Планирование серверов клиентского доступа

Статья
09/30/2014

Применимо к: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Последнее изменение раздела: 2008-07-03

В этом разделе содержится обзор вопросов планирования для развертывания роли сервера клиентского доступа на компьютере с Microsoft Exchange Server 2007. Роль сервера клиентского доступа поддерживает Microsoft Outlook Web Access, мобильный Outlook, Microsoft Entourage 2004 и Entourage 2008 для Mac и клиентские приложения Microsoft Exchange ActiveSync, а также протоколы POP3 и IMAP4. Дополнительные сведения о поддержке Entourage 2008 для пользователей Mac см. в руководстве администратора по Microsoft Office 2008 для Mac (на английском языке).

Роль сервера клиентского доступа также размещает несколько важных служб, таких как служба автообнаружения и веб-службы Exchange.

Роль сервера клиентского доступа должна быть установлена на каждом сайте Active Directory в организации, содержащем сервер Exchange 2007 с установленной ролью сервера почтовых ящиков. Если в организации имеется только один сайт Active Directory, роль сервера клиентского доступа должна быть установлена по меньшей мере на одном компьютере в организации Exchange.

Примечание.
Роль сервера клиентского доступа можно установить на компьютер Exchange 2007 с любыми другими ролями сервера, за исключением роли пограничного транспортного сервера. Роль сервера клиентского доступа нельзя установить на компьютер, установленный в кластере. Также не поддерживается установка сервера клиентского доступа в демилитаризованной зоне.

Роль сервера клиентского доступа можно установить на компьютер Exchange 2007 с любыми другими ролями сервера, за исключением роли пограничного транспортного сервера. Роль сервера клиентского доступа нельзя установить на компьютер, установленный в кластере. Также не поддерживается установка сервера клиентского доступа в демилитаризованной зоне.

Также не поддерживается установка сервера клиентского доступа в демилитаризованной зоне. Сервер клиентского доступа должен быть членом домена службы каталогов Active Directory, а учетная запись компьютера с сервером клиентского доступа должна быть членом группы безопасности "Серверы Exchange" Active Directory. Эта группа безопасности имеет доступ ко всем серверам Exchange организации с правами на чтение и запись. Взаимодействие между сервером клиентского доступа и серверами почтовых ящиков в организации осуществляется через RPC. Именно из-за этих требований установка сервера клиентского доступа в демилитаризованной зоне не поддерживается.

Обзор функций роли сервера клиентского доступа

Сервер клиентского доступа управляет клиентским доступом к серверу Exchange 2007. Роль сервера клиентского доступа необходима для работы следующих клиентских приложений:

Exchange ActiveSync. С помощью Exchange ActiveSync пользователи могут устанавливать связь между сервером Exchange и мобильным устройством и синхронизировать сообщения электронной почты, контакты, задачи и данные календаря.

Примечание.
С помощью Exchange ActiveSync можно синхронизировать сообщения во всех папках почты, хранящихся на сервере Exchange, за исключением папок "Черновики" и "Исходящие".

Outlook Web Access. С помощью Office Outlook Web Access пользователи могут получить доступ к данным своих почтовых ящиков Exchange через веб-обозреватель. Виртуальные каталоги для Outlook Web Access хранятся на сервере клиентского доступа.

Примечание.
Поддержка Outlook Web Access не реализована в версии Pocket Internet Explorer для мобильных устройств.

Примечание.
Доступ к Outlook Web Access в Exchange 2007 осуществляется по URL-адресу https://имя_сервера/owa. Чтобы получить доступ к общим папкам через Outlook Web Access в Exchange 2007, используйте URL-адрес https://имя_сервера/public. Доступ к Outlook Web Access в более ранних версиях Exchange осуществляется с помощью URL-адресов https://имя_сервера/exchange, https://имя_сервера/exchweb и https://имя_сервера/public. Если почтовые ящики пользователей расположены на сервере Exchange 2000 или на сервере Exchange 2003, пользователям следует использовать эти устаревшие URL-адреса.

Доступ к Outlook Web Access в Exchange 2007 осуществляется по URL-адресу https://имя_сервера/owa. Чтобы получить доступ к общим папкам через Outlook Web Access в Exchange 2007, используйте URL-адрес https://имя_сервера/public. Доступ к Outlook Web Access в более ранних версиях Exchange осуществляется с помощью URL-адресов https://имя_сервера/exchange, https://имя_сервера/exchweb и https://имя_сервера/public. Если почтовые ящики пользователей расположены на сервере Exchange 2000 или на сервере Exchange 2003, пользователям следует использовать эти устаревшие URL-адреса.

Microsoft Office Outlook. Несмотря на то, что Office Outlook 2007 получает прямой доступ к данным сообщений Microsoft Exchange на сервере почтовых ящиков, при использовании службы автообнаружения и службы обеспечения доступности Microsoft Office Outlook полагается на роль сервера клиентского доступа.
Мобильный Outlook. Если мобильный Outlook включен, Outlook может подключиться к почтовому ящику Exchange через Интернет, не используя VPN-подключение к внутренней сети. Мобильный Outlook ранее назывался RPC через HTTP.
POP3-клиенты и IMAP4-клиенты. Если пользователи подключаются к серверу Exchange 2007 с помощью POP3-клиента или IMAP4-клиента, подключение осуществляется через сервер клиентского доступа. При установке сервера Exchange 2007 также устанавливаются все службы, необходимые для поддержки протоколов POP3 и IMAP4. Однако сразу после установки эти службы отключены. Чтобы использовать протокол POP3 или протокол IMAP4 для подключения к серверу Exchange 2007, необходимо включить службу POP3 или службу IMAP4.

Помимо предоставления точки подключения для клиентских приложений, роль сервера клиентского доступа поддерживает следующие службы:

Служба автообнаружения. Сервер Exchange 2007 включает в себя новую службу Microsoft Exchange, которая называется службой автообнаружения. Служба автообнаружения отвечает за настройку клиентских компьютеров с Outlook 2007. Служба автообнаружения также может настраивать поддерживаемые мобильные устройства. Служба автообнаружения обеспечивает доступ к функциям сервера Microsoft Exchange для клиентов Outlook 2007, подключенных к среде обмена сообщениями Exchange. Службу автообнаружения необходимо правильно развернуть и настроить для автоматического подключения клиентов Outlook 2007 к функциям сервера Microsoft Exchange, например, к автономной адресной книге, службе обеспечения доступности и единой системе обмена сообщениями. Кроме того, эти функции сервера Exchange также нужно настроить соответствующим образом, чтобы обеспечить внешний доступ клиентам Outlook 2007. Дополнительные сведения см. в разделе Настройка служб Exchange для службы автообнаружения.
Веб-службы Exchange. Веб-службы Exchange обеспечивают связь клиентских приложений с сервером Exchange. Веб-службы Exchange предоставляют доступ к практически аналогичному набору данных, который доступен через Outlook. Клиенты веб-служб Exchange могут интегрировать данные Outlook в деловые приложения (LOB). Приложения LOB, использующие веб-службы Exchange, могут использовать службу автообнаружения для получения параметров профиля определенного клиента.

Общие сведения о различиях между сервером переднего плана и сервером клиентского доступа

Более ранние версии Microsoft Exchange поддерживали сервера переднего плана внутри организации. Компьютер с установленной ролью сервера клиентского доступа Exchange 2007 очень сильно отличается от сервера переднего плана Exchange 2003. В более ранних версиях Microsoft Exchange сервер переднего плана принимал запросы от клиентов и посылал их на соответствующий фоновый сервер для обработки. Таким образом обеспечивалось повышение доступности ресурсов для одновременных клиентских сеансов внутри организации и снижение нагрузки на фоновый сервер, на котором располагались почтовые ящики. Сервер переднего плана зачастую располагался в демилитаризованной зоне, между внешним и внутренним межсетевым экраном. Одним из основных преимуществ использования сервера переднего плана была возможность предоставления одного согласованного пространства имен при наличии нескольких фоновых серверов. Если бы сервер переднего плана отсутствовал, пользователям Outlook Web Access было бы необходимо знать имя сервера, на котором хранятся их почтовые ящики. Включение сервера переднего плана позволило пользователям получать доступ с помощью одного URL-адреса для Outlook Web Access. Сервер переднего плана передавал запросы пользователей на соответствующий фоновый сервер.

В Exchange 2007 роль сервера клиентского доступа была разработана специально для того, чтобы оптимизировать производительность роли сервера почтовых ящиков, за счет выполнения большинства процессов обработки, которые ранее выполнялись на фоновых серверах. Процессы бизнес-логики, такие как политики почтовых ящиков Exchange ActiveSync и сегментация Outlook Web Access, теперь выполняются на сервере клиентского доступа, а не на сервере почтовых ящиков. Поскольку роль сервера почтовых ящиков при обработке входящих клиентских подключений полагается на роль сервера клиентского доступа, на каждом сайте Active Directory с установленным сервером почтовых ящиков также должен быть установлен сервер клиентского доступа. Обе роли могут выполнятся на одном компьютере. При наличии нескольких сайтов Active Directory и желании иметь один URL-адрес для Outlook Web Access или Exchange ActiveSync необходимо настроить серверы клиентского доступа на выполнение функций прокси-серверов.

Компьютер Exchange 2007 с установленной ролью сервера клиентского доступа использует для подключения к обслуживаемому серверу почтовых ящиков протокол RPC Exchange. Канал связи между сервером клиентского доступа и сервером почтовых ящиков должен обладать высокой пропускной способностью и низкой задержкой. Минимальная рекомендуемая пропускная способность составляет 100 Мбит/с. Для промышленных центров данных следует использовать каналы с пропускной способностью около 1 Гбит/с.

Вопросы планирования для Exchange ActiveSync

Exchange ActiveSync — это протокол синхронизации Microsoft Exchange, оптимизированный для работы с сетями с низкой пропускной способностью и высокой задержкой. Протокол Exchange ActiveSync, созданный на основе HTTP и XML, позволяет использовать такие устройства, как мобильные телефоны с поддержкой веб-обозревателей или устройства с поддержкой Microsoft Windows Mobile, для доступа к данным организации, хранящимся на сервере с Microsoft Exchange. Протокол Exchange ActiveSync обеспечивает пользователям мобильных устройств доступ к электронной почте, календарю, контактам и задачам, а также предоставляет им возможность иметь доступ к этим данным во время автономной работы.

Примечание.
Exchange ActiveSync может синхронизировать сообщения электронной почты, элементы календаря, контакты и задачи. Использовать Exchange ActiveSync для синхронизации заметок в Outlook невозможно.

При развертывании Exchange ActiveSync следует обратить внимание на:

Устройства Exchange ActiveSync. Существует несколько устройств с поддержкой Exchange ActiveSync. К таким устройствам относятся устройства с поддержкой Windows Mobile, а также устройства сторонних производителей. Дополнительные сведения об устройствах с поддержкой протокола Exchange ActiveSync см. в разделе Возможности устройств ActiveSync и совместимых устройств.

Тарифные планы устройств. Протокол Exchange ActiveSync использует для синхронизации данных сообщений с мобильными устройствами технологию Direct Push. При использовании технологии Direct Push обмен данными осуществляется через мобильное подключение. Если пользователи подключены по тарифным планам, в которых оплата взимается за минуту соединения или мегабайт трафика, ежемесячные затраты могут быть чрезмерно высоки. Чтобы использовать технологию Direct Push с Exchange ActiveSync, пользователи должны быть подключены к мобильной связи по тарифным планам, не имеющим ограничений на время соединения и на объем трафика.

Примечание.
Технология Direct Push не работает через подключение к Интернету по протоколу Wi-Fi, такое как подключение 802.11b. Технология Direct Push осуществляет обмен данными только через мобильное подключение.

Безопасность Exchange ActiveSync. При развертывании Exchange ActiveSync необходимо иметь готовый план обеспечения безопасности. С Exchange ActiveSync рекомендуется использовать протокол SSL (Secure Sockets Layer). По умолчанию при установке Exchange 2007 протокол Exchange ActiveSync для пользователей включен. Виртуальный каталог Exchange ActiveSync настроен на использование обычной проверки подлинности с SSL. Можно настроить виртуальный каталог Exchange ActiveSync на использование встроенной проверки подлинности Windows или проверки подлинности на основе сертификатов.

В дополнение к настройке проверки подлинности рекомендуется выполнять развертывание политик почтовых ящиков Exchange ActiveSync для управления различными параметрами пользователей и устройств мобильного доступа. Можно настроить запрос на ввод пароля, разрешить или запретить загрузку вложений, требовать шифрование на устройстве, задать максимальное количество неудачных попыток ввода пароля, а также включить восстановление пароля. Дополнительные сведения о политиках почтовых ящиков Exchange ActiveSync см. в разделе Общие сведения о политиках почтовых ящиков Exchange ActiveSync.
Миграция с сервера Exchange Server 2003 на сервер Exchange Server 2007. При выполнении миграции с сервера Exchange Server 2003 на сервер Exchange 2007 рекомендуется сначала обновить сервера переднего плана, установив на них роль сервера клиентского доступа. Чтобы протокол Exchange ActiveSync работал правильно, необходимо включить встроенную проверку подлинности Windows на внутреннем сервере Exchange Server 2003. После выполнения миграции всех серверов переднего плана на сервер Exchange 2007 можно выполнить миграцию фоновых серверов на сервера почтовых ящиков Exchange 2007.

Вопросы планирования для Outlook Web Access

Для предоставления доступа к данным Exchange клиент Outlook Web Access использует веб-обозреватель. Клиент Outlook Web Access имеет мощный интуитивный интерфейс, напоминающий интерфейс клиента Outlook 2007. Однако при использовании этого клиента необходимость установки на компьютер клиента Outlook 2007 отсутствует. При развертывании инфраструктуры обмена сообщениями Exchange для внешнего доступа через Интернет пользователи имеют возможность использовать любой компьютер, находящийся в любой точке земного шара, на котором установлен веб-обозреватель, поддерживающий HTML 3.2 и форматы ECMA (Европейской Ассоциации производителей компьютеров). К числу таких веб-обозревателей относятся Internet Explorer, Mozilla Firefox 1.8, Opera 7.54, Safari 1.2 и др.

Outlook Web Access поддерживает большинство функций, доступных в Outlook 2007. По умолчанию все функции клиента включены. Дополнительные сведения о функциях клиента Outlook Web Access, см. в разделе Клиентские возможности в Outlook Web Access.

В зависимости от требований безопасности организации и управления данными может потребоваться ограничение набора функций, доступных пользователям, использующим клиент Outlook Web Access. Дополнительные сведения о включении и отключении функций с помощью консоли управления Exchange и командной консоли Exchange см. в разделе Управление клиентом Outlook Web Access.

Outlook Web Access для сервера Exchange 2007 обладает усовершенствованными функциями безопасности. В дополнение к стандартным методам проверки подлинности и к проверке подлинности на основе форм для виртуального каталога Outlook Web Access можно настроить протокол SSL. С помощью консоли управления Exchange и командной консоли Exchange для Outlook Web Access можно настроить следующие методы проверки подлинности:

Стандартные методы проверки подлинности. Стандартные методы проверки подлинности включают встроенную проверку подлинности Windows, а также дайджест-проверку подлинности и обычную проверку подлинности. Дополнительные сведения о настройке стандартных методов проверки подлинности для Outlook Web Access см. в разделе Настройка стандартных методов проверки подлинности для веб-клиента Outlook.

Проверка подлинности на основе форм. При использовании метода проверки подлинности на основе форм для Outlook Web Access создается страница для входа в систему. При проверке подлинности на основе форм для хранения пароля и зашифрованных учетных данных пользователя для входа в систему используются файлы «cookie». Дополнительные сведения о проверке подлинности на основе форм см. в разделе Настройка проверки подлинности на основе форм для веб-клиента Outlook.

Примечание.
При использовании нескольких методов проверки подлинности службы IIS используют сначала наиболее безопасный метод. После этого службы IIS производят поиск в списке имеющихся протоколов проверки подлинности начиная с самого безопасного протокола. Поиск производится до тех пор, пока не будет найден метод проверки подлинности, который поддерживается и сервером, и клиентом.

При использовании нескольких методов проверки подлинности службы IIS используют сначала наиболее безопасный метод. После этого службы IIS производят поиск в списке имеющихся протоколов проверки подлинности начиная с самого безопасного протокола. Поиск производится до тех пор, пока не будет найден метод проверки подлинности, который поддерживается и сервером, и клиентом.

По умолчанию при установке роли сервера клиентского доступа на сервере Exchange 2007 создается четыре виртуальных каталога Outlook Web Access на веб-узле служб IIS по умолчанию на сервере Exchange. По умолчанию эти виртуальные каталоги и веб-узел по умолчанию настроены на использование протокола SSL. Дополнительные сведения о настройке протокола SSL для Outlook Web Access см. в разделе Инструкции по настройке виртуальных каталогов веб-клиента Outlook для использования SSL.

Если необходимо использовать протокол SSL, чтобы обеспечить безопасность других веб-узлов или виртуальных каталогов Outlook Web Access, следует настроить использование протокола SSL вручную. Чтобы настроить веб-узел на использование протокола SSL, необходимо получить сертификат и настроить веб-узел или виртуальный каталог на использование протокола SSL с помощью этого сертификата.

Вопросы планирования для мобильного Outlook

Мобильный Outlook позволяет пользователям с Outlook 2007 или Outlook 2003 подключаться к инфраструктуре обмена сообщениями Microsoft Exchange через Интернет с помощью сетевой технологии мобильного Outlook.

После установки роли сервера клиентского доступа на компьютере с Exchange Server 2007 можно с помощью мастера включения мобильного Outlook на любом сервере клиентского доступа в организации включить мобильный Outlook для организации. Рекомендуется включить хотя бы один сервер клиентского доступа для мобильного Outlook на каждом управляемом узле.

Перед началом развертывания мобильного Outlook ознакомьтесь с содержанием разделов, приведенных ниже.

Вопросы планирования для протоколов POP3 и IMAP4

В Exchange 2007 реализована поддержка клиентов, использующих протоколы POP3 и IMAP4. Однако по умолчанию службы POP3 и IMAP4 на сервере Exchange 2007 не запущены. Чтобы использовать эти протоколы, необходимо сначала запустить службы POP3 и IMAP4 на сервере клиентского доступа.

Если необходимо администрировать протоколы POP3 и IMAP4 в окончательной первоначальной версии (RTM) сервера Microsoft Exchange Server 2007, все задачи администрирования выполняются в командной консоли Exchange. В версии Exchange 2007 с пакетом обновления 1 (SP1) параметрами протоколов POP3 и IMAP4 можно управлять с помощью консоли управления Exchange.

Дополнительные сведения об управлении протоколами POP3 и IMAP4 см. в разделе Управление POP3 и IMAP4.

При развертывании серверов клиентского доступа для поддержки клиентов POP3 и IMAP4 на более ранних версиях сервера Microsoft Exchange, таких как Exchange Server 2003, имеют место физические ограничения и ограничения, связанные с безопасностью. Основным физическим ограничением при развертывании POP3 и IMAP4 является отсутствие поддержки подключения между серверами клиентского доступа и серверами почтовых ящиков в отдельных сайтах Active Directory. Необходимо убедиться, что клиенты подключаются к серверу клиентского доступа, расположенному на том же сайте, что и сервер почтовых ящиков, содержащий требуемый почтовый ящик.

Примечание.
Если серверы клиентского доступа и серверы почтовых ящиков на сайтах Active Directory используют Exchange 2007, можно настроить подключение между сайтами для POP3- и IMAP4-клиентов. Дополнительные сведения см. в разделе Включение поддержки подключения между сайтами для POP3- и IMAP4-клиентов.

Если серверы клиентского доступа и серверы почтовых ящиков на сайтах Active Directory используют Exchange 2007, можно настроить подключение между сайтами для POP3- и IMAP4-клиентов. Дополнительные сведения см. в разделе Включение поддержки подключения между сайтами для POP3- и IMAP4-клиентов.

Вопросы планирования для веб-служб Exchange 2007

На сервере клиентского доступа Exchange 2007 также размещаются две веб-службы: веб-службы Exchange и служба автообнаружения.

Веб-службы Exchange обеспечивают доступ к следующим функциям и данным:

Данные о занятости, предложения о собраниях и функция «Отсутствие на рабочем месте».
Элементы календаря, сообщения электронной почты, контакты, папки и задачи в почтовом ящике пользователя.
Уведомления о событиях, которые возникают в почтовом ящике пользователя.
Функции синхронизации для синхронизации клиентов со связанными почтовыми ящиками.
Разрешение неоднозначных имен.
Расширение списка рассылки.

Служба автообнаружения позволяет клиентам, таким как Outlook, пользовательские приложения и некоторые мобильные устройства, получать параметры нескольких служб, таких как служба обеспечения доступности, единая система обмена сообщениями и автономная адресная книга (OAB). Клиенты пытаются подключиться к службе автообнаружения по двум URL-адресам, основанным на SMTP-адресе пользователя. Это следующие адреса:

https://autodiscover.<домен>/autodiscover/autodiscover.xml
https://<домен>/autodiscover/autodiscover.xml

Клиент Outlook предоставляет XML-запрос, включающий адрес электронной почты пользователя. Служба автообнаружения возвращает данные о конфигурации пользователя в дополнение к URL-адресам и параметрам, используемым для подключения к различным службам. Веб-службы Exchange также предоставляют прикладной программный интерфейс (API) для разработки клиентами и партнерами собственных пользовательских приложений. Эти пользовательские приложения могут взаимодействовать с данными почтовых ящиков Exchange.

Планирование безопасности для сервера клиентского доступа

При планировании безопасной среды обмена сообщениями необходимо учитывать множество факторов. Наличие таких факторов, как необходимость работы с вложениями электронной почты и предоставления доступа к внутренним и внешним корпоративным данным, повышает важность рассмотрения нескольких мер предосторожности для обеспечения безопасности среды обмена сообщениями до ее развертывания. Рекомендуется использовать шифрование SSL для всех функций клиентского доступа, включая Outlook Web Access и мобильный Outlook. Кроме того, в качестве метода проверки подлинности рекомендуется использовать встроенную проверку подлинности Windows, а не обычную проверку подлинности, так как при использовании последней имена пользователей и пароли передаются в виде открытого текста. Использование альтернативного метода проверки подлинности повышает безопасность обмена данными. Каждую функцию клиентского доступа можно настроить на использование различных механизмов обеспечения безопасности.

Одним из методов повышения уровня безопасности среды обмена сообщениями является развертывание усовершенствованного сервера межсетевого экрана, такого как сервер Microsoft Internet Security and Acceleration (ISA) Server 2006. Сервер ISA Server 2006 обеспечивает дополнительный уровень безопасности, а также повышает функциональность клиента, благодаря новым функциям, разработанным для серверов Exchange 2007 и ISA Server 2006. Дополнительные сведения об использовании сервера ISA Server 2006 совместно с сервером Exchange 2007 см. в разделе Настройка ISA Server 2006 для клиентского доступа Exchange.