简介 Microsoft Internet Security and Acceleration (ISA) Server 和 Microsoft Outlook Web Access 通过协作 共同增强电子邮件消息的安全性 本文说明如何利用邮件服务器发布规则来安全地发布 Outlook Web Access 服务器 它介绍了相关概念 并为配置 Outlook
简介 Microsoft Internet Security and Acceleration (ISA) Server
和 Microsoft Outlook Web Access 通过协作
共同增强电子邮件消息的安全性
本文说明如何利用邮件服务器发布规则来安全地发布 Outlook Web Access 服务器
它介绍了相关概念
并为配置 Outlook Web Access 解决方案提供了循序渐进指导
Outlook Web Access 和 ISA Server
Outlook Web Access 支持通过 Web 浏览器访问存储在 Microsoft Exchange Storage System 文件夹中的电子邮件
日程安排(包括组日程安排)
联系人和协作信息
Outlook Web Access 可以由远程
家庭和漫游用户使用
当通过 ISA Server 发布 Outlook Web Access 服务器时
因为用户接触不到 Outlook Web Access 服务器的名称和 IP 地址
所以您能够防止直接从外部访问 Outlook Web Access 服务器
用户访问 ISA Server 计算机
该计算机随后根据您的邮件服务器发布规则的条件
将请求转发到 Outlook Web Access 服务器
此外
ISA Server 使您能够轻松配置基于窗体的验证并控制电子邮件附件的可用性
在通过 Outlook Web Access 进行访问的同时保护公司资源
ISA Server Outlook Web Access 发布特性还使您能够发布 Outlook Mobile Access 和 Exchange ActiveSync
Outlook Mobile Access 为用户提供从移动设备访问 Outlook 的能力
使用 Exchange ActiveSync
您可以从基于 Microsoft Windows Mobile 的设备(比如
Pocket PC
Pocket PC Phone Edition 和 Smartphone)直接与 Exchange 邮箱同步
这一过程具有高度的安全性
基于窗体的验证 基于窗体的验证是一种基于 ASP
NET 的身份验证
其中通过身份验证的用户被导向 HTML 窗体
当用户提供凭据后
系统颁发包含票证的 cookie
在后来的请求上
系统首先检查 cookie
以便查看用户是否已经通过身份验证
如果是
则用户不必再次提供凭据
最重要的是
凭据信息不会缓存在客户端计算机上
当用户正在从公共计算机连接您的 Outlook Web Access 服务器而您不希望缓存用户凭据的情况下
这一功能特别重要
如果用户关闭了浏览器
注销退出会话
或导航到其他 Web 站点
则他们需要重新进行身份验证
此外
您可以配置最长空闲会话超时
从而如果用户长时间处于空闲状态
则需要重新进行身份验证
我们建议当使用基于窗体的验证时
您可以使用 HTTPS 来支持与站点进行的所有通信
以防止黑客窃取用户的 cookie
通常
建议使用 HTTPS 来进行 Outlook Web Access 服务器发布
基于窗体的验证的配置过程在本文的
通过侦听器保护 Outlook Web Access
中提供
注意 ISA Server 支持 Exchange Server
Exchange
Server 和 Exchange Server
的基于窗体的验证
当您把 ISA Server
和 Exchange Server
一起使用时
必须选择使用其中之一的基于窗体的验证
如果使用 ISA Server 基于窗体的验证
您可以保留 ISA Server 功能以检查响应主体
以及请求 URL
请求头
请求主体和响应头
ISA Server 基于窗体的验证提供了在网络边缘的身份验证以及基于 RADIUS 的身份验证(无域成员身份)的额外利益
然而
如果使用 ISA Server 基于窗体的验证
就不能使用 Exchange 数据压缩功能
如果使用 Exchange Server
基于窗体的验证
则 ISA Server 检查请求 URL
请求头
请求主体和响应头
但是不检查响应主体
然而
您可以保留 Exchange 数据压缩功能
当把 ISA Server
与 Exchange Server
或 Exchange Server
(没有提供基于窗体的验证或数据压缩)一起使用时
我们建议您使用 ISA Server 基于窗体的验证功能
Outlook Web Access 包括允许用户更改密码的可选功能
如果用户在 Outlook Web Access 会话期间更改密码
在用户最初登录之后提供的 cookie 将不再有效
当在 ISA Server 上配置基于窗体的验证时
在 Outlook Web Access 会话期间更改密码的用户将在下一次发出请求时接收到登录页面
控制附件可用性 因为 Outlook Web Access 经常是从公共计算机上使用
您可能希望控制用户查看和保存附件的能力
从而不会将专用公司信息缓存或保存到公共计算机上
ISA Server 提供了为公共(共享)计算机或专用计算机(或两者)上的用户提供了阻止电子邮件的机制
这可以防止用户打开或保存附件
虽然用户可以看到该附件
本文档中的
通过侦听器保护 Outlook Web Access
说明了阻止电子邮件附件的过程
如果您不阻止附件
需要注意远程连接到 Outlook Web Access 服务器的客户端可能无法直接打开某些附件(比如
Windows Media 文件和 Excel 电子表格)
尝试打开这种文件的操作将导致与该文件关联的应用程序发生错误
这些文件必须保存到本地
然后才能打开
您可以通过将 Exchange Server
或 Exchange
Server 配置为强制用户保存附件
来避免这一问题
Exchange Server
没有此功能
本文档的
要求在 Exchange 中保存附件
中说明了配置 Exchange 以强制保存附件的过程
注意 Exchange
提供了附件阻止功能
即使禁用该功能
它仍然能够阻止某种类型的文件
情境 使用 Internet Security and Acceleration (ISA) Server
您希望发布 Outlook Web Access 服务器
从而用户可以从家用计算机和 Internet 信息亭访问其电子邮件消息
您希望到 Outlook Web Access 服务器的连接是安全的
而不希望在客户端计算机上存储凭据和专有信息
解决方案 指定的解决方案是通过使用邮件服务器发布规则的 Internet Security and Acceleration (ISA) Server
来发布 Outlook Web Access 服务器
从外部客户端到 ISA Server 计算机的通信以及从 ISA Server 计算机到 Outlook Web Access 服务器的通信都将使用安全套接字层 (SSL) 加密
将在侦听 Outlook Web Access 请求的 Web 侦听器上启用基于窗体的验证
可以控制附件可用性
在 ISA Server 中发布 Outlook Web Access 包含这些常规步骤
设置 Outlook Web Access 服务器
安装安全发布 Outlook Web Access 所需要的数字证书
创建邮件服务器发布规则以发布 Outlook Web Access 服务器
配置缓存
注意
当您按照建议使用 ISA Server 基于窗体的验证时
不从 Outlook Web Access 服务器缓存任何对象
要想利用 ISA Server 缓存功能
您可以创建缓存规则以支持缓存 Outlook Web Access 所服务的映像
不支持缓存其他对象
因为这可能导致用户意外注销
如果不使用 ISA Server 基于窗体的验证
在启用 ISA Server 缓存功能时
所有 Outlook Web Access 对象将被缓存
这可能导致用户意外注销
为了避免这种问题
您必须创建缓存规则以防止缓存 Outlook Web Access 对象(图像除外)
设置 Outlook Web Access 选项
如基于窗体的验证和为公共(共享)或专用计算机阻止附件
注意
您还能够使用面向 HTTPS 协议的服务器发布规则来发布 Outlook Web Access 服务器
这不是推荐的 ISA Server Outlook Web Access 发布解决方案
因为它需要您发布整个服务器
而不只是 Outlook Web Access 所需要的特定 Exchange 文件夹
此外
与邮件服务器发布规则一样
服务器发布规则不允许您控制用户身份验证要求
而且
当您使用邮件服务器规则发布 Outlook Web Access 服务器时
您还可以利用 HTTP 筛选器提供的额外安全机制
有关服务器发布规则或 HTTP 筛选器的详细信息
请参阅 ISA Server
产品帮助
网络拓扑 部署该解决方案需要三台计算机
?一台计算机充当内部网络上的 Outlook Web Access 服务器
Outlook Web Access 服务器应运行 Microsoft Windows Server
或 Windows
Server Service Pack
?ISA Server
计算机
?在外部网络上测试解决方案的计算机
Outlook Web Access 服务器发布--演练
本演练包括以下过程
?
备份当前的配置
?配置 Outlook Web Access 服务器
?配置 ISA Server 计算机
?通过侦听器保护 Outlook Web Access
?在 Exchange 中保存附件
?测试部署
?查看 ISA Server 日志中的 Outlook Web Access 会话信息
Outlook Web Access Server 发布演练过程
备份当前的配置
我们建议您在进行任何更改之前首先备份您的配置
如果所进行的更改导致意外结果
可以恢复到先前备份的配置
遵循本过程来备份您的 ISA Server 计算机的完整配置
展开
Microsoft ISA Server 管理
右击 ISA Server 计算机的名称
然后单击
备份
在
备份阵列
中
提供您希望将配置保存到的文件的位置和名称
您可能希望在文件名中包括导出日期以便于识别
如 ExportBackup
June
单击
备份
因为您正在导出机密信息(比如
密码)
程序将提示您提供密码
从导出文件恢复配置需要该密码
当导出操作完成时
单击
确定
注意
因为
xml 文件被用作备份
其副本应存储在另一台计算机上
以防出现灾难性故障
Outlook Web Access Server 发布演练过程
配置 Outlook Web Ac
