Exchange2010综合实验

实验环境:

六服务器拓扑

HUB和CAS角色安装在同一服务器上,两台做NLB

MBX角色安装在同一服务器上,两台做DAG

EDGE角色两台,可做NLB

服务器均为Win2008R2SP1版本,Exchange2010SP1版本

DC+DNS+CA: 10.10.11.201

MBX1: 10.10.11.202(业务) 192.168.1.1(心跳)---MBX服务器1

MBX2: 10.10.11.203(业务) 192.168.1.2(心跳)---MBX服务器2

DAG: 10.10.11.204

CASHUB1: 10.10.11.205(业务) 192.168.2.1(心跳)

CASHUB2: 10.10.11.206(业务) 192.168.2.2(心跳)

NLB: 10.10.11.207

EDGE1: 10.10.11.208

EDGE2: 10.10.11.209

NLB: 10.10.11.210

域: lf.com.cn

设置CASHUB的NLB的对外的统一域名是mail.lf.com.cn

建立CASHUB客户端访问阵列组mail.lf.com.cn

DC+DNS+CA: 10.10.11.201

运行dcpromo安装DC,设置域名为lf.com.cn,同时安装成DNS服务器

clip_image002

clip_image004

安装CA服务器,注意要将WEB注册选上一起安装

clip_image006

选择安装企业,根,新密钥,一路下一步安装完毕,最后结果如下

clip_image008

安装Exchange2010各角色的前期准备

1.CAS, HUB, MBX

Add-WindowsFeature NET-Framework,RSAT-ADDS,Web-Server,Web-Basic-Auth,Web-Windows-Auth,Web-Metabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-Process-Model,RSAT-Web-Server,Web-ISAPI-Ext,Web-Digest-Auth,Web-Dyn-Compression,NET-HTTP-Activation,RPC-Over-HTTP-Proxy -Restart

2.CAS, HUB, MBX, UM

Add-WindowsFeature NET-Framework,RSAT-ADDS,Web-Server,Web-Basic-Auth,Web-Windows-Auth,Web-Metabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-Process-Model,RSAT-Web-Server,Web-ISAPI-Ext,Web-Digest-Auth,Web-Dyn-Compression,NET-HTTP-Activation,RPC-Over-HTTP-Proxy,Desktop-Experience -Restart

3.CAS, HUB

Add-WindowsFeature NET-Framework,RSAT-ADDS,Web-Server,Web-Basic-Auth,Web-Windows-Auth,Web-Metabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-Process-Model,RSAT-Web-Server,Web-ISAPI-Ext,Web-Digest-Auth,Web-Dyn-Compression,NET-HTTP-Activation,RPC-Over-HTTP-Proxy -Restart

4.HUB, MBX

Add-WindowsFeature NET-Framework,RSAT-ADDS,Web-Server,Web-Basic-Auth,Web-Windows-Auth,Web-Metabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-Process-Model,RSAT-Web-Server -Restart

5.CAS, MBX

Add-WindowsFeature NET-Framework,RSAT-ADDS,Web-Server,Web-Basic-Auth,Web-Windows-Auth,Web-Metabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-Process-Model,RSAT-Web-Server,Web-ISAPI-Ext,Web-Digest-Auth,Web-Dyn-Compression,NET-HTTP-Activation,RPC-Over-HTTP-Proxy -Restart

6.CAS

Add-WindowsFeature NET-Framework,RSAT-ADDS,Web-Server,Web-Basic-Auth,Web-Windows-Auth,Web-Metabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-Process-Model,RSAT-Web-Server,Web-ISAPI-Ext,Web-Digest-Auth,Web-Dyn-Compression,NET-HTTP-Activation,RPC-Over-HTTP-Proxy -Restart

7.HUB or MBX

Add-WindowsFeature NET-Framework,RSAT-ADDS,Web-Server,Web-Basic-Auth,Web-Windows-Auth,Web-Metabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-Process-Model,RSAT-Web-Server -Restart

