Informationen zur Verwendung als Proxy und Umleitung
Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Letztes Änderungsdatum des Themas: 2008-03-14
In einer Microsoft Exchange Server 2007-Organisation kann ein Computer mit Exchange 2007, auf dem die Serverfunktion ClientAccess installiert ist, als Proxy für andere Clientzugriffsserver in der Organisation fungieren. Dies ist nützlich, wenn an unterschiedlichen Active Directory-Standorten in der Organisation mehrere Clientzugriffsserver vorhanden sind und nicht alle Active Directory-Standorte über eine Internetverbindung verfügen.
Ein Clientzugriffsserver kann auch Microsoft Office Outlook Web Access-URLs umleiten. Umleitung ist sinnvoll, wenn ein Benutzer eine Verbindung mit einem mit dem Internet verbundenen Clientzugriffsserver herstellt, der sich nicht am gleichen Active Directory-Standort wie sein Postfachserver befindet.
Hinweis
Wenn Ihre Organisation nicht mit mehreren Active Directory-Standorten arbeitet, müssen Sie Exchange 2007 nicht für die Verwendung von Proxys oder Umleitungen konfigurieren.
Hinweis
Clientzugriffsserver, die nicht mit dem Internet verbunden sind, benötigen keine separaten SSL-Zertifikate (Secure Sockets Layer). Diese Clientzugriffsserver können das selbstsignierte Zertifikat verwenden, das standardmäßig mit Exchange 2007 installiert wird. Weitere Informationen finden Sie unter Informationen zum selbstsignierten Zertifikat in Exchange 2007.
Um einen Clientzugriffsserver als Proxy und für Umleitung zu konfigurieren, müssen Sie zwei Eigenschaften für die virtuellen Verzeichnisse ändern, die für den Zugriff auf die verschiedenen Clientzugriffsprotokolle verwendet werden. Dabei handelt es sich um die beiden folgenden Eigenschaften:
InternalURL Diese Eigenschaft enthält den Intranet-URL für das virtuelle Verzeichnis. Sie wird automatisch während der Installation konfiguriert. In den meisten Installationen muss der Wert InternalURL nicht geändert werden.
ExternalURL Diese Eigenschaft enthält den Internet-URL für das virtuelle Verzeichnis. Dieser Wert wird in DNS veröffentlicht und muss anhängig von Ihrer Konfiguration manuell konfiguriert werden.
Dieses Thema befasst sich mit Proxys und Umleitungen, es wird erläutert, wann das jeweilige Feature verwendet wird und wie die Clientzugriffsserver für das jeweilige Szenario konfiguriert werden.
Übersicht über die Verwendung von Proxys
In Microsoft Exchange Server 2003 kommuniziert der Front-End-Server über HTTP mit dem Back-End-Server. In Exchange 2007 kommuniziert der Clientzugriffsserver über RPC mit dem Postfachserver. Es muss sich daher ein Exchange 2007-Clientzugriffsserver an jedem Active Directory-Standort befinden, der einen Postfachserver umfasst. Die Proxyfunktion wird verwendet, wenn ein Clientzugriffsserver Daten an einen anderen Clientzugriffsserver sendet. Ein Exchange 2007-Clientzugriffsserver kann Anforderungen in den folgenden beiden Situationen per Proxy weitergeben:
Zwischen Exchange 2007-Clientzugriffsservern Werden Anforderungen zwischen zwei Exchange 2007-Clientzugriffsservern über einen Proxy weitergeleitet, können Organisationen mit mehreren Active Directory-Standorten mindestens einen Clientzugriffsserver als Server mit Internetverbindung definieren und dafür sorgen, dass diese Server Anforderungen an Clientzugriffsserver an Standorten ohne Internetverbindung per Proxy weiterleiten. Ein Clientzugriffsserver mit Internetverbindung leitet eine eingehende Anforderung als Proxy an den Clientzugriffsserver am gleichen Standort wie das Postfach des Empfängers weiter. Dies wird als CAS-CAS-Proxyfunktion bezeichnet.
Zwischen einem Exchange 2007-Clientzugrtiffsserver und einem Servercomputer mit Exchange 2003 Externe Clients, die mithilfe des virtuellen Verzeichnisses \Exchange eine Verbindung mit Outlook Web Access herstellen oder die mithilfe des virtuellen Verzeichnisses \Microsoft-Server-ActiveSync eine Verbindung mit Microsoft Exchange ActiveSync herstellen, verwenden Proxyweiterleitung ihrer Anforderungen an die entsprechenden Exchange 2003-Back-End-Server.
Die Proxyfunktion wird für Clients unterstützt, die Outlook Web Access, Exchange ActiveSync und Exchange-Webdienste verwenden. Die Proxyfunktion zwischen zwei Clientzugriffsservern wird unterstützt, wenn der Zielclientzugriffsserver die gleiche Version von Exchange Server oder eine ältere Version als der Quellclientzugriffsserver ausführt. Die Exchange-Webdienste können jedoch keine Proxyfunktionen von einem Server mit Exchange Server 2007 SP1 zu einem Server mit der ursprünglichen Version (RTM-Version) von Exchange 2007 durchführen, weil die RTM-Version von Exchange 2007 keine Proxyfunktionen für die Exchange-Webdienste unterstützt. In der nachstehenden Abbildung wird gezeigt, wie die Proxyfunktion in einer Organisation eingesetzt wird, die über mehrere Clientzugriffsserver und mehrere Postfachserver verfügt.
Hinweis
In jeder Exchange-Organisation muss mindestens ein Clientzugriffsserver über eine Internetverbindung verfügen. Ein Clientzugriffsserver ohne Internetverbindung muss keinen eigenen Internethostnamen aufweisen. Alle relevanten Anforderungen von externen Clients werden vom Clientzugriffsserver mit Internetverbindung per Proxyfunktion weitergeleitet.
Hinweis
Die Proxyfunktion kann nicht in Verbindung mit POP3-Clients (Post Office Protocol, Version 3) oder IMAP4-Clients (Internet Message Access Protocol, Version 4rev1) verwendet werden. Ein Client, der mit POP3 oder IMAP4 arbeitet, muss die Verbindung zu einem Clientzugriffsserver am gleichen Active Directory-Standort wie der Postfachserver herstellen.
Clientzugriff über Proxyfunktion
.gif "Umleitung und Verwendung von Clientzugriffservern als Proxy")
In der Abbildung oben befindet sich das Postfach von Benutzer 1 auf dem Postfachserver 01. Das Postfach von Benutzer 2 befindet sich auf dem Postfachserver 02 und das Postfach von Benutzer 3 auf dem Postfachserver 03. Der Benutzer 1 kann über den Clientzugriffsserver 01 ohne Verwendung der Proxyfunktion auf sein Postfach zugreifen. Versucht Benutzer 1, über Exchange ActiveSync auf Clientzugriffsserver 02 zuzugreifen, erhält er eine Fehlermeldung, da Clientzugriffsserver 01 der zugehörige Clientzugriffsserver für das Postfach ist. Wenn er mithilfe von Outlook Web Access versucht, auf den Clientzugriffsserver 02 zuzugreifen, zeigt sein Browser eine Meldung an, die den URL für den Clientzugriffsserver 01 enthält – den Clientzugriffsserver, der sich am gleichen Standort wie sein Postfachserver befindet. Dieser Prozess wird als Umleitung bezeichnet. Versucht Benutzer 3 auf den Clientzugriffsserver 02 zuzugreifen, leitet dieser Server die Anforderung per Proxyfunktion an Clientzugriffsserver 03 weiter. Clientzugriffsserver 03 verfügt nicht über eine Internetverbindung, kann jedoch Anforderungen von anderen Servern innerhalb der Firewall empfangen. Die Verwendung eines Proxys ist für Benutzer nicht sichtbar.
Hinweis
Die Kommunikation zwischen Clientzugriffsservern an unterschiedlichen Standorten erfolgt über Secure HTTP (HTTPS).
Exchange ActiveSync über Proxyfunktion
Im folgenden Szenario wird gezeigt, wie eingehende Anforderungen für einen Benutzer verarbeitet werden, der mit einem mobilen Gerät die Verbindung zu einem Exchange 2007-Clientzugriffsserver mit Namen CAS-01 herstellt.
Der Clientzugriffsserver führt eine Abfrage des Active Directory-Verzeichnisdiensts durch, um die Position des Postfachs des Benutzers sowie die Version von Microsoft Exchange zu ermitteln, die auf dem Postfachserver installiert ist. Befindet sich das Postfach des Benutzers auf einem Exchange 2007-Computer, auf dem die Serverfunktion Mailbox installiert ist, fahren Sie mit Schritt 3 fort.
Befindet sich das Postfach des Benutzers auf einem Server unter Exchange 2003, wird die eingehende Anforderung per Proxyfunktion an den Exchange 2003-Server übermittelt, der als Host für das Benutzerpostfach und das virtuelle Exchange ActiveSync-Verzeichnis fungiert. Unter Exchange 2003 war das virtuelle Exchange ActiveSync-Verzeichnis standardmäßig auf allen Postfachservern installiert. Wenn die eingehende Anforderung an einen Exchange 2007-Clientzugriffsserver gerichtet ist, der sich an einem anderen Active Directory-Standort als der Ziel-Back-End-Server befindet, wird die Anforderung über den Proxy direkt an den Ziel-Back-End-Server weitergeleitet, und zwar auch dann, wenn sich innerhalb des Active Directory-Zielstandorts ein Exchange 2007-Clientzugriffsserver befindet. Wenn die eingehende Anforderung an einen Exchange 2007-Clientzugriffsserver innerhalb desselben Active Directory-Standorts gerichtet ist, in dem sich auch der Ziel-Back-End-Server befindet, wird die Anforderung direkt über den Proxy an den Ziel-Back-End-Server weitergeleitet.
