了解代理和重定向

适用于： Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上一次修改主题： 2008-03-14

在 Microsoft Exchange Server 2007 组织中，安装了客户端访问服务器角色的 Exchange 2007 计算机可以充当组织内其他客户端访问服务器的代理。如果一个组织中的不同 Active Directory 网站存在多个客户端访问服务器，但并非所有 Active Directory 网站均连接到 Internet，则代理很有用。

客户端访问服务器还可以对 Microsoft Office Outlook Web Access URL 执行重定向。如果用户连接的面向 Internet 的客户端访问服务器与其邮箱服务器不在同一个 Active Directory 网站，则重定向很有用。

注意：
如果在组织中没有多个 Active Directory 网站，则不必配置 Exchange 2007 以实现代理和重定向功能。

注意：
未连接到 Internet 的客户端访问服务器不必具有单独的安全套接字层 (SSL) 证书。它们可以使用默认情况下随 Exchange 2007 一起安装的自签名证书。有关详细信息，请参阅了解 Exchange 2007 中的自签名证书。

若要为客户端访问服务器配置代理和重定向，必须修改用于访问各种客户端访问协议的虚拟目录的两个属性。这两个属性如下所示：

• InternalURL   该属性包含虚拟目录的 Intranet URL。安装期间自动配置该属性。在大多数安装中，不必更改 InternalURL 的值。

• ExternalURL   该属性包含虚拟目录的 Internet URL。该值在 DNS 中发布，并且必须根据您的配置手动进行配置。

本主题说明代理和重定向、何时使用这两种功能以及如何针对每种方案配置客户端访问服务器。

代理概述

在 Microsoft Exchange Server 2003 中，前端服务器通过 HTTP 与后端服务器进行通信。在 Exchange 2007 中，客户端访问服务器通过 RPC 与邮箱服务器进行通信。每个包含邮箱服务器的 Active Directory 网站中都必须具有 Exchange 2007 客户端访问服务器。当一个客户端访问服务器向其他客户端访问服务器发送通信时就会发生代理。在以下两种情况下，Exchange 2007 客户端访问服务器可以代理请求：

• Exchange 2007 客户端访问服务器之间   通过两个 Exchange 2007 客户端访问服务器之间的代理请求，拥有多个 Active Directory 网站的组织可以指定一个或多个客户端访问服务器作为面向 Internet 的服务器，并使这些服务器代理未连接到 Internet 网站上客户端访问服务器的请求。面向 Internet 的客户端访问服务器将代理与收件人邮箱位于同一网站的客户端访问服务器的传入请求。这称为 CAS-CAS 代理。

• Exchange 2007 客户端访问服务器与 Exchange 2003 服务器之间    对于使用 \Exchange 虚拟目录连接到 Outlook Web Access 或使用 \Microsoft-Server-ActiveSync 虚拟目录连接到 Microsoft Exchange ActiveSync 的外部客户端，相应的 Exchange 2003 后端服务器会代理其请求。

使用 Outlook Web Access、Exchange ActiveSync 和 Exchange Web 服务的客户端支持代理。如果目标客户端访问服务器运行的 Exchange Server 版本与源客户端访问服务器运行的版本相同或低于其版本时，则支持一个客户端访问服务器代理另一个客户端访问服务器。但是，Exchange Web 服务不能从运行 Exchange Server 2007 SP1 的服务器代理运行 Exchange 2007 的原始发行 (RTM) 版的服务器，因为 Exchange 2007 的 RTM 版不支持 Exchange Web 服务的代理。下图说明了在拥有多个客户端访问服务器和多个邮箱服务器的组织中代理是如何工作的。

注意：
在每个 Exchange 组织中，至少有一个客户端访问服务器必须面向 Internet。未连接到 Internet 的客户端访问服务器不必拥有自己的 Internet 主机名。它依赖于面向 Internet 的客户端访问服务器来代理来自外部客户端的所有相关请求。

注意：
代理不适用于邮局协议版本 3 (POP3) 或 Internet 邮件访问协议版本 4rev1 (IMAP4) 客户端。使用 POP3 或 IMAP4 的客户端必须连接到与其邮箱服务器位于同一 Active Directory 网站的客户端访问服务器。

客户端访问代理

在上图中，用户 1 的邮箱位于邮箱服务器 01 上。用户 2 的邮箱位于邮箱服务器 02 上，用户 3 的邮箱位于邮箱服务器 03 上。用户 1 可以通过客户端访问服务器 01 访问他们的邮箱，而不使用代理。如果用户 1 尝试通过使用 Exchange ActiveSync 访问客户端访问服务器 02，则由于客户端访问服务器 01 是与其邮箱的对应客户端访问服务器，所以他们将收到错误信息。如果尝试使用 Outlook Web Access 访问客户端访问服务器 02，其浏览器将显示一条消息，包含客户端访问服务器 01 的 URL，该客户端访问服务器与其邮箱服务器位于同一个网站。此过程称为重定向。如果用户 3 尝试访问客户端访问服务器 02，则该服务器将会把他们的请求通过代理发送到客户端访问服务器 03。客户端访问服务器 03 不面向 Internet，但能够接收来自防火墙内部其他服务器的请求。用户不会看到代理过程。

注意：
不同网站中客户端访问服务器之间的通信通过安全 HTTP (HTTPS) 实现。

Exchange ActiveSync 代理

以下方案说明了对于通过移动设备连接到名为 CAS-01 的 Exchange 2007 客户端访问服务器的用户，如何处理传入请求。

1. 客户端访问服务器查询 Active Directory 目录服务以确定用户邮箱的位置和邮箱服务器上已安装的 Microsoft Exchange 版本。如果用户邮箱位于安装了邮箱服务器角色的 Exchange 2007 计算机上，请转至步骤 3。

2. 如果用户邮箱位于 Exchange 2003 服务器上，则传入请求将通过代理发送到托管用户邮箱和 Exchange ActiveSync 虚拟目录的 Exchange 2003 服务器上。默认情况下，在 Exchange 2003 中，所有邮箱服务器上都安装了 Exchange ActiveSync 虚拟目录。如果传入请求的目标是与目标后端服务器位于不同 Active Directory 网站的 Exchange 2007 客户端访问服务器，则即使在目标 Active Directory 网站内存在 Exchange 2007 客户端访问服务器，该请求也将直接通过代理转发到目标后端服务器。如果传入请求的目标是与目标后端服务器位于相同 Active Directory 网站中的 Exchange 2007 客户端访问服务器，则该请求将直接通过代理发送到目标后端服务器。

   注意：
   如果在 Exchange 2003 服务器上拥有邮箱的用户尝试通过 Exchange 2007 客户端访问服务器使用 Exchange ActiveSync，除非对 Exchange 2003 服务器的 Microsoft-Server-ActiveSync 虚拟目录启用了集成 Windows 身份验证，否则，该用户将收到错误消息，并且无法进行同步。这使 Exchange 2007 客户端访问服务器和 Exchange 2003 后端服务器可以使用 Kerberos 身份验证进行通信。

3. 如果用户邮箱位于 Exchange 2007 邮箱服务器上，则 CAS-01 将在用户邮箱服务器所在的 Active Directory 网站中查找客户端访问服务器。如果存在离用户邮箱服务器更近的客户端访问服务器，则 Exchange 2007 将确定客户端访问服务器是否配置了 InternalURL 属性以及身份验证方法是否为集成 Windows 身份验证。如果是这样的情况，会将用户通过代理连接到 InternalURL 属性指定的客户端访问服务器。否则，就会拒绝请求。如果请求遭到拒绝，则将向移动设备返回错误代码。如果代理客户端访问服务器在 Microsoft-Server-ActiveSync 虚拟目录上配置了 ExternalURL 属性，则将返回 HTTP 错误代码 451。

   要点：
   使用基本身份验证的虚拟目录之间不支持代理。对于需要在不同服务器上的虚拟目录之间代理的客户端通信，虚拟目录必须使用集成 Windows 身份验证。

Outlook Web Access 代理

以下方案说明了对于通过使用 Outlook Web Access 连接到名为 CAS-01 的 Exchange 2007 客户端访问服务器的用户，如何处理传入请求。

1. 客户端访问服务器查询 Active Directory 以确定用户邮箱的位置以及邮箱服务器上安装的 Microsoft Exchange 版本。如果用户邮箱位于 Exchange 2007 邮箱服务器上，请转至步骤 3。

2. 如果用户邮箱位于 Exchange 2003 服务器上并且用户尝试使用 https://domain name/owa 访问 Outlook Web Access，则他们将收到错误消息。如果用户尝试访问 https://domain name/exchange 或 https://domain name/public，则传入请求通过代理发送到托管用户邮箱和 Outlook Web Access 虚拟目录的 Exchange 2003 服务器。如果传入请求的目标是与目标后端服务器位于不同 Active Directory 网站中的 Exchange 2007 客户端访问服务器，则即使在目标 Active Directory 网站内存在 Exchange 2007 客户端访问服务器，该请求也将直接通过代理发送到目标后端服务器。如果传入请求的目标是与目标后端服务器位于相同 Active Directory 网站中的 Exchange 2007 客户端访问服务器，则该请求将直接通过代理发送到目标后端服务器。在这种情况下，请跳过步骤 3。

3. 如果用户邮箱位于 Exchange 2007 邮箱服务器上，则 CAS-01 将在用户邮箱服务器所在的 Active Directory 网站中查找客户端访问服务器。当找到一个客户端访问服务器后，Exchange 2007 将确定客户端访问服务器是否已配置了 InternalURL 属性以及虚拟目录的身份验证方法的设置是否是集成 Windows 身份验证。然后，CAS-01 确定是否已指定了外部 URL。如果指定了外部 URL，则用户将重定向到由 ExternalURL 属性指定的服务器。否则，CAS-01 会将用户的请求通过代理发送到 InternalURL 属性指定的客户端访问服务器。

   注意：
   在 Exchange 2007 安装过程中，将自动配置内部 URL。ExternalURL 属性的默认值为 $null。对于面向 Internet 的客户端访问服务器，应将 ExternalURL 属性设置为在 DNS 中为该 Active Directory 网站发布的值。对于未连接到 Internet 的客户端访问服务器，不必配置 ExternalURL 属性。

Web 服务的代理

以下方案说明了对于通过使用 Exchange Web 服务连接到名为 CAS-01 的 Exchange 2007 客户端访问服务器的用户，如何处理传入请求。

1. 客户端访问服务器查询 Active Directory 以确定用户邮箱的位置以及邮箱服务器上安装的 Microsoft Exchange 版本。如果用户邮箱位于运行 Microsoft Exchange Server 2003 的服务器上，则无法执行代理，请求将失败。如果用户邮箱位于运行 Exchange 2007 Service Pack 1 (SP1) 的服务器上，则继续执行步骤 2。如果用户邮箱位于运行 Exchange 2007 RTM 版的服务器上，请求将失败。

2. Exchange Web 服务请求到达 CAS-01 后，Exchange Web 服务将处理请求并将其通过代理发送到包含用户邮箱服务器的网站。Exchange Web 服务可以支持多个用户发出一个请求。如果传入请求包含多个用户，则这些用户的邮箱必须位于同一个 Active Directory 网站。除了可用性服务之外，任何其他 Web 服务均不支持不同 Active Directory 网站中的多个用户发出一个请求。如果用户邮箱位于包含 Exchange 2007 SP1 客户端访问服务器网站中的 Exchange 2007 邮箱服务器上，则 CAS-01 将请求通过代理发送到目标 Active Directory 网站。

   注意：
   在安装 Exchange 2007 期间将自动配置 InternalURL 和 NLBByPassURL 属性。对于未连接到 Internet 的客户端访问服务器，应将 ExternalURL 属性设置为 $null。

代理配置

如果客户端服务器面向 Internet，请通过 Exchange 管理控制台或 Exchange 命令行管理程序在 Exchange ActiveSync 和 Outlook Web Access 虚拟目录上设置 ExternalURL 属性。在 Exchange 2007 的初始安装过程中，将自动配置 InternalURL 属性，并且应尽量不更改此属性。ExternalURL 属性应包含在 DNS 中为 Exchange 组织注册的 URL，例如 https://www.contoso.com/owa（对于 Outlook Web Access）。下表包含对于名为 www.contoso.com 的 Exchange 组织面向 Internet 的客户端访问服务器，ExternalURL 和 InternalURL 属性的相应值。第二个列表对于包含 www.contoso.com 另外一个 Active Directory 网站中非面向 Internet 的客户端访问服务器，ExternalURL 和 InternalURL 属性的相应值。必须将所有这些虚拟目录上的身份验证方法配置为集成 Windows 身份验证。使用其他身份验证方法的虚拟目录不支持代理。

注意：
如果使用 Exchange 命令行管理程序创建新的 Outlook Web Access 虚拟目录，必须手动配置这些虚拟目录上的 InternalURL 属性。

面向 Internet 的客户端访问服务器的代理 InternalURL 和 ExternalURL 设置

非面向 Internet 的客户端访问服务器的代理 InternalURL 和 ExternalURL 设置

有关如何配置虚拟目录的详细信息，请参阅下列主题：

• 管理 Exchange ActiveSync 虚拟目录

• 管理 Exchange 2007 中的 Outlook Web Access 虚拟目录

重定向概述

对于访问的面向 Internet 的客户端访问服务器与其邮箱服务器位于不同 Active Directory 网站的 Outlook Web Access 用户，如果该客户端访问服务器是面向 Internet 的，则可以将该用户重定向到其邮箱服务器所在网站中的客户端访问服务器。如果 Outlook Web Access 用户尝试连接到位于包含其邮箱服务器的 Active Directory 网站外部的客户端访问服务器，他们将看到一个网页，其中包含指向正确的邮箱客户端访问服务器的链接。

下图说明了重定向在多个 Active Directory 网站拥有多个客户端访问服务器的组织中是如何工作的。

Exchange 2007 Outlook Web Access 的重定向

在上图中，用户 1 的邮箱位于邮箱服务器 01 上。用户 2 的邮箱位于邮箱服务器 02 上，用户 3 的邮箱位于邮箱服务器 03 上。用户 1 可以通过客户端访问服务器 01 访问他们的邮箱，而不使用重定向。如果用户 1 尝试访问客户端访问服务器 02，则他们的浏览器将会显示一条信息，其中包括客户端访问服务器的正确 URL。系统将提示用户单击其客户端访问服务器的 Outlook Web Access URL。不会自动对他们进行重定向。如果用户 3 尝试访问客户端访问服务器 02，则该服务器将会把他们的请求通过代理发送到客户端访问服务器 03。客户端访问服务器 03 不面向 Internet，但能够接收来自防火墙内部其他服务器的请求。用户不会看到代理过程。

注意：
只有使用 Outlook Web Access 的客户端支持重定向。使用 Exchange ActiveSync、POP3 和 IMAP4 的客户端无法使用重定向。使用 Web 服务的客户端将使用自动发现服务来确定正确的客户端访问服务器设置。

注意：

安装 Exchange 2007 时，为 Outlook Web Access 创建了四个虚拟目录：owa、Exchange、Public 和 ExchWeb。Owa 虚拟目录提供对 Exchange 2007 邮箱的访问。Exchange 和 Public 虚拟目录提供对 Exchange 2003 邮箱的访问。如果在 Exchange 2003 服务器上拥有邮箱的用户通过使用 https://服务器名称/owa 登录，则用户将收到错误消息，通知他们其邮箱位于 Exchange 2003 服务器。必须使用 Exchange 虚拟目录。如果他们使用 https://服务器名称/Exchange 登录，则 Exchange 2007 客户端访问服务器将把他们的请求通过代理发送到 Exchange 2003 邮箱服务器。如果在 Exchange 2007 上拥有邮箱的用户使用 https://服务器名称/owa 访问 Outlook Web Access，则用户可以直接访问他们的邮箱。如果使用 https://服务器名称/Exchange 登录 Outlook Web Access，则他们将被重定向到 https://服务器名称/owa。

配置重定向

如果客户端访问服务器面向 Internet，请使用 Exchange 管理控制台或 Exchange 命令行管理程序设置 Outlook Web Access 虚拟目录的 ExternalURL 属性。在 Exchange 2007 的初始安装过程中，将自动配置 InternalURL 属性，并且应尽量不更改此属性。以下两个表列出了客户端访问服务器在 Contoso 的两个 Active Directory 网站中的 ExternalURL 和 InternalURL 设置。这两个网站分别是 www.usa.contoso.com 和 www.europe.contoso.com。

注意：
如果使用 Exchange 命令行管理程序创建新的 Outlook Web Access 虚拟目录，必须手动配置这些虚拟目录上的 InternalURL 属性。

有关如何管理 Outlook Web Access 虚拟目录的详细信息，请参阅管理 Exchange 2007 中的 Outlook Web Access 虚拟目录。

usa.contoso.com 网站中面向 Internet 的客户端访问服务器的 InternalURL 和 ExternalURL 重定向设置

europe.contoso.com 网站中面向 Internet 的客户端访问服务器的 InternalURL 和 ExternalURL 重定向设置

禁用重定向

如果组织拥有多个面向 Internet 的 Active Directory 网站，并且禁用了 Internet 与其中某个网站的连接，您可以暂时禁用重定向并转而将 Outlook Web Access 配置为使用代理。还原网站中具有问题的 Internet 连接后，可以恢复重定向。通过以下语法使用 Set-OWAVirtualDirectory cmdlet，可以禁用重定向：

set-owavirtualdirectory "owa (default web site)" -RedirectToOptimalOWAServer $false

若要还原重定向，请使用相同的 cmdlet 并将 RedirectToOptimalOWAServer 参数更改为 $true。

使用网络负载平衡进行代理

在拥有多个 Active Directory 网站并且每个网站拥有多个客户端访问服务器的组织中，可以使用网络负载平衡 (NLB) 将通信分配到每个网站中的客户端访问服务器，以实现故障转移冗余。不支持在同一负载平衡数组中包含来自不同 Active Directory 网站的客户端访问服务器。可以在面向 Internet 的 Active Directory 网站中部署 NLB，也可以在非面向 Internet 的 Active Directory 网站中部署 NLB。下图显示了实现 NLB 的两个 Active Directory 网站。

在使用 NLB 的组织中进行代理

下表列出了面向 Internet 的 Active Directory 网站 www.contoso.com 的客户端访问服务器 CAS-01 和 CAS-02 上的虚拟目录设置。

面向 Internet 的客户端访问服务器在使用 NLB 的组织中的虚拟目录设置

注意   配置防火墙时，必须配置 IP 关联，以便成功实现 Exchange Web 服务和 Outlook Web Access 的代理。IP 关联允许将源于一台计算机的请求始终通过代理连接到相同的目标计算机。

非面向 Internet 的 Active Directory 网站拥有三个服务器：CAS-03、CAS-04 和 CAS-05。下表列出了这三个服务器的虚拟目录设置。

非面向 Internet 客户端访问服务器在使用 NLB 的组织中的虚拟目录设置

注意：
对于 Outlook Web Access 和 Exchange Web 服务，必须还要启用 Kerberos 身份验证。

应将所有虚拟目录的 ExternalURL 属性设置为 $Null。如果 ExternalURL 属性的设置不是 $Null，则非面向 Internet 的客户端访问服务器将按照与 Internet 连接的方式运行，并且将使客户端无法成功地连接到或重定向到这些服务器上。

Outlook Web Access 和 Exchange Web 服务与可用性服务和 Exchange ActiveSync 处理负载平衡的方式不同。在通过代理连接到包含多个客户端访问服务器的网站时，Outlook Web Access 和 Exchange Web 服务将实现自己的负载平衡。如果用户尝试通过 https://www.contoso.com/owa 访问 Outlook Web Access 并通过代理连接到包含 CAS-01、CAS-02 和 CAS-03 的非面向 Internet 的 Active Directory 网站，则初次通过代理连接到 CAS-01 的用户将总是连接到 CAS-01，即使 CAS-02 的并发连接数更少也是如此。如果 CAS-01 不可用，用户将通过代理连接到 CAS-02。

注意：
对于 Outlook Web Access 和 Exchange Web 服务，应该为防火墙配置 IP 关联或基于 Cookie 的关联。这是每次特定客户端应用程序连接到相同 IP 地址的过程。需要执行此过程，以便不必对每个请求都重复执行 SSL 协商。

对于 Exchange ActiveSync，此过程有所不同。当面向 Internet 的客户端访问服务器将请求通过代理发送到非面向 Internet 的客户端访问服务器时，使用存储在本地 Administrator 帐户中的信息维护连接。然后，其他用户请求就可以使用此连接。在网络负载平衡情况下，位于面向 Internet 的 NLB 中的客户端访问服务器将建立与位于非面向 Internet 的 NLB 中客户端访问服务器之间的连接。连接数量将等于目标 Active Directory 网站中的客户端访问服务器数量。建议在 NLB 阵列中实现轮循机制负载平衡。

注意：
建议您在面向 Internet 和非面向 Internet 的 Active Directory 网站中都实现网络负载平衡。在不具有网路负载平衡的非面向 Internet 的 Active Directory 网站中，如果网站中的某个客户端访问服务器不可用，则在该客户端访问服务器再次可用之前，任何先前通过代理连接到该客户端访问服务器的 Exchange ActiveSync 客户端都将失败。Exchange ActiveSync 同步状态存储在客户端邮箱中。因此，如果客户端第一次进行连接时通过代理连接到 CAS-02，那么以后每次进行连接时它们都会将通过代理连接到 CAS-02。

有关网络负载平衡的详细信息，请参阅 Windows Server 2003 文档。

注意：
在许多部署中，客户端访问服务器角色和集线器传输服务器的安装位于在相同的计算机上。在此拓扑中，可以对客户端访问服务器角色与集线器传输服务器角色分开配置网络负载平衡。集线器传输服务器角色当前不支持网络负载平衡。但是，客户端访问服务器角色支持。若要为客户端访问服务器角色而不是集线器传输服务器角色配置网络负载平衡，请对客户端访问配置端口 80 和 443。集线器传输服务器角色在软件中实现自己的高可用性。

客户端访问方法摘要

下表总结了用于访问 Exchange 2007 的协议以及如何使用这些协议进行代理和重定向。

用于重定向和代理的客户端访问协议

代理性能和可伸缩性

在 Exchange 2007 代理环境中，如果客户端访问服务器接收到大量并发请求，经常会导致性能不佳。此问题通常是由于来自 ASP.NET 的 Web 服务请求耗尽了线程和可用连接而引起的。这可能会导致客户端访问服务器拒绝请求或处理请求时出现高延迟。

若要解决这些问题，可以通过在客户端访问服务器计算机上编辑 Machine.config 文件配置多个 ASP.NET 参数。有关如何配置这些参数的详细信息，请参阅 Microsoft 知识库文章 821268，从 ASP.NET 应用程序发出 Web 服务请求时出现争用、性能不佳和死锁。

上述知识库文章中介绍的其中两个参数在 Exchange 2007 代理环境中必须设置不同的值。建议您允许每个处理器使用 36 个线程并将 maxconnections 值设置为 2000。

有关服务器性能的详细信息，请参阅下列主题：

• 在 Windows Server 2003 上管理 .NET Framework

详细信息

有关详细信息，请参阅下列主题：

• 规划客户端访问服务器

• 管理 Outlook Web Access

• 管理 Exchange ActiveSync

• 管理可用性服务

• 管理 Exchange 2007 中的 Outlook Web Access 虚拟目录

• 管理 Exchange ActiveSync 虚拟目录