Outlook Web Access 服务器发布

Microsoft Internet Security and Acceleration (ISA) Server 2004 和 Microsoft Outlook Web Access 协同工作可增强电子邮件的安全性。可以使用邮件服务器发布规则安全地发布 Outlook Web Access 服务器。

通过 ISA 服务器发布 Outlook Web Access 服务器时，您可以防止 Outlook Web Access 服务器直接受到外部访问，因为用户不能访问 Outlook Web Access 服务器的名称和 IP 地址。用户访问 ISA 服务器计算机，然后按照邮件服务器发布规则的条件将请求转发到 Outlook Web Access 服务器。

有关说明，请参阅发布邮件服务器。

邮件服务器发布向导将引导您逐步完成安全地发布 Outlook Web Access 服务器所需的步骤。由于 Outlook Web Access 服务器需要使用客户端请求的完全限定的域名 (FQDN)，因此该向导将 ISA 服务器配置为向发布的 Outlook Web Access 服务器转发原始主机头。

完成向导之后，将为最终的 Web 发布规则指定下列路径：

• /exchange/*
• /exchweb/*
• /public/*

有关使用 ISA 服务器发布 Outlook Web Access 方案的详细信息，请参阅“Outlook Web Access Server Publishing in ISA Server 2004”文档，可以通过 ISA 服务器网站(http://www.microsoft.com/isaserver)获得该文档。

发布 Outlook Web Access 服务器

在创建邮件服务器发布规则时，请注意以下几点：

• 必须在 ISA 服务器和 OWA 服务器上指定唯一的标准端口。HTTP 的标准端口是 80。HTTPS 的标准端口是 443。
• 发布 OWA 服务器时，不能配置桥接，以便将 HTTP 请求作为 HTTPS 请求进行转发。
• 在配置桥接，以指定 HTTPS 请求应该作为 HTTP 请求转发到 OWA 服务器时，不要启用链接转换。

发布 Outlook Mobile Access 和 Exchange Application Services

作为邮件服务器发布向导的一部分，您可以选择配置 Outlook Web Access 和 Exchange Application Services，例如，Outlook Web Access 是基于 Web 的邮件服务器。如果要发布 Outlook Mobile Access 和 Exchange Application Services ，则为最终的发布规则指定下列路径：

• /OMA/*
• /Microsoft-Server-ActiveSync/*

用于 Outlook Web Access 发布的 Web 侦听器

将配置用于 Outlook Web Access 发布的 Web 侦听器配置为使用基于窗体的身份验证。如果配置了在服务器与客户端之间建立安全连接，应确保侦听器在 HTTPS 端口上侦听请求。

在这种情况下，将从 ISA 服务器计算机提供身份验证窗体，以便在发布 Exchange 2000 Server 和 Exchange Server 5.5 时启用基于窗体的身份验证。

有关 Web 侦听器的详细信息，请参阅 Web 侦听器。

要点

• 出于安全的原因，我们建议您不要将针对 Outlook Web Access 发布配置的 Web 侦听器用于其他任何发布方案。

基于窗体的身份验证

作为向导过程的一部分，您需要指定对传入的 Outlook Web Access 请求使用哪个侦听器。

当配置 Outlook Web Access 发布时，我们建议您使用基于窗体的身份验证。通过使用基于窗体的身份验证，避免了在客户端计算机上缓存客户端凭据所固有的危险性。缓存凭据在信息亭方案中是有风险的。由于凭据被缓存起来了，即使在用户注销后,如果浏览器窗口仍然保持打开，那么恶意用户就可以获得对最初 Outlook Web Access 会话的访问权限。

要启用基于窗体的身份验证，必须指定所配置的侦听器使用此身份验证类型。有关详细信息，请参阅基于窗体的身份验证。

在发布 Exchange Server 2003、Exchange 2000 Server 和 Exchange Server 5.5 时，ISA 服务器支持基于窗体的身份验证。

注意

• 不能在 Outlook Mobile Access 客户端上使用基于窗体的身份验证。

桥接模式

作为 Outlook Web Access 发布规则向导的一部分，您可以指定要使用的桥接模式：

• 加密到客户端的连接。如果选择此选项，ISA 服务器将与客户端计算机建立安全连接，而与邮件服务器建立标准连接。
• 加密到邮件服务器和客户端的连接。如果选择此选项，ISA 服务器将与邮件服务器和客户端均建立安全连接。
• 仅标准连接。如果选择此选项，ISA 服务器将与邮件服务器和客户端均建立标准连接。

Outlook Web Access 发布的推荐配置是：从外部客户端到 ISA 服务器计算机以及从 ISA 服务器计算机到 Outlook Web Access 服务器均使用 SSL 加密的通讯 (HTTPS)。这是因为在身份验证过程中使用的凭据信息必须被保护起来，即便在内部网络中也不应暴露。为此，必须在 ISA 服务器计算机和 Outlook Web Access 服务器上安装数字证书。

公共（共享）计算机和专用计算机

Outlook Web Access 使用户可以从任何计算机上访问其基于 Exchange 的邮箱。该计算机可以是专用计算机，也可以是公共（共享）计算机。虽然能够在任意位置访问电子邮件确实很方便，但是却有在公共计算机上遗留数据的危险。

为了抵御这些威胁，ISA 服务器基于窗体的身份验证可确保用户不会将密码缓存在公共计算机上。

此外，还可以配置最大空闲超时，超过此时间之后，将要求用户重新进行身份验证。有关说明，请参阅为 Outlook Web Access 客户端配置空闲会话超时。

更改用户密码

Outlook Web Access 包含允许用户更改其密码的可选功能。如果用户在 Outlook Web Access 会话期间更改了密码，那么在用户最初登录后所提供的 Cookie 将不再有效。在 ISA 服务器上配置基于窗体的身份验证后，在 Outlook Web Access 会话期间更改了密码的用户在下一次发出请求时，将会收到登录页。

要允许用户更改密码，务必向 Outlook Web Access 邮件服务器发布规则添加 /IISADMPWD/* 文件夹。否则，用户每次单击 Outlook Web Access 中的“更改密码”按钮时都会收到错误。

阻止附件

使用 ISA 服务器，可以阻止用户打开和保存附件。可以为公共计算机、私人计算机或这两类计算机上的 Outlook Web Access 客户端配置阻止。

请注意 ISA 服务器附件阻止功能不同于 Exchange 服务器执行的附件阻止功能。用户可以看到邮件具有附件，但无法打开或保存该附件。

有关说明，请参阅在 OWA 客户端上阻止附件。

预取页

Exchange Outlook Web Access 服务器包含预取功能，从而能够在客户端传递凭据的时候将文件下载到客户端计算机。在使用 ISA 服务器基于窗体的身份验证时，要启用此功能，必须从 logoff_msierich.htm 和 logoff_msierich_smimecap.htm 文件中的以下行删除注释标记，这两个文件通常位于 CookieAuthFilter 子文件夹中（ISA 服务器安装文件夹中）：

"<IFRAME src="/exchweb/controls/preload.htm" style="display:none"></IFRAME>"

这种预取功能不需要身份验证即可访问 Outlook Web Access 服务器上的 /exchweb/* 文件夹。因此，如果在 ISA 服务器上需要对基于 Web 的邮件客户端进行身份验证，则应该创建一个允许匿名访问 Outlook Web Access 服务器上的 /exchweb/* 文件夹的 Web 发布规则。随后，如果将 Web 侦听器配置为需要身份验证，则不会启用预取功能。

---

请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。