MicrosoftExchangeServer2003與Exchange2000Server前端及後端伺服器拓撲手冊MicrosoftCorporation發行日期:2006年12月12日作者:ExchangeServer說明文件小組摘要此手冊將討論ExchangeServer前端及後端伺服器的結構與拓撲.
有任何意見請將您的意見以英文書寫並寄到exchdocs@microsoft.
com.
ContentsExchangeServer2003和Exchange2000Server的前端和後端伺服器拓樸指南9ExchangeServer2003與Exchange2000Server的前端與後端拓撲簡介9假設知識10前端與後端架構的新ExchangeServer2003功能10Kerberos驗證10RPCoverHTTP10ExchangeServer2003版本10表單型驗證11OutlookWebAccess版本支援11前端和後端拓撲概觀12前端與後端拓撲的優點13單一命名空間13卸載SSL加密與解密14安全性14改進的公用資料夾存取和功能14增強IMAP存取公用資料夾的功能14支援多種通訊協定14前端和後端拓撲運作方式15與網際網路資訊服務整合15周邊網路中的遠端程序呼叫15DSAccess依存性16前端伺服器上的系統服務員16支援POP和IMAP用戶端17POP和IMAP用戶端的驗證17IMAP存取公用資料夾18針對POP與IMAP用戶端執行SMTP18支援HTTP存取19尋找使用者信箱19登入OutlookWebAccess20簡化OutlookWebAccess的URL21啟用「變更密碼」功能21尋找公用資料夾22如何簡化OutlookWebAccessURL26開始之前26程序26相關資訊26HTTP的驗證機制27雙重驗證27通過驗證27驗證方法28用戶端到前端伺服器驗證28基本驗證28表單型驗證29前端到後端驗證29整合式驗證29基本驗證29使用者登入資訊30Exchange前端和後端拓撲的遠端程序呼叫(RPC)30將Exchange前端伺服器放置於缺乏RPC存取的周邊網路中導致的遺失功能30部署前端和後端拓撲時的考量31請勿叢集前端伺服器31建議的伺服器設定及比率31負載平衡31減少虛擬伺服器建立32在前端與後端拓撲使用防火牆32連接埠篩選33來源連接埠與目的連接埠33TCP連線的方向33IP篩選33應用程式篩選33協助維護通訊的安全:用戶端到前端伺服器34在前端和後端拓撲中設定SSL34SSL加速卡35SSL卸載35表單型驗證36使用SSL卸載時如何啟用表單型驗證36開始之前36程序36如需詳細資訊37維護通訊安全:前端到其他伺服器37IP安全性(IPSec)37IPSec通訊協定37IPSec原則38IPSec搭配防火牆和篩選路由器38ServicePack:升級前端及後端伺服器39OutlookWebAccess的升級考量39部署前端和後端拓撲的案例40周邊網路中的進階防火牆40案例41設定指示41討論42問題42如何在周邊網路中有進階防火牆的環境下設定前端與後端拓撲43開始之前43程序44防火牆後的前端伺服器44案例45設定指示45討論45如何在防火牆背後設定前端伺服器的前端和後端拓撲46開始之前46程序46具有防火牆的Web伺服陣列47案例47設定指示48討論48問題48如何利用防火牆後面的Web伺服陣列設定前端與後端拓撲48開始之前49程序49周邊網路中的前端伺服器49案例50設定指示50討論50問題50如何在周邊網路中有前端伺服器的環境下設定前端和後端拓撲51開始之前52程序52如需詳細資訊52設定Exchange前端伺服器52如何指派前端伺服器52開始之前52程序53相關資訊53建立HTTP虛擬伺服器54如何建立虛擬伺服器54程序54設定驗證55如何設定前端伺服器上的驗證55開始之前55程序55設定前端伺服器以假設預設網域56設定ExchangeServer2003的表單型驗證56如何設定前端伺服器以假設預設網域57開始之前57程序57如何設定ExchangeServer2003的表單型驗證58開始之前58程序58允許使用電子郵件地址作為登入使用者名稱58如何允許使用電子郵件地址作為登入使用者名稱59開始之前59程序59停用不必要的服務59URLSCan與IIS鎖定精靈60中斷與刪除公用及信箱儲存區62設定網路負載平衡62設定安全通訊端層62如何為POP3、IMAP4和SMTP設定SSL62程序63如何為HTTP設定SSL63程序63如需詳細資訊63在前端伺服器設定SMTP64內部網域的郵件64外部網域的郵件64為周邊網路設定DSAccess64停用NetLogon檢查65停用目錄存取Ping65指定網域控制站與通用類別目錄伺服器65如何停用前端伺服器上的NetLogon檢查66開始之前66程序66如何停用目錄存取Ping66開始之前66程序67主控多個網域67方法一:建立額外虛擬伺服器68方法二:建立額外虛擬目錄69如何在ExchangeServer2003的HTTP虛擬伺服器之下新增虛擬目錄69程序70如需詳細資訊70如何建立虛擬目錄70程序71設定後端伺服器71在後端伺服器上設定驗證72在後端伺服器建立及設定HTTP虛擬伺服器72方法一:設定額外的虛擬伺服器72方法二:建立額外的虛擬目錄73如何在後端伺服器設定額外的虛擬伺服器73開始之前73程序73設定防火牆74設定網際網路防火牆74設定ISAServer75設定內部網路防火牆75在周邊網路的進階防火牆伺服器75在周邊網路的前端伺服器76基本通訊協定76ActiveDirectory通訊77網域名稱服務(DNS)77IPSec78遠端程序呼叫(RPC)78停止RPC流量79限制RPC流量79前端及後端拓撲檢查清單80前端與後端拓撲疑難排解84疑難排解工具84一般疑難排解步驟84登入失敗85疑難排解OutlookWebAccess85Copyright86ExchangeServer2003和Exchange2000Server的前端和後端伺服器拓樸指南MicrosoftExchangeServer2003和MicrosoftExchange2000Server支援在前端與後端伺服器之間,使用可以分配伺服器工作的伺服器架構.
在這個架構中,前端伺服器接受來自用戶端的要求,並以代理的方式傳送到適當的後端伺服器進行處理.
本指南討論ExchangeServer2003和Exchange2000Server支援前端與後端伺服器架構的方式.
同時也包含幾個前端與後端案例與組態的建議.
附註:下載《MicrosoftExchangeServer2003與Exchange2000Server前端及後端伺服器拓撲手冊》進行離線列印或閱讀.
ExchangeServer2003與Exchange2000Server的前端與後端拓撲簡介MicrosoftExchangeServer2003和MicrosoftExchange2000Server支援在前端與後端伺服器之間,使用分配伺服器工作的伺服器架構.
在這個架構中,前端伺服器接受來自用戶端的要求,並以代理的方式傳送到適當的後端伺服器進行處理.
本指南討論ExchangeServer2003和Exchange2000Server支援前端與後端伺服器架構的方式.
本指南也說明幾個前端與後端案例,並提供設定的建議.
附註:前端伺服器是經過特別設定、執行ExchangeServer2003或Exchange2000Server軟體的伺服器.
後端伺服器是具有標準設定的伺服器.
沒有特定設定選項用以指定伺服器作為後端伺服器.
「後端伺服器」指的是在前端伺服器引入組織之後,所有在組織中非前端伺服器的伺服器.
重要事項:本指南中的資訊適用於ExchangeServer2003或更新版本,以及Exchange2000Server搭配ServicePack3(SP3)或更新版本.
所以,如果您正在執行更早的版本,請升級到ExchangeServer2003或Exchange2000Server搭配ServicePack3(SP3)以充分利用本指南說明的功能.
假設知識您應該瞭解MicrosoftOfficeOutlookWebAccess、OutlookMobileAccess、ExchangeActiveSync、RPCoverHTTP、超文字傳輸通訊協定(HTTP)、簡易郵件傳送通訊協定(SMTP)、郵局通訊協定第3版(POP3)、標準Exchange部署中的網際網路訊息存取通訊協定第4rev1版(IMAP4),以及基本Exchange2000Server與MicrosoftWindowsInternetInformationServices(IIS)觀念.
前端與後端架構的新ExchangeServer2003功能ExchangeServer2003建置在前端與後端伺服器架構,並新增新功能與能力,例如RPCoverHTTP通訊,讓使用者可利用Outlook2003用戶端從網際網路存取他們的Exchange資訊.
此外,標準版本的ExchangeServer2003可以讓您將伺服器設定為前端伺服器.
Kerberos驗證ExchangeServer2003的新功能是可以讓Exchange前端伺服器在前端與其對應的後端伺服器之間,在HTTP工作階段中使用Kerberos驗證.
雖然驗證現在使用Kerberos,但工作階段仍然使用純文字傳送.
因此,如果網路是公用或資料是機密的,建議您使用網際網路通訊協定安全性(IPSec)來保護在Exchange前端與後端伺服器之間的所有通訊.
RPCoverHTTP使用ExchangeServer2003,您現在可以使用WindowsRPCoverHTTP功能,讓執行Outlook2003的使用者可以從網際網路存取他們的公司資訊.
關於如何規劃、部署與管理此Exchange新功能的資訊,請參閱.
ExchangeServer2003版本ExchangeServer2003有兩個版本,ExchangeServer2003標準版與ExchangeServer2003企業版.
您可以設定任一版本在前端與後端伺服器架構中作為前端伺服器.
附註:Exchange2000Server只能在前端和後端設定中作為後端伺服器使用.
不過,Exchange2000EnterpriseServer可以在前端與後端設定中作為前端伺服器或後端伺服器使用.
如需Exchange2000Server和Exchange2000EnterpriseServer之間差異的更多資訊,請參閱Microsoft知識庫文件296614:.
表單型驗證ExchangeServer2003為您的OutlookWebAccess用戶端提供新的驗證功能.
有關如何啟用此功能的詳細資訊,請參閱.
OutlookWebAccess版本支援為了將OutlookWebAccess的新ExchangeServer2003版本提供給使用者,ExchangeServer2003必須同時安裝在您使用者連線的前端與後端伺服器上.
當使用者連線到Exchange2003前端與後端伺服器,他們可以充分利用