Como configurar o serviço de Disponibilidade para topologias entre florestas
Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Tópico modificado em: 2012-09-24
Este tópico explica como usar o Shell de Gerenciamento do Exchange para configurar o serviço de Disponibilidade de topologias entre florestas. O serviço de Disponibilidade melhora os dados de disponibilidade dos operadores de informações, oferecendo informações de disponibilidade seguras, consistentes e atualizadas aos computadores que estão executando o Microsoft Office Outlook 2007. Por padrão, esse serviço é instalado com o Microsoft Exchange Server 2007. Em topologias entre florestas, em que todos os computadores clientes se conectando executam o Outlook 2007, o serviço de Disponibilidade é o único método de recuperação de dados de disponibilidade.
Dica
Não é possível usar o Console de Gerenciamento do Exchange para configurar o serviço de Disponibilidade para topologias entre florestas.
O serviço de Disponibilidade pode ser usado em topologias entre florestas confiáveis e não confiáveis. O tipo de informação de disponibilidade será determinado se os dados de disponibilidade forem configurados como um serviço em toda a organização ou por usuário. Informações de disponibilidade por usuário são possíveis apenas em uma topologia entre florestas confiável. Isso habilita o serviço de Disponibilidade a fazer solicitações entre florestas em nome de um usuário em particular. Isso habilita um usuário em uma floresta remota a conceder informações de disponibilidade detalhadas a um usuário entre florestas.
Por outro lado, os dados de disponibilidade em toda a organização habilitam o serviço de disponibilidade a fazer solicitações entre florestas somente em nome de uma determinada organização. Nesse caso, as informações de disponibilidade padrão de um usuário são retornadas e não é possível controlar o nível de informações de disponibilidade retornado a usuários na outra floresta.
Dica
Os termos Floresta de origem e Floresta de destino são usadas neste tópico para identificar cada floresta. Esses grupos são definidos desta forma:
-
A Floresta de origem é a floresta do Exchange da qual o Serviço de disponibilidade faz a consulta de disponibilidade.
-
A Target forest é a floresta do Exchange de que a informação de disponibilidade está sendo recuperada.
Configurando o Windows para topologias entre florestas
Dependendo do cenário, considere também os seguintes requisitos:
Sincronize a lista de endereços global (GAL) entre as florestas.
O serviço Descoberta Automática deve ser executado entre as florestas.
Todos os servidores de Acesso para Cliente do Exchange 2007 devem validar o certificado na floresta de destino.
.gif "note") Observação: |
|---|
| Microsoft O pacote cumulativo de atualizações 6 do Exchange Server 2007 Service Pack 3 (SP3) usa a URL externa para Serviços Web do Exchange, para se conectar à floresta de destino. A URL externa para os Serviços Web do Exchange não poderão ser retornados pelo serviço de Descoberta Automática, se o Outlook em Qualquer Lugar não estiver habilitado na floresta de destino. Nesse caso, a pesquisa entre florestas falhará. Para contornar esse problema, habilite o Outlook em Qualquer Lugar na floresta de destino e verifique se a URL externa para os Serviços Web do Exchange está configurada corretamente.
|
Para configurar o Microsoft Windows para uma topologia entre florestas, você deve instalar a Sincronização da GAL (GALSync). Para obter informações sobre como instalar e configurar o recurso GALSync no MIIS (Microsoft Identity Integration Server) 2003, consulte os seguintes recursos:
Esse recurso cria contatos habilitados para caixa de correio que representam destinatários de outras florestas. Isso permite que os usuários visualizem os contatos na GAL e os adiciona como participantes de reuniões.
Em um cenário entre florestas do Exchange 2007, o único método de compartilhar informações de disponibilidade entre florestas é o serviço de Disponibilidade. Como os clientes ou usuários herdados do Outlook que possuem caixas de correio hospedadas em versões anteriores do Exchange não podem usar o serviço de Disponibilidade, eles não conseguem recuperar as informações de disponibilidade dos usuários fora de suas florestas, a menos que as informações armazenadas nas pastas públicas sejam replicadas entre as florestas.
Portanto, se você estiver usando o Office Outlook 2003 ou anterior, use a ferramenta de Replicação Interna da Organização do Microsoft Exchange para sincronizar dados de disponibilidade entre várias florestas. Para obter mais informações sobre a ferramenta Inter-Organization Replication do Microsoft Exchange, consulte Microsoft Exchange Server Inter-Organization Replication (página em inglês).
Execute também o seguinte cmdlet a partir do Shell de Gerenciamento do Exchange para definir a disponibilidade da pasta pública:
Add-AvailabilityAddressSpace -ForestName "target.forest.com" -AccessMethod PublicFolder
Permissão necessária para executar os cmdlets
Para executar o cmdlet Get-ClientAccessServer, você deve usar a conta à qual esteja delegada a seguinte função:
Função Administrador Somente para Exibição do Exchange
Para executar o cmdlet Add-ADPermission, você deve usar a conta à qual estejam delegadas as seguintes funções:
Função Administrador da Organização do Exchange
Para executar o cmdlet Add-AvailabilityAddressSpace, você deve usar a conta à qual estejam delegadas as seguintes funções:
Função Administrador da Organização do Exchange
Para executar o cmdlet Set-AvailabilityConfig, você deve usar a conta à qual esteja delegada a seguinte função:
Função Administrador da Organização do Exchange
Para obter mais informações sobre permissões, delegação de funções e os direitos necessários para administrar o Exchange Server 2007, consulte Considerações sobre permissão.
Disponibilidade entre florestas e serviço de Descoberta Automática
O serviço de Descoberta Automática fornece informações do serviço de Disponibilidade localizando e fornecendo as URLs internas e externas do cliente Outlook 2007 e do servidor Acesso para Cliente do Exchange 2007 para disponibilidade entre florestas. Isso significa que os servidores Acesso para Cliente devem conseguir conectar-se ao serviço de Descoberta Automática na floresta de destino para retornar a URL do serviço de Disponibilidade.
Em um cenário de disponibilidade entre florestas, há basicamente duas opções para configurar o serviço de Descoberta Automática.
Exporte o SCP (Ponto de Conexão de Serviço) da floresta de destino para a floresta de origem se houver uma relação confiável entre as florestas.
Use o DNS para resolver o endereço do site autodiscover.targetforest.com.
Dica
Os registro DNS do local de serviço (SRV) não funcionam para localizar o serviço de Descoberta Automática para um servidor Acesso para Cliente do Exchange 2007 em um cenário entre florestas.
O serviço de disponibilidade entre florestas possui um limite de tempo quando o serviço executa uma solicitação de serviços de Descoberta Automática para usuários entre florestas no serviço de diretório do Active Directory. Por padrão, esse valor de tempo limite é de 10 segundos. Se a solicitação de Descoberta Automática não for concluída em 10 segundos, a solicitação de serviço de disponibilidade para o usuário entre florestas poderá atingir o tempo limite. Para mais informações, consulte os seguintes tópicos:
Disponibilidade entre florestas e certificados
Quando você instala o Exchange 2007 com a função de servidor Acesso para Cliente, é instalado um certificado digital auto-assinado. Um certificado auto-assinado tem duas entradas de Nome de Assunto Alternativo (SAN): um para o nome NetBIOS do servidor de Acesso para Cliente e outro para o nome de domínio totalmente qualificado (FQDN) do servidor de Acesso para Cliente. Assim, se você planeja usar o certificado autoassinado padrão instalado no servidor de Acesso para Cliente, você só tem uma opção para fazer a Descoberta Automática funcionar entre as duas florestas: Você deve exportar o SCP da floresta de destino para a floresta de origem. Nesse cenário, você terá um relacionamento de confiança entre as florestas. Para mais informações, consulte os seguintes tópicos:
Se não houver um relacionamento de confiança entre as florestas e você ainda quiser usar um certificado autoassinado, emita novamente um novo certificado autoassinado e inclua o Nome de Assunto Alternativo para a descoberta automática.targetforest.com. Você pode usar o cmdlet New-ExchangeCertificate para gerar um novo certificado auto-assinado. Para mais informações, consulte New-ExchangeCertificate (RTM).
Embora o certificado auto-assinado possa ser usado para criptografar as comunicações entre um servidor Acesso para Cliente e outras funções de servidor do Exchange 2007, não recomendamos que ele seja usado com aplicativos e dispositivos clientes. Devido às limitações de um certificado auto-assinado, recomendamos que você substitua o certificado auto-assinado por um certificado confiável de terceiros ou por um certificado assinado por uma PKI do Windows. Para obter mais informações, consulte os seguintes tópicos de Ajuda do Exchange:
Procedimento
Para usar o Shell de Gerenciamento do Exchange para configurar o serviço de Disponibilidade para topologias entre florestas
Em um cenário de relacionamento de confiança do Windows, execute os seguintes cmdlets nas florestas de destino e de origem:
Floresta de Origem:
Add-AvailabilityAddressSpace -ForestName "xyz.com" -AccessMethod PerUserFB -UseServiceAccount $trueFloresta de Destino:
Get-ClientAccessServer | Add-AdPermission -AccessRights ExtendedRight -ExtendedRights "ms-exch-epi-token-serialization" -User "Sourceforest\Exchange Servers"Se não houver um relacionamento de confiança, execute os seguintes cmdlets nas florestas de origem e de destino. Neste cenário, uma conta de serviço com poucas permissões é necessária no domínio de destino. Por exemplo, use uma conta regular sem permissões administrativas.
Floresta de Origem:
$a = Get-Credential (Type the credential "TargetForest\User" for organization-wide user) Add-AvailabilityAddressSpace -ForestName "xyz.com" -AccessMethod OrgWide -Credential $aFloresta de Destino:
Set-AvailabilityConfig -OrgWideAccount "TargetForest\User"Em um cenário de relacionamento de confiança, há dois métodos para configurar o serviço de Descoberta Automática. Exporte o SCP da floresta de destino ou use o DNS para consultar o registro host “autodiscover.targetforest.com."
Em um cenário de relacionamento de confiança, exporte o SCP da floresta de destino para a floresta de origem usando o seguinte cmdlet:
$a = Get-Credential (Type "SourceForest\Administrator") Export-AutodiscoverConfig -TargetForestDomainController "dc.sourceforest.com" -TargetForestCredential $a -MultipleExchangeDeployments $trueDica
Após a importação do SCP de um domínio remoto, o serviço de Descoberta Automática poderá não funcionar corretamente e os clientes do Outlook 2007 poderão não conseguir consultar informações de Ausência Temporária e de Disponibilidade. Para informações sobre como resolver esse problema, consulte o artigo 973404, Descrição do pacote do hotfix do Outlook 2007 (Outlook-x-none.msp): 25 de agosto de 2009
Em um cenário confiável ou não confiável, o servidor Acesso para Cliente do Exchange 2007 é configurado para consultar DNS para resolver “autodiscover.targetforest.com." Nesse caso, crie um registro host para “autodiscover.targetforest.com."
Dica
A Descoberta Automática retornará o parâmetro InternalURL de Disponibilidade para o servidor Acesso para Cliente do Exchange 2007.
Se você tiver uma floresta confiável ou não confiável, o servidor Acesso para Cliente do Exchange 2007 na floresta de origem deverá validar o certificado instalado em cada servidor Acesso para Cliente do Exchange 2007 na floresta de destino. Para certificar-se de que você esteja usando um certificado válido, siga estas etapas:
Se um certificado auto-assinado estiver instalado no servidor Acesso para Cliente do Exchange 2007 na floresta de destino, exporte-o. O mesmo conceito se aplica caso haja um CA de raiz interna e um certificado privado for instalado. O Exchange 2007 é instalado com um certificado SSL autoassinado padrão. Use este certificado ao habilitar o SSL para o Exchange ActiveSync, o Office Outlook Web Access e serviço de Disponibilidade. No entanto, os usuários receberão uma solicitação porque o certificado é considerado inválido pela maioria dos aplicativos. O Exchange ActiveSync e o Office Outlook Web Access aceitam fazer proxy de um servidor Acesso para Cliente para outro servidor Acesso para Cliente. Para que a operação de proxy seja realizada com êxito quando um certificado auto-assinado for usado, você deverá configurar as seguintes chaves do Registro, conforme mostrado:
HKLM\System\CurrentControlSet\Services\MSExchangeOWA\AllowInternalUntrustedCerts = 1 HKLM\System\CurrentControlSet\Services\MSExchangeOWA\AllowExternalUntrustedCerts = 1Depois de exportar o certificado auto-assinado ou o certificado de CA raiz, importe-o para o store de contas do computador em cada servidor Acesso para Cliente do Exchange 2007.
Para testar com êxito os serviços de Descoberta Automática e de Disponibilidade, use um dos seguintes métodos:
SCP Exportado: No servidor Acesso para Cliente do Exchange 2007 na floresta de origem, acesse o site de Descoberta Automática e, em seguida, execute o seguinte cmdlet na floresta de destino:
Get-ClientAccessServer | fl name, AutoDiscoverServiceInternaluri Get-WebServiceVirtualDirectory | fl name, InternalUrlRepita esse procedimento no site do serviço de Disponibilidade para a floresta de destino.
DNS: No servidor Acesso para Cliente do Exchange 2007 na floresta de origem, acesse o site de Descoberta Automática e, em seguida, execute o seguinte cmdlet na floresta de destino:
Get-WebServicesVirtualDirectory | fl name, ExternalUrlRepita esse procedimento no site do serviço de Disponibilidade para a floresta de destino.
Para obter mais informações
Para obter informações detalhadas sobre sintaxe e parâmetros, consulte os seguintes tópicos de referência a cmdlets: