Chinaunix首页 | 论坛 | 博客
  • 博客访问: 11676725
  • 博文数量: 8065
  • 博客积分: 10002
  • 博客等级: 中将
  • 技术积分: 96708
  • 用 户 组: 普通用户
  • 注册时间: 2008-04-16 17:06
文章分类

全部博文(8065)

文章存档

2008年(8065)

分类: 服务器与存储

2008-07-04 15:32:11

介绍

 

Microsoft Exchange Server 2007包含了一个名叫自动发现(Autodiscover)的新Microsoft Exchange服务。该自动发现服务为那些运行Microsoft Office Outlook 2007的客户端计算机,提供配置和维护设置。自动发现服务也能够用来支持移动设备。自动发现服务的一个重要功能是,为连接到您的Microsoft Exchange邮件环境中的Outlook 2007客户端提供Microsoft Exchange功能。这些功能包括基于web的脱机地址簿、可用性服务和统一消息。为了能够实现让Outlook 2007客户端自动连接到Microsoft Exchange功能,必须正确地部署和配置自动发现服务。

 

 

自动发现服务是如何工作的

 

当您在运行Exchange 2007的计算机上安装客户端访问服务器角色的时候,会在IIS的缺省网站下创建一个名叫Autodiscover的虚拟目录。该虚拟目录处理来自Outlook 2007客户端的自动发现服务请求,有下面几种情况:

 

·        当配置或者更新新账号时

·        当用户定期检查Exchange Web服务URL更改时

·        当您的Exchange邮件环境的基本连接发生更改时

 

此外,安装客户端访问服务器角色时,将新建名为服务连接点(SCP)Active Directory对象。

 

此外,当安装客户端访问服务器角色的时候,会为每个客户端访问服务器创建一个新的服务连接点(service connection point)活动目录对象。加入域的客户端该SCP对象来查找自动发现服务。

 

当一个加入域的客户端连接到活动目录目录服务的时候,它查找安装期间创建的SCP对象。在包含多个客户端访问服务器的部署中,将为每个客户端访问服务器创建一个自动发现SCP对象。SCP对象包含serviceBindingInformation属性,该属性具有格式的客户端访问服务器的FQDN。其中CAS01是客户端访问服务器的FQDN。使用用户凭据,Outlook 2007客户端对活动目录进行身份验证并查找自动发现SCP对象,在客户端发现并枚举自动发现服务实例后,客户端连接到枚举和排序列表中的第一台客户端访问服务器,并获取具有XML格式的配置信息,需要该信息来连接用户的邮箱和可用的Microsoft Exchange功能。

 

在一个简单的拓扑中,下面描述一个Outlook 2007客户端连接到Autodiscover服务的步骤:

 

1.      Outlook 2007发送一个Lightweight Directory Access Protocol (LDAP)查询给活动目录,在客户端的活动目录站点中来查找SCP对象。

2.      当客户端找到一个适合SCP对象后,通过参考在SCP对象中的serviceBindingInformation属性,该客户端找到Autodiscover服务的URL

3.      使用该URL,客户端发起一个到Autodiscover服务的HTTP连接。

4.      Autodiscover服务查询活动目录,获取已经配置过的Exchange服务的连接设置和URLs

5.      Autodiscover服务以XML形式返回一个HTTP响应,其中包含了可用Exchange服务的连接设置和URLs

 

1显示了客户端如何首次从内部网络内连接到客户端访问服务器。

 

 

当在没有加入域的客户端上启动Outlook 2007,它首先尝试通过查找活动目录中的SCP对象去找到自动发现服务。因为客户端无法联系到活动目录,它尝试通过DNS来找到Autodiscover服务。在这种情况下,客户端将判断用户的邮件地址中的右边部分,比如是contoso.com,通过使用两个预定义的URL检查DNS。例如,如果您的SMTP域为contoso.comOutlook将使用下面两个URL来尝试连接到Autodiscover服务。

 

·        

 

·        

 

注意:为了让Outlook能够通过DNS找到自动发现服务,在DNS中必须有自动发现服务的主机记录,用来映射入口点或者公共地址到自动发现服务所在的客户端访问服务器。

 

 

下图2说明了客户端从Internet进行连接的简单拓扑:

 

 

 

通过一个Outlook 2007的更新,另外一个和DNS相关的选项是可行的。当这个软件更新后,Outlook 2007客户端将为DNS SRV记录执行一个额外的检查,来找到这样的自动发现服务,该服务不要求多个Web站点和IP地址或者一个新的统一通讯套接字层证书。尽管这仍然要求您在DNS中为了自动发现服务增加一个DNS记录,您不需要使用支持多个DNS名称的证书和或者必须第二个Web站点。

 

Outlook 2007和自动发现

 

自动发现让配置和管理Outlook 2007更容易。以前版本的ExchangeOutlook要求您手动配置所有的用户配置文件来访问Microsoft Exchange。如果邮件环境发生变化的话,需要额外的工作来管理这些配置文件。否则,Outlook客户端将停止正常运行。

 

自动发现服务使用用户的电子邮件地址或者域账号,来自动配置用户的配置文件。通过使用电子邮件地址或者域账号,自动发现服务为客户端提供下面这些信息:

 

·        用户的显示名称

 

·        内部和外部连接的单独连接设置

 

·        用户邮箱服务器的位置

 

·        各种Outlook功能的URL,这些功能管理忙/闲信息、外出时的助理程序、统一消息和脱机通讯簿等功能

 

·        Outlook Anywhere服务器设置

 

当用户的Microsoft Exchange信息更改时,Outlook将使用自动发现服务自动重新配置用户的配置文件。例如,如果移动了用户邮箱,或者客户端无法连接到用户邮箱或可用的Exchange功能,Outlook将联系自动发现服务并自动更新用户配置文件,使其具备连接到邮箱和Exchange功能所需的信息。

 

自动发现和证书

 

成功的Exchange邮件部署的一个最重要的方面是,为了增强客户端和Exchange基础结构之间的通讯,您如何配置您的安全套接字层证书。这是因为Outlook客户端和自动发现服务端点之间所有的通讯,除了这个之外,Outlook客户端和Exchange服务之间的通讯,通过安全套接字层通道发生。为了让该通讯不发生失败,您必须安装一张有效的安全套接字层证书。对于一张有效的证书来说,对于自动发现服务,它必须满足下面的条件:

 

·        客户端的信任该证书

·        名称与客户端尝试和它通讯的URL相匹配

·        该证书是最新的

 

 

理解Exchange安装过程中的自签名证书

 

当您安装客户端访问服务器角色的时候,Exchange 2007安装将检查服务器上是否已经安装了安全套接字层证书。如果没有发现安全套接字层证书的话,Exchange安装程序将在IIS中创建一张自签名的安全套接字层证书,满足加入域的客户端有效性测试。该自签名证书有一个映射到服务器的NetBIOS名称的公共名称,该证书也包含服务器的FQDN,把它作为附加的DNS名称,存储在证书的主题备用名称中。这让加入域的客户端能够成功地连接到自动发现,而不会收到任何证书告警,因为该证书没有过期,并且您要连接的服务器的FQDN存储在证书的主题备用名称中。尽管客户端无法验证自签名的证书到信任的根中,这是我们允许的唯一有效的测试,当加入域的客户端通过自签名证书连接到自动发现服务时。

 

注意:主题备用名称字段是一个特殊的字段,它允许您添加多个DNS名称到一张证书。

 

总的来说,自签名的证书允许加入域的Outlook 2007客户端在Exchange安装完成之后立即工作,并且不会有任何安全告警。然而,微软不建议长期使用自签名的证书,因为自签名证书主要用来降低获得一张正确证书的紧急性,以便Outlook 2007客户端能够立即启动来使用Exchange 2007的功能。然而,当参考一张公用名称为服务器的NetBIOS名称的证书时,Outlook Anywhere客户端和那些使用Exchange ActiveSync连接的移动设备的用户将无法连接,实际上,证书的公用名称必须是以FQDN格式,映射到那些客户端将要连接的外部DNS名称空间,例如,mail.contoso.com

 

 

注意:我们建议您立即使用一张被信任的Internet可用商业证书或者被信任的内部公钥基础结构颁发的证书来替换自签名证书。

 

因为Outlook 2007使用安全套接字层连接到自动发现,这将产生一个新的挑战,Outlook 2007客户端必须能够解析DNS名称,例如,autodiscover.contoso.com。除此之外,其他的发布的外部Exchange功能,例如Outlook Web Access或者Exchange ActiveSync,它们都可能使用一个不同的DNS名称,例如mail.contoso.com。通过使用支持主题备用名称的安全套接字层证书,这些都能够实现的。这些类型的证书通常称为统一通讯证书。

 

 


1

1

2

2

阅读(1202) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~