Цель: Реализовать сервер управления мобильными устройствами (MDM) с помощью Air Watch для аутентификации и не разрешать мобильным устройствам передавать трафик ActiveSync на опубликованный сервер CAS с помощью 443 напрямую из Интернета, но в то же время сохранять OWA и Outlook Anywhere продолжать использовать порт 443, поэтому мы не можем заблокировать его с помощью основного брандмауэра. Это означает, что все устройства должны подключаться к серверу MDM, который будет передавать запрос на сервер Exchange 2010 ActiveSync.
Результат уже достигнут: Все интернет-устройства подключаются к серверу MDM через порт 443, затем сервер MDM проксирует подключение устройства к серверу Exchange Active Sync Server через порт 443.
Проблема: Некоторые пользователи знают, что они все еще могут подключиться к серверу CAS через 443 и получить доступ к ActiveSync и, следовательно, пропустить сервер MDM. Если мы удалим суб-URL из общедоступного DNS или заблокируем доступ 443 от брандмауэра к серверам CAS, то пользователи также не смогут использовать OWA и Outlook где-либо.
Вопрос: Считаете ли вы, что создание нового веб-сайта только для службы Active Sync на CAS 2010 г., которая будет прослушивать порт 444, но оставить остальные службы на веб-сайте по умолчанию и на порту 443, а затем удалить Active Sync, работающую на 443, будет работать? Наш брандмауэр не поддерживает обратный прокси-сервер, мы знаем, что реализация OWA и только публикация через TMG решает, что это не вариант.
Мысли?
Ответ: Решено, приведенное ниже решение на 100% поддерживается Microsoft.
1) Сделайте новый веб-сайт прослушивающим порт 444 из диспетчера IIS. Включен SSL. Тот же сертификат, что и веб-сайт по умолчанию. Тот же IP-адрес прослушивания. Настройте внешний URL-адрес в ActiveSync, как на веб-сайте по умолчанию.
2) Назначьте Exchange Active Sync для использования нового веб-сайта из «Exchange Power Shell». Это означает, что Active Sync теперь также будет прослушивать порт 444.
3) Отредактируйте прокси-файл конфигурации сервера MDM на порту 444.
4) Удалите Exchange Active Sync, чтобы использовать веб-сайт по умолчанию из «Exchange Power Shell». Это означает, что Active Sync больше не будет прослушивать порт 443.