Considerazioni relative alla distribuzione del servizio di individuazione automatica

Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Ultima modifica dell'argomento: 2007-06-12

Il servizio di individuazione automatica per Microsoft Exchange Server 2007 fornisce la configurazione del profilo automatico per i client di Microsoft Office Outlook 2007 connessi all'ambiente di messaggistica di Exchange.

Requisiti di topologia del servizio di individuazione automatica

Per il corretto funzionamento del servizio di individuazione automatica in Outlook 2007, è necessario assicurarsi che l'organizzazione di Exchange soddisfi i seguenti requisiti:

• È necessario disporre di almeno un server Accesso client di Exchange 2007 installato nella distribuzione di Exchange. Per le funzioni di Exchange come il servizio Disponibilità e Messaggistica unificata, è necessario disporre anche dei ruoli del server Messaggistica unificata, Trasporto Hub e Cassette postali installati nel server Accesso client o in un altro server.

• Lo schema di Exchange 2007 Active Directory deve essere applicato alla foresta in cui verrà eseguito il servizio di individuazione automatica.

Connessione al servizio di individuazione automatica da Internet

Se si fornisce l'accesso esterno a Microsoft Exchange tramite l'utilizzo di Outlook via Internet (denominato in precedenza RPC su HTTP) e si desidera che i client Outlook 2007 siano configurati automaticamente con il servizio di individuazione automatica, è necessario installare un certificato SSL valido nel server Accesso client che includa sia il nome comune (ad esempio, mail.contoso.com) sia un nome soggetto alternativo per autodiscover.contoso.com. Per informazioni su come configurare il certificato SSL per utilizzare un nome soggetto alternativo, vedere Come configurare i certificati SSL per utilizzare più nomi host del server Accesso client. Inoltre, è necessario configurare correttamente i servizi di Exchange, quali il servizio Disponibilità, prima che il servizio di individuazione automatica possa fornire gli URL esterni corretti ai client. Per ulteriori informazioni, vedere Come configurare i servizi di Exchange per il servizio di individuazione automatica.

Quando tenta di connettersi alla distribuzione di Microsoft Exchange, il client individua il servizio di individuazione automatica su Internet utilizzando l'indirizzo SMTP primario del dominio dall'indirizzo di posta elettronica dell'utente. Se il servizio di individuazione automatica è stato configurato per disporre di un nome separato dal nome host DNS dell'organizzazione esistente, l'URL del servizio di individuazione automatica sarà https://<dominio-indirizzo-smtp>/autodiscover/autodiscover.xml o https://autodiscover.<dominio-indirizzo-smtp>/autodiscover/autodiscover.xml. Ad esempio, se l'indirizzo di posta elettronica dell'utente è monica@contoso.com, il servizio di individuazione automatica deve essere individuato in https://contoso.com/autodiscover.xml o https://autodiscover.contoso.com/autodiscover/autodiscover.xml. Quindi, è necessario aggiungere un record host per il servizio di individuazione automatica alla zona DNS esterna.

Per ulteriori informazioni, vedere Come configurare il servizio di individuazione automatica per l'accesso Internet.

Utilizzo di più siti per l'accesso Internet al servizio di individuazione automatica

Si consiglia di ospitare il servizio di individuazione automatica in un sito separato se si gestisce un sito Web altamente visitato e che ospita anche il traffico di posta elettronica. Per ospitare il servizio di individuazione automatica su un sito separato sullo stesso computer in cui sono presenti altre funzioni di Exchange, procedere nel modo indicato di seguito.

1. (Facoltativo) Per ospitare il servizio di individuazione automatica, configurare un sito diverso su un computer Accesso client   È possibile creare un sito diverso per ospitare il traffico del servizio di individuazione automatica utilizzando il cmdlet New-AutodiscoverVirtualDirectory. Questo passaggio facoltativo è consigliato se il dominio dell'indirizzo SMTP è lo stesso del sito Web aziendale e questo viene visitato di frequente. Ad esempio, se il sito Web aziendale è www.contoso.com, il dominio SMTP di posta elettronica è contoso.com e il sito Web aziendale (www.contoso.com) è visitato frequentemente, si consiglia di creare un sito separato e ospitare il servizio di individuazione automatica in autodiscover.contoso.com.

2. (Obbligatorio) Configurare un certificato SSL valido   Configurare un certificato SSL valido proveniente da un'autorità di certificazione (CA) disponibile nell'elenco locale. Per ospitare il servizio di individuazione automatica in un sito diverso, vedere Come configurare i certificati SSL per utilizzare più nomi host del server Accesso client.

3. (Facoltativo) Aggiornare l'oggetto SCP   È necessario aggiornare l'oggetto SCP (Service Connection Point) nel servizio directory di Active Directory per specificare a quale server Accesso client e a quale directory virtuale di individuazione automatica i client si devono connettere.

Per ulteriori informazioni, vedere Come configurare il servizio di individuazione automatica per l'accesso Internet.

Nella figura 1 viene illustrato un ambiente in cui il servizio di individuazione automatica viene distribuito in un sito Active Directory diverso dal sito Active Directory in cui risiedono i server Exchange.

Figura 1   Utilizzo di più siti per il servizio di individuazione automatica

Nella figura 1, il firewall Internet Security and Acceleration (ISA) Server 2006 consente la pubblicazione di due siti mediante due Web listener. Il primo sito, autodiscover.contoso.com, fornisce l'accesso alla directory virtuale di Autodiscover sul server Accesso client e viene assegnato a un indirizzo IP. Per il traffico interno nel server Accesso client, è necessario configurare un Web listener e pubblicare tutte le directory virtuali su tale sito. Il secondo sito, mail.contoso.com, fornisce l'accesso alle altre funzionalità di Exchange e ha un secondo indirizzo IP univoco. Non pubblicare la directory virtuale di Autodiscover su questo sito.

Configurazione del servizio di individuazione automatica per l'utilizzo delle affinità di siti per la comunicazione interna

Se si gestisce un'organizzazione distribuita di grandi dimensioni che ha siti Active Directory separati da una connettività di rete con larghezza di banda limitata, si consiglia l'utilizzo delle affinità di siti per il servizio di individuazione automatica per il traffico basato su Intranet. Per utilizzare l'affinità di siti, specificare i siti Active Directory preferiti dai client per la connessione a una particolare istanza del servizio di individuazione automatica. La specifica dei siti Active Directory preferiti è anche nota come configurazione dell'ambito del sito.

L'affinità dei siti viene configurata utilizzando il cmdlet Set-ClientAccessServer. Il cmdlet consente di specificare i siti Active Directory preferiti per la connessione al servizio di individuazione automatica in un server Accesso client specifico. Una volta configurata l'affinità di siti per il servizio di individuazione automatica, il client si connetterà al servizio di individuazione automatica come specificato. Per informazioni sul cmdlet Set-ClientAccessServer, vedere Set-ClientAccessServer.

Prendere in considerazione una topologia che include una foresta con tre siti denominati come segue:

• US-contoso   Sito contoso che si trova in Nord America

• Europe-contoso   Sito contoso che si trova in Europa

• APAC-contoso   Sito contoso che si trova in Asia

In questo esempio, il servizio di individuazione automatica è attivato su ciascun sito e ciascun sito include cassette postali dell'utente. Il sito US-contoso è connesso al sito Europe-contoso tramite una connessione ad alta velocità. Il sito US-contoso è connesso al sito APAC-contoso tramite una connessione a bassa velocità. Il sito APAC-contoso è connesso al sito Europe-contoso tramite una connessione ad alta velocità.

In base a tali fattori di connettività, è consigliabile consentire agli utenti dei siti US-contoso ed Europe-contoso di utilizzare il sito US-contoso o Europe-contoso, agli utenti del sito Europe-contoso di utilizzare qualsiasi sito per accedere al servizio di individuazione automatica e agli utenti del sito APAC-contoso di utilizzare il sito APAC-contoso o Europe-contoso. Infine, è possibile raggiungere i server Accesso client utilizzando uno spazio dei nomi interno comune per tutti i siti.

È possibile configurare l'ambito del sito per i server Accesso client nel sito US-contoso, impostandoli per dare la preferenza all'utilizzo dei siti di Active Directory US-contoso ed Europe-contoso per accedere al servizio di individuazione automatica utilizzando il seguente comando.

Set-ClientAccessServer -Identity "us-cas" -AutodiscoverServiceInternalURI "https://internal.contoso.com/autodiscover/autodiscover.xml" -AutodiscoverServiceSiteScope "us-contoso","europe-contoso"

Non è necessario specificare i siti Active Directory ai quali gli utenti devono connettersi per accedere al servizio di individuazione automatica nei server Accesso client nel sito Europe-contoso, in quanto la vleocità di connessione da questo sito agli altri siti è sufficientemente elevata. Il seguente comando consente agli utenti del sito Europe-Contoso di accedere a tutti i server Accesso client per utilizzare il servizio di individuazione automatica:

Set-ClientAccessServer -Identity "europe-cas" -AutodiscoverServiceInternalURI "https://internal.contoso.com/autodiscover/autodiscover.xml"

Infine, è possibile configurare l'ambito del sito per il servizio di individuazione automatica nei server Accesso client nel sito APAC-contoso, impostandoli per dare preferenza all'utilizzo dei siti US-contoso ed Europe-contoso per via della velocità di connessione elevata a tali siti. A tale scopo, eseguire il comando riportato di seguito:

Set-ClientAccessServer -Identity "apac-cas" -AutodiscoverServiceInternalURI "https://internal.contoso.com/autodiscover/autodiscover.xml" -AutodiscoverServiceSiteScope "apac-contoso","europe-contoso"

Pertanto, se un client del sito US-contoso dispone di una cassetta postale posizionata nel sito Europe-contoso e tenta di trovare il servizio di individuazione automatica, il client può selezionare l'istanza del servizio che presenta site=US-contoso o site=Europe-contoso.

Se non viene specificato l'ambito del sito per il servizio di individuazione automatica, il client potrebbe restituire il parametro autodiscoverInternalUri per il sito APAC-contoso a causa della connessione lenta al sito US-contoso.

Per ulteriori informazioni sull'affinità di siti, vedere Configurazione del servizio di individuazione automatica per l'uso delle affinità di siti.

Configurazione del servizio di individuazione automatica per più foreste

È possibile distribuire Microsoft Exchange utilizzando più foreste. Due degli scenari di distribuzione di più foreste sono la topologia di foresta di risorse e la topologia a più foreste attendibili. Nelle sezioni seguenti viene descritto come il servizio di individuazione automatica viene utilizzato in questi due scenari di distribuzione.

Configurazione del servizio di individuazione automatica in una topologia di foresta di risorse

Se si sta utilizzando una topologia con foreste di risorse, gli account utente risiedono in una foresta (indicata come foresta di account utente) e Microsoft Exchange è distribuito in una foresta separata (indicata come foresta di risorse). In questo scenario, il client contatta Active Directory nella foresta di account utente per individuare l'URL relativo al servizio di individuazione automatica. Dal momento che il servizio è ospitato nella foresta di risorse, è necessario aggiornare Active Directory nella foresta di account utente per includere le informazioni richieste da Active Directory per consentire al client di accedere alla foresta di risorse. A tale scopo, è necessario creare un record del puntatore SCP di individuazione automatica in Active Directory nella foresta di account utente. Il record del puntatore SCP di individuazione automatica include l'URL LDAP (Lightweight Directory Access Protocol) della foresta di risorse che il client utilizzerà per individuare il servizio di individuazione automatica.

Per creare il record del puntatore SCP di individuazione automatica nella foresta di account utente, utilizzare il cmdlet Export-AutoDiscoveryConfig dalla foresta di risorse che ha il servizio di individuazione automatica per la foresta di account utente. Per ulteriori informazioni, vedere Configurazione del servizio di individuazione automatica per più foreste.

Configurazione del servizio di individuazione automatica in una topologia a più foreste attendibili

In uno scenario di più foreste trusted, gli account utente e Microsoft Exchange vengono distribuiti in più foreste. Le funzionalità di Exchange 2007, come il servizio Disponibilità e Messaggistica unificata, dipendono dal servizio di individuazione automatica per accedere a queste funzionalità attraverso le foreste. In questo scenario, il servizio di individuazione automatica deve essere disponibile per gli utenti in più foreste trusted. Questo scenario è simile a quello della foresta di risorse, tranne per il fatto che l'oggetto SCP Autodiscover deve essere configurato in tutte le foreste. Per configurare l'oggetto SCP di individuazione automatica nella topologia a più foreste, eseguire il cmdlet Export-AutoDiscoveryConfig da ciascuna foresta che abbia il servizio di individuazione automatica per ciascuna foresta di destinazione in cui sia distribuito Microsoft Exchange. Per ulteriori informazioni, vedere Configurazione del servizio di individuazione automatica per più foreste.

Ambienti di hosting e servizio di individuazione automatica

Per gli ambienti di hosting, il servizio di individuazione automatica deve essere reindirizzato per ciascun dominio ospitato utilizzando IIS (Internet Information Services). Nella figura 2 viene illustrato il servizio di individuazione automatica in un ambiente di hosting.

Figura 2   Il servizio di individuazione automatica in un ambiente di hosting di Exchange

Per ciascun dominio di posta elettronica ospitato, è necessario configurare un sito insieme alle voci DNS corrispondenti. Ad esempio, il dominio denominato contoso.no deve essere chiamato autodiscover.contoso.no, e il dominio denominato example.contoso.se deve essere chiamato autodiscover.contoso.se. Nel sito indicato nella figura 2 non è necessaria alcuna directory virtuale né l'impostazione di certificati SSL.

In Gestione IIS, configurare il reindirizzamento per ciascun sito a https://mail.contoso.com/autodiscover/autodiscover.xml.

Quando viene configurato il reindirizzamento per questi siti, è necessario utilizzare l'accesso anonimo e disabilitare l'accesso autenticato. Inoltre, assicurarsi di non configurare altre opzioni, quali URL sopra specificato, Sottodirectory dell'URL immesso e Reindirizzamento permanente per la risorsa. Tale configurazione del reindirizzamento assicura che il client di Outlook 2007 riceva una risposta HTTP 302.

Una volta configurato il reindirizzamento, i client di Outlook 2007 tentano di connettersi a https://contoso.no/autodiscover/ e https://autodiscover.contoso.no/autodiscover/ utilizzando una richiesta HTTP POST. Poiché questi siti non sono disponibili, viene tentata da Outlook una richiesta HTTP GET per http://autodiscover.contoso.no/autodiscover.

Poiché in questo sito è configurato il reindirizzamento, IIS restituirà una risposta di reindirizzamento 302 per https://mail.contoso.com/. Il client riceverà la risposta e all'utente verrà chiesto di accettare o rifiutare la richiesta. L'utente deve accettare la richiesta. Successivamente, il client verrà reindirizzato utilizzando una richiesta HTTP POST. In questo esempio non si verificherà alcun avviso di protezione. Infine, il client riceverà la necessaria risposta del servizio di individuazione automatica.

Protezione di Autodiscover

Se si utilizza un sito separato per il servizio di individuazione automatica con un server firewall avanzato come ISA Server 2006, è necessario configurarlo in modo da disporre di due Web listener. I Web listener del server ISA vengono utilizzati per indicare l'indirizzo IP e la porta che devono essere utilizzati dal client. Il primo Web listener viene utilizzato per il servizio di individuazione automatica, il secondo per le altre funzionalità di Microsoft Exchange, come Microsoft Exchange ActiveSync e Outlook via Internet. È possibile configurare il certificato SSL per un singolo sito che utilizza entrambi i Web listener tramite la proprietà subject alternate name del certificato. Per ulteriori informazioni, vedere Come configurare i certificati SSL per utilizzare più nomi host del server Accesso client.

Per impostazione predefinita, il programma di installazione di Exchange 2007 offre la possibilità di installare un certificato SSL autofirmato. Si consiglia di non utilizzare tali certificati per i siti esterni e di utilizzare un certificato da un'autorità di certificazione disponibile nell'elenco locale. Per ulteriori informazioni su come creare e utilizzare certificati SSL validi, vedere i seguenti argomenti:

• Creazione di un certificato o di una richiesta di certificato per TLS

• Come recuperare un certificato server da un'Autorità di certificazione

• Come aggiungere Gestione certificati a MMC (Microsoft Management Console)

Ulteriori informazioni

Per ulteriori informazioni sul servizio di individuazione automatica, vedere i seguenti argomenti:

• Panoramica sul servizio di individuazione automatica

• Gestione del servizio di individuazione automatica