Exchange服务器的双重身份|第 08 部分#36

Exchange 架构中最令人困惑和不清楚的主题之一就是我所描述的 - “Exchange 服务器的双重身份”。
我使用术语“双重身份”是因为 Exchange 服务器以不同的方式与 Exchange 关联位于内部/专用网络上的客户端与位于公共网络上的 Exchange 客户端。

Q1：本交易所采用“双重身份”的原因是什么？

A1：一般答案是 - 位于内部/专用网络的 Exchange 客户端与位于公共网络的 Exchange 客户端的需求和行为之间存在差异。
例如，基本假设是内部\专用网络被视为“安全”，而公共网络被视为“不安全”或面临不同威胁的网络。

因此，Outlook 客户端用于与内部网络中的 Exchange 服务器进行通信的通信协议不必加密。

相反，当Outlook客户端位于公共网络上时，则强制需要使用使用HTTPS协议的安全通信通道（加密的通信协议）。

问题2：所有Exchange服务器都使用双重身份吗？

A2：答案是“否”。仅被描述为面向公众的 Exchange 服务器的 Exchange 服务器。其含义是“暴露”在公共网络上，同时为内部和外部Outlook客户端提供服务的Exchange服务器。

如果 Exchange 服务器除了“标准”私有或内部身份之外还具有“公共身份”，则 Exchange 服务器将需要使用两组不同的参数来与内部和外部 Outlook 客户端进行通信。

问题3：Exchange 2007/2010 与 Exchange 2013 在“双重身份”主题上有区别吗？

A3：是的，也不是。 Exchange 2007/2010 服务器和 Exchange 2013 基于“双重身份”的概念，其中 Exchange 使用两种“语言”或界面来为外部和内部 Exchange 客户端提供服务。

主要区别在于，Exchange 2013 服务器强制要求内部和外部 Outlook 客户端仅使用 Outlook Anywhere 协议 (RPC\HTTPS)，或者 Outlook 客户端支持新的通信协议 - MAPI over HTTPS 协议。

Exchange 2007/2010 服务器版本允许位于内部网络的 Outlook 客户端使用 RPC over TCP 协议。

Q4：当您说每个 Exchange 接口都有一个特定的字符时，这些字符是什么？

A4：在与内部和外部 Outlook 客户端相关时，使用不同参数的三个主要元素是：

1. 通讯协议
2. 认证协议
3. 交换 Web 服务 URL 地址

在下图中，我们可以看到每个 Exchange 接口（公共与内部）的可选参数。

1.通讯协议

如前所述，Exchange 2013 强制要求内部 + 外部 Outlook 客户端使用 Outlook Anywhere（RPC over HTTPS）协议，而 Exchange 2007/2010 使用 Direct RPC（RPC over TCP）协议作为内部 Outlook 客户端的通信协议。

2.身份验证协议

可以使用的身份验证协议是 - 基本身份验证协议和 NTLM 身份验证协议。

注意：从技术上讲，内部 Outlook 客户端也可以使用 Kerberos 协议，但我们不会介绍此选项。

Exchange 管理员可以决定内部和外部 Outlook 客户端使用哪种身份验证协议。

3. Exchange Web 服务 URL 地址

当 Exchange 服务器提供有关现有 Exchange Web 服务和提供此服务的主机的信息时，包括 Exchange Web 服务的 URL 地址的信息与内部和外部 Outlook 客户端不同。

• 对于内部 Outlook 客户端 - Exchange Web 服务 URL 地址将包括提供特定 Web 服务的 Exchange 服务器的内部或私有主机名。
• 对于外部 Outlook 客户端 - Exchange Web 服务 URL 地址将包括提供特定 Web 服务的 Exchange 服务器的公共主机名。

Q1：与 Exchange 服务器双重身份交互的 Exchange 客户端有哪些

A1：受到“影响”且与Exchange服务器“双重身份”相关的最突出的Exchange客户端是Outlook客户端。

根据 Exchange 服务器向 Outlook 客户端提供的信息（自动发现响应）在 Outlook 客户端和 Exchange 服务器之间实施的自动发现过程。

提供给 Outlook 客户端的自动发现信息包括两组配置设置：

• 一组仅与外部 Outlook 客户端相关的配置设置。
• 一组仅与内部 Outlook 客户端相关的配置设置。

移动（ActiveSync）Exchange 客户端只能与“公共身份”的 Exchange 服务器进行通信。

Exchange Web 客户端 (OWA) 可以与 Exchange 服务器的内部+外部身份进行通信。与 Exchange 服务器的内部或外部身份相关的唯一因素是 OWA 邮件客户端在浏览器中输入的 URL 地址。

例如，在 Exchange 服务器为 OWA 服务使用不同的 URL 地址的情况下，当用户位于内部组织的网络上时，他们将必须使用特定的 URL 地址来访问 Exchange OWA 服务，而外部 OWA 邮件客户端将需要使用公共 OWA URL 地址。

在下面的屏幕截图中，我们可以看到与用户使用 OWA Web 客户端访问其邮箱所需的内部 URL 地址和外部 URL 地址相关的 Exchange 2010 服务器设置。

• 内部用户需要使用内部 URL 地址 - https://ex01.o365info.local/owa
• 内部用户需要使用外部 URL 地址 - https://mail.o365info.com/owa

在下面的屏幕截图中，我们可以看到相同的概念，但是现在，我们可以看到基于Exchange 2013的服务器的管理界面。

Q1：Exchange服务器如何“理解”他有两个不同的身份？

A1：这是一个很有趣的问题，问这个问题的人一定很聪明！

当我们选择在特定的 Exchange 服务器上启用 Outlook Anywhere 时，Exchange 服务器“理解”他有两个不同的身份。当我们启用 Outlook Anywhere 后，Exchange“明白”从现在开始，他将需要支持“两种类型”的 Outlook 客户端 - 内部 Outlook 客户端和外部 Outlook 客户端。

与 Exchange 服务器的两个不同身份相关的附加参数是将分配给 Exchange 服务器提供的各种服务的内部 URL 地址与外部 URL 地址的参数。

在下面的屏幕截图中，我们可以看到与 Outlook Anywhere 配置相关的 Exchange 2010 设置示例。

我们可以看到Outlook Anywhere的状态是——已启用

此外，我们还可以选择 Outlook Anywhere 客户端使用的身份验证协议（基本或 NTLM 身份验证）。

在下面的屏幕截图中，我们可以看到与 Outlook Anywhere 配置相关的 Exchange 2013 设置示例。

Exchange 2013 体系结构包括一些与 Outlook Anywhere 设置相关的更新。

对于 Exchange，Exchange 2013 使我们能够定义内部 Outlook 客户端与外部 Outlook 客户端使用的不同 Exchange 服务器名称。

问题1：如何为每个不同的 Exchange 身份配置所需的参数？

A1：某些参数被视为“默认参数”，交易所有权根据需要更改或更新这些特定设置。

有些参数可以使用Exchange图形界面进行配置，有些参数只能使用PowerShell进行定义。

问题2：Outlook 如何识别他的物理位置（内部网络与外部网络）？

A2：Outlook 客户端用于识别其“位置”（内部网络与外部网络）的方法取决于 Exchange 服务器版本和 Outlook 客户端使用的通信协议。

在基于 Exchange Server 2007\2010 的环境中，Outlook 客户端使用的方法建立在“快速\慢速网络”的算法之上。

该算法所依赖的逻辑假设是内部网络（LAN）被认为是“快网络”，而公共网络被认为是“慢网络”。 ”

我的观点是，这种方法背后的逻辑在过去在现代网络环境中是“正确的”；这个算法的逻辑无法实现。

简单的解释是，当今，连接到公共网络（WAN）的家庭网络具有非常快的带宽，与内部（LAN）网络的带宽非常相似。

在基于2007\2010的Exchange环境的场景中，Outlook Anywhere客户端将尝试估计网络速度。

• 如果 Outlook 客户端“确定”其位于“快速网络”（LAN）上，则 Outlook 客户端将尝试使用Direct RPC（RPC over TCP）协议作为通信协议与 Exchange 服务器。
• 如果 Outlook 客户端“确定”其位于“慢速网络”(WAN) 上，则 Outlook 客户端将尝试使用 Outlook Anywhere（RPC over HTTPS） 协议作为通信协议与 Exchange 服务器。

对于基于服务器的 Exchange 2013 环境，Outlook 客户端用于识别其所在网络类型的方法建立在不同的方式上。

Exchange 2013 提供有关其内部名称+外部名称的 Outlook 客户端信息（自动发现信息）。

默认情况下，Outlook Anywhere 客户端（Exchange 2013 仅支持 Outlook Anywhere 客户端）将尝试使用内部主机名与 Exchange 服务器进行通信。如果 Outlook 客户端无法与内部 Exchange 主机名进行通信，Outlook 客户端会尝试使用 Exchange 服务器的外部主机名来寻址 Exchange 服务器。

Exchange Server 2013 在 Outlook Anywhere 中引入了 InternalHostname 属性。当您使用 Outlook Anywhere 连接到 Exchange Server 2013 时，Outlook 首先使用内部主机名。但是，当 Outlook 无法使用内部主机名连接到 Exchange Server 2013 时，Outlook 将使用外部主机名而不是内部主机名。

问：Exchange服务器如何“告诉”Outlook客户端他的双重身份？

A：Exchange 服务器通过使用自动发现信息来提供有关其不同身份（内部与外部）+ 每个身份的不同字符的信息的方式。

当 Outlook 客户端寻址 Exchange 服务器并请求自动发现信息时，Exchange 服务器通过使用自动发现响应向 Outlook 客户端提供有关内部 + 外部 Exchange 基础结构的详细信息。

例如，自动发现响应包括有关当 Outlook 客户端位于内部\专用网络时与 Outlook 客户端位于外部网络时如何寻址（使用什么 URL 地址）的信息。

在下图中，我们可以看到 Exchange 服务器和自动发现响应的双重身份概念的示例。

自动发现响应包括有关外部 + 内部 Exchange 基础结构的所有可用基础结构。

• 当 Outlook 客户端“识别”其位于内部网络时，他将仅使用自动发现响应中与内部 Exchange 身份相关的部分（绿色）在我们的图表中）。
• 当 Outlook 客户端“识别”到他位于外部网络时，他将仅使用自动发现响应中与外部 Exchange 身份相关的部分（红色在我们的图表中）。

问：自动发现响应中包含哪些参数？

A：自动发现响应包括许多不同的参数，我们不会在当前文章中讨论这些参数，但与

1.通讯协议

Exchange 2007\2010 支持 Outlook 客户端可以使用的两种主要通信协议：

• Outlook Anywhere - RPC over HTTPS 或 RPC over HTTP。
  该协议的概念基于一种被描述为封装的方法。一种协议使用另一种协议作为“传输机制”。 RPC协议使用HTTP或HTTPS协议作为“传输协议”。从技术上讲，Exchange管理员可以选择使用HTTP（非加密通信协议）或HTTPS（安全通信协议）作为传输协议。
• 直接 RPC（RPC over TCP）
  一种通信协议，只能由 Outlook 客户端在内部\专用网络上使用。

2.身份验证协议

Exchange 管理员可以决定内部和外部 Outlook 客户端使用哪种身份验证协议。

可选的身份验证协议有： NTLM 或基本身份验证

3. Exchange Web 服务 URL 地址

Exchange 服务器通过发布每个现有 Exchange Web 服务的 URL 地址来“告诉”Outlook 客户端可用的 Exchange Web 服务。

在下图中，我们可以看到每个 Exchange“身份”的不同字符的示例。 ”

例如，基于包含以下私有\内部主机名的 URL 地址为内部 Outlook 客户端“发布”的 Exchange Web 服务

在下图中，我们可以看到 Outlook 客户端用于“选择”与 Exchange 服务器的特定通信方法的方法示例。

• 使用 RPC\HTTPS 协议的 Outlook 客户端将通过尝试测量通信链接的速度来决定网络类型（外部与内部）。
• 使用 MAPI\HTTPS 协议的 Outlook 客户端将使用默认选项，其中 Outlook 客户端将尝试将 Exchange 服务器作为“内部客户端”进行寻址，如果无法实现通信，则作为外部客户端与 Exchange 服务器进行通信。