8.UM

Add-WindowsFeature NET-Framework,RSAT-ADDS,Web-Server,Web-Basic-Auth,Web-Windows-Auth,Web-Metabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-Process-Model,RSAT-Web-Server,Desktop-Experience -Restart

9.EGE

Add-WindowsFeature NET-Framework,RSAT-ADDS,ADLDS -Restart

CASHUB1: 10.10.11.205(业务) 192.168.2.1(心跳)

CASHUB2: 10.10.11.206(业务) 192.168.2.2(心跳)

NLB: 10.10.11.207

在Exchange2010的各角色中,我们应该首先安装CAS角色,此处我们把CAS和HUB服务器安装在同一台服务器上,安装准备,在CAS服务器上以管理员身份打开Windows PowerShell

输入Import-Module ServerManager clip_image010

3.CAS, HUB

Add-WindowsFeature NET-Framework,RSAT-ADDS,Web-Server,Web-Basic-Auth,Web-Windows-Auth,Web-Metabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-Process-Model,RSAT-Web-Server,Web-ISAPI-Ext,Web-Digest-Auth,Web-Dyn-Compression,NET-HTTP-Activation,RPC-Over-HTTP-Proxy -Restart

clip_image012

clip_image014

安装开始,安装完毕后会自动重新启动

红色文字为我个人理解:

CAS服务器是客户端访问服务器,无论客户端访问是通过WEB,Outlook RPC,Outlook Anywhere,各种POP3访问,都必须先连接到CAS服务器上,然后再通过CAS服务器接收或发送邮件

为了可以让公网上的用户访问自己的邮箱,需要将CAS服务器发布到外网,根据访问CAS服务器的方式不同,可能需要开通CAS服务器的80,443,110,25等端口

Exchange2010客户端不能直接访问邮箱存储

HUB服务器是集线传输服务器,负责在访问客户端,邮箱存储,其它邮局之间进行邮件的路由,一般开通的端口是SMTP 25

其它邮局发来的邮件发送到 边缘传输服务器路由到HUB服务器,再路由到邮箱存储;或者其它邮局发来的邮件直接 发送到HUB服务器,然后路由到邮箱存储

POP3客户端发送的邮件通过SMTP 25协议发送到HUB服务器,经由HUB服务器直接发送到公网邮局;接收邮件时通过110端口连接到CAS服务器,通过HUB服务器连接到邮箱存储,然后将邮件下载到本地

接下来我们准备安装Exchange201的CASHUB角色

clip_image016

选择语言仅从DVD安装语言

clip_image018

选择安装Microsoft Exchange

clip_image020

clip_image022

选择自定义安装

clip_image024

勾选客户端访问服务器和集线传输服务器

clip_image026

指定组织名称

clip_image028

配置从外网访问CAS服务器的域名,也即我们在公网上为Exchange申请的域名

clip_image030

Exchange2010的安装检查准备工作,发现有两个失败和一个警告

clip_image032

此警告正常,并且Setup /PrepareAD会在安装过程中自动运行,不必手动运行

clip_image033

需要安装KB979099和Microsoft Office 2010 filter Packer

clip_image034

需要安装KB982867,KB979744,KB983440,KB977020,KB979099

clip_image035

clip_image036

安装需要安装的KB和程序

clip_image037

使用上一次的配置设置

clip_image038

测试通过,开始安装

clip_image040

clip_image042

安装完毕后重新启动生效

在另一台CASHUB2服务器上做同样的安装

下面开始做CASHUB服务器的负载均衡,我们使用Windows NLB来实现此功能,据有关资料讲,Windows NLB性能不是很好,在规模较大的环境中,建议采用硬件负载均衡,例如F5

在两台服务器上都添加网络负载均衡功能

clip_image044

我的实验环境是在windows server 2008 R2 SP1上搭建的Hyper-V,做NLB时需要在业务网卡上启用MAC地址欺骗,才能配置成功NLB

clip_image046

配置NLB要求的心跳网卡属性

只留下IPv4

clip_image047

clip_image048

clip_image049

clip_image050

选择更改适配器设置

clip_image052

在组织属性中调出菜单栏,选择高级-高级设置,将业务网卡的顺序调到上面,使用业务网卡的优先级比心跳网卡高

clip_image053

打开管理工具中的网络负载均衡管理器

clip_image055

选择新建群集

clip_image057

输入cashub1的域名,选择连接,选择业务网卡

clip_image058

clip_image059

新建群集IP

clip_image060

双网卡群集NLB一定选择单播,Internet名称为mail.lf.com.cn

此名称不在AD中注册

clip_image061

端口规则

clip_image062

clip_image063

节点cashub1已经加入

clip_image065

添加另一个节点

clip_image067

clip_image068

等待一段时间后,两个节点都显示已聚合,NLB配置成功

clip_image070

在AD的计算机容器中是没有mail.lf.com.cn这个计算机的

clip_image071

为了实现访问邮箱的故障转移自动切换,需要在CAS的NLB建立后,MBX角色建立前

建立客户端访问服务器阵列,这样才能实现自动故障切换,在CAS上运行如下命令:

New-ClientAccessArray -FQDN "mail.contoso.com” -Name “mail.contoso.com"

-FQDN "mail.contoso.com”中的mail.contoso.com是客户端访问阵列的名称,是客户端访问CAS服务器时填写的名称,不需要跟建立NLB时填写的Internet名称一致,只要在DNS中将此处mail.lf.com.cn的A记录指向NLB的群集IP即可;需要跟在安装CAS角色时的外部访问域名一致

-Name “mail.contoso.com"中的mail.lf.com.cn是客户端访问阵列的名称,可以随便填写

一定要先配置CAS阵列,再安装MBX角色,这样才能实行故障转移自动切换

在EMS中,输入New-ClientAccessArray -FQDN "mail.contoso.com” -Name “mail.contoso.com"

然后输入所在位置的站点名称

clip_image073

至此CASHUB服务器安装告一段落

MBX1: 10.10.11.202(业务) 192.168.1.1(心跳)---MBX服务器1

MBX2: 10.10.11.203(业务) 192.168.1.2(心跳)---MBX服务器2

DAG: 10.10.11.204

安装MBX服务器的前期准备

安装需要安装的KB和程序

clip_image074

7.HUB or MBX

Add-WindowsFeature NET-Framework,RSAT-ADDS,Web-Server,Web-Basic-Auth,Web-Windows-Auth,Web-Metabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-Process-Model,RSAT-Web-Server -Restart

clip_image076

以下是个人理解:

