使用ISA Server发布具有Edge角色的Exchange Server环境

环境拓扑图：

ISA 网络图：

如上图，ISA Server加入域中，内部网络中有DC、Mail(Exchange Server 2007)，DMZ区域有Edge-A、Edge-B两台边缘传输服务器。本实验将进行以下内容：

1. 将内网中Exchange Server的OWA对外发布

2. 创建访问规则为边缘订阅做准备，允许内网的Exchange Server 访问DMZ区域的两台Edge服务器TCP 25和TCP 50636端口；允许DMZ区域使用SMTP协议访问内网。

3. 将DMZ区域的两台Edge服务器TCP 25端口对外发布。

4. 创建访问规则允许Edge服务器的TCP 25端口对外访问

本实验不讨论Exchange Server的配置内容，下面进行具体操作步骤：

1. 发布OWA

由于本次进行发布的是带SSL的OWA访问，所以发布之前我们首先需要从Exchange Server 2007（CAS）中将证书导出拿到ISA服务器中进行导入，否则发布将无法进行下去。

首先，登录内网中的Exchange Server 2007服务器，将IIS中的证书进行导出，操作如下：

在IIS控制台中选择“服务器证书”，如下图：

在“服务器证书”窗口中选择“导出”，如下图：

在弹出的“导出证书”窗口中选择导出的目标位置和设置一个密码，如下图：

将刚才导出的证书拷贝到ISA服务器中进行导入。

切换到ISA服务器，在运行栏中输入MMC，然后添加计算机证书，如下图：

分别在“个人”和“受信任的根证书颁发机构”将证书进行导入，导入过程在此省略。

将证书成功导入到ISA服务器中之后，现在就可以开始发布OWA了，下面打开“ISA 服务器管理”，切换到“工具箱”，在此首先要创建一个WEB侦听器，如下图：

在弹出的“新建Web 侦听器定义向导”窗口中输入侦听器输入一个名称，如下图：

在“客户端连接安全设置”窗口中选择需要SSL的安全连接，如下图：

在“Web 侦听器IP地址”窗口中选择侦听的目标网络，如下图：

在“侦听器SSL 证书”窗口中单击“选择证书”按钮，如下图：

在弹出的“选择证书”窗口中为侦听器选择一张有效的证书，如下图：

在返回的窗口中选择“下一步”，如下图：

在“身份验证设置”窗口中选择一种验证方式，在此选择“没有身份验证”，这种方式的意思是，ISA不进行用户请求的身份验证，直接交给目标服务器进行验证，如下图：

在“单一登录设置”窗口中单击“下一步”，如下图：

在完成窗口单击“完成”，如下图：

至此，Web侦听器就创建完成了，下面开始进行OWA的发布操作。

至此，OWA的发布已经完成。

2. 创建访问规则

在创建上面的相关发布规则之后，下面接着为内部网络创建访问规则，以便让内网中的Exchange Server 能够跟DMZ区域中的Edge服务器进行通讯。在此我们需要开放两个端口，TCP 25和TCP 50636端口，因为后面进行的边缘订阅和邮件传输需要用到这两个端口。

由于ISA中没有内置TCP 50636端口的相关协议，所以创建访问规则之前需要先为这个端口创建一个自定义的协议，具体如下：

至此，为TCP 50636端口创建自定义协议工作已经完成。下面开始创建相关的访问规则：

最后将刚才所做的操作应用一下。

3. 发布Edge

下面准备将DMZ区域中的Edge服务器对外发布，以便能够接收到来自组织外部的邮件：

至此，Edge的发布操作已经完成，最后将操作应用即可。

由于我的环境中使用两台Edge进行负载均衡，所以还需要发布第二台Edge：

4. 创建访问规则允许Edge服务器的TCP 25端口对外访问

为了能够让组织内部的邮件传输到组织以外，还需要为DMZ区域创建相关访问规则，以便Edge服务器能够将邮件向外投递：

至此，整个实验过程全部完成。^_^

本文出自 “叶俊坚” 博客，请务必保留此出处http://yejunjian.blog.51cto.com/718462/144769