如何配置跨林拓扑的可用性服务
适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上一次修改主题: 2012-09-24
本主题将介绍如何使用 Exchange 命令行管理程序来配置跨林拓扑的可用性服务。 可用性服务可以改善信息工作人员的忙/闲数据,方法是为运行 Microsoft Office Outlook 2007 的计算机提供安全、一致并且最新的忙/闲信息。 默认情况下,该服务与 Microsoft Exchange Server 2007 一起安装。 在所有连接客户端计算机均运行 Outlook 2007 的跨林拓扑中,可用性服务是检索忙/闲数据的唯一方法。
.gif "note") 注意: |
|---|
| 不能使用 Exchange 管理控制台来配置跨林拓扑的可用性服务。 |
可以在跨受信任的或不受信任的林的跨林拓扑中使用可用性服务。 忙/闲信息的类型由跨林忙/闲数据是被配置成每个用户的服务、还是被配置成组织范围的服务来确定。 每个用户的忙/闲信息仅在受信任的跨林拓扑中是可能的。 它使得可用性服务可以代表特定的用户进行跨林请求。 这允许远程林中的用户将详细忙/闲信息授予跨林用户。
相反,组织范围的忙/闲数据使可用性服务仅可以代表特定组织进行跨林请求。 在这种情况下,将返回用户的默认忙/闲信息,并且不可以控制返回至其他林中用户的忙/闲信息的级别。
| 注意: |
|---|
本主题中使用的术语源林和目标林用于标识每个林。 这些术语的定义如下:
|
为跨林拓扑配置 Windows
根据该方案,还应考虑以下要求:
必须在林之间同步全局地址列表 (GAL)。
必须在林之间运行自动发现服务。
所有 Exchange 2007 客户端访问服务器必须验证目标林上的证书。
| 注意: |
||||
|---|---|---|---|---|
| Microsoft Exchange Server 2007 Service Pack 3 (SP3) 更新汇总 6 使用 Exchange Web 服务的外部 URL 连接到目标林。 如果未在目标林中启用 Outlook Anywhere,则自动发现服务无法返回 Exchange Web 服务的外部 URL。 在这种情况下,跨林查找会失败。 若要解决此问题,请在目标林中启用 Anywhere,然后验证是否正确配置了 Exchange Web 服务的外部 URL。
|
要为跨林拓扑配置 Microsoft Windows,必须安装和配置 GAL Synchronization (GALSync)。 有关如何在 Microsoft Identity Integration Server (MIIS) 2003 中安装和配置 GALSync 功能的完整信息,请参阅下列资源:
此功能可以创建启用邮箱的联系人,这些联系人代表其他林中的收件人。 这让用户可以查看 GAL 中的联系人,并将他们作为与会者添加到会议中。
在 Exchange 2007 跨林方案中,在林之间共享忙/闲信息的唯一方法是可用性服务。 由于旧 Outlook 客户或在早期版本的 Exchange 上托管邮箱的用户无法使用可用性服务,因此他们无法检索其所在林以外用户的忙/闲信息,除非在林之间复制存储在公用文件夹中的信息。
因此,如果运行的是 Office Outlook 2003 或更早版本,则必须使用 Microsoft Exchange 组织间复制工具跨多个林同步忙/闲数据。 有关 Microsoft Exchange 组织间复制工具的详细信息,请参阅 Microsoft Exchange 组织间复制(英文网页)。
此外,还必须从 Exchange 命令行管理程序中运行以下 cmdlet,以设置公用文件夹忙/闲可用性:
Add-AvailabilityAddressSpace -ForestName "target.forest.com" -AccessMethod PublicFolder
运行这些 Cmdlet 所需的权限
若要运行 Get-ClientAccessServer cmdlet,必须为您使用的帐户委派以下角色:
Exchange 仅查看管理员角色
若要运行 Add-ADPermission cmdlet,必须为您使用的帐户委派以下角色:
Exchange 组织管理员角色
若要运行 Add-AvailabilityAddressSpace cmdlet,必须为您使用的帐户委派以下角色:
Exchange 组织管理员角色
若要运行 Set-AvailabilityConfig cmdlet,必须为您使用的帐户委派以下角色:
Exchange 组织管理员角色
有关管理 Exchange Server 2007 所需的权限、角色委派以及权利的详细信息,请参阅权限注意事项。
跨林可用性和自动发现服务
自动发现服务通过为跨林可用性查找并提供 Outlook 2007 客户端和 Exchange 2007 客户端访问服务器的外部和内部 URL,为可用性服务提供信息。 也就是说,客户端访问服务器必须可以连接到目标林上的自动发现服务,才能返回可用性服务 URL。
在跨林可用性方案中,基本上可以使用以下两种选项来配置自动发现服务。
将服务连接点 (SCP) 从目标林导出到源林(如果这些林之间存在信任关系)。
使用 DNS 解析 autodiscover.targetforest.com 网站地址。
| 注意: |
|---|
| 在跨林方案中,无法使用 DNS 服务位置 (SRV) 记录查找对 Exchange 2007 客户端访问服务器的自动发现服务。 |
在 Active Directory 目录服务中为跨林用户执行自动发现服务请求时,跨林可用性服务具有时间限制。 默认情况下,此超时值为 10 秒。 如果自动发现请求没有在 10 秒内完成,则跨林用户的可用性服务请求可能会超时。 有关详细信息,请参阅下列主题:
跨林可用性和证书
在安装 Exchange 2007 以及客户端访问服务器角色时,将创建自签名证书。 自签名证书有两个主题备用名称 (SAN) 条目: 一个用于客户端访问服务器的 NetBIOS 名称,一个用于客户端访问服务器的完全限定的域名 (FQDN)。 因此,如果计划使用客户端访问服务器上安装的默认自签名证书,则只有一个选项可以使自动发现服务在两个林之间运行: 必须将 SCP 从目标林导出到源林。 在此方案中,两个林之间必须具有某种信任关系。 有关详细信息,请参阅下列主题:
如果这些林之间无任何信任关系,并且如果您仍然希望使用自签名证书,则必须重新颁发一个新的自签名证书,并在其中包含 autodiscover.targetforest.com 的使用者可选名称。 可以使用 New-ExchangeCertificate cmdlet 重新颁发新的自签名证书。 有关详细信息,请参阅 New-ExchangeCertificate (RTM)。
尽管自签名证书可用于对客户端访问服务器与其他 Exchange 2007 服务器角色之间的通信进行加密,但是建议不要将自签名证书用于客户端应用程序和设备。 由于自签名证书的局限性,建议将自签名证书替换为受信任的第三方证书或由 Windows PKI 签署的证书。 有关详细信息,请参阅以下 Exchange 帮助主题:
步骤
使用 Exchange 命令行管理程序来配置跨林拓扑的可用性服务的步骤
在 Windows 信任关系方案中,在源和目标林中运行以下 cmdlet:
源林:
Add-AvailabilityAddressSpace -ForestName "xyz.com" -AccessMethod PerUserFB -UseServiceAccount $true目标林:
Get-ClientAccessServer | Add-AdPermission -AccessRights ExtendedRight -ExtendedRights "ms-exch-epi-token-serialization" -User "Sourceforest\Exchange Servers"如果不存在信任关系,则必须在源和目标林中运行以下 cmdlet。 在这种情况下,必须在目标域中使用具有较低权限的服务帐户。 例如,使用不具有管理权限的常规帐户。
源林:
$a = Get-Credential (Type the credential "TargetForest\User" for organization-wide user) Add-AvailabilityAddressSpace -ForestName "xyz.com" -AccessMethod OrgWide -Credential $a目标林:
Set-AvailabilityConfig -OrgWideAccount "TargetForest\User"在有信任关系的情况下,可使用两种方法来配置自动发现服务。 从目标林导出 SCP,或使用 DNS 查询主机记录 "autodiscover.targetforest.com"。
在有信任关系的情况下,使用以下 cmdlet 将 SCP 从目标林导出到源林:
$a = Get-Credential (Type "SourceForest\Administrator") Export-AutodiscoverConfig -TargetForestDomainController "dc.sourceforest.com" -TargetForestCredential $a -MultipleExchangeDeployments $true注意:从远程域导入 SCP 之后,自动发现服务可能无法正常运行,并且 Outlook 2007 客户端也可能无法查询外出与忙/闲信息。 有关解决此问题的信息,请参阅 973404 Outlook 2007 修补程序包 (Outlook-x-none.msp) 描述: 2009 年 8 月 25 日 在信任或非信任方案中,Exchange 2007 客户端访问服务器都配置为查询 DNS 来解析 "autodiscover.targetforest.com"。 在这种情况下,会为 "autodiscover.targetforest.com" 创建一个主机记录。
注意:自动发现服务会将可用性 InternalURL 返回给 Exchange 2007 客户端访问服务器。
无论林是否具有信任关系,源林中的 Exchange 2007 客户端访问服务器都必须验证目标林中的每台 Exchange 2007 客户端访问服务器上安装的证书。 若要确保您使用的证书有效,请执行以下步骤:
如果目标林中的 Exchange 2007 客户端访问服务器上安装的是自签名证书,则必须将其导出。 当存在内部根 CA 并安装有专用证书时,此概念同样适用。Exchange 2007 安装时会附带安装默认的自签名安全套接字层 (SSL) 证书。 为 Exchange ActiveSync、Office Outlook Web Access 和可用性服务启用 SSL 时,可以使用此证书。 但是,由于大多数客户端应用程序都将此证书视为无效,因此用户将收到一条提示。Exchange ActiveSync 和 Office Outlook Web Access 支持从一个客户端访问服务器代理到另一个客户端访问服务器。 使用自签名证书时,为了确保代理操作成功,必须按下面这样配置注册表项:
HKLM\System\CurrentControlSet\Services\MSExchangeOWA\AllowInternalUntrustedCerts = 1 HKLM\System\CurrentControlSet\Services\MSExchangeOWA\AllowExternalUntrustedCerts = 1导出自签名证书或根 CA 证书之后,您要将其导入到每台 Exchange 2007 客户端访问服务器上的计算机帐户储存。
若要成功测试自动发现服务和可用性服务,请使用以下方法之一:
导出的 SCP: 从源林中的 Exchange 2007 客户端访问服务器,转至自动发现网站,然后在目标林中运行以下 cmdlet:
Get-ClientAccessServer | fl name, AutoDiscoverServiceInternaluri Get-WebServiceVirtualDirectory | fl name, InternalUrl在可用性服务网站上对目标林重复此步骤。
DNS: 从源林中的 Exchange 2007 客户端访问服务器,转至自动发现网站,然后在目标林中运行以下 cmdlet:
Get-WebServicesVirtualDirectory | fl name, ExternalUrl在可用性服务网站上对目标林重复此步骤。
详细信息
有关语法和参数的详细信息,请参阅下列 cmdlet 参考主题: