Как настроить службу доступности в топологиях с несколькими лесами


Служба доступности улучшает возможности информационных работников по планированию встреч и управлению календарями, предоставляя безопасные, согласованные и актуальные сведения о занятости. По умолчанию служба устанавливается вместе с Microsoft Exchange Server 2007. В топологиях с несколькими лесами, где на всех компьютерах запущены клиенты Outlook 2007, служба доступности является единственным средством получения сведений о занятости.

Вы можете использовать службу доступности и когда между лесами установлено доверие, и когда доверие не установлено. Тип возвращаемой информации о занятости определяется тем, как настроена служба  предоставления информации о занятости: «для отдельного пользователя» или «для всей организации». Сведения о занятости «для отдельного пользователя» требуют доверительных отношений между лесами, и позволяют службе доступности выполнять запросы между лесами от имени конкретного пользователя. Это также позволяет пользователю в удаленном лесу предоставлять доступ пользователю другого леса к подробным сведениям о занятости.

В случае режима «для всей организации» служба доступности делает запросы между лесами только от имени конкретной организации и сведения о доступности запрашиваемого пользователя возвращаются в соответствии с настройками по умолчанию. Уровень сведений о занятости, которые возвращаются пользователям в другом лесу, контролировать невозможно.

Что необходимо учитывать

Чтобы настроить службу доступности в топологии с несколькими лесами, вам необходимо учитывать некоторые важные элементы. В зависимости от сценария требования к реализации службы доступности при наличии нескольких лесов будут различаться.

Требования:

• Вы должны синхронизировать глобальный список адресов (GAL) между лесами
• Служба автообнаружения (Autodiscover) должна работать между лесами
• Все серверы клиентского доступа Exchange 2007 (CAS) должны доверять сертификату в целевом лесе

В случае сценария Exchange 2007 единственный способ обмена информацией о доступности это служба доступности. Т.к. устаревшие клиенты Outlook и владельцы почтовых ящиков предыдущих версий не могут использовать службу доступности, то они не могут получать сведения о занятости пользователей вне их леса до тех пор, пока такая информация не будет храниться в общих папках, каким-либо образом реплицируемых между лесами. Если вы используете Office Outlook 2003 или более раннюю версию, то вы должны использовать средство Microsoft Exchange Server Inter-Organization Replication, чтобы синхронизировать сведения о занятости между лесами.

Сведения о занятости и служба автообнаружения

Служба автообнаружения играет важную роль в рассматриваемом сценарии, обнаруживая и предоставляя внутренние и внешние URL-лы службы доступности клиентам Outlook 2007 и серверу клиентского доступа Exchange 2007. Это означает, что сервер клиентского доступа в лесу-источнике должен иметь возможность подключения к службе автообнаружения в целевом лесу для того, чтобы получить URL службы доступности.

В сценарии с несколькими лесами существуют два основных способа настройки автообнаружения:

1. Если существуют доверительные отношения между двумя лесами, то вы можете экспортировать точку подключения к службе (Service Connection Point, SCP) из целевого леса в лес-источник. Дополнительная информация содержится в статье Настройка службы автоматического обнаружения для нескольких лесов.
2. Использовать DNS, чтобы выполнить распознавание FQDN-имени autodiscover.targetforest.com.

Примечание: в топологии с несколькими лесами сервер клиентского доступа Exchange 2007 не может использовать DNS Service Location (SRV) для поиска службы автообнаружения в целевом лесу.

Служба доступности имеет ограничение по времени, когда она выполняет запрос поиска службы автообнаружения в другом лесу. По умолчанию это время составляет 10 секунд. Если запрос поиска службы автообнаружения не завершится за 10 секунд, то обращение к службе доступности по поводу пользователя в другом лесу может оборваться по таймауту.

Когда сервер клиентского доступа Exchange 2007 в лесу-источнике запрашивает службу доступности в целевом лесу, то он случайным образом перебирает серверы клиентского доступа Exchange 2007 в целевом лесу, а это означает, что все они должны быть доступны из леса-источника, и EWS InternalUrl в целевом лесу должен распознаваться серверами клиентского доступа Exchange 2007 леса-источника. Дополнительная информация содержится в следиющих статьях:

• Устранение неполадок, связанных со сведениями о доступности для Outlook 2007
• What does Exchange 2007 Availability Service do?

В Exchange 2010 вы можете использовать политики общего доступа (sharing policies) для того, чтобы предоставлять доступ пользователям внешних федеративных организаций к сведениям о доступности в календарях и контактной информации. Дополнительная информация содержится в статьях Общие сведения о федерации и Настройка свойств политики общего доступа. (Смотрите также Доступ к сведениям о доступности из почтового ящика Exchange 2007 в федеративной организации Exchange 2010 SP1. Прим. переводчика)

Сценарий

В этом сценарии мы будем настраивать службу доступности между двумя лесами Exchange 2007, которые имеют двусторонние отношения доверия. Мы используем термин "лес-источник" для леса, в котором находится почтовый ящик пользователя, делающего запрос (в нашем сценарии это contoso.local), и "целевой лес" для леса, в котором находится пользователь, информацию о доступности которого запрашивают (в нашем сценарии это nwtraders.local).


 
Ниже приведен процесс принятия решения, который проведет вас по всему процессу настройки сервиса доступности для двух организаций Exchange 2007 или для смешанной среды Exchange 2010 и Exchange 2007.

 

Шаги по настройке службы доступности

1. Чтобы настроить службу доступности в топологии с несколькими лесами, вы должны установить и настроить синхронизацию глобальных списков адресов (GALSync). Дополнительную информацию по установке и настройке GALSync смотрите в Microsoft Identity Integration Server (MIIS)

2. Хотя для настройки службы доступности в случае нескольких лесов отношения доверия не требуются, команды настройки будут различаться в обоих сценариях.

Если между двумя лесами существуют отношения доверия, то выполняйте следующие команды:

a) в лесу-источнике:

Add-AvailabilityAddressSpace -ForestName nwtraders.com- AccessMethod PerUserFB -UseServiceAccount $true

b) в целевом лесу:

Get-ClientAccessServer | Add-AdPermission -AccessRights ExtendedRight -ExtendedRights "ms-exch-epi-token-serialization" -User "contoso\Exchange Servers"

Если доверительных отношений между лесами не существует, то вам необходима учетная запись целевого леса (nwtraders.local). В нашем примере мы используем учетную запись freebusy. Выполняйте следующие команды:

a) в лесу-источнике:

Add-AvailabilityAddressSpace -ForestName nwtraders.com -AccessMethod OrgWideFB -Credential (Get-Credential)

Когда получите приглашение, введите nwtraders\freebusy и пароль.

b) в целевом лесу:

Set-AvailabilityConfig -OrgWideAccount freebusy

3. Автообнаружение это важный компонент для успешной реализации службы доступности. В сценарии с доверительными отношениями вы имеете два варианта его настройки: экспортировать SCP из целевого леса или использовать DNS запрос имени autodiscover.targetforest.com.

a) В сценарии с доверительными отношениями выполните следующую команду в целевом лесу (nwtraders.local) для того, чтобы экспортировать SCP из целевого леса в лес-источник:

Export-AutodiscoverConfig -TargetDomainController "dc.contoso.com" -TargetForestCredential (Get-Credential) -MultipleExchangeDeployments $true

Когда получите приглашение, введите contoso\Administrator

Дополнительная информация содержится в Configuration tips and common troubleshooting steps for multiple forest deployment of Autodiscover service.

b) В сценарии без доверительных отношений  Exchange 2007 CAS может запрашивать DNS для распознавания autodiscover.targetforest.com. В этом случае вам необходимо создать запись для autodiscover.nwtraders.com.
Замечание: служба автообнаружения возвращает InternalUrl службы доступности

4. Проверка сертификатов

Независимо от наличия доверительных отношений между двумя лесами сервер Exchange 2007 CAS в лесу-источнике должен доверять сертификату, установленному на каждом сервере клиентского доступа Exchange 2007 в целевом лесу.

• self-signed сертификат: если самозаверяющий сертификат установлен на сервере клиенсткого доступа Exchange 2007 в целевом лесу, то вы должны экспортировать его.
• untrusted root: если сервер имеет сертификат, подписанный не доверенным корневым центром сертификации (untrusted root CA), то вам нужно экспортировать сертификат этого центра (root CA certificate).
• trusted root: если сертификат, установленный на Exchange 2007 CAS, выпущен доверенным центром сертификации, что является лучшим и рекомендованным решением, то вы не должны экспортировать и импортировать сертификат, пока нет проблем с проверкой его подлинности.

После экспорта самозаверяющего сертификата или корневого сертификата из целевого леса вам необходимо импортировать его в хранилище сертификатов компьютера (MMC -> Certificates -> Computer Account -> Trusted Root Certification Authorities) на каждом сервере Exchange 2007 CAS в лесу источнике.

5. Тестирование служб автообнаружения и доступности

Протестируйте службы автообнаружения и доступности (в зависимости от варианта, который вы выбрали для автообнаружения):

• Экспорт SCP: На сервере клиентского доступа Exchange 2007  лесу-источнике (contoso.local) проверьте SCP и EWS InternalUrl целевого леса (nwtraders.local). Чтобы получить SCP и EWS InternalUrl, выполните команду:

Get-ClientAccessServer | fl name, auto*
Get-WebServiceVirtualDirectory | fl name, InternalUrl

• DNS: На сервере Exchange 2007 CAS в лесу источнике (contoso.local), проверьте "autodiscover.nwtraders.com" и InternalUrl службы доступности целевого леса (nwtraders.com):

Get-WebServicesVirtualDirectory | fl name, InternalUrl

6. Тестирование получения информации о доступности между лесами

Убедитесь, что следующие компоненты работают правильно:

• Служба автообнаружения работает в каждом лесу
• Служба доступности работает в каждом лесу
• Автообнаружение работает между лесами посредством DNS или SCP
• EWS Internalurl в целевом лесу доступен с сервера клиентского доступа Exchange 2007 в лесу-источнике
• Нет ошибок проверки подлинности сертификата при доступе к Autodiscover или EWS InternalUrl
• В заключение с помощью Outlook 2007 проверьте, как работает служба доступности между лесами

Дополнительная информация для чтения:

• Настройка службы доступности для межлесных топологий
• Самозаверяющие сертификаты в Exchange Server 2007
• Использование сертификатов в Exchange Server 2007 -> Определение того, следует ли использовать сертификат, выпущенный общедоступным центром сертификации, или самозаверяющий сертификат
• New-ExchangeCertificate
• White Paper: Exchange 2007 Autodiscover Service
• Устранение неполадок, связанных со сведениями о доступности для Outlook 2007
• Configuration tips and common troubleshooting steps for multiple forest deployment of Autodiscover service
• What does Exchange 2007 Availability Service do?

Спасибо Наджешу Магадеву, Джулио Виера и Джорджу Хинтерхоферу за их вклад и отзывы.

Венди Родригес

Перевод: Илья Сазонов, MVP

Comments (0)

Skip to main content