需求：把内网Exchange服务器通过TMG发布到公网，让外网的用户可以访问内网的Exchange服务器。

实验拓扑：

把Exchange服务器发布到公网有四种方法：

POP3,SMTP明文发布

POP3,SMTP密文发布发布

OWA桥接模式发布

OWA隧道模式发布

四种方法三种是使用证书的的，所有进行发布之前需要申请Exchange服务器证书，不然会报证书错误。

如何获取证书

1. 从公网的证书提供商处购买证书（所有客户端都信任，无需另外安装受信任的证书）

   www.verisign.comwww.ssl.comwww.wosign.com

2. 在内部的服务器上面安装证书服务，然后通过CA颁发给用户。（不花钱，但是客户端默认不信任）

exchange服务器证书申请

在exchange服务器配置里面选择选择新建一个exchange证书，用于申请Exchange证书

输入友好名称，可以随便写

通配符证书用于统配主机名，只要二级域名正确，主机名可以随便写。通配符证书一般不需要建立，建立一个很贵的。

设置mail.benet.com为公用名称

设置证书的存放位置

完成证书申请

下载到的文件使用一种特殊方式的加密算法加密了。

登陆到CA服务器 上面申请证书

选择高级证书申请

选择base64编码的证书

复制新建的exchange证书的内容，证书模板选择web服务器

选择下载证书，哪个编码都可以

在服务器配置，右击刚才新建的证书，选择完成搁置的请求，把申请到的证书保持到exchange服务器中。

选择申请的exchange证书的位置

选择将服务分配给证书

选择服务器，由于只有一个服务器，那么直接点击下一步

选择分配到的服务

完成证书申请

除了配置的这个证书，其他系统自带的证书就可以删除了。

然后Exchange的证书服务就配好了，客户端无论通过什么方式访问Exchange都可以了。

默认情况下pop3是不启用ssl认证的需要手动启用，启用后需要重新启动服务。

设置SMTP支持匿名用户访问

这时客户端就可以进行加密访问了，但是如果不是信任根CA的话，还是会报证书错误，所以客户端需要把CA安装到受信任的根颁发机构。

明文发布exchange服务器 POP3（110），SMTP（25）

要发布POP3和SMTP所以选择第一个

选择发布明文协议POP3（110）、SMTP（25）

设置Exchange服务器IP地址

设置监听外部的指定地址

最后完成，并且应用策略，那么不加密的Exchange服务器便发布出去了，这时候客户端就可以访问exchange服务器了

客户端安装telnet功能测试发布

确保客户端可以解析TMG的外网地址（mail.benet.com）

telnet 25号端口成功

如果测试110端口不通那么设置POP3端口为明文，然后重启POP3服务

勾上SMTP匿名用户

这时telnet 110端口就通了

Outlook客户端测试

设置账户信息和服务器地址

测试成功

设置exchange服务器加密发布

首先设置Exchange服务器的POP3为加密模式，设置完成重启服务

新建邮件服务器发布规则

选择发布的端口为POP3和SMTP的安全端口

设置exchange服务器的地址

侦听地址设置外部地址

设置完成，应用策略

这时TMG服务器定义的POP加密端口为995

但是TMG服务器定义的SMTP加密端口为465，但是Exchange服务器的SMTP加密端口是587号

这个时候在客户端测试Exchange服务器的时候POP3的995端口是通的

但是客户端测试服务器的465端口（TMG和Exchange端口不一样）和587端口（TMG没有开）都是不通的

所以这个时候需要设置TMG防火墙的策略，把TMG监听SMTP的端口更给为587端口

这时客户端在连接465端口就通了

Outlook设置服务器端的端口号

如果用户不愿意或者不会更改端口，可以在TMG服务器上面设置接收端口为25，由25端口转为587端口。

测试通过

后续内容：http://wangjunkang.blog.51cto.com/8809812/1573844

本文出自 “梅花香自苦寒来” 博客，请务必保留此出处http://wangjunkang.blog.51cto.com/8809812/1573842

Exchange服务器公网发布