Использование конфигураций с интерфейсным и основным серверами для мобильного и Интернет-доступа

При установке Exchange Server 2003 компоненты Outlook Web Access и Outlook Mobile Access настраиваются автоматически.
Благодаря этому их легко использовать, но для более эффектив ного администрирования этих механизмов необходимо знать некоторые важные принципы. В этом разделе эти принципы объясняются.

Использование Outlook Web Access и Outlook Mobile

Access совместно с виртуальными серверами HTTP Outlook Web Access, Outlook Mobile Access и виртуальный сер вер HTTP устанавливаются автоматически одновременно с Exchange Server 2003. В большинстве случаев, чтобы пользо ватели получили доступ к данным Exchange, достаточно от крыть соответствующие порты в межсетевом экране. Затем вы просто сообщаете пользователям URL, который им следует ввести в браузере. После этого пользователи могут работать с Outlook Web Access или Outlook Mobile Access, находясь за пределами офиса. URL для Outlook Web Access и для Outlook Mobile Access отличаются. Обычно URL для Outlook Web Access имеет вид http://yourmicrosoft.com/exchange, a URL для Outlook Mobile Access — http://yourmicrosoft.com/oma.
Можно настроить Outlook Web Access и Outlook Mobile Access для односерверной и многосерверной среды. В первом случае для всех задач обмена сообщениями используется один сервер. При этом виртуальный сервер HTTP, применеямый Outlook Web Access и Outlook Mobile Access, настраивается непосредственно на сервере Exchange, и изменять какие-либо параметры не требуется.
В случае многосерверной среды для различных задач обме на сообщениями используются различные серверы (Рис. 16-1).
Например, виртуальный сервер HTTP, применяемый для Outlook Web Access и Outlook Mobile Access, и серверы для протоколов Simple Mail Transfer Protocol (SMTP), Internet Message Access Protocol 4 (IMAP4) и Post Office Protocol 3 (РОРЗ) могут быть размещены на разных машинах. Для оп тимальной работы Outlook Web Access и Outlook Mobile Access в многосерверной среде следует назначить интерфей сный (front-end) сервер Exchange. Интерфейсный — это сер вер, на котором выполняется виртуальный сервер HTTP; к нему подключаются пользователи, когда они хотят работать с Outlook Web Access или с Outlook Mobile Access.

Рис. 16-1. Можно настроить Outlook Web Access и Outlook Mobile Access для работы в односерверной и многосерверной среде; эти технологии обеспечивают пользователям, работающим вне офиса, доступ через Интернет или с помощью беспроводной связи

Настройка интерфейсных и основных серверов в многосерверной организации

Если Outlook Mobile Access и Outlook Web Access работают в многосерверном окружении, Microsoft рекомендует сценарий использования интерфейсных (front-end) и основных (backend) серверов. В этой конфигурации интерфейсные серверы обрабатывают запросы клиентов и устанавливают соединения.
Когда соединение установлено, интерфейсный сервер приме няет упрощенный протокол доступа к каталогам (Lightweight Directory Access Protocol, LDAP) для обращения к Active Directory и определения основного сервера, на котором нахо дится требуемый почтовый ящик или общая папка. Затем ин терфейсный сервер передает запрос соответствующему основ ному серверу. Когда ответ готов, интерфейсный сервер пере дает ответ основного сервера клиенту.
Кроме того, если используется протокол безопасных соеди нений (Secure Sockets Layer, SSL), интерфейсный сервер отве чает за шифрование и дешифрование сообщении. Это означа ет, что интерфейсный сервер дешифрует запрос клиента, преж де чем доставить его основному серверу, а затем шифрует от вет основного сервера перед отправкой его клиенту.
СоветХотя основное Вниманиев этой главе уделяется виртуальным серверам HTTP, интерфейсные серверы мо гут работать также с SMTP, POP3 и IMAP4. Чтобы обеспе чить возможность обработки этих протоколов, достаточно настроить использование клиентами интерфейсного серве ра, а не основного сервера, на котором настроены эти про токолы. Интерфейсный сервер обращается к Active Directory, чтобы определить, куда следует направить запросы.
Как вы, наверное, уже догадались, стратегия использования интерфейсных/основных серверов имеет ряд достоинств:

• интерфейсный сервер позволяет обрабатывать подключе ния и выполнять поиск в каталоге, благодаря чему снижа ется нагрузка на основные серверы;

• интерфейсный сервер позволяет шифровать и дешифровать SSL-сообщения, что также снижает нагрузку на основные серверы;

• интерфейсный сервер позволяет направлять запросы на различные основные серверы, благодаря чему облегчается настройка клиентов в крупных организациях.
Вот как выполняется стандартная настройка конфигурации интерфейсных/основных серверов.
1. Установите Exchange Server 2003 на основные серверы и затем настройте необходимые для них хранилища данных и виртуальные серверы.
2. Создаете пользовательские почтовые ящики и общие пап ки в хранилищах данных на основных серверах.
3. Установите Exchange Server 2003 на интерфейсные серве ры. Можно разместить эти серверы за межсетевым экраном организации, как это описано в этой главе в разделе «Ис пользование Outlook Web Access и Outlook Mobile Access совместно с межсетевыми экранами».
Затем с помощью System Manager определите интерфейс ные серверы.
1. Запустите System Manager. Если административные груп пы разрешены, разверните административную группу, где находится сервер, который вы хотите использовать.
2. Разверните Servers . Щелкните правой кнопкой тот сервер, который вы хотите назначить в качестве интерфейсного и затем выберите Properties.
3. Установите флажок This is a front end server на вкладке General и щелкните ОК.
4. Перезапустите интерфейсный сервер. Повторите пункты с 1 по 3 для других интерфейсных серверов.
5. Для завершения конфигурирования настройте клиенты для подключения к интерфейсным серверам. После этого ин терфейсные серверы станут выполнять в организации роль прокси-серверов.

Использование Outlook Web Access и Outlook Mobile Access совместно с межсетевыми экранами

Outlook Web Access и Outlook Mobile Access можно использо вать совместно с межсетевыми экранами. Если вы создаете кон фигурацию с окружающей сетью (perimeter network), применяя межсетевые экраны перед интерфейсным сервером, вам подой дет конфигурация, аналогичная показанной на

Рис. 16-1. В этом случае настройку Outlook Web Access и Outlook Mobile Access следует выполнять так.
1. Установите окружающую сеть и межсетевые экраны (бранд мауэры) организации. Откройте порты 80 и 443 для IP-ад реса интерфейсного сервера.
2. Установите Exchange Server 2003 и настройте сервер в ка честве интерфейсного, предоставляющего сервисы Outlook Web Access и Outlook Mobile Access.
3. Интерфейсный сервер осуществляет подключения к основ ным серверам и к серверу глобального каталога организа ции, который предоставляет информацию, необходимую для входа в систему и для поиска в каталоге.
ПримечаниеЕсли используется SSL, причем вы хотите, чтобы все Web-браузеры применяли исключительно SSL, то не обязательно открывать порт 80 в межсетевом экране ок ружающей сети. Однако необходимо открыть порт 80 в меж сетевом экране организации.
Можно также конфигурировать окружающую сеть так, как показано на Рис.нке 16-2. В этой конфигурации интерфейсный сервер располагается внутри окружающей сети, кроме того, установлен межсетевой экран перед ним и за ним. Вот как на строить Outlook Web Access и Outlook Mobile Access при та кой конфигурации.
1. Установите межсетевой экран окружающей сети и межсе тевой экран организации. Откройте в межсетевом фильтре, подключенном непосредственно к Интернету, порты 80 и 443 для IP-адреса интерфейсного сервера.

Рис. 16-2. Входной сервер может быть расположен внутри окружающей сети, причем межсетевой экран установлен перед ним и за ним

2. Установите Exchange Server 2003 и настройте сервер в ка честве интерфейсного, предоставляющего сервисы Outlook Web Access и Outlook Mobile Access .
3. Интерфейсный сервер осуществляет подключения к основ ным серверам и к серверу глобального каталога организа ции, который предоставляет информацию, необходимую для входа в систему и для поиска в каталоге. В межсете вом фильтре организации откройте порт 80 для IP-адресов основных серверов. Затем откройте порты 389 и 3268 для IP-адреса сервера глобального каталога.

ПримечаниеКак и в предыдущем случае, если использу ется SSL, причем вы хотите, чтобы все Web-браузеры при меняли исключительно SSL, то не обязательно открывать порт 80 в межсетевом экране окружающей сети. Однако необходимо открыть порт 80 в межсетевом экране органи зации.