Инструкции по настройке службы доступности для топологий типа перекрестный лес

Применимо к: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Последнее изменение раздела: 2012-09-24

В этом разделе описано, как использовать командную консоль Exchange, чтобы настроить службу доступности для топологий типа перекрестный лес. Служба доступности улучшает информированность о занятости работников путем предоставления защищенных, непротиворечивых и актуальных сведений о занятости для компьютеров, на которых выполняется Microsoft Office Outlook 2007. По умолчанию эта служба устанавливается с помощью Microsoft Exchange Server 2007. В топологиях "перекрестный лес", в которых на всех подключенных клиентских компьютерах выполняется Outlook 2007, восстановить данные о занятости можно только с помощью службы доступности.

Примечание.
Использовать консоль управления Exchange для настройки службы доступности для топологий перекрестного леса нельзя.

Можно использовать службу доступности в топологиях "перекрестный лес" в лесах с отношением доверия или без него. Тип сведений о занятости определяется тем, как настроены данные о занятости перекрестных лесов: для каждого пользователя отдельно или для всей организации. Сведения о доступности пользователя можно получить только в доверенной топологии перекрестного леса. Они позволяют службе доступности создавать перекрестные запросы между лесами от имени пользователя. Это позволяет пользователю в удаленном лесу предоставлять подробные сведения о доступности пользователю в перекрестном лесу.

Однако используя сведения о доступности всей организации, служба доступности может создавать запросы топологии перекрестного леса только от имени определенной организации. В таком случае возвращаются сведения о доступности пользователя по умолчанию, а контролировать уровень сведений о доступности, возвращаемых пользователям в другом лесу, невозможно.

Примечание.
Термины Исходный лес и Целевой лес используются в этом разделе для обозначения каждого леса. Данные термины имеют следующие значения: Исходный лес — это лес Exchange, на основании которого служба доступности предоставляет сведения о доступности. Целевой лес — это лес Exchange, из которого извлекаются сведения о доступности.

Настройка окон для топологий "перекрестный лес"

В зависимости от конкретной ситуации также необходимо учитывать указанные ниже требования.

• Необходимо синхронизировать глобальный список адресов между лесами.

• Служба автообнаружения должна функционировать между лесами.

• Все серверы клиентского доступа Exchange 2007 должны проверять сертификат в целевом лесу.

Примечание.

Microsoft Exchange Server 2007 Накопительный пакет обновления версии 6 в составе пакета обновления 3 использует внешний URL-адрес веб-служб Exchange для подключения к целевому лесу. Служба автообнаружения не может вернуть внешний URL-адрес веб-служб Exchange, если в целевом лесу не включен мобильный Outlook. В этом случае происходит сбой уточняющего запроса перекрестного леса. Чтобы избежать этой проблемы, включите повсеместный доступ в целевом лесу и проверьте правильность внешнего URL-адреса веб-служб Exchange. Включить мобильный Outlook в целевом лесу. Информацию о том, как подключить мобильный Outlook, см. на веб-сайте TechNet: Мастер включения мобильного Outlook > страница «Включение мобильного Outlook» Настройка внешнего URL-адреса веб-служб Exchange в целевом лесу. Для этого необходимо выполнить следующую команду в Windows PowerShell для Exchange: Set-WebServicesVirtualDirectory -identity “server_name\EWS (Default Web Site)” -ExternalURL https://mail.contoso.com/ews/Exchange.asmx Примечание. В данной команде contoso является заполнителем фактического доменного имени. Включите мобильный Outlook для почтовых ящиков организации, в которых будут создаваться входящие удаленные запросы о доступности. Примечание. Если администратор отключает мобильный Outlook для отдельного почтового ящика, информация этого почтового ящика не может быть получена удаленным лесом, так как служба автообнаружения не возвращает значение ExternalURL веб-служб Exchange для данного почтового ящика.

Чтобы настроить Microsoft Windows для топологии "перекрестный лес", необходимо установить и настроить функцию GAL Synchronization (GALSync). Чтобы получить исчерпывающие сведения об установке и настройке функции GALSync в Microsoft Identity Integration Server (MIIS) 2003, см. следующие ресурсы:

• Сценарии Microsoft Identity Integration Server 2003

• Microsoft Identity Integration Server 2003

Эта функция создает контакты с включенной поддержкой почтовых ящиков, представляющие получателей из других лесов. Это позволяет пользователям просматривать контакты в глобальном списке адресов и добавлять их к собраниям в качестве участников.

При использовании перекрестных лесов на сервере Exchange 2007 единственным способом обмена сведениями о занятости является использование службы доступности. Поскольку клиенты Outlook предыдущих версий и пользователи почтовых ящиков, размещенных в предыдущих версиях Exchange, не могут использовать службу доступности, они не могут получать сведения о занятости пользователей, находящихся за пределами их леса, если только данные, хранящиеся в общих папках, не реплицируются между лесами.

Таким образом, если используется Office Outlook 2003 или более ранней версии, для синхронизации данных о занятости между несколькими лесами необходимо использовать средство репликации между организациями Microsoft Exchange. Дополнительные сведения о средстве репликации между организациями Microsoft Exchange см. в статье Межорганизационная репликация Microsoft Exchange Server (на английском языке).

Чтобы настроить доступность сведений о занятости для общей папки, необходимо также выполнить следующий командлет в командной консоли Exchange:

Add-AvailabilityAddressSpace -ForestName "target.forest.com" -AccessMethod PublicFolder

Разрешения, необходимые для выполнения командлетов

• Для выполнения командлета Get-ClientAccessServer используемой учетной записи необходимо делегировать следующую роль:

  роль администратора Exchange с правами на просмотр.

• Для выполнения командлета Add-ADPermission используемой учетной записи необходимо делегировать следующую роль:

  роль администратора организации Exchange.

• Для выполнения командлета Add-AvailabilityAddressSpace используемой учетной записи необходимо делегировать следующую роль:

  роль администратора организации Exchange.

• Для выполнения командлета Set-AvailabilityConfig используемой учетной записи необходимо делегировать следующую роль:

  роль администратора организации Exchange.

Дополнительные сведения о разрешениях, делегировании ролей и правах, необходимых для администрирования Exchange Server 2007, см. в разделе Вопросы, связанные с разрешениями.

Доступность в перекрестном лесу и служба автообнаружения

Служба автообнаружения передает сведения службе доступности, обнаруживая и предоставляя внешние и внутренние URL-адреса для клиента Outlook 2007 и сервера клиентского доступа Exchange 2007 для обеспечения доступности в перекрестном лесу. Это означает, что для возврата URL-адреса службы доступности серверы клиентского доступа должны иметь возможность подключиться к службе автообнаружения в целевом лесу.

В перекрестном лесу существуют два основных варианта настройки службы автообнаружения.

• Экспорт точки подключения службы из целевого леса в исходный, если между лесами настроены отношения доверия.

• Использование службы DNS для разрешения адреса веб-сайта autodiscover.targetforest.com.

Примечание.
Записи размещения службы DNS (SRV-записи) не позволяют обнаружить службу автообнаружения для сервера клиентского доступа Exchange 2007 в перекрестном лесу.

Служба доступности для перекрестного леса имеет определенные временные рамки при выполнении запроса службы обнаружения для пользователей в перекрестном лесу в службе каталогов Active Directory. По умолчанию на такой запрос отводится 10 секунд. Если запрос автообнаружения не обслуживается за десять секунд, запрос службы доступности для пользователя в перекрестном лесу может быть заблокирован из-за истечения времени. Дополнительные сведения приведены в следующих разделах:

• Устранение неполадок, связанных со сведениями о доступности для Outlook 2007

• Каковы функции службы доступности Exchange 2007?

Доступность в перекрестном лесу и сертификаты

При установке Exchange 2007 с ролью сервера клиентского доступа создается самозаверяющий сертификат. Самозаверяющий сертификат имеет две записи дополнительного имени субъекта (SAN): одну для NetBIOS-имени сервера клиентского доступа, а другую — для полного доменного имени сервера клиентского доступа. Таким образом, если вы планируете использовать самозаверяющий сертификат по умолчанию на сервере клиентского доступа, есть только один способ запустить службу автообнаружения между двумя лесами: Необходимо экспортировать точку подключения службы из целевого леса в исходный. В этом случае между лесами должны быть установлены отношения доверия. Дополнительные сведения приведены в следующих разделах:

• Технический документ службы автообнаружения Exchange 2007

• Советы по настройке и действия по устранению распространенных неполадок при развертывании службы автообнаружения в нескольких лесах

Если между лесами нет отношений доверия, но при этом требуется использовать самозаверяющий сертификат, необходимо выпустить новый самозаверяющий сертификат и включить в него альтернативное имя субъекта для сайта autodiscover.targetforest.com. Для выпуска нового самозаверяющего сертификата можно использовать командлет New-ExchangeCertificate. Дополнительные сведения см. в разделе Командлет New-ExchangeCertificate (окончательная первоначальная версия).

Хотя самозаверяющий сертификат можно использовать для шифрования данных, передаваемых между сервером клиентского доступа и другими ролями сервера Exchange 2007, не рекомендуется использовать его с клиентскими приложениями и устройствами. Из-за ограничений самозаверяющего сертификата следует заменить его доверенным сертификатом сторонней организации или сертификатом, подписанным Windows PKI. Дополнительные сведения см. в указанных ниже разделах справки Exchange.

• Самозаверяющие сертификаты в Exchange Server 2007

• Использование сертификатов в Exchange Server 2007

Процедура

Настройка службы доступности в топологиях с перекрестными лесами с помощью командной консоли Exchange

1. При наличии отношений доверия Windows выполните в исходном и целевом лесах указанные ниже командлеты.

   Исходный лес:

   Add-AvailabilityAddressSpace -ForestName "xyz.com" -AccessMethod PerUserFB -UseServiceAccount $true
   

   Целевой лес:

   Get-ClientAccessServer | Add-AdPermission -AccessRights ExtendedRight -ExtendedRights "ms-exch-epi-token-serialization" -User  "Sourceforest\Exchange Servers" 
   

2. В случае отсутствия отношений доверия выполните в исходном и целевом лесах указанные ниже командлеты. В этом случае в целевом домене потребуется учетная запись службы с минимальными разрешениями. Воспользуйтесь, например, обычной учетной записью, не обладающей правами администратора.

   Исходный лес:

   $a = Get-Credential (Type the credential  "TargetForest\User"  for organization-wide user)
   Add-AvailabilityAddressSpace -ForestName "xyz.com" -AccessMethod OrgWide -Credential $a
   

   Целевой лес:

   Set-AvailabilityConfig -OrgWideAccount "TargetForest\User"
   

3. При наличии отношений доверия существуют два варианта настройки службы автообнаружения: экспорт точки подключения службы из целевого леса или использование службы DNS для запроса записи узла "autodiscover.targetforest.com".

   • При наличии отношений доверия экспортируйте точку подключения службы из целевого леса в исходный, выполнив следующий командлет:

     $a = Get-Credential (Type "SourceForest\Administrator")
     Export-AutodiscoverConfig -TargetForestDomainController "dc.sourceforest.com" -TargetForestCredential $a -MultipleExchangeDeployments $true
     

     Примечание.
     После импорта точки подключения службы из удаленного домена служба автообнаружения может перестать работать, из-за чего клиенты Outlook 2007 не смогут запрашивать сведения об отсутствии на рабочем месте и сведения о занятости. Сведения о решении этой проблемы см. в 973404, Описании исправления Outlook 2007 (Outlook-x-none.msp): 25 августа 2009 г.

   • Как при наличии отношений доверия, так и при их отсутствии сервер клиентского доступа Exchange 2007 настраивается для разрешения адреса "autodiscover.targetforest.com" с помощью службы DNS. В этом случае следует создать запись узла для адреса "autodiscover.targetforest.com".

     Примечание.
     Служба автообнаружения возвратит серверу клиентского доступа Exchange 2007 внутренний URL-адрес службы доступности.

4. Как для доверенного, так и для недоверенного леса сервер клиентского доступа Exchange 2007 в исходном лесу должен проверять сертификаты, установленные на каждом сервере клиентского доступа Exchange 2007 в целевом лесу. Чтобы убедиться, что используется действительный сертификат, выполните указанные ниже действия.

   1. Если самозаверяющий сертификат установлен на сервере клиентского доступа Exchange 2007 в целевом лесу, этот сертификат необходимо экспортировать. та же концепция действительна в случае центром сертификации. Exchange 2007 установлен с самозаверяющимся сертификатом SSL по умолчанию. Этот сертификат можно использовать при включении протокола SSL для Exchange ActiveSync, Office Outlook Web Access и службы доступности. Однако в этом случае пользователи получат сообщение об ошибке, поскольку данный сертификат считается недопустимым в большинстве клиентских приложений. Exchange ActiveSync и Office Outlook Web Access поддерживают передачу данных между двумя серверами клиентского доступа. Для такой передачи данных при использовании самозаверяющего сертификата необходимо настроить следующие разделы реестра:

      HKLM\System\CurrentControlSet\Services\MSExchangeOWA\AllowInternalUntrustedCerts = 1 
      HKLM\System\CurrentControlSet\Services\MSExchangeOWA\AllowExternalUntrustedCerts = 1
      

   2. После экспорта самозаверяющего сертификата или сертификата корневого центра сертификации его необходимо импортировать в хранилище учетных записей на каждом сервере клиентского доступа Exchange 2007.

5. Чтобы протестировать службу автообнаружения и службу доступности, воспользуйтесь одним из указанных ниже способов.

   • Экспортированная точка подключения службы. На сервере клиентского доступа Exchange 2007 в исходном лесу перейдите на веб-сайт автообнаружения и выполните в целевом лесу следующий командлет:

     Get-ClientAccessServer | fl name, AutoDiscoverServiceInternaluri
     Get-WebServiceVirtualDirectory | fl name, InternalUrl
     

     Повторите эту процедуру на веб-сайте службы доступности для целевого леса.

   • DNS. На сервере клиентского доступа Exchange 2007 в исходном лесу перейдите на веб-сайт автообнаружения и выполните в целевом лесу следующий командлет:

     Get-WebServicesVirtualDirectory | fl name, ExternalUrl
     

     Повторите эту процедуру на веб-сайте службы доступности для целевого леса.

Дополнительные сведения

Дополнительные сведения о сؐݑ?АڑPؑPՠи параметрах см. в следующих разделах справки по командлетам:

• Get-ClientAccessServer

• Add-ADPermission

• Add-AvailabilityAddressSpace

• Set-AvailabilityConfig