Есть ли у кого-нибудь опыт раскрытия веб-доступа (OWA) сервера Exchange 2010 через Cisco ASA (моя цель - создать что-то вроде DMZ)? Если да, не могли бы вы дать мне совет? Я знаю, что Exchange не поддерживает DMZ и что MS рекомендует использовать TMG. Тем не менее, я хотел бы знать, удалось ли кому-то это (я пробовал, и пока без особого успеха). Или было бы лучше отказаться от (читай: продать) ASA и использовать вместо этого сервер TMG? Мы полностью на Windows Server 2008 R2, а некоторые оставшиеся серверы 2003 работают в основном как файловые серверы. В настоящее время мы мало используем функции VPN, но планируем сделать это в будущем, но OWA должен быть там, если VPN невозможно получить извне.
Большое спасибо!
Не сбрасывайте свой ASA. TMG очень легко управлять внутри вашей DMZ ASA. TMG должен быть двухкомпонентным ... то есть быть как в вашей сети DMZ, так и во внутренней сети. Настроить его очень просто, а TMG упрощает публикацию OWA в Интернете. Помните, что серверы с двойным подключением хотят иметь только один шлюз по умолчанию, поэтому имейте в виду, что это может вызвать проблемы.
Я создал этот сценарий в точности, и он работает как шарм.
Решение ASA для этого сценария - «Clientless SSL VPN» (также известное как «WebVPN»). ASA будет запускать сервер HTTPS и обрабатывать аутентификацию. Затем он отправляет HTTP-прокси обратно на внутренний сервер, при необходимости используя SSO.
Преимущество этого состоит в том, что вы открываете ASA только внешнему миру (а не полный HTTP-доступ к вашему почтовому серверу), и они получают «более глубокий» доступ только после аутентификации.
Это довольно удобно и дает гораздо больше функциональных возможностей (также доступны апплеты SSH и RDP), но для этого требуются дополнительные лицензии. В зависимости от количества пользователей это может сделать его менее привлекательным вариантом (для меня так и было!)
Для обеспечения достойной безопасности вам следует рассмотреть возможность использования сервера Microsoft ISA в DMZ и открыть внешний доступ к серверу ISA вместо прямого доступа к вашему серверу Exchange. Из окна ISA вы разрешаете http / https-соединения обратно к вашему серверу Exchange и настраиваете ISA для обратного прокси-сервера запросов. ISA также может выполнять аутентификацию на основе форм, чтобы предоставить пользователю более удобное приглашение для входа в систему.
Если вы не против использования бесплатного продукта, Apache HTTPD (в Linux или Windows), очевидно, может это сделать, но стандартным решением Microsoft будет ISA Server.