需求:把内网Exchange服务器通过TMG发布到公网,让外网的用户可以访问内网的Exchange服务器。
实验拓扑:
把Exchange服务器发布到公网有四种方法:
POP3,SMTP明文发布
POP3,SMTP密文发布发布
OWA桥接模式发布
OWA隧道模式发布
四种方法三种是使用证书的的,所有进行发布之前需要申请Exchange服务器证书,不然会报证书错误。
如何获取证书
- 从公网的证书提供商处购买证书(所有客户端都信任,无需另外安装受信任的证书)
- 在内部的服务器上面安装证书服务,然后通过CA颁发给用户。(不花钱,但是客户端默认不信任)
exchange服务器证书申请
在exchange服务器配置里面选择选择新建一个exchange证书,用于申请Exchange证书
输入友好名称,可以随便写
通配符证书用于统配主机名,只要二级域名正确,主机名可以随便写。通配符证书一般不需要建立,建立一个很贵的。
设置mail.benet.com为公用名称
设置证书的存放位置
完成证书申请
下载到的文件使用一种特殊方式的加密算法加密了。
登陆到CA服务器 上面申请证书
选择高级证书申请
选择base64编码的证书
复制新建的exchange证书的内容,证书模板选择web服务器
选择下载证书,哪个编码都可以
在服务器配置,右击刚才新建的证书,选择完成搁置的请求,把申请到的证书保持到exchange服务器中。
选择申请的exchange证书的位置
选择将服务分配给证书
选择服务器,由于只有一个服务器,那么直接点击下一步
选择分配到的服务
完成证书申请
除了配置的这个证书,其他系统自带的证书就可以删除了。
然后Exchange的证书服务就配好了,客户端无论通过什么方式访问Exchange都可以了。
默认情况下pop3是不启用ssl认证的需要手动启用,启用后需要重新启动服务。
设置SMTP支持匿名用户访问
这时客户端就可以进行加密访问了,但是如果不是信任根CA的话,还是会报证书错误,所以客户端需要把CA安装到受信任的根颁发机构。
明文发布exchange服务器 POP3(110),SMTP(25)
要发布POP3和SMTP所以选择第一个
选择发布明文协议POP3(110)、SMTP(25)
设置Exchange服务器IP地址
设置监听外部的指定地址
最后完成,并且应用策略,那么不加密的Exchange服务器便发布出去了,这时候客户端就可以访问exchange服务器了
客户端安装telnet功能测试发布
确保客户端可以解析TMG的外网地址(mail.benet.com)
telnet 25号端口成功
如果测试110端口不通那么设置POP3端口为明文,然后重启POP3服务
勾上SMTP匿名用户
这时telnet 110端口就通了
Outlook客户端测试
设置账户信息和服务器地址
测试成功
设置exchange服务器加密发布
首先设置Exchange服务器的POP3为加密模式,设置完成重启服务
新建邮件服务器发布规则
选择发布的端口为POP3和SMTP的安全端口
设置exchange服务器的地址
侦听地址设置外部地址
设置完成,应用策略
这时TMG服务器定义的POP加密端口为995
但是TMG服务器定义的SMTP加密端口为465,但是Exchange服务器的SMTP加密端口是587号
这个时候在客户端测试Exchange服务器的时候POP3的995端口是通的
但是客户端测试服务器的465端口(TMG和Exchange端口不一样)和587端口(TMG没有开)都是不通的
所以这个时候需要设置TMG防火墙的策略,把TMG监听SMTP的端口更给为587端口
这时客户端在连接465端口就通了
Outlook设置服务器端的端口号
如果用户不愿意或者不会更改端口,可以在TMG服务器上面设置接收端口为25,由25端口转为587端口。
测试通过
后续内容:http://wangjunkang.blog.51cto.com/8809812/1573844