搭配使用 ISA Server 2006 與 Outlook Web Access

 

適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上次修改主題的時間: 2007-04-20

Outlook Web Access for Exchange Server 2007 是設計來妥善運用 Internet Security and Acceleration (ISA) Server 2006 的新功能。Exchange 2007 也是設計來與舊版 ISA Server 整合。當您在使用 ISA Server 2006 協助保護公司網路的環境中部署 Exchange 2007 時,就可以使用 Exchange Client Access 的完整功能。

搭配使用 ISA Server 2006 與 Outlook Web Access 的好處

下表列出 ISA Server 2006 中的功能,可協助您保護含有 Outlook Web Access 的 Microsoft Exchange 郵件環境。

搭配 Outlook Web Access 的 ISA Server 2006 功能

功能 描述

連結轉譯

當 Outlook Web Access 中有任何物件 (電子郵件或行事曆項目) 的內文含有內部 URL 時,ISA Server 2006 會將內部 URL 的 Outlook Web Access 要求重新導向。使用者再也不必記憶那些對應到外部命名空間之內部企業資訊的外部命名空間。例如,如果使用者以電子郵件傳送連至內部命名空間的連結 (例如 http://contoso),而這個內部 URL 會對應到外部命名空間 (例如 https://www.contoso.com),則當使用者按一下內部 URL 時,內部 URL 就會自動轉譯成外部 URL。

網頁發行負載平衡

ISA Server 2006 可以將用戶端要求進行負載平衡處理,以將用戶端要求傳送到 Client Access Server 的陣列。ISA Server 2006 在接收到連接到 Outlook Web Access 的要求時,會選取某個 Client Access Server,然後使用 Cookie 將該 Client Access Server 的名稱傳回給 Web 瀏覽器。

HTTP 壓縮

過去,如果您是在安裝 Exchange Server 2003 及 ISA Server 2004 或 ISA Server 2000 的 ISA Server 電腦上使用表單型驗證,就無法使用 Gzip 壓縮。原因是 ISA Server 無法正確解壓縮及重新壓縮資訊。ISA Server 2006 可以解壓縮、檢查,然後重新壓縮資料,再將資料傳送到 Exchange 伺服器。

note附註:
ISA Server 2004 Service Pack 2 (SP2) 中提供了 Gzip 壓縮功能。

隱藏 Exchange 伺服器位置

當您透過 ISA Server 發行應用程式時,因為使用者無法檢視該伺服器的名稱和 IP 位址,所以可以保護伺服器免於直接遭到外部存取。使用者可以存取 ISA Server 電腦。然後 ISA Server 電腦會根據伺服器發行規則的條件,建立與 Client Access Server 的連線。

SSL 橋接及檢查

安全通訊端層 (SSL) 橋接可提供保護,防禦 SSL 加密連線中隱藏的攻擊。若是啟用 SSL 的 Web 應用程式,ISA Server 會在收到用戶端要求之後,解密並檢查用戶端要求,然後作為與用戶端電腦之間的 SSL 連線終點。網頁發行規則會決定 ISA Server 如何針對物件的要求,與發行的網頁伺服器進行通訊。使用 SSL 橋接時,會將安全網頁發行規則設定成利用安全 HTTP (HTTPS) 轉寄要求。然後,ISA Server 會啟動與已發行伺服器的新 SSL 連線。因為 ISA Server 電腦已經成為 SSL 用戶端,所以已發行的 Web 伺服器必須提供憑證作為回應。

SSL 橋接的另一個優點是組織只需要向外部憑證授權單位購買 ISA Server 電腦用的 SSL 憑證。使用 ISA Server 作為反向 Proxy 的伺服器,可以不需要 SSL,也可以使用內部產生的 SSL 憑證。

您也可以將 ISA Server 電腦作為 SSL 連線的終點,然後使用未加密的連線繼續連到 Client Access Server。這稱為 SSL 卸載。如果要這樣做,則 Outlook Web Access 的內部 URL 必須設定為使用 HTTP,而外部 URL 則必須設定為使用 HTTPS。設定內部 URL 及外部 URL 的方法有兩種,一種是透過 Exchange 管理主控台進行設定,另一種是透過在 Exchange 管理命令介面中使用 Set-OwaVirtualDirectory 指令程式並搭配 InternalURL 參數及 ExternalURL 參數進行設定。

如需如何使用 Set-OwaVirtualDirectory 指令程式及 Exchange 管理主控台來管理 Outlook Web Access 虛擬目錄的相關資訊,請參閱 Set-OwaVirtualDirectory如何修改 Outlook Web Access 虛擬目錄上的內容

單一登入 (SSO)

單一登入可讓使用者存取一組已發行的網站,而不需要向每個網站進行驗證。使用 ISA Server 2006 作為 Outlook Web Access 的反向 Proxy 伺服器時,可以將 ISA Server 2006 設定成取得使用者的認證,並將認證傳遞給 Client Access Server,如此只會提示使用者輸入認證一次。

如需 ISA Server 2006 搭配 Exchange 2007 時之新增強功能的相關資訊,請參閱 ISA Server 2006 的新增及改善功能 (英文)。

部署選項

同時部署 ISA Server 2006 與 Exchange 2007 時,您不需要對 Microsoft Exchange 基礎結構進行任何額外設定。然而,您可以設定 ISA Server 2006 啟用各種方式的 Exchange 用戶端存取,包括 Outlook Web Access、POP3 或 IMAP、Exchange ActiveSync 及 Outlook 無所不在。這些組態選項取決於您想要用以存取 Exchange 的驗證方法。

舊版 ISA Server (包括 ISA Server 2004 及 ISA Server 2000) 若是與 Exchange 2007 一起部署,就不會有相同的驗證部署選項。此外,如果同時部署 Exchange 2007 與 ISA Server 2006 及舊版 ISA Server,則可以使用下列驗證選項:

  • Outlook Web Access 的基本驗證   如果您計畫讓 Outlook Web Access 使用基本驗證,則 ISA Server 2006 及舊版 ISA Server 都應該使用網頁發行來發行 Outlook Web Access。
  • 用戶端憑證驗證   如果您計畫使用用戶端憑證型驗證方法,ISA Server 就會在執行 ISA Server 的電腦上自動進行驗證。舊版 ISA Server (包括 ISA Server 2004 及 ISA Server 2000) 需要伺服器已發行,才能使用用戶端憑證驗證。如果使用用戶端憑證驗證,則在將 SSL 封包傳送給 Client Access Server 之前,都無法使用 ISA Server 檢查 SSL 封包。

針對 Outlook Web Access 部署 ISA Server 2006

針對 Outlook Web Access 部署 ISA Server 2006 時,您可以使用新的「Exchange 發行規則精靈」來進行防火牆原則工作。這個新的精靈會顯示必須加以設定才能啟用 Microsoft Exchange 存取的特定設定。

important重要事項:
如果 Exchange 組織中有多個 Microsoft Exchange 版本,您必須針對所支援的每個 Microsoft Exchange 版本建立各自的 Exchange 發行規則。

針對 Outlook Web Access 設定 ISA Server 2006 包含下列步驟:

  1. 建立新的發行規則。
  2. 設定其他選項。

以下各節中所述的設定,就是必須套用到新發佈規則才能順利針對 Outlook Web Access 部署 ISA Server 2006 的設定。

建立新的 Exchange 發佈規則

在這個過程中,您必須提供下列資訊:

  • Exchange 發行規則名稱   為發行規則提供好記的名稱,例如「Exchange 電子郵件存取」。
  • 支援的用戶端存取服務   在 [選取服務] 頁面上,選取您要部署的 Microsoft Exchange 版本,以及想要支援使用者的用戶端存取服務。依照預設,在您選取 Exchange Server 2007 時,即會選取 Outlook Web Access。
  • 發行類型   在 [發行類型] 頁面上,選取您計畫發行單一站台或外部負載平衡器、Web 伺服器陣列或多個網站時,要使用的選項。
  • 伺服器連線安全性   這個頁面可讓您選取要使用安全通訊端層 (SSL) 還是未經保護的連線,將 ISA Server 電腦連到 Microsoft Exchange。
  • 內部發行詳細資料   在 [內部發行詳細資料] 頁面上,輸入 Outlook Web Access 的內部站台名稱,或是選擇要使用電腦名稱還是 IP 位址連接到 Microsoft Exchange。
  • 公用名稱詳細資料   [公用名稱詳細資料] 頁面可讓您選取要接受來自哪個網域的要求。您也必須提供公用名稱 (例如 www.contoso.com)。
  • 選取網頁接聽程式   [選取網頁接聽程式] 頁面可讓您指定要連接之 Exchange 伺服器的接聽程式。接聽程式會用來指定用戶端第一次連絡 ISA Server 電腦時使用的驗證類型。接聽程式包含的資訊包括 ISA Server 電腦接受用戶端要求的方式,例如加密、壓縮以及外部連線使用的驗證。您可以使用這個頁面來建立新的接聽程式,或編輯現有的接聽程式。
  • 驗證委派   [驗證委派] 頁面可讓您指定 Client Access Server 預期要從 ISA Server 收到的驗證機制類型。請從下列各項選取:
    • 無委派,但用戶端可以直接驗證
    • 基本驗證
    • NTLM 驗證
    • 交涉 (Kerberos/NTLM)
    • Kerberos 限制的委派
  • 使用者組   [使用者組] 頁面讓您能選取哪些使用者可使用此規則,連接到 Exchange。

如果已設定 ISA Server 電腦來驗證使用者,則應該將 Outlook Web Access 虛擬目錄設定為使用整合 Windows 驗證或基本驗證 (視組織需要的驗證類型而定)。在 Outlook Web Access 虛擬目錄上,將基本驗證或整合 Windows 驗證搭配 ISA Server 2006 驗證使用時,使用者只會收到一次輸入登入資訊的提示。

note附註:
如果針對 ISA 接聽程式選取表單型驗證,則 Outlook Web Access 工作階段逾時時會提示使用者重新輸入驗證認證。

不過,整合式 Windows 驗證會禁止從 Outlook Web Access 存取 Windows 檔案共用上的文件,或 Windows SharePoint Services 文件庫中的文件。如果必須從 Outlook Web Access 存取文件,則必須針對 Outlook Web Access 虛擬目錄使用基本驗證。

完成精靈之後,精靈就會建立 Exchange 發行規則。所建立的規則會出現在 [防火牆原則] 索引標籤上的 [防火牆原則規則] 清單中。

note附註:
發行規則建立完成之後,就必須等待設定生效。您可以使用 ISA Server 2006 管理主控台中的 [監視] 節點,來監視 ISA Server 2006 發行規則的進度。

設定其他選項

您可以針對在 ISA Server 2006 管理主控台中建立的新規則來設定其他功能,例如連結轉譯及 HTTP 壓縮。而在 ISA Server 2006 管理主控台的 [一般] 節點下,則可以管理連結轉譯及 HTTP 壓縮的其他設定。

設定連結轉譯

若要設定連結轉譯,您必須選取所建立的 Exchange 發行規則,然後按一下 [原則編輯工作] 下的 [編輯選取的規則]。您可以在 [連結轉譯] 索引標籤上,根據使用者的需要來設定連結轉譯。

設定 HTTP 壓縮

HTTP 壓縮選項可以於 ISA Server 2006 管理主控台之 [一般] 節點的 [組態] 中進行設定。按一下 [定義 HTTP 壓縮喜好設定],然後選取要用以支援使用者的選項。

完成這些選項設定之後,便完成了 Microsoft Exchange 的 ISA Server 組態。

安裝 ISA Server 2006 的伺服器憑證

若要使用 SSL 啟用用戶端電腦與 ISA Server 電腦之間的加密通道,則必須在 ISA Server 電腦上安裝伺服器憑證。因為網際網路上的使用者會存取此憑證,所以應該由公用憑證授權單位 (CA) 核發此憑證。如果使用私人 CA,則來自私人 CA 的根 CA 憑證必須安裝在需與 ISA Server 電腦建立加密通道 (HTTPS) 的所有電腦上,否則使用者會接收到憑證不受信任的警告。

如需如何在 ISA Server 2006 上安裝伺服器憑證的相關資訊,請參閱利用 ISA Server 2006 發行 Exchange Server 2007 (英文)。

相關資訊

若要確保您目前閱讀的是最新資訊,並尋找其他的 Exchange Server 2007 說明文件,請造訪 Exchange Server 技術資源中心.