Hinweis
Benutzern mit Postfächern auf einem Exchange 2003-Server, die versuchen, Exchange ActiveSync über einen Exchange 2007-Clientzugriffsserver zu verwenden, wird ein Fehler angezeigt, und sie können keine Synchronisierung ausführen, wenn nicht die integrierte Windows-Authentifizierung für das virtuelle Verzeichnis Microsoft-Server-ActiveSync auf dem Exchange 2003-Server aktiviert ist. Dies ermöglicht die Kommunikation des Exchange 2007-Clientzugriffsservers und des Exchange 2003-Back-End-Servers mithilfe von Kerberos-Authentifizierung.
Wenn sich das Benutzerpostfach auf einem Exchange 2007-Postfachserver befindet, sucht CAS-01 einen Clientzugriffsserver am gleichen Active Directory-Standort wie der Postfachserver des Benutzers. Gibt es einen Clientzugriffsserver, der sich näher am Postfachserver des Benutzers befindet, ermittelt Exchange 2007, ob auf diesem Clientzugriffsserver die Eigenschaft InternalURL konfiguriert ist und ob als Authentifizierungsmethode die integrierte Windows-Authentifizierung verwendet wird. Falls ja, wird der Benutzer über den Proxy an den mit der Eigenschaft InternalURL angegebenen Clientzugriffsserver weitergeleitet. Andernfalls wird die Anforderung zurückgewiesen. In diesem Fall wird auf dem mobilen Gerät eine Fehlermeldung ausgegeben. Wenn auf dem über den Proxy angesprochenen Clientzugriffsserver die Eigenschaft ExternalURL für das virtuelle Verzeichnis Microsoft-Server-ActiveSync konfiguriert ist, wird HTTP-Fehlercode 451 zurückgegeben.
Wichtig
Die Proxyfunktion wird nicht zwischen virtuellen Verzeichnissen unterstützt, bei denen die Standardauthentifizierung verwendet wird. Damit die Clientkommunikation zwischen virtuellen Verzeichnissen auf unterschiedlichen Servern über die Proxyfunktion weitergeleitet werden kann, muss für diese virtuellen Verzeichnisse die integrierte Windows-Authentifizierung verwendet werden.
Verwenden der Proxyfunktion für Outlook Web Access
Im folgenden Szenario wird gezeigt, wie eingehende Anforderungen für einen Benutzer verarbeitet werden, der über Outlook Web Access die Verbindung zu einem Exchange 2007-Clientzugriffsserver mit Namen CAS-01 herstellt.
Der Clientzugriffsserver führt eine Abfrage von Active Directory durch, um die Position des Postfachs des Benutzers sowie die Version von Microsoft Exchange zu ermitteln, die auf dem Postfachserver installiert ist. Wenn sich das Postfach des Benutzers auf einem Exchange 2007-Postfachserver befindet, fahren Sie mit Schritt 3 fort.
Wenn sich das Postfach des Benutzers auf einem Exchange 2003-Server befindet und der Benutzer versucht, mithilfe der Zeichenfolge https://Domänenname/owa auf Outlook Web Access zuzugreifen, wird eine Fehlermeldung ausgegeben. Wenn der Benutzer versucht, auf https://Domänenname/exchange oder https://Domänenname/public zuzugreifen, wird die eingehende Anforderung über den Proxy an den Exchange 2003-Server weitergeleitet, der als Host für das Postfach des Benutzers und das virtuelle Outlook Web Access-Verzeichnis dient. Wenn die eingehende Anforderung an einen Exchange 2007-Clientzugriffsserver gerichtet ist, der sich an einem anderen Active Directory-Standort als der Ziel-Back-End-Server befindet, wird die Anforderung über den Proxy direkt an den Ziel-Back-End-Server weitergeleitet, und zwar auch dann, wenn sich innerhalb des Active Directory-Zielstandorts ein Exchange 2007-Clientzugriffsserver befindet. Wenn die eingehende Anforderung an einen Exchange 2007-Clientzugriffsserver innerhalb desselben Active Directory-Standorts gerichtet ist, in dem sich auch der Ziel-Back-End-Server befindet, wird die Anforderung direkt über den Proxy an den Ziel-Back-End-Server weitergeleitet. Überspringen Sie in diesem Fall Schritt 3.
Wenn sich das Benutzerpostfach auf einem Exchange 2007-Postfachserver befindet, sucht CAS-01 einen Clientzugriffsserver am gleichen Active Directory-Standort wie der Postfachserver des Benutzers. Wird ein Clientzugriffsserver gefunden, ermittelt Exchange 2007, ob auf dem Clientzugriffsserver die InternalURL-Eigenschaft konfiguriert ist und ob die Authentifizierungsmethode für das virtuelle Verzeichnis auf Integrierte Windows-Authentifizierung festgelegt ist. Anschließend ermittelt CAS-01, ob ein externer URL angegeben ist. Falls ja, wird der Benutzer auf den Server umgeleitet, der mit der Eigenschaft ExternalURL festgelegt wurde. Ist kein externer URL angegeben, leitet CAS-01 die Anforderung des Benutzers über den Proxy an den Clientzugriffsserver weiter, der mit der Eigenschaft InternalURL angegeben wird.
