有没有人有过通过 Cisco ASA 公开 Exchange 2010 服务器的 Web 访问 (OWA) 的经验(我的目标是类似 DMZ 的东西)?如果有,您能给我一些建议吗?我知道 Exchange 不支持 DMZ,而 MS 建议使用 TMG。不过,我还是想知道是否有人成功做到了这一点(我试过,但到目前为止还不是很成功)。或者放弃(即:出售)ASA 并使用 TMG 服务器是否更好?我们完全使用 Windows Server 2008 R2 和一些剩余的 2003 服务器,主要作为文件服务器运行。我们目前不怎么使用 VPN 功能,但计划将来使用,但如果无法从外部使用 VPN,OWA 应该可用。
非常感谢!
答案1
不要放弃 ASA。TMG 在 ASA 的 DMZ 内非常容易管理。TMG 必须是双宿主的……也就是说,既要接入 DMZ 网络,又要接入内部网络。设置起来非常简单,而且 TMG 使将 OWA 发布到网络变得很容易。请记住,双宿主服务器只希望有一个默认网关,因此请注意这一点,否则可能会给您带来麻烦。
我精确地设置了这个场景并且它运行得非常好。
答案2
为了获得良好的安全性,您应该考虑在 DMZ 中使用 Microsoft ISA 服务器,并开放对 ISA 盒的外部访问,而不是直接访问您的 Exchange 盒。从 ISA 盒,您允许 http/https 连接回到您的 Exchange 服务器,并配置 ISA 以反向代理请求。ISA 还可以进行基于表单的身份验证,为用户提供更好的登录提示。
如果您不介意使用免费产品 Apache HTTPD(在 Linux 或 Windows 上)显然可以做到这一点,但标准的 Microsoft 解决方案是 ISA Server。
答案3
ASA 针对此场景的解决方案是“无客户端 SSL VPN”(又名“WebVPN”)。ASA 将运行 HTTPS 服务器并处理身份验证。然后它将 HTTP 反向代理回内部服务器,必要时使用 SSO。
这样做的好处是,您只向外界公开 ASA(而不是对您的邮件服务器的完全 HTTP 访问权限),并且只有在身份验证后才能获得“更深入”的访问权限。
它非常简洁,提供了很多功能(还有 SSH 和 RDP 小程序可用),但它需要额外的许可证。根据用户数量,这可能会使它成为一个不太有吸引力的选择(对我来说确实如此!)