Compartilhar via


Usando o ISA Server 2006 com o Outlook Web Access

 

Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Tópico modificado em: 2007-04-20

Outlook Web Access para Exchange Server 2007 foi projetado para aproveitar ao máximo os novos recursos disponíveis no Internet Security and Acceleration (ISA) Server 2006. O Exchange 2007 também foi projetado para interagir com versões anteriores do ISA Server. Quando você implanta o Exchange 2007 em um ambiente em que o ISA Server 2006 está sendo usado para proteger a rede corporativa, o conjunto completo de recursos para o Acesso para Cliente do Exchange está disponível.

Vantagens de uso do ISA Server 2006 com o Outlook Web Access

A tabela a seguir lista os recursos no ISA Server 2006 que podem ajudar a proteger o ambiente de mensagens do Microsoft Exchange que inclui o Outlook Web Access.

Recursos do ISA Server 2006 com o Outlook Web Access

Recurso Descrição

Conversão de links

O ISA Server 2006 redireciona solicitações do Outlook Web Access de URLs internas que estão contidas no corpo de qualquer objeto no Outlook Web Access, como uma entrada de calendário ou uma mensagem de email. Os usuários não precisam mais memorizar namespaces externos de informações corporativas internas mapeadas para um namespace externo. Por exemplo, se o usuário enviar um link em uma mensagem de email a um namespace interno, como http://contoso, e essa URL interna for mapeada para um namespace externo, como https://www.contoso.com, a URL interna será convertida automaticamente na URL externa quando o usuário clicar na URL interna.

Equilíbrio de carga de publicação na Web

O ISA Server 2006 pode equilibrar a carga de solicitações do cliente e enviá-las a uma matriz de servidores de Acesso para Cliente. Quando o ISA Server 2006 receber uma solicitação para estabelecer conexão com o Outlook Web Access, ele selecionará um servidor de Acesso para Cliente e enviará o nome desse servidor novamente para o navegador da Web em um cookie.

Compactação HTTP

Antigamente, se você usasse a autenticação baseada em formulários no computador com ISA Server em que o Exchange Server 2003 e o ISA Server 2004 ou ISA Server 2000 estivessem instalados, não seria possível usar a compactação Gzip. Isso ocorria porque o ISA Server não podia descompactar e recompactar as informações corretamente. O ISA Server 2006 pode descompactar, inspecionar e compactar novamente os dados antes de enviá-los aos servidores Exchange.

Dica

A compactação Gzip está disponível no ISA Server 2004, Service Pack 2 (SP2).

Os locais do servidor Exchange são ocultos

Ao publicar um aplicativo através do ISA Server, você protege o servidor contra acesso externo direto porque o nome e o endereço IP do servidor não podem ser exibidos pelo usuário. O usuário acessa o computador do ISA Server. Em seguida, o computador do ISA Server estabelece uma conexão com o servidor de Acesso para Cliente de acordo com as condições da regra de publicação do servidor.

Ponte SSL e inspeção

A ponte SSL protege contra ataques ocultos em conexões criptografadas por SSL. Para aplicativos da Web habilitados para SSL, depois que o ISA Server recebe a solicitação do cliente, o ISA Server a descriptografa, inspeciona-a e atua como o ponto de extremidade da conexão SSL com o computador cliente. As regras de publicação na Web determinam como o ISA Server comunica a solicitação do objeto para o servidor Web publicado. Quando você usa a ponte de SSL, a regra segura de publicação na Web é configurada para encaminhar a solicitação usando protocolo HTTPS. Em seguida, o ISA Server inicia uma nova conexão SSL com o servidor publicado. Como o computador do ISA Server tornou-se um cliente SSL, ele exige do servidor da Web publicado que responda com um certificado.

Uma vantagem adicional da ponte de SSL é que uma organização precisa comprar certificados SSL de uma autoridade de certificação externa somente para os computadores do ISA Server. Os servidores que usam o ISA Server como um proxy reverso podem não exigir o SSL nem usar certificados SSL que sejam gerados internamente.

Você também pode terminar a conexão SSL no computador do ISA Server e continuar até o servidor de Acesso para Cliente com uma conexão não criptografada. Esse processo é conhecido como descarregamento de SSL. Se fizer isso, a URL interna do Outlook Web Access deverá ser definida para usar HTTP e a URL externa deverá ser definida para usar HTTPS. As URLs interna e externa podem ser configuradas com o Console de Gerenciamento do Exchange ou o cmdlet Set-OwaVirtualDirectory com os parâmetros InternalURL e ExternalURL no Shell de Gerenciamento do Exchange.

Para obter mais informações sobre como usar o cmdlet Set-OwaVirtualDirectory e o Console de Gerenciamento do Exchange para gerenciar diretórios virtuais do Outlook Web Access, consulte Set-OwaVirtualDirectory e Como modificar propriedades em um diretório virtual do Outlook Web Access:

Logon Único

Logon único permite que os usuários acessem um grupo de sites publicados sem a necessidade de autenticar em cada site. Quando você usa o ISA Server 2006 como um servidor proxy reverso do Outlook Web Access, o ISA Server 2006 pode ser configurado para obter as credenciais do usuário e transmiti-las para o servidor de Acesso para Cliente, de forma que essas credenciais sejam solicitadas aos usuários apenas uma vez.

Para obter mais informações sobre os novos aprimoramentos do ISA Server 2006 quando usado com o Exchange 2007, consulte o O que há de novo e melhor no ISA Server 2006 (página em inglês).

Opções de implantação

Ao implantar o ISA Server 2006 junto com o Exchange 2007, você não precisará fazer nenhuma configuração adicional na infra-estrutura do Microsoft Exchange. No entanto, o ISA Server 2006 pode ser configurado de maneiras diferentes para habilitar o acesso de cliente do Exchange com o Outlook Web Access, o acesso POP3 ou IMAP, o Exchange ActiveSync e o Outlook em Qualquer Lugar. As opções de configuração dependem do método de autenticação a ser usado para acessar o Exchange.

Versões anteriores do ISA Server, incluindo as versões ISA Server 2004 e ISA Server 2000 quando implantadas com o Exchange 2007, não possuem as mesmas opções de implantação para autenticação. Além disso, se você estiver implantando o Exchange 2007 com o ISA Server 2006 e uma versão anterior do ISA Server, poderá usar as seguintes opções de autenticação:

  • Autenticação Básica para o Outlook Web Access   Se você usar a autenticação básica para o Outlook Web Access, o ISA Server 2006 e suas versões anteriores deverão usar Publicação na Web para publicar o Outlook Web Access.

  • Autenticação de certificação de cliente   Se você usar um método de autenticação baseado em certificado de cliente, o ISA Server executará a autenticação automaticamente no computador que está executando o ISA Server. Versões anteriores do ISA Server, incluindo o ISA Server 2004 e o ISA Server 2000, exigem publicação no servidor para usar a autenticação de certificado de cliente. Se você usar a autenticação de certificado de cliente, não poderá usar o ISA Server para inspecionar os pacotes de SSL antes de eles serem enviados ao servidor de Acesso para Cliente.

Implantando o ISA Server 2006 para Outlook Web Access

Ao implantar o ISA Server 2006 para Outlook Web Access, você usa o Assistente de Nova Regra de Publicação do Exchange nas tarefas de diretivas de firewall. Esse novo assistente mostra as configurações específicas que devem ser definidas para permitir acesso ao Microsoft Exchange.

Importante

Se houver várias versões do Microsoft Exchange na organização do Exchange, você deverá criar uma regra de publicação do Exchange para cada versão do Microsoft Exchange à qual está oferecendo suporte.

A configuração do ISA Server 2006 para Outlook Web Access envolve as seguintes etapas:

  1. Criando uma nova regra de publicação.

  2. Configurando opções adicionais.

As próximas seções descrevem as configurações que você deve aplicar à nova regra de publicação para implantar com êxito o ISA Server 2006 para Outlook Web Access.

Criar uma nova regra de publicação do Exchange

Durante esse processo, você deverá fornecer as seguintes informações:

  • Nome da regra de publicação do Exchange   Forneça um nome amigável para a regra de publicação, como "Acesso a email do Exchange".

  • Serviços com suporte de acesso para cliente   Na página Selecionar serviços, escolha a versão do Microsoft Exchange que você está implantando e os serviços de acesso para cliente aos quais você deseja oferecer suporte. Por padrão, quando você seleciona Exchange Server 2007, Outlook Web Access é selecionado.

  • Tipo de publicação   Na página Tipo de publicação, selecione a opção a ser usada, caso você planeje publicar um único site ou um balanceador externo de carga, um servidor Web farm ou vários sites.

  • Segurança de conexão do servidor   Essa página permite que você selecione se deseja usar o SSL ou conexões não seguras do computador com ISA Server para o Microsoft Exchange.

  • Detalhes de publicação interna   Na página Detalhes de publicação interna, insira o nome do site interno do Outlook Web Access ou opte por usar um nome de computador ou um endereço IP para conectar ao Microsoft Exchange.

  • Detalhes de nome público   A página Detalhes de nome público permite selecionar os domínios cujas solicitações serão aceitas. Você deve fornecer também um nome público; por exemplo, www.contoso.com.

  • Selecionar escuta da Web   A página Selecionar escuta da Web permite especificar a escuta do servidor Exchange ao qual você está se conectando. Uma escuta é usada para especificar o tipo de autenticação que será usada quando o cliente entrar em contato pela primeira vez com o computador do ISA Server. A escuta contém informações sobre como o computador do ISA Server aceita solicitações de clientes, tais como a criptografia, a compactação e a autenticação que é usada na conexão externa. Você pode usar essa página para criar uma nova escuta ou editar escutas existentes.

  • Delegação de autenticação   A página Delegação de autenticação permite especificar o tipo de mecanismo de autenticação que o servidor de Acesso para Cliente deve esperar do ISA Server. Selecione uma das seguintes opções:

    • Nenhuma delegação, mas o cliente pode autenticar diretamente

    • Autenticação básica

    • Autenticação NTLM

    • Negociar (Kerberos/NTLM)

    • Delegação restrita de Kerberos

  • Conjuntos de usuários   A página Conjuntos de usuários permite selecionar os usuários que poderão utilizar essa regra para se conectar ao Exchange.

Se tiver configurado o computador do ISA Server para autenticar usuários, você deverá configurar os diretórios virtuais do Outlook Web Access para usar uma autenticação integrada do Windows ou autenticação básica, dependendo do tipo de autenticação exigido pela organização. Ao usar a autenticação básica ou integrada do Windows nos diretórios virtuais do Outlook Web Access junto com a autenticação do ISA Server 2006, será solicitado que os usuários especifiquem suas informações de logon uma única vez.

Dica

Se você selecionar a autenticação baseada em formulários para a escuta ISA, será solicitado que o usuário insira novamente as credenciais de autenticação se o tempo limite da sessão do Outlook Web Access se esgotar.

Entretanto, a autenticação integrada do Windows proíbe o acesso do Outlook Web Access a documentos nos compartilhamentos de arquivos do Windows ou nas bibliotecas de documentos do Windows SharePoint Services. Se você precisar acessar os documentos no Outlook Web Access, use a autenticação básica no diretório virtual do Outlook Web Access.

Depois que você concluir o assistente, ele criará a regra de publicação do Exchange. A regra criada aparecerá na lista Regras da Diretiva de Firewall na guia Diretiva de Firewall.

Dica

Depois de concluir a criação da regra de publicação, você deverá aguardar até as configurações entrarem em vigor. Você pode monitorar o andamento da regra de publicação do ISA Server 2006 usando o nó Monitoramento no Console de Gerenciamento do ISA Server 2006.

Configurar opções adicionais

Você pode configurar recursos adicionais, como conversão de links e compactação HTTP, para a nova regra criada no Console de Gerenciamento do ISA Server 2006. Configurações adicionais para conversão de links e compactação HTTP são gerenciadas no nó Geral no Console de Gerenciamento do ISA Server 2006.

Configurando a conversão de link

Para configurar a conversão de link, selecione a regra de publicação do Exchange que você criou e clique em Editar Regra Selecionada em Tarefas de Edição de Diretiva. Na guia Conversão de Link, você pode configurar a conversão de link com base nas necessidades dos usuários.

Configurando a compactação HTTP

A opção de compactação HTTP pode ser configurada no nó Geral, em Configuração, no Console de Gerenciamento do ISA Server 2006. Clique em Definir preferências de compactação HTTP e selecione as opções às quais deseja oferecer suporte.

Depois que você definir essas opções, a configuração do ISA Server para Microsoft Exchange estará concluída.

Instalar um certificado de servidor para o ISA Server 2006

Para habilitar um canal criptografado usando SSL, entre o computador cliente e o computador do ISA Server, instale um certificado de servidor no computador do ISA Server. Esse certificado deve ser emitido por uma autoridade de certificação (CA) pública porque será acessado por usuários na Internet. Se uma CA privada for usada, o certificado raiz da CA privada deverá ser instalado em qualquer computador que precise criar um canal criptografado (HTTPS) para o computador do ISA Server ou os usuários receberão um aviso informando que o certificado não é confiável.

Para obter mais informações sobre como instalar um certificado de servidor no ISA Server 2006, consulte Publicando o Exchange Server 2007 com o ISA Server 2006 (página em inglês).

Para obter mais informações