MBX服务器是邮箱存储服务器,在Exchange2010服务器中,不再采用传统的使用共享磁盘做存储的群集模式了,而是采用了一种新的技术DAG,数据库可用性组

它的原理基本上就是说为一个数据库在不同的物理机器上创建不同的几个副本,同一时间内只有一个副本是出于激活状态的

这样的好处就是组建了DAG后,不但可以实现物理机器的冗余,还可以实现存储的冗余,大大提高了性能

不好的地方就是创建几个副本就要占用几倍的存储空间

DAG还可以很方便的实现邮箱的远程备份

创建DAG

打开EMC控制台,可以发现Exchange2010组织中一共有4台服务器了

clip_image077

打开组织配置—邮箱—数据库管理,我们可以看到两个数据库

clip_image079

接下来我们开始创建DAG,新建DAG数据库可用性组

clip_image081

数据库可用性组的名称DAG,见证服务器和目录留空,因为在HUB服务器单独安装的情况下,DAG会把见证服务器默认安装到HUB服务器上

clip_image083

创建成功

clip_image085

接下来我们查看DAG的属性

clip_image086

可以看到,系统已经自动将见证服务器和目录填写好了,选的见证服务器cashub1.lf.com.cn

clip_image088

DAG组的IP

clip_image090

管理DAG成员身份

clip_image091

将两个DAG节点都选择上

clip_image092

创建成功

clip_image093

将DAG中的业务网卡的复制禁用掉

clip_image094

接下来,分别创建每个邮箱数据库的副本

clip_image095

选择在MBX2上创建一个邮箱数据库的副本,在MBX1上已经有一个了

clip_image096

同理创建另一个邮箱数据库的副本

clip_image097

clip_image098

数据库可用性组DAG创建完毕

接下来开始配置证书,以实现对Exchange2010邮箱的加密访问

因为需要加密的地方只在客户端和CAS服务器之间,因此只需要在CAS上创建证书即可

clip_image100

证书的友好名称,

clip_image102

clip_image104

clip_image105

clip_image106

clip_image107

clip_image108

按目前配置的话,将要申请下来的证书可以为以下3个域服务

clip_image110

组织位置随便填写,证书请求文件保存下来,接下来用它申请证书

clip_image112

打开http://dc.lf.com.cn/certsrv通过Web申请证书,CA服务器安装在DC上,输入管理员密钥,点击申请证书

clip_image114

高级证书申请

clip_image116

使用base64编码的。。。。申请

clip_image118

用记事本打开刚才保存下来的证书申请文件,并复制中间的内容

clip_image119

粘贴到base-64编码框中,证书模板选择Web服务器,点提交

clip_image121

选择下载证书,保存

clip_image123

选择完成搁置请求来完成证书的最终申请

clip_image125

选择刚才申请的证书

clip_image127

完成证书申请

clip_image128

由于此处的环境是CAS服务器负载均衡的双服务器拓扑,因此要求俩CAS服务器上的证书必须是相同的,所以我们选择把刚才申请的证书导出来,然后再导入到另一台CAS中

clip_image130

设置保存路径和密码

clip_image132

导入证书

clip_image134

clip_image135

选择将要导入的服务器,此处只是导入到CASHUB2中

clip_image136

接下来为俩CAS服务器上新申请的证书分配服务,俩服务器要求分配的服务一致

clip_image138

选择俩CAS服务器,同时为俩CAS服务器上的证书分配服务

clip_image139

clip_image140

clip_image141

clip_image142

证书申请完毕

可以把俩CAS服务器上的自签名证书删除

clip_image144

证书的主要作用是加密客户端和Exchange服务器之间的传输数据,主要使用的类型有:

1. OWA的加密访问

2. Outlook Anywhere的加密访问

3. POP的加密访问

EDGE1: 10.10.11.208

EDGE2: 10.10.11.209

NLB: 10.10.11.210

需要的程序和KB

9.EGE

Add-WindowsFeature NET-Framework,RSAT-ADDS,ADLDS –Restart

1. EDGE服务器可以不用加入域,但需要将EDGE服务器的DNS后缀改成跟域名一致

EDGE服务器一般放置在DMZ区域

clip_image145

2. EDGE服务器需要在DNS中注册一个A记录,手动添加即可

clip_image147

3. EDGE服务器需开通TCP 50636端口,在防火墙高级设置中,入站规则,新建规则,端口

clip_image149

clip_image151

clip_image152

clip_image154

clip_image156

安装边缘传输服务器

clip_image158

完成安装

clip_image160

为了把边缘服务器关联到Exchange服务器组中,需要首先在EDGE服务器上运行如下命令

New-EdgeSubscription -FileName c:\edge1.xml

这个命令生成一个.xml文件,这个.xml文件是将EDGE服务器加入到Exchange组的必须文件

clip_image161

将生成的此文件复制到HUB服务器

在EMC的服务器配置,集线器传输,边缘订阅中新建订阅

clip_image162

clip_image164

clip_image166

新建边缘订阅,有警告是正常的

clip_image168

在HUB上运行Start-EDGEsynchronization,强行对EDGE进行同步

clip_image169

在集线器传输的发送连接器中可以看到多了两个发送连接器

一个发送连接器是用于从边缘传输服务器发送邮件到Internet的

另外一个发送连接器是用于从边缘传输服务器发送邮件到集线器传输服务器的

clip_image171

打开边缘传输服务器EDGE1,发送连接器,发现也有两个发送连接器,同HUB上的完全一致,EDGE服务器上的几个选项,接收连接器,发送连接器,传输规则,接受的域;跟HUB服务器上的都一致,因为它是从HUB服务器上复制来的,

clip_image172

边缘传输服务器EDGE的作用主要是取代HUB服务器成为接待其它邮局传输来的邮件的第一道关口

边缘传输服务器一般不用加入域,放置在DMZ区域,为了实现冗余一般配置两台EDGE,两台EDGE的配置应该完全相同,可以使用克隆配置来实现此目的

EDGE根据使用的的IP地址不同配置会有所不同

使用公网IP:一般只需要在ISP的DNS中配置两个优先级相同的MX记录即可实现冗余

使用私有IP:一般需要配置NLB,并把NLB地址端口映射出去

配置各种客户端访问Exchange2010服务器

客户端访问Exchange2010服务器可以使用加密或者不加密,加密就需要配置证书

配置加密方式访问Exchange2010服务器

在上面的CASHUB服务器配置中我们已经为CASHUB服务器申请了证书,且此证书可以为

POP,IMAP,IIS,SMTP协议提供加密支持

无论是任何方式访问Exchange2010服务器,都必须通过访问CAS服务器来实现

配置POP协议访问Exchange2010服务器

默认情况下,CAS服务器的POP访问方式是禁止的,需要我们在服务里打开

clip_image174

启动POP3服务后,我们就可以通过POP3客户端来连接Exchange2010了,默认情况下,CAS服务器是要求POP3的加密连接的,如图,需要使用SSL加密的POP3协议,995端口

clip_image176

如果想使用不加密连接110端口登录,可以修改服务器配置—客户端访问—POP3中POP3的属性

clip_image178

将身份验证修改为使用纯文本登录(基本身份验证),这样就实现了使用110端口的不加密

传输

clip_image179

需要在每个CAS上做同样的操作,如图,在任意一个EMC中就可以完成所有操作

clip_image181

POP协议是一个仅可以将邮件从服务器上下载到本地的一个传输协议;发送邮件的话需要使用另一个协议SMTP;因此在使用POP协议时,实际上我们使用了两个服务器,一个是接收邮件服务器,一个是发送邮件服务器:

clip_image182

在Exchange2010中,接收邮件服务器是通过CAS服务器来实现从MBX服务器接收邮件的

发送邮件服务器是指HUB集线传输服务器,此处我们的安装是把CAS和HUB服务器安装到同一台机器上,因此这两个服务器的地址我们填写的是一致的

发送服务器的身份验证方式和接收服务器相同

clip_image183

默认情况下SMTP发送服务器使用的端口是TCP 587,加密方式 无

clip_image184

配置SMTP 的连接方式,服务器配置—集线器传输—接收连接器

clip_image186

里面有两个已经默认建立的连接器,我们来看下连接器的属性(随便看哪个都好)

clip_image187

clip_image188

clip_image189

接收连接器,从名字意思上讲就是控制 连接到HUB服务器上的连接

先看权限组:控制可以连接到此HUB的用户,匿名用户是谁都可以;Exchange用户指的是Exchange2010的邮箱用户;Exchange服务器是指其它的Exchange2010服务器;旧版Exchange服务器指其它版本的如2003,2007exchange服务器;

身份验证:指用户连接的时候使用的验证方式,可以使用通用的基本身份验证;域用户可以使用集成Windows身份验证;Exchange服务器可以使用Exchange服务器身份验证;传输层安全性TLS是一种传输层上的加密机制,可以保证数据的安全性

网络:配置接收邮件使用的端口,使用587端口或者25端口或者自定义;默认允许接收来自任何IP地址发来的邮件

在没有边缘服务器的拓扑中,想接收来自外网的邮件,需要配置此处的HUB接收连接器

因为SMTP是公用协议,为了可以正常接收外网邮件,网络:配置接收邮件使用的端口必须是SMTP 25,因为使用别的端口,其它邮局识别不了

权限组:必须勾选匿名

身份验证:身份验证方式是协商的,不是必须使用的

通过POP协议连接Exchange2010发送邮件

1. 网络中的端口使用SMTP25端口

2. 权限组选择Exchange用户,身份验证选择基本身份验证或者集成windows验证,TLS不用选择,Exchange2010似乎不支持outlook2010的SMTP TLS连接,TLS连接似乎是为Exchange服务器之间连接使用的

在两个默认连接器中,Client CASHUB1使用的是587端口,Default CASHUB1使用的是25端口;因此配置HUB接收外网邮局和接收Exchange用户的SMTP连接都使用Default CASHUB1这个连接器,如果需要在内网使用587的加密方式传输邮件,就可以为内外网使用不同的连接器了

clip_image190

clip_image191

配置通过OWA访问Exchange2010服务器

OWA:outlook web App

打开CAS服务器的IIS管理,定位到owa目录,OWA访问就是定位到CAS服务器的这个目录来实现WEB在线访问邮箱服务器的

clip_image193

点击上图中的CASHUB1(LF\admin)跟目录,查看右边功能视图中的服务器证书选项,可以看到整个目录默认的服务器证书是mail.lf.com.cn,这是在分配证书任务时配置的

clip_image194

点击owa虚拟目录,右侧功能视图,SSL选项;要求SSL,是说此OWA访问要求使用证书加密,客户端证书忽略,是说客户端只要信任lf-DC-CA这个证书颁发机构即可

clip_image195

此时访问使用这个地址:https://mail.lf.com.cn/owa

在owa访问客户端没有信任lf-DC-CA的情况下,访问过程中会出现警告,解决方法就是让它信任lf-DC-CA,域中的客户端一般会自动信任lf-DC-CA证书颁发机构

配置客户端信任lf-DC-CA证书颁发机构

http://dc.lf.com.cn/certsrv

访问证书服务器,输入自己的用户名密码

clip_image196

点击下载CA证书。。。

clip_image198

下载CA证书(可能需要将http://dc.lf.com.cn/certsrv加入到IE Internet选项-安全-本地Internat-站点-高级-加入到本区域,才可以正常下载CA证书),保存到桌面

clip_image199

双击“安装证书”

clip_image201

证书导入,选择存储到受信任的根证书颁发机构

clip_image202

是,安装此证书,导入成功

clip_image203

在客户端机器,开始—运行—MMC,打开MMC控制台

选择文件-添加删除管理单元,选择“证书”,添加clip_image205

选择计算机账户

clip_image206

查看该证书,受信任的根证书颁发机构,证书中有lf-DC-CA这个证书颁发机构,就说明此客户端已经信任lf-DC-CA了,也信任由lf-DC-CA颁发的mail.lf.com.cn这个证书了

clip_image208

打开https://mail.lf.com.cn/owa/可以看到OWA的登录界面

clip_image210

如果想使用不加密的方式使用OWA登录,将要求SSL的勾不选择,在所有的CAS上都不选

clip_image211

打开http://mail.lf.com.cn/owa,登录正常

clip_image212

如何使用http://mail.lf.com.cn 直接登录而不用打后面的owa

http://mail.lf.com.cn 默认会访问到IIS的default Web Site网站,而我们实际要访问的网站是

http://mail.lf.com.cn/owa,是默认网站下面的一个子目录,因此我们可以在默认网站上定义一个“HTTP 重定向”

clip_image214

clip_image216

注意默认网站的SSL要求需要跟OWA目录的SSL一致

clip_image218

要在所有的CAS服务器上做同样的配置

这时再访问http://mail.lf.com.cn/ 就可以直接登录OWA了,登录成功

clip_image220

配置跟RPC登录方式相关登录方式

RPC协议介绍:

摘自http://yuelei.blog.51cto.com/202879/75398 岳雷老师的博客

---------------------------------------------------------------------------------------------------------------------------------

RPC是远端过程调用的缩写,RPC协议特点很鲜明。普通的基于Winsock的网络服务大多有自己的固定端口,比如FTP守护21,HTTP守护80,但基于RPC实现的服务却可以守护随机端口。随机端口?!有没有搞错!客户端程序怎么知道每次随机产生的监听端口是多少?客户端该如何连接服务器呢。为了解决这些问题,RPC设计成这样的工作方式。首先,每个基于RPC的服务都有一个UUID,UUID是一组128位长的数字,被用来区分RPC服务。UUID的定义是国际标准,跨操作系统。例如 Exchange信息存储服务的UUID是A4F1DB00-CA47-B31F-00DD010662DA。每次这些基于RPC的服务启动时都会选择一个高端端口进行监听,这个端口可以是随机的,然后这些服务会把自己的UUID以及自己这次监听的端口存储在终点映射器(End Point Mapper 简称EPM)的一个表中 ,EPM是专门为RPC设计的一个服务,端口是135,EPM记录了本机有多少个基于RPC的服务以及这些服务监听的高端端口各是多少。

现在假设有一个客户机要访问服务器上的Exchange信息存储服务,客户机首先要连接服务器的135端口,向EPM发起一个查询请求,查询请求中描述了自己所请求服务的UUID,此例应是A4F1DB00-CA47-B31F-00DD010662DA,然后请EPM告知这个服务对应的端口是多少。EPM查询后告诉客户机,你所请求的这个服务在6001端口监听。客户机接到这个答案后,接下来就会去连接6001端口,和Exchange信息存储服务胜利会师了!

听了上面的描述,大家就明白了为什么很多防火墙管理员对RPC很头疼,就因为RPC的动态端口!普通防火墙工作在网络层,传输层的居多,基本上只开放几个固定端口,用来保障网络安全。但如果防火墙后面有RPC服务,就麻烦了,为了保证RPC服务能被顺利访问,管理员有可能要被迫开放1024以上的所有高端端口!但如果开放得这么多,那防火墙也就成筛子了…..所以这个问题直到应用层防火墙问世以后才得以较好解决,例如ISA就作得不错,以后我们会给大家介绍,这里就不多说了。

电信部门对RPC服务也比较敏感,前两年的冲击波,震荡波等病毒,就是利用了RPC的一些漏洞在互联网上大肆传播,危害巨大。电信部门闻风丧胆,唯恐避之不及,干脆采用一刀切的手段,有些运营商把访问135端口的数据包直接丢弃,来它个难言之隐,一丢了之。这下运营商省事了,工程师们费事了。所有有时候Exchange服务器在内网用RPC访问很正常,一放到公网用RPC访问就很容易出问题。罪魁祸首其实是后台的运营商,所以工程师们为了应付电信的封锁,想出了给RPC包化化妆,封装给HTTP包这样的主意。这也是为什么今天我们要尝试用RPC/RPC Over HTTPS来访问邮箱的原因。

由于135端口很可能在ISP的网络上被屏蔽,所以在公网上不能使用RPC协议直接访问Exchange,但是在内网没有任何问题,并且RPC协议本身是不加密的

为了让RPC协议可以在公网上畅通无阻,我们可以把RPC数据包封装到HTTP包中进行传输,这样防火墙上仅仅需要开通一个端口就可以了(RPC over HTTP,TCP 593);为了保证数据安全 ,还可以再将RPC over HTTP包使用SSL加密传输,这样防火墙仅需开通TCP 443端口就可以了

似乎Exchange2010已经不支持使用RPC直接访问了,必须使用RPC over HTTP

RPC over HTTP,RPC over HTTPS都属于Outlook Anywhere访问,需要先启用

clip_image222

外部主机名,是外网访问的域名,是在ISP的DNS中注册的,mail.lf.com.cn,基本身份验证

clip_image223

15分钟后生效,若要马上生效,可以重启CAS服务器立即生效

clip_image224

配置RPC over HTTP访问方式

RPC over HTTP的简单工作原理:

把客户端访问CAS服务器的135端口的数据封装在HTTP包中,发送到CAS服务器的IIS中的RPC目录,然后由RPC对HTTP包解封装,出来135包,再转到CAS的135端口

clip_image225

默认RPC虚拟目录是要求SSL的

在Exchange2010和2007中,已经支持自动在客户端Outlook2007和2010中自动配置邮件客户端配置,前提是保证在DNS中有一条autodiscover的A记录

clip_image226

启动Outlook2010

clip_image228

域用户会自动填写当前登录用户的邮件地址

clip_image230

成功配置

clip_image232

重新打开Outlook,登录成功

clip_image234

按住CTRL键盘点击右下角任务栏的Outlook图标,选择“连接状态”,可以看到当前使用的连接时HTTPS加密连接

clip_image236

查看一下当前Outlook的配置,使用HTTP连接到Microsoft Exchange

clip_image237

clip_image238

当然以上的所有选项我们都可以手动填写

clip_image240

手动填写需要登录的邮箱用户密码

clip_image242

自动完成Outlook配置

clip_image244

或者

clip_image246

clip_image248

填写好服务器mail.lf.com.cn,用户名:yjb007,然后点检查姓名

clip_image250

选择右下的“其他设置”,选择“连接”,把Outlook无处不在选上,并点开Exchange代理服务器设置

clip_image251

如下图填写,红框中的项目可根据情况不填写

clip_image252

点击确定,可正确登录Outlook,配置成功

OK,Exchange2010服务器配置告一段落

为了测试Exchange2010服务器的外部邮件的发送,我再搭建一个新的域并安装Exchange2010服务器,环境拓扑如下

现有域:lf.com.cn

新域:bj.com.cn

DC+DNS+CA: 10.10.11.211

DAG1: 10.10.11.212 192.168.10.1

DAG2: 10.10.11.213 192.168.10.2

DAG角色安装MBX,CAS,HUB服务器角色

单独的一台DNS服务器模拟公网DNS服务器

DNS: 10.10.11.215

在两个域的DNS上面设置转发器,指向公网的DNS服务器

在公网DNS上配置Exchange2010服务器的MX记录

安装流程:

1. 在DAG1和DAG2上安装MBX,HUB,CAS三个服务器角色

2. 在DAG1和DAG2上安装负载均衡器,配置均衡IP:10.10.11.204

3. 配置DAG,成员是DAG1和DAG2,群集IP:10.10.11.217

4. 添加CAS访问服务器阵列,New-ClientAccessArray -FQDN " mail.bj.com.cn” -Name “mail.bj.com.cn"

5. 申请证书,分配服务

6. 测试客户端访问

顺序不能错,负载均衡器必须在DAG之前安装

配置公网DNS服务器:

安装DNS服务器

clip_image253

新建正向查找区域

clip_image254

主要区域

clip_image255

区域名称

clip_image256

clip_image257

不允许更新,创建完成

clip_image258

clip_image260

修改名称服务器的IP

clip_image262

点击修改

clip_image264

新建域

clip_image266

如图

clip_image267

结果

clip_image268

同理建立

clip_image269

在LF域中建立两个A记录,指向LF域的两个EDGE服务器的IP地址

clip_image270

在LF域中新建MX记录,指向LF域的两个EDGE服务器的域名,优先级相同,可提供冗余

clip_image272

在BJ域中建立一个A记录,指向两个CASHUB服务器NLB虚拟出的IP

clip_image274

在BJ域中新建MX记录,指向LF域中CASHUB服务器的NLB虚拟出的IP

在LF,BJ各自域的DNS中设定DNS转发器地址为公网DNS服务器地址

clip_image275

OK,配置完成,准备测试

测试用户:

lf.com.cn [email protected]

bj.com.cn [email protected]

互相发送邮件测试

PS:有边缘服务器的情况下需要把0.0.0.0地址段选择上,不然接收不到任何邮件

clip_image277

无边缘服务器的情况下,接收连接器要选择允许匿名

clip_image278

你可能感兴趣的:(Exchange2010)