Office 365 环境中的自动发现流程 |第 3 部分#3 |第 31 部分#36

当前文章是上一篇文章的延续，其中我们回顾了使用 Microsoft 基于 Web 的工具 Microsoft 远程连接分析器 (ExRCA) 在基于 Office 365 的环境中实现的自动发现流程。

Office 365 环境中的自动发现流程 |文章系列

当前文章是三篇文章系列中的第三篇文章。
该系列中的其他文章是：

• Office 365 环境中的自动发现流程 |第 1#3 部分 |第 29 部分#36
• Office 365 环境中的自动发现流程 |第 2#3 部分 |第 30 部分#36

步骤 7/20：尝试在 DNS 中解析主机名 autodiscover-s.outlook.com

在此步骤中，自动发现客户端会向 DNS 服务器查询名为 - autodiscover-s.outlook.com
的主机的 IP 地址，如果您想知道来自哪里自动发现客户端获取此主机名，答案是来自 HTTP 重定向响应中发送给他的 URL 地址。

步骤 7/20：分析 ExRCA 连接测试的数据

在ExRCA结果页面中，我们可以看到自动发现客户端地址DNS服务器正在寻找主机的IP地址 - autodiscover-s.outlook.com

主机名解析成功。返回的IP地址：157.56.241.102、157.56.245.166、157.56.232.166、157.56.245.70、157.56.236.214、157.56.236.6

步骤 8/20：测试主机 autodiscover-s.outlook.com 上的 TCP 端口 443 以确保其正在侦听并打开

自动发现客户端将尝试验证潜在的自动发现端点是否在端口 443 (HTTPS) 上列出。

在我们的场景中，HTTPS 通信测试成功，这意味着目标主机（自动发现端点）支持 HTTPS 通信。

笔记 -

1. “目标主机”支持 HTTPS 协议这一事实并不一定意味着该主机是可以提供所需自动发现信息的“正确的 Exchange 服务器”。
2. 即使“目标主机”支持HTTPS协议+“目标主机”是有效的Exchange服务器，也不意味着他可以提供所需的自动发现信息。

在我们的场景中，我们很快就会看到“目标主机”不是“旅程的终点”，他不会向自动发现客户端提供所需的自动发现响应，而是提供 HTTPS 重定向消息。

步骤 8/20：分析 ExRCA 连接测试的数据

在 ExRCA 结果页面中，我们可以看到自动发现客户端尝试验证主机 - autodiscover-s.outlook.com 是否可以使用 TCP 端口 443 进行通信。

测试主机 autodiscover-s.outlook.com 上的 TCP 端口 443 以确保其正在侦听并打开：端口已成功打开。

步骤 9/20：尝试从端口 443 上的远程服务器 autodiscover-s.outlook.com 获取 SSL 证书

自动发现客户端和自动发现端点之间的自动发现“关系”建立在“信任概念”之上。

在第一阶段中，自动发现客户端需要信任自动发现端点，在第二阶段中，自动发现端点还需要“信任”自动发现客户端。

“信任”始于自动发现端点需要证明其身份的步骤。

为了能够验证自动发现端点身份，自动发现客户端将要求自动发现端点向其发送公共证书。

步骤 9/20：分析 ExRCA 连接测试的数据

在 ExRCA 结果页面中，我们可以看到自动发现客户端请求主机 - autodiscover-s.outlook.com 发送他的证书。

服务器发送他的证书，在结果中，我们可以看到证书的详细信息：

Microsoft 连接分析器已成功获取远程 SSL 证书。
远程证书主题：CN=outlook.com、OU=Microsoft Corporation、O=Microsoft Corporation、L=Redmond、S=WA、C=US、颁发者：CN=Microsoft IT SSL SHA2、OU=Microsoft IT、O=Microsoft Corporation、L=雷蒙德、S=华盛顿、C=US。

步骤 10/20：测试 autodiscover-s.outlook.com SSL 证书以确保其有效

自动发现客户端执行的证书验证测试包括三个截然不同的部分。

1. 验证证书名称
自动发现客户端使用主机名 - autodiscover-s.outlook.com 来寻址潜在的自动发现端点

为了能够知道特定主机是否“可靠”，自动发现客户端将检查证书是否包含指定的主机名（autodiscover-s.outlook.com）或通配符证书场景，域名 - *.outlook.com

2. 验证证书信任
服务器提供的公共证书，由 CA（证书颁发机构）创建。
自动发现客户端还需要验证向服务器提供证书的证书颁发机构的身份。

3. 验证证书日期是否有效。
自动发现客户端需要验证服务器证书日期是否有效。

如果您想阅读有关自动发现、安全机制和证书主题的更多详细信息，请阅读文章：自动发现过程和 Exchange 安全基础结构 |第 20 部分#36

步骤 10/20：分析 ExRCA 连接测试的数据

在 Microsoft 远程连接分析器结果页面中，我们可以看到有关自动发现客户端对服务器发送的公共证书执行的三种不同测试的信息：

1. 验证证书名称

自动发现客户端验证服务器证书是否包含服务器 FQDN 或服务器域名。

证书名称已成功验证。
在证书使用者备用名称条目中找到主机名 autodiscover-s.outlook.com。

2. 验证证书信任

• 自动发现客户端验证服务器证书中显示的信任链。
• 自动发现客户端成功地验证了信任链。

证书受信任，并且所有证书都存在于链中。
Microsoft 连接分析器正在尝试为证书 CN=outlook.com、OU=Microsoft Corporation、O=Microsoft Corporation、L= 构建证书链雷蒙德，S=WA，C=US。
一个或多个证书链已成功构建。

3. 验证证书日期是否有效。

自动发现客户端验证服务器证书是否仍然有效且未过期。
在我们的示例中，测试成功完成意味着服务器证书有效。

测试证书日期以确认证书有效。日期验证通过。证书尚未过期。
证书有效。 NotBefore=2/18/2014 11:41:01 PM，NotAfter=2/18/2016 11:41:01 PM

步骤11/20：检查客户端证书身份验证的IIS配置。

自动发现客户端和自动发现端点之间的“信任通道”建立在各方证明其身份的能力之上。
在上一节中，自动发现客户端成功验证了服务器的身份。
现在，我们进入第二部分，其中自动发现客户端需要向服务器证明其身份以获得所需的自动发现信息。

自动发现客户端，验证目标主机（自动发现端点）是否需要客户端证书。 （客户端证书是客户端证明其身份的一种方法）。

客户端证书的使用非常罕见，大多数时候，客户端用于“证明其身份”的方式是提供用户的凭据。

步骤 11/20：分析 ExRCA 连接测试的数据

在Microsoft远程连接分析器结果页面中，我们可以看到

• 自动发现客户端询问服务器是否需要客户端证书。
• 服务器回复说他不需要客户端证书。

检查客户端证书身份验证的 IIS 配置。未检测到客户端证书身份验证。未配置接受/要求客户端证书。

步骤 12/20：向自动发现端点提供用户凭据

自动发现通过提供用户的凭据“（用户名+密码）来证明他的身份。

注意：“提供用户凭据”部分不会出现在 Microsoft 远程连接分析器结果页面中

步骤 13/20：尝试向潜在的自动发现 URL 发送自动发现 POST 请求

自动发现客户端“认为”主机 - autodiscover-s.outlook.com 是潜在的自动发现端点，因此，自动发现客户端会创建对自动发现信息的请求。

请注意，用于描述自动发现端点的术语是“潜在的自动发现端点”。 ”

“潜在”一词告诉我们，自动发现客户端知道他正在寻址的主机可能是最终节点或将其重定向到其他自动发现端点的节点。

在我们的场景中，主机 autodiscover-s.outlook.com 提供的“答案”包括一条重定向消息，该消息将自动发现客户端重定向到名为 - pod51049.outlook.com

步骤 13/20：分析 ExRCA 连接测试的数据

在ExRCA结果页面上，我们可以看到有关该过程的以下信息：

自动发现客户端寻址自动发现端点并请求自动发现响应。

Microsoft 连接分析器正在尝试从 URL - https://autodiscover-s.outlook.com/Autodiscover/Autodiscover.xml（用户 Bob@o365info.com）检索 XML 自动发现响应 自动发现 XML 响应已成功检索.

但是，自动发现客户端不会获取所需的自动发现信息，而是获取到其他主机的重定向答案：

收到响应自动发现请求的 HTTPS 重定向。重定向 URL 为 https://pod51049.outlook.com/Autodiscover/Autodiscover.xml。

步骤14/20：尝试在DNS中解析主机名pod51049.outlook.com

为了能够访问名为 - pod51049.outlook.com 的主机，自动发现客户端需要获取有关特定主机的 IP 地址的信息。

自动发现连接 DNS 服务器并询问 - pod51049.outlook.com 上的 IP 地址

步骤 14/20：分析 ExRCA 连接测试的数据

在 ExRCA 结果页面中，我们可以看到自动发现地址、DNS 服务器和 DNS 服务器通过提供 IP 地址列表（映射到主机名的 IP 地址）进行回复。

尝试在 DNS 中解析主机名 pod51049.outlook.com。主机名解析成功。
返回的 IP 地址：132.245.229.146、132.245.226.34、157.56.251.217、157.56.255.60、132.245.210.9、132.245.212.98、157.56.250.66 , 157.56.254.178, 2a01:111:f400 :803c::2

步骤 15/20：测试主机 pod51049.outlook.com 上的 TCP 端口 443，以确保其正在监听并打开。

为了能够使用潜在的自动发现端点 (pod51049.outlook.com) 启动自动发现过程，自动发现客户端需要验证目标主机是否可以使用 HTTPS 协议进行通信。

步骤 15/20：分析 ExRCA 连接测试的数据

在 ExRCA 结果页面中，我们可以看到自动发现客户端尝试验证目标主机是否可以使用 HTTPS 进行通信，并且测试已成功完成，这意味着目标主机正在列出发送到端口 443 的通信请求。

测试主机 pod51049.outlook.com 上的 TCP 端口 443，以确保其正在侦听并打开。端口打开成功。

步骤 16/20：请求潜在的自动发现端点提供公共服务器证书

自动发现客户端需要确保目标主机可以信任。
因此，自动发现客户端会请求目标主机 (pod51049.outlook.com)通过提供公共证书来证明其身份。

步骤 16/20：分析 ExRCA 连接测试的数据

在 ExRCA 结果页面中，我们可以看到自动发现客户端请求主机 - pod51049.outlook.com 发送他的证书。

服务器发送他的证书，在结果中，我们可以看到证书的详细信息：

Microsoft 连接分析器正在尝试从端口 443 上的远程服务器 pod51049.outlook.com 获取 SSL 证书。Microsoft 连接分析器已成功获取远程 SSL 证书。

步骤 17/20：测试 pod51049.outlook.com SSL 证书以确保其有效

自动发现客户端执行的证书验证测试包括三个不同的部分。

1. 验证证书名称
自动发现客户端使用主机名 - pod51049.outlook.com 来寻址潜在的自动发现端点

为了能够知道特定主机是否“可靠”，自动发现客户端将检查证书是否包含指定的主机名（pod51049.outlook.com）或在通配符证书场景中, 域名 - *.outlook.com

2. 验证证书信任。
服务器提供的由 CA（证书颁发机构）创建的公共证书。
自动发现客户端还需要验证向服务器提供证书的证书颁发机构的身份。

3.验证证书日期是否有效。

自动发现客户端需要验证服务器证书日期是否有效。

如果您想阅读有关自动发现、安全机制和证书主题的更多详细信息，请阅读文章：自动发现过程和 Exchange 安全基础结构 |第 20 部分#36

步骤 17/20：分析 ExRCA 连接测试的数据

在 Microsoft 远程连接分析器结果页面中，我们可以看到有关自动发现客户端对服务器发送的公共证书执行的三种不同测试的信息：

1. 验证证书名称。
客户端验证服务器证书是否包含服务器 FQDN 或服务器域名。

证书名称已成功验证。在证书使用者备用名称条目中找到主机名 pod51049.outlook.com。

2. 验证证书信任。
客户端验证服务器证书中显示的信任链。

正在验证证书信任。该证书是受信任的，并且所有证书都存在于链中。 Microsoft 连接分析器正在尝试为证书构建证书链
CN=outlook.com、OU=Exchange、O=Microsoft Corporation、L=Redmond、S=Washington、C=US。
一个或多个证书链构建成功。

3. 验证证书日期是否有效。
客户端验证服务器证书是否仍然有效且未过期。在我们的示例中，测试成功完成。

测试证书日期以确认证书有效。
日期验证已通过。证书尚未过期。
证书有效。 NotBefore=7/24/2014 6:34:15 PM，NotAfter=7/23/2016 6:34:15 PM

步骤 18/20：检查客户端证书身份验证的 IIS 配置

自动发现客户端，检查目标主机（自动发现端点）是否需要客户端证书。客户端证书是客户端证明其身份的一种方法。

步骤 18/20：分析 ExRCA 连接测试的数据

在ExRCA结果页面中，我们可以看到自动发现客户端询问他需要客户端证书的服务器ID；服务器回复说不需要客户端证书。

检查客户端证书身份验证的 IIS 配置。未检测到客户端证书身份验证。未配置接受/要求客户端证书。

步骤 19/20：提供用户凭据

证书验证、测试成功完成并且自动发现客户端可以“信任”目标主机后，自动发现客户端还需要证明其身份。
自动发现客户端将通过提供用户的凭据来识别自己的身份”
（用户名+密码）。

注意：“提供用户凭据”部分不会出现在 ExRCA 结果中。

步骤 20/20：尝试向潜在的自动发现 URL 发送自动发现 POST 请求。

这是自动发现客户端旅程的“最后一站”。

在我们的特定场景中，主机 pod51049.outlook.com 是面向公众的 Office 365 Exchange 服务器，它将向自动发现客户端提供所需的自动发现信息，以及创建新的 Outlook 邮件配置文件、有关可用 Exchange CAS 服务器 Web 服务的信息并使邮件客户端能够访问其 Office 365 邮箱。

步骤 20/20：分析 ExRCA 连接测试的数据

在 ExRCA 结果页面中，我们可以看到自动发现客户端到达最终目的地的自动发现步骤。

自动发现通过使用 URL 地址 - https://pod51049.outlook.com/Autodiscover/Autodiscover.xml 来寻址潜在的自动发现端点，并发送“发布请求”，询问自动发现信息。

潜在自动发现端点（Exchange Online CAS 服务器）接受请求并向其客户端发送自动发现响应。

Microsoft 连接分析器正在尝试从 URL https://pod51049.outlook.com/Autodiscover/Autodiscover.xml 检索用户 bob@o365info.com 的 XML 自动发现响应

已成功检索自动发现 XML 响应。

自动发现响应内容

自动发现响应包含大量信息。
我们不会查看自动发现响应中包含的每个“部分”，但仅作为示例，我们可以看到自动发现响应文件中包含的一些详细信息：

1. Autodiscover Exchange 提供商（编号1）。

Exchange CAS 服务器包括几个 Outlook 提供程序。自动发现信息包括每个提供商的专用部分。

在我们的示例中，我们截取了包含 EXCH 提供商信息的部分的屏幕截图 - EXCH

如果您需要有关 Exchange Outlook 提供程序的更多详细信息，请阅读文章 - 自动发现服务器响应的内容 |第 11 部分#36

2. Exchange Online CAS 服务器的“名称”

Exchange Online 基础结构基于 Exchange 2013 版本构建。在 Exchange 2013 环境中，邮件客户端不使用 Exchange CAS 服务器名称，而是自动发现客户端获取充当邮件客户端“地址”的“会话 ID”。

在我们的示例中，我们可以看到有关提供给邮件客户端的“会话地址”的信息。

e2437a8c-a37f-4e6a-bccd-26a71abd2543@o365info.com

自动发现响应包括有关“提供”给其客户端的每个 Exchange CAS 服务器 Web 服务的详细信息。

在下面的示例中，我们可以看到有关可用服务的信息：

1. 可用性服务（空闲\忙碌时间）（数量2）。

Outlook 客户端被指示使用的 URL 地址是：

https://outlook.office365.com/EWS/Exchange.asmx

1. 自动回复（外出）服务（编号3）。

Outlook 客户端被指示使用的 URL 地址是：

https://ex01.o365info.local/ews/exchange.asmx

1. 离线地址簿（编号4）。

Outlook 客户端被指示使用的 URL 地址是：

https://outlook.office365.com/OAB/226ce079-2845-4fac-be53-6ccebb70c82a/