Noções básicas de proxy e redirecionamento
Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Tópico modificado em: 2008-03-14
Em uma organização do Microsoft Exchange Server 2007, um computador que esteja executando o Exchange 2007 que tenha a função de servidor Acesso para Cliente instalada pode atuar como um proxy para outros servidores de Acesso para Cliente na organização. Isso é útil quando vários servidores de Acesso para Cliente estão presentes em sites diferentes do Active Directory em uma organização e nem todos os sites do Active Directory estão expostos à Internet.
Um servidor de Acesso para Cliente também pode executar redirecionamento para URLs do Microsoft Office Outlook Web Access. O redirecionamento é útil quando um usuário está se conectando a um servidor de Acesso para Cliente voltado para a internet que não esteja no mesmo site do Active Directory que seu servidor de Caixa de Correio.
Dica
Se sua organização não tem vários sites do Active Directory, não é necessário configurar o Exchange 2007 para intermediação por proxy ou redirecionamento.
Dica
Os servidores de Acesso para Cliente que não têm acesso à Internet não precisam separar certificados SSL (Secure Sockets Layer). Eles podem usar o certificado auto-assinado que é instalado por padrão com o Exchange 2007. Para obter mais informações, consulte Compreendendo o certificado auto-assinado no Exchange 2007.
Para configurar o servidor de Acesso para Cliente para proxy e redirecionamento, modifique duas propriedades nos diretórios virtuais usados para acessar os diversos protocolos de Acesso para Cliente. Essas duas propriedades são as seguintes:
InternalURL Esta propriedade contém a URL da Intranet para o diretório virtual. Ela é configurada automaticamente durante a instalação. Na maioria das instalações, o valor de InternalURL não precisa ser alterado.
ExternalURL Esta propriedade contém a URL da Internet para o diretório virtual. Esse valor é publicado no DNS e deve ser configurado manualmente, de acordo com a sua configuração.
Este tópico explica intermediação por proxy e redirecionamento, quando cada um deles é usado e como configurar servidores de Acesso para Cliente para cada cenário.
Visão geral de intermediação por proxy
No Microsoft Exchange Server 2003, o servidor front-end se comunica com o servidor back-end por HTTP. No Exchange 2007, o servidor de Acesso para Cliente se comunica com o servidor Caixa de Correio por RPC. Você deve ter um servidor de Acesso para Cliente do Exchange 2007 em cada site do Active Directory que contenha um servidor Caixa de Correio. A intermediação por proxy ocorre quando um servidor de Acesso para Cliente envia tráfego para outro. Um servidor de Acesso para Cliente do Exchange 2007 pode intermediar por proxy solicitações nestas duas situações:
Entre servidores de Acesso para Cliente do Exchange 2007 A intermediação por proxy de solicitações entre dois servidores de Acesso para Cliente do Exchange 2007 permite que as organizações que possuem vários sites do Active Directory designem um ou mais servidores de Acesso para Cliente como servidores voltados para a Internet e façam com esses servidores execute proxy de solicitações para servidores de Acesso para Cliente em sites que não tenham presença na Internet. Um servidor de Acesso para Cliente voltado para a Internet fará proxy de uma solicitação de entrada para o servidor de Acesso para Cliente que está localizado no mesmo site da caixa de correio do usuário. Esse processo é conhecido como intermediação por proxy CAS-CAS.
Entre um servidor de Acesso para Cliente do Exchange 2007 e um servidor front-end do Exchange 2003 Os clientes externos que se conectam ao Outlook Web Access usando o diretório virtual \Exchange ou que se conectam ao Microsoft Exchange ActiveSync usando o diretório virtual \Microsoft-Server-ActiveSync terão suas solicitações intermediadas por proxy para o servidor back-end Exchange 2003 apropriado.
A intermediação por proxy tem suporte para clientes que usam Serviços Web do Outlook Web Access, do Exchange ActiveSync e do Exchange. Há suporte para a intermediação por proxy de um servidor de Acesso para Cliente para outro quando o servidor de Acesso para Cliente de destino está executando a mesma versão do Exchange Server ou uma versão anterior do servidor de Acesso para Cliente de origem. No entanto, os Serviços Web do Exchange não podem fazer proxy de um servidor que esteja executando o Exchange Server 2007 SP1 para um servidor que esteja executando a versão RTM original do Exchange 2007, pois a versão RTM do Exchange 2007 não oferece suporte a proxy para Serviços Web do Exchange. A figura a seguir ilustra como a intermediação por proxy funciona em uma organização que tenha vários servidores de Acesso para Cliente e vários servidores Caixa de Correio.
Dica
Em cada organização do Exchange, pelo menos um servidor de Acesso para Cliente deve ser voltado para a Internet. Um servidor de Acesso para Cliente que não tenha nenhuma presença na Internet não precisa ter o próprio nome de host da Internet. Ele conta com o servidor de Acesso para Cliente voltado para a Internet para executar o proxy de todas as solicitações pertinentes de clientes externos.
Dica
A intermediação por proxy não funcionará para o protocolo POP (Post Office Protocol) versão 3 ou para clientes IMAP (Internet Message Access Protocol) versão 4rev1. Um cliente que esteja usando POP3 ou IMAP4 deve se conectar a um servidor de Acesso para Cliente no mesmo site do Active Directory que seu servidor Caixa de Correio.
Intermediação por proxy de Acesso para Cliente
Na figura anterior, a caixa de correio do Usuário 1 está localizada no servidor Caixa de Correio 01. A caixa de usuário do Usuário 2 está localizada no servidor Caixa de Correio 02, e a caixa de correio do Usuário 3 está localizada no servidor Caixa de Correio 03. O Usuário 1 pode acessar sua caixa de correio por meio do servidor de Acesso para Cliente 01 sem usar a intermediação por proxy. Se o Usuário 1 tentar acessar o servidor de Acesso para Cliente 02 usando o Exchange ActiveSync, ele receberá um erro, porque o servidor de Acesso para Cliente 01 é o servidor de Acesso para Cliente da sua caixa de correio. Se ele tentar acessar o servidor de Acesso para Cliente 02 usando o Outlook Web Access, o navegador exibirá uma mensagem incluindo a URL para o Servidor de Acesso para Cliente 01, o servidor de Acesso para Cliente localizado no mesmo site que seu servidor de Caixa de Correio. Esse processo é conhecido como redirecionamento. Se o Usuário 3 tentar acessar o servidor de Acesso para Cliente 02, esse servidor vai executar proxy da solicitação para o servidor de Acesso para Cliente 03. O servidor de Acesso para Cliente 03 não é voltado para a Internet, mas pode receber solicitações de outros servidores dentro do firewall. A intermediação por proxy não fica visível ao usuário.
Dica
A comunicação entre os servidores de Acesso para Cliente em diferentes sites ocorre por HTTPS (HTTP Seguro).
Intermediação por proxy para Exchange ActiveSync
O cenário a seguir ilustra como as solicitações de entrada são tratadas para um usuário que se conecta a um servidor de Acesso para Cliente do Exchange 2007 chamado CAS-01 utilizando um dispositivo móvel.
O servidor de Acesso para Cliente consulta o serviço de diretório do Active Directory para determinar o local da caixa de correio do usuário e a versão do Microsoft Exchange instalada no servidor Caixa de Correio. Se a caixa de correio do usuário estiver em um computador do Exchange 2007 que tenha a função de servidor Caixa de Correio instalada, vá para a etapa 3.
Se a caixa de correio do usuário estiver em um servidor Exchange 2003, a solicitação de entrada é intermediada por proxy para o servidor Exchange 2003 que hospeda a caixa de correio do usuário e o diretório virtual do Exchange ActiveSync. Por padrão, no Exchange 2003, o diretório virtual do Exchange ActiveSync é instalado em todos os servidores de caixa de correio. Se a solicitação de entrada for para um servidor de Acesso para Cliente do Exchange 2007 que esteja em um site do Active Directory diferente do servidor back-end de destino, a solicitação será intermediada por proxy diretamente para o servidor back-end de destino, mesmo que haja um servidor de Acesso para Cliente do Exchange 2007 no site de destino do Active Directory. Se a solicitação de entrada for para um servidor de Acesso para Cliente do Exchange 2007 que esteja no mesmo site do Active Directory que o servidor back-end de destino, a solicitação será intermediada por proxy diretamente para o servidor back-end de destino.
Dica
Os usuários que têm caixas de correio em um servidor Exchange 2003 e tentam usar o Exchange ActiveSync por meio de um servidor de Acesso para Cliente do Exchange 2007 receberão um erro e não conseguirão sincronizar, a menos que a autenticação Integrada do Windows esteja habilitada no diretório virtual do Microsoft-Server-ActiveSync no servidor Exchange 2003. Esse processo permite que o servidor de Acesso para Cliente do Exchange 2007 e o servidor back-end do Exchange 2003 se comuniquem usando autenticação Kerberos.
Se a caixa de correio do usuário estiver em um servidor Caixa de Correio do Exchange 2007, o CAS-01 localiza um servidor de Acesso para Cliente no mesmo site do Active Directory que o servidor Caixa de Correio do usuário. Se houver um servidor de Acesso para Cliente mais próximo ao servidor Caixa de Correio do usuário, o Exchange 2007 determina se o servidor de Acesso para Cliente tem a propriedade InternalURL configurada e se o método de autenticação é a autenticação Integrada do Windows. Em caso afirmativo, o usuário será intermediado por proxy para o servidor de Acesso para Cliente especificado pela propriedade InternalURL. Caso contrário, a solicitação será rejeitada. Se a solicitação for rejeitada, um código de erro será retornado ao dispositivo móvel. Se a propriedade ExternalURL estiver configurada no servidor de Acesso para Cliente intermediado por proxy, no diretório virtual Microsoft-Server-ActiveSync, o código de erro HTTP 451 será retornado.
Importante
Não há suporte para a intermediação por proxy entre diretórios virtuais que usam autenticação Básica. Para que a comunicação entre clientes seja intermediada por proxy entre diretórios virtuais em servidores diferentes, os diretórios virtuais devem usar autenticação Integrada do Windows.
Intermediação por proxy para o Outlook Web Access
O cenário a seguir ilustra como as solicitações de entrada são tratadas para um usuário que se conecta a um servidor de Acesso para Cliente do Exchange 2007 chamado CAS-01 utilizando o Outlook Web Access.
O servidor de Acesso para Cliente consulta o Active Directory para determinar o local da caixa de correio do usuário e a versão do Microsoft Exchange instalada no servidor Caixa de Correio. Se a caixa de correio do usuário estiver em um servidor Caixa de Correio do Exchange 2007, vá para a etapa 3.
Caso a caixa de correio do usuário esteja em um servidor do Exchange 2003, e o usuário tenha tentado acessar o Outlook Web Access usando https://nome domínio/owa, ele receberá um erro. Se o usuário tenta acessar https://nome domínio/exchange ou https://nome domínio/public, a solicitação de entrada é intermediada por proxy para o servidor do Exchange 2003 que hospeda a caixa de correio do usuário e o diretório virtual do Outlook Web Access. Se a solicitação de entrada for para um servidor de Acesso para Cliente do Exchange 2007 que esteja em um site do Active Directory diferente do servidor back-end de destino, a solicitação será intermediada por proxy diretamente para o servidor back-end de destino, mesmo que haja um servidor de Acesso para Cliente do Exchange 2007 no site de destino do Active Directory. Se a solicitação de entrada for para um servidor de Acesso para Cliente do Exchange 2007 que esteja no mesmo site do Active Directory que o servidor back-end de destino, a solicitação será intermediada por proxy diretamente para o servidor back-end de destino. Neste caso, pule a etapa 3.
Se a caixa de correio do usuário estiver em um servidor Caixa de Correio do Exchange 2007, o CAS-01 localiza um servidor de Acesso para Cliente que esteja no mesmo site do Active Directory que o servidor de caixa de correio do usuário. Quando um servidor é encontrado, o Exchange 2007 determina se a propriedade InternalURL está configurada no servidor de Acesso para Cliente e se o método de autenticação no diretório virtual está configurado como autenticação Integrada do Windows. Em seguida, o CAS-01 determina se há uma URL externa especificada. Se houver, o usuário será redirecionado para o servidor especificado pela propriedade ExternalURL. Se uma URL externa não estiver especificada, o CAS-01 fará a intermediação por proxy do usuário para o servidor de Acesso para Cliente especificado pela propriedade InternalURL.
Dica
Uma URL interna é configurada automaticamente durante a Instalação do Exchange 2007. O valor padrão da propriedade ExternalURL é
$null
. Para servidores de Acesso para Cliente voltados para a Internet, a propriedade ExternalURL deverá ser definida com o valor publicado no DNS referente a esse site do Active Directory. Para servidores de Acesso para Cliente que não têm acesso à Internet, a propriedade ExternalURL não precisa ser configurada.
Fazendo proxy para Serviços Web
O cenário a seguir ilustra como as solicitações de entrada são tratadas para um usuário que se conecta a um servidor de Acesso para Cliente do Exchange 2007 chamado CAS-01 utilizando Serviços Web do Exchange.
O servidor de Acesso para Cliente consulta o Active Directory para determinar o local da caixa de correio do usuário e a versão do Microsoft Exchange instalada no servidor Caixa de Correio. Se a caixa de correio do usuário estiver localizada em um servidor que execute o Microsoft Exchange Server 2003, não será possível fazer proxy e a solicitação falhará. Se a caixa de correio estiver em um servidor que esteja executando o Exchange 2007 Service Pack 1 (SP1), continue para a etapa 2. Se a caixa de correio do usuário estiver localizada em um servidor que esteja executando a versão RTM do Exchange 2007, a solicitação falhará.
Quando a solicitação de Serviços Web do Exchange alcançar o CAS-01, os Serviços Web do Exchange processarão a solicitação e farão proxy dela para o site que contém o servidor de Caixa de Correio do usuário. Os Serviços Web do Exchange podem aceitar uma única solicitação para mais de um usuário. Se a solicitação de entrada contiver diversos usuários, as caixas de correio desses usuários deverão estar no mesmo site do Active Directory. Uma única solicitação para diversos usuários em sites diferentes do Active Directory não é aceita para serviços web que não sejam o Serviço de Disponibilidade. Se a caixa de correio do usuário estiver localizada em um servidor de Caixa de Correio Exchange 2007 em um site que inclua o servidor de Acesso para Cliente Exchange 2007 SP1, o CAS-01 fará proxy da solicitação para o site do Active Directory de destino.
Dica
As propriedades InternalURL e NLBByPassURL são configuradas automaticamente durante a instalação do Exchange 2007. Para servidores de Acesso para Cliente que não têm acesso à Internet, a propriedade ExternalURL deve ser definida como
$null
.
Configuração de intermediação por proxy
Se o servidor de Acesso para Cliente for voltado para a Internet, defina a propriedade ExternalURL no Exchange ActiveSync e nos diretórios virtuais do Outlook Web Access usando o Console de Gerenciamento do Exchange ou o Shell de Gerenciamento do Exchange. A propriedade InternalURL é configurada automaticamente durante a instalação inicial do Exchange 2007 e raramente terá que ser alterada. A propriedade ExternalURL deve conter a URL que está registrada para a sua organização do Exchange em DNS, por exemplo, https://www.contoso.com/owa para Outlook Web Access. A tabela a seguir contém os valores adequados para as propriedades ExternalURL e InternalURL de um servidor de Acesso para Cliente voltado para a Internet para a organização do Exchange chamada www.contoso.com. A segunda tabela contém os valores adequados das propriedades ExternalURL e InternalURL para um servidor de Acesso para Cliente que não seja voltado para a internet em um segundo site do Active Directory para www.contoso.com. Você deve configurar o método de autenticação em todos esses diretórios virtuais para autenticação Integrada do Windows. Não há suporte para a intermediação por proxy para diretórios virtuais que usam outros métodos de autenticação.
Dica
Se novos diretórios virtuais do Outlook Web Access forem criados usando o Shell de Gerenciamento do Exchange, você deverá configurar manualmente a propriedade InternalURL nesses diretórios virtuais.
Configurações de InternalURL e ExternalURL de intermediação por proxy para um servidor de Acesso para Cliente voltado para a Internet
Serviço do Exchange 2007 | Configuração de InternalURL | Configuração de ExternalURL |
---|---|---|
Outlook Web Access |
https://nomecomputador/OWA |
https://www.contoso.com/OWA |
Exchange ActiveSync |
https://nomecomputador/Microsoft-Server-ActiveSync |
https://www.contoso.com/Microsoft-Server-ActiveSync |
Serviços Web do Exchange |
https://nomecomputador/EWS |
https://www.contoso.com/EWS/exchange.asmx |
Configurações de InternalURL e ExternalURL de intermediação por proxy para um servidor de Acesso para Cliente que não é voltado para a Internet
Serviço do Exchange 2007 | Configuração de InternalURL | Configuração de ExternalURL |
---|---|---|
Outlook Web Access |
https://nomecomputador/OWA |
|
Exchange ActiveSync |
https://nomecomputador/Microsoft-Server-ActiveSync |
|
Serviços Web do Exchange |
https://nomecomputador/EWS |
|
Para obter mais informações sobre como configurar diretórios virtuais, consulte os seguintes tópicos:
Visão geral de redirecionamento
Usuários do Outlook Web Access que acessam um servidor de Acesso para Cliente voltado para a Internet que esteja em um site do Active Directory diferente do site que contém suas caixas de correio podem ser redirecionados para o servidor de Acesso para Cliente que está no mesmo site que o servidor Caixa de Correio, se esse servidor de Acesso para Cliente for voltado para a Internet. Quando um usuário do Outlook Web Access tentar se conectar a um servidor de Acesso para Cliente que esteja fora do site do Active Directory que contém seu servidor Caixa de Correio, ele verá uma página da Web que contém um link para o servidor de Acesso para Cliente correto de sua caixa de correio.
A figura a seguir ilustra como o redirecionamento funciona em uma organização que tenha vários servidores de Acesso para Cliente em vários sites do Active Directory.
Redirecionamento para Outlook Web Access no Exchange 2007
Na figura anterior, a caixa de correio do Usuário 1 está localizada no servidor Caixa de Correio 01. A caixa de correio do Usuário 2 está localizada no servidor Caixa de Correio 02, e a caixa de correio do Usuário 3 está localizada no servidor Caixa de Correio 03. O Usuário 1 pode acessar sua caixa de correio por meio do servidor de Acesso para Cliente 01 sem usar o redirecionamento. Se o Usuário 1 tentar acessar o servidor de Acesso para Cliente 02, o navegador exibirá uma mensagem incluindo a URL correta do seu servidor de Acesso para Cliente. Será solicitado que o usuário clique na URL do Outlook Web Access do seu servidor de Acesso para Cliente. O usuário não será redirecionado automaticamente. Se o Usuário 3 tentar acessar o servidor de Acesso para Cliente 02, esse servidor vai executar proxy da solicitação para o servidor de Acesso para Cliente 03. O servidor de Acesso para Cliente 03 não é voltado para a Internet, mas pode receber solicitações de outros servidores dentro do firewall. A intermediação por proxy não fica visível ao usuário.
Dica
O redirecionamento tem suporte apenas para clientes que usam o Outlook Web Access. Clientes que usam Exchange ActiveSync, POP3 e IMAP4 não podem usar o redirecionamento. Clientes que usam Serviços Web usarão o serviço de Descoberta Automática para determinar as configurações corretas do servidor de Acesso para Cliente.
Dica
Quando você instala o Exchange 2007, quatro diretórios virtuais são criados para o Outlook Web Access: owa, Exchange, Public e ExchWeb. O diretório virtual owa fornece acesso às caixas de correio do Exchange 2007. Os diretórios virtuais Exchange e Public fornecem acesso às caixas de correio do Exchange 2003. Se um usuário que tenha uma caixa de correio em um servidor Exchange 2003 efetuar logon usando https://nome servidor/owa, ele receberá um erro informando que sua caixa de correio está em um servidor Exchange 2003. Ele deve usar o diretório virtual Exchange. Se ele efetuar logon usando https://nome servidor/Exchange, o servidor de Acesso para Cliente do Exchange 2007 efetuará o proxy de sua solicitação para o servidor de caixa de correio do Exchange 2003. Se um usuário que tenha uma caixa de correio em Exchange 2007 acessar Outlook Web Access usando https:///nome servidor/owa, ele poderá acessar diretamente sua caixa de correio. Se ele efetuar logon no Outlook Web Access usando https://nome servidor/Exchange, ele será redirecionado para https://nome servidor/owa.
Configurando o redirecionamento
Se seu servidor de Acesso para Cliente for voltado para a Internet, defina a propriedade ExternalURL nos diretórios virtuais do Outlook Web Access usando o Console de Gerenciamento do Exchange ou o Shell de Gerenciamento do Exchange. A propriedade InternalURL é configurada automaticamente durante a instalação inicial do Exchange 2007 e raramente terá que ser alterada. As duas tabelas a seguir listam as configurações de ExternalURL e InternalURL para servidores de Acesso para Clientes em dois sites do Active Directory para a Contoso. Os dois sites são www.usa.contoso.com e www.europe.contoso.com.
Dica
Se novos diretórios virtuais do Outlook Web Access forem criados usando o Shell de Gerenciamento do Exchange, você deverá configurar manualmente a propriedade InternalURL nesses diretórios virtuais.
Para obter mais informações sobre como gerenciar os diretórios virtuais do Outlook Web Access, consulte Gerenciando diretórios virtuais do Outlook Web Access no Exchange 2007.
Configurações de InternalURL e ExternalURL de redirecionamento para um servidor de Acesso para Cliente voltado para a Internet no site usa.contoso.com
Serviço do Exchange 2007 | Configuração de InternalURL | Configuração de ExternalURL |
---|---|---|
Outlook Web Access |
https://nomecomputador/OWA |
https://www.usa.contoso.com/OWA |
Configurações de InternalURL e ExternalURL de redirecionamento para um servidor de Acesso para Cliente voltado para a Internet no site europe.contoso.com
Serviço do Exchange 2007 | Configuração de InternalURL | Configuração de ExternalURL |
---|---|---|
Outlook Web Access |
https://nomecomputador/OWA |
https://www.europe.contoso.com/OWA |
Desabilitando o redirecionamento
Se sua organização possuir vários sites do Active Directory voltados para a Internet, e a conexão à Internet de um desses sites estiver desabilitada, você poderá desabilitar o redirecionamento temporariamente e configurar, em vez disso, o Outlook Web Access para usar a intermediação por proxy. Depois que a conexão à Internet do site for restaurada, você poderá reiniciar o redirecionamento. Você pode desabilitar o redirecionamento usando o cmdlet Set-OWAVirtualDirectory com a seguinte sintaxe:
set-owavirtualdirectory "owa (default web site)" -RedirectToOptimalOWAServer $false
Para restaurar o redirecionamento, use o mesmo cmdlet e altere o parâmetro RedirectToOptimalOWAServer para $true
.
Intermediação por proxy com Balanceamento de Carga da Rede
Em uma organização que tenha vários sites do Active Directory e vários servidores de Acesso para Cliente em cada site, você pode usar o Balanceamento de Carga de Rede (NLB) para distribuir o tráfego entre os servidores de Acesso para Cliente de cada site para obter redundância de failover. Nós não oferecemos suporte à inclusão de servidores de Acesso para Cliente de sites diferentes do Active Directory dentro da mesma matriz de balanceamento de carga. Você pode implantar o NLB em um site do Active Directory voltado para a Internet e em um site do Active Directory que não seja voltado para Internet. A figura a seguir ilustra dois sites do Active Directory que implementam o NLB.
A intermediação por proxy é uma organização que usa NLB
A tabela a seguir lista as configurações dos diretórios virtuais que estão nos servidores de Acesso para Cliente CAS-01 e CAS-02 para o site do Active Directory voltado para a Internet, www.contoso.com.
Configurações do diretório virtual para servidores de Acesso para Cliente voltados para a Internet em uma organização que usa NLB
Diretório virtual | Configuração de InternalURL | Configuração de ExternalURL | Método de autenticação |
---|---|---|---|
/OWA |
https://nomecomputador/OWA |
https://www.contoso.com/OWA |
Se o Servidor ISA (Internet Security and Acceleration) estiver usando autenticação baseada em formulários, o Outlook Web Access deverá usar a autenticação Integrada do Windows. Se a autenticação não estiver sendo feita no computador Servidor ISA, o Outlook Web Access deverá ser configurado com autenticação baseada em formulários. |
/OAB |
https://nomecomputador/OAB |
https://www.contoso.com /OAB |
Autenticação Integrada do Windows |
/UnifiedMessaging |
https://nomecomputador/UnifiedMessaging |
https://www.contoso.com /UnifiedMessaging |
Autenticação Integrada do Windows |
/Microsoft-Server-ActiveSync |
https://nomecomputador/Microsoft-Server-ActiveSync |
https://www.contoso.com/Microsoft-Server-ActiveSync |
Autenticação Integrada do Windows |
/EWS |
https://nomecomputador/EWS |
https://www.contoso.com/EWS |
Autenticação Integrada do Windows |
Observação Ao configurar seu firewall, você deve configurar Afinidade IP para que o proxy funcione para Serviços Web do Exchange e Outlook Web Access. A Afinidade IP permite que uma solicitação originada de um computador seja sempre intermediada por proxy para o mesmo computador de destino.
O site do Active Directory que não é voltado para a Internet possui três servidores: CAS-03, CAS-04 e CAS-05. A tabela a seguir lista as configurações dos diretórios virtuais de todos os três servidores.
Configurações do diretório virtual para servidores de Acesso para Cliente que não são voltados para a Internet em uma organização que usa NLB
Diretório virtual | Configuração de InternalURL | Configuração de ExternalURL | Configuração de NLBBypassURL | Método de autenticação |
---|---|---|---|---|
/OWA |
https://nomecomputador/OWA |
|
$Null |
Autenticação Integrada do Windows |
/OAB |
https://nomeNLB/OAB |
|
$Null |
Autenticação Integrada do Windows |
/UnifiedMessaging |
https://nomeNLB/UnifiedMessaging |
|
$Null |
Autenticação Integrada do Windows |
/Microsoft-Server-ActiveSync |
https://homeNLB/Microsoft-Server-ActiveSync |
|
$Null |
Autenticação Integrada do Windows |
/EWS |
https://nomeNLB/EWS |
|
https://nomecomputador/EWS |
Autenticação Integrada do Windows |
Dica
Para Serviços Web do Exchange e Outlook Web Access, também é necessário habilitar a autenticação Kerberos.
A propriedade ExternalURL de todos os diretórios virtuais deve ser definida como $Null
. Se a propriedade ExternalURL não for definida como $Null
, os servidores de Acesso para Cliente que não são voltados para a Internet operarão como se estivessem expostos à Internet e impedirão que os clientes se conectem a esses servidores com êxito ou sejam redirecionados para esses servidores.
A forma como o Outlook Web Access e os Serviços Web do Exchange tratam o balanceamento de carga é diferente da forma de tratamento do serviço de Disponibilidade e do Exchange ActiveSync. O Outlook Web Access e os Serviços Web do Exchange implementam seu próprio balanceamento de carga ao fazer proxy para um site com vários servidores de Acesso para Cliente. Se um usuário tentar acessar o Outlook Web Access por https://www.contoso.com/owa e for intermediado por proxy para um site do Active Directory que não esteja voltado para a Internet e que contenha CAS-01, CAS-02 e CAS-03, e for intermediado por proxy para o CAS-01 pela primeira vez, ele sempre será intermediado por proxy para CAS-01, mesmo que o CAS-02 tenha menos conexões simultâneas. Se o CAS-01 não estiver disponível, o usuário será intermediado por proxy para o CAS-02.
Dica
Para Outlook Web Access e Serviços Web do Exchange, o firewall deve ser configurado para Afinidade IP ou baseada em cookies. Esse é o processo pelo qual um aplicativo cliente específico se conecta sempre ao mesmo endereço IP. Isso é necessário para que a negociação SSL não seja executada repeditamente para cada solicitação.
O processo é diferente para o Exchange ActiveSync. Quando um servidor de Acesso para Cliente voltado para a Internet faz uma intemediação por proxy para um servidor de Acesso para Cliente que não seja voltado para a Internet, a conexão é mantida usando as informações armazenadas na conta do Administrador local. Essa conexão pode ser usada por outras solicitações. Em uma situação de Balanceamento de Carga de Rede, os servidores de Acesso para Cliente do NLB voltado para a Internet estabelecerão conexões com os servidores de Acesso para Cliente do NLB que não é voltado para a Internet. O número de conexões será igual ao número de servidores de Acesso para Cliente do site de destino do Active Directory. Recomendamos a implementação de balanceamento de carga round robin na matriz NLB.
Dica
Recomendamos que você implemente o Balanceamento de Carga de Rede nos sites do Active Directory voltados para a Internet e nos sites que não sejam voltados para a Internet. Em um site do Active Directory que não seja voltado para a Internet e que não tenha o Balanceamento de Carga de Rede, se um dos servidores de Acesso para Cliente do site não estiver disponível, qualquer cliente do Exchange ActiveSync que tenha sido intermediado por proxy para esse servidor de Acesso para Cliente anteriormente falhará até que o servidor de Acesso para Cliente fique disponível novamente. O estado de sincronização do Exchange ActiveSync é armazenado na caixa de correio do cliente. Portanto, se um cliente é intermediado por proxy para o CAS-02 na primeira vez que se conectar, ele será intermediado por proxy para o CAS-02 toda vez que se conectar.
Para obter mais informações sobre Balanceamento de Carga da Rede, consulte a documentação do Windows Server 2003.
Dica
Em muitas implantações, a instalação da função de servidor Acesso para Cliente e a da função de servidor Transporte de Hub estão no mesmo computador. Nessa topologia, você pode configurar o Balanceamento de Carga de Rede para a função de servidor Acesso para Cliente separadamente da função de servidor Transporte de Hub. Não há suporte para o Balanceamento de Carga de Rede no momento na função de servidor Transporte de Hub. No entanto, ele tem suporte para a função de servidor Acesso para Cliente. Para configurar o Balanceamento de Carga de Rede para a função de servidor Acesso para Cliente e não para a função de servidor Transporte de Hub, configure as portas 80 e 443 para acesso para cliente. A função de servidor Transporte de Hub implementa sua própria alta disponibilidade no software.
Resumo dos métodos de Acesso para Cliente
A tabela a seguir resume os protocolos usados para acessar o Exchange 2007 e como eles são usados para intermediação por proxy e redirecionamento.
Protocolos de Acesso para Cliente para redirecionamento e intermediação por proxy
Protocolo | Servidor de Acesso para Cliente para comunicação do servidor Caixa de Correio aceito entre sites do Active Directory | Redirecionamento aceito entre servidores de Acesso para Cliente | Intermediação por proxy aceita entre servidores de Acesso para Cliente | Comments |
---|---|---|---|---|
Outlook Web Access |
Não |
Sim |
Sim |
É necessário que haja um servidor de Acesso para Cliente em cada site do Active Directory que contenha um servidor de Caixa de Correio e em cada site do Active Directory voltado para a Internet para usar o Outlook Web Access. |
Exchange ActiveSync |
Não |
Use o serviço Descoberta Automática para determinar o ponto de extremidade correto do servidor de Acesso para Cliente. |
Sim |
É necessário ter um servidor de Acesso para Cliente em cada site do Active Directory para usar o Exchange ActiveSync. |
Serviços Web do Exchange |
Sim na RTM, Não no SP1 |
Use o serviço Descoberta Automática para determinar o ponto de extremidade correto do servidor de Acesso para Cliente. |
Não para RTM, Sim para SP1 |
É necessário ter um servidor de Acesso para Cliente em cada site do Active Directory para usar os Serviços Web do Exchange. |
Serviço de Disponibilidade (usado pelo Office Outlook 2007) |
Não |
Use o serviço Descoberta Automática para determinar o ponto de extremidade correto do servidor de Acesso para Cliente. |
Sim |
É necessário ter um servidor de Acesso para Cliente em cada site do Active Directory para usar o serviço de Disponibilidade. |
Outlook Em qualquer lugar (RPC em HTTP) |
Sim, com RPC |
Não |
Não se aplica |
Não se aplica |
WebDAV e Exchange 2000 Server ou Exchange 2003 |
Sim, em HTTP |
Não |
Não se aplica |
Não se aplica |
POP3 e IMAP4 |
Não |
Não |
Não |
Clientes POP3 e IMAP4 devem acessar o servidor de Acesso para Cliente no mesmo site do Active Directory que sua caixa de correio. |
Desempenho e escalabilidade da intermediação por proxy
Em um ambiente de intermediação por proxy do Exchange 2007, um desempenho insatisfatório pode resultar quando os servidores de Acesso para Cliente recebem muitas solicitações concorrentes. Esse problema é freqüentemente causado pela exaustão dos threads e das conexões disponíveis, devido às solicitações de serviços Web recebidas de ASP.NET. Isso pode fazer com que o servidor de Acesso para Cliente negue solicitações ou apresente alta latência enquanto as solicitações estão sendo processadas.
Para solucionar esses problemas, você pode configurar vários parâmetros ASP.NET, editando o arquivo Machine.config nos computadores dos servidores de Acesso para Cliente. Para obter mais informações sobre como configurar esses parâmetros, consulte o artigo 821268 da Base de Dados de Conhecimento Microsoft, Contention, poor performance, and deadlocks when you make Web service requests from ASP.NET applications (em inglês).
Dois dos parâmetros que são explicados no artigo da Base de Dados de Conhecimento anterior devem ser definidos de forma diferente em um ambiente de intermediação por proxy do Exchange 2007. Recomendamos que você permita 36 threads por processador e que você defina o valor maxconnections como 2000.
Para obter mais informações sobre o desempenho do servidor, consulte o tópico a seguir:
Para obter mais informações
Para obter mais informações, consulte os tópicos a seguir: