「深入 Exchange 2013」05 Outlook Anywhere

这一章来给大家讲Outlook Anywhere,概念比较重要,但是容易混淆,大家得仔细阅读,仔细区分。

RPC over HTTP/HTTPS

首先得理解,为何在Exchange 2013当中,仅支持Outlook Anywhere的Outlook MAPI客户端连接方式。早期版本的MAPI访问依赖的是TCP的RPC协议直接连接到MBX服务器,而Exchange2013则使用HTTPS封装的RPC协议。这就意味着,如果你在当前是Ex2007或者Ex2010的环境当中,再增加一台Ex2013的服务器,那你几句得在所有的旧版本的CAS服务器上,无论是面向内部的还是外部的,都开启Outlook Anywhere。

Ex2013 CAS服务器对这块做出的更改是完全重构了一个新的代理模块,模块名应该是Httpproxy.dll,老的是叫RpcProxy.dll。所以Ex2013的CAS已经没法直接代理RPC的流量。如果一台Ex2013的CAS收到了HTTPS封装的RPC流量,那么他没法去解封装,他只认识HTTPS不认识RPC,而是将其代理给任何有rpcproxy.dll模块的服务器,比如Ex2013的MBX(MBX上有这个模块)或者是其他的早期版本的CAS服务器。

前面说的比较模糊,让我们再梳理一遍:

Ex2007或者Ex2010:

在 Exchange 2007 中,对于如 Outlook Web 服务(包括可用性服务和外出设置)及脱机通讯簿下载这样的 HTTPS 连接,Exchange 和其他 MAPI 客户端与CAS进行通信,但是对于目录服务查询,则直接与MBX上的 MAPI RPC 组件和GC上的 NSPI 终结点进行通信。

在 Exchange 2010 中,这些连接在CAS或CAS Array的 MAPI RPC 连接点上建立,提供统一的访问体验。

Exchange 2013:

收到了一个MAPI直接连接,丢弃。

收到HTTPS封装的RPC连接,查看环境中谁能解开RPC包,代理给它,默认是代理给Ex2013的MBX角色。

在Ex2007或者Ex2010的CAS,启用Outlook Anywhere可以使用Enable-OutlookAnywhere命令,比如:

Enable-OutlookAnywhere -Server ‘CAS01‘ -ExternalHostname ‘CAS01.contoso.com‘ -ClientAuthenticatioinMethod Basic -SSLOffloading $False -IISAuthenticationMethods Basic,NTLM

注意这里:如果是混合部署环境,你需要对旧版本的OutlookAnywhere为IIS身份验证方法增加一条NTLM。

当然你也可以用Exchange 管理控制台的向导来启用Outlook Anywhere,我就不多说了。

Exchange2013的Outlook Anywhere已经默认启用了,你唯一需要做的就是应用一张有效的证书给它,如果不应用证书而是一直使用默认的自签名证书,你会被客户端的抱怨给淹了…(额外说一点,这证书用不用在MBX上无所谓,因为CAS知道这些连接已经被Kerberos验证过了,所以他只关心这张证书是否能用来加密。)

MAPI over HTTP

随着时间进步,微软的产品里也慢慢的想抛弃掉RPC这种陈旧的连接方式,所以在Exchange 2013 SP1中,提出了(从O365搬来了)MAPI over HTTP这样一个新功能,也就是说,在这个新特性里去掉了RPC的封装层。将MAPI请求直接封装在HTTP请求/响应组里,省去了RPC请求/响应的步骤,如下两幅对比图。

关于Mapi Over Http我会另外再单独写篇文章如何去进行配置启用。或者等不及的你,可以先看看这个:https://technet.microsoft.com/zh-CN/library/bb123741(v=exchg.150).aspx 自己动手玩一下,我会在随后的文章里详细描述Mapi over Http是怎么干活的。

捋一捋捋一捋

OK,聊到最后,还有一些问题要细说一下:

