過去若想要防護遠端連線Exchange Server的安全,必須整合ISA Server、TMG或是UAG之類的解決方案,但這些方案到了2010年便沒有再推出新的版本,這對於導入新版本Exchange Server 2013而想要部署高度安全性遠端存取架構的IT人員來說,該怎麼辦呢?對此,本文將介紹如何使用絕佳的替代方案Web Application Proxy技術來解決這項棘手的安全問題。
先在「Active Directory電腦及使用者」介面中,開啟Web Application Proxy電腦的「內容」設定視窗。接著切換至〔委派〕活頁標籤內,先點取「信任這台電腦,但只委派指定的服務」設定,再選擇「使用任何驗證通訊協定」選項,最後按下〔新增〕按鈕。
當「新增服務」視窗出現之後,按一下〔使用者或電腦〕按鈕,然後將後續所要發佈的Windows伺服器加入。最後,如圖28所示在「新增服務」頁面中,便可以針對所選擇的伺服器挑選所要發佈的服務。
由於這裡針對Exchange Server 2013只是要發佈其中的OWA與ECP網站,所以只要選取「http」服務項目即可。
|
▲圖28 選擇服務類型。 |
TOP 8:如何發佈企業應用程式至網際網路
在設定「遠端存取管理主控台」發佈企業應用程式之前,可以如圖29所示先透過ADFS管理主控台來新增非宣告感知信賴憑證者的設定,以便讓後續的Web Application Proxy伺服器,可以更安全地發佈相對應的企業應用程式。
|
▲圖29 AD FS信任關係管理。 |
如此一來,在結合AD FS預先驗證的安全機制下完成必要通訊協定的轉換,進而讓外部網路的使用者可以存取該應用程式。
接著,在「指定顯示名稱」頁面中輸入用以識別此新設定項目的名稱,並按下〔下一步〕按鈕繼續。切換到如圖30所示的「設定識別碼」頁面後,將所要發佈的完整網址逐一新增到此識別碼清單中,例如Exchange Server的OWA網站,可能就需要輸入「https://Exchange網址/OWA」。然後,按下〔下一步〕按鈕。
|
▲圖30 設定識別碼。 |
在「是否設定多重要素驗證」頁面中,則選取「我目前不想設定這個信賴憑證者的多重要素驗證設定」,並按下〔下一步〕按鈕繼續。
如圖31所示,到「準備新增信任」頁面後,便可以看到前面步驟中所完成的設定值。確認無誤後,便可以完成此項設定。
|
▲圖31 準備新增信任。 |
緊接著,將會如圖32所示開啟「新增發佈授權宣告規則精靈」視窗,可以暫時先選擇【允許所有使用者】選項,也就是在AD FS伺服器的預先驗證部分,不限制特定人員或群組成員的登入。
|
▲圖32 選擇規則類型。 |
接下來,就可以如圖33所示開啟「遠端存取管理主控台」介面,然後點選「工作」下方「一般」窗格內的「發行」連結。
|
▲圖33 在遠端存取管理主控台做設定。 |
如圖34所示,隨後在「預先驗證」頁面中點取「Active Directory Federation Services(AD FS)」設定,並按下〔下一步〕按鈕。
|
▲圖34 進行預先驗證設定。 |
接著,如圖35所示在「信賴憑證者」頁面內選取事先建立好的AD FS信賴憑證,例如筆者所建立的「Exchange OWA」,然後按下〔下一步〕按鈕。
|
▲圖35 選擇信賴憑證者。 |