Come configurare il servizio Disponibilità per topologie con più foreste

Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Ultima modifica dell'argomento: 2012-09-24

In questo argomento viene descritto come utilizzare Exchange Management Shell per configurare il servizio Disponibilità per topologie con più foreste. Il servizio Disponibilità migliora i dati sulla disponibilità degli Information Worker fornendo informazioni sicure, coerenti e aggiornate ai computer che eseguono Microsoft Office Outlook 2007. Per impostazione predefinita, questo servizio è installato con Microsoft Exchange Server 2007. Nelle topologie con più foreste in cui tutti i computer client connessi eseguono Outlook 2007, il servizio Disponibilità è il solo metodo per recuperare i dati sulla disponibilità.

Il servizio Disponibilità può essere utilizzato nelle topologie con più foreste, sia nelle foreste attendibili sia in quelle non attendibili. Il tipo di informazioni sulla disponibilità è determinato dal fatto che i dati di disponibilità delle varie foreste siano configurati come servizio per l'utente o per l'organizzazione. Le informazioni sulla disponibilità per ciascun utente sono disponibili solo in una topologia con più foreste con relazioni di trust. Questo scenario consente al servizio Disponibilità di effettuare delle richieste per conto di un determinato utente. In questo modo, un utente in una foresta remota può fornire informazioni sulla disponibilità a un utente di più foreste.

Di contro, i dati sulla disponibilità a livello di organizzazione consentono al servizio Disponibilità di effettuare richieste a più foreste solo per conto di una determinata organizzazione. In questo caso, vengono restituite le informazioni sulla disponibilità predefinite per un utente e non è possibile controllare il livello di tali informazioni restituite agli utenti nell'altra foresta.

Configurazione di Windows per le topologie a più foreste

A seconda dello scenario, è necessario considerare anche i seguenti requisiti:

• È necessario sincronizzare l'elenco indirizzi globale (GAL, Global Address List) tra le foreste.

• Il servizio di individuazione automatica tra le foreste deve essere funzionante.

• Tutti i server Accesso client di Exchange 2007 devono convalidare il certificato sulla foresta di destinazione.

Nota:

Microsoft L'aggiornamento cumulativo 6 di Exchange Server 2007 Service Pack 3 (SP3) utilizza l'URL esterno dei Servizi Web Exchange per connettersi alla foresta di destinazione. Il servizio Individuazione automatica non può restituire l'URL esterno dei Servizi Web di Exchange se Outlook Anywhere non è abilitato nella foresta di destinazione. In questo caso, la ricerca tra foreste ha esito negativo. Per risolvere questo problema, abilitare Outlook Anywhere nella foresta di destinazione e quindi verificare che l'URL esterno dei Servizi Web di Exchange sia configurato correttamente. Abilitare Outlook Anywhere nella foresta di destinazione. Per informazioni su come abilitare Outlook Anywhere, visitare il sito Web TechNet: Abilitazione guidata di Outlook via Internet > Pagina Abilita Outlook via Internet Configurare l'URL esterno per i Servizi Web di Exchange per la foresta di destinazione. A tale scopo, eseguire il comando seguente in Windows PowerShell per Exchange: Set-WebServicesVirtualDirectory -identity “server_name\EWS (Default Web Site)” -ExternalURL https://mail.contoso.com/ews/Exchange.asmx Nota In questo comando, contoso è un segnaposto per il nome del dominio reale. Abilitare Outlook Anywhere per le cassette postali dell'organizzazione che effettueranno le richieste di disponibilità remota in ingresso. Nota Se un amministratore disabilita Outlook Anywhere su una singola cassetta postale, le informazioni relative a questa cassetta non potranno essere recuperate da una foresta remota perché il servizio Individuazione automatica non restituirà un valore ExternalURL dei Servizi Web di Exchange per quella cassetta postale.

