Cấu hình Exchange Client Access với ISA 2006 (Phần 1)
Việc cấu hình Exchange Server Client Access với ISA sẽ là một
nhiệm vụ dễ dàng không hề phức tạp? Thực tế điều này là
khơng. Mặc dù có nhiều nguồn trên Internet viết về chủ đề này
và Microsoft cũng cung cấp các tài liệu kỹ thuật mở rộng với
nhiều bước chi tiết hoặc vắn tắt khác nhau, nhưng sự thực là mỗi
lần thực hiện một quá trình cung cấp truy cập vào Exchange cho
người dùng mở rộng bằng ISA Server chúng ta lại gặp phải một
số vấn đề khó khăn.
Bài viết này sẽ đề cập với các bạn một số vấn đề dưới đây:
•
•
•
•
•
•
Cấu hình ISA Server
Cấu hình Exchange
Các chứng chỉ: cách lấy, cài đặt và export
Cách tạo một lắng nghe web thích hợp
Các ngun tắc cấu hình ISA Server
Điều khiển lại (thư mục và giao thức)
Bài này được áp dụng cho cả Exchange 2003 và Exchange 2007.
Các đối tượng chính
Các mục tiêu chính cần thực hiện là:
•
•
•
•
Cấu hình Exchange Client Access đầy đủ trên Internet
o Outlook Web Access (OWA)
o Outlook Mobile Access và ActiveSync
o RPC trên HTTP(s) / Outlook Anywhere
Sử dụng một URL đơn giản mà không cần phải đánh HTTPS hoặc /exchange (hoặc
/owa)
Sử dụng Forms-Based Authentication trên Internet
Mở một tập nhỏ các cổng TCP trên tường lửa.
Cấu trúc giải pháp
Như đã nói ở trên, chúng tơi sẽ giới thiệu kịch bản chung nhất để cung cấp cho các bạn “giải
pháp hồn tất”, đây là giải pháp mà chúng tơi sẽ tập trung vào cấu hình riêng.
Dưới đây là ảnh về cấu trúc sẽ được sử dụng trong bài viết này:
Hình 1: Cấu trúc Exchange
Các đặc điểm chính của cấu trúc này:
•
•
•
ISA Server là một nhóm làm việc
ISA Server chỉ có một giao diện mạng
ISA Server trong một DMZ
Cấu hình máy chủ ISA
Nhiệm vụ đầu tiên của chúng ta là cấu hình ISA Server trong nhóm làm việc chỉ có một giao
diện mạng. Chúng tôi sẽ bỏ qua thủ tục cài đặt ISA Server, vì vậy sẽ bắt đầu từ điểm ISA đã
được cài đặt trong môi trường Windows Server 2003 mà khơng thuộc về một miền nào. Những
gì chúng ta phải làm là áp dụng Single Network Adapter Template.
1. Mở ISA Server Management Console. Bạn vào Configuration > Networks. Trên cửa sổ
Templates, bạn sẽ tìm thấy Single Network Adapter. Chọn nó và bạn sẽ kích hoạt được
cửa sổ cấu hình. Kích Next hai lần.
Hình 2
2. Trên cửa sổ Internal Network IP Addresses, bạn sẽ thấy các địa chỉ sẽ được cấu hình để
định nghĩa ISA firewall Internal Network mặc định. Bạn có thể chấp nhận các tùy chọn
mặc định. Kích Next.
Hình 3
3. Chọn Apply default web proxying and caching configuration sau đó kích Next.
Hình 4
4. Trên cửa sổ Completing the Network Template Wizard, kích Finish.
Hình 5
5. Một cảnh báo sẽ xuất hiện. Kích OK
Hình 6
6. Kích Apply để lưu các thay đổi và nâng cấp chính sách tường lửa. Kích OK trong hộp
thoại Apply New Configuration.
Các chứng chỉ
Để bảo đảm truyền thông giữa tất cả các thiết bị được an toàn, bạn cần phải cài đặt chứng chỉ
máy chủ trên cả Exchange CAS/Front-End và ISA Server. Nếu chứng chỉ này đến từ một CA
bên trong thì bạn cần phải cài đặt chứng chỉ CA trên cả máy chủ và máy khách với cùng một CA
bên trong.
Khi bạn cài đặt Exchange 2007, bạn có thể cài đặt mặc định chứng chỉ Secure Sockets Layer
(SSL), đây là chứng chỉ được tạo bởi Exchange Setup. Mặc dù vậy, chúng tơi khơng khun bạn
sử dụng nó, vì chứng chỉ này khơng phải là một chứng chỉ SSL an tồn.
1. Để đạt được một chứng chỉ máy chủ mới bằng sử dụng Web Server Certificate Wizard,
trong IIS Manager, bạn phải mở phần máy tính cục bộ (local computer), sau đó mở thư
mục Web Sites. Kích chuột phải vào Web site trong các dịch vụ Exchange và chọn
Properties. Trên tab Directory Security, kích Server Certificate. Sử dụng wizard để
yêu cầu và cài đặt chứng chỉ Web server. Trong Web Server Certificate Wizard, bạn chọn
Create a new certificate.
Hình 7
2. Trên Delayed or Immediate Request page, chọn Send the request immediately to an
online certification authority nếu bạn có một Windows Server 2003 enterprise CA đã
cài đặt trong miền, ngược lại chọn Prepare the request now, but send it later.
3. Nhập vào các thông tin cần thiết trên Name and Security Settings và các trang
Organization Information.
Hình 8
Hình 9
4. Đánh FQDN trên cửa sổ Your Site's Common Name. Tên này phải phù hợp với tên mà
ISA Server sẽ sử dụng để truyền thông với máy chủ Exchange. Nó khơng phải là tên mở
rộng cuối cùng như chúng ta sẽ nhìn thấy phía trước.
Hình 10
5. Nhập vào các thơng tin cần thiết trên cửa sổ thông tin liên quan đến địa lý - Geographical
Information.
Hình 11
6. Nếu bạn đã chọn Send the request immediately to an online certification authority,
chấp nhận cổng mặc định là 443 trên cửa sổ SSL Port và từ danh sách dưới Certification
authorities, chọn CA hoạt động kinh doanh bên trong. Kích Next để đệ trình u cầu của
bạn. Các hành động này cũng sẽ cài đặt chứng chỉ cho Web site của bạn.
Nếu bạn đã chọn Prepare the request now, but send it later, hãy lưu yêu cầu vào một
file văn bản và đệ trình nó bằng trình duyệt. Nếu nó là một CA của Microsoft thì URL sẽ
là http://CAServerName/CertSrv. Chọn Request a certificate, kích Next và chọn
Advanced request. Kích Next và chọn Submit a certificate request using a base64
encoded PKCS #10 file. Kích Next, và mở file yêu cầu mà bạn đã lưu từ Web Certificate
Wizard trong Notepad. Dán tồn bộ văn bản của file, gồm có các dịng BEGIN và END
vào trong hộp văn bản Base64 Encoded Certificate Request. Khi chứng chỉ được đưa
ra, hãy trở lại IIS Manager, kích chuột phải vào web site trên tab Directory Security, kích
Server Certificate. Chọn Process the pending request.
Hình 12
Hình 13
Bước tiếp theo là cài đặt chứng chỉ máy chủ trên máy tính ISA Server, để kích hoạt một kết nối
an toàn giữa máy khách và ISA Server. Nếu một CA riêng được sử dụng thì chứng chỉ CA gốc từ
CA riêng sẽ cần phải được cài đặt trên máy tính khách cần tạo kết nối an tồn (kết nối HTTPS)
đến máy chủ ISA.
Chứng chỉ này có thể có cùng tên với chứng chỉ được cài đặt trên Exchange CAS/Front-End, nếu
tên bên trong tương ứng với tên công cộng. Trong trường hợp đó, chúng ta sẽ thực hiện thủ tục
sau để export chứng chỉ máy chủ:
1. Trên CAS / Front-End, trong IIS Manager, mở rộng phần máy cục bộ và sau đó mở thư
mục Web Sites. Kích chuột phải vào Web Site trong các dịch vụ Exchange, sau đó chọn
Properties.
2. Trên tab Directory Security, kích Server Certificate để bắt đầu Web Server
Certificate Wizard. Kích Next trên trang Welcome.
3. Chọn Export the current certificate to a .pfx file trên cửa sổ Modify the Current
Certificate Assignment.
Hình 14
4. Đánh đường dẫn và tên file trên cửa sổ Export Certificate, kích Next. Nhập mật khẩu cho
file .pfx, tốt nhất bạn nên chọn một mật khẩu mạnh. Mật khẩu này sẽ được yêu cầu khi
người dùng đang nạp file .pfx.
5. Copy file .pfx đã được tạo trong phần trước vào máy chủ ISA.
6. Trên máy chủ ISA, kích Start, sau đó kích Run. Trong Open, đánh MMC và sau đó kích
OK. Kích File, kích Add/Remove Snap-in, và kích Add để mở hộp thoại đính kèm Add
Standalone. Chọn Certificates, kích Add, chọn Computer account, sau đó kích Next.
Chọn Local Computer, và sau đó kích Finish. Kích Close và kích OK.
7. Mở nút Certificates, kích chuột phải vào thư mục Personal. Chọn All Tasks, sau đó kích
Import. Khi đó bạn sẽ vào được Certificate Import Wizard.
8. Trên cửa sổ File to Import, duyệt đến file bạn đã tạo trước và copy đến máy chủ ISA,
sau đó kích Next.
9. Trên cửa sổ Password, đánh mật khẩu cho file này, sau đó kích Next.
10. Trên cửa sổ Certificate Store, chọn Place all certificates in the following store và
Certificate Store được thiết lập là Personal (thiết lập mặc định), và sau đó kích Next.
11. Trên trang hồn thành, kích Finish.
12. Nếu đang sử dụng CA riêng thì bạn cần phải nhập chứng chỉ CA. Nếu nó là CA
Microsoft thì bạn phải vào http://CAServerName/CertSrv và chọn Download a CA
certificate, certificate chain or CRL. Lặp lại bước 6 đến bước 11, nhưng khi được hỏi
nơi để đặt chứng chỉ (bước 10), bạn chọn Trusted Root Certification Authorities.
Hình 15
13. Xác nhận lại rằng chứng chỉ máy chủ đã được cài đặt đúng. Kích đúp vào chứng chỉ máy
chủ mới. Trên tab General, phải có một chú ý hiện thị là You have a private key that
corresponds to this certificate. Trên tab Certification Path, bạn phải nhìn thấy mối
quan hệ có thứ bậc giữa chứng chỉ của bạn và CA, và một chú ý hiển thị là This
certificate is OK.
Hình 16
Kết luận
Trong phần thứ nhất này chúng tơi đã giới thiệu cho các bạn về cấu trúc và thiết lập các mục đích
chính của bài. Chúng ta cũng thấy được cách cấu hình máy chủ ISA trong một cấu hình chỉ có
một giao diện mạng và cách tạo, export và import các chứng chỉ.
Trong phần tiếp theo, chúng tôi sẽ tiếp tục giới thiệu các thiết lập cấu hình cần thiết cho
Exchange CAS/Front-End Server và cách cấu hình cơ chế thẩm định cho máy chủ ISA khi nó
khơng phải là một phần của miền Active Directory.