Udostępnij za pośrednictwem


Reindirizzamento automatico intersito OWA in Exchange 2010 SP2

Articolo originale pubblicato martedì 13 dicembre 2011

Molti di voi avranno già letto gli articoli relativi ai criteri delle rubriche, alle modifiche di hosting e alla procedura guidata di configurazione ibrida, ma sono sicuro che avete sperato di leggere un articolo dedicato alla funzionalità più richiesta inclusa in Exchange 2010 SP2.

So che Tony ha affermato che le nuove funzionalità di SP2 non sono particolarmente sorprendenti e che, peraltro, le novità non sono così numerose, nel suo articolo che annunciava SP2 in Windows IT Pro.

Nel mio articolo, invece, vi illustrerò una nuova fantastica funzionalità di Exchange 2010 SP2 di cui si è parlato poco: il reindirizzamento automatico intersito per Outlook Web App!

Definizioni

Di seguito trovate alcune definizioni che è utile chiarire.

  • Sito di Active Directory con connessione a Internet: sito di Active Directory che contiene un server Accesso client con un URL esterno compilato per il servizio associato (come OWA). In genere si tratta del sito o data center primario in cui viene distribuito Exchange 2010.
  • Sito di Active Directory con connessione a Internet regionale: sito di Active Directory che contiene un server Accesso client con un URL esternocompilato per il servizio associato (come OWA).
  • Sito di Active Directory senza connessione a Internet: sito di Active Directory che contiene un server Accesso client senza un URL esternocompilato per il servizio associato.
  • Connessione diretta: processo con cui tramite il server Accesso client viene stabilita una sessione RPCcon il server cassette postali in cui sono ospitati i dati delle cassette postali.
  • Proxy: processo con cui tramite il server Accesso client in un sito di Active Directory con connessione a Internet le richieste in ingresso vengono inviate via proxy a un server Accesso client in sito di Active Directory senza connessione a Internet, che si trova nello stesso sito del server cassette postali a cui è stato effettuato l'accesso.
  • Reindirizzamento: processo con cui tramite un server Accesso client con connessione a Internet in un sito di Active Directory l'utente finale viene reindirizzato a un altro server Accesso client con connessione a Internet che risiede nello stesso sito del server cassette postali a cui è stato effettuato l'accesso.
  • Reindirizzamento automatico: processo con cui tramite un server Accesso client viene generato un reindirizzamento automatico al browser dell'utente, per comunicare di stabilire una connessione a un URL specificato.
  • Reindirizzamento Single Sign-On (SSO): processo con cui tramite un server Accesso client viene generato un reindirizzamento automatico al browser dell'utente, per comunicare di inviare la richiesta e le credenziali di autenticazione a un server Accesso client di destinazione per un'esperienza di accesso senza interruzioni.

Processo di connessione OWA

Per comprendere i vari scenari proxy e di reindirizzamento, è importante conoscere i meccanismi sottostanti all'autenticazione di un utente in un server Accesso client per accedere a OWA, come accade attualmente nelle versioni di Exchange 2010 precedenti a SP2:

  1. L'utente accede all'URL di OWA utilizzando il Web browser.
  2. l'Utente immette le credenziali.
  3. Tramite il server Accesso client l'utente viene autenticato e vengono recuperate le informazioni seguenti mediante la richiesta di individuazione servizio:
    1. Versione della cassetta postale dell'utente
    2. Posizione della cassetta postale dell'utente (sito di Active Directory), se nota
  4. Il server Accesso client raccoglie ulteriori informazioni in base alle informazioni della cassetta postale, per eseguire l'operazione corretta:
    1. Se la cassetta postale è di Exchange 2010 e locale, tramite il server Accesso client viene eseguita la connessione diretta.
    2. Se la cassetta postale è di Exchange 2007 e locale, tramite il server Accesso client viene recuperato l'URL esterno di un server Accesso client Exchange 2007 (se non ne è stato definito uno, viene utilizzato l'URL interno) e viene effettuato il reindirizzamento automatico.
    3. Se la cassetta postale è di Exchange 2003, tramite il server Accesso client viene recuperato l'URL di Exchange 2003e viene effettuato il reindirizzamento automatico.
    4. Se la cassetta postale non è locale, tramite il server Accesso client viene recuperato l'URL esterno di destinazione, se definito, e viene effettuato il reindirizzamento o l'invio tramite proxy se non sono stati definiti URL esterni OWA nel sito di Active Directory di destinazione.

Tipi di reindirizzamento OWA SP1

In Exchange 2010 SP1 sono state apportate modifiche per ottenere tre tipi di reindirizzamento per OWA nel prodotto locale:

  • Reindirizzamento manuale
  • Reindirizzamento manuale temporaneo
  • Reindirizzamento automatico legacy

Reindirizzamento manuale

Con il reindirizzamento manuale non è necessario che i clienti incanalino e indirizzino tramite proxy tutto il traffico da una posizione centrale quando sono presenti server Accesso client più vicini alla cassetta postale dell'utente.

I reindirizzamenti manuali vengono eseguiti quando è necessario reindirizzare una richiesta OWA tramite il server Accesso client a un'infrastruttura di server Accesso client di Exchange 2007 o Exchange 2010 che si trova in un sito di Active Directory diverso. Come indicato in precedenza, per eseguire un reindirizzamento manuale, è necessario che la directory virtuale OWA di destinazione disponga di un URL esterno. Gli utenti vedranno il seguente messaggio di reindirizzamento manuale e l'URL esterno del server Accesso client nell'altro sito di Active Directory:

1 
Figura 1: Reindirizzamento manuale quando la cassetta postale si trova in un altro sito di Active Directory

 

Reindirizzamento manuale temporaneo

In SP1 è stato aggiunto un altro tipo di reindirizzamento per OWA, noto come reindirizzamento manuale temporaneo. Questo tipo di reindirizzamento si applica in due scenari:

  1. Durante un evento di cambio di attivazione di un data center, c'è la possibilità che nel Web browser dell'utente sia ancora memorizzata nella cache la voce DNS errata e, pertanto, si punti all'infrastruttura del server Accesso client nel sito di Active Directory che non ospita più la cassetta postale. Di conseguenza, tramite il server Accesso client verrà generato un reindirizzamento manuale al sito di Active Directory corretto, ma il reindirizzamento sarà allo stesso URL utilizzato attualmente dall'utente. Per evitare un effetto ping pong che impedisce all'utente di accedere alla propria posta, mediante il server Accesso client verrà rilevato se viene restituito lo stesso cookie di sessione e, in tal caso, verrà verificato se il server Accesso client di destinazione dispone di un valore FailbackURL per la directory virtuale OWA. Se viene specificato un valore FailbackURL, tramite il server Accesso client viene generata una pagina di reindirizzamento manuale temporaneo in cui è fornito il collegamento FailbackURL. Se non viene specificato un valore FailbackURL, tramite il server Accesso client viene visualizzata una pagina di errore in cui si chiede all'utente di chiudere tutte le sessioni del browser e riprovare.

    3
    Figura 2: Reindirizzamento manuale temporaneo al cambio di attivazione del data center

  2. Nel secondo scenario la pagina di reindirizzamento manuale temporaneo viene generata dal server Accesso client quando viene rilevato che il sito del server Accesso client locale corrisponde a quello del valore RpcClientAccessServer del database della cassetta postale, ma il database è in realtà montato in un sito di Active Directory diverso, pertanto tramite il server Accesso client viene generato un reindirizzamento temporaneo all'URL esterno del server Accesso client nel sito in cui è ospitato il database montato.

    2
    Figura 3: Reindirizzamento manuale temporaneo quando la cassetta postale è montata in un altro sito di Active Directory

Reindirizzamento automatico legacy

Per Outlook Web Access, il server Accesso client Exchange 2010 non supporta il rendering dei dati della cassetta postale da versioni legacy di Exchange. Per il server Accesso client Exchange 2010 sono disponibili quattro scenari a seconda della versione e/o della posizione della cassetta postale di destinazione:

  • Se la cassetta postale di Exchange 2007 si trova nello stesso sito di Active Directory di CAS2010, tramite CAS2010 la sessione verrà reindirizzata automaticamente al server Accesso client Exchange 2007.
  • Se la cassetta postale di Exchange 2007 si trova in un altro sito di Active Directory con connessione a Internet, tramite CAS2010 l'utente verrà reindirizzato manualmente al server Accesso client Exchange 2007.
  • Se la cassetta postale di Exchange 2007 si trova in un sito di Active Directory senza connessione a Internet, tramite CAS2010 la connessione verrà indirizzata via proxy al server Accesso client Exchange 2007.
  • Se la cassetta postale si trova in un server Exchange 2003, tramite CAS2010 la sessione verrà reindirizzata automaticamente a un URL predefinito.

Come indicato sopra, il reindirizzamento automatico legacy viene solo utilizzato per gli eventi di reindirizzamento nello stesso sito tra un server Accesso client Exchange 2010 e l'infrastruttura legacy. Quando si esegue il reindirizzamento automatico legacy, tramite CAS2010 viene generato un reindirizzamento automatico al browser dell'utente, per comunicare al browser di stabilire una connessione all'infrastruttura CAS2007/FE2003 legacy. Per il reindirizzamento corretto all'infrastruttura legacy, è necessario configurare quanto segue:

  • Per reindirizzare le cassette postali di Exchange 2003, è necessario che nella directory virtuale OWA Exchange 2010 sia compilato l'URL di Exchange 2003.
  • Per reindirizzare a un server Accesso client Exchange 2007, è necessario che nella directory virtuale OWA Exchange 2007 sia compilato l'URL esterno.

Il reindirizzamento automatico legacy offre inoltre un'esperienza Single Sign-On quando si utilizza l'autenticazione basata su moduli (FBA) nelle directory virtuali OWA di origine e di destinazione generando al Web browser un modulo FBA nascosto con i campi compilati. Tale modulo contiene le stesse informazioni immesse originalmente dall'utente nella pagina FBA di CAS2010 (nome utente, password, selettore pubblico/privato) nonché un reindirizzamento alla stringa di query e al percorso specifico di Exchange di destinazione. Non appena il modulo viene caricato viene inviato immediatamente all'URL di destinazione. Di conseguenza, l'utente viene automaticamente autenticato e può accedere ai dati della cassetta postale.

Problemi del reindirizzamento manuale

A prima vista, potreste pensare che il reindirizzamento manuale sia efficiente e, in un certo senso, è così. Si tratta di un'eccellente funzionalità che consente all'organizzazione ID di controllare la posizione da cui gli utenti accedono ai dati, imponendo loro di utilizzare i collegamenti di rete corretti. In realtà, non si tratta di un'esperienza ottimale per l'utente finale.In uno scenario in cui l'utente utilizza l'URL OWA errato, esegue le azioni seguenti:

  1. L'utente immette l'URL errato nel Web browser.
  2. L'utente immette le credenziali e viene autenticato nel server Accesso client (sito errato).
  3. Nel server Accesso client (sito errato) viene eseguita l'individuazione del servizio e viene determinato che è possibile reindirizzare l'utente al server Accesso client corretto.
  4. Dal server Accesso client (sito errato) viene fornita all'utente una pagina che contiene un collegamento al server Accesso client (sito corretto).
  5. L'utente fa clic sul collegamento per accedere a OWA dal sito corretto.
  6. L'utente immette le credenziali e viene autenticato nel server Accesso client (sito corretto).

Il fatto che all'utente venga segnalato di avere utilizzato l'URL errato e venga richiesto di immettere due volte le credenziali influiscono negativamente sull'esperienza del reindirizzamento manuale.

Reindirizzamento automatico intersito in Exchange 2010 SP2

Per evitare questa esperienza non ottimale (secondo Greg un'esperienza pessima), abbiamo introdotto una quarta esperienza di reindirizzamento per OWA in Exchange 2010 SP2, nota come reindirizzamento automatico intersito. Come indica il nome, con il reindirizzamento automatico intersito viene eseguito solo il reindirizzamento automatico per le richieste destinate a un server Accesso client che si trova in un altro sito di Active Directory (all'interno della stessa organizzazione Exchange) con un URL esterno di OWA.

È stato creato un nuovo parametro per supportare il reindirizzamento automatico intersito, CrossSiteRedirectType, che è disponibile nel cmdlet Set-OWAVirtualDirectory e supporta due valori, Manual e Silent. Il reindirizzamento automatico intersito è disabilitato per impostazione predefinita (il valore predefinito è Manual), pertanto se attualmente si esegue il reindirizzamento manuale tra server Accesso client in siti di Active Directory diversi, si continuerà in questo modo dopo la distribuzione di SP2.

Per abilitare il reindirizzamento automatico intersito, impostare CrossSiteRedirectType su Silent nelle directory virtuali OWA del server Accesso client con connessione a Internet:

Set-OWAVirtualDirectory -Identity "Contoso\owa (Default Web site)" -CrossSiteRedirectType Silent

Il processo di connessione OWA è stato aggiornato per supportare il reindirizzamento automatico intersito. Tramite il server Accesso client vengono effettuate le operazioni seguenti durante l'individuazione del servizio:

  1. Valutazione della versione della cassetta postale (Exchange 2007 o Exchange 2010).
  2. Controllo della posizione della cassetta postale.
  3. Recupero dell'URL esterno del server Accesso clientdi destinazione.
  4. Recupero del tipo di reindirizzamento nel server Accesso client di origine.
    1. Se CrossSiteRedirectType=Manualviene generato un reindirizzamento manuale.
    2. Se CrossSiteRedirectType=Silentviene generato un reindirizzamento automatico.
      1. Se nel server Accesso client di origine e di destinazione l'autenticazione basata su moduliè abilitata, il server Accesso client di origine invia un modulo nascosto al browser che contiene le credenziali e le impostazioni FBA, insieme all'URL di reindirizzamento.
      2. Se l'autenticazione basata su moduli non è abilitata nell'origine e nella destinazione, il server Accesso client di origine genera semplicemente un reindirizzamento 302.

È vero che il reindirizzamento automatico intersito può essere un'esperienza SSO quando nelle directory virtuali OWA di origine e destinazione viene utilizzata l'autenticazione basata su moduli. I clienti che distribuiscono OWA solo internamente possono ottenere un'esperienza Single Sign-On quando il meccanismo di autenticazione della directory virtuale OWA è l'autenticazione integrata di Windows e gli spazi dei nomi OWA vengono aggiunti all'area di sicurezza “Intranet locale”.

Scenari in cui non si ottiene un'esperienza Single Sign-On

Di seguito sono presentati i pochi scenari in cui non è possibile ottenere un'esperienza SSO quando si effettua il reindirizzamento tra siti di Active Directory:

  1. Si utilizza l'autenticazione di base nelle directory virtuali OWAdi origine e destinazione.
  2. Si utilizzano impostazioni di autenticazione diversenelle directory virtuali OWA di origine e destinazione.
  3. Si utilizza una soluzione di autenticazione a due fattorinelle directory virtuali OWA di origine e destinazione.
  4. Si utilizza una soluzione di preautenticazione(come Microsoft Threat Management Gateway 2010) in cui si utilizzano listener Web per gli spazi dei nomi OWA di origine e destinazione.
  5. Quando tramite il server Accesso client locale viene generato un reindirizzamento temporaneo a un altro server Accesso client in un altro sito di Active Directory.

Considerate che benché per questi scenari non sia disponibile l'esperienza SSO, è disponibile un reindirizzamento 302, ovvero un reindirizzamento automatico.

Il reindirizzamento automatico intersito aumenta la soddisfazione dell'utente finale per non dover fare clic su un collegamento per ottenere l'infrastruttura OWA corretta e, in effetti, può evitare di dover immettere le credenziali una seconda volta. Se finora avete utilizzato il reindirizzamento manuale OWA, spero abilitiate il reindirizzamento automatico intersito quando distribuite Exchange 2010 SP2!

Ross Smith IV
Direttore programmi
Exchange Customer Experience

Questo è un post di blog localizzato. Consultate l'articolo originale: OWA Cross-Site Silent Redirection in Exchange 2010 SP2