Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:
Придерживаясь предыдущих статей, мы должны были улучшить наше оборудование, и сейчас у нас есть все почтовые ящики, которые были созданы в лесе ресурсов, используя возможность связанных почтовых ящиков. В этой статье мы охватим клиентскую сторону работы. Это означает, что мы будем настраивать оборудование на поддержание клиентского доступа, вроде OWA, Outlook 2007 и Outlook 2003. Просто для освежения памяти на Рисунке 1 показано все наше оборудование, каким оно должно быть после первых двух статей.
Рисунок 1. Леса аккаунтов и лес ресурсов Exchange Server 2007 со всеми почтовыми ящиками.Настройка конфигурации DNS
В этой статье мы настроим наши клиенты, вроде OWA, Outlook 2007 и Outlook 2003, для работы с оборудованием леса ресурсов. Перед началом установки сертификатов и изменений Active Directory, мы должны создать следующие записи в зоне msexchange.local в лесу ресурсов.
- Autodiscover.msexchange.local, указывающую на сервер CAS.
- Mail.msexchange.local, указывающую на сервер CAS.
Создание сертификата в лесу ресурсов
Сначала мы должны создать сертификат для нашего оборудования. У нас есть несколько возможностей: взять действующий сертификат или использовать сертификат, созданный внутренним CA(Certification Authority — центр сертификации). Мы должны выбрать, будет ли этот сертификат служебным, или он будет использовать субъектные альтернативные имена, где мы можем группировать некоторые имена в одном и том же сертификате. В этой статье мы создадим внутренний сертификат, использующий субъектные альтернативные имена, после чего мы запросим сертификат, используя следующий синтаксис:
New-ExchangeCertificate –GenerateRequest –Path
Рисунок 2. Генерирование запроса через Exchange Management Shell, используя альтернативные субъектные имена.Теперь откройте только что созданный файл и скопируйте содержимое, используя Ctrl+C. Откройте Web-браузер и введите следующий адрес: http://CA-Server-Name/certsrv, щелкните на ссылку Request Certificate (Запрос сертификата), затем на Advanced certificate request(Запрос усовершенствованного сертификата), щелкните на вторую опцию, после чего увидите Submit a certificate request using a base 64-encoded CMC. (Предложить запрос сертификата, используя базовую 64-битную CMC). На новой странице вставьте содержимое буфера, используя Ctrl+V в первом окошке, затем щелкните на Submit. На следующем экране будет страница, информирующая вас, что сертификат был выпущен, затем щелкните на Download Certificate (Загрузить сертификат), и сохраните его на диск. Теперь вернемся к Exchange Management Shell, и выполним следующую команду: Import-ExchangeCertificate –Path
Рисунок 3. Импорт сертификата через Exchange Management ShellДля включения exchange сертификата для типа OWA наберите:
Enable-ExchangeCertificate
Теперь у нас есть новый сертификат, принимающий некоторые имена, такие как mail.msexchange.local и autodiscover.msexchange.local.
Настройка Trust Root Validation в лесу аккаунтов
Мы только что установили новый сертификат для леса ресурсов, но если клиенты леса аккаунтов попробуют получить доступ к OWA или WebServices в лесу ресурсов, они получат всплывающее окно, предупреждающее, что сертификат недействителен. Для решения этой проблемы мы можем добавить центр сертификации леса ресурсов в Trusted Root Certification Authorities(Доверяемые корневые центры сертификации) в лесу аккаунтов.
Мы вынуждены повторять все эти шаги в каждом лесу ресурсов. Из леса ресурсов войдите на сайт центров сертификации леса ресурсов, введя http://servername/certsrv, затем щелкните на Download a CA Certificate, certificate chain, or CRL.
Рисунок 4. Загрузка цепи сертификатов центров сертификации из леса ресурсов.На следующей странице щелкните на Download Certificate CA Chain и сохраните файл на диск. Теперь мы должны опубликовать эту цепь сертификатов для наших клиентов. Войдя в Domain Controller (Контроллер домена), щелкните на Star(Пуск)t, Programs(Программы), Administrative Tools(Средства администрирования), а затем щелкните на Domain Security Policy(Политика безопасности домена).
Разверните Computer Configuration(Конфигурация компьютера), Windows Settings(Настройки Windows), Security Settings(Настройки безопасности), Public Key Policies(Политики открытого ключа). Щелкните правой кнопкой мыши на Trusted Root Certification Authorities, и затем щелкните на Import… (Рисунок 5).
Рисунок 5. Опубликование цепи сертификатов из леса ресурсов в лесу аккаунтов.Появится новый мастер, щелкните на Next(Далее), во второй части укажите файл цепи сертификатов, который мы только что загрузили на предыдущем шаге, и щелкните Next а в третьем экране щелкните снова Next, а затем Finish.
