Публикация сервера Exchange Server 2013 через TMG 2010

Все статьи

В этой статье рассказывается о том, как правильно настроить работу Microsoft Forefront Threat Management Gateway (TMG) 2010 для публикации сервера Exchange 2013 в интернете.

Microsoft Exchange Server 2013 нашёл широкое применение в локальных сетях предприятий. В последнее время организациям всё чаще требуется не только локальный доступ к сервисам Exchange, но и безопасный способ их использования извне, с подключением через Интернет. Сегодня мы расскажем о том, как правильно настроить корпоративный Threat Management Gateway (TMG) с целью предоставления надёжного и безопасного доступа через Интернет к ресурсам последней версии Exchange Server 2013. Обсуждаются настройки доступа к трём основным сервисам: Exchange ActiveSync, Outlook Anywhere и Outlook Web App.

В чём проблема? 

Microsoft Forefront TMG 2010 и Exchange Server 2013 – продукты разработки одной компании. Казалось бы, особых проблем с настройками одного продукта для предоставления к другому возникнуть не должно. В TMG доступны многочисленные мастера-помощники, позволяющие автоматизировать процесс настройки и создания всех необходимых правил. Но так ли это?

Давайте разберёмся. Релиз Exchange Server 2013 вышел уже давно, а Forefront Threat Management Gateway (TMG) до сих пор доступен в версии 2010 года. Более того, компания Microsoft официально объявила о прекращении развития и поддержки TMG ещё в декабре 2012 года. Что это означает? В контексте данной статьи это значит, что надеяться на появление мастеров-помощников для публикации последней версии Exchange Server 2013 в Forefront TMG не стоит.

Общие установки 

Учитывая тот факт, что развитие Forefront TMG прекращено довольно длительное время назад, будем считать, что все базовые установки уже настроены. Сюда входят сертификаты, аутентификация пользователей, правила доступа и т.п. Все эти настройки не уникальны для сервера Exchange 2013, и применимы к любым приложениям, публикуемым через TMG. Если же нужные настройки ещё не выполнены, вам придётся выполнить все нужные настройки перед тем, как продолжить чтение данной инструкции.

Итак, переходим к основной теме статьи – публикации сервера Exchange Server 2013.

Пошаговая инструкция 

Чтобы разрешить почтовым клиентам подключаться к вашему серверу Exchange 2013 через интернет, вам нужно настроить доступ по протоколам HTTPS, POP3, IMAP и SMTP. Для этого должны быть созданы правила доступа.

Обычно правила доступа создаются с использованием мастеров-помощников. К сожалению, мастера публикации Exchange Server 2013 в TMG не существует: продукт перестал обновляться ещё до выхода последней версии сервера Exchange. Соответственно, нам придётся воспользоваться мастером для публикации Exchange Server 2010.

Шаг 1. Создание веб-фермы 

Первое, что вам нужно сделать – создать веб-ферму, которая будет содержать ваш сервер Exchange. Почему именно веб-ферма, а не VIP с распределением нагрузки или простой сервер? Веб-ферму будет значительно проще поддерживать и масштабировать, поэтому лучше сделать правильный выбор уже сейчас.

Создание веб-фермы для Client Access Server 2013 ничем не отличается от создания веб-фермы для версий 2007 или 2010. Пример:


Шаг 2: Настройка делегирования 

Следующим шагом будет настройка TMG с целью разрешения делегирования. Делегирование – это процесс, разрешающий TMG передавать (делегировать) учётные данные пользователя публикуемому серверу Exchange.

Настройка делегирования для Exchange ActiveSync

Настройка делегирования для Exchange ActiveSync довольно проста. Запустите мастер TMG для публикации Exchange ActiveSync, выберите созданную вами веб-ферму Exchange 2013 CAS Farm, и выберите желаемый метод делегирования.

Выбор доступных для публикации сервера Exchange Server 2013 методов делегирования ограничен выбором из двух параметров: базовый (Basic) или NTLM. Другие методы делегирования сервером Exchange не поддерживаются. Большинство администраторов выбирает базовый (Basic) метод. Делегирование методом NTLM может использоваться в ряде специфических случаев. При использовании NTLM необходимо включить соответствующий тип авторизации на сервере Exchange.

