在日常环境中,经常有同事在出差的时候需要用到公司邮件。对于一般用户来说,要他配置Outlook,可能是件比较困难的事情。这时候,使用OWA收发邮件就显得比较重要了。在本节,我们就来探讨一下,使用ISA2004发布OWA站点的一些操作。操作步骤相对较多,这次我找了台中文版的ISA来做实验环境,以方便查看截图。具体的操作步骤如下:

第一步,需要为 OWA Web 站点发布和绑定一个 Web 站点证书。
相关设置可以参照“ OWA 管理之一 HTTPS 实现 OWA 表单( http://guoxuemin.blog.51cto.com/379574/157056 )”,这里就不再重复写。
 
第二步,需要将 OWA Web 站点的证书导出到一个文件中
执行以下步骤以导出 Web 站点的证书和私钥到一个文件中:
1.  Internet Information Services (IIS) Manager 控制台,右击 Default Web Site ,选 Properties (属性),如下图:
2.  选择“ Directory Security (目录安全性)”标签,点击“ View Certificate (查看证书)”按钮,如下图:
3.  在“ Certificate ”对话框中,点击 Details 标签,在 Details 标签,点击 Copy to File 按钮,如下图:
4.  在“ Export private Key ”对话框,选择“ Yes,export the private key ”,然后点击 Next ,如下图:
5.  在“ Export File Format ”对话框,选择“ Personal Information Exchange PKCS #12(.PFX) ”选项,勾选“ Include all certificates in the certification path if possible ”,取消其它勾选项目,然后点击 Next ,如下图:
6.  在“ Password ”对话框,输入并确认密码,点击 Next ,如下图:
7.  在“ File to Export ”对话框,在 File Name 文本框中输入 C:\owacert ,点 Next ,如下图:
8.  点击 Finish ,完成证书的导出。如下图:
 
第三步,配置 OWA 站点强制使用 SSL 加密和基本身份认证
1.  Internet Information Services 控制台,展开 Default Web Site 节点,需要修改的三个 Web 虚拟目录为:
/Exchange
/ExchWeb
/Public
我们先从 Exchange 目录开始,右击它,选 Properties (属性);
2.  进入“ Directory Security ”标签,在“ Authentication and access control ”框架,点击 Edit ,如下图:
3.  在“ Authentication Methods ”对话框中,勾选“ Basic Authentication (Password is sent in clear text) ,取消其它勾选。在 Default domain 文本框输入域名,点 OK 完成,如下图:
4.  点击“ Secure Communtications ”框架中的 Edit ,如下图:
5.  在“ Secure Communications ”对话框,勾选“ Require secure channel (SSL) Require 128-bit encryption ”,然后点击 OK ,如下图:
6.  在“ Exchange Properties ”对话框上点击 Apply ,然后点击 OK;
7.  /Exchweb /Public 目录重复以上过程。
8.  右击“ Default web Site ”站点,选 Properties ,点击“ Directory Security ”标签,在“ Authentication and access control ”框架中点击 Edit ,取消勾选“ Require secure channel (SSL) ”,如下图:
 
第四步,将 OWA Web 站点的证书导入到 ISA 防火墙计算机中
1.  将之前 Exchange 服务器上导出的证书 Copy ISA 服务器上
2.  ISA 服务器上,点击 Run ,输入 mmc ,然后点击 OK ,如下图:
3.  Console 1 控制台,点击 File 菜单下的 Add/Remove Snap-in 命令,如下图:
4.  在“ Add/Remove Snap-in ”对话框点击 Add 按钮,如下图:
5.  在“ Available Standalone Snap-in ”列表中,选择“ Certificates ”,然后点击 Add ,如下图:
6.  在“ Certificates snap-in ”对话框中选择“ Computer account ”选项,点 Next ,如下图:
7.  在“ Select Computer ”对话框,选择“ Local Computer (the computer this console is running on) ,然后点击 Finish ,如下图:
8.  在“ Add Standalone Snap-in ”对话框,点击 Close ;在“ Add/Remove Snap-in ”对话框,点 OK
9.  右击左面板的 Personal 节点,选择“ All Tasks—Import ”,如下图:
10.  在“ File to Import ”对话框,找到证书文件,然后点击 Next ,如下图:
11.  在“ Password ”对话框,输入文件的密码。然后点 Next ,如下图:
注意,不要勾选 Mark this key as exportable ,这样可以保证其他人不能再次将密钥导出。
12.  在“ Certificate Store ”对话框,勾选“ Place all certificate in the follow store ”,然后点 Next ,如下图:
13.  点击 Finish ,完成证书的导入。
14. 在右面板可以看到导入的证书,如下图:
15.  证书的颁发机构必须放置在 Trusted Root Certification Authorities\Certificates 存储区,这样 ISA 才能信任这个计算机证书。展开左面板的 Trusted Root Certification Authorities ,如下图,由于我们使用的是企业 CA ,而且 ISA 和企业 CA 在同一个域,所以证书已经自动添加。如果使用独立的 CA ,或 ISA 和企业 CA 不在同一个域,那么需要将证书复制到 Trusted Root Certification Authorities\Certificates 节点。
 
