Risoluzione dei problemi del servizio di individuazione automatica di Exchange 2007 tra più foreste
Ultima modifica dell'argomento: 2011-08-01
Il servizio di individuazione automatica di Microsoft Exchange Server 2007 fornisce gli URL per ogni servizio Web di Exchange ai client Microsoft Office Outlook 2007. Il servizio di individuazione automatica fornisce inoltre la configurazione automatica del profilo per i client Outlook 2007 in un ambiente di messaggistica con Microsoft Exchange.
Quando si installa il ruolo del server Accesso client in un computer su cui è in esecuzione Microsoft Exchange, viene creata una nuova directory virtuale nel sito Web predefinito dei servizi IIS (Internet Information Services). Nel servizio directory di Active Directory viene creato un oggetto SCP (Service Connection Point). Questo oggetto consente a tutti i client connessi al dominio che eseguono Outlook 2007 di eseguire una query su Active Directory e di configurare automaticamente il profilo di Outlook.
Molte organizzazioni hanno topologie complesse che si contraddistinguno per le seguenti condizioni:
L'organizzazione ha molte foreste in cui Exchange è in esecuzione in una foresta di risorse.
Gli account utente dell'organizzazione esistono in una foresta di account separata o in una foresta di utenti.
In questo tipo di scenario con più foreste attendibili, alcune funzionalità di Microsoft Exchange si affidano al servizio di individuazione automatica per accedere agli account utente tra le foreste. Tali funzionalità comprendono il servizio Disponibilità, la Rubrica fuori rete, le risposte Fuori sede e la Messaggistica unificata. In questo scenario, è necessario rendere il servizio di individuazione automatica disponibile a tutti gli utenti tra più foreste attendibili.
Questo argomento non si prefigge lo scopo di spiegare il funzionamento del servizio di individuazione automatica ma piuttosto di illustrare come implementare tale servizio in una topologia con più foreste. In questo argomento vengono inoltre fornite informazioni per risolvere i problemi riscontrati quando il servizio di individuazione automatica viene eseguito in ambienti con più foreste. L'argomento può essere utilizzato come un pratico elenco di controllo di alcuni esempi e metodi comuni per la distribuzione del servizio di individuazione automatica. Utilizzare l'elenco di controllo per risolvere i problemi riscontrati in un ambiente con più foreste.
Per ulteriori informazioni sul funzionamento del servizio di individuazione automatica di Microsoft Exchange e per considerazioni sulla distribuzione, vedere i seguenti argomenti:
Informazioni per la risoluzione dei problemi
Passaggio 1: Verificare la risoluzione dei nomi DNS
In Active Directory, il controller di dominio al quale è assegnato il ruolo PDC Emulator controlla la relazione di trust tra i domini. Verificare pertanto che il controller di dominio al quale è assegnato il ruolo PDC Emulator in ogni foresta riesca a comunicare con la foresta opposta. A tale scopo, utilizzare lo strumento Ping (Packet Internet Groper) per eseguire il ping del nome di dominio dalla foresta opposta.
Organizzazione di Exchange 2007 con più foreste
In questo scenario, utilizzare Ping.exe per verificare la comunicazione con i seguenti elementi:
Dal controller di dominio primario (PDC) in fourthcoffee.com, eseguire il ping di northwindtraders.com.
Dal PDC in northwindtraders.com, eseguire il ping di fourthcoffee.com (la foresta di risorse di Microsoft Exchange).
Da un client Outlook 2007 in northwindtraders.com, eseguire il ping di fourthcoffee.com
Se uno qualunque di questi comandi non riesce, è necessario rivedere la risoluzione dei nomi DNS in ogni foresta. Rivedere ad esempio tutti i seguenti elementi:
Configurazione del client DNS
Zone primarie, zone secondarie e zone stub del server DNS
Opzioni di inoltro DNS e opzioni dei parametri radice
Passaggio 2: Verificare la relazione di trust tra le due foreste
Verificare la relazione di trust tra la foresta di risorse e la foresta di utenti. Tra la foresta di risorse di Exchange e la foresta di account utente è necessario un trust in uscita unidirezionale. Per informazioni dettagliate su come configurare un trust, vedere Create a one-way, outgoing, forest trust for both sides of the trust .
