שאלה על owa -

[notbird]

שאלה על owa -

שלום , התקנו לאחרונה owa בארגון שלנו והכל דווקא עובד בסדר , אם אפשר יש לי שאלת הבנה קטנה - אפרט בקצרה את השלבים שעשינו ( ובסוף השאלה הקטנה ) הקיצר - יצרנו בקשה ל-certificate דרך ה-iis . אישרנו אותו ב-ca הפנימי והתקנו אותו בשרת ה-owa . יצרנו listener וקישרנו אליו את ה-ceritificate . ביצענו Publish בשרת ה-owa ל-mail server ובחרנו כמובן בשרת דואר מסוג owa . נתנו הגדרה ב-rule base שתהיה גישה בין שרת ה-owa לבין ה-lan . ( אני מניח שניתן לתת גישה לשרת הדואר בלבד ) . בכל מקרה הדבר שמתריד אותי שלמעשה לא קישרנו בין שרת ה-owa לשרת ה-exchange בצורה מפורשת . כלומר הייתי מצפה שיהיה מן הגדרה מפורשת האומרת כל מה שמגיע לשרת ה-owa בפרוטוקול ssl תפנה לכתובת ip של שרת הדואר הנמצא ב-lan . חוק מסוג זה כאמור לא נמצא . איך שרת ה-owa כן יודע לאתר את שרת הדואר למרות שלא הגדרנו זאת במפורש ? (דרך אגב - בכל הנהלים המסבירים איך ליישם את ה-owa לא ראיתי שמוגדר חוק מסוג זה ). תודה

 

[antidot]

------>

א. היה ראוי לציין שיש גם ISA ב. איזה Exchange ? רק אם מדובר ב 5.5, קיימת הפרדה בין OWA לבין Exchange. ב2000 ו-2003 הOWA רץ אך ורק על שרת הExchange עצמו. מדובר במקרה בSBS ?

 

[notbird]

סליחה לא הייתי מדוייק .

מדובר ב-exchange 2003 + isa 2004 . לא מדובר ב-sbs . ביצענו export ל-certificate שקיבל שרות ה-Iis אשר נמצא ב-exchange , וייבאנו אותו לשרת ה-isa . כלומר ה-certificate נמצאת בשרת ה-isa . והחיבור ה-ssl נעשה מול שרת ה-isa . עכשיו - ברור ששרת ה-isa אשר נמצא ב-front צריך "לדבר" עם שרת ה-exchange אשר נמצא ב-lan . השאלה שלי מתרכזת בכך שלמעשה לא הגדרנו במפורש קשר כזה , ולמרות זאת ה-owa עובד . כאמור - ביצענו Publish של שרת mail עם מאפייני owa . הגדרנו ב-rulebase גישה מהשרת isa לרשת ה-Lan . אך לא הגדרנו בשום מקום הפנייה מפורשת לשרת ה-exchange . איך יודע שרת ה-isa להפנות את התקשורת לשרת הדואר ? איך יודע שרת ה-isa לעבוד מול שרת ה-exchange למרות שלא הגדרנו זאת במפורש ? תודה

 

[עדיג78]

אתה לא עובד מול OWA

אתה עובד מול IIS שעליו מותקן OWA ובדרך כלל, הOWA יושב תחת ה default web site ולכן, כל ההגדרות שהגדרת, אישרו למעשה סרטיפיקציות ו SSL מול ה IIS ומול ה default web site שלו. מתאים לך?

 

[notbird]

אני לא מכחיש את זה

אבל כל התעבורה מגיע לשרת ה-isa ולא ל-iis . שרת ה-isa מקבל מידע ב-ssl מממשק external --> מה הוא יעשה עם המידע הזה ? הוא יעביר אותו לשרת ה-exchange . אבל לא הגדרנו במפורש את החוק הזה . נכון - ביצענו Publish ל-mail server עם certificate . נכון - ה-certificate הוגדר בשרת ה-iis שעליו מותקן ה-owa ויוצא לשרת ה-isa . נכון - התעבורה תגיע לשרת ה-isa . ובכל זאת - מאיפה שרת ה-Isa יודע את כתובת ה-ip של שרת הדואר ? לא ציינו זאת בשום מקום . איך שרת ה-isa יודע לבחור מכל השרתים להעביר את המידע שקיבל ב-ssl לשרת הדואר ? הדבר היחידי שאולי יכול לציין את מיקום שרת הדואר הינו ה-certificate שייצאנו משרת הדואר והתקנו ב-isa . אבל ב-certificate לא מוגדר כתובת ip פנימית של שרת הדואר , או אפילו שם דומיין אמיתי של שרת הדואר , אזי --- >> איך שרת ה-isa יודע לבחור מכל השרתים להעביר את המידע שקיבל ב-ssl לשרת הדואר ? תודה

 

[Motel]

------>

ה-certificate מכיל את שם השרת. אם ה-ISA מסוגל לפענח למי השם שייך הוא יעביר את המידע הלאה.

 

[notbird]

הסתכלתי ב-certificate -

בעקרון - כאשר ה-iis שנמצא על ה-exchange מבקש certificate הוא ממלא פרטים - common name - לדוגמא - owa.mydomain.com . גודל של מפתח הצפנה - 1024 ביט , ועוד . בכל מקרה כאשר אני מסתכל על ה-certificate לא מוזכר בשום מקום את שם המחשב , או כתובת ip . מצויין שה-certificate הונפק ל- owa.mydomain.com ופרטי ה-certificate , ( בדיוק כמו בכל certificate ) . איפה בדיוק מצויין שה-certificate שייכת למחשב ספציפי, או ל-כתובת ip . לא מצאתי הגדרה כזאת ב-ceritifate שקיבל ה-iis של ה-exchange והותקן ב-Isa . כאמור הדבר היחידי שמזהה את ה-certificate היא ההצהרה שה-certificate הונפק ע"י ca לתחנה owa.mydomain.com . owa.mydomain.com הינו כמובן כתובות אינטרנטית ולא כתובת שרת הדואר . איפה ב-certificate ניתן לראות שהיא הונפקה לשרת exchange . תודה על הסבלנות .

 

[notbird]

הממ - ייתכן והתעלומה נפתרה -

כנראה צריך לעדכן את הקובץ hosts בשרת ה-isa שייפנה לשרת ה-owa . כלומר x.y.z.r. owa.mydomain.com - כאשר x.y.z.r הוא כמובן כתובת ה-ip של שרת ה-owa .

 

[antidot]

אתה בטוח ?

אני רחוק מלהכיר טוב את ISA, אבל למיטב זכרוני, התרגיל של תעודת SSL הוא רק בשביל לא לשבור את SSL tunnel. הOWA מפובלש רגיל עם הפניה לשרת Exchange/OWA.

 

[notbird]

סליחה טעיתי .

עברתי שוב על כל התהליך . ומסתבר שבאמת - בעת ה-publish של ה-owa mail server בשרת ה-isa , נשאלים לכתובת הפנימית של שרת הדואר . כך שמן הסתם לפי כתובת זו יודע שרת ה -isa לגשת לשרת הדואר . תודה לכולם .