Поделиться через


Факторы, которые нужно учитывать при развертывании службы автообнаружения

 

Применимо к: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Последнее изменение раздела: 2007-06-12

Служба автообнаружения для сервера Microsoft Exchange Server 2007 обеспечивает автоматическую настройку профилей для клиентов Microsoft Office Outlook 2007, подключенных к среде обмена сообщениями Exchange.

Требования к топологии, предъявляемые службой автообнаружения

Чтобы служба автообнаружения правильно работала с клиентом Outlook 2007, организация Exchange должна соответствовать перечисленным ниже требованиям.

  • В среде Exchange должен быть установлен по крайней мере один сервер клиентского доступа Exchange 2007. Для работы таких компонентов сервера Exchange, как служба доступности и единая система обмена сообщениями, необходимо установить роли сервера единой системы обмена сообщениями, сервера почтовых ящиков и транспортного сервера-концентратора на сервере клиентского доступа или другом сервере.

  • Схему Exchange 2007 Active Directory необходимо применить к лесу, в котором будет работать служба автообнаружения.

Подключение к службе автообнаружения из Интернета

При предоставлении внешнего доступа к серверу Microsoft Exchange с помощью мобильного Outlook (ранее известного как RPC через HTTP), если при этом требуется автоматическая настройка клиентов Outlook 2007 с помощью службы автообнаружения, необходимо установить на сервер клиентского доступа действительный сертификат SSL, который включает как общее имя (например, mail.contoso.com), так и дополнительное имя субъекта для autodiscover.contoso.com. Дополнительные сведения о настройке сертификата SSL для использования дополнительного имени субъекта см. в разделе Инструкции по настройке сертификатов SSL для использования имен узлов сервера с доступом нескольких клиентов. Кроме того, чтобы служба автообнаружения предоставляла клиентам правильные внешние URL-адреса, необходимо правильно настроить службы Exchange, такие как служба доступности. Дополнительные сведения см. в разделе Настройка служб Exchange для службы автообнаружения.

При попытке подключения к развернутому серверу Microsoft Exchange клиент находит службу автообнаружения в Интернете, используя основной адрес домена SMTP, входящий в адрес электронной почты пользователя. Если служба автообнаружения настроена на использование имени, которое не совпадает с существующим именем узла DNS организации, URL-адресом службы автообнаружения будет либо адрес https://<адрес_домена_smtp>/autodiscover/autodiscover.xml, либо адрес https://autodiscover.<адрес_домена_smtp>/autodiscover/autodiscover.xml. Например, если адрес электронной почты пользователя — monica@contoso.com, служба автообнаружения должна быть расположена либо по адресу https://contoso.com/autodiscover.xml, либо по адресу https://autodiscover.contoso.com/autodiscover/autodiscover.xml. Это означает, что во внешней зоне DNS необходимо добавить запись узла для службы автообнаружения.

Для получения дополнительных сведений см. раздел Инструкции по настройке службы автообнаружения для доступа к Интернету.

Использование нескольких сайтов для доступа к службе автообнаружения через Интернет

При управлении часто посещаемым веб-узлом, через который также проходит почтовый трафик, службу автообнаружения рекомендуется размещать на отдельном узле. Для помещения службы автообнаружения на отдельный узел на тот же компьютер, на котором находятся другие компоненты Exchange, выполните следующие действия.

noteПримечание.
Необходимо использовать ровно один IP-адрес для каждого узла.
  1. (Необязательно) Настройка на компьютере клиентского доступа отдельного узла для размещения службы автообнаружения. Отдельный узел для размещения трафика службы автообнаружения можно создать с помощью командлета New-AutodiscoverVirtualDirectory. Это необязательное действие рекомендуется выполнить в том случае, если домен адреса SMTP совпадает с адресом корпоративного веб-узла, а корпоративный веб-узел имеет высокую посещаемость. Например, если веб-узел компании — www.contoso.com, домен электронной почты SMTP — contoso.com, а веб-узел компании (www.contoso.com) имеет высокую посещаемость, рекомендуется создать отдельный узел autodiscover.contoso.com для размещения службы автообнаружения.

  2. (Обязательно) Настройка допустимого сертификата SSL   Настройте допустимый сертификат SSL от центра сертификации, которому доверяет клиентский компьютер. Если принято решение разместить службу автообнаружения на отдельном узле, см. раздел Инструкции по настройке сертификатов SSL для использования имен узлов сервера с доступом нескольких клиентов.

  3. (Необязательно) Обновление объекта SCP. Необходимо обновить объект точки подключения службы (SCP) в службе каталогов Active Directory, чтобы указать сервер клиентского доступа и виртуальный каталог автообнаружения, к которым должны подключаться клиенты.

Для получения дополнительных сведений см. раздел Инструкции по настройке службы автообнаружения для доступа к Интернету.

На рисунке 1 приведен пример среды, в которой служба автообнаружения развернута на сайте Active Directory, отличном от сайта Active Directory, где размещены серверы Exchange.

Рисунок 1. Использование нескольких сайтов со службой автообнаружения

Несколько сайтов для службы автообнаружения

На рис. 1 межсетевой экран сервера ISA (Internet Security and Acceleration) Server 2006 публикует два узла, используя два прослушивателя Интернета. Первый узел, autodiscover.contoso.com, обеспечивает доступ к виртуальному каталогу автообнаружения на сервере клиентского доступа и назначен одному IP-адресу. Для внутреннего трафика на сервере клиентского доступа требуется настроить один прослушиватель Интернета и опубликовать на этом узле все виртуальные каталоги. Второй узел, mail.contoso.com, обеспечивает доступ к другим возможностям сервера Exchange и имеет уникальный второй IP-адрес. На этом узле виртуальный каталог автообнаружения не публикуется.

Настройка службы автообнаружения с использованием соответствия сайтов для внутренней связи

При управлении большой распределенной организацией с сайтами Active Directory, разделенными низкоскоростными сетями, для внутреннего трафика службы автообнаружения рекомендуется использовать соответствие сайтов. Чтобы использовать соответствие сайтов, необходимо указать сайты Active Directory для предпочтительного подключения клиентов к конкретным экземплярам службы автообнаружения. Указание предпочтительных сайтов Active Directory также называется настройкой области сайта.

Настройка соответствия сайтов выполняется с помощью командлета Set-ClientAccessServer. Этот командлет позволяет указывать предпочтительные сайты Active Directory для подключения к службе автообнаружения на конкретном сервере клиентского доступа. После настройки соответствия сайтов для службы автообнаружения клиент будет подключаться к указанной службе автообнаружения. Дополнительные сведения о командлете Set-ClientAccessServer см. в разделе Set-ClientAccessServer.

Рассмотрим топологию, которая включает в себя один лес с тремя сайтами, имеющими следующие имена:

  • US-contoso — сайт contoso, расположенный в Северной Америке.

  • Europe-contoso — сайт contoso, расположенный в Европе.

  • APAC-contoso — сайт contoso, расположенный в Азии.

В данном примере на каждом сайте включена служба автообнаружения, и каждой сайт содержит почтовые ящики пользователей. Сайт US-contoso соединен с сайтом Europe-contoso посредством высокоскоростного подключения. Сайт US-contoso соединен с сайтом APAC-contoso посредством низкоскоростного подключения. Сайт APAC-contoso соединен с сайтом Europe-contoso посредством высокоскоростного подключения.

С учетом этих факторов подключения можно разрешить пользователям сайтов US-contoso и Europe-contoso использовать для доступа к службе автообнаружения либо сайт US-contoso, либо сайт Europe-contoso, пользователям сайта Europe-contoso — любой сайт, а пользователям сайта APAC-contoso — либо сайт APAC-contoso, либо сайт Europe-contoso. В итоге к серверам клиентского доступа можно будет подключиться с помощью общего для всех сайтов внутреннего пространства имен.

Можно настроить область сайта для серверов клиентского доступа на сайте US-contoso, установив для них предпочтительное использование сайтов Active Directory US-contoso и Europe-contoso для доступа к службе автообнаружения, с помощью следующей команды:

Set-ClientAccessServer -Identity "us-cas" -AutodiscoverServiceInternalURI "https://internal.contoso.com/autodiscover/autodiscover.xml" -AutodiscoverServiceSiteScope "us-contoso","europe-contoso"

Можно не указывать сайты Active Directory, к которым должны подключаться пользователи для доступа к службе автообнаружения на сервере клиентского доступа на сайте Europe-contoso, так как данный сайт имеет высокоскоростное подключение к другим сайтам. С помощью следующей команды можно разрешить всем пользователям сайта Europe-Contoso для использования службы автообнаружения получать доступ к любому серверу клиентского доступа:

Set-ClientAccessServer -Identity "europe-cas" -AutodiscoverServiceInternalURI "https://internal.contoso.com/autodiscover/autodiscover.xml"

В заключение можно настроить область сайта для службы автообнаружения на серверах клиентского доступа на сайте APAC-contoso, установив для них предпочтительное использование сайтов APAC-contoso и Europe-contoso, поскольку у них имеется хорошая связь именно с этими сайтами. Для этого выполните следующую команду:

Set-ClientAccessServer -Identity "apac-cas" -AutodiscoverServiceInternalURI "https://internal.contoso.com/autodiscover/autodiscover.xml" -AutodiscoverServiceSiteScope "apac-contoso","europe-contoso"

Таким образом, если клиент сайта US-contoso, имеющий почтовый ящик, расположенный на сайте Europe-contoso, пытается получить доступ к службе автообнаружения, он может выбрать экземпляр службы либо с сайтом US-contoso, либо с сайтом Europe-contoso.

Если область сайта для службы автообнаружения не указана, клиент может вернуть параметр autodiscoverInternalUri для сайта APAC-contoso вследствие низкой скорости подключения к сайту US-contoso.

noteПримечание.
Если настройка конкретного набора сайтов Active Directory для использования клиентов не выполнена, Outlook 2007 выбирает серверы клиентского доступа для доступа к службе автообнаружения случайным образом.

Дополнительные сведения о близости сайтов см. в разделе Инструкции по настройке использования соответствия сайтов в службе автообнаружения.

Настройка службы автообнаружения для нескольких лесов

Сервер Microsoft Exchange может быть развернут с использованием нескольких лесов. Две возможные ситуации развертывания двух или нескольких лесов - это топология леса ресурсов и топология нескольких доверенных лесов. В следующих разделах описано использование службы автообнаружения в этих двух сценариях развертывания.

Настройка службы автообнаружения в топологии леса ресурсов

При использовании топологии леса ресурсов учетные записи пользователей размещаются в одном лесу (называемом лесом учетных записей пользователей), а сервер Microsoft Exchange развернут в отдельном лесу (называемом лесом ресурсов). В этом сценарии клиент обращается к Active Directory в лесу учетных записей пользователей для поиска URL-адреса службы автообнаружения. Поскольку служба размещена в лесу ресурсов, необходимо обновить Active Directory в лесу учетных записей пользователей для включения сведений, необходимых Active Directory, чтобы разрешить клиенту доступ к лесу ресурсов. Для этого в Active Directory в лесу учетных записей ресурсов необходимо создать запись указателя SCP автообнаружения. В запись указателя SCP автообнаружения входит URL-адрес протокола LDAP леса ресурсов, который используется клиентом для поиска службы автообнаружения.

Чтобы создать запись указателя SCP автообнаружения в лесу учетных записей пользователей, выполните командлет Export-AutoDiscoveryConfig из леса ресурсов, имеющего службу автообнаружения леса учетных записей пользователей. Дополнительные сведения см. в разделе Настройка службы автоматического обнаружения для нескольких лесов.

Настройка службы автообнаружения в топологии нескольких доверенных лесов

В сценарии с несколькими доверенными лесами учетные записи пользователей и сервер Microsoft Exchange разворачиваются в нескольких лесах. Доступ из одного леса в другой к таким функциональным возможностям Exchange 2007, как служба доступности и единая система обмена сообщениями, основан на использовании службы автообнаружения. Для реализации этого сценария служба автообнаружения должна быть доступна пользователям из всех доверенных лесов. Эта ситуация похожа на ситуацию леса ресурсов, за исключением того, что объект SCP автообнаружения должен быть настроен во всех лесах. Чтобы настроить объект SCP автообнаружения в топологии нескольких лесов, выполните командлет Export-AutoDiscoveryConfig из каждого леса, имеющего службу автообнаружения, для каждого конечного леса, в котором развернут сервер Microsoft Exchange. Дополнительные сведения см. в разделе Настройка службы автоматического обнаружения для нескольких лесов.

Размещенные среды и служба автообнаружения

В размещенных средах служба автообнаружения должна перенаправляться для каждого размещенного домена службами IIS. На рисунке 2 показана служба автообнаружения в размещенной среде.

Рисунок 2. Служба автообнаружения в размещенной среде Exchange

Автообнаружение в размещенной среде

Для каждого размещенного домена электронной почты необходимо установить узел с соответствующими записями DNS. Например, домен с именем contoso.no должен называться autodiscover.contoso.no, а домен с именем example.contoso.se должен называться autodiscover.contoso.se. На этом узле (см. рисунок 2) нет необходимости в виртуальных каталогах и не нужно устанавливать сертификаты SSL.

Настройте с помощью диспетчера IIS перенаправления для каждого узла на адрес https://mail.contoso.com/autodiscover/autodiscover.xml.

noteПримечание.
Эти узлы должны быть настроены только на HTTP-трафик (порт 80).

При настройке перенаправления на этих узлах следует использовать анонимный доступ и отключить доступ с проверкой подлинности. Также следует проверить, чтобы такие параметры, как на введенный выше адрес URL, в подкаталог указанного каталога и на постоянный адрес для этого ресурса не были изменены. Настройка перенаправления указанным способом позволяет обеспечить получение клиентом Outlook 2007 HTTP-ответа с кодом 302.

После настройки перенаправления клиенты Outlook 2007 будут подключаться к адресам https://contoso.no/autodiscover/ и https://autodiscover.contoso.no/autodiscover/ с помощью HTTP-запроса POST. Поскольку эти узлы недоступны, Outlook попытается сделать HTTP-запрос GET на адрес http://autodiscover.contoso.no/autodiscover.

noteПримечание.
При отправке этого запроса сведения об адресе электронной почты пользователя и пароле не посылаются.

Так как на этом сайте настроено перенаправление, служба IIS возвратит ответ о перенаправлении с кодом 302 для https://mail.contoso.com/. Клиент получит ответ и выведет пользователю запрос о принятии или отклонении перенаправления. Пользователь должен принять данный запрос. После этого клиент будет перенаправлен с помощью HTTPS-запроса POST. Действия, описанные в этом примере, не приводят к выводу предупреждений системы безопасности. В конечном итоге клиент получает необходимый ответ службы автообнаружения.

noteПримечание.
При настройке описанного выше перенаправления на новый узел не требуется установка дополнительных сертификатов SSL. Однако необходимо настроить дополнительные узлы служб IIS.

Безопасность автообнаружения

При совместном использовании отдельного узла для службы автообнаружения и сервера усовершенствованного брандмауэра, например ISA Server 2006, для ISA Server 2006 требуется настроить два прослушивателя Интернета. Веб-прослушиватели ISA Server используются для указания IP-адреса и порта, которые должен использовать клиент. Первый веб-прослушиватель используется для службы автообнаружения, а второй веб-прослушиватель используется для других функциональных возможностей Microsoft Exchange, таких как Microsoft Exchange ActiveSync и мобильный Outlook. Можно настроить сертификат SSL для отдельного узла, использующего оба веб-прослушивателя, с помощью свойства сертификата дополнительное имя субъекта. Для получения дополнительных сведений см. раздел Инструкции по настройке сертификатов SSL для использования имен узлов сервера с доступом нескольких клиентов.

По умолчанию программа установки Exchange 2007 предлагает вариант установки самозаверенного сертификата SSL. Для внешних узлов не рекомендуется использовать самозаверенные сертификаты. Рекомендуется установить сертификат от доверенного центра сертификации. Для получения дополнительных сведений о создании и использовании сертификатов SSL см. следующие разделы:

Дополнительные сведения

Для получения дополнительных сведений о службе автообнаружения см. следующие разделы: