Exchange 2013 与 Outlook 基础架构共存第 2/2 部分 | 14#23

在本文中，我们将继续讨论 Exchange 2013 共存环境中的 Outlook 客户端协议连接流主题。在本文中，我们将仔细研究在此环境中构建 Outlook 和 Exchange 关系的具体章程。

我们将审查的部分是：

1. Exchange 2013 共存环境中 Exchange 2013 CAS 与旧版 Exchange CAS 服务器之间的关系
2. Exchange 2013 共存环境中 Exchange 2013 CAS 与旧版 Outlook Exchange 客户端之间的关系
3. “CAS 到 CAS 通信”所需的配置设置含义：
   1。旧版 Exchange CAS 服务器上的 Outlook Anywhere (RPC\HTTP) 支持和设置 - 要求在旧版 Exchange CAS 服务器上启用 Outlook Anywhere (RPC\HTTP) 选项
   2。身份验证协议设置-

Outlook 客户端协议连接流中涉及的身份验证协议的所需设置：

• Outlook 客户端需要向 Exchange CAS 服务器提供其身份时使用的身份验证协议。
• Exchange 2013 CAS 将 Outlook 用户凭据代理到 Exchange CAS 服务器旧基础结构时使用的身份验证协议。

在本文的最后部分，我们将提供一个使用 PowerShell 实现所需配置设置的简短示例。

Exchange 2013与Outlook客户端共存环境|所需的配置设置

为了能够演示 Exchange 2013 共存环境中的流程，我们使用以下场景：

Exchange 站点，包括 Exchange CAS 2013 服务器 + Exchange 2010 基础结构（Exchange 2010 CAS 服务器 + Exchange 2010 邮箱服务器）。
他的邮箱托管在 Exchange 2010 邮箱服务器上的 Exchange、Outlook 客户端需要访问他的邮箱。

注意：我们使用Exchange 2013/2010共存环境进行演示，但在Exchange 2013/2007共存环境中也实现了相同的逻辑。

Outlook客户端协议连接流程将实现如下：

1. Outlook 客户端通信请求将“指向”Exchange 2013 CAS 服务器。
2. Outlook 邮件客户端和 Exchange 2013 CAS 服务器之间的通信通道必须实现为“Outlook Anywhere”(RPC/HTTP/S)。
   RPC over HTTP/s 是 Outlook 客户端连接的默认方法 - 没有更多与 Outlook 客户端服务器的直接 RPC 连接。
3. Outlook 客户端将使用“服务器端”支持的身份验证协议提供用户凭据。可用选项有：基本、NTLM 或协商。
4. 因为托管在“旧版 Exchange 基础结构”（Exchange 2010 CAS 服务器）、Exchange 2013 CAS 服务器上的用户邮箱会将 Outlook 通信请求代理到合适的旧版 Exchange CAS 服务器。
5. 在将请求“代理”到“旧版 Exchange 基础结构”（Exchange 2010 CAS 服务器）的过程中，Exchange CAS 2013 服务器会将用户凭据“转发”到“目标”旧版 Exchange 2010 CAS 服务器。
6. 为了能够将用户凭据“转发”到“旧版 Exchange 基础结构”（Exchange 2010 CAS 服务器），Exchange 2013 CAS 服务器 +“旧版 Exchange 基础结构”（Exchange 2010 CAS 服务器）的身份验证协议设置必须是设置为 NTLM。

RPC 端点名称与 Exchange 主机名

Exchange 2013 共存环境中旧版 Exchange、Outlook 客户端的流程有时可能会令人困惑。

此流程的一般概念是，旧版 Exchange、Outlook 客户端需要将 Exchange 2013 CAS 作为其“RPC 端点”服务器，而 Exchange 2013 CAS 则需要将其请求代理到相应的旧版 Exchange CAS服务器。

我们之前提到过，在 Exchange 2013 共存环境中；我们需要在每个旧版 Exchange CAS 服务器上启用 Outlook Anywhere (RPC\HTTP)。

在 Exchange CAS 服务器上启用 Outlook Anywhere (RPC\HTTP) 时的主要配置参数是：“外部主机名”。 ”

外部主机名是“代表”提供 Outlook Anywhere (RPC\HTTP) 服务的 Exchange CAS 服务器的 RPC 端点名称。

当 Outlook 客户端寻址 Exchange CAS 服务器时，查找自动发现信息，Exchange CAS 服务器将提供的部分自动发现信息，包括对专用于为 Outlook Anywhere 客户端提供服务的“Exchange CAS 服务器”的“引用”，或者换句话说，可以充当RPC端点服务器。

在下面的屏幕截图中，我们可以看到由 Exchange CAS 服务器发送到 Outlook 客户端的“自动发现答案”示例。

在我们的示例中，Exchange CAS 服务器“告诉”Outlook 客户端（即 RPC 端点服务器名称）是：europe.mail.o365info.com

有关 RPC 端点服务器的信息显示在以下部分中：

协议：服务器参数下的 Exchange HTTP。

在Exchange 2013共存环境中，我们需要更改默认的Outlook客户端协议连接流程。

在 Exchange 2013 共存环境中，我们需要实现一种新的配置，其中本机 Outlook 客户端和旧版 Outlook 客户端将仅处理Exchange 2013 CAS 作为 - RPC 端点服务器。

此外，我们需要在每个旧版 Exchange CAS 服务器上启用 Outlook Anywhere 服务。

在我们的场景中，我们希望使用以下命名空间： mail.o365info.com 作为将“发布”到所有 Outlook 客户端（本机 Exchange）的 RPC 端点的名称2013 客户端和旧版 Exchange 客户端（例如 2007/2010）。

当旧版 Exchange Outlook 客户端将 Exchange 2013 CAS 寻址为“RPC 终结点”时，Exchange 2013 CAS 将知道如何将旧版 Exchange Outlook 客户端请求代理到正确的旧版 Exchange CAS 服务器。

因此，当我们从旧版 Exchange CAS 服务器（例如 Exchange 2007/2010 CAS）启用 Outlook Anywhere 服务时，我们需要使用“外部主机名”设置“外部主机名”的值。主命名空间”，例如：mail.o365info.com

命名空间（在我们的场景中为 mail.o365info.com）将指向 Exchange 2013 CAS。

Outlook 客户端将使用以下名称将 Exchange 2013 CAS 引用为 RPC 端点：mail.o365info.com

当 Exchange 2013 CAS 需要代理对旧版 Exchange CAS 服务器的请求时，他将使用服务器“标准主机名”来寻址旧版 Exchange CAS 服务器。 ”

在下图中，我们可以看到 Exchange 2010 Outlook 客户端协议连接流的示例。

Exchange 2010 客户端使用主机名对 Exchange 2013 CAS 进行寻址：mail.o365info.com

Exchange 2013 CAS 将 Outlook 客户端请求代理到 Exchange 2010 CAS，并使用服务器名称来寻址 Exchange 2010 CAS：Exc2010.o365info.com

在下面的屏幕截图中，我们可以看到与 Exchange 2010 CAS 中的“外部主机名”相关的配置设置示例。

在我们的示例中，我们在 Exchange 2010 CAS 上启用 Outlook Anywhere + 将“外部主机名”的值配置为：mail.o365info.com

如果您想知道：如果我为每个现有 Exchange CAS 服务器使用不同的“外部主机名”，会发生什么情况，答案是 Exchange 2013 CAS 将根据 Outlook 客户端的 IP 地址向 Outlook 客户端提供不同的 RPC 端点名称。 “交换版本。 ”

Outlook 客户端协议连接流程 |两个接口

在 Exchange 2013 共存环境中，Outlook 客户端协议连接流由两部分组成：

• Outlook Exchange 2013 CAS 通信
• Exchange 2013 CAS 和 Exchange CAS 服务器旧版通信。

通过查看下图，我们可以看到构建 Outlook 客户端协议连接流程的“两个接口”或“两个部分”的概念。

1. “A 部分”是描述 Exchange 2013 CAS 服务器与其 Outlook 客户端之间关系的区域。
2. “B 部分”是描述 Exchange 2013 CAS 服务器和旧版 Exchange CAS 服务器基础结构之间关系的区域。

A 部分| Outlook 客户端和“用户凭据”

Outlook 客户端协议连接流的“A 部分”是 Outlook 客户端和 Exchange 2013 CAS 服务器之间存在的“环”。

Outlook 客户端协议连接流程的第一部分从“身份验证”开始，其中 Outlook 客户端需要向 Exchange CAS 服务器提供用户凭据。

注意：如果我们想要更准确，Outlook 客户端协议连接流程从自动发现过程开始，其中 Outlook 客户端获取充当 RPC 终结点的 Exchange CAS 服务器的名称。

在 Exchange 环境中，Outlook 客户端可以使用以下身份验证协议之一提供用户凭据：

1. NTLM
2. 基本的
3. 谈判

更复杂的是，Exchange 2013 CAS服务器对Outlook Anywhere接口的支持：内部Outlook Anywhere接口+外部Outlook Anywhere接口。

这些“接口”中的每一个都可以使用不同的设置进行配置，例如不同的身份验证配置。

在 Exchange 2013 环境中，“结果”是，从技术上讲，我们可以设置两组 Outlook Anywhere 配置设置：
一组内部 Outlook Anywhere 客户端，另一组用于外部 Outlook Anywhere 客户端，而每组“组” ”使用不同的身份验证协议。

使用以下选项之一实施所需的 Outlook Anywhere 配置设置：

1. Exchange 2013 - 基于 Web 的管理界面
2. Exchange 2013 - PowerShell 界面

Exchange 2013 CAS服务器图形（Web）界面使我们能够选择所需的身份验证协议。我们将选择的身份验证协议将应用于 Exchange 2013 CAS 接口的展位“：内部 Outlook Anywhere 接口 + 外部 Outlook Anywhere 接口。

Exchange 2013基于Web的管理界面的缺点是，当我们选择特定的身份验证协议时，该设置将应用于Outlook Anywhere界面的展位：内部Outlook Anywhere界面+外部Outlook Anywhere界面。

换句话说，Exchange 2013 CAS 服务器图形 (Web) 界面不包含为内部 Outlook Anywhere 界面和外部 Outlook Anywhere 界面选择不同身份验证协议的选项。

在下面的屏幕截图中，我们可以看到Exchange 2013 CAS服务器管理界面使我们能够设置所需的身份验证协议，但该设置应用于“Outlook Anywhere客户端”（内部+外部Outlook Anywhere）的展位。

Q1：推荐的身份验证协议是什么？

A1：最简单的（如果我可以说推荐的方法）是为内部 + 外部 Outlook Anywhere 客户端选择相同的身份验证协议。

请注意，外部 Outlook Anywhere 客户端仅支持基本身份验证选项。

从技术上讲，我们可以为内部 Outlook Anywhere 客户端和外部 Outlook Anywhere 客户端设置不同的身份验证方法。我的口头禅是：KIS - keep 是简单的意思，我喜欢保持简单，并为 Outlook Anywhere 客户端（内部 + 外部）使用相同的身份验证协议（基本）

B 部分 | Outlook 客户端代理进程和“用户凭据”

Outlook 客户端协议连接流程的“第二部分”涉及可描述为的部分：CAS 到 CAS 通信。在这一部分中，Exchange 2013 CAS 将 Outlook 客户端“转发”（代理）到旧版 Exchange CAS 服务器。

为了能够成功完成通信通道，需要满足两个条件：

1. 旧版 Exchange CAS 服务器应配置为支持 Outlook Anywhere。
2. Exchange 2013 CAS + 旧版 Exchange CAS 服务器应配置为支持使用 NTLM 的 IIS 身份验证方法 ( IISAuthenticationMethods: {Basic, Ntlm})

Exchange 2013 CAS 和代理 Outlook 用户凭据的过程

不要忘记一个简单的事实：当“旧版 Exchange 服务器”（例如 Exchange 2010 CAS 服务器）从 Exchange CAS 2013 服务器获取“代理请求”时，他不会“看到”Outlook 用户或直接与 Outlook 用户通信。展望客户端。

这是“中间人”的经典场景。 “旧版 Exchange 服务器”无法“信任”Outlook 用户，也无法“理解”如何路由通信请求，直到他获得所需的用户凭据。

为了解决这个“信任”问题，可以通过使用“身份验证代理机制”来实现，其中 Exchange 2013 CAS 服务器将用户凭据“转发”（代理）到所需的旧版 Exchange CAS 服务器。

理论上，“转发”用户凭据的过程可以通过多种身份验证协议来实现，但实际上，唯一支持的可用于“转发用户凭据”的身份验证协议是 NTLM 协议。

简而言之：为了能够在 Exchange CAS 2013 服务器和旧版 Exchange CAS 服务器之间实现通信通道，我们需要验证双方都支持使用身份验证协议：NTLM

在下图中，我们可以看到与用户凭据主题相关的 Outlook 客户端协议连接流。

• Outlook 客户端身份验证协议是： 基本
• 当 Exchange 2013 CAS 将用户凭据代理到 Exchange 2010 CAS 时，身份验证协议为：NTLM

Exchange 2013共存环境| Outlook 客户端 |所需准备清单

好吧，关于 Exchange、身份验证协议等的无聊讨论让我筋疲力尽。所以……快速回顾一下：

管理 Exchange Outlook Anywhere 设置

在下一节中，我们将回顾如何使用 PowerShell 命令创建 Exchange 2013 共存环境和 Outlook Anywhere 基础结构所需的配置。

1.查看现有配置设置

第一步是查看现有的配置设置，并根据该信息创建所需的配置更新。

示例 1：获取有关特定 Exchange CAS 服务器的 Outlook Anywhere 设置的信息

为了能够查看 Exchange 2013 CAS 服务器上的 Outlook Anywhere 设置，我们可以使用 PowerShell 命令：

Get-OutlookAnywhere -Server <Exchange CAS server>

注意 - 从 Exchange 2013 CAS 服务器 PowerShell 控制台使用以下命令。

在下面的屏幕截图中，我们可以看到有关名为：STS 的 Exchange 2013 CAS 服务器的 Outlook Anywhere 设置的信息

以下值与 Outlook Anywhere 客户端向 Exchange 2013 CAS 服务器提供用户凭据时将使用的身份验证协议相关。

在我们的场景中，服务器设置配置如下：

• 外部 Outlook Anywhere 被指示使用基本身份验证协议：ExternalClientAuthenticationMethod：Basic
• 指示内部 Outlook Anywhere 客户端使用 NTLM 身份验证协议：InternalClientAuthenticationMethod：NTLM
• Exchange 2013 CAS 服务器 IIS 组件支持以下身份验证协议：基本、NTLM 和协商：IISAuthenticationMethods：{Basic、Ntlm、Negotiate}

示例 2：获取所有可用 Exchange 2010 CAS 服务器的列表，显示有关 Outlook Anywhere 设置的信息。

Get-ExchangeServer | Where {$_.AdminDisplayVersion -like "*14.*" -and $_.IsClientAccessServer} | Get-OutlookAnywhere | fl servername,externalhostname,*auth*

2.配置 Exchange CAS 服务器 Outlook Anywhere 设置

以下 PowerShell 命令语法是与 Exchange 2013 CAS 服务器 Outlook Anywhere 设置相关的“所有可用设置”的示例：

Get-OutlookAnywhere -Server <Exchange 2013 CAS server>| Set-OutlookAnywhere
-InternalHostname <Domain name> -InternalClientAuthenticationMethod NTLM
-InternalClientsRequireSsl $true -ExternalHostname <Domain name>
-ExternalClientAuthenticationMethod Basic -ExternalClientsRequireSsl $true
-IISAuthenticationMethods NTLM,Basic -ssloffloading:$false

3.在 Exchange 2007/2010 服务器的 IIS /RPC 目录上启用 NTLM

示例 1：获取除 Exchange 2013 CAS 服务器之外的所有可用 Exchange CAS 服务器的列表，启用（设置）Outlook Anywhere 选项并配置所需的 IIS 身份验证协议

Get-OutlookAnywhere | ?{ $_.AdminDisplayVersion -notlike "Version 15.*"} | Set-OutlookAnywhere -IISAuthenticationMethods NTLM,Basic

示例 2：配置特定 Exchange CAS 服务器的 Outlook Anywhere 身份验证设置（配置所需的 IIS 身份验证协议 + 客户端身份验证方法）。

Set-OutlookAnywhere -Identity '<ServerName>\Rpc (Default Web Site)' -ClientAuthenticationMethod Basic -IISAuthenticationMethods NTLM, Basic

示例 3：启用特定 Exchange CAS 服务器的 Outlook Anywhere + 配置特定 Exchange CAS 服务器的 Outlook Anywhere 身份验证设置（配置所需的 IIS 身份验证协议 + 客户端身份验证方法）。

Set-OutlookAnywhere -Identity '<ServerName>\Rpc (Default Web Site)' -ClientAuthenticationMethod Basic -SSLOffloading $False -ExternalHostName <Exchange 2013 CAS server> -IISAuthenticationMethods NTLM, Basic