直至前日,这种怪诞的难点早已是第2回产生了!

上次的小说,小编陈诉了在内网景况中,由于修改Forefront
TMG防火墙默许的会见法则,导致内网顾客无法访问OWA的标题,非常的抱歉由于测量试验的相当不足细致,得出的下结论是不对的!即使测验的经过和办法未有生成,不过最后致使难点消除的并不是Exehange
RPC server,在此处有不可或缺详细描述一下:

修改Forefront TMG的暗中同意的拜候法则:

主题素材汇报:自从在Forefront TMG成功发布了Exchange
OWA后,邮件系统一向在寻常使用,直道当月的某一天,分部的职工忽然告诉小编登不上了,笔者检查一下后意识在内网一样如此。留心检查了服务器上的邮件队列,开采其实邮件的接受和殡葬没不通常,只是OWA不可能访谈,找了N久,依据防火墙日志提供的一丢丢头脑,找到了OWA连接的SSL证书那块儿,在OWA的站点绑定上一反省,惊异的发掘443端口竟然没有绑定证书,重新绑定后一切符合规律。明天上午,又冒出了OWA不可能登入的主题材料,检查一下,果然又是此时出了难题,上三次作者还认为自个儿做了什么样错误的操作,可是一次同样的题目,就显得奇特!事情到此还不算完,前些天早晨,分局电话又来了,财务系统不能够登录了,作者的财务系统运用了windows
二〇〇八中的TS Gateway,来落实C/S架构的类其他长途访问,结果是TS
Gateway的服务器找不到了,检查的结果,竟然同样是443端口绑定的申明不见了,产生了未曾绑定任何的证件!笔者得以断定的是自家未曾对IIS做过其余的操作。作者的装有的服务器使用的是Hyper-V的虚机,情况的有一无二的改变是把本来系统自带的Hyper-V的管理工具,换到了SCVMM二〇一〇,约等于说,小编在SCVM二〇〇八大校这么些正值运作的虚构机加多到了管制条件中,总不会因为那么些就可以导致绑定的表明遗失吧?並且上次笔者也远非搞那一个SCVM二零零六。

变成内网客商不能访问OWA的着实的原因,是应该为笔者的OWA并从未应用正式的443端口,因为外网网卡上用来TS
Gateway的侦听器已经选拔了那么些端口。TS
Gateway又不恐怕和Exchange是同一台服务器,由此为了同有的时候间发布多少个SSL,作者只幸好ISA上扩张了SSL通道,把OWA的链接定义为侦听4433端口。外网的拜谒自然未有失常态,但是自个儿修改了暗许的拜见法规后,
只允许HTTP的流量通过到钦定的靶子UTiguanL集,结果正是来源于本地的4433端口的SSL链接并不被接受,页面提醒的接连链接有标题,也未有提醒防火墙阻止,害的本身一通好找。

在计划Froefront
T名爵的最早的阶段,为了测验网络的连通性,笔者创设的暗中同意的web访谈是同意具备的出站通信通过。为了限制客户访谈Internet,笔者必要修改默许的计划,使暗中认可的微型Computer只可以够访问我钦赐的网址。于是修改暗许的web访谈攻略,在磋商中钦定了Http左券,指标互联网钦点了自家同意访谈的UEnclaveL集。首先那样的布署是别的客户都不能够访问网络,原因是颇具的DNS的流量都被取缔了,所以须求成立三个同意DNS流量通过的拜候法规,并且要放在暗许的允许访谈的平整之下。那样一来,Internet的会见是不曾难点了,可是原来能够访谈的OWA却依然无可奈何打开。基于以上的经验,小编晓得有三个磋商必需被允许通过防火墙,才可以使OWA符合规律访谈,但是却不知底这么些OWA能与哪些合同有关。于是利用了相比笨的秘技,细心地质度量试全体的构和,一回贰次频频的测量检验,武功不辜负有心人,终于让小编在邮件的公约组中,找到了Exehange
RPC
server这些条约,增加到允许DNS流量通过的充裕战略中后,终于能够寻常访谈OWA了。

略知一二了真正的来头,就有相应的不二法门:小编创立了贰个客商定义的磋商SSL-Tunnel,钦点端口范围为4433(从4433到4433),方向为出站,公约项目为TCP,然后在上次就讲过的允许DNS流量通过的拜访法则中增添上那几个协议,于是就可见开垦OWA的页面了!

因此平等的终南捷径,笔者找到了能力所能达到使TSGW寻常职业的极度公约,竟然是Https,将它增添到允许通过的国策中后,在局域网里面也足以动用笔者宣布在公英特网的内部的长距离应用了。

图片 1

实质上笔者做过测试,在内网不可能访谈OWA时,并不影响外界客商选用邮件系统,因为OWA已经对外表露了,包涵TS
Gateway,所以上述的主题素材,只是修改了默许的Web访问战术后,内部客商收到了影响,可是TS
Gateway笔者并未测验之中不能够采取时外界能不能利用,随后再实行测量试验。

 

 

相关文章