip_image034

接下来我们使用同样的方法发布activesync、outlookanywhere

clip_image035

后续的步骤跟owa一样,只是在新建侦听器那选择owa的创建的侦听器即可

clip_image036

最后我们发布outlookanywhere,方法同上

clip_image037

最终我们的所有的exchange服务就发布完成了

clip_image038

最后再说一下, 如果在tmg发布owa、outlookanywhere、activesync的时候填写内部的dag虚拟地址的话是无法访问的,就比如是owa来说,会在外网访问提示以下错误,对于该错误微软给出的解释是虚拟ip是无法发布的。对于该问题我已找到了好的解决方法,后期会更新请关注哦

clip_image039



本文转自 高文龙 51CTO博客,原文链接:http://blog.51cto.com/gaowenlong/1708612,如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
+ 订阅

云安全开发者的大本营

其他文章