Per convalidare il trust di dominio tra i domini tra le foreste, eseguire lo snap-in Domain.mscsu su un controller di dominio in ogni foresta oppure eseguire il seguente comando Netdom.com:
netdom trust <trusted_domain_name> /domain: <trusting_domain_name> /verify
Se il trust viene convalidato correttamente, vengono ricevuti i seguenti risultati:
Il trust tra northwindtraders.com e fourthcoffee.com è stato verificato correttamente. |
Se è necessario creare nuovamente la relazione di trust tra il dominio (foresta di utenti) della foresta di account e il dominio (foresta di Exchange) della foresta di risorse, eseguire i passaggi riportati di seguito.
Nota
Ai fini di tali passaggi, northwindtraders.com si trova nella foresta di account, mentre Fourthcoffee.com si trova nella foresta di risorse.
Eseguire l'accesso a un controller di dominio nella foresta di account. Avviare quindi i domini di Active Directory e lo snap-in MMC di trust.
In Domini e trust di Active Directory, fare clic con il pulsante destro del mouse sulla foresta di account northwindtraders.com, quindi scegliere Proprietà.
Fare clic sulla scheda Trust, quindi scegliere Nuova relazione di trust.
Nella Creazione guidata nuova relazione di trust fare clic su Avanti.
Nella casella Nome digitare un nome della foresta di risorse. Nell'esempio, digitare fourthcoffee.com, quindi scegliere Avanti.
Fare clic su In ingresso unidirezionale, quindi scegliere Avanti.
Nella pagina Parti del trust fare clic su Questo dominio e il dominio specificato, quindi su Avanti.
Nella pagina Nome utente e password immettere le credenziali di un account che dispone dei diritti di amministrazione nel dominio degli account. Digitare ad esempio le credenziali di un account Administrator nel dominio fourthcoffee.com. Fare clic su Avanti.
Fare clic su Autenticazione estesa a tutto il dominio, quindi scegliere Avanti.
Nella pagina Selezioni trust completate rivedere le impostazioni di trust e fare clic su Avanti.
Nella pagina Creazione trust completata fare clic su Avanti.
Nella pagina Conferma trust in ingresso fare clic su Sì, confermare il trust in ingresso, scegliere Avanti, quindi fare clic su Fine.
Verificare che la nuova relazione di trust fourthcoffee.com sia visualizzata in Domini trusting di questo dominio (trust in ingresso) nella finestra di dialogo Proprietà northwindtraders.com.
Passaggio 3: Verificare le autorizzazioni dell'account principale a una cassetta postale collegata
Nella foresta di risorse (forthcoffee.com) è necessario creare una cassetta postale collegata per ogni utente nella foresta di account (northwindtraders.com). Verificare che l'account principale disponga dell'accesso completo alla cassetta postale collegata e all'indirizzo SMTP. A tale scopo, utilizzare i cmdlet Get-Mailbox e Get-MailboxPermission.
Per ulteriori informazioni, vedere Creazione di una cassetta postale collegata.
Quando si eseguono i cmdlet, verranno visualizzati risultati simili a quelli riportati di seguito:
Get-Mailbox <mailbox_user> | fl
PrimarySmtpAddress : |
Vandy@fourthcoffee.com |
RecipientType : |
UserMailbox |
RecipientTypeDetails : |
LinkedMailbox |
IsLinked : |
True |
LinkedMasterAccount : |
NORTHWINDTRADERS\Vandy |
Get-MailboxPermission <mailbox_user> | fl
AccessRights : |
{FullAccess, ExternalAccount} |
InheritanceType : |
All |
Utente: |
NORHTWINDTRADERS\Vandy |
Identity : |
Fourthcoffee.com/Users/Vandy |
Per utilizzare Exchange Management Console per creare una cassetta postale collegata nella foresta di risorse, eseguire i passaggi riportati di seguito:
In Exchange Management Console, fare clic su Cassetta postale in Configurazione destinatario, quindi scegliere Nuova cassetta postale nel riquadro Azioni.
Nella finestra di dialogo Nuova cassetta postale fare clic su Cassetta postale collegata, quindi su Avanti.
Scegliere Nuovo utente, quindi fare clic su Avanti.
Nella pagina Informazioni utente immettere le informazioni utente relative al dominio delle risorse (fourthcoffee.com). Immettere ad esempio le seguenti informazioni utente:
Campo
Valore
Unità organizzativa
Fourthcoffee.com/Utenti
Nome
Vandy
Nome
Vandy@fourthcoffee.com
Nome accesso utente
Vandy
Password
<password>
Conferma password:
<password>
Fare clic su Avanti.
Nella casella Alias, immettere un alias utente. Ad esempio, digitare vandy. Fare clic su Avanti.
Nella pagina Account principale, immettere le informazioni account per la foresta di account. Immettere ad esempio le seguenti informazioni utente:
Campo
Valore
Foresta o dominio trusted
Northwindtraders.com
Nome utente
Northwindtraders\amministratore
Password
<password>
Controller di dominio collegato
dc-1.northwindtraders.com
Account principale collegato
Northwindtraders\vandy
Fare clic su Avanti.
In Riepilogo configurazione, verificare che la configurazione della cassetta postale collegata sia corretta, fare clic su Avanti, quindi scegliere Fine.
La nuova cassetta postale collegata viene visualizzata nel riquadro dei dettagli Cassetta postale - Fourthcoffee.com.
Passaggio 4: Verificare gli attributi Keywords e ServiceBindingInformationService del servizio SCP (Service Connection Point)
Quando si esegue il cmdlet Export-AutoDiscoverConfig, nella foresta di account viene creato un nuovo oggetto SCP (Service Connection Point). Questo oggetto SCP punta a un URL del servizio di individuazione automatica nella foresta di risorse. Affinché il client Outlook 2007 riesca a individuare un SCP per rispondere alla richiesta di individuazione automatica, sono richiesti i seguenti due attributi:
Keywords
ServiceBindingInformationService
Nella foresta di risorse, lo scopo di questi attributi è quello riportato di seguito:
L'attributo Keywords contiene il nome del sito in cui risiede il server Accesso client (CAS). L'attributo Keywords controlla l'affinità del sito per aiutare il client Outlook 2007 a trovare il miglior CAS per rispondere alle richieste di Outlook.
L'attributo ServiceBindingInformation contiene l'URL di individuazione automatica. Ad esempio, https://<cas_server>.example.fourthcoffee.com/autodiscover/autodiscover.xml.
Nella foresta di account, lo scopo di questi attributi è quello riportato di seguito:
L'attributo Keywords contiene tutti i domini SMTP accettati e autorevoli. In Exchange Management Console, queste informazioni sono visualizzate in Configurazione organizzazione\Trasporto Hub\Domini accettati.
L'attributo ServiceBindingInformation contiene un URL LDAP, ad esempio ldap://fourthcoffee.com, per la foresta di risorse di Microsoft Exchange.
Per esaminare gli attributi Keywords e ServiceBindingInformationService nell'oggetto SCP per ogni server Accesso client di Microsoft Exchange, è possibile utilizzare il comando ldifde.exe, Adsiedit.msc o il cmdlet Get-ClientAccessServer. È ad esempio possibile utilizzare i seguenti comandi.
Comando Ldifde
Ldifde -f scp_account.txt -d "CN=Fourthcoffee.com,CN=Microsoft Exchange Autodiscover,CN=Services,CN=Configuration,DC=Nwtraders,DC=com"
Risultati
Nome distinto (DN): |
CN=Fourthcoffee.com,CN=MicrosoftExchange Autodiscover,CN=Services,CN=Configuration,DC=Northwindtraders,DC=com |
distinguishedName: |
CN=Fourthcoffee.com,CN=Microsoft Exchange Autodiscover,CN=Services,CN=Configuration,DC=Northwindtraders,DC=com |
keywords: |
Domain=Example.com |
keywords: |
Domain=Fourthcoffee.com |
keywords: |
67661D7F-8FC4-4fa7-BFAC-E1D7794C1F68 |
serviceBindingInformation: |
LDAP://Fourthcoffee.com |
Cmdlet Get-ClientAccessServer
Get-ClientAccessServer | fl *Auto*
Risultati
AutoDiscoverServiceCN : |
CAS_SERVER |
AutoDiscoverServiceClassName : |
ms-Exchange-AutoDiscover-Service |
AutoDiscoverServiceInternalUri : |
https://cas_server.fourthcoffee.com/Autodiscover/Autodiscover.xml |
AutoDiscoverServiceGuid : |
77378f46-2c66-4aa9-a6a6-3e7a48b19596 |
AutoDiscoverSiteScope : |
{Default-First-Site-Name} |
Passaggio 5: Verificare il rilevamento SCP da un client Outlook 2007
Se gli oggetti SCP Keywords e ServiceBindingInformationService sono presenti e configurati correttamente, verificare che un client Outlook 2007 sia in grado di individuare gli oggetti. A tale scopo, seguire la procedura riportata di seguito:
Modificare l'oggetto Criteri di gruppo predefiniti dei controller di dominio nella foresta di risorse per abilitare il controllo.
Espandere Configurazione computer, Impostazioni di Windows, Impostazioni protezione, Criteri locali e quindi Criteri di controllo.
Nel riquadro dei dettagli fare doppio clic su Controlla accesso al servizio directory, selezionare la casella di controllo Operazione riuscita, quindi fare clic su OK.
Attivare il controllo delle operazioni riuscite per i seguenti criteri:
Controlla eventi accesso account
Controlla gestione degli account
Controlla accesso al servizio directory
Controlla eventi di accesso
Controlla modifica ai criteri
Controlla eventi di sistema
Avviare lo snap-in ADSIEdit.msc su un controller di dominio nella foresta di account per attivare il controllo dell'oggetto SCP fourthcoffee.com.
In ADSI Edit, espandere il contenitore Configurazione, quindi espandere il seguente percorso:
CN=Fourthcoffee.com,CN=Microsoft Exchange Autodiscover,CN=Services,CN=Configuration,DC=Northwindtraders,DC=com
Fare clic con il pulsante destro del mouse sull'oggetto Servizio di individuazione automatica di Microsoft Exchange e scegliere Proprietà.
Scegliere la scheda Protezione, quindi fare clic su Avanzate, poi su Controllo.
Nell'elenco Voci di controllo, aggiungere il gruppo Tutti.
Nell'elenco Accesso selezionare la casella di controllo Leggi tutte le proprietà nella colonna Operazione completata.
Fare clic su OK tre volte per salvare le modifiche apportate all'oggetto.
Creare un profilo di Outlook 2007 oppure utilizzare la funzionalità Prova configurazione automatica posta elettronica per generare eventi di controllo. Entrambi i metodi generano i seguenti eventi nel registro eventi di sistema e nel registro di protezione.
Eventi registro di sistema
Nel registro eventi di sistema, per ogni accesso riuscito viene registrato l'ID evento 540.
|
Eventi registro di protezione
Se l'utente non riesce a eseguire una query sull'oggetto SCP, nel registro di protezione viene registrato il seguente evento. Nella descrizione di questo evento, il nome dell'oggetto è l'oggetto SCP nella foresta di account.
Origine evento: Protezione Categoria: Accesso servizio directory ID evento: 566 Utente: NORTHWINDTRADERS\<UserName> Descrizione: Funzionamento oggetto Server oggetto: DS Tipo di operazione: Accesso oggetto Tipo di oggetto: serviceConnectionPoint Nome oggetto: CN=fourthcoffee.com,CN=Microsoft Exchange Autodiscover,CN=Services,CN=Configuration,DC=northwindtraders,DC=com ID handle: - Nome utente primario: <UserName> Dominio primario: NORTHWINDTRADERS |
Passaggio 6: Revisionare le impostazioni del certificato
Per impostazione predefinita, quando si installa il ruolo del server Accesso client, viene installato un certificato autofirmato. Questo certificato ha un nome comune di cui viene eseguito il mapping al nome NetBIOS del server. Il certificato autofirmato include inoltre il nome di dominio completo interno del server come nome DNS aggiuntivo archiviato nel campo del certificato Nome alternativo soggetto (SAN). Ciò consente ai client connessi al dominio di collegarsi correttamente al servizio di individuazione automatica senza ricevere avvisi del certificato, se il certificato non è scaduto. Per ulteriori informazioni, vedere la sezione Servizio di individuazione automatica e certificati del white paper White Paper: Exchange 2007 Autodiscover Service.
Nota
Il certificato autofirmato viene in genere sostituito da un altro certificato generato utilizzando Servizi certificati di Windows oppure ottenuto da un'autorità di certificazione esterna. Generalmente il nuovo certificato include i nomi DNS che si differenziano o sono aggiuntivi rispetto a quelli inclusi nel certificato autofirmato originale. Gli esempi in questa sezione si basano su un certificato che è stato generato da un'autorità di certificazione interna.
Utilizzare il cmdlet Get-ExchangeCertificate per rivedere il certificato di Exchange sul server Accesso client. Quando si esegue questo cmdlet, verificare i seguenti attributi:
CertificateDomains
Services
Status
IsSelfSigned
Issuer
Subject
Cmdlet Get-ExchangeCertificate
Get-ExchangeCertificates | fl
Risultati
CertificateDomains : {mail.fourthcoffee.com, TX136711-MS1, TX136711-MS1.fourthcoffee.com, Fourthcoffee.com, autodiscover.Fourthcoffee.com } HasPrivateKey : True IsSelfSigned : False Issuer : CN=Fourthcoffee, DC=Fourthcoffee, DC=com Services : IMAP, POP, IIS Status : Valid Subject : CN=mail.fourthcoffee.com |
Passaggio 7: Eseguire il cmdlet Export-AutodiscoverConfig
Ogni volta che si crea un nuovo dominio accettato autorevole in Configurazione organizzazione\Trasporto Hub\Domini accettati in Exchange Management Console, è necessario eseguire il cmdlet Export-AutodiscoverConfig. Questa operazione consente di aggiornare l'attributo keyword nella foresta degli account.
Nota
L'attributo keyword non viene aggiornato automaticamente nella foresta di account quando si crea un nuovo dominio accettato autorevole.
Prima di eseguire il cmdlet Export-AutodiscoverConfig, le informazioni relative all'attributo keywords sono simili a quelle riportate di seguito:
Nome distinto (DN): |
CN=Fourthcoffee.com,CN=MicrosoftExchange Autodiscover,CN=Services,CN=Configuration,DC=Northwindtraders,DC=com |
distinguishedName: |
CN=Fourthcoffee.com,CN=Microsoft Exchange Autodiscover,CN=Services,CN=Configuration,DC=Northwindtraders,DC=com |
keywords: |
Domain=dallas.com |
keywords: |
Domain=Fourthcoffee.com |
keywords: |
67661D7F-8FC4-4fa7-BFAC-E1D7794C1F68 |
serviceBindingInformation: |
LDAP://Fourthcoffee.com |
Su un server CAS di Exchange nella foresta di origine, eseguire il comando riportato di seguito per recuperare le credenziali richieste per eseguire il cmdlet Export-AutodiscoverConfig:
$a = Get-Credential
Eseguire quindi il seguente comando Export-AutodiscoverConfig:
Export-AutoDiscoverConfig -DomainController <FQDN> -TargetForestDomainController <String> -TargetForestCredentials $a -MultipleExchangeDeployments $true
Passaggio 8: Eseguire lo strumento Extra.exe di Exchange 2007
Utilizzare Microsoft ExTRA (Exchange Troubleshooting Assistant) (Extra.exe) per analizzare il servizio di individuazione automatica.
Fare clic su Start, scegliere Esegui, digitare extra.exe, quindi scegliere OK.
Fare clic su Vai alla schermata iniziale, quindi scegliere Selezionare un'attività.
Scegliere Controllo traccia, quindi fare clic su OK se viene visualizzato un messaggio per informare che Exchange non dispone di un modulo per interpretare le tracce.
Scegliere Imposta tag di traccia manuali, quindi fare clic per selezionare le seguenti caselle di controllo relative al tipo di traccia:
PFD
Errore
irreversibile
Avviso
Info
Prestazioni
Funzione
Nell'elenco Componenti da tracciare, selezionare le seguenti caselle di controllo:
ADProvider
MSExchangeAutodiscover
Fare clic su Avvia traccia.
Risultati
I seguenti risultati di analisi mostrano un profilo di Outlook 2007 creato correttamente. Per seguire i risultati della traccia, determinare l'account utente di cui si desidera risolvere il problema insieme al corrispondente UserID. Nell'esempio, l'account utente è Tim@dallas.com.
577502E94268MSExchangeAutodiscoverFramework[Provider.base()] Timestamp="16:53:55.5388560";CompterNameHash="1359685320";EmailAddress="Tim@dallas.com";LegacyDN="";UserSID="S-1-5-21-1704072791-1889598559-3047533862-1110"; 57870ADProviderLdapFilterBuilderLdapFilterBuilder::LdapFilterFromQueryFilter - forming LDAP Filter for (&((&((|((Sid Equal S-1-5-21-1704072791-1889598559-3047533862-1110)(MasterAccountSid Equal S-1-5-21-1704072791-1889598559-3047533862-1110)))(ObjectClass NotEqual foreignSecurityPrincipal)))(|((ObjectCategory Equal person)(ObjectCategory Equal msExchDynamicDistributionList)(ObjectCategory Equal group)(ObjectCategory Equal publicFolder)(ObjectCategory Equal msExchPublicMDB)(ObjectCategory Equal msExchSystemMailbox)(ObjectCategory Equal msExchExchangeServerRecipient)(ObjectCategory Equal exchangeAdminService)))(!((&((ExchangeVersion GreaterThanOrEqual 1.0 (0.0.0.0))(Exists(ExchangeVersion)))))))). 57880ADProviderLdapFilterBuilderLdapFilterBuilder::LdapFilterFromQueryFilter - Ldap filter = (&(|(objectSid=S-1-5-21-1704072791-1889598559-3047533862-1110)(msExchMasterAccountSid=S-1-5-21-1704072791-1889598559-3047533862-1110))(!(objectClass=foreignSecurityPrincipal))(|(objectCategory=person)(objectCategory=msExchDynamicDistributionList)(objectCategory=group)(objectCategory=publicFolder)(objectCategory=msExchPublicMDB)(objectCategory=msExchSystemMailbox)(objectCategory=msExchExchangeServerRecipient)(objectCategory=exchangeAdminService))(!(&(msExchVersion>=1125899906842624)(msExchVersion=*)))). 5799013965FAADProviderADFindADSession::Find using vandyr139404c.nwtraders.com:3268 - LDAP search from , scope 2, filter (&(|(objectSid=S-1-5-21-1704072791-1889598559-3047533862-1110)(msExchMasterAccountSid=S-1-5-21-1704072791-1889598559-3047533862-1110))(!(objectClass=foreignSecurityPrincipal))(|(objectCategory=person)(objectCategory=msExchDynamicDistributionList)(objectCategory=group)(objectCategory=publicFolder)(objectCategory=msExchPublicMDB)(objectCategory=msExchSystemMailbox)(objectCategory=msExchExchangeServerRecipient)(objectCategory=exchangeAdminService))(!(&(msExchVersion>=1125899906842624)(msExchVersion=*)))), sizeLimit 2, timeout 00:00:30 66130MSExchangeAutodiscoverFramework[LoadProvider()] 'provider "Microsoft.Exchange.Autodiscover.Providers.Outlook.OutlookAutoDiscoverProvider, Microsoft.Exchange.Autodiscover, Version=8.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" is loaded' 661702E94268MSExchangeAutodiscoverFramework[base.GenerateResponseXml()] 'redirectOrError=false; 'Calling provider's WriteConfigXml()' 668003B97E22MSExchangeAutodiscoverFramework[OnLoad()] 'Request is successfully processed' |
Ulteriori informazioni
Per ulteriori informazioni, vedere i seguenti documenti:
Configurazione del servizio di individuazione automatica per più foreste
Configurazione del servizio di individuazione automatica per l'uso delle affinità di siti
Come configurare il servizio di individuazione automatica per spostamenti tra foreste
Come distribure Exchange 2007 in una topologia di foresta di risorse di Exchange
Come convertire una cassetta postale in una cassetta postale collegata