规划客户端访问服务器

适用于： Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上一次修改主题： 2008-07-03

本主题概述在运行 Microsoft Exchange Server 2007 的计算机上部署客户端访问服务器角色的规划注意事项。客户端访问服务器角色支持 Microsoft Outlook Web Access、Outlook Anywhere、Microsoft Entourage 2004 和 Entourage 2008 for Mac、Microsoft Exchange ActiveSync 客户端应用程序以及邮局协议版本 3 (POP3) 和 Internet 邮件访问协议版本 4rev1 (IMAP4) 协议。有关 Entourage 2008 for Mac 的详细信息，请参阅 Microsoft Office 2008 for Mac 管理员指南（英文）。

客户端访问服务器角色还支持一些关键服务，例如自动发现服务和 Exchange 服务。

如果组织包含安装了邮箱服务器角色的 Exchange 2007 服务器，必须在该组织内的每个 Active Directory 网站中安装了客户端访问服务器角色。如果您的组织只有一个 Active Directory 网站，则必须在 Exchange 组织内的至少一台计算机上安装客户端访问服务器角色。

注意：
可以在运行任何其他服务器角色（边缘传输服务器角色除外）的 Exchange 2007 计算机上安装客户端访问服务器角色。不能在安装在群集中的计算机上安装客户端访问服务器角色。不支持在外围网络中安装客户端访问服务器。

不支持在外围网络中安装客户端访问服务器。客户端访问服务器必须是 Active Directory 目录服务域的成员，并且客户端访问服务器机器帐户必须是 Exchange Servers Active Directory 安全组的成员。该安全组对您的组织中的所有 Exchange 服务器都有读写访问权。组织内的客户端访问服务器和邮箱服务器之间的通信通过 RPC 发生。这是因为不支持在外围网络中安装客户端访问服务器的这些要求。

客户端访问服务器角色功能概述

客户端访问服务器角色管理对 Exchange 2007 服务器的客户端访问。下列客户端应用程序需要客户端访问服务器角色：

• Exchange ActiveSync   用户可以通过使用 Exchange ActiveSync 建立其 Exchange 服务器与移动设备之间的伙伴关系。用户可以同步电子邮件、联系人、任务和日历数据。

  注意：
  Exchange ActiveSync 可以同步存储在 Exchange 服务器上的所有邮件文件夹（“草稿”和“发件箱”文件夹除外）中的邮件。

• Outlook Web Access   用户可以通过使用 Office Outlook Web Access 从 Web 浏览器访问其 Exchange 邮箱数据。Outlook Web Access 的虚拟目录存储在客户端访问服务器上。

  注意：
  移动设备上不支持将 Outlook Web Access 与 Pocket Internet Explorer 一起使用。

  注意：
  通过使用 URL https://servername/owa 来访问 Exchange 2007 中的 Outlook Web Access。要通过 Exchange 2007 中的 Outlook Web Access 访问公用文件夹，请使用 URL https://servername/public。通过 URL https://servername/exchange、https://servername/exchweb 和 https://servername/public 访问早期版本的 Exchange 的 Outlook Web Access。如果用户在 Exchange 2000 或 Exchange 2003 服务器上有邮箱，则他们必须使用上述旧版 URL。

• Microsoft Office Outlook   虽然 Office Outlook 2007 可以在邮箱服务器上直接访问 Microsoft Exchange 邮件数据，但是它依赖客户端访问服务器角色来获得诸如自动发现服务和可用性服务的服务。

• Outlook Anywhere 如果您启用了 Outlook Anywhere，则 Outlook 可以在不使用 VPN 连接到内部网络的情况下通过 Internet 连接到您的 Exchange 邮箱。Outlook Anywhere 以前称作 RPC over HTTP。

• POP3 和 IMAP4 客户端   如果用户使用 POP3 或 IMAP4 客户端连接到 Exchange 2007，则他们的连接将通过客户端访问服务器。安装 Exchange 2007 时，会安装 POP3 和 IMAP4 需要的所有服务。但是，这些服务是禁用的。若要使用 POP3 或 IMAP4 连接到 Exchange 2007，必须启用 POP3 服务或 IMAP4 服务。

除了为客户端应用程序提供连接点，客户端访问服务器角色还为下列服务提供了支持：

• 自动发现服务   Exchange 2007 包括一项名为自动发现服务的全新 Microsoft Exchange 服务。自动发现服务配置运行 Outlook 2007 的客户端计算机。自动发现服务还可以配置支持的移动设备。自动发现服务为连接到 Exchange 邮件环境的 Outlook 2007 客户端提供对 Microsoft Exchange 功能的访问。必须正确部署和配置自动发现服务以便 Outlook 2007 客户端自动连接到 Microsoft Exchange 功能，例如脱机通讯簿、可用性服务和统一消息 (UM)。此外，必须正确配置这些 Exchange 功能以便为 Outlook 2007 客户端提供外部访问。有关详细信息，请参阅如何为自动发现服务配置 Exchange 服务。

• Exchange Web 服务   Exchange Web 服务提供使客户端应用程序能够与 Exchange 服务器进行通信的功能。Exchange Web 服务提供对通过 Outlook 可用的许多相同数据的访问。Exchange Web 服务客户端可以将 Outlook 数据集成到行业 (LOB) 应用程序中。使用 Exchange Web 服务的 LOB 应用程序可以使用自动发现服务获得特定客户端的配置文件设置。

了解前端服务器和客户端访问服务器之间的差异

早期版本的 Microsoft Exchange 支持组织内的前端服务器。运行 Exchange 2007 客户端访问服务器角色的计算机与 Exchange 2003 前端服务器有很大差异。在早期版本的 Microsoft Exchange 中，前端服务器接受来自客户端的请求并将其发送到相应的后端服务器进行处理。这样就增加了组织内的并发客户端会话数，并减轻了驻留邮箱的后端服务器的负载。前端服务器通常位于外部和内部防火墙之间的外围网络中。前端服务器的主要优点之一是可以在存在多个后端服务器时公开一个一致的命名空间。在没有前端服务器的情况下，Outlook Web Access 用户必须了解存储其邮箱的服务器的名称。通过前端服务器，用户可以访问 Outlook Web Access 的单个 URL。前端服务器将以代理方式将用户请求转移到相应的后端服务器。

在 Exchange 2007 中，客户端访问服务器角色经过专门设计，以通过处理先前发生在后端服务器上的许多处理来优化邮箱服务器角色的性能。现在，业务逻辑流程（例如 Exchange ActiveSync 邮箱策略和 Outlook Web Access 分段）在客户端访问服务器上而不是邮箱服务器上执行。因为邮箱服务器角色依赖于客户端访问服务器角色处理传入客户端连接，所以具有邮箱服务器的每个 Active Directory 网站还必须具有客户端访问服务器。这两个角色可以在一台物理计算机上运行。如果您有多个 Active Directory 网站并且想要对 Outlook Web Access 或 Exchange ActiveSync 使用一个外部 URL，则必须配置客户端访问服务器进行代理。

正在运行客户端访问服务器角色的 Exchange 2007 计算机使用 Exchange RPC 协议连接到它所服务的邮箱服务器。必须在客户端访问服务器和邮箱服务器之间使用高带宽和低延迟连接。建议的最低带宽为 100 Mbps，但是对于企业数据中心，应考虑使用 1 Gpbs 连接。

规划 Exchange ActiveSync 的注意事项

Exchange ActiveSync 是一种 Microsoft Exchange 同步协议，该协议经过优化，以适用于高延迟和低带宽网络。Exchange ActiveSync 基于 HTTP 和 XML，可以使设备（例如启用了浏览器的移动电话或 Microsoft Windows Mobile 设备）访问运行 Microsoft Exchange 的服务器上的组织信息。Exchange ActiveSync 使移动设备用户可以访问其电子邮件、日历、联系人和任务，并且在脱机工作时仍可以继续访问这些信息。

注意：
Exchange ActiveSync 可以同步电子邮件、日历项目、联系人和任务。不能使用 Exchange ActiveSync 同步 Outlook 中的便笺。

部署 Exchange ActiveSync 时，应考虑下列问题：

• Exchange ActiveSync 设备   有几种支持 Exchange ActiveSync 的设备。这些设备包括 Windows Mobile 设备和其他第三方设备。有关支持 Exchange ActiveSync 的设备的详细信息，请参阅 ActiveSync 设备和兼容的功能。

• 设备数据规划   Exchange ActiveSync 使用一种称为直推技术的过程来保持邮件数据和移动设备的同步。使用直推技术时，通过移动电话连接交换数据。如果用户的数据规划按分钟或 MB 收费，则每月开销可能飞快增加。若要将直推技术与 Exchange ActiveSync 一起使用，用户应该使用其移动运营商的一个无限制数据规划。

  注意：
  直推技术不使用 Wi-Fi Internet 连接，例如 802.11b 连接；而只使用移动数据连接。

• Exchange ActiveSync 安全性   在部署 Exchange ActiveSync 时，您应该制定一个安全规划。我们强烈建议您将安全套接字层 (SSL) 与 Exchange ActiveSync 一起使用。默认情况下，安装 Exchange 2007 时，会对用户启用 Exchange ActiveSync。将 Exchange ActiveSync 虚拟目录配置为同时使用基本身份验证和 SSL。可以将 Exchange ActiveSync 虚拟目录配置为使用集成 Windows 身份验证或基于证书的身份验证。

  除了配置身份验证之外，我们建议您部署 Exchange ActiveSync 邮箱策略来控制移动用户及其设备的各种设置。您可以要求密码、允许或阻止附件下载、要求设备加密、指定密码失败的最大次数以及启用密码恢复。有关 Exchange ActiveSync 邮箱策略的详细信息，请参阅了解 Exchange ActiveSync 邮箱策略。

• 从 Exchange Server 2003 迁移到 Exchange Server 2007   如果要从 Exchange Server 2003 迁移到 Exchange 2007，我们建议您首先将前端服务器升级到客户端访问服务器角色。必须在 Exchange Server 2003 后端服务器上启用集成的 Windows 身份验证，以便 Exchange ActiveSync 正常工作。将所有前端服务器迁移到 Exchange 2007 之后，即可将后端服务器迁移到 Exchange 2007 邮箱服务器。

规划 Outlook Web Access 的注意事项

Outlook Web Access 使用 Internet 浏览器提供对 Exchange 信息的访问。Outlook Web Access 具有与 Outlook 2007 类似的功能强大且直观的界面，而无需在计算机上安装 Outlook 2007。在您为基于 Internet 的外部访问部署 Exchange 邮件基础结构时，用户可以使用任何位置的具有支持 HTML 3.2 和欧洲计算机制造商协会 (ECMA) 格式的 Internet 浏览器的任何计算机。此类浏览器包括 Internet Explorer、Mozilla Firefox 1.8、Opera 7.54 和 Safari 1.2 等。

Outlook Web Access 支持可以在 Outlook 2007 中找到的大多数功能。默认情况下，启用所有客户端功能。有关 Outlook Web Access 中可用的客户端功能的详细信息，请参阅 Outlook Web Access 中的客户端功能。

根据组织的安全性和信息管理需求，您可能希望限制通过 Outlook Web Access 对用户可用的功能。有关如何通过使用 Exchange 管理控制台和 Exchange 命令行管理程序启用和禁用功能的信息，请参阅管理 Outlook Web Access。

Outlook Web Access for Exchange 2007 在安全方面提供了几种增强功能。除了对 Outlook Web Access 虚拟目录配置标准身份验证和基于表单的身份验证之外，还可以对其配置 SSL。可使用 Exchange 管理控制台或 Exchange 命令行管理程序为 Outlook Web Access 配置下列身份验证方法：

• 标准身份验证方法 标准身份验证方法包括集成 Windows 身份验证、摘要式身份验证和基本身份验证。有关如何为 Outlook Web Access 配置标准身份验证方法的详细信息，请参阅为 Outlook Web Access 配置标准身份验证方法。

• 基于表单的身份验证 基于表单的身份验证将为 Outlook Web Access 创建登录页面。基于表单的身份验证使用 Cookie 存储已加密的用户登录凭据和密码信息。有关基于表单的身份验证的详细信息，请参阅为 Outlook Web Access 配置基于表单的身份验证。

  注意：
  如果配置多个身份验证方法，则 IIS 首先使用最安全的方法。然后，IIS 搜索可用身份验证协议列表，方法是从最安全的协议开始，直到找到客户端和服务器都支持的一种身份验证方法。

默认情况下，在 Exchange 2007 服务器上安装客户端访问服务器角色时，会在 Exchange 服务器的默认 Internet 信息服务 (IIS) 网站中创建四个 Outlook Web Access 虚拟目录。默认情况下，这些虚拟目录和默认网站配置为要求 SSL。有关如何为 Outlook Web Access 配置 SSL 的详细信息，请参阅如何配置 Outlook Web Access 虚拟目录以使用 SSL。

如果您要使用 SSL 帮助保护其他 Outlook Web Access 虚拟目录或网站，则必须手动执行操作。若要将网站配置为使用 SSL，必须获得一个证书并使用该证书将网站或虚拟目录配置为要求 SSL。

规划 Outlook Anywhere 的注意事项

通过 Outlook Anywhere，运行 Outlook 2007 或 Outlook 2003 的用户可使用 Outlook Anywhere 网络技术从 Internet 连接到 Microsoft Exchange 邮件基础结构。

在运行 Exchange Server 2007 的计算机上安装客户端访问服务器角色后，您可以使用组织中任何客户端访问服务器上的“启用 Outlook Anywhere”向导为组织启用 Outlook Anywhere。我们建议为您管理的每个网站中的 Outlook Anywhere 访问启用至少一个客户端访问服务器。

规划 Outlook Anywhere 部署之前，请确保阅读下列主题：

• Outlook Anywhere 概述

• 对 Outlook Anywhere 的建议

• White Paper:Outlook Anywhere Scalability with Outlook 2007, Outlook 2003, and Exchange 2007（英文网页）

规划 POP3 和 IMAP4 的注意事项

Exchange 2007 为使用 POP3 和 IMAP4 协议的客户端提供支持。但是，默认情况下，POP3 和 IMAP4 服务在 Exchange 2007 中不启动。若要使用这些协议，必须首先在客户端访问服务器上启动 POP3 和 IMAP4 服务。

如果必须在 Microsoft Exchange Server 2007 的原始发布 (RTM) 版本中管理 POP3 和 IMAP4，则需要在 Exchange 命令行管理程序中执行所有管理任务。在 Exchange 2007 Service Pack1 (SP1) 中，可以通过使用 Exchange 管理控制台来管理 POP3 和 IMAP4 设置。

有关如何管理 POP3 和 IMAP4 的详细信息，请参阅管理 POP3 和 IMAP4。

将客户端访问服务器部署为支持 POP3 和 IMAP4 客户端时，如果您使用早期版本的 Microsoft Exchange（例如 Exchange Server 2003），则存在物理限制和安全限制。部署 POP3 和 IMAP4 过程中的主要物理限制是不支持不同 Active Directory 网站中客户端访问服务器和邮箱服务器之间的跨网站通信。必须确保客户端连接到的客户端访问服务器与包含邮箱的邮箱服务器位于同一网站中。

注意：
如果 Active Directory 站点中的客户端访问服务器和邮箱服务器运行的是 Exchange 2007，则可以配置一个设置来为 POP3 和 IMAP4 客户端启用跨站点连接。有关详细信息，请参阅如何为 POP3 和 IMAP4 客户端启用跨站点连接。

规划 Exchange 2007 Web 服务的注意事项

Exchange 2007 客户端访问服务器支持两个 Web 服务：Exchange Web 服务和自动发现服务。

Exchange Web 服务提供对以下内容的访问：

• 闲/忙信息、会议建议和外出功能。

• 用户邮箱中的日历、电子邮件、联系人、文件夹和任务项目。

• 关于发生在用户邮箱中的事件的通知。

• 使客户端和关联的邮箱同步的同步功能。

• 不明确的名称解析。

• 通讯组列表扩展。

自动发现服务使客户端（例如 Outlook）、自定义应用程序和一些移动设备能够获得各种服务（例如可用性服务、统一消息和脱机通讯簿 (OAB)）的设置。客户端尝试通过两个基于用户的 SMTP 地址的 URL 连接到自动发现服务。这两个 URL 如下所示：

• https://autodiscover.<domain>/autodiscover/autodiscover.xml

• https://<domain>/autodiscover/autodiscover.xml

Outlook 提交一个 XML 请求，其中包括用户的电子邮件地址。自动发现服务除了返回用于连接到各种服务的 URL 和设置之外，还返回关于用户的配置信息。Exchange Web 服务还为客户和合作伙伴提供开发人员 API 以编写其自己的自定义应用程序。然后，这些自定义应用程序可以与 Exchange 邮箱数据进行交互。

规划客户端访问服务器的安全性

规划安全的邮件环境时要考虑许多因素。由于存在诸如电子邮件附件和对内部与外部公司数据的访问等因素，在部署邮件环境之前考虑多个安全性预防措施非常重要。我们建议为所有客户端访问功能（包括 Outlook Web Access 和 Outlook Anywhere）使用 SSL 加密。此外，我们建议选择一种不同于基本身份验证的身份验证方法，例如集成 Windows 身份验证。基本身份验证以明文形式传送用户名和密码。选择其他身份验证方法会提高通信的安全性。可以对每个客户端访问功能进行自定义，使其使用不同的安全机制。

帮助您提高邮件环境安全性的一种方法是部署高级防火墙服务器解决方案，例如 Microsoft Internet Security and Acceleration (ISA) Server 2006。ISA Server 2006 不仅提供了更高级别的安全性，还可以通过专为 Exchange 2007 和 ISA Server 2006 设计的新功能增强客户端功能。有关如何将 ISA Server 2006 和 Exchange 2007 一起使用的详细信息，请参阅为 Exchange 客户端访问配置 ISA Server 2006。