Теперь все рабочие станции в лесу аккаунтов будут знать центр сертификации сертификатов, используемых OWA в лесу ресурсов. Теперь они будут использовать Web-службы без предупреждений безопасности.
Пользовательская работа в OWA
А теперь давайте войдем в OWA с рабочей станции, принадлежащей лесу аккаунтов APatricio’s, по адресу https://mail.msexchange.local/owa сервера, находящегося в лесу ресурсов. В OWA мы должны использовать домен и имя пользователя в формате ДОМЕН/Пользователь, и ввести пароль леса аккаунтов. Затем щелкните на Log on(Рисунок 6).
Рисунок 6. Вход в OWA в лесу ресурсов.После входа мы можем создать новое сообщение и щелкнуть на поле To:, после чего мы увидим наш почтовый ящик из нашего леса и также из другого леса аккаунтов в том же GAL(Global Address List — Глобальный список адресов), потому что все почтовые ящики располагаются в одной и той же организации exchange (Рисунок 7).
Рисунок 7. GAL леса ресурсов содержит почтовые ящики из обоих лесов.Изменение атрибутов пользователя в лесу аккаунтов
Так, а теперь наша задача состоит в том, чтобы улучшить инфраструктуру таким образом, чтобы Outlook 2007 и Outlook 2003 можно было легко подключить к лесу ресурсов. Для достижения этой цели давайте настроим инфраструктуру.
Outlook 2007 использует службу автообнаружения для автоматического конфигурирования настроек клиента, но нам нужно изменить некоторые настройки в сценарии леса ресурсов, чтобы можно было воспользоваться этой возможностью. Во-первых, все пользователи, у которых есть почтовые ящики, в лесу ресурсов должны иметь атрибут mail в Active Directory, заполненный корректным адресом леса ресурсов (адрес smtp).
Есть три варианта для выполнения задачи: вручную вводить почтовую информацию для каждого пользователя, создать скрипт для изменения этого значения или использовать Windows PowerShell для изменения стиля Exchange 2007. Конечно же, мы предпочитаем решение с PowerShell. Поэтому давайте загрузим средство ActiveRoles Management Shell от Quest Software (www.quest.com) и установим административную машину, в которой должна быть установлена среда PowerShell. Теперь давайте сделаем почтовый атрибут для всех пользователей на их корректный адрес электронной почты, используя следующие команды:
Get-QADUser | ForEach-Object { Set-QADuser $_.Name -ObjectAttributes @{mail = $_.Name + 'msexchange.local' } }
Теперь мы можем видеть почтовый атрибут пользователей леса аккаунтов с правильными настройками (Рисунок 8).
Рисунок 8. Атрибут mail, только что измененный с помощью PowerShell Tool.Но почему мы должны делать все это? Потому что первый экран Outlook 2007 проверяет атрибуты пользователя и почты в Active Directory, после чего Outlook 2007 будет использовать службы автообнаружения.
Настройка Outlook 2007
Мы только что установили сертификаты и почтовые атрибуты для пользователей, теперь мы можем запустить Outlook 2007 для проверки наших настроек в инфраструктуре.
Нужно всего лишь запустить Outlook 2007 на рабочей станции леса аккаунтов, убедившись, что эта рабочая станция является доменом и имеет доступ к autodiscover.msexchange.local. Первый экран мастера будем заполнен именем пользователя и почтовым атрибутом, который мы только что изменили с помощью Power Shell (Рисунок 9).
Рисунок 9. Информация вводится автоматически, упрощая работу пользователя.После этого Outlook 2007 свяжется со службой автообнаружения и получит всю информацию, необходимую для настройки клиента. Ожидаемый результат показан на Рисунке 10.
Рисунок 10. Настройка Outlook 2007 без участия пользователя в процессе ввода какой-либо информации.А теперь просто взглянем на закулисную работу, для чего откроем файлы журнала Virtual Directory IIS, где расположена служба Autodiscover, и просмотрим записи журнала с нашего клиента.
Рисунок 11. Проверка доступа службы Autodiscover из леса аккаунтов.И, наконец, мы можем открыть клиент Outlook 2007 и мельком взглянем на список GAL с пользователями всех лесов аккаунтов (Рисунок 12).
Рисунок 12. Список GAL, включающий всех пользователей лесов аккаунтов.Настройка Outlook 2003
Самую легкую часть статьи — настройку Outlook 2003 — я оставил на конец. Нам нужно всего лишь установить серверное имя в конфигурации профиля, указывающее на сервер Exchange леса ресурсов (Рисунок 13).
Рисунок 13. Настройка Outlook 2003 на Exchange Server 2007 в лесу ресурсов.Заключение
В этой последней статье мы всего лишь увидели, как настроить лес ресурсов так, чтобы он был полезен для клиентской стороны, т.е. для OWA, Outlook 2007, использующем службу AutoDiscover и для Outlook 2003.
Дополнительная информация:
Настройки групповой политики открытых ключей
Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:
