Exchange支持前后端的拓扑结构,那么在Exchange安装完成后呢,默认情况下它就是一台后端服务器,所以要实现前后端服务器的拓扑结构,只要将一台Exchange服务器提升为前端服务器就可以了,需要大家注意的是Exchange的前端服务器上是没有任何的用户数据的,哪怕是在提升前上面有用户邮箱,成为前端服务器后,上面的邮箱将不能再访问.
所以我们要把一台Exchange服务器配置成前端服务器,要么这台服务器是全新的,上面本来就没有什么用户数据的,要么就得选择一台用户数据相对较少的Exchange服务器,并且要把这些用户迁移到别的Exchange服务器后才能进行配置操作,把一台Exchange服务器配置成前端服务器还是非常简单的,只是去打个勾而已,之所以我要写这篇文章,是因为一旦配置成前后端的拓扑结构呢,Exchange的很多配置方法也将会随之改变,在后面的文章里呢,我也将利用这种前后端的拓扑结构来进行配置,这一点需要跟大家事先说明一下,那么现在就正式开始这篇文章的内容了。
首先,我们来看一下在没有配置Exchange前端服务器前的一种情况,我的实验环境总共有一两台Exchange服务器,分别是EX1和EX2,EX1经过前面的几篇文章已经配置了SSL等,所以在EX2上也进行相同的配置,配置过程全部相同,这里就不再叙述了,现在所有的用户邮箱全部在EX1上面,我们现在就用其中的一个叫TOM的用户,来看一下这个用户的属性:
从上面的用户属性我们可以看得出来,“TOM”用户的邮箱保存在EX1的第一个存储组的邮箱存储上面,通过前面的文章大家可以知道,如果我们在客户端上启动IE,在地址栏里输入:http://ex1.try.com/exchnage,再输入用户凭证,那么我们就可以通过OWA的方式来访问“TOM”用户的邮箱,但是如果输入:http://ex2.try.com/exchnage,是不是也可来访问邮箱呢?我们来试一下:
这个画面大家肯定非常的熟悉,我们输入“TOM”这个用户的凭证信息,然后点“确定”:
上面两幅图非常的相近,但请大家注意我用红框标出的位置的区别,如果我们再次输入“TOM”用户的凭证信息,再点“确定”,三次以后,将出现如下画面:
由于在EX1上启用了SSL和“基于表单的身份验证”所以访问被拒绝了,如果没有启用的话,那么是可以进入邮箱的,或者用https的方式也是可以访问邮箱的,但请大家注意的是,我们通过上面几张图可以看出,我们通过http://ex2.try.com/exchange的方式来访问存在于EX1上的邮箱时,实际上EX2不是把用户的访问请求转到了EX1上,而是把整个访问连接转到了EX1上,而且转移连接后,EX2就退出了连接,也就是说没EX2什么事了,那么这种方法我们是不推荐的,首先它直接将用户数据所在的服务器位置显示了出来,而且整个操作要输入多次的凭证信息,对于用户而言,越简单越好,最好是透明的,因此前端服务器的作用就开始显示出来了,现在我们把EX2来配置成前端服务器,配置完成后,我们再来看一下和上面的访问有何区别。
转到EX2上,点击“开始—程序—Microsoft Exchange—系统管理器”:
定位到“组织—管理组—第二个管理组—服务器—EX2”,并且在“EX2”上击右键:
选“属性”:
在“这是前端服务器”前打个勾,并且点“确定”:
SSL已经配置好了,所以接下来只要将服务重启一下就可以了,如果你找不到这些服务的位置的话,那么就用个最笨的办法,点“确定”后将整台服务器重启。
这样前端服务器的配置就算是完成了,简单吧?我们现在到客户端来验证一下,打开IE,输入:https://ex2.try.com/exchange,然后回车:
我们输入“TOM”用户的凭证信息,然后点“登录”:
大家可以看到,能够访问“TOM”的邮箱,尤其请大家注意的是我用红框标出的地址栏,里面的地相是EX2而不是EX1,这是配置了前端服务器才能达到的效果,说明把EX2配置成前端服务器后转发的是请求而不是连接。那么配置前后端的服务器拓扑结构有什么用呢?主要有以下几点的好处:
1、 安全。从上面的例子中大家可以看出,用户根本不知道“TOM”的邮箱上保存了EX1上的,因为所有的访问从表面上看都是在访问EX2的,这样就达到了保密的效果,而且退一步讲,就算是EX2被黑客进入,里面也没有任何的用户数据,哪怕是遭到灾难性的破坏也是没有什么关系的,对企业数据不会造成任何的影响;
2、 方便。如果你的组织里面的多台Exchange服务器,不同的用户邮箱保存在不同的Exchange服务器上,那么你必须对不同的用户告诉他们应该去访问不同的服务器,这是一个非常繁琐的工作,而且当你对其中一台Exchange服务器进行维护时,你不得不在对被维护的Exchange服务器上的用户邮箱迁移后,要及时的通知他们应该去访问另外一台服务器,而且维护完成后,再迁回邮箱,然后还得去通知他们可以访问以前的Exchange服务器,这样的操作会让你的用户抱怨不已,而前后端服务器拓扑架构可以避免这种情况的出现,你只需要将前端服务器告诉用户就可以了。
3、 减负。由于用户发出请求后,前端服务器会自动的判断用户请求邮箱所在的Exchange服务器,然后再把数据返回给用户,这样呢其实就是两台服务器一同在为用户服务,就起到了减轻后端服务器的效果。
前后端服务器的配置到这里算是完成了,但是我们的工作还没有完,因为我们需要的是前后端服务器能够进行一种安全的通信,但是令我们感到非常遗憾的是Exchange前后端服务器这间是不支持SSL的,那么可能有些朋友会提出来,我在前后端之间架个防火墙,行不行?回答是肯定的,行,而且从安全通信这个角度上来讲,这也是微软推荐的方法,但是我试用之后觉得有以下二个缺点:
1、 费用。这个我想谁都知道,买防火墙是要钱的,企业级的防火墙和我们一般家里的电脑上装的什么软件防火墙是有区别的,尤其是价格上的差异是足以让人大吃一惊的,而且IT部门在大部份公司里都属性后勤部,并不是直接产生效益的,所以大部份的老板在IT投资方面都是很小器的,能省则省,最好不要钱。
2、 配置。我们知道Exchange是依赖于活动目录的,它会经常的向活动目录发出查询,所以如果把前端服务器放在防火墙的外面的话,那么你就要在这个防火墙上开设大量的端口,整个配置过程还是比较麻烦的。
那么有没有不花钱,而且配置方便的方案呢?有,IPSEC,当然,安全性肯定是要差一些的,如果安全性和防火墙一样的话,那防火墙还有人买吗?这世上哪有这种好事?所以这种方法只适合于一些中小型企业,或者是安全性的要求不是非常高的企业,接下来,我们就来看一下整个配置的过程:
我们先转到前端服务器,也就是EX2上面,我们点击“开始—运行”,输入:mmc,然后回车:
点“文件—添加/删除管理单元”:
点“添加”:
找到“IP安全策略管理”,然后点“添加”:
选择“本地计算机”,点“完成”,再用相同的办法添加一下“IP安全监视器”,然后退出:
在“IP安全策略”上击右键:
选择“管理IP筛选器表和筛选器操作”:
点“添加”:
我们把“名称”改为“swg”,然后把“使用添加向导”前的勾去掉,最后再点一下“添加”:
在上图中“源地址”不用改,默认就是“我的IP 地址”,我们把“目标地址”改成:“一个特定的IP地址”,并且把“IP地址”改成“192.168.5.10”,这个地址就是我们的Exchange后端服务器的IP的地址,大家根据自己的实际情况输入,不要乱写啊。然后我们再点一下“协议”:
在“选择协议类型”里选择“TCP”,并且在“到此端口”中输入:80,因为HTTP用的就是80端口,然后点“确定”退出:
我们可以看到刚刚创建的“IP筛选器”,确认无误后,点“确定”,退出到控制台,在控制台上再在“IP安全策略”上击右键:
选择“创建IP安全策略”:
点“下一步”:
在名称里输入“swg”,然后再点“下一步”:
把“激活默认响应规则”前的勾去掉,然后点“下一步”:
点“完成”:
点“添加”:
点“下一步”:
保持默认,点“下一步”:
点“下一步”:
选择刚刚添加的“swg”,然后点“下一步”:
选择“请求安全(可选)”,点“下一步”:
这里用于选择身份认证的方式,由于我们的前后端服务器在同一个域中,所以选择“AD默认值”,点“下一步”:
点“完成”:
确认这条新规则无问题后,点“确定”:
点“确定”退出。最后我们在新规则上击右键:
点一下“指派”:
前端服务器的配置就到此完成了。
接下去,我们转到后端服务器,也就是EX1上,用同样的方法把“IP安全策略管理”添加到MMC控制台,在“客户端(仅响应)”上击右键:
点一下“指派”,以便让策略起作用。接下来我们再来做一个简单的验证,我们在EX2上打开IE,用OWA的方法通过访问EX2来访问位于EX1上的邮箱,方法和我们在客户端上是没有什么区别的,然后我们再打开EX2的“IP安全监视器”,依次展开“服务器—主模式—安全关联”:
我们可以看到安全关联已经建立,由此说明EX1和EX2之间的通讯已经基于我们刚刚建立的安全策略了。
好了,关于Exchange服务器前后端的拓扑和基本IPSEC安全通信的前后端连接,我就写到这儿了,如果文章中有什么错误的地方,欢迎大家来信指正,E-Mail:hzswg@sohu.com。