第五步,使用 ISA 发布 OWA 规则
1.  点击“防火墙策略 —New— 邮件服务器发布规则”,如下图:
2.  输入规则名称,如下图:
3.  在“选择访问类型”对话框中,勾选“ Web 客户端访问”,如下图:
4.  在“选择服务”对话框勾选“ Outlook Web Access ”,并勾选“启用非英文字符集使用的高字节字符”,点 Next ,如下图:
5.  在“桥接模式”对话框中选择“加密到客户端和邮件服务器的连接”,如下图:
6.  在“指定 Web 邮件服务器”对话框输入 OWA Web 站点的域名,这里我们输入“ mail.guoxuemin.cn ”。注意,这个名字必须和证书的名字一样。 Next ,如下图:
7.  在“公共名称细节”对话框中,在接受请求项选择“此域名(在以下输入):”,在公用名称项,输入 OWA 站点的名字。点 Next ,如下图:
8.  在“选择 Web 侦听器”对话框中点击“新建”,如下图:
9.  输入侦听器的名称,如下图:
10.  在“ IP 地址”对话框中,选择侦听的网卡,这里选择“外部”,如下图:
11.  在“端口指定”对话框中勾选“启用 SSL ”,并点击“选择”按钮,选择证书,如下图:
12.  点击 Finish ,完成侦听器的设置。如下图:
13.  回到“选择 Web 侦听器”对话框,选择“编辑”,如下图:
14.  在“ Listen 443 Ports 属性”对话框中,点击“身份验证”,如下图:
15.  在“身份验证”对话框,取消勾选“集成的”,勾选“ OWA Forms-Based ”,然后点击“配置”,如下图:
16.  在“基于 OWA 窗体的身份验证”对话框中,勾选“在共有计算机上的客户端”,“在私有计算机上的客户端”,“在用户离开 OWA 站点时注销 OWA ”,然后点击确定,如下图:
17.  在“身份验证”对话框中,点确定,在“ Listen 443 Ports 属性”对话框中点应用,再点确定。回到“选择 Web 监听器对话框”,点击 Next ,如下图:
18.  在“用户集”对话框中接受默认的“所有用户”,点 Next ,如下图:
19.  点击“完成”,完成对 OWA 站点的发布。
20.  右击刚才建立的规则,点属性,在“到”标签页,选择“使请求显示为来自初始客户端”,这个选择允许 OWA Web 站点接受外部客户的实际 IP 信息,这个特性允许 OWA 站点上的 Web 日志插件记录地址信息。如下图:
 
第六步,发布证书的 Web 注册站点
1.  点击“防火墙策略 —New—Web 服务器发布规则”,新建一条 web 服务器发布规则,如下图:
2.  输入规则名称,点 Next ,如下图:
3.  在“请定义要发布的网站”对话框中,输入 web 服务器的 IP 地址,在“路径”文本框中输入“ /certsrv/* ”,点 Next ,如下图:
4.  在“公共名称细节”对话框中,在“接受请求”项选择“此域名(在以下输入):”,在“公共名称”文本框中输入外网 IP 地址,在“路径(可选)”文本框中输入“ /certsrv/* ”,然后点击 Next ,如下图:
5.  在“选择 Web 侦听器”对话框中,点击“新建”,如下图:
6.  输入侦听器名称,点 Next ,如下图:
7.  在“ IP 地址”对话框中选择要侦听的网络接口,这里选择“外部”,如下图:
8.  在“端口指定”对话框中,勾选“启用 HTTP ”,端口号为 80 ,如下图:
9.  点击“ Finish ”,完成对端口侦听器的设置。
10.  回到“选择 Web 侦听器”对话框,点 Next ,如下图:
11.  点“ Finish ”,完成证书 web 注册站点的发布。如下图:
12.  发布完后,还需要修改一些东西,才能正常工作。右击刚才建立的规则,选属性,定位到“路径”标签,点击“添加”,如下图:
13.  在“路径映射”对话框中,添加“ /certcontrol/* ”,然后点确定,如下图:
14.  设置完后,点击 Apply ,应用规则。
 
第七步,在客户端上安装 OWA 证书
1.  在客户端计算机上,打开浏览器,输入: http://mail.guoxuemin.cn/certsrv ,在弹出的对话框中输入用户名和密码,如下图:
2.  在“ Microsoft Certificate Services ”站点的 Welcome 页,点击“ Download a CA certificate,certificate chain, or CRL 链接;如下图:
3.  在“ Download a CA Certificate, Certificate Chain, or CRL ”页,点击“ Install this CA certificate chain ”链接,如下图:
4.  在弹出的“潜在的脚本冲突”对话框中,点“是”,如下图:
5.  在弹出的“安全警告”对话框中,点“是”,如下图:
6.  在出现下图所示网页时,表示证书已经安装好。关闭浏览器。
7.  重新打开浏览器,在浏览器中输入: https://mail.guoxuemin.cn/exchange ,弹出如下页面,输入用户名和密码,登录。
8.  如下图所示,登录到 OWA 页面,现在就可以通过 OWA 收发邮件了。
注意:不能在 Exchange 服务器上面设置表单, 右击组织—Servers—服务器—Protocols—HTTP—Exchange虚拟服务器,选Properties(属性)。去掉“Enable Forms Based Authentication(启用基于表单的身份验证)”前面的勾即可,如下图。
 
 

     本文转自Tonyguo 51CTO博客,原文链接: http://blog.51cto.com/tonyguo/157535 ,如需转载请自行联系原作者