如何針對跨樹系拓撲設定可用性服務
適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上次修改主題的時間: 2012-09-24
本主題說明如何使用 Exchange 管理命令介面,設定跨樹系拓撲的可用性服務。透過提供執行 Microsoft Office Outlook 2007 的電腦安全、一致且最新的空閒/忙碌資訊,可用性服務改善了增進資訊工作者的空閒/忙碌資料。依預設,此服務會與 Microsoft Exchange Server 2007 一起安裝。在所有連接的用戶端電腦都執行 Outlook 2007 的跨樹系拓撲中,可用性服務是擷取空閒/忙碌資料的唯一方法。
.gif "note") 附註: |
|---|
| 您無法使用 Exchange 管理主控台來設定跨樹系拓撲的可用性服務。 |
您可以在跨越信任或不信任樹系的跨樹系拓撲中使用可用性服務。跨樹系空閒/忙碌資料是設定為每一使用者或是設定為全組織服務,將決定空閒/忙碌資訊的類型。只有在信任的跨樹系拓撲中才能使用每一使用者的空閒/忙碌資訊。它可讓可用性服務代表特定使用者發出跨樹系要求。這可讓遠端樹系中的使用者將詳細的空閒/忙碌資訊授與跨樹系使用者。
相對的,全組織空閒/忙碌資料可讓可用性服務只代表特定組織提出跨樹系要求。這種情況下,會傳回使用者的預設空閒/忙碌資訊,而且無法控制將傳回何種層級的空閒/忙碌資訊給其他樹系中的使用者。
| 附註: |
|---|
我們使用來源樹系和目標樹系等術語在此主題中識別每個樹系。這些術語定義如下:
|
設定適合跨樹系拓撲的 Windows
您也應該根據情況考慮下列需求:
- 您必須同步處理樹系之間的全域通訊清單 (GAL)。
- 自動探索服務必須在樹系之間運作中。
- 所有 Exchange 2007 Client Access Server 必須驗證目標樹系上的憑證。
| 附註: |
||||
|---|---|---|---|---|
| Microsoft Exchange Server 2007 Service Pack 3 (SP3) 更新彙總套件 6 使用外部 URL 供 Exchange Web 服務連線至目標樹系。如果目標樹系中沒有啟用 Outlook Anywhere,則自動探索服務無法傳回 Exchange Web 服務的外部 URL。在這種情況下,跨樹系查閱會失敗。 若要避免這種問題,請在目標樹系中啟用 Anywhere,然後確認 Exchange Web 服務的外部 URL 是否已正確設定。
|
若要設定適合跨樹系拓撲的 Microsoft Windows,您必須安裝並設定 GAL 同步處理 (GALSync)。如需如何在 Microsoft Identity Integration Server (MIIS) 2003 中安裝並設定 GALSync 功能的完整資訊,請參閱下列資源:
此功能建立擁有信箱功能的連絡人,以代表其他樹系的收件者。這可讓使用者檢視 GAL 中的連絡人,並將他們新增為會議的出席者。
在 Exchange 2007 跨樹系案例中,在樹系間共用空閒/忙碌資訊的唯一方法就是可用性服務。因為信箱位於舊版 Exchange 的傳統 Outlook 用戶端或使用者無法使用可用性服務,所以除非複寫樹系之間儲存在公用資料夾中的資訊,否則這類用戶端或使用者無法擷取其樹系外部的使用者空閒/忙碌資訊。
因此,如果是執行 Office Outlook 2003 或更舊版本,您必須使用 Microsoft Exchange 組織間複寫工具來同步處理跨多個樹系的空閒/忙碌資料。如需 Microsoft Exchange 組織間複寫工具的相關資訊,請參閱 Microsoft Exchange Server 組織間複寫 (英文)。
您也必須從 Exchange 管理命令介面執行下列指令程式,以設定公用資料夾空閒/忙碌資訊可用性:
Add-AvailabilityAddressSpace -ForestName "target.forest.com" -AccessMethod PublicFolder
執行指令程式所需的權限
- 若要執行 Get-ClientAccessServer 指令程式,必須對您使用的帳戶委派下列項目:
Exchange 僅檢視管理角色 - 若要執行 Add-ADPermission 指令程式,必須對您使用的帳戶委派下列項目:
Exchange 組織系統管理員角色 - 若要執行 Add-AvailabilityAddressSpace 指令程式,必須對您使用的帳戶委派下列項目:
Exchange 組織系統管理員角色 - 若要執行 Set-AvailabilityConfig 指令程式,必須對您使用的帳戶委派下列項目:
Exchange 組織系統管理員角色
如需管理 Exchange Server 2007 所需之權限、委派角色及權利的相關資訊,請參閱權限考量。
跨樹系可用性與自動探索服務
自動探索服務藉由尋找並提供 Outlook 2007 用戶端與用於跨樹系可用性之 Exchange 2007 Client Access Server 的外部及內部 URL,提供可用性服務的資訊。那表示 Client Access Server 必須要能連線到目標樹系上的自動探索服務,才能傳回可用性服務 URL。
在跨樹系可用性案例中,基本上有兩個選項可設定自動探索服務。
- 如果樹系之間有信任關係,便可將服務連線點 (SCP) 從目標樹系匯出到來源樹系。
- 使用 DNS 來解析 autodiscover.targetforest.com 網站位址。
| 附註: |
|---|
| 在跨樹系案例中,DNS 服務位置 (SRV) 記錄不會用來找出 Exchange 2007 Client Access Server 的自動探索服務。 |
當跨樹系可用性服務為 Active Directory 目錄服務中的跨樹系使用者執行自動探索服務要求時,會有時間限制。依預設,此逾時值為 10 秒。如果自動探索要求未在 10 秒完成,則跨樹系使用者的自動探索可用性服務可能就會逾時。如需相關資訊,請參閱下列主題:
跨樹系可用性與憑證
當您利用 Client Access server role 安裝 Exchange 2007 時,即會建立自行簽署的憑證。自行簽署的憑證有兩個「主旨替代名稱」(SAN) 項目:一個代表 Client Access Server 的 NetBIOS 名稱,另一個則代表 Client Access Server 的完整網域名稱 (FQDN)。因此,如果您打算使用 Client Access Server 上安裝的預設自我簽署憑證,您只有一個選項可讓自動探索在兩個樹系之間運作:您必須將 SCP 從目標樹系匯出到來源樹系。在此案例中,兩個樹系之間必須要有信任關係。如需相關資訊,請參閱下列主題:
如果樹系之間沒有信任關係,而您仍想使用自我簽署憑證,您就必須重新發行新的自我簽署憑證,並包含 autodiscover.targetforest.com 的主體別名。您可以使用 New-ExchangeCertificate 指令程式,來重新發行新的自行簽署憑證。如需相關資訊,請參閱New-ExchangeCertificate (RTM)。
雖然自行簽署的憑證可用於加密 Client Access Server 與其他 Exchange 2007 server role 之間的通訊,但不建議您將自行簽署憑證與用戶端應用系統和裝置搭配使用。由於自行簽署憑證的限制,建議您以信任的協力廠商憑證或經 Windows PKI 簽署的憑證來取代自行簽署的憑證。如需相關資訊,請參閱下列 Exchange 說明主題:
程序
使用 Exchange 管理命令介面來設定跨樹系拓撲的可用性服務
在 Windows 信任關係案例中,請於來源與目標樹系中執行下列 Cmdlet:
來源樹系:
Add-AvailabilityAddressSpace -ForestName "xyz.com" -AccessMethod PerUserFB -UseServiceAccount $true目標樹系:
Get-ClientAccessServer | Add-AdPermission -AccessRights ExtendedRight -ExtendedRights "ms-exch-epi-token-serialization" -User "Sourceforest\Exchange Servers"如果信任關係不存在,您就必須在來源與目標樹系中執行下列指令程式。在此情況下,目標網域中需要具有低權限的服務帳戶。例如,使用不具有系統管理權限的一般帳戶。
來源樹系:
$a = Get-Credential (Type the credential "TargetForest\User" for organization-wide user) Add-AvailabilityAddressSpace -ForestName "xyz.com" -AccessMethod OrgWide -Credential $a目標樹系:
Set-AvailabilityConfig -OrgWideAccount "TargetForest\User"在信任關係案例中,有兩種方法可設定自動探索服務。將 SCP 從目標樹系匯出,或是使用 DNS 來查詢「autodiscover.targetforest.com」的主機記錄。
在信任關係案例中,可以使用下列指令程式將 SCP 從目標樹系匯出至來源樹系:
$a = Get-Credential (Type "SourceForest\Administrator") Export-AutodiscoverConfig -TargetForestDomainController "dc.sourceforest.com" -TargetForestCredential $a -MultipleExchangeDeployments $true附註:在從遠端網域匯入 SCP 之後,自動探索服務可能會無法正確運作,而 Outlook 2007 用戶端會無法查詢郵件答錄機與空閒/忙碌資訊。如需如何解決此問題的詳細資訊,請參閱 (973404) Outlook 2007 Hotfix 套件的描述 (Outlook-x-none.msp):2009 年 8 月 25 日 在信任或不信任案例中,可設定 Exchange 2007 Client Access Server,查詢 DNS 以解析「autodiscover.targetforest.com」。在此情況下,請建立「autodiscover.targetforest.com」的主機記錄。
附註:自動探索會將可用性 InternalURL 傳回 Exchange 2007 Client Access Server。
不論具有的是信任或不信任樹系,來源樹系中的 Exchange 2007 Client Access Server 都必須驗證目標樹系中每個 Exchange 2007 Client Access Server 上安裝的憑證。若要確定您使用的憑證有效,請遵循下列步驟:
如果自行簽署憑證是安裝在目標樹系中的 Exchange 2007 Client Access Server,您就必須將該憑證匯出。如果安裝了內部根 CA 和私人憑證,則適用相同的概念。Exchange 2007 是安裝預設的自我簽署安全通訊端層 (SSL) 憑證。在針對 Exchange ActiveSync、Office Outlook Web Access 及可用性服務啟用 SSL 時,您可以使用此憑證。然而,使用者將會收到提示,因為大多數的用戶端應用程式將憑證視為無效。Exchange ActiveSync 和 Office Outlook Web Access 支援從一個 Client Access Server Proxy 處理到另一個 Client Access Server。為了讓 Proxy 程序可以在使用自行簽署的憑證時成功進行,您必須設定下列登錄機碼,如下所示:
HKLM\System\CurrentControlSet\Services\MSExchangeOWA\AllowInternalUntrustedCerts = 1 HKLM\System\CurrentControlSet\Services\MSExchangeOWA\AllowExternalUntrustedCerts = 1在匯出自行簽署憑證或根 CA 憑證之後,請將該憑證匯入每個 Exchange 2007 Client Access Server 上的電腦帳戶存放區。
若要順利測試自動探索服務與可用性服務,請使用下列其中一種方法:
**匯出的 SCP:**從來源樹系中的 Exchange 2007 Client Access Server,移至自動探索網站,然後在目標樹系中執行下列指令程式:
Get-ClientAccessServer | fl name, AutoDiscoverServiceInternaluri Get-WebServiceVirtualDirectory | fl name, InternalUrl在目標樹系的可用性服務網站上,重複進行此程序。
**DNS:**從來源樹系中的 Exchange 2007 Client Access Server,移至自動探索網站,然後在目標樹系中執行下列指令程式:
Get-WebServicesVirtualDirectory | fl name, ExternalUrl在目標樹系的可用性服務網站上,重複進行此程序。
相關資訊
如需詳細語法及參數的資訊,請參閱下列指令程式參照主題:
若要確保您目前閱讀的是最新資訊,並尋找其他的 Exchange Server 2007 說明文件,請造訪 Exchange Server 技術資源中心.