有没有人通过思科ASA公布Exchange 2010服务器的Web访问(OWA)的经验(我的目标是像DMZ)? 如果有的话,你能给我一些build议吗? 我知道Exchange不支持DMZ,MSbuild议使用TMG。 不过,我想知道是否有人pipe理这个(我已经尝试过,迄今为止还不是很成功)。 或者更好地沟通(阅读:出售)的ASA和使用TMG服务器呢? 我们完全在Windows Server 2008 R2上,剩下的一些2003服务器主要作为文件服务器运行。 目前我们不使用VPNfunction,而是计划在将来这样做,但是如果VPN不可能从外部访问,OWA应该在那里。
非常感谢你!
不要倾倒你的ASA。 TMG在ASA的DMZ内部非常容易pipe理。 TMG将不得不双宿…也就是说,在你的DMZnetworking和你的内部networking中都有一个脚。 设置它是一件轻而易举的事情,TMG可以很容易地将OWA发布到networking上。 请记住,双宿主服务器只喜欢有一个默认网关,所以要注意,否则会导致你的问题。
我确切地设定了这个场景,它就像一个魅力。
为了体面的安全,您应该考虑在DMZ中使用Microsoft ISA服务器,并打开对ISA框的外部访问,而不是直接访问Exchange框。 在ISA框中,您允许http / https连接返回到您的Exchange服务器,并configurationISA以反向代理请求。 ISA也可以做基于表单的身份validation,为用户提供更好的login提示。
如果您不介意使用免费的产品Apache HTTPD(在Linux或Windows上),显然可以这样做,但标准的Microsoft解决scheme将是ISA Server。
ASA的解决scheme是“无客户端SSL VPN”(又名“WebVPN”)。 ASA将运行HTTPS服务器并处理身份validation。 然后,它将代理HTTP反向返回到内部服务器,必要时使用SSO。
这样做的好处是你只能将ASA公开给外部世界(而不是完全的HTTP访问你的邮件服务器),并且只有在authentication之后才能获得“更深层”的访问权限。
它非常整洁,并提供了更多的function(也有SSH和RDP小程序可用),但它确实需要额外的许可证。 根据用户数量的不同,这可能会使其成为一个不太有吸引力的选项(它为我做了!)