Настройка делегирования для Outlook Anywhere

Настроить делегирование для Outlook Anywhere также несложно. Запустите мастер Exchange Server 2010 Outlook Anywhere. Выберите веб-ферму Exchange 2013 CAS server. Все установки можно оставить по умолчанию; необходимо лишь убедиться, что параметр ‘Publish additional folders on the Exchange Server for Outlook 2007 clients’ отмечен.

Шаг 3: Создание правил

Теперь необходимо настроить правила доступа для разрешения доступа к настраиваемым ресурсам извне. Новое правило можно создать с помощью соответствующего мастера-помощника. После того, как правило будет создано, откройте вкладку «Public Name» и добавьте запись «autodiscover.company.com». При использовании базового (Basic) метода делегации добавьте параметр Basic в список разрешённых методов делегации Client Access Server for Outlook Address Book и Exchange Web Services. Всё – настройка Outlook Address Book и Exchange Web Services завершена! Теперь можно проверять, как работает доступ к вашему серверу Exchange Server 2013.

Шаг 4: Настройка Outlook Web Access

Отдельным шагом настраивается доступ к Outlook Web Access (OWA).

Запустите мастер OWA Publishing Wizard for Exchange 2010 и создайте правило с предложенными установками. В результате вы получите систему, позволяющую использовать Outlook Web Access на самом базовом уровне.

Для настройки полноценного доступа к OWA вам потребуется несколько модифицировать только что созданное правило путём изменения параметра выхода (logoff parameter).

Модификация параметра logoff parameter

Этот шаг достаточно прост. Всё, что требуется сделать – изменить значение параметра «Published server logoff URL». Значение этого параметра изменилось с выходом Exchange 2013, и значение, прописанное мастером конфигурации сервера Exchange версии 2010, работать не будет. Для изменения параметра откройте свойства созданного правила и выберите закладку «Application Settings». Замените значение поля “Published server logoff URL” на следующее:
/owa/logoff.owa


Шаг 5. Настройка доступа к облачным приложениям

В Outlook 2013 появился ряд интересных «облачных» приложений, предоставляющих пользователям дополнительные удобства при работе с электронной перепиской. Доступны такие приложения, как карты Bing Maps, словарь-переводчик Bing Translate, планировщик Suggested Meeting и множество других. Можно создавать и собственные приложения для работы в вашей локальной сети. Доступ к облачным приложениям из интернета обеспечивается через Outlook Web Access. К сожалению, настраивать этот доступ нам придётся вручную.

По умолчанию, TMG будет требовать от пользователей облачных приложений вводить информацию об учётной записи каждый раз при использовании таких приложений. Это как минимум неудобно: с настройками по умолчанию информация об учётной записи зарегистрированного пользователя в реальном времени передаваться не будет. Наша цель – избавиться от навязчивой формы авторизации, требующей ввода логина и пароля непосредственно из почтового сообщения.

Для этого нам потребуется создать ещё одно правило, обладающее более высоким приоритетом по сравнению с только что созданным правилом публикации. В этом правиле мы разрешим доступ к определённым ресурсам нашего сервера без предварительной аутентификации.

Новое правило будет обрабатывать запросы к следующему ресурсу:

/owa/guid@domain.com/version/owa2/ext/def/

Казалось бы, всё просто: заменяем guid@domain.com и version шаблоном «*» - и всё заработало. Увы, TMG не поддерживает шаблоны в середине пути, и запись вида /owa/*/*/owa2/ext/def/ не сработает как ожидалось. TMG позволяет использовать шаблоны только в самом конце записи (эта информация нам пригодится в дальнейшем).

Таким образом, для разрешения доступа к OWA вам придётся сгенерировать запись с правильными значениями /guid@domain.com/ и /version/.

Запись /guid@domain.com/ формируется из параметра ExchangeGUID почтового ящика с возможностью OrganizationCapabilityClientExtensions. domain.com примет значение основного домена SMTP данного почтового ящика.

Чтобы найти нужный почтовый ящик, выполните на вашем сервере Exchange следующую команду:

Get-Mailbox -Arbitration | where {$_.PersistedCapabilities -like “OrganizationCapabilityClientExtensions”} | fl exchangeGUID, PrimarySmtpAddress 

Должен получиться примерно такой результат:
[PS] C:\WINDOWS\system32>Get-Mailbox -Arbitration | where {$_.PersistedCapabilities -like "OrganizationCapabilityClientExtensions"} | fl exchangeGUID, primarysmtpaddress

ExchangeGuid : 3adbaa78-a453-8354-a7fe-3456536767ff PrimarySmtpAddress : SystemMailbox{33553aaf-467e-8934-ab43-356abc358dde}@advsoft.ru

Теперь у вас есть вся необходимая информация.

guid: принимает значение, выведенное после строки “ExchangeGuid”
domain.com: используйте доменное имя из SystemMailbox

Для приведённого выше примера, строка примет следующий вид:


С параметром /version/ дело обстоит несколько иначе. С одной стороны, значение версии сервера Exchange меняется каждый раз при обновлении продукта. С другой – этот параметр, в отличие от предыдущего, легко заменяется шаблоном «/*».

Итак, получив необходимую информацию, можно приступить к формированию правила.

Запустите в TMG помощник Outlook Web Access Publishing Wizard. Вам нужно создать правило, обладающее более высоким приоритетом по сравнению с ранее созданным. Используйте следующие настройки:

Закладка Path: /owa/3adbaa78-a453-8354-a7fe-3456536767ff@advsoft.ru/* 
Закладка Users: All Users (pre-authentication is disabled) 
Authentication Delegation: No delegation, but client may authenticate directly. 


После создания правило проверьте работоспособность приложений OWA. Благодаря новому правилу приложения должны работать, а дополнительный диалог с запросом логина и пароля появляться не должен.

Внимание: в списке All Firewall Policy данное правило должно стоять выше, чем общее правило публикации сервера Exchange. Поскольку данное правило более конкретно по сравнению с предыдущим, оно будет применяться только к трафику приложений Outlook.

Смена почтового ящика с фозможностью OrganizationCapabilityClientExtensions

При смене почтового ящика, обладающего возможностью OrganizationCapabilityClientExtensions, параметр ExchangeGUID также изменится. Соответственно, вам придётся сформировать новую ссылку с актуальными параметрами /guid@domain.com/.

Вопрос безопасности

Насколько безопасно правило публикации OWA? Нужно отметить, что данное правило действительно открывает доступ к определённым ресурсам сервера без предварительной авторизации. Представляет ли этот факт угрозу безопасности вашей сети?

Начнём с того, что злоумышленнику для использования данной уязвимости потребуется точно знать уникальный идентификатор вашего сервера Exchange – его GUID. GUID – параметр настолько длинный, что угадать его или получить методом прямого перебора невозможно даже в теории. Теоретически возможно осуществить перехват и анализ сетевого трафика; однако данная уязвимость легко перекрывается соответствующей политикой безопасности, требующей использовать SSL для подключения к серверу Exchange. Трафик, зашифрованный SSL, невозможно расшифровать за разумное время.

Кроме того, приложения Outlook выполняются исключительно в контексте определённого почтового отправления, открытого тем или иным пользователем. Запускать приложение, выполнив запрос из нового окна браузера, бессмысленно: приложение просто не получит доступа к данным сообщения.

К какой именно информации может получить доступ то или иное приложение, зависит от уровня запрошенных привилегий, определяемого в соответствующем манифесте. Просмотреть запрашиваемые каждым приложением привилегии можно в панели управления приложениями на странице EAC. Если вы – системный администратор, то у вас есть право разрешить или запретить выполнение любого приложение в зависимости от его доверительного уровня.

Дополнительная информация:


Другие способы публикации Exchange Server 2013

Как уже упоминалось в начале этой статьи, компания Microsoft давно прекратила разработку Forefront TMG, заменив его другим продуктом: Microsoft Unified Access Gateway (UAG). Данный продукт может быть использован для публикации сервера Exchange. Соответствующие настройки и помощники появились в UAG относительно недавно: штатная возможность публикации Exchange Server 2013 была добавлена в Forefront UAG Service Pack 3. Подробно о настройке UAG можно прочесть в технической документации Microsoft: "Publishing Outlook Anywhere Using NTLM Authentication With Forefront TMG or Forefront UAG". Прекратив разработку Forefront TMG, Microsoft продолжает развитие решения Unified Access Gateway. Переходить же на новый продукт или нет – тема отдельной большой дискуссии.

Теги: TMG, Exchange Server, UAG