Настройка нескольких виртуальных каталогов OWA/ECP на сервере клиентского доступа Exchange 2010


Когда-то мы опубликовали статью, объясняющую трудности с поддержкой при развертывании Exchange 2007 с несколькими виртуальными каталогами Outlook Web App (OWA), и так как эта тема, кажется, становится все более и более популярной, мы хотим сделать тоже самое для Exchange 2010.

Microsoft поддерживает несколько виртуальных каталогов  OWA и Exchange Control Panel (ECP) на одном сервере клиентского доступа Exchange 2010, каждый на отдельном веб-сайте. Каждый виртуальный каталог должен слушать стандартный порт (TCP 443) этого сайта.

Примечание: вы должны убедиться, что для Default Web Site установлена привязка All Unassigned , иначе возникнут проблемы с PowerShell.

Обычно существуют три причины для выбора такой конфигурации. Каждая имеет свои нюансы.

1. Сценарий 1: у вас единственный сайт Active Directory, пограничный с Интернет, и используете обратный прокси (например, Microsoft Forefront Threat Management Gateway или Unified Access Gateway) перед Exchange. Вы передаете учетные данные от межсетевого экрана к Exchange, что означает необходимость использования базовой или интегрированной с Windows аутентификации (Integrated Windows Authentication, IWA) на сервере клиентского доступа и отказ от аутентификации на основе форм (Forms-based Authentication, FBA). Ваше требование – использовать FBA для всех пользователей, внутренних и внешних.
2. Сценарий 2: у вас сайт Active Directory, не граничащий с Интернет, и ваше требование – использовать FBA для всех пользователей, внутренних и внешних. В этой конфигурации для того чтобы обеспечить внешним пользователям доступ к OWA или ECP, сервер клиентского доступа в сайте, пограничном с Интернет, должен проксировать запросы к серверу клиентского доступа, который не граничит с Интернет. Из этого вытекает требование, чтобы на сервере клиентского доступа, который не граничит с Интернет, была настроена IWA и, следовательно, запрещена FBA.
3. Сценарий 3: в одной организации у вас есть пользователи с различными требованиями к OWA, такие, как разный внешний вид страницы FBA, разные настройки доступа к файлам или доступные возможности интерфейса.

Если причина создания нескольких сайтов в том, чтобы разрешить серверу клиентского доступа предлагать FBA внутренним пользователям, так же как принимать подключения от обратного прокси или сайта, пограничного с Интернет, то каждый виртуальный каталог будет иметь свой метод аутентификации. Веб-сайт, к которому пользователи обращаются  напрямую, будет иметь включенную FBA, веб-сайт, который принимает подключения от обратного прокси или от сайта, пограничного с Интернет, будет иметь IWA (или базовую аутентификацию в случае с межсетевым экраном).

Microsoft настоятельно рекомендует, чтобы виртуальные каталоги OWA и ECP в Default Web Site были настроены с IWA, чтобы InternalURL  оставался значением по умолчанию, равным FQDN сервера, и чтобы этот сайт и эти виртуальные каталоги принимали прокси-запросы от сайтов Active Directory, пограничных с Интернет, и делегированные запросы от межсетевых экранов.

Microsoft рекомендует создавать вторичные виртуальные каталоги OWA/ECP в новом веб-сайте с другим IP-адресом, и использовать его для приема подключений внутренних пользователей. По умолчанию новые виртуальные каталоги будут иметь включенную FBA и не будут иметь значений внутренних и внешних URL.

Примечание: вам нужно убедиться, что любое имя, которое пользователи будут использовать для подключения к сайту OWA/ECP с FBA,  присутствует в установленном сертификате, и что это имя транслируется в корректный IP-адрес (путем создания правильных записей A/CNAME).

Один побочный эффект проявляется, когда пользователь Outlook 2010 обращается к ECP. Автоконфигурирование предоставляет Ourlook 2010 как внутренний, так и внешний URL. Когда клиент Outlook находится внутри сети и подключается с помощью RPC over TCP, в отличие от Outlook Anywhere (RPC over HTTPS) для доступа к ECP используется значение InternalURL, когда оно вызывается функцией Outlook, например, функцией получения отчета о доставке. В рекомендованной выше конфигурации это приводит к тому, что пользователь направляется на веб-сайт без FBA с включенной базовой аутентификацией или IWA. Если это приемлемо, ваша настройка завершена, никаких дополнительных шагов не требуется.

Если вы предпочитаете использование FBA для внутреннего доступа к ECP, то нужно учитывать дополнительные моменты.

В сценарии 1 вы можете установить InternalURL обоих виртуальных каталогов так, чтобы они указывали на сайт с включенной FBA – это означает, что внутренние клиенты Outlook будут обращаться к виртуальному каталогу ECP с включенной FBA. К тому же любые внутренние пользователи OWA при доступе к ECP будут незаметно для них использовать преимущества однократного входа (Single Sign On) между OWA и ECP.

В сценарии 2, когда сервер клиентского доступа находится в сайте, не граничащем с Интернет, настройка одинаковых InternarlURL для обоих виртуальных каталогов ECP делает невозможным для сервера клиентского доступа, находящимся в сайте, граничащим с Интернет, проксировать обращения к конечному внутреннему серверу клиентского доступа. В этом случае, если вы хотите иметь два веб-сайта для ECP и иметь и прокси, и FBA, то вам нужно согласиться с тем, что пользователи Outlook 2010 будут видеть приглашения для ввода учетных данных. Однако если этот сайт добавить в зону локальной безопасности в  Internet Explorer, то внутренние клиенты не будут видеть эти приглашения для локально зарегистрированных пользователей при обращении к этому серверу клиентского доступа для доступа к ECP.

Дополнительные замечания
• Чтобы избежать проблем с DNS регистрацией, рекомендуется установить следующие обновления:

o Windows 2008 R2 http://support.microsoft.com/default.aspx?scid=kb;en-US;2386184
o Windows 2008 SP2 http://support.microsoft.com/default.aspx?scid=kb;en-US;975808

• Когда один сайт вызывает крах Application Pool, это воздействует на все сайты, которые используют этот пул
• Если один сайт использует слишком много ресурсов и блокируется, то операции на всех веб-сайтах в этом пуле приложений будут блокироваться
• Когда вы решите перезапустить пул приложений, то все сайты этого пула перестанут временно работать
• Если используется сегментация, обеспечение пользователям соответствующего метод доступа к требуемым функциям ECP становится проблемой.

Мы надеемся, что помогли вам лучше понять настройку, если вы пойдете этим путем, и, пожалуйста, пишите, если у вас есть любые вопросы и комментарии.

Грег Тейлор и Уилл Дафф

Перевод: Илья Сазонов, MVP

Comments (0)

Skip to main content