Per configurare Microsoft Windows per una topologia a più foreste, è necessario installare e configurare la Sincronizzazione Elenco indirizzi globale (GALSync). Per informazioni complete sull'installazione e sulla configurazione della funzionalità di GALSync in Microsoft Identity Integration Server (MIIS) 2003, vedere le seguenti risorse:

• Scenari con Microsoft Identity Integration Server 2003

• Microsoft Identity Integration Server 2003

Questa funzionalità consente di creare contatti abilitati all'utilizzo delle cassette postali che rappresentano destinatari di altre foreste. Questo consente agli utenti di visualizzare i contatti nell'elenco indirizzi globale e aggiungerli come partecipanti alle riunioni.

In uno scenario di Exchange 2007 con più foreste, l'unico metodo per condividere informazioni sulla disponibilità tra foreste è il servizio Disponibilità. Poiché i client o gli utenti legacy di Outlook che dispongono di cassette postali presenti su versioni precedenti di Exchange non possono utilizzare il servizio Disponibilità, non potranno recuperare informazioni sulla disponibilità per utenti esterni alla loro foresta a meno che le informazioni archiviate nelle cartelle pubbliche non vengano replicate tra le foreste.

Pertanto, se si esegue Office Outlook 2003 o una versione precedente, è necessario utilizzare lo strumento di replica tra organizzazioni di Microsoft Exchange per sincronizzare i dati sulla disponibilità tra più foreste. Per ulteriori informazioni sullo strumento di replica tra organizzazioni di Microsoft Exchange, vedere Replica tra organizzazioni di Microsoft Exchange Server.

È inoltre necessario eseguire il cmdlet seguente da Exchange Management Shell per impostare la disponibilità della cartella pubblica:

Add-AvailabilityAddressSpace -ForestName "target.forest.com" -AccessMethod PublicFolder

Autorizzazione richiesta per eseguire i cmdlet

• Per eseguire il cmdlet Get-ClientAccessServer, è necessario utilizzare un account che disponga della seguente delega:

  Ruolo Amministratore di Exchange solo visualizzazione

• Per eseguire il cmdlet Add-ADPermission, è necessario utilizzare un account che disponga della seguente delega:

  Ruolo Exchange Organization Administrator

• Per eseguire il cmdlet Add-AvailabilityAddressSpace, è necessario utilizzare un account che disponga della seguente delega:

  Ruolo Exchange Organization Administrator

• Per eseguire il cmdlet Set-AvailabilityConfig, è necessario utilizzare un account che disponga della seguente delega:

  Ruolo Exchange Organization Administrator

Per ulteriori informazioni sulle autorizzazioni, sulla delega dei ruoli e sui diritti necessari per l'amministrazione di Exchange Server 2007, vedere Considerazioni sulle autorizzazioni.

Disponibilità con più foreste e servizio di individuazione automatica

Il servizio di individuazione automatica fornisce informazioni per il servizio Disponibilità individuando e fornendo gli URL esterno e interno per il client di Outlook 2007 e il server Accesso client di Exchange 2007 per la disponibilità tra foreste. Questo significa che i server Accesso client devono poter eseguire la connessione al servizio di individuazione automatica sulla foresta di destinazione per restituire l'URL del servizio Disponibilità.

In uno scenario di disponibilità tra foreste sono generalmente presenti due opzioni per configurare il servizio di individuazione automatica.

• Esportare il punto di connessione al servizio (SCP, Service Connection Point) dalla foresta di destinazione alla foresta di origine se esiste una relazione di trust tra le foreste.

• Utilizzare DNS per risolvere l'indirizzo del sito Web autodiscover.targetforest.com.

Il servizio Disponibilità per più foreste ha un limite di tempo quando il servizio esegue una richiesta del servizio di individuazione automatica per gli utenti di più foreste nel servizio directory di Active Directory. Per impostazione predefinita, il valore di timeout è di 10 secondi. Se la richiesta del servizio di individuazione automatica non termina entro 10 secondi, potrebbe verificarsi il timeout della richiesta del servizio Disponibilità per gli utenti di più foreste. Per ulteriori informazioni, vedere i seguenti argomenti:

• Risoluzione dei problemi relativi alle informazioni di disponibilità per Outlook 2007

• Informazioni sul servizio Disponibilità di Exchange 2007

Certificati e disponibilità tra più foreste

Quando si installa Exchange 2007 con il ruolo del server Accesso client, viene creato un certificato autofirmato. Il certificato autofirmato include due voci Nome alternativo soggetto (SAN, Subject Alternative Name): una per il nome NetBIOS del server Accesso client e una per il nome di dominio completo del server Accesso client. Di conseguenza, se si prevede di utilizzare il certificato predefinito autofirmato installato sul server Accesso client, è disponibile una sola scelta per far funzionare il servizio Individuazione automatica tra entrambe le foreste: È necessario esportare il punto di connessione al servizio dalla foresta di destinazione a quella di origine. In questo scenario, è necessario disporre di una relazione di trust tra le foreste. Per ulteriori informazioni, vedere i seguenti argomenti:

• Servizio Individuazione automatica di Exchange 2007

• Suggerimenti di configurazione e procedure standard per la risoluzione dei problemi nelle distribuzioni tra più foreste del servizio Individuazione automatica

Se non esistono relazioni trust tra foreste e si desidera comunque utilizzare un certificato autofirmato, è necessario emettere un nuovo certificato autofirmato e includere il nome alternativo soggetto per autodiscover.targetforest.com. È possibile utilizzare il cmdlet New-ExchangeCertificate per emettere il nuovo certificato autofirmato. Per ulteriori informazioni, vedere New-ExchangeCertificate (RTM).

Sebbene sia possibile utilizzare il certificato autofirmato per crittografare le comunicazioni tra un server Accesso client e altri ruoli del server di Exchange 2007, non è consigliabile utilizzare il certificato autofirmato con applicazioni e dispositivi. A causa delle limitazioni di un certificato autofirmato, è consigliabile sostituire tale certificato con un certificato attendibile di terze parti o un certificato firmato da una PKI di Windows. Per ulteriori informazioni, vedere i seguenti argomenti della Guida di Exchange:

• Concetti relativi al certificato autofirmato in Exchange 2007

• Utilizzo dei certificati in Exchange 2007 Server

Procedura

Per utilizzare Exchange Management Shell allo scopo di configurare il servizio Disponibilità per topologie a più foreste

1. In uno scenario con relazione trust di Windows, utilizzare i seguenti cmdlet nelle foreste di origine e di destinazione:

   Foresta di origine:

   Add-AvailabilityAddressSpace -ForestName "xyz.com" -AccessMethod PerUserFB -UseServiceAccount $true
   

   Foresta di destinazione:

   Get-ClientAccessServer | Add-AdPermission -AccessRights ExtendedRight -ExtendedRights "ms-exch-epi-token-serialization" -User  "Sourceforest\Exchange Servers" 
   

2. Se non esiste una relazione di trust, è necessario eseguire i seguenti cmdlet nelle foreste di origine e di destinazione. In questo scenario, è necessario disporre di un account del servizio con autorizzazioni non sufficienti nel dominio di destinazione. Ad esempio, utilizzare un account regolare senza autorizzazioni amministrative.

   Foresta di origine:

   $a = Get-Credential (Type the credential  "TargetForest\User"  for organization-wide user)
   Add-AvailabilityAddressSpace -ForestName "xyz.com" -AccessMethod OrgWide -Credential $a
   

   Foresta di destinazione:

   Set-AvailabilityConfig -OrgWideAccount "TargetForest\User"
   

3. In uno scenario di relazione di trust, sono disponibili due metodi per la configurazione del servizio di individuazione automatica. Esportare il punto di connessione al servizio dalla foresta di destinazione oppure utilizzare DNS per inviare una query al record host "autodiscover.targetforest.com."

   • In uno scenario di relazione di trust, esportare il punto di connessione al servizio dalla foresta di destinazione alla foresta di origine utilizzando il seguente cmdlet:

     $a = Get-Credential (Type "SourceForest\Administrator")
     Export-AutodiscoverConfig -TargetForestDomainController "dc.sourceforest.com" -TargetForestCredential $a -MultipleExchangeDeployments $true
     

     Nota

     Dopo aver importato il punto di connessione di servizio da un dominio remoto, il servizio di individuazione automatica potrebbe non funzionare correttamente e i client di Outlook 2007 potrebbero non essere in grado di inviare query relative a informazioni fuori sede e sulla disponibilità. Per informazioni su come risolvere questo problema, vedere 973404, Descrizione del pacchetto hotfix per Outlook 2007 (Outlook-x-none.msp): 25 agosto 2009

   • In uno scenario attendibile o non attendibile, il server Accesso client di Exchange 2007 è configurato per l'invio di query a DNS per la risoluzione di "autodiscover.targetforest.com". In questo caso, creare un record host per "autodiscover.targetforest.com".

     Nota

     Il servizio di individuazione automatica restituirà Availability InternalURL al server Accesso client di Exchange 2007.

4. Che si disponga di una foresta attendibile o meno, il server Accesso client di Exchange 2007 nella foresta di origine deve essere installato in ciascun server Accesso client di Exchange 2007 nella foresta di destinazione. Per verificare che il certificato utilizzato sia valido, attenersi alla seguente procedura:

   1. Se nella foresta di destinazione del server Accesso client di Exchange 2007 è installato un certificato autofirmato, è necessario esportarlo. Lo stesso concetto vale nel caso in cui sia presente un'autorità di certificazione radice interna e installato un certificato privato. Exchange 2007 viene installato con un certificato SSL (Secure Sockets Layer) predefinito autofirmato. È possibile utilizzare questo certificato quando si abilita l'SSL per Exchange ActiveSync, Office Outlook Web Access e il servizio Disponibilità. Tuttavia, si riceverà un prompt poiché il certificato viene ritenuto non valido dalla maggior parte della applicazioni client. Exchange ActiveSync e Office Outlook Web Access supportano l'inoltro da un server Accesso client a un altro server Accesso client. Affinché il processo di inoltro venga eseguito correttamente quando viene utilizzato un certificato autofirmato, è necessario configurare le seguenti chiavi del Registro di sistema, come mostrato di seguito:

      HKLM\System\CurrentControlSet\Services\MSExchangeOWA\AllowInternalUntrustedCerts = 1 
      HKLM\System\CurrentControlSet\Services\MSExchangeOWA\AllowExternalUntrustedCerts = 1
      

   2. Dopo aver esportato il certificato autofirmato o il certificato CA principale, sarà necessario importarlo nell'archivio degli account del computer su ciascun server Accesso client di Exchange 2007.

5. Per provare correttamente il servizio di individuazione automatica e il servizio Disponibilità, utilizzare uno dei seguenti metodi:

   • Punto di connessione al servizio esportato: Dal server Accesso client di Exchange 2007, nella foresta di origine, andare al sito Web di individuazione automatica ed eseguire il seguente cmdlet nella foresta di destinazione:

     Get-ClientAccessServer | fl name, AutoDiscoverServiceInternaluri
     Get-WebServiceVirtualDirectory | fl name, InternalUrl
     

     Ripetere questa procedura sul sito Web del servizio Disponibilità per la foresta di destinazione.

   • DNS: Dal server Accesso client di Exchange 2007, nella foresta di origine, andare al sito Web di individuazione automatica ed eseguire il seguente cmdlet nella foresta di destinazione:

     Get-WebServicesVirtualDirectory | fl name, ExternalUrl
     

     Ripetere questa procedura sul sito Web del servizio Disponibilità per la foresta di destinazione.

Per ulteriori informazioni

Per informazioni dettagliate sulla sintassi e sui parametri, vedere i seguenti argomenti di riferimento ai cmdlet:

• Get-ClientAccessServer

• Add-ADPermission

• Add-AvailabilityAddressSpace

• Set-AvailabilityConfig