Общая информация

Если у вас есть учётная запись на сервере MS Exchange 2007 или выше, вы можете создать в The Bat! ящик и настроить его на работу с почтой по протоколу EWS (Exchange Web Services). Устанавливать дополнительные программы или использовать профиль Outlook, как в случае с MAPI, при этом не нужно. Помимо писем, The Bat! будет загружать также другие компоненты MS Exchange, такие как календари, контакты, задачи, заметки.

При первом подключении к серверу The Bat! импортирует загруженные контакты в адресную книгу. Если для писем, заданий или событий в календаре назначены напоминания, The Bat! добавит их в собственный Планировщик. Все остальные компоненты MS Exchange носят лишь информационный характер.


Создание нового почтового ящика EWS

В диалоговом окне Создание нового почтового ящика введите ваш электронный адрес и пароль для доступа к учётной записи Exchange, выберите "Веб-службы Exchange (EWS) " в поле со списком Протокол и нажмите на кнопку Далее .

The Bat! использует службу автообнаружения Exchange , чтобы автоматически получить с вашего сервера Exchange информацию для настройки учётной записи. Если ваш сервер Exchange настроен правильно, The Bat! обнаружит конечную точку сервера Exchange и отобразит ее адрес в соответствующем поле.

Если программа обнаружит конечную точку, нажмите Далее .

Если найти конечную точку сервера Exchange не удастся (поле "Конечная точка сервера Exchange " останется пустым), вы можете:

  • Изменить учётные данные и проверить соединение
  • Ввести конечную точку сервера Exchange вручную
В поле Электронный адрес или пользователь введите ваше имя пользователя или UPN , чтобы программа обнаружила конечную точку:

(вход по домену/пользователю )


Или

(вход по UPN )

На первом снимке экрана для доступа используется имя домена и имя пользователя, разделённые обратной косой.

На втором снимке экрана для доступа используется UPN: имя для входа, знак "@" и имя домена.

Нажмите кнопку Проверить! , чтобы The Bat! начал поиск конечной точки сервера Exchange. Каждый раз мастер настройки будет запускать несколько заданий одновременно, чтобы найти лучшее решение. Все найденные конечные точки Exchange будут добавлены в выпадающее меню. Анимация будет отображаться, пока процесс поиска не завершится.

Обратите внимание : если вы не знаете, какое имя пользователя нужно указать для доступа к серверу Exchange, введите данные доступа, которые вы используете для доступа к вашей учётной записи через OWA (Outlook Web Access).

Если программе не удастся определить конечную точку сервера Exchange, попросите администратора вашего сервера предоставить вам конечную точку и данные доступа (UPN и пароль либо имя пользователя и пароль).

Позже вы можете изменить настройки доступа в меню Ящик -> Свойства почтового ящика -> Транспорт .

Если конечная точка сервера Exchange автоматически не обнаружилась или недоступна, это может означать, что администратор сервера Exchange заблокировал доступ по протоколу EWS. Для проверки попытайтесь соединиться с https://mail.company.com/ews/exchange.asmx: при этом должно появиться окно аутентификации.
После успешной аутентификации вы должны получить WSDL-определение EWS. Если вы не получили его, обратитесь к администраторам вашего сервера Exchange с просьбой изменить соответствующие настройки сервера.
Чтобы получить конечную точку сервера Exchange, вы можете также использовать страницу, предоставленную Microsoft: https://testconnectivity.microsoft.com
На вкладке Exchange Server выберите раздел Microsoft Exchange Web Services Connectivity Tests и после тестирования изучите детали – вы должны увидеть значение EwsUrl. Этот адрес используйте в качестве конечной точки сервера Exchange в The Bat!

Вы можете также задать параметры проверки сертификатов. Предупреждение системы безопасности может появиться, если ваш сервер Exchange использует самоподписанный сертификат либо сертификат, срок действия которого истёк:

Вы можете добавить его в хранилище сертификатов Windows (View Certificate | Install Certificate | Next | Place all certificates in the following store | Browse | | OK | Next | Finish).

Чтобы не получать предупреждение системы безопасности, вы можете включить опцию Не проверять сертификат узла .

Внимание : вы можете не проверять сертификат, только если вы доверяете источнику.

Когда процесс автообнаружения завершится, нажмите Далее .

Поле Ваше имя отобразит ваше имя на сервере Exchange. Если соединение было установлено, то в этом поле вы увидите полное имя, которое программа получила с сервера. В ином случае, в этом поле отобразится то имя, которое вы указали на первом шаге создания ящика.

Во втором поле будет указано название вашего ящика в дереве папок.

Ниже можно выбрать домашний каталог почтового ящика - место, где будет храниться вся информация, связанная с ним. Если вы хотите выбрать другой каталог, нажмите кнопку Обзор и укажите желаемую директорию.

Нажмите Готово , чтобы завершить процесс создания нового ящика. Как только ящик появится в дереве папок, программа установит соединение с сервером и загрузит папки с их содержимым.


Получение писем и структура папок

The Bat! загрузит все папки с их содержимым (за исключением папок Deletions, Archive и Recoverable) при первом соединении с сервером.

Кроме стандартных папок, программа загрузит папки Календарь, Контакты, Задачи и некоторые другие, которые будут отображать такие компоненты MS Exchange, как события, контакты, задачи, заметки, RSS-подписки. The Bat! также может загружать содержимое общих папок Exchange. Если у вас есть права на общую папку, вы увидите её в папке All Public Folders.

Программа отобразит все атрибуты, используемые в Outlook, которые соответствуют функциональности The Bat! и RFC822, такие как Тема, Отправитель, Получатель, Копия, Скрытая копия и другие заголовки, флаги, прикрепленные файлы, теги, шифрование, дату и время получения и создания письма, размер.

Программа может загружать письма, полученные с определенного дня. При создании ящика вы можете включить опцию Загружать элементы, созданные после и указать дату. Письма, полученные раньше этого дня, The Bat! не загрузит. Включить эту опцию можно также в свойствах ящика в разделе «Транспорт».

Если вы подключены к социальным сетям в Outlook (Twitter, Facebook, LinkedIn), папки с контактами этих социальных сетей также отобразятся в дереве ящиков в The Bat! Каждый такой контакт содержит прикрепленную визитную карточку vCard, фото или другие файлы, которые вы назначили этому контакту.

The Bat! может также загружать контакты из корпоративной сети. Для этого при создании ящика включите опцию Загружать контакты Active Directory . Эту опцию можно включить также в свойствах ящика в разделе «Транспорт». Контакты из корпоративной сети сохраняются в папке EWS ящика Active Directory. Контакты в этой папке нельзя удалять или перемещать. Программа автоматически импортирует контакты из корпоративной сети в адресную книгу EWS.

Когда вы первый раз установите соединение с сервером, The Bat! создаст адресную книгу и импортирует в неё загруженные контакты. Имя такой адресной книги состоит из названия ящика и пометки “”:

Вы можете изменить название этой адресной книги, но она по-прежнему будет связана с ящиком EWS. Если вы удалите адресную книгу, контакты исчезнут из интерфейса The Bat! Вы сможете импортировать их вновь из файла <имя контакта>.vcf, прикрепленного к каждому контакту. При следующем соединении с сервером The Bat! обнаружит, что адресная книга отсутствует и создаст новую.

Если вы назначили напоминание письму, задаче либо событию в Outlook или OWA, The Bat! добавит это напоминание в Планировщик, как только вы загрузите это письмо/задачу/событие. Программа оповестит вас о событии в назначенное время.

Если вы создадите элемент на сервере Exchange, The Bat! загрузит его при соединении с сервером. Однако элементы, созданные в The Bat! не будут передаваться на сервер, они хранятся локально.


Синхронизация

Когда The Bat! загружает элементы MS Exchange, они сохраняются локально. Если при этом на сервере эти элементы изменяются, The Bat! не отобразит их до тех пор, пока вы не очистите кэш папки.

Если вы удаляете элементы при помощи клавиши Delete, они удалятся с сервера Exchange.

Если вы удаляете элементы, используя альтернативное удаление (сочетание клавиш Shift+Delete), они также удалятся с сервера (в данном случае используется Exchange soft delete mode). Если вы восстановите удаленные элементы в The Bat! через меню Папка -> Просмотреть удаленные письма (чтобы восстановить удаленное письмо, выделите его и нажмите клавишу Delete), они сохранятся лишь локально.

Если вы удалите письмо, загруженное в The Bat!, с сервера Exchange, оно не удалится из программы, однако, если вы очистите кэш папки, письмо повторно не загрузится.

При перемещении и копировании писем и элементов Exchange в папки ящика EWS, они загружаются и на сервер в соответствующие папки. При перемещении письма из папки оно удаляется из папки на сервере.

The Bat! поддерживает синхронизацию флагов Прочитанное/Непрочитанное, Помечено флажком и принимает флаг Парковано (“is draft” в терминологии Exchange). Например, если вы пометите письмо как прочитанное в The Bat!, в другом почтовом клиенте оно также отобразится как прочитанное. Флаги Отвечено и Переслано/Перенаправлено не синхронизируются.

The Bat! синхронизирует приоритет писем и пометку конфиденциальности (Sensitivity). Пометка конфиденциальности отображается как тег. Чтобы изменить ее, нажмите правой кнопкой мышки на письмо и выберите пометку в разделе «Теги». Атрибуты, которые не поддерживаются в The Bat!, отображаются как теги. Синхронизация цветовых групп не поддерживается.


Управление папками

Папки в The Bat! отображаются на языке, установленном в вашей учётной записи на сервере (OWA -> Параметры -> Региональные -> Язык -> Сохранить). Если вы поменяете язык в настройках OWA, названия папок в The Bat! также изменятся.

Если вы переименуете, переместите или удалите папку в The Bat!, эти изменения отобразятся и на сервере, а значит, и в других почтовых клиентах. Если вы создадите папку в The Bat!, она появится на сервере. Если структура папок на сервере изменяется (вы переименовываете, создаете, удаляете или перемещаете папки), The Bat! также обновит структуру папок при соединении с сервером.

Если вы не хотите видеть папку в дереве ящиков, но хотите сохранить ее на сервере, вы можете скрыть ее: выберите папку, нажмите клавишу Delete и выберите опцию Скрыть папку .

Чтобы скрывать папки, необходимо также включить опцию в меню Ящик -> Свойства почтового ящика -> Транспорт :

Если эта опция отключена, скрытые папки восстановятся при следующем соединении с сервером.

Таким образом, вы можете включить опцию Сохранять список скрытых папок и скрывать папки. Чтобы вновь отобразить все скрытые папки, отключите эту опцию и вызовите команде «Получить новую почту».

Вы можете также очистить кэш папок, нажав на кнопку Очистить кэш в меню Папка –> Свойства папки -> Свойства EWS . После очистки The Bat! загрузит с сервера элементы Exchange заново.

Информация, содержащаяся в этом документе, может относиться к функциям и продуктам предварительной версии и может претерпеть значительные изменения до окончательного коммерческого выпуска. Настоящий документ предоставляется "как есть" и служит только для информационных целей. Корпорация Майкрософт не предоставляет никаких гарантий, явных или подразумеваемых, в связи с этим документом

Советы по разработке с использованием EWS для Exchange.

Область применения: Exchange Online | Exchange Server 2013 | Office 365

В этой статье приведены общие сведения о создании приложения веб-служб Exchange (EWS). С помощью этих сведений можно определить, подходит ли API EWS для вашего приложения и какой тип реализации клиента вам нужен. Эта статья также содержит рекомендации по созданию приложений для Office 365, Exchange Online и версий Exchange, начиная с Exchange 2007, с использованием одной базы данных кода. Кроме того, она помогает решить, для какой среды лучше разрабатывать решения - для локальных серверов Exchange Server или Exchange Online.

Прежде чем приступать к созданию приложения, необходимо определить, подходит ли вам API EWS. Если вы разрабатываете решение для Exchange Server или Exchange Online, EWS - предпочтительная технология клиентского доступа. Разработка решений клиентского доступа для версий Exchange, начиная с Exchange 2007, в основном ориентировалась на EWS. EWS используется для работы новых функций клиентского доступа, реализованных в Outlook. К последним относится отображение состояния "нет на месте" и сведений о доступности, впервые доступное в Exchange 2007, а также функции подсказок и получения помещений, представленные в Exchange 2010. И для внутренних, и для внешних партнеров, разрабатывающих клиентские приложения Exchange, это говорит в пользу обязательности вложений в EWS.

API EWS - основной API клиентского доступа для клиентских приложений Exchange. Но в некоторых случаях для разработки клиентских приложений могут пригодиться другие API Exchange. Например, Exchange ActiveSync обладает следующими преимуществами перед EWS:

    Чтобы сделать протокол Exchange ActiveSync более компактным, проведена разметка структуры XML.

    Exchange ActiveSync позволяет с помощью политик управлять клиентским доступом и использовать другие надежные решения для обмена мобильными сообщениями на предприятии.

MAPI RPC/HTTP - это еще один вариант для программирования клиентских приложений Exchange. Но тем не менее MAPI RPC/HTTP не обладает интуитивно понятным интерфейсом для связи между клиентами и сервером.

Дополнительные сведения о технологиях разработки для Exchange см. в статье .

Существует несколько способов разработки для Exchange с использованием EWS. Выбор оптимального варианта зависит от платформы разработки, инструментов, доступных реализаций и требований к приложениям для организации. Для создания клиентских приложений EWS доступны четыре основных варианта:

    управляемый API EWS;

  • автоматически созданные прокси EWS;

    настраиваемый клиентский API EWS.

Управляемый API EWS

API веб-службы EWS может подойти вам больше, чем управляемый API EWS, по одной из следующих причин:

    ваше приложение не использует.NET Framework;

    вы не хотите распространять сборку управляемого API EWS;

    для приложения требуются функции, не доступные в управляемом API EWS.

Дополнительные сведения см. в статье .

Теперь управляемый API EWS доступен в виде проекта с открытым кодом на сайте GitHub . С помощью библиотеки с открытым кодом вы можете:

    добавлять исправления ошибок и улучшения в API;

    получать исправления ошибок и улучшения до того, как они станут доступны в официальном выпуске;

    получать доступ к самой полной и актуальной реализации API, которую можно использовать для справки или для создания новых библиотек на новых платформах.

С выходом Exchange 2010, клиенты Outlook MAPI используют роль сервера Client Access Server (CAS) на среднем уровне в качестве конечной точки RPC, что привело к тому, что данная роль является еще более важной, чем в предыдущих версиях продукта. По этой причине всем организациям (большим и малым) стоит задуматься о том, чтобы сделать эту роль постоянно доступной посредством установки нескольких серверов CAS на каждом сайте Active Directory, а также использовать компенсацию нагрузки протоколов и сервисов, предоставляемых этой ролью.

Поскольку у меня очень удачный опыт с устройствами от компании KEMP Technologies и поскольку эти устройства доступны даже для средних и малых организаций, которые, как правило, разворачивают полностью избыточные решения Exchange, состоящие из двух серверов Exchange 2010 с несколькими ролями, я использовал устройства LoadMaster 2000 настроенные в кластере (один узел активный и один - аварийный) в качестве базы для этой статьи. Моя конфигурация показана на рисунке 1 ниже.

Рисунок 1: Топология, используемая в этой тестовой среде

Примечание: очень важно выделить тот факт, что я никак не связан с компанией KEMP Technologies. К тому же мне не платили, чтобы я советовал читателям использовать устройства распределения нагрузки, поставляемые этой компанией. Я просто делаю это исключительно по той причине, что у меня есть очень удачный опыт работы с этими устройствами.

Как на счет обратных прокси, таких как TMG/ISA/IAG/UAG?

Можно ли использовать одно из этих решений для компенсации нагрузки различных протоколов и служб на сервере CAS? Конечно же, можно! По крайней мере, можно компенсировать нагрузку для всего, что идет по протоколам HTTP и HTTPS. Однако ни одно из этих решений не может выполнять компенсацию нагрузки для RPC трафика. Читайте дополнительную информацию в этом новостном письме , которое я написал пару месяцев назад. К тому же вам, возможно, не нужно, отправлять трафик с внешних клиентов на решение обратного прокси в своей демилитаризованной зоне и обратно. Наконец, если вы осуществляете компенсацию нагрузки для трафика HTTP/HTTPS, используя одно из вышеупомянутых решений в качестве внутреннего решения HLB, также важно упомянуть, что вам нельзя настраивать их обращение к VIP/FQDN устройства HLB, а вместо этого обратный прокси-сервер будет самостоятельно распределять трафик между CAS серверами массива CAS.

Какой тип родства (affinity) мне следует использовать?

Персистентность (также известная, как родство) представляет собой возможность компенсатора нагрузки сохранять подключение между клиентом и сервером. Она позволяет быть уверенным в том, что все запросы с клиента направляются на один и тот же сервер в NLB массиве или серверной ферме (в случае с Exchange CAS массивом).

Поэтому в зависимости от клиента или службы Exchange есть различные рекомендации относительно того, какие настройки родства использовать. Ниже я указал, какие настройки являются предпочтительными для каждого клиента и службы.

Клиенты Exchange:

  • Outlook Web App (OWA) - для OWA рекомендуемым способом родства является клиентский IP (IP адрес источника) или Cookie (существующие cookie или созданные аппаратным компенсатором нагрузки, также известные как LB-cookie). Оба способа работают в большинстве конфигураций, но если вы работаете со средами, где клиенты представляются, как исходящие с одного IP адреса источника, следует избегать использования Client IP и вместо этого использовать cookie. Не рекомендуется использовать персистентность на базе SSL ID в OWA, поскольку этом может привести к тому, что пользователям нужно будет повторно проходить проверку подлинности, потому что такие обозреватели, как Internet Explorer 8, создают новые отдельные рабочие процессы, например, при создании нового сообщения в OWA. Проблема здесь в том, что с каждым новым рабочим процессом используется новый SSL ID.
  • Exchange Control Panel (ECP) - те же рекомендации, что и для предыдущего клиента.
  • Exchange ActiveSync (EAS) - для Exchange ActiveSync рекомендуемым способом родства являются Client IP (исходный IP адрес) или заголовок авторизации (Authorization header). Если ваша организация использует одного поставщика мобильных/сотовых сетей для всех пользователей, подключающихся к Exchange с помощью EAS, то велики шансы того, что они все будут представляться, как исходящие с одного IP адреса, поскольку NAT часто используется в сотовых сетях. Это означает, что вы не сможете получить оптимального распределения EAS трафика между CAS серверами за NLB массивом. Поэтому для EAS лучше использовать HTTP заголовок авторизации в качестве ключа родства. И опять же, не рекомендуется использовать персистентность на основе SSL ID для EAS, поскольку некоторые мобильные устройства пересматривают параметры SSL безопасности довольно часто.
  • Outlook Anywhere (OA) - для Outlook Anywhere (также известной как RPC через HTTP) рекомендуемым методом родства будет Client IP (исходный IP адрес), заголовок авторизации или персистентность на основе "OutlookSession" cookie. Если клиенты OA представляются, как исходящие с одного Client IP, то следует использовать заголовок авторизации или "OutlookSession" cookie. Следует помнить, что родство на основе "OutlookSession" поддерживается только в клиентах Outlook 2010.
  • IMAP и POP3 - IMAP и POP3 не требуют никаких параметров родства, поэтому здесь нет рекомендаций к настройке персистентности.

Сервисы Exchange:

  • Autodiscover- служба Autodiscover не требует никаких определенных параметров родства, поэтому здесь нет рекомендаций к настройке персистентности.
  • RPC Client Access Service (RPC CA)- для службы RPC CA, используемой в качестве конечной точки для внутренних клиентов Outlook, рекомендуемым способом родства является Client IP.
  • Exchange Address Book Service- те же рекомендации, что и для службы RPC CA.
  • Exchange Web Services (EWS)- для EWS рекомендуемым способом родства является cookie или SSL ID.

Теперь, поскольку многие из вышеуказанных клиентов и служб используют один и тот же порт, зачастую можно указывать лишь один способ родства для всех клиентов и служб, использующих один порт/IP адрес. Если вы хотите использовать различные способы персистентности, допустим для OWA и OA, в зависимости от вашего HLB решения, это может быть возможным (с использованием раздельного родства и т.п.), но это не входит в рамки нашей статьи. Вместо этого я рекомендую вам связаться с поставщиком вашего HLB решения.

Параметры таймаута для каждого протокола и службы

Для каждой виртуальной службы вы можете задавать значения таймаута для сеансов, которые создаются с различных клиентов к HLB решению (память, ЦП и т.д.).

Чтобы оптимально использовать свое HLB решение, не следует задавать слишком высокие значения для этих таймаутов, но также следует опасаться установки слишком низких значений для этих параметров, поскольку это может привести к необходимости клиентов в повторном создании сеанса, а это в свою очередь может заставлять конечных пользователей снова проходить проверку подлинности.

Нет нужды говорить о том, что вам нужно задавать значения таймаутов для протоколов и служб, таких как OWA, ECP, EAS, Outlook Anywhere и RPC CA на довольно высоком уровне (несколько часов, например, рабочие часы), а для таких служб как IMAP, POP, AutoD, EWS, OAB эти значения должны быть относительно низкими (как правило, всего несколько минут). Чтобы не попасть в трудности, свяжитесь с поставщиком вашего HLB решения для получения информации о том, какие настройки рекомендованы для него.

Итак, на этом закончим первую часть нашего цикла статей. Все рассмотренное в этой части должно стать подготовительным фундаментом для следующей части, где мы подробно поговорим о том, как создаются виртуальные сервисы для каждого протокола и службы в решении аппаратной компенсации нагрузки LoadMaster. Если у вас есть вопросы относительно того, что мы уже рассмотрели, дайте мне знать.

Создание необходимых виртуальных служб в решении компенсатора нагрузки

Рисунок 28: Проверка SSL цепи с помощью диагностического инструмента DigiCert SSL Diagnostics

Если в результатах этого инструмента у вас везде стоят зеленые галочки, то все работает нормально. Но также необходимо проверить доступ, используя настоящие клиенты Exchange.

На этом заканчиваем данный цикл статей. Да, в конце предыдущей части я говорил то же самое, но в этот раз я говорю наверняка 🙂

Генрик Валзер (Henrik Walther) является Microsoft Exchange MVP и работает в качестве Старшего Технического Консультанта в Interprise, Золотом Партнере Microsoft, расположенном в Дании. Вы можете посетить его web-сайт по адресу: www.exchange-faq.dk (на датском).

Www.microsoft.com

Внутренние и внешние URL Exchange 2013 нужны для доступа к тем или иным службам из различного расположения — из локальной сети или интернета. По умолчанию при установке сервера заданы лишь внутренние URL и ссылаются они на fqdn сервера, а внешние URL отсутствуют полностью. .

Эта статья является пятой из цикла, в котором освещены вопросы обязательных задач по настройке сервера Exchange 2013 сразу после его установки. Если вам интересны другие задачи, рекомендую обратиться к головной статье по настройке — или основной статье тематики — .

Перейдем к основной цели этой статьи — изменению внутренних и внешних URL-адресов.

Настройка

Для этого проходим в директорию EAC — Серверы\Серверы — выделяем мышкой нужный сервер (у меня это exch02)\Изменить (значок карандаша) — Мобильный Outlook .

В поле Укажите имя внешнего узла (например, contoso.com) для подключения пользователей к вашей организации . прописываем необходимый нам внешний адрес. У меня это будет mail.bissquit.com. Также не лишним будет изменить имя внутреннего узла на аналогичное. Вам решать одинаковыми будут внешние и внутренние имена или разными, но сделать их идентичными выглядит более чем логично.

Если не меняли тип проверки подлинности, то вылезет предупреждение:

У меня нет более ранних версий Exchange, поэтому предупреждение игнорирую.

Через Powershell это сделать можно используя командлет Set-OutlookAnywhere :

PowerShell

Проверим результат:

Далее изменим настройки виртуальных каталогов, добавив в них внешний URL-адрес (по умолчанию он отсутствует) и задав аналогичный адрес для внутренних подключений. Через веб-интерфейс EAC можно выполнить соответствующие действия в каталоге Серверы\Виртуальные каталоги — выделить мышкой нужный каталог, нажать Изменить (значок карандаша), установить необходимые внутренние и внешние URL-адреса.

Повторить действия для каждого виртуального каталога, кроме Autodiscover (Default Web Site). Пример изменения свойств виртуального каталога ecp ‎(Default Web Site) ‎:

Для изменения настроек через PowerShell будет достаточно много команд, поскольку для каждого типа виртуального каталога существует отдельный набор командлетов:

Для изменения виртуального каталога панели управления — Set-EcpVirtualDirectory .
Для изменения виртуального каталога Веб-служб Exchange — Set-WebServicesVirtualDirectory .
Для изменения виртуального каталога служб Microsoft Exchange ActiveSync — Set-ActiveSyncVirtualDirectory .
Для изменения виртуального каталога автономной адресной книги — Set-OabVirtualDirectory .
Для изменения виртуального Outlook — Set-OwaVirtualDirectory .
Для изменения виртуального каталога PowerShell — Set-PowerShellVirtualDirectory .

Итак, ближе к делу:

PowerShell

Set-EcpVirtualDirectory "exch02\ecp (Default Web Site)" -InternalUrl https://mail.bissquit.com/ecp -ExternalUrl https://mail.bissquit.com/ecp Set-WebServicesVirtualDirectory "exch02\EWS (Default Web Site)" -InternalUrl https://mail.bissquit.com/EWS/Exchange.asmx -ExternalUrl https://mail.bissquit.com/EWS/Exchange.asmx Set-ActiveSyncVirtualDirectory "exch02\Microsoft-Server-ActiveSync (Default Web Site)" -InternalUrl https://mail.bissquit.com/Microsoft-Server-ActiveSync -ExternalUrl https://mail.bissquit.com/Microsoft-Server-ActiveSync Set-OabVirtualDirectory "exch02\OAB (Default Web Site)" -InternalUrl https://mail.bissquit.com/OAB -ExternalUrl https://mail.bissquit.com/OAB Set-OwaVirtualDirectory "exch02\OWA (Default Web Site)" -InternalUrl https://mail.bissquit.com/owa -ExternalUrl https://mail.bissquit.com/owa Set-PowerShellVirtualDirectory "exch02\PowerShell (Default Web Site)" -InternalUrl https://mail.bissquit.com/PowerShell -ExternalUrl https://mail.bissquit.com/PowerShell

Set -EcpVirtualDirectory "exch02\ecp (Default Web Site)" -InternalUrl https : / / mail . bissquit . com / ecp -ExternalUrl https : / / mail . bissquit . com / ecp

Set -WebServicesVirtualDirectory "exch02\EWS (Default Web Site)" -InternalUrl https : / / mail . bissquit . com / EWS / Exchange . asmx -ExternalUrl https : / / mail . bissquit . com / EWS / Exchange . asmx

Set -ActiveSyncVirtualDirectory "exch02\Microsoft-Server-ActiveSync (Default Web Site)" -InternalUrl https : / / mail . bissquit . com / Microsoft-Server -ActiveSync -ExternalUrl https : / / mail . bissquit . com / Microsoft-Server -ActiveSync

Set -OabVirtualDirectory "exch02\OAB (Default Web Site)" -InternalUrl https : / / mail . bissquit . com / OAB -ExternalUrl https : / / mail . bissquit . com / OAB

Set -OwaVirtualDirectory "exch02\OWA (Default Web Site)" -InternalUrl https : / / mail . bissquit . com / owa -ExternalUrl https : / / mail . bissquit . com / owa

Set -PowerShellVirtualDirectory "exch02\PowerShell (Default Web Site)" -InternalUrl https : / / mail . bissquit . com / PowerShell -ExternalUrl https : / / mail . bissquit . com / PowerShell

Переходим к следующей главе.

Настройки локального DNS-сервера

Поскольку мы указали одинаковые внутренние и внешние URL-адреса для сервисов Exchange 2013, нужно разобраться как правильно настроить записи локального DNS-сервера (забегая вперед, скажу, что это называется Split DNS).

Примечание: дело в том, что домен mail.bissquit.com будет разрешаться во внешний адрес шлюза и таким образом отправляться наружу и при попадании на шлюз разворачиваться обратно в локальную сеть. Страшного в этом ничего нет, но это явно лишний маршрут, который будет проделывать весь трафик, направляющийся к вашему Exchange 2013 из локальной сети..

На контроллере домена необходимо пройти в оснастку «DNS» и создать новую зону прямого просмотра:

Все настройки оставляем по умолчанию, только указываем необходимое имя, у меня это bissquit.com. После создания зоны необходимо добавить одну CNAME-запись. Нам нужно, чтобы mail.bissquit.com разрешалось во внутренний адрес сервера Exchange 2013:

Примечание: обратите внимание, что добавление к обслуживанию домена второго уровня может оказаться крайне плохой идеей, если этот домен (или его поддомены) подвязан к каким-то внешним ресурсам. В этом случае ваш локальный DNS-сервер будет считать себя ответственным за всю эту зону и возвращаться ответ, что, например, домена сайт не существует.

Запись создана, проверим как работает:

Имя mail.bissquit.com разрешается во внутренний адрес, все нормально, как нам и нужно. Однако при попытке «пропинговать» другой поддомен, для которого мы записи в новой зоне не создавали, разрешить имя не получается. Это происходит потому, что наш DNS-сервер считает себя ответственным (авторитативным) за весь домен bissquit.. Отправить DNS-запросы для записи сайт наружу можно с помощью делегирования:

В имени укажите необходимый домен:

Далее пропишите один (а ещё лучше несколько) из NS-серверов вашего провайдера, у которого администрируете DNS-записи. Если не знаете ни одного NS-сервера, запустите nslookup в командной строке, задайте тип записи (set type=ns), введите необходимое доменное имя (у меня это bissquit.com):

Ещё раз проверим:

Как видите, все работает. Спасибо статье на блоге Алексея. Небольшой недостаток этого метода в том, что нужно вручную прописывать все внешние поддомены. Правда у меня их пока немного, всего один.

Итак, на этом настройка DNS закончена. По большому счету к настройке внутренних и внешних URL-адресов администрирование сервера DNS относится лишь косвенным образом, но этот момент важно рассмотреть, поскольку в документации на Technet при выполнении настройки URL-адресов даются лишь общие сведения о том, какие записи DNS необходимо создать, но как это сделать и какие есть нюансы не объясняется:

После настройки внутреннего URL-адреса в виртуальных каталогах сервера клиентского доступа необходимо настроить частные записи DNS для Outlook Web App и других возможностей подключения. В зависимости от конфигурации нужно будет настроить частные DNS-записи так, чтобы они указывали на внутренний или внешний IP-адрес либо полное доменное имя сервера клиентского доступа. Ниже приведены примеры рекомендуемых DNS-записей, которые необходимо создать для подключения внутренних клиентов.

FQDN Тип DNS-записи Значение
Mail.contoso.com CNAME Ex2013CAS.corp.contoso.com
Owa.contoso.com CNAME Ex2013CAS.corp.contoso.com
Приветствую всех читателей нашего Блога! Сегодня я расскажу вам о том, как за несколько минут настроить публикацию почтового сервера Exchange Server 2013 /2016 с помощью IIS ARR (Application Request Routing ). Но для начала немного о том, что такое публикация и для чего она нужна.

Основная задача публикации это защита сервера от внешнего негативного воздействия. Сервер публикации Reverse Proxy (RP) , располагается в сети периметра (DMZ ) и передает (проксирует) запросы на почтовые сервера, в том случае, если запросы соответствуют определенным шаблонам. Логика работы RP на основе компонента ARR следующая: если поступает запрос с именем узла mail.contoso.com по протоколу HTTPS , тогда перенаправить запрос на ферму серверов mail.contoso.com . Все просто и понятно. Веб сервер используется по той простой причине, что в Exchange 2013/2016 ВСЕ подключения (кроме POP и IMAP конечно!) идут через HTTPS и неважно что вы используете, браузер или толстый клиент Outlook .

Некоторые особенности RP серверов на основе IIS ARR :

  1. Сервер RP может не быть членом домена.
  2. Сервер должен иметь доступ к внутренней сети организации (конкретно к почтовым серверам) и внешней сети Интернет. Один из вариантов реализации это два сетевых адаптера .
  3. RP должен разрешать FQDN (полное доменное имя ex1-srv.contoso.com , ex2-srv.contoso.com и т.д.) почтового сервера в его IP адрес. Если в сети периметра не используется DNS сервер, необходимо прописать имена серверов и IP в файле C:\Windows\System32\Drivers\etc\hosts .
  4. Убедитесь, что вы правильно настроили внутренние и внешние URL для виртуальных каталогов на почтовом сервере и правильно сконфигурировали сервера. Прежде чем приступать к публикации, проверьте, что все отлично функционирует в пределах локальной сети.
  5. DNS-суффикс сервера RP (в том случае, если он не включен в домен) нужно настроить вручную так, чтобы он был идентичен доменному (RP.contoso.com ).
  6. Убедитесь, что виртуальные каталоги (OWA, ECP, EWS и т.д.) опубликованы для внешних подключений с пространством имен mail.contoso.com

Приступим к установке.

1 ) Запустить PowerShell с привилегиями Администратора и выполнить

Import-Module ServerManager Add-WindowsFeature Web-Static-Content,Web-Default-Doc,Web-Dir-Browsing,Web-Http-Errors,Web-Net-Ext,Web-Http-Logging,Web-Request-Monitor,Web-Http-Tracing,Web-Filtering,Web-Stat-Compression,Web-Mgmt-Console,NET-Framework-Core,NET-Win-CFAC,NET-Non-HTTP-Activ,NET-HTTP-Activation,RSAT-Web-Server

Проверим что все получилось, введя в браузере сервера RP http://127.0.0.1

2 ) Устанавливаем Microsoft Web Platform Installer . В поиске Microsoft Web Platform Installer набираем ARR и устанавливаем пакет Application Request Routing 3.0 + дополнительные компоненты предложенные установщиком.

4 ) Переходим в Server Farms и создаем новую ферму серверов. Назовем ее Contoso.com

Добавим сервера в ферму (Если роли разнесены, то добавляем только CAS сервера). Вводим FQDN сервера и нажимаем ADD

Нажимаем Finish , затем YES на предложение создать правила.

5) Необходимо настроить ферму, в которую мы добавили наши почтовые сервера. Открываем ферму contoso.com и переходим в раздел Caching . Убираем чекбокс Enable Disk Cache и нажимаем Apply

Переходим в раздел Health Test . В качестве URL для проверки доступности серверов я укажу:

  • https://autodiscover.contoso.com/Autodiscover/HealthCheck.htm

URL для проверки доступности имеет вид https:////HealthCheck.htm это URL по умолчания для Exchange Server 2013/2016. Для каждого протокола существует свой URL и его нет необходимости настраивать дополнительно, это все часть компонента Managed Availability . Можно указать другие URL для соответствующих протоколов:

  • https://mail.contoso.com/EWS/HealthCheck.htm
  • https://mail.contoso.com/OAB/HealthCheck.htm
  • https://mail.contoso.com/OWA/HealthCheck.htm

Настройки для раздела Health Test (после внесения изменений, не забываем нажимать Apply )

После внесения всех настроек нужно проверить, что все работает. Нажмем Verify URL Test и убедимся, что все серверы прошли проверку, ответив Pass. Если сервер не будет доступен, то на него не будут пересылаться запросы от внешних клиентов. Компонент ARR выведет его из балансировки до тех пор, пока снова не “увидит” сервер клиентского доступа.

Переходим к разделу Proxy , выставляем настройки:

  • Time-Out: 200 seconds
  • Response Buffer threshold: 0

не забываем нажимать Apply после внесения изменений.

Load Balance, Monitoring and Management и Server Affinity не трогаем.

6 ) Переходим к созданию правил перенаправления запросов.

В оснастке IIS открываем URL Rewrite

Создаем правило для Autodiscover

Для добавления шаблона во вкладке “Conditions” нажать “Add” и ввести параметры:

Аналогично ввести “{HTTPS} ON”

В самом низу выбираем действие, которое необходимо выполнить, если запрос соответствует шаблону. В нашем случае, это перенаправление на ферму серверов (не забывайте выбрать https ) и чекбокс запрещающий выполнение следующих (нижних) правил.

Готово.

Аналогичным образом создаем правило для mail.contoso.com и, ели есть желание, для activesync.contoso.com .

В получившемся списке, первым должно идти правило Autodiscover , затем activesync , после mail . Правила отрабатывают по очереди, одно за другим. Перемещать правила в списке можно с помощью стрелок вверх и вниз, находящихся слева.

Последний штрих. Перейдите в “Request Filtering”

и задайте значение 2147483648 для параметра “Maximum allowed content lenght”.

Всё готово! Теперь необходимо настроить внешние DNS сервера, для разрешения имен Autodiscover и mail (а если настраивали, то и activesync ) в IP IIS ARR .

По просьбам трудящихся закрываем ECP