Aspekte beim Bereitstellen des AutoErmittlungsdienstes
Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Letztes Änderungsdatum des Themas: 2007-06-12
Der AutoErmittlungsdienst für Microsoft Exchange Server 2007 bietet die automatische Profilkonfiguration für Microsoft Office Outlook 2007-Clients, die mit Ihrer Exchange-Messagingumgebung verbunden sind.
Topologieanforderungen des AutoErmittlungsdiensts
Damit der AutoErmittlungsdienst ordnungsgemäß für Outlook 2007 funktioniert, müssen Sie sicherstellen, dass die Exchange-Organisation die folgenden Anforderungen erfüllt:
In der Exchange-Bereitstellung muss mindestens ein Exchange 2007-Clientzugriffsserver installiert sein. Um Exchange-Funktionen wie den Verfügbarkeitsdienst und Unified Messaging verwenden zu können, müssen zudem die Serverfunktionen UnifiedMessaging, Mailbox und Hub-Transport auf dem Clientzugriffsserver oder einem anderen Server installiert sein.
Das Exchange 2007 Active Directory-Schema muss auf die Gesamtstruktur angewendet werden, in der der AutoErmittlungsdienst ausgeführt wird.
Herstellen der Verbindung vom Internet zum AutoErmittlungsdienst
Wenn Sie mittels Outlook Anywhere (früher RPC über HTTP genannt) den externen Zugriff auf Microsoft Exchange zulassen und die Outlook 2007-Clients automatisch mithilfe des AutoErmittlungsdiensts konfiguriert werden sollen, müssen Sie ein gültiges SSL-Zertifikat (Secure Sockets Layer) auf dem Clientzugriffsserver installieren, das sowohl den allgemeinen Namen (z. B. mail.contoso.com) sowie einen alternativen Subjektnamen für autodiscover.contoso.com enthält. Weitere Informationen zum Konfigurieren des SSL-Zertifikats für die Verwendung eines alternativen Subjektnamens finden Sie unter Konfigurieren von SSL-Zertifikaten für die Verwendung von mehreren Hostnamen für Clientzugriffsserver. Außerdem müssen Sie die Exchange-Dienste, z. B. den Verfügbarkeitsdienst, ordnungsgemäß konfigurieren, bevor der AutoErmittlungsdienst Clients die richtigen externen URLs zur Verfügung stellen kann. Weitere Informationen finden Sie unter Konfigurieren der Exchange-Dienste für den AutoErmittlungsdienst.
Wenn der Client versucht, eine Verbindung mit der Microsoft Exchange-Bereitstellung herzustellen, verwendet der Client die primäre SMTP-Domänenadresse aus der E-Mail-Adresse des Benutzers, um den AutoErmittlungsdienst im Internet zu suchen. Abhängig davon, on Sie den AutoErmittlungsdienst mit einem anderen Namen als dem vorhandenen DNS-Hostnamen Ihrer Organisation konfiguriert haben, lautet der URL des AutoErmittlungsdiensts https://<SMTP-Adressdomäne>/autodiscover/autodiscover.xml oder https://autodiscover.<SMTP-Adressdomäne>/autodiscover/autodiscover.xml. Wenn die E-Mail-Adresse des Benutzers beispielsweise monica@contoso.com lautet, sollte der AutoErmittlungsdienst den URL https://contoso.com/autodiscover.xml oder https://autodiscover.contoso.com/autodiscover/autodiscover.xml verwenden. Dies bedeutet, dass Sie der externen DNS-Zone einen Hosteintrag für den AutoErmittlungsdienst hinzufügen müssen.
Weitere Informationen finden Sie unter Konfigurieren des AutoErmittlungsdiensts für den Internetzugriff.
Verwenden mehrerer Websites für den Internetzugriff auf den AutoErmittlungsdienst
Wenn Sie eine stark frequentierte Website verwalten, die auch als Host für den E-Mail-Verkehr fungiert, empfiehlt es sich, den AutoErmittlungsdienst auf einer separaten Website zu hosten. Führen Sie die folgenden Schritte aus, um den AutoErmittlungsdienst auf einer separaten Website auf demselben Computer wie andere Exchange-Funktionen zu hosten:
Hinweis
Sie müssen pro Website eine IP-Adresse verwenden.
(Optional) Konfigurieren einer separaten Website auf einem Clientzugriffscomputer, um den AutoErmittlungsdienst zu hosten Sie können mithilfe des Cmdlets New-AutodiscoverVirtualDirectory eine separate Website erstellen, um den Datenverkehr des AutoErmittlungsdiensts zu hosten. Dieser optionale Schritt wird empfohlen, wenn die SMTP-Adressdomäne (Simple Mail Transfer Protocol) mit der Websiteadresse des Unternehmens identisch ist und die Unternehmenswebsite häufig besucht wird. Wenn die Unternehmenswebsite z. B. www.contoso.com ist, die SMTP-E-Mail-Domäne contoso.com lautet und die Unternehmenswebsite (www.contoso.com) häufig besucht wird, wird empfohlen, eine separate Website zu erstellen und den AutoErmittlungsdienst unter autodiscover.contoso.com zu hosten.
(Erforderlich) Konfigurieren eines gültigen SSL-Zertifikats Konfigurieren Sie ein gültiges SSL-Zertifikat von einer Zertifikatstelle (CA), der der Clientcomputer vertraut. Wenn Sie sich entschieden haben, das Hosting des AutoErmittlungsdiensts auf einer separaten Website durchzuführen, lesen Sie Konfigurieren von SSL-Zertifikaten für die Verwendung von mehreren Hostnamen für Clientzugriffsserver.
(Optional) Aktualisieren des SCP-Objekts Sie müssen das SCP-Objekt (Service Connection Point, Dienstverbindungspunkt) im Active Directory-Verzeichnisdienst so aktualisieren, dass angegeben wird, mit welchem Clientzugriffsserver und virtuellen AutoErmittlungs-Verzeichnis Clients eine Verbindung herstellen sollen.
Weitere Informationen finden Sie unter Konfigurieren des AutoErmittlungsdiensts für den Internetzugriff.
Abbildung 1 zeigt eine Umgebung, in der der AutoErmittlungsdienst an einem anderen Active Directory-Standort als dem Active Directory-Standort bereitgestellt wird, an dem sich Ihre Servercomputer mit Exchange befinden.
Abbildung 1 Verwenden mehrerer Websites mit dem AutoErmittlungsdienst
.gif "Mehrere Standorte für den AutoErmittlungsdienst")
In Abbildung 1 veröffentlicht die ISA Server 2006-Firewall (Internet Security and Acceleration) zwei Websites mithilfe von zwei Weblistenern. Die erste Website, autodiscover.contoso.com, bietet den Zugriff auf das virtuelle Verzeichnis der AutoErmittlung auf dem Clientzugriffsserver. Dieser Site ist eine IP-Adresse zugewiesen. Für den internen Verkehr auf dem Clientzugriffsserver müssen Sie einen Weblistener konfigurieren und alle virtuellen Verzeichnisse auf dieser Website veröffentlichen. Die zweite Website, mail.contoso.com, bietet den Zugriff auf die anderen Exchange-Funktionen und besitzt ebenfalls eine eindeutige IP-Adresse. Veröffentlichen Sie das virtuelle Verzeichnis der AutoErmittlung auf dieser Website nicht.
Konfigurieren des AutoErmittlungsdiensts für die Verwendung der Standortaffinität für die interne Kommunikation
Wenn Sie eine große, verteilte Organisation verwalten, die Active Directory-Standorte aufweist, die durch Netzwerkverbindungen mit geringer Bandbreite verbunden sind, wird die Verwendung von Standortaffinität für den AutoErmittlungsdienst für intranetbasierten Datenverkehr empfohlen. Um Standortaffinität zu verwenden, geben Sie an, welche Active Directory-Standorte für Clients zum Herstellen einer Verbindung mit einer bestimmten Instanz des AutoErmittlungsdiensts bevorzugt werden. Das Angeben der bevorzugten Active Directory-Standorte wird auch als Konfigurieren des Standortbereichs bezeichnet.
Sie konfigurieren Standortaffinität mithilfe des Cmdlets Set-ClientAccessServer. Mit diesem Cmdlet können Sie die bevorzugten Active Directory-Standorte für das Herstellen einer Verbindung mit dem AutoErmittlungsdienst auf einem bestimmten Clientzugriffsserver angeben. Nachdem Sie die Standortaffinität für den AutoErmittlungsdienst konfiguriert haben, stellt der Client wie von Ihnen angegeben eine Verbindung mit dem AutoErmittlungsdienst her. Weitere Informationen zum Cmdlet Set-ClientAccessServer finden Sie unter Set-ClientAccessServer.
Das folgende Beispiel verwendet eine Topologie, die eine Gesamtstruktur mit drei Standorten umfasst, die die folgenden Namen tragen:
US-contoso Ein Contoso-Standort, der sich in Nordamerika befindet.
Europe-contoso Ein Contoso-Standort, der sich in Europe befindet.
APAC-contoso Ein Contoso-Standort, der sich in Asien befindet.
In diesem Beispiel ist der AutoErmittlungsdienst für jeden Standort aktiviert, und jeder Standort umfasst Benutzerpostfächer. Der Standort US-contoso ist durch eine Hochgeschwindigkeitsverbindung mit dem Standort Europe-contoso verbunden. Der Standort US-contoso ist durch eine langsame Verbindung mit dem Standort APAC-contoso verbunden. Der Standort APAC-contoso ist durch eine Hochgeschwindigkeitsverbindung mit dem Standort Europe-contoso verbunden.
Basierend auf diesen Konnektivitätsfaktoren können Sie Benutzern an den Standorten US-contoso und Europe-contoso erlauben, entweder den Standort US-contoso oder Europe-contoso zu verwenden, den Benutzern am Standort Europe-contoso erlauben, einen beliebigen Standort für den Zugriff auf den AutoErmittlungsdienst zu verwenden, und den Benutzern am Standort APAC-contoso die Verwendung der Standorte APAC-contoso oder Europe-contoso gestatten. Schließlich können die Clientzugriffsserver standortübergreifend mithilfe eines gemeinsamen internen Namespaces erreicht werden.
Sie können den Standortbereich für Clientzugriffsserver am Standort US-contoso konfigurieren und für die bevorzugte Verwendung der Active Directory-Standorte US-contoso und Europe-contoso für den Zugriff auf den AutoErmittlungsdienst mithilfe des folgenden Befehls festlegen.
Set-ClientAccessServer -Identity "us-cas" -AutodiscoverServiceInternalURI "https://internal.contoso.com/autodiscover/autodiscover.xml" -AutodiscoverServiceSiteScope "us-contoso","europe-contoso"
Sie müssen nicht die Active Directory-Standorte angeben, mit denen Benutzer eine Verbindung für den Zugriff auf den AutoErmittlungsdienst auf Clientzugriffsservern am Standort Europe-contoso herstellen sollen, weil dieser Standort gut mit den anderen Standorten verbunden ist. Der folgende Befehl aktiviert alle Benutzer am Standort Europe-Contoso für den Zugriff auf beliebige Clientzugriffsserver für die Verwendung des AutoErmittlungsdiensts:
Set-ClientAccessServer -Identity "europe-cas" -AutodiscoverServiceInternalURI "https://internal.contoso.com/autodiscover/autodiscover.xml"
Schließlich können Sie den Standortbereich für den AutoErmittlungsdienst auf Clientzugriffsservern am Standort APAC-contoso konfigurieren und für die bevorzugte Verwendung der Standorte APAC-contoso und Europe-contoso festlegen, weil diese Clientzugriffsserver gut eine Verbindung mit diesen Standorten herstellen können. Verwenden Sie zu diesem Zweck den folgenden Befehl:
Set-ClientAccessServer -Identity "apac-cas" -AutodiscoverServiceInternalURI "https://internal.contoso.com/autodiscover/autodiscover.xml" -AutodiscoverServiceSiteScope "apac-contoso","europe-contoso"
Wenn ein Client am Standort US-contoso ein Postfach besitzt, das sich am Standort Europe-contoso befindet, und versucht, den AutoErmittlungsdienst zu suchen, kann der Client daher die Dienstinstanz auswählen, die den Wert site=US-contoso oder site=Europe-contoso besitzt.
Wenn Sie den Standortbereich für den AutoErmittlungsdienst nicht angeben, gibt der Client aufgrund der langsamen Verbindung mit dem Standort US-contoso möglicherweise den Parameter autodiscoverInternalUri für den Standort APAC-contoso zurück.
Hinweis
Wenn Sie keine bestimmte Gruppe von Active Directory-Standorten für die Verwendung durch Clients konfigurieren, wählt Outlook 2007 zufällig Clientzugriffsserver für den Zugriff auf den AutoErmittlungsdienst aus.
Weitere Informationen zur Standortaffinität finden Sie unter Konfigurieren des AutoErmittlungsdiensts für die Verwendung von Standortaffinitäten.
Konfigurieren des AutoErmittlungsdiensts für mehrere Gesamtstrukturen
Sie können Microsoft Exchange in einer Topologie mit mehreren Gesamtstrukturen bereitstellen. Zwei der Bereitstellungsszenarios mit mehreren Gesamtstrukturen sind die Ressourcengesamtstruktur-Topologie und die Topologie mit mehreren vertrauenswürdigen Gesamtstrukturen. In den folgenden Abschnitten wird beschrieben, wie der AutoErmittlungsdienst in diesen beiden Bereitstellungsszenarien verwendet wird.
Konfigurieren des AutoErmittlungsdiensts in einer Ressourcengesamtstruktur-Topologie
Wenn Sie eine Ressourcengesamtstruktur-Topologie verwenden, befinden sich die Benutzerkonten in einer Gesamtstruktur (die als Benutzerkonto-Gesamtstruktur bezeichnet wird), und Microsoft Exchange wird in einer davon getrennten Gesamtstruktur(die als Ressourcengesamtstruktur bezeichnet wird) bereitgestellt. In diesem Szenario nimmt der Client Kontakt zu Active Directory in der Benutzerkonto-Gesamtstruktur auf, um den URL für den AutoErmittlungsdienst zu suchen. Da der Dienst in der Ressourcengesamtstruktur gehostet wird, müssen Sie Active Directory in der Benutzerkonto-Gesamtstruktur aktualisieren, damit die Informationen verfügbar werden, die Active Directory benötigt, um dem Client mitteilen zu können, dass er auf die Ressourcengesamtstruktur zugreifen soll. Hierzu müssen Sie in Active Directory in der Benutzerkonto-Gesamtstruktur einen Dienstverbindungspunkt-Zeigereintrag für die AutoErmittlung erstellen. Der Dienstverbindungspunkt-Zeigereintrag für die AutoErmittlung schließt die LDAP-URL (Lightweight Directory Access Protocol) der Ressourcengesamtstruktur ein, die der Client verwendet, um den AutoErmittlungsdienst zu suchen.
Um den Dienstverbindungspunkt-Zeigereintrag für die AutoErmittlung in der Benutzerkonto-Gesamtstruktur zu erstellen, führen Sie das Cmdlet Export-AutoDiscoveryConfig aus der Ressourcengesamtstruktur, die den AutoErmittlungsdienst enthält, für die Benutzerkonto-Gesamtstruktur aus. Weitere Informationen finden Sie unter Konfigurieren des AutoErmittlungsdiensts für mehrere Gesamtstrukturen.
Konfigurieren des AutoErmittlungsdiensts in einer Topologie mit mehreren vertrauenswürdigen Gesamtstrukturen
Im Szenario mit mehreren vertrauenswürdigen Gesamtstrukturen werden Benutzerkonten und Microsoft Exchange in mehreren Gesamtstrukturen bereitgestellt. Exchange 2007-Features wie z. B. der Verfügbarkeitsdienst und Unified Messaging verwenden den AutoErmittlungsdienst, um auf diese über Gesamtstrukturen hinweg zuzugreifen. In diesem Szenario muss der AutoErmittlungsdienst für Benutzer in verschiedenen vertrauenswürdigen Gesamtstrukturen verfügbar sein. Das Szenario gleicht dem Ressourcengesamtstruktur-Szenario bis auf die Tatsache, dass das Dienstverbindungspunkt-Objekt für die AutoErmittlung in allen Gesamtstrukturen konfiguriert werden muss. Um das Dienstverbindungspunkt-Objekt für die AutoErmittlung in der Topologie mit mehreren Gesamtstrukturen zu konfigurieren, führen Sie das Cmdlet Export-AutoDiscoveryConfig aus jeder Gesamtstruktur, in der sich der AutoErmittlungsdienst befindet, für jede Zielgesamtstruktur aus, in der Microsoft Exchange bereitgestellt wird. Weitere Informationen finden Sie unter Konfigurieren des AutoErmittlungsdiensts für mehrere Gesamtstrukturen.
Gehostete Umgebungen und der AutoErmittlungsdienst
Für gehostete Umgebungen muss der AutoErmittlungsdienst für jede gehostete Domäne mithilfe von IIS (Internetinformationsdienste) umgeleitet werden. Abbildung 2 zeigt den AutoErmittlungsdienst in einer gehosteten Umgebung.
Abbildung 2 Der AutoErmittlungsdienst in einer gehosteten Exchange-Umgebung
.gif "AutoErmittlung in einer gehosteten Umgebung")
Für jede gehostete E-Mail-Domäne sollten Sie einen Standort und die entsprechenden DNS-Einträge einrichten. Die Domäne namens contoso.no sollte z. B. autodiscover.contoso.no heißen, und die Domäne example.contoso.se sollte autodiscover.contoso.se heißen. Am Standort in Abbildung 2 sind keine virtuellen Verzeichnisse erforderlich, und Sie müssen keine SSL-Zertifikate einrichten.
Konfigurieren Sie in IIS-Manager die Umleitung an https://mail.contoso.com/autodiscover/autodiscover.xml für jeden Ihrer Standorte.
Hinweis
Diese Standorte sollten nur für HTTP-Datenverkehr (Port 80) konfiguriert werden.
Wenn Sie die Umleitung für diese Standorte konfigurieren, müssen Sie anonymen Zugriff verwenden und authentifizierten Zugriff deaktivieren. Stellen Sie außerdem sicher, dass Sie nicht andere Optionen wie z. B. dem exakten oben eingegebenen URL, einem Verzeichnis unterhalb des angegebenen URL bzw. einer dauerhaften Umleitung für diese Ressource konfigurieren. Die hier beschriebene Konfiguration der Umleitung stellt sicher, dass der Outlook 2007-Client eine HTTP 302-Antwort erhält.
Nachdem Sie die Umleitung konfiguriert haben, versuchen Outlook 2007-Clients, mithilfe einer HTTP POST-Anforderung, eine Verbindung mit **https://contoso.no/autodiscover/** bzw. https://autodiscover.contoso.no/autodiscover/ herzustellen. Da diese Standorte nicht verfügbar sind, versucht Outlook, eine HTTP GET-Anforderung an http://autodiscover.contoso.no/autodiscover auszugeben.
Hinweis
In dieser Anforderung werden keine vertraulichen Informationen wie z. B. die E-Mail-Adresse des Benutzers bzw. sein Kennwort gesendet.
Da Umleitung für diesen Standort konfiguriert ist, gibt IIS eine 302-Umleitungsantwort für https://mail.contoso.com/ zurück. Der Client empfängt die Antwort und fordert den Benutzer auf, die Anforderung anzunehmen oder zurückzuweisen. Die Benutzer muss diese Anforderung annehmen. Nachdem dies geschehen ist, wird der Client mithilfe einer HTTPS POST-Anforderung umgeleitet. In diesem Beispiel erfolgt keine Sicherheitswarnung. Schließlich empfängt der Client die erforderliche Antwort des AutoErmittlungsdiensts.
Hinweis
Wenn Sie wie im vorherigen Beispiel eine Umleitung konfigurieren, die Clients an einen neuen Standort umleitet, sind keine zusätzlichen SSL-Zertifikate erforderlich. Sie müssen jedoch zusätzliche IIS-Websites konfigurieren.
Sicherheit der AutoErmittlung
Wenn Sie eine separate Website für den AutoErmittlungsdienst zusammen mit einem anspruchsvollen Firewallserver (z. B. ISA Server 2006) verwenden, müssen Sie ISA Server 2006 so konfigurieren, dass zwei Weblistener verwendet werden. ISA Server-Weblistener werden verwendet, um die IP-Adresse und den Port anzuzeigen, die der Client verwenden soll. Der erste Weblistener wird für den AutoErmittlungsdienst verwendet, und der zweite Weblistener wird für die anderen Microsoft Exchange-Funktionen verwendet, z. B. Microsoft Exchange ActiveSync und Outlook Anywhere. Mithilfe der Eigenschaft alternativer Subjektname des Zertifikats können Sie das SSL-Zertifikat (Secure Sockets Layer) für eine einzelne Website konfigurieren, die beide Weblistener verwendet. Weitere Informationen finden Sie unter Konfigurieren von SSL-Zertifikaten für die Verwendung von mehreren Hostnamen für Clientzugriffsserver.
Standardmäßig bietet Exchange 2007 Setup die Möglichkeit, ein selbstsigniertes SSL-Zertifikat zu installieren. Es empfiehlt sich, selbstsignierte Zertifikate nicht für externe Websites zu verwenden. Weiterhin wird empfohlen, ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle zu verwenden. Weitere Informationen zum Erstellen und Verwenden gültiger SSL-Zertifikate finden Sie unter den folgenden Themen:
Erstellen eines Zertifikats oder einer Zertifikatsanforderung für TLS
Anfordern eines Serverzertifikats von einer Zertifizierungsstelle
Hinzufügen der Zertifikatverwaltung zur MMC (Microsoft Management Console)
Weitere Informationen
Weitere Informationen zum AutoErmittlungsdienst finden Sie unter den folgenden Themen: