3、Exchange 2000 F/B的工作方式
Exchange 2000不但集成于Windows 2000目录服务,而且集成于IIS 5.0。Exchange 2000在活动目录中储存大部分配置信息,而需要被IIS支持的部分,存储在IIS的元数据库(Metadata)中。Exchange通过System Attendant服务在指定的时间内定期地在两者之间复制相关的配置信息。而访问这些配置信息的一个重要组件就是DSAccess。DSAccess能够动态地检测到被请求数据所在的服务器名称[注释2],然后,通过标准的HTTP方法获得数据,并且返回给用户,因此,也能够说,DSAccess在F/B构架中是个很关键的组件,不正确的DSAccess配置将导致Exchange前端服务器无法连接正确的后端服务器,尤其是在DMZ网络环境中。 bitsCN.nET中国网管博客
当用户连接到前端服务器请求数据时,需要进行身份验证,而不同的客户类型,前端服务器又将采用不同的验证方式来验证用户。身份验证即能够在前端服务器进行,也能够在后端服务器上进行,或两个服务器都进行验证(双重验证)。在典型的双重验证方式中,前/后端服务器均被配置为HTTP明文验证[注释3]方式。由于Exchange依赖IIS来实现HTTP验证,而IIS使用RPC连接到目标服务器进行验证,因此,当前端服务器的RPC不能连接到目标服务器时(如DMZ网络环境中),您能够使用Pass-through验证方式,而且也仅在这种情况下使用Pass-through方式,因为Pass-through启用后,由于对前后服务器是匿名连接,因此无法通过前端服务器实现公用文档夹访问的负载平衡,而且OWA中的隐式登录也不再被支持,每个访问者必须提供一个包括用户名的完整URL来进行访问(见下文的OWA访问部分)。当您的验证请求仅在前端服务器上进行时,用户访问Exchange电脑必须输入domain\username格式来响应系统的验证请求。因此,不论是从系统的安全性角度,还是对用户的可用性角度,双重身份验证是被推荐的验证方式。下面我们来看一下不同的客户类型在不同的验证方式下的工作情况。
OWA客户:前端服务器接受到请求后,通过全局目录服务器检测被请求用户信箱所在服务器,然后,根据已配置的身份验证方式,请求用户登录。用户能够输入http://server/exchange/username显式登录(Explicit Logon)到Exchange电脑,这是当前端服务器无需身份验证时所使用的方式。在这种方式下,由于前端服务器无法判断用户的有效性,因此,无法实现公用文档夹访问的负载平衡。假如用户只是简单地输入http://server/exchange而忽略用户名,这只有被配置为双重验证时才能够正常工作,即所谓的隐式登录(Implicit Logon)。隐式登录对OWA客户是特别有用的一种登录方式,能够实现F/B构架中用户对信箱和公用文档夹访问的任何功能。但对于HTTP客户[注释4],不支持使用隐式登录。
POP3/IMAP4客户:和OWA客户不同,不论您的验证方式是如何配置的,POP3/IMAP4客户直接在前端服务器上被验证,然后前端服务器再将用户信息发送到后端服务器,被验证后,客户电脑再通过前端服务器进行发送和接收。 中国网管联盟
在Exchange F/B构架中,一个很重要的部分是SMTP服务器的位置。SMTP能够位于任意一台Exchange电脑上,但假如您要为POP3/IMAP4客户提供发送功能,您的SMTP服务器应该位于前端服务器上[注释5],为此,必须在您的前端服务器上运行Exchange Information Store服务[注释6],因为SMTP需要为未提交的邮件发送NDR报告给邮件的发送人,出于安全因素,您同样需要正确配置SMTP Relay。
[注释2]在Exchange SP2之前版本的DSAccess组件,使用RPC连接到活动目录,而SP2以后版本的DSAccess,使用标准的LDAP方法来访问活动目录。假如您的前端服务器放置在DMZ环境中,即使在安装SP2后,仍然需要特别的配置,详见相关链接。 bitsCN.Com
[注释3]由于前端服务器不支持Windows集成验证方式及HTTP 1.1 Digest验证方式,尽管后端服务器能够被配置为Windows集成验证,但在双重验证中,只能被配置为明文验证。因此,为确保用户名和密码在传输过程中的安全,请考虑使用SSL连接。
[注释4]HTTP客户是指通过HTTP服务器来发送/接收邮件的客户类型,OWA虽然使用标准的HTTP来访问Exchange,但他不是HTTP客户。通过Outlook Express或Outlook中HTTP方式访问Exchange的客户类型,才是HTTP客户。
[注释5]假如您的防火墙支持地址映射,如ISA Server,那么您在支持POP3/IMAP4用户发送邮件的同时,仍然能够将SMTP服务器放置在其他Exchange电脑上。笔者的实现方法就是这样的。您也能够通过其他方式为POP3/IMAP4用户提供SMTP服务器。 中国.网管联盟
[注释6]尽管前端服务器上在运行IS服务,这只是为SMTP提供服务,请勿在前端服务器上存储用户信箱。
4、设计一个典型的Exchange 2000前后端构架
图1显示的是一幅典型的Exchange 2000 F/B构架图,接下来,我们就以图1网络拓扑为例,探讨一下Exchange F/B构架的配置过程。从配置角度来讲,整个过程是比较简单的,您更需要关注的是配置前端服务器后可能引发的一些相关问题。
中国.网管联盟 图1:典型的Exchange F/B拓朴图
1)基本需要:确保您现在有一个完整的Windows 2000域构架,DNS解析服务器;确保现在任何的Exchange电脑在默认方式下已正常工作;
2)被配置为前端服务器的电脑,必须安装Exchange 2000 Enterprise Server,Exchange 2000 Standard Server不支持前端
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
