这一章来给大家讲Outlook Anywhere,概念比较重要,但是容易混淆,大家得仔细阅读,仔细区分。
RPC over HTTP/HTTPS
首先得理解,为何在Exchange 2013当中,仅支持Outlook Anywhere的Outlook MAPI客户端连接方式。早期版本的MAPI访问依赖的是TCP的RPC协议直接连接到MBX服务器,而Exchange2013则使用HTTPS封装的RPC协议。这就意味着,如果你在当前是Ex2007或者Ex2010的环境当中,再增加一台Ex2013的服务器,那你几句得在所有的旧版本的CAS服务器上,无论是面向内部的还是外部的,都开启Outlook Anywhere。
Ex2013 CAS服务器对这块做出的更改是完全重构了一个新的代理模块,模块名应该是Httpproxy.dll,老的是叫RpcProxy.dll。所以Ex2013的CAS已经没法直接代理RPC的流量。如果一台Ex2013的CAS收到了HTTPS封装的RPC流量,那么他没法去解封装,他只认识HTTPS不认识RPC,而是将其代理给任何有rpcproxy.dll模块的服务器,比如Ex2013的MBX(MBX上有这个模块)或者是其他的早期版本的CAS服务器。
前面说的比较模糊,让我们再梳理一遍:
Ex2007或者Ex2010:
在 Exchange 2007 中,对于如 Outlook Web 服务(包括可用性服务和外出设置)及脱机通讯簿下载这样的 HTTPS 连接,Exchange 和其他 MAPI 客户端与CAS进行通信,但是对于目录服务查询,则直接与MBX上的 MAPI RPC 组件和GC上的 NSPI 终结点进行通信。
在 Exchange 2010 中,这些连接在CAS或CAS Array的 MAPI RPC 连接点上建立,提供统一的访问体验。
Exchange 2013:
收到了一个MAPI直接连接,丢弃。
收到HTTPS封装的RPC连接,查看环境中谁能解开RPC包,代理给它,默认是代理给Ex2013的MBX角色。
在Ex2007或者Ex2010的CAS,启用Outlook Anywhere可以使用Enable-OutlookAnywhere命令,比如:
Enable-OutlookAnywhere -Server ‘CAS01‘ -ExternalHostname ‘CAS01.contoso.com‘ -ClientAuthenticatioinMethod Basic -SSLOffloading $False -IISAuthenticationMethods Basic,NTLM
注意这里:如果是混合部署环境,你需要对旧版本的OutlookAnywhere为IIS身份验证方法增加一条NTLM。
当然你也可以用Exchange 管理控制台的向导来启用Outlook Anywhere,我就不多说了。
Exchange2013的Outlook Anywhere已经默认启用了,你唯一需要做的就是应用一张有效的证书给它,如果不应用证书而是一直使用默认的自签名证书,你会被客户端的抱怨给淹了…(额外说一点,这证书用不用在MBX上无所谓,因为CAS知道这些连接已经被Kerberos验证过了,所以他只关心这张证书是否能用来加密。)
MAPI over HTTP
随着时间进步,微软的产品里也慢慢的想抛弃掉RPC这种陈旧的连接方式,所以在Exchange 2013 SP1中,提出了(从O365搬来了)MAPI over HTTP这样一个新功能,也就是说,在这个新特性里去掉了RPC的封装层。将MAPI请求直接封装在HTTP请求/响应组里,省去了RPC请求/响应的步骤,如下两幅对比图。
关于Mapi Over Http我会另外再单独写篇文章如何去进行配置启用。或者等不及的你,可以先看看这个:https://technet.microsoft.com/zh-CN/library/bb123741(v=exchg.150).aspx 自己动手玩一下,我会在随后的文章里详细描述Mapi over Http是怎么干活的。
捋一捋捋一捋
OK,聊到最后,还有一些问题要细说一下:
比方我Outlook Anywhere的内外网URL不一样,在Outlook Anywhere配置的时候,我填的是外部的URL,那么如果我在内部访问,他是不是会从公网绕一圈回来?首先,你刚刚安装好Ex2013,并且配置好了自动发现,你除了去配一下Outlook Anywhere的外部URL,客户端让它自动发现并配置profile就行了。其次,如果你一定要手动去玩,OutlookAnywhere没那么笨,无论在何种环境下,他会首先去连接内部URL,不信你配好了之后,连接完成,或者这么说,至少等客户端经历过了一次Autodiscover,过会再打开那个Exchange代理设置的窗口,你会发现最上面的代理URL变成了他喵的内部URL,类似下图一样:
关于这种现象的解释请参照这里:https://support.microsoft.com/zh-cn/kb/2754898/en-us 其实也没啥解释,程序行为使然(但是注意,Outlook客户端实际上是从Autodiscover信息里,拿到了内部URL和外部URL这两个URL,只是在这个窗口里默认只显示内部URL!)
再接下来,你要给Exchange申请证书了,里面要写一些域名,你不想用通配符,而申请证书的时候,证书里面不能放入Internet上无法解析的主机名,也就是你的内部URL,怎么办?这里比较容易混淆,内部连接,客户端到Ex2013的Outlook Anywhere是RPC over HTTP,即不需要用证书建立TLS通道。外部连接,客户端用的是RPC over HTTPS,需要用证书进行加密;怎么提交域名,现在明白了吗?
你最开始的时候都是说的HTTPS,到这里又变成了HTTP和HTTPS,到底是啥情况?
我再捋一捋,最开始的时候说的是TCP协议类中的HTTP协议,以HTTPS的URL,用SSL加密封装着RPC流量。现在说的是未经过SSL加密(HTTP)和经过SSL加密的RPC流量,无论是HTTP还是HTTPS开头,对于CAS来说,他都没法拆开里面的RPC包,只能代理给MBX角色。看下边的图对比下就明白了:
下图展示了外部用户通过公网访问Exchange 2013,协议HTTP,加密SSL,URL开头https
下图展示内部用户访问Exchange 2013,HTTP连接,端口全用80,所以你现在应该知道内部用户访问用不用证书去验证DNS名了?(码打的比较厚,教育网,全是公网IP,没办法只能遮着点~)
最后一个问题,我内部URL和外部URL能一样吗?当然能,只要保证内部与外部的DNS解析到不同的内外网ip就行。
好了,终于扯完了这一堆,希望能够给你带来一些新的知识。下一章我们聊聊命名空间的设计,也就是规划Exchange2013所使用的一堆DNS命名。