今回はForeFront TMGというProxyサーバーを使用して、LANに設置されたCAS(Client Access Server)を公開、すなわち外部からアクセスできるようにするための設定についてまとめてみます。
■事前に必要なこと
(1) Active Directory内のルート証明書のインストール
ForeFront TMG⇒CASサーバーにSSLでアクセスする際、TMGはSSLクライアントになるため、この証明書をインストールする必要があります。
(2) 外部からhttpsアクセスをするためのSSL証明書のインストール
ここでインストールするためのSSL証明書のコモンネームはOWAで外部からアクセスする際のURL(https://xxx.xxx.xxx/owa)のうちの"xxx.xxx.xxx"が該当します。
(3) 外部からアクセスするためIPアドレスの設定
OWAのアクセス用にグローバルのIPアドレスを設定する場合、(2)における"xxx.xxx.xxx"に対するIPアドレスの紐付けをDNSにおいて実施してあげる必要があります。
基本的には事前準備は以上で完了です。
ではここからForeFront TMGの設定を見ていきます。
TMGの設定は大きく分けて、以下の2つに分かれます。
①Webリスナの作成
Webリスナによって設定できるものには以下のものがあります。
a) クライアントからの外部アクセスをどのIPアドレスでリッスンするか?
b) 外部からのアクセスのためにどのSSL証明書を割り当てるか?
c) TMGはアクセスしてきたクライアントに対してどのような認証を行うか?
簡単にいうとクライアントがTMGにアクセスする際のルールをまとめたものですね。
②Exchange Webクライアントアクセス公開ルール
一方、クライアントアクセス公開ルールでは以下のものを設定することになります。a) 公開するExchangeのバージョンは?
b) 実際に公開するExchangeのサービスはなに?(OWA?Outlook Anywhere?)
c) 内部の接続先であるCASの名前は?またその接続方法は?
d) 使用するWebリスナは?
e) このルールの適用対象となるユーザーは誰?
つまり、おもにForeFront⇔CASにおける設定をここで定義して、実際にExchangeのサービスを外部に公開するわけですね。
■具体的な公開の手順
実際にWizardを使用して公開を行う手順としてはいろいろなWebサイトで紹介されています。
http://exchangemaster.wordpress.com/2010/04/09/publish-exchange-2010-with-tmg-forefront-threat-management-gateway/
http://download.microsoft.com/download/0/D/3/0D3AF0EF-28C9-4AFF-827D-84FA669623C6/Secure_Web_Publishing.doc
■注意事項
上記の手順を見るとわかるように、認証については、下記の2種類の設定箇所があります。
(1) ISA Serverがクライアントを認証する(Webリスナで設定)
(2) ExchangeがISAからのリクエストを認証する(公開ルールで設定)
今回の要件は『ISAで認証は行わない。すべての認証はExchangeで行う。ISAはリダイレクトするだけ。』というものだったので、実際の設定は以下のようになっています。
(1) No Authentication
(2) No delegation, but client may authenticate directly
基本的にはこれで外部クライアントからOWAにアクセスすることができるようになります。
「OWA」と記載を行っていますが、Exchange公開ルールウィザードの中で公開するサービスを選択できるので、Outlook Anywhereなどについても同じ設定内容で実装することが可能です。