比方我Outlook Anywhere的内外网URL不一样,在Outlook Anywhere配置的时候,我填的是外部的URL,那么如果我在内部访问,他是不是会从公网绕一圈回来?首先,你刚刚安装好Ex2013,并且配置好了自动发现,你除了去配一下Outlook Anywhere的外部URL,客户端让它自动发现并配置profile就行了。其次,如果你一定要手动去玩,OutlookAnywhere没那么笨,无论在何种环境下,他会首先去连接内部URL,不信你配好了之后,连接完成,或者这么说,至少等客户端经历过了一次Autodiscover,过会再打开那个Exchange代理设置的窗口,你会发现最上面的代理URL变成了他喵的内部URL,类似下图一样:

关于这种现象的解释请参照这里:https://support.microsoft.com/zh-cn/kb/2754898/en-us 其实也没啥解释,程序行为使然(但是注意,Outlook客户端实际上是从Autodiscover信息里,拿到了内部URL和外部URL这两个URL,只是在这个窗口里默认只显示内部URL!)

再接下来,你要给Exchange申请证书了,里面要写一些域名,你不想用通配符,而申请证书的时候,证书里面不能放入Internet上无法解析的主机名,也就是你的内部URL,怎么办?这里比较容易混淆,内部连接,客户端到Ex2013的Outlook Anywhere是RPC over HTTP,即不需要用证书建立TLS通道。外部连接,客户端用的是RPC over HTTPS,需要用证书进行加密;怎么提交域名,现在明白了吗?

你最开始的时候都是说的HTTPS,到这里又变成了HTTP和HTTPS,到底是啥情况?

我再捋一捋,最开始的时候说的是TCP协议类中的HTTP协议,以HTTPS的URL,用SSL加密封装着RPC流量。现在说的是未经过SSL加密(HTTP)和经过SSL加密的RPC流量,无论是HTTP还是HTTPS开头,对于CAS来说,他都没法拆开里面的RPC包,只能代理给MBX角色。看下边的图对比下就明白了:

下图展示了外部用户通过公网访问Exchange 2013,协议HTTP,加密SSL,URL开头https

下图展示内部用户访问Exchange 2013,HTTP连接,端口全用80,所以你现在应该知道内部用户访问用不用证书去验证DNS名了?(码打的比较厚,教育网,全是公网IP,没办法只能遮着点~)

最后一个问题,我内部URL和外部URL能一样吗?当然能,只要保证内部与外部的DNS解析到不同的内外网ip就行。

好了,终于扯完了这一堆,希望能够给你带来一些新的知识。下一章我们聊聊命名空间的设计,也就是规划Exchange2013所使用的一堆DNS命名。

时间: 2024-11-03 03:46:04

「深入 Exchange 2013」05 Outlook Anywhere的相关文章

「深入 Exchange 2013」MAPI over HTTP实战配置

在前面我们聊Outlook Anywhere的文章里头,我提到了MAPI over HTTP这个Exchange Server 2013 SP1中新增加的功能,这次这篇文章咱们就详细说说这个新的传输协议是什么,以及实战如何去配置它. 什么是MAPI/HTTP,有什么好处? 以前版本中(Exchange 2010),用的是RPC over HTTP(外部网络outlook anywhere)以及RPC Direct(内部网络)连接,Exchange 2013里,所有的连接都通过Outlook An

「深入 Exchange 2013」07 Autodisocver

微软在Exchange 2007里引入Autodiscover自动发现服务,意图去简化用户配置Outlook与Exchange ActiveSync的过程.Outlook的配置文件虽然可以手动配置,但是从Autodiscover会覆盖手动配置的选项,在你做出一些更改的时候,明显批量的自动下发配置更方便. Autodiscover还负责告诉Outlook当前的邮箱位置信息,Outlook会在与邮箱断开连接之后重新尝试Autodiscover.总而言之,这玩意儿跟Outlook Anywhere一样

「深入 Exchange 2013」03 内部vs外部

这一章我们来讲内部访问与外部访问. CAS是干嘛的,还不就是为了给企业网络里的内部用户,或者是给穿过防火墙连接进来的外部用户提供服务的.一些组织可能对内部和外部用户的访问都不设限制,也有一部分组织限制了外部用户的连接.也就是说,这些部署了Exchange的组织,都有这样一个可以灵活控制内/外访问的需求. 内部vs外部最主要的不同点就是客户端以哪种URL连接,并且用哪种验证方法进行身份验证.在CAS上这些设置是独立于每一种协议的,比方说当前我要查看某前端上OutlookAnyWhere的内部与外部

「深入 Exchange 2013」01 客户端访问角色架构

Exchange 2013当中CAS角色的重要性不用多说.在Exchange Server4.0.5.0和5.5版本中,都没有特定的一个客户端访问功能角色,Exchange 2000引入了前端服务器的概念(front-end),这种服务器不存放任何邮箱数据,只提供客户端连接.一直到Exchange 2007,带来了第一次CAS角色的迭代:尔后在后面的产品中不断被加强改善. 在Exchange 2007的时候,CAS角色就已经负责以下三种类型的流量: 外部连接 内部连接 被其他CAS服务器重定向,

「深入 Exchange 2013」15 TLS传输层安全

默认情况下,SMTP流量是不被加密的,这就导致在公网上进行邮件沟通就像是在广播一样,任何人拦截到该邮件都可以轻而易举的读取其内容.但是现实场景中有许多敏感信息是通过邮件来进行发送的,所以其中一种保护邮件安全的方法就是使用传输层安全协议(Transport Layer Security)来提供SMTP流量在传输中的加密,受TLS保护的SMTP流量可以让拦截/窃听者无法读取到SMTP流量的内容,但是它只提供传输过程中的保护,对于已经到达目标服务器,或者是在发件方本地服务器的邮件则没法提供保护. 有两

「深入 Exchange 2013」13 发送连接器

啥是连接器? 连接器是一种存储在AD里的对象,被Exchange的传输服务所调用,以获取邮件流的逻辑连接路径.目前版本中连接器的大部分设置都只能在Exchange Management Shell里来设置,Exchange Administration Center(EAC)里并没有包含全部的选项(哪怕是之前版本里能够在EMC里设置的).图形界面下咱们主要通过EAC里,邮件流那块里头的接收连接器选项卡和发送连接器选项卡来配置连接器.当你选择了一个连接器之后,右侧的窗格里就会出来关于改连接器的一些

「深入 Exchange 2013」10 传输服务简述

前面的内容里面,已经为大家比较深入的介绍了Exchange2013的客户端访问角色涉及到的诸多细节.在接下来的章节里就跟大家聊一聊Exchange 2013里的传输服务,这一节总共的内容都比较多,而且更偏向理论,所以咱先来一篇简述,然后再分拆开一个一个讲. 在之前的版本中,由Exchange2007引入了Hub Transport(集线器传输)角色作为所有邮件信息的传递中枢,任何发送或者接收到的邮件都必然会经过至少一个Ex2010与Ex2007的集线器传输角色:那么在Exchange2013当中

「深入 Exchange 2013」08 代理、重定向、共存

回顾一下以前讲过的东西,CAS并不直接为客户端提供邮箱连接,而是以两种方式来保证客户端连接到正确的MBX:代理或和重定向.在代理连接当中,CAS接收客户端连接并且转发给恰当的服务器:在重定向连接当中,CAS仅仅是回应客户端一个恰当的服务器的FQDN以让客户端再次发起连接. 在Exchange2013的环境中,CAS只在少数几种情况下才会进行重定向动作.这是由于重定向迫使客户端进行再次连接,这种情况不是所有的客户端种类都可以接受的. 代理 CAS代理动作在Ex2010与Ex2007被设计的略微复杂

「深入 Exchange 2013」04 负载均衡

客户端关联性(已死~) 由于之前提到的CAS架构的改动,我们提到,Exchange 2013的CAS里不再需要客户端关联性.客户端关联性就是指在一次客户端连接过程中,一直是与同一台CAS服务器进行通信:换句话说,当客户端连接到了一个特定的CAS之后,该CAS会一直对该客户端提供服务直到该连接断开为止.为了达到这个目的,CAS必须维持该会话状态,在连接过程中经过的负载均衡器(支持客户端关联性的Load Balancer)才能知道是哪一个CAS正在处理该连接,从而进行正确的分流.如果负载均衡器或者是