Hinweis
Ein interner URL wird bei der Einrichtung von Exchange 2007 automatisch konfiguriert. Der Standardwert für die Eigenschaft ExternalURL ist
$null. Für Clientzugriffsserver mit Internetverbindung sollte die Eigenschaft ExternalURL auf den in DNS für diesen Active Directory-Standort veröffentlichten Wert festgelegt werden. Für Clientzugriffsserver, die nicht über eine Internetverbindung verfügen, muss die Eigenschaft ExternalURL nicht konfiguriert werden.
Proxyfunktionen für Webdienste
Im folgenden Szenario wird gezeigt, wie eingehende Anforderungen für einen Benutzer verarbeitet werden, der mithilfe der Webdienste eine Verbindung mit einem Exchange 2007-Clientzugriffsserver mit dem Namen CAS-01 herstellt.
Der Clientzugriffsserver führt eine Abfrage von Active Directory durch, um die Position des Postfachs des Benutzers sowie die Version von Microsoft Exchange zu ermitteln, die auf dem Postfachserver installiert ist. Wenn sich das Postfach des Benutzers auf einem Server mit Microsoft Exchange Server 2003 befindet, kann die Proxyweiterleitung nicht durchgeführt werden und es kommt zu einem Anforderungsfehler. Wenn das Postfach des Benutzers auf einem Server mit Exchange 2007 Service Pack 1 (SP1) gespeichert ist, fahren Sie mit Schritt 2 fort. Wenn das Postfach des Benutzers auf einem Server gespeichert ist, der die RTM-Version von Exchange 2007 ausführt, kommt es zu einem Anforderungsfehler.
Wenn die Exchange-Webdiensteanforderung CAS-01 erreicht, verarbeiten die Exchange-Webdienste die Anforderung und verwenden dann Proxyweiterleitung an den Standort, der den Postfachserver des Benutzers enthält. Die Exchange-Webdienste können eine einzelne Anforderung für mehrere Benutzer unterstützen. Wenn die eingehende Anforderung mehrere Benutzer enthält, müssen sich die Postfächer dieser Benutzer am gleichen Active Directory-Standort befinden. Eine einzige Anforderung für mehrere Benutzer an verschiedenen Active Directory-Standorten wird für keinen Webdienst mit Ausnahme des Verfügbarkeitsdiensts unterstützt. Wenn sich das Postfach des Benutzers auf einem Exchange 2007-Postfachserver an einem Standort befindet, der einen Exchange 2007 SP1-Clientzugriffsserver enthält, leitet CAS-01 die Anforderung an den Active Directory-Zielstandort weiter.
Hinweis
Die Eigenschaften InternalURL und NLBByPassURL werden automatisch während der Installation von Exchange 2007 konfiguriert. Bei Clientzugriffsservern, die nicht über eine Internetverbindung verfügen, sollte die Eigenschaft ExternalURL auf
$nullfestgelegt werden.
Proxykonfiguration
Wenn der Clientzugriffsserver über eine Internetverbindung verfügt, legen Sie die Eigenschaft ExternalURL für die virtuellen Exchange ActiveSync- und Outlook Web Access-Verzeichnisse mithilfe der Exchange-Verwaltungskonsole oder der Exchange-Verwaltungsshell fest. Die Eigenschaft InternalURL wird automatisch während der anfänglichen Einrichtung von Exchange 2007 konfiguriert und sollte nur in Ausnahmefällen geändert werden müssen. Die Eigenschaft ExternalURL sollte den URL enthalten, der für Ihre Exchange-Organisation in DNS registriert ist, z. B. https://www.contoso.com/owa für Outlook Web Access. Die folgende Tabelle enthält die ungefähren Werte für die Eigenschaften ExternalURL und InternalURL für einen Clientzugriffsserver mit Internetverbindung für die Exchange-Organisation namens www.contoso.com. Die zweite Tabelle enthält die ungefähren Werte für die Eigenschaften ExternalURL und InternalURL für einen Clientzugriffsserver ohne Internetverbindung an einem zweiten Active Directory-Standort für www.contoso.com. Sie müssen die Authentifizierungsmethode für alle diese virtuellen Verzeichnisse als integrierte Windows-Authentifizierung konfigurieren. Die Proxyfunktion wird nicht für virtuelle Verzeichnisse unterstützt, bei denen andere Authentifizierungsmethoden verwendet werden.
Hinweis
Werden neue virtuelle Outlook Web Access-Verzeichnisse mithilfe der Exchange-Verwaltungsshell erstellt, müssen Sie die Eigenschaft InternalURL für diese virtuellen Verzeichnisse manuell konfigurieren.
Proxyeinstellungen für "InternalURL" und "ExternalURL" für einen Clientzugriffsserver mit Internetverbindung
| Exchange 2007-Dienst | InternalURL-Einstellung | ExternalURL-Einstellung |
|---|---|---|
Outlook Web Access |
https://Computername/OWA |
https://www.contoso.com/OWA |
Exchange ActiveSync |
https://Computername/Microsoft-Server-ActiveSync |
https://www.contoso.com/Microsoft-Server-ActiveSync |
Exchange-Webdienste |
https://Computername/EWS |
https://www.contoso.com/EWS/exchange.asmx |
Proxyeinstellungen für "InternalURL" und "ExternalURL" für einen Clientzugriffsserver ohne Internetverbindung
| Exchange 2007-Dienst | InternalURL-Einstellung | ExternalURL-Einstellung |
|---|---|---|
Outlook Web Access |
https://Computername/OWA |
|
Exchange ActiveSync |
https://Computername/Microsoft-Server-ActiveSync |
|
Exchange-Webdienste |
https://Computername/EWS |
|
Weitere Informationen zum Konfigurieren von virtuellen Verzeichnissen finden Sie unter den folgenden Themen:
Übersicht über die Umleitungsfunktion
Benutzer von Outlook Web Access, die auf einen Clientzugriffsserver mit Internetverbindung zugreifen, der sich an einem anderen Active Directory-Standort als dem befindet, an dem ihr Postfach gehostet wird, können auf den Clientzugriffsserver umgeleitet werden, der sich am gleichen Standort wie ihr Postfachserver befindet, sofern dieser Clientzugriffsserver über eine Internetverbindung verfügt. Wenn ein Outlook Web Access-Benutzer versucht, die Verbindung zu einem Clientzugriffsserver außerhalb des Active Directory-Standorts herzustellen, an dem sich sein Postfachserver befindet, wird eine Webseite mit einem Link zum richtigen Clientzugriffsserver für sein Postfach angezeigt.
In der nachstehenden Abbildung wird gezeigt, wie die Umleitung in einer Organisation eingesetzt wird, die über mehrere Clientzugriffsserver an mehreren Active Directory-Standorten verfügt.
Umleitung für Outlook Web Access in Exchange 2007
.gif "Umleitung für Outlook Web Access")
In der Abbildung oben befindet sich das Postfach von Benutzer 1 auf dem Postfachserver 01. Das Postfach von Benutzer 2 befindet sich auf dem Postfachserver 02 und das Postfach von Benutzer 3 auf dem Postfachserver 03. Der Benutzer 1 kann über den Clientzugriffsserver 01 ohne Verwendung der Umleitung auf sein Postfach zugreifen. Versucht Benutzer 1, auf Clientzugriffsserver 02 zuzugreifen, zeigt der Browser eine Meldung an, die den korrekten URL für den Clientzugriffsserver enthält. Der Benutzer wird aufgefordert, auf den Outlook Web Access-URL für seinen Clientzugriffsserver zu klicken. Die Umleitung erfolgt nicht automatisch. Versucht Benutzer 3 auf den Clientzugriffsserver 02 zuzugreifen, leitet dieser Server die Anforderung per Proxyfunktion an Clientzugriffsserver 03 weiter. Clientzugriffsserver 03 verfügt nicht über eine Internetverbindung, kann jedoch Anforderungen von anderen Servern innerhalb der Firewall empfangen. Die Verwendung eines Proxys ist für Benutzer nicht sichtbar.
Hinweis
Umleitung wird nur für Clients unterstützt, die Outlook Web Access verwenden. Clients, die Exchange ActiveSync, POP3 und IMAP4 verwenden, können keine Umleitung verwenden. Clients, die Webdienste verwenden, verwenden den AutoErmittlungsdienst, um die richtigen Clientzugriffsserver-Einstellungen zu ermitteln.
Hinweis
Bei der Installation von Exchange 2007 werden für Outlook Web Access vier virtuelle Verzeichnisse erstellt: owa, Exchange, Public und ExchWeb. Das virtuelle Verzeichnis owa ermöglicht den Zugriff auf Exchange 2007-Postfächer. Die virtuellen Verzeichnisse Exchange und Public ermöglichen den Zugriff auf Exchange 2003-Postfächer. Wenn sich ein Benutzer mit einem Postfach auf einem Exchange 2003-Server unter Verwendung von https://Servername/owa anmeldet, erhält er eine Fehlermeldung, die besagt, dass sich sein Postfach auf einem Exchange 2003-Server befindet. Er muss das virtuelle Verzeichnis Exchange verwenden. Wenn er sich unter Verwendung von https://Servername/Exchange anmeldet, leitet der Exchange 2007-Clientzugriffsserver die Anforderung über die Proxyfunktion an den Exchange 2003-Postfachserver weiter. Wenn ein Benutzer mit einem Postfach auf einem Exchange 2007-Server mithilfe von https://Servername/owa auf Outlook Web Access zugreift, kann er direkt auf sein Postfach zugreifen. Meldet er sich mit https://Servername/Exchange an Outlook Web Access an, wird er auf https://Servername/owa umgeleitet.
Konfigurieren der Umleitung
Wenn der Clientzugriffsserver über eine Internetverbindung verfügt, legen Sie die Eigenschaft ExternalURL für die virtuellen Outlook Web Access-Verzeichnisse mithilfe der Exchange-Verwaltungskonsole oder der Exchange-Verwaltungsshell fest. Die Eigenschaft InternalURL wird automatisch während der anfänglichen Einrichtung von Exchange 2007 konfiguriert und sollte nur in Ausnahmefällen geändert werden müssen. In den folgenden beiden Tabellen werden die Einstellungen für die Eigenschaften ExternalURL und InternalURL für Clientzugriffsserver an zwei Active Directory-Standorten von Contoso aufgeführt. Bei diesen beiden Standorten handelt es sich um www.usa.contoso.com und www.europe.contoso.com.
Hinweis
Werden neue virtuelle Outlook Web Access-Verzeichnisse mithilfe der Exchange-Verwaltungsshell erstellt, müssen Sie die Eigenschaft InternalURL für diese virtuellen Verzeichnisse manuell konfigurieren.
Weitere Informationen zum Verwalten von virtuellen Outlook Web Access-Verzeichnissen finden Sie unter Verwalten von virtuellen Outlook Web Access-Verzeichnissen in Exchange 2007.
Einstellungen der Eigenschaften "InternalURL" und "ExternalURL" für die Umleitung für einen Clientzugriffsserver mit Internetverbindung am Standort "usa.contoso.com"
| Exchange 2007-Dienst | InternalURL-Einstellung | ExternalURL-Einstellung |
|---|---|---|
Outlook Web Access |
https://Computername/OWA |
https://www.usa.contoso.com/OWA |
Einstellungen der Eigenschaften "InternalURL" und "ExternalURL" für die Umleitung für einen Clientzugriffsserver mit Internetverbindung am Standort "europe.contoso.com"
| Exchange 2007-Dienst | InternalURL-Einstellung | ExternalURL-Einstellung |
|---|---|---|
Outlook Web Access |
https://Computername/OWA |
https://www.europe.contoso.com/OWA |
Deaktivieren der Umleitung
Wenn Ihre Organisation über mehrere Active Directory-Standorte mit Internetverbindung verfügt und die Internetverbindung zu einem dieser Standorte deaktiviert ist, können Sie auch die Umleitung vorübergehend deaktivieren und Outlook Web Access für die alternative Verwendung der Proxyfunktion konfigurieren. Nachdem die Internetverbindung am ausgefallenen Standort wiederhergestellt wurde, können Sie auch die Umleitung wieder aktivieren. Sie deaktivieren die Umleitung mit dem Cmdlet Set-OWAVirtualDirectory und der folgenden Syntax:
set-owavirtualdirectory "owa (default web site)" -RedirectToOptimalOWAServer $false
Zum Wiederherstellen der Umleitung verwenden Sie das gleiche Cmdlet und ändern den Parameter RedirectToOptimalOWAServer in $true.
Proxys mit Netzwerklastenausgleich
In einer Organisation mit mehreren Active Directory-Standorten und mehreren Clientzugriffsservern an jedem Standort können Sie NLB (Network Load Balancing, Netzwerklastenausgleich) verwenden, um den Datenverkehr zwischen den Clientzugriffsservern an jedem Standort für Failoverredundanz zu verteilen. Es wird nicht unterstützt, Clientzugriffsserver aus verschiedenen Active Directory-Standorten im gleichen Lastenausgleichsarray zu verwenden. Sie können NLB an einem Active Directory-Standort mit Internetverbindung und an einem Active Directory-Standort ohne Internetverbindung implementieren. Die folgende Abbildung zeigt zwei Active Directory-Standorte, an denen NLB implementiert ist.
Proxyfunktion in einer Organisation, in der NLB verwendet wird
.gif "Proxys mit Netzwerklastenausgleich")
Die folgende Tabelle enthält die Einstellungen für die virtuellen Verzeichnisse, die sich auf den Clientzugriffsservern CAS-01 und CAS-02 des Active Directory-Standorts mit Internetverbindung www.contoso.com befinden.
Einstellungen der virtuellen Verzeichnisse für Clientzugriffsserver mit Internetverbindung in einer Organisation, die NLB verwendet
| Virtuelles Verzeichnis | InternalURL-Einstellung | ExternalURL-Einstellung | Authentifizierungsmethode |
|---|---|---|---|
/OWA |
https://Computername/OWA |
https://www.contoso.com/OWA |
Wenn der Computer mit ISA Server (Internet Security and Acceleration) formularbasierte Authentifizierung verwendet, sollte Outlook Web Access integrierte Windows-Authentifizierung verwenden. Wenn die Authentifizierung nicht auf dem Computer mit ISA Server erfolgt, sollte Outlook Web Access mit formularbasierter Authentifizierung konfiguriert werden. |
/OAB |
https://Computername/OAB |
https://www.contoso.com/OAB |
Integrierte Windows-Authentifizierung |
/UnifiedMessaging |
https://Computername/UnifiedMessaging |
https://www.contoso.com/UnifiedMessaging |
Integrierte Windows-Authentifizierung |
/Microsoft-Server-ActiveSync |
https://Computername/Microsoft-Server-ActiveSync |
https://www.contoso.com/Microsoft-Server-ActiveSync |
Integrierte Windows-Authentifizierung |
/EWS |
https://Computername/EWS |
https://www.contoso.com/EWS |
Integrierte Windows-Authentifizierung |
Hinweis Bei der Konfiguration der Firewall muss die IP-Affinität konfiguriert werden, damit die Proxyfunktion für Exchange-Webdienste und Outlook Web Access verwendet werden kann. Die IP-Affinität ermöglicht, dass eine Anforderung, die von einem bestimmten Computer stammt, immer über den Proxy an den gleichen Zielcomputer weitergeleitet wird.
Am Active Directory-Standort ohne Internetverbindung befinden sich drei Server: CAS-03, CAS-04 und CAS-05. Die folgende Tabelle listet die Einstellungen für die virtuellen Verzeichnisse für alle drei Server auf.
Einstellungen der virtuellen Verzeichnisse für Clientzugriffsserver ohne Internetverbindung in einer Organisation, die NLB verwendet
| Virtuelles Verzeichnis | InternalURL-Einstellung | ExternalURL-Einstellung | Einstellung NLBBypassURL | Authentifizierungsmethode |
|---|---|---|---|---|
/OWA |
https://Computername/OWA |
|
$Null |
Integrierte Windows-Authentifizierung |
/OAB |
https://NLBname/OAB |
|
$Null |
Integrierte Windows-Authentifizierung |
/UnifiedMessaging |
https://NLBname/UnifiedMessaging |
|
$Null |
Integrierte Windows-Authentifizierung |
/Microsoft-Server-ActiveSync |
https://NLBname/Microsoft-Server-ActiveSync |
|
$Null |
Integrierte Windows-Authentifizierung |
/EWS |
https://NLB_Name/EWS |
|
https://Computername/EWS |
Integrierte Windows-Authentifizierung |
Hinweis
Für Outlook Web Access und die Exchange-Webdienste muss Kerberos-Authentifizierung aktiviert sein.
Die Eigenschaft ExternalURL für alle virtuellen Verzeichnisse sollte auf $Null festgelegt werden. Wenn die Eigenschaft ExternalURL auf einen anderen Wert als $Null festgelegt wird, funktionieren die Clientzugriffsserver so, als hätten sie eine Internetverbindung, wodurch verhindert wird, dass Clients erfolgreich eine Verbindung mit diesen Servern herstellen oder an diese Server umgeleitet werden können.
Die Outlook Web Access- und Exchange-Webdienste gehen mit dem Lastenausgleich anders um als der Verfügbarkeitsdienst und Exchange ActiveSync. Outlook Web Access und die Exchange-Webdienste implementieren einen eigenen Lastenausgleich, wenn die Proxyweiterleitung an einen Standort mit mehreren Clientzugriffsservern erfolgt. Wenn ein Benutzer versucht, auf Outlook Web Access über https://www.contoso.com/owa zuzugreifen and an einen Active Directory-Standort ohne Internetverbindung weitergeleitet wird, der CAS-01, CAS-02 und CAS-03 enthält, wird ein Benutzer, der erstmals an CAS-01 weitergeleitet wird, immer an CAS-01 weitergeleitet. Dies geschieht selbst dann, wenn CAS-02 eine niedrigere Anzahl gleichzeitiger Verbindungen aufweist. Wenn CAS-01 nicht verfügbar ist, wird der Benutzer über den Proxy an CAS-02 weitergeleitet.
Hinweis
Sowohl für Outlook Web Access als auch für die Exchange-Webdienste sollte die Firewall für IP-Affinität oder auf Cookies basierende Affinität konfiguriert sein. Dies ist das Verfahren, mit dem eine bestimmte Clientanwendung immer die Verbindung zur gleichen IP-Adresse herstellt. Dies ist erforderlich, damit die SSL-Aushandlung nicht wiederholt für jede Anforderung ausgeführt werden muss.
Bei Exchange ActiveSync ist das Verfahren ein anderes. Wenn ein Clientzugriffsserver mit Internetverbindung eine Anforderung über den Proxy an einen Clientzugriffsserver ohne Internetverbindung weiterleitet, wird die Verbindung unter Verwendung der Informationen, die im lokalen Administratorkonto gespeichert sind, aufrecht gehalten. Diese Verbindung kann dann von anderen Benutzeranforderungen verwendet werden. In einem Szenario mit Netzwerklastenausgleich stellen die Clientzugriffsserver im NLB mit Internetverbindung Verbindungen zu den Clientzugriffsservern im NLB ohne Internetverbindung her. Die Anzahl der Verbindungen entspricht der Anzahl der Clientzugriffsserver am Active Directory-Zielstandort. Es empfiehlt sich, innerhalb des NLB-Arrays einen Round Robin-Lastenausgleich zu implementieren.
Hinweis
Es empfiehlt sich zudem, den Netzwerklastenausgleich sowohl am Active Directory-Standort mit Internetverbindung als auch am Active Directory-Standort ohne Internetverbindung zu implementieren. Wenn an einem Active Directory-Standort ohne Internetverbindung und ohne Netzwerklastenausgleich einer der Clientzugriffsserver nicht verfügbar ist, schlagen die Verbindungsversuche aller Exchange ActiveSync-Clients, die vorher über den Proxy auf diesen Clientzugriffsserver weitergeleitet wurden, fehl, bis dieser Clientzugriffsserver wieder verfügbar ist. Der Synchronisierungsstatus für Exchange ActiveSync wird im Postfach des Clients gespeichert. Wenn ein Client daher bei der ersten Verbindung über den Proxy an CAS-02 weitergeleitet wird, wird er auch bei jeder neuen Verbindung an CAS-02 weitergeleitet.
Weitere Informationen zum Netzwerklastenausgleich finden Sie in der Dokumentation zu Windows Server 2003.
Hinweis
In vielen Bereitstellungen befinden sich die Serverfunktionen ClientAccess und Hub-Transport auf dem gleichen Computer. In dieser Topologie kann der Netzwerklastenausgleich für die Serverfunktion ClientAccess getrennt von der Serverfunktion Hub-Transport konfiguriert werden. Für die Serverfunktion Hub-Transport wird der Netzwerklastenausgleich zurzeit nicht unterstützt. Er wird allerdings für die Serverfunktion ClientAccess unterstützt. Zum Konfigurieren des Netzwerklastenausgleichs für die Serverfunktion ClientAccess und nicht für die Serverfunktion Hub-Transport konfigurieren Sie die Ports 80 und 443 für den Clientzugriff. Die Serverfunktion Hub-Transport implementiert eigene Hochverfügbarkeitseigenschaften innerhalb der Software.
Zusammenfassung der Clientzugriffsmethoden
In der folgenden Tabelle werden die Protokolle zusammengefasst, die für den Zugriff auf Exchange 2007 verwendet werden. Darüber hinaus wird erläutert, wie diese Protokolle für die Proxy- und Umleitungsfunktion verwendet werden.
Clientzugriffsprotokolle für Umleitungs- und Proxyfunktion
| Protokoll | Kommunikation von Clientzugriffsserver zu Postfachserver innerhalb von Active Directory-Standorten unterstützt | Umleitung zwischen Clientzugriffsservern unterstützt | Proxyfunktion zwischen Clientzugriffsservern unterstützt | Kommentare |
|---|---|---|---|---|
Outlook Web Access |
Nein |
Ja |
Ja |
Muss über einen Clientzugriffsserver an jedem Active Directory-Standort verfügen, der einen Postfachserver enthält, sowie an jedem Active Directory-Standort mit Internetverbindung, um Outlook Web Access verwenden zu können. |
Exchange ActiveSync |
Nein |
Verwenden Sie den AutoErmittlungsdienst, um den richtigen Clientzugriffsserver-Endpunkt zu ermitteln. |
Ja |
Setzt für die Verwendung von Exchange ActiveSync einen Clientzugriffsserver an jedem Active Directory-Standort voraus. |
Exchange-Webdienste |
Ja in RTM, nein in SP1 |
Verwenden Sie den AutoErmittlungsdienst, um den richtigen Clientzugriffsserver-Endpunkt zu ermitteln. |
Nein für RTM, ja für SP1 |
Setzt für die Verwendung der Exchange-Webdienste einen Clientzugriffsserver an jedem Active Directory-Standort voraus. |
Verfügbarkeitsdienst (verwendet von Office Outlook 2007) |
Nein |
Verwenden Sie den AutoErmittlungsdienst, um den richtigen Clientzugriffsserver-Endpunkt zu ermitteln. |
Ja |
Setzt für die Verwendung des Verfügbarkeitsdiensts einen Clientzugriffsserver an jedem Active Directory-Standort voraus. |
Outlook Anywhere (RPC über HTTP) |
Ja, mit RPC |
Nein |
Nicht zutreffend |
Nicht zutreffend |
WebDAV und Exchange 2000 Server oder Exchange 2003 |
Ja, über HTTP |
Nein |
Nicht zutreffend |
Nicht zutreffend |
POP3 und IMAP4 |
Nein |
Nein |
Nein |
Für POP3- und IMAP4-Clients muss sich ein Clientzugriffsserver am gleichen Active Directory-Standort wie das jeweilige Postfach befinden. |
Leistung und Skalierbarkeit der Proxyfunktion
In einer Exchange 2007-Proxyumgebung kann es häufig zu einem Leistungsabfall kommen, wenn bei den Clientzugriffsservern viele gleichlaufende Anforderungen eingehen. Dieses Problem wird oftmals von einem Mangel an Threads und verfügbaren Verbindungen aufgrund von Webdienstanforderungen von ASP.NET verursacht. Dies kann dazu führen, dass der Clientzugriffsserver Anforderungen zurückweist oder dass es beim Verarbeiten von Anforderungen zu einer hohen Latenz kommt.
Zur Lösung dieser Probleme können Sie eine Reihe von ASP.NET-Parametern konfigurieren, indem Sie die Datei Machine.config auf den Clientzugriffsservercomputern bearbeiten. Weitere Informationen zum Konfigurieren dieser Parameter finden Sie im Microsoft Knowledge Base-Artikel 821268 Konflikte, Leistungsabfälle und Blockaden bei Webdienstanforderungen von ASP.NET-Anwendungen.
Zwei der Parameter, die im vorstehenden Knowledge Base-Artikel erörtert werden, müssen in einer Exchange 2007-Proxyumgebung anders festgelegt werden. Es empfiehlt sich, 36 Threads pro Prozessor zuzulassen und den Wert von maxconnections auf 2000 festzulegen.
Weitere Informationen zur Serverleistung finden Sie unter dem folgenden Thema:
Weitere Informationen
Weitere Informationen hierzu finden Sie unter den folgenden Themen: