配置邮件流和客户端访问
适用于: Exchange Server 2013
Exchange Server 2013 邮件流和客户端访问的安装后任务,包括如何配置 SSL 证书。
在组织中安装 Microsoft Exchange Server 2013 后,需要为邮件流和客户端访问配置 Exchange Server 2013。 如果没有这些附加步骤,你将无法将邮件发送到 Internet 和外部客户端(如Microsoft Outlook 和 Exchange ActiveSync 设备将无法连接到 Exchange 组织)。
本主题中的步骤假设执行基本 Exchange 部署,该部署具有一个 Active Directory 站点和一个简单邮件传输协议 (SMTP) 命名空间。
重要
本主题使用 Ex2013CAS、contoso.com、mail.contoso.com 和 172.16.10.11 等示例值。 请将示例值替换为您组织的服务器名称、FQDN 和 IP 地址。
有关与邮件流、客户端和设备相关的其他管理任务,请参阅邮件流和客户端和移动。
开始前,有必要了解什么?
估计完成该任务的时间:50 分钟
本主题中的过程需要特定权限。 请参阅每个过程,以了解其权限信息。
在客户端访问服务器上配置安全套接字层 (SSL) 证书之前, (EAC) 网站连接到 Exchange 管理中心时,可能会收到证书警告。 本主题稍后会向您展示如何执行此操作。
若要了解本主题中的过程可能适用的键盘快捷键,请参阅 Exchange 管理中心内的键盘快捷键。
重要
每个组织在 Active Directory 林中都需要至少一台客户端访问服务器和一台邮箱服务器。 另外,每个包含邮箱服务器的 Active Directory 站点还必须包含至少一台客户端访问服务器。 如果您要分隔服务器角色,我们建议您先安装邮箱服务器角色。
提示
是否有任何疑问? 在 Exchange 论坛中寻求帮助。 访问 Exchange Server 上的论坛。
步骤 1:创建“发送”连接器
你必须先获得权限,然后才能执行此过程或多个过程。 若要查看所需的权限,请参阅 邮件流权限主题中的"发送连接器"条目。
您需要在邮箱服务器上创建发送连接器,才能将邮件发送到 Internet。 执行以下操作。
浏览至您的客户端访问服务器的 URL,打开 EAC。 例如,
https://Ex2013CAS/ECP
。在 “域\用户名 ”和“ 密码” 中输入用户名和密码,然后单击“ 登录”。
转到 “邮件流>发送连接器”。 在 “发送连接器 ”页上,单击“ 新建。
在“新建发送连接器”向导中,指定发送连接器的名称,然后选择“Internet”。 单击“下一步”。
请确认“与收件人域关联的 MX 记录”处于选中状态。 单击下一个。
在“地址空间”下,单击“。 在“添加域”窗口中,请确保在“类型”字段中选中“SMTP”。 在“完全限定域名 (FQDN)”字段中,输入 *。 单击保存。
确保未选择“作用域发送连接器”,然后单击“下一步”。
在“源服务器”下,单击“。 在“选择服务器”窗口中,选择一个邮箱服务器。 选择该服务器后,单击“添加”,然后单击“确定”。
单击“完成”。
注意
安装 Exchange 2013 时会创建默认入站接收连接器。 此接收连接器接受来自外部服务器的匿名 SMTP 连接。 如果这是您想要的功能,那么您无需完成任何其他配置。 如果要限制来自外部服务器的入站连接,请修改 客户端访问服务器上的默认前端 <客户端访问服务器> 接收连接器。
如何知道已成功创建出站发送连接器?
若要验证是否已成功创建出站发送连接器,请执行以下步骤:
在 EAC 中,验证新的发送连接器是否显示在 邮件流>发送连接器中。
打开 Outlook Web App,并向外部收件人发送一封邮件。 如果收件人收到了此邮件,那么您已经成功配置发送连接器。
步骤 2:添加其他接受的域
你必须先获得权限,然后才能执行此过程或多个过程。 若要查看所需的权限,请参阅 邮件流权限主题中的"接受域"条目。
默认情况下,在 Active Directory 林中部署新的 Exchange 2013 组织时,Exchange 将使用运行安装程序 /PrepareAD 的 Active Directory 域的域名。 如果您希望收件人可以接收来自其他域的邮件,以及将邮件发送到其他域,那么您必须将该域添加为接受域。 在下一步骤中,还必须将该域添加为默认电子邮件地址策略中的主 SMTP 地址。
重要
对于您通过它接受 Internet 电子邮件的每个 SMTP 域来说,要求有公用域名系统 (DNS) MX 资源记录。 每条 MX 记录应解析为接收组织电子邮件的面向 Internet 的服务器。
浏览至您的客户端访问服务器的 URL,打开 EAC。 例如,
https://Ex2013CAS/ECP
。在 “域\用户名 ”和“ 密码” 中输入用户名和密码,然后单击“ 登录”。
转到 “邮件流>接受的域”。 在 “接受的域 ”页上,单击“ 新建。
在“新建接受域”向导中,指定接受域的名称。
在 “接受域” 字段中,指定要添加的 SMTP 收件人域。 例如,contoso.com。
选择“权威域”,然后单击“保存”。
如何知道已成功添加其他接受域?
在 EAC 中,验证新的接受域是否显示在 邮件流>接受域中。
步骤 3:配置默认电子邮件地址策略
你必须先获得权限,然后才能执行此过程或多个过程。 若要查看所需的权限,请参阅 电子邮件地址和通讯簿权限主题中的"电子邮件地址策略"条目。
如果您在之前步骤中添加了接受域,并且您希望将该域添加到组织中的所有收件人,那么您需要更新默认的电子邮件地址策略。
浏览至您的客户端访问服务器的 URL,打开 EAC。 例如,
https://Ex2013CAS/ECP
。在 “域\用户名 ”和“ 密码” 中输入用户名和密码,然后单击“ 登录”。
转到 “邮件流>”“电子邮件地址策略”。 在 “电子邮件地址策略 ”页上,选择“ 默认策略 ”,然后单击“ 编辑。
在“默认策略电子邮件地址策略”页中,单击“电子邮件地址格式”。
在 “电子邮件地址格式”下,单击要更改的 SMTP 地址,然后单击“ 编辑。
在“电子邮件地址格式”页面的“电子邮件地址参数”字段中,指定您要应用到 Exchange 组织中所有收件人的 SMTP 收件人域。 该域必须与您在之前步骤中添加的接受域相匹配。 例如,@contoso.com。 单击保存。
单击“保存”。
在“默认策略”详细信息窗格中,单击“应用”。
注意
我们建议您配置与每个用户的主电子邮件地址匹配的用户主体名称 (UPN)。 如果未提供与用户的电子邮件地址匹配的 UPN,则除了电子邮件地址外,用户还需要手动提供其域\用户名或 UPN。 如果他们的 UPN 与电子邮件地址相匹配,那么 Outlook Web App、ActiveSync 和 Outlook 会自动将他们的电子邮件地址与 UPN 相匹配。
如何知道已成功配置默认电子邮件地址策略?
若要验证是否已成功配置默认电子邮件地址策略,请执行以下步骤:
在 EAC 中,转到 “收件人>邮箱”。
选择一个邮箱,然后在收件人详细信息窗格中,验证“用户邮箱”字段是否已设置为新接受域>的别名<@><。 例如,david@contoso.com。
或者,您可以新建一个邮箱并通过下列操作确认向该邮箱提供具有新接受域的电子邮件地址:
转到 “收件人>邮箱”,单击“ 新建 然后选择 “用户邮箱”。
在新建用户邮箱页面,提供新建邮箱所需的信息。 单击保存。
选择新邮箱,然后在收件人详细信息窗格中,验证“用户邮箱”字段是否已设置为新接受域>的别名<@><。 例如,david@contoso.com。
步骤 4:配置外部 URL
你必须先获得权限,然后才能执行此过程或多个过程。 若要查看所需的权限,请参阅客户端和移动设备权限主题中的“<服务>虚拟目录设置”条目。
在客户端可以从 Internet 连接到新服务器之前,需要在客户端访问服务器的虚拟目录上配置外部域或 URL,然后配置公共域名服务 (DNS) 记录。 以下步骤对每个虚拟目录的外部 URL 配置相同的外部域。 如果您要对一个或多个虚拟目录外部 URL 配置不同外部域,那么您需要手动配置外部 URL。 有关详细信息,请参阅虚拟目录管理。
浏览至您的客户端访问服务器的 URL,打开 EAC。 例如,
https://Ex2013CAS/ECP
。在 “域\用户名 ”和“ 密码” 中输入用户名和密码,然后单击“ 登录”。
转到 “服务器>服务器”,选择面向 Internet 的客户端访问服务器的名称,然后单击“ 编辑。
单击“Outlook 无处不在”。
在“指定外部主机名”字段中,指定外部可访问的客户端访问服务器的 FQDN。 例如,mail.contoso.com。
在此处,我们还要设置客户端访问服务器的内部可访问的 FQDN。 在“指定内部主机名”字段中,插入在上一步中使用的 FQDN。 例如,mail.contoso.com。
单击保存。
转到 “服务器>”“虚拟目录 ”,然后单击“ 配置外部访问域。
在 “选择要与外部 URL 一起使用的客户端访问服务器”下,单击“ 添加
选择要配置的客户端访问服务器,然后单击“ 添加”。 添加要配置的所有客户端访问服务器后,单击“ 确定”。
在“输入将与外部客户端访问服务器一起使用的域名”中键入要应用的外部域。 例如,mail.contoso.com。 单击保存。
注意
有些组织的 Outlook Web App FQDN 是唯一的,可保护用户免受基础服务器 FQDN 变更的影响。 许多组织为 Outlook Web App FQDN 使用 owa.contoso.com 而非 mail.contoso.com。 如果要配置唯一的 Outlook Web App FQDN,请在完成上一步后执行以下步骤。 此检查表假定你已配置唯一的 Outlook Web App FQDN。
- 选择“ owa” (“默认网站”) ,然后单击“ 编辑。
- 在“外部 URL”中,键入 https://,再键入要使用的唯一 Outlook Web App FQDN,然后加上 /owa。 例如,
https://owa.contoso.com/owa
。 - 单击保存。
- 选择 “ecp (默认网站) ,然后单击 ”编辑。
- 在“外部 URL”中,键入 https://,再键入上一步中指定的相同 Outlook Web App FQDN,然后加上 /ecp。 例如,
https://owa.contoso.com/ecp
。 - 单击保存。
对客户端访问服务器虚拟目录配置了外部 URL 之后,您需要为自动发现、Outlook Web App 和邮件流配置公共 DNS 记录。 公共 DNS 记录应指向面向 Internet 的客户端访问服务器的外部 IP 地址或 FQDN,并且使用您在客户端访问服务器上配置的可从外部访问的 FQDN。 以下是建议创建的用于启用邮件流和外部客户端连接的 DNS 记录示例。
FQDN | DNS 记录类型 | 值 |
---|---|---|
Contoso.com | MX | Mail.contoso.com |
Mail.contoso.com | A | 172.16.10.11 |
Owa.contoso.com | CNAME | Mail.contoso.com |
Autodiscover.contoso.com | CNAME | Mail.contoso.com |
如何知道已成功配置外部 URL?
若要验证是否已在客户端访问服务器虚拟目录上成功配置外部 URL,请执行以下步骤:
在 EAC 中,转到 “服务器>虚拟目录”。
在“选择服务器”字段中,选择面向 Internet 的客户端访问服务器。
选择虚拟目录,然后在虚拟目录详细信息窗格中确认“外部 URL”字段中填充了正确的 FQDN 和服务,如下所示:
虚拟目录 外部 URL 值 自动发现 未显示外部 URL ECP https://owa.contoso.com/ecp
EWS https://mail.contoso.com/EWS/Exchange.asmx
Microsoft-Server-ActiveSync https://mail.contoso.com/Microsoft-Server-ActiveSync
OAB https://mail.contoso.com/OAB
OWA https://owa.contoso.com/owa
PowerShell http://mail.contoso.com/PowerShell
若要验证是否已成功配置公共 DNS 记录,请执行以下步骤:
打开命令提示符,运行
nslookup.exe
。更改为可以查询公共 DNS 区域的 DNS 服务器。
在
nslookup
中,查找你创建的每个 FQDN 的记录。 验证为每个 FQDN 返回的值是否正确。在
nslookup
中,键入set type=mx
并查找在步骤 1 中添加的接受域。 确认返回的值与客户端访问服务器的 FQDN 匹配。
步骤 5:配置内部 URL
你必须先获得权限,然后才能执行此过程或多个过程。 若要查看所需的权限,请参阅客户端和移动设备权限主题中的“<服务>虚拟目录设置”条目。
在客户端可以从你的网络连接到新服务器之前,需要在客户端访问服务器的虚拟目录上配置内部域或 URL,然后配置专用域名服务 (DNS) 记录。
执行以下过程,可以选择是让用户在 Intranet 和 Internet 上使用相同 URL,还是使用不同 URL 来访问 Exchange 服务器。 具体选择视已准备就绪或要实现的寻址方案而定。 若要实现新的寻址方案,建议使用相同的内部和外部 URL。 使用相同的 URL,可以让用户更轻松地访问 Exchange 服务器,因为只需记住一个地址。 不管选择是什么,都务必要为配置的地址空间配置专用 DNS 区域。 若要详细了解如何管理 DNS 区域,请参阅管理 DNS 服务器。
有关虚拟目录的内部和外部 URL 的更多信息,请参阅虚拟目录管理。
将内部和外部 URL 配置为相同
打开客户端访问服务器上的 Exchange 命令行管理程序。
将客户端访问服务器的主机名存储在一个变量中,以便在下一步使用。 例如,Ex2013CAS。
$HostName = "Ex2013CAS"
在 Shell 中运行以下命令,将每个内部 URL 配置为匹配虚拟目录的外部 URL。
Set-EcpVirtualDirectory "$HostName\ECP (Default Web Site)" -InternalUrl ((Get-EcpVirtualDirectory "$HostName\ECP (Default Web Site)").ExternalUrl) Set-WebServicesVirtualDirectory "$HostName\EWS (Default Web Site)" -InternalUrl ((get-WebServicesVirtualDirectory "$HostName\EWS (Default Web Site)").ExternalUrl) Set-ActiveSyncVirtualDirectory "$HostName\Microsoft-Server-ActiveSync (Default Web Site)" -InternalUrl ((Get-ActiveSyncVirtualDirectory "$HostName\Microsoft-Server-ActiveSync (Default Web Site)").ExternalUrl) Set-OabVirtualDirectory "$HostName\OAB (Default Web Site)" -InternalUrl ((Get-OabVirtualDirectory "$HostName\OAB (Default Web Site)").ExternalUrl) Set-OwaVirtualDirectory "$HostName\OWA (Default Web Site)" -InternalUrl ((Get-OwaVirtualDirectory "$HostName\OWA (Default Web Site)").ExternalUrl) Set-PowerShellVirtualDirectory "$HostName\PowerShell (Default Web Site)" -InternalUrl ((Get-PowerShellVirtualDirectory "$HostName\PowerShell (Default Web Site)").ExternalUrl)
虽然我们在 Shell 中,但是我们还可以配置脱机通讯簿 (OAB),使自动发现可以选择正确的虚拟目录进行 OAB 分发。 运行以下命令以执行此操作。
Get-OfflineAddressBook | Set-OfflineAddressBook -GlobalWebDistributionEnabled $True -VirtualDirectories $Null
对客户端访问服务器虚拟目录配置内部 URL 之后,您需要为 Outlook Web App 和其他连接配置专用 DNS 记录。 根据配置,需要将专用 DNS 记录配置为指向客户端访问服务器的内部或外部 IP 地址或完全限定的域名 (FQDN) 。 以下是建议创建以用于启用内部客户端连接的 DNS 记录示例。
FQDN | DNS 记录类型 | 值 |
---|---|---|
Mail.contoso.com | CNAME | Ex2013CAS.corp.contoso.com |
Owa.contoso.com | CNAME | Ex2013CAS.corp.contoso.com |
如何知道已成功配置内部 URL?
若要验证是否已在客户端访问服务器虚拟目录上成功配置内部 URL,请执行以下步骤:
在 EAC 中,转到 “服务器>虚拟目录”。
在“选择服务器”字段中,选择面向 Internet 的客户端访问服务器。
选择虚拟目录,然后单击 “编辑。
请确认“内部 URL”字段中填充的是如下所示的正确 FQDN 和服务:
虚拟目录 内部 URL 值 自动发现 未显示内部 URL ECP https://owa.contoso.com/ecp
EWS https://mail.contoso.com/EWS/Exchange.asmx
Microsoft-Server-ActiveSync https://mail.contoso.com/Microsoft-Server-ActiveSync
OAB https://mail.contoso.com/OAB
OWA https://owa.contoso.com/owa
PowerShell http://mail.contoso.com/PowerShell
若要验证是否已成功配置专用 DNS 记录,请执行以下步骤:
打开命令提示符,运行
nslookup.exe
。更改为可以查询专用 DNS 区域的 DNS 服务器。
在
nslookup
中,查找你创建的每个 FQDN 的记录。 验证为每个 FQDN 返回的值是否正确。
配置不同的内部和外部 URL
浏览至您的客户端访问服务器的 URL,打开 EAC。 例如,
https://Ex2013CAS/ECP
。转到 “服务器>”“虚拟目录”。
在“选择服务器”字段中,选择面向 Internet 的客户端访问服务器。
选择要更改的虚拟目录,然后单击 “编辑。
在“内部 URL”中,将“https://”和第一个正斜杠“/”/之间的主机名替换为您要使用的新的 FQDN。 例如,如果要将 EWS 虚拟目录 FQDN 从 Ex2013CAS.corp.contoso.com 更改为 internal.contoso.com,请将内部 URL 从
https://Ex2013CAS.corp.contoso.com/ews/exchange.asmx
更改为https://internal.contoso.com/ews/exchange.asmx
。单击保存。
为要更改的每个虚拟目录重复步骤 5 和 6。
注意
ECP 和 OWA 虚拟目录的内部 URL 必须相同。
不能在自动发现虚拟目录上设置内部 URL。
最后,我们需要打开 Shell 并配置脱机通讯簿 (OAB) ,以允许自动发现选择用于分发 OAB 的正确虚拟目录。 运行以下命令以执行此操作。
Get-OfflineAddressBook | Set-OfflineAddressBook -GlobalWebDistributionEnabled $True -VirtualDirectories $Null
对客户端访问服务器虚拟目录配置内部 URL 之后,您需要为 Outlook Web App 和其他连接配置专用 DNS 记录。 根据你的配置,需要将专用 DNS 记录配置为指向客户端访问服务器的内部或外部 IP 地址或 FQDN。 以下是建议创建以用于启用内部客户端连接的 DNS 记录示例,前提是你已将虚拟目录内部 URL 配置为使用 internal.contoso.com。
FQDN | DNS 记录类型 | 值 |
---|---|---|
internal.contoso.com | CNAME | Ex2013CAS.corp.contoso.com |
如何知道已成功配置不同的内部和外部 URL?
若要验证是否已在客户端访问服务器虚拟目录上成功配置内部 URL,请执行以下步骤:
在 EAC 中,转到 “服务器>虚拟目录”。
在“选择服务器”字段中,选择面向 Internet 的客户端访问服务器。
选择虚拟目录,然后单击 “编辑。
请确认“内部 URL”字段填充了正确的 FQDN。 例如,您可能已将内部 URL 设置为使用 internal.contoso.com。
虚拟目录 内部 URL 值 自动发现 未显示内部 URL ECP https://internal.contoso.com/ecp
EWS https://internal.contoso.com/EWS/Exchange.asmx
Microsoft-Server-ActiveSync https://internal.contoso.com/Microsoft-Server-ActiveSync
OAB https://internal.contoso.com/OAB
OWA https://internal.contoso.com/owa
PowerShell http://internal.contoso.com/PowerShell
若要验证是否已成功配置专用 DNS 记录,请执行以下步骤:
打开命令提示符,运行
nslookup.exe
。更改为可以查询专用 DNS 区域的 DNS 服务器。
在
nslookup
中,查找你创建的每个 FQDN 的记录。 验证为每个 FQDN 返回的值是否正确。
步骤 6:配置 SSL 证书
你必须先获得权限,然后才能执行此过程或多个过程。 若要查看所需的权限,请参阅 邮件流权限主题中的"证书管理"条目。
某些服务(如 Outlook Anywhere 和 Exchange ActiveSync)要求在 Exchange 2013 服务器上配置证书。 以下步骤向您展示了如何配置来自第三方证书颁发机构 (CA) 的 SSL 证书:
浏览至您的客户端访问服务器的 URL,打开 EAC。 例如,
https://Ex2013CAS/ECP
。在 “域\用户名 ”和“ 密码” 中输入用户名和密码,然后单击“ 登录”。
转到 “服务器>证书”。 在“ 证书 ”页上,确保在 “选择服务器” 字段中选择了“客户端访问服务器”,然后单击“ 新建。
在“新建 Exchange 证书”向导中,选择“创建从证书颁发机构获取证书的请求”,然后单击“下一步”。
指定此证书的名称,然后单击“下一步”。
如果您要申请通配符证书,请选择“申请通配符证书”,然后在“根域”字段中指定所有子域的根域。 如果您不想申请通配符证书,而是要指定要添加到证书的每个域,则将该页留空。 单击“下一步”。
单击“浏览”,指定用于存储证书的 Exchange 服务器。 您选择的服务器应是面向 Internet 的客户端访问服务器。 单击“下一步”。
对于列表中显示的每个服务,验证用户将用来连接到 Exchange 服务器的外部或内部服务器名称是否正确。 例如:
如果您配置的内部 URL 和外部 URL 相同,“Outlook Web App (从 Internet 访问)”和“Outlook Web App (从 Intranet 访问)”应显示 owa.contoso.com。 “OAB (从 Internet 访问)”和“OAB (从 Intranet 访问)”应显示 mail.contoso.com。
如果将内部 URL 配置为 internal.contoso.com,“Outlook Web App (从 Internet 访问)”应显示 owa.contoso.com,“Outlook Web App (从 Intranet 访问)”应显示 internal.contoso.com。
这些域将用于创建 SSL 证书申请。 单击“下一步”。
添加您要在 SSL 证书中包括的其他任何域。
选择您希望用作证书常用名的域,然后单击“设置为常用名”。 例如,contoso.com。 单击“下一步”。
提供有关您的组织的信息。 此信息将包含在 SSL 证书中。 单击“下一步”。
指定用于保存此证书申请的网络位置。 单击“完成”。
保存证书申请之后,将此申请提交给您的证书颁发机构 (CA)。 该机构可能是内部 CA 或第三方 CA,这取决于您的组织。 连接到客户端访问服务器的客户端必须信任您使用的 CA。 从 CA 获得证书后,请完成下列步骤:
在 EAC 的“ 服务器>证书 ”页上,选择在前面步骤中创建的证书请求。
在证书申请的详细信息窗格中,单击“状态”下面的“完成”。
在等待完成申请页面,指定 SSL 证书文件的路径,然后单击“确定”。
选择刚添加的新证书,然后单击“ 编辑。
在证书页面上,单击“服务”。
选择您要分配给此证书的服务。 至少,您应选择“SMTP”和“IIS”。 单击“保存”。
如果收到警告“是否覆盖现有默认的 SMTP 证书?”,单击“是”。
如何知道已成功添加新证书?
若要验证是否已成功添加新证书,请执行以下步骤:
在 EAC 中,转到 “服务器>证书”。
选择新建的证书,并在证书详细信息窗格中验证是否符合以下条件:
“状态”显示“有效”
“已分配到的服务”至少显示“IIS”和“SMTP”。
如何判断此任务生效?
若要验证是否已配置邮件流和外部客户端访问,请执行以下步骤:
在 Outlook 和/或 Exchange ActiveSync 设备中新建配置文件。 确认 Outlook 或移动设备成功创建了新的配置文件。
在 Outlook 或移动设备中向外部收件人发送一封信邮件。 确认外部收件人收到此邮件。
在外部收件人邮箱中回复从 Exchange 邮箱发送的此邮件。 确认 Exchange 邮箱收到此邮件。
转到
https://owa.contoso.com/owa
,并验证是否没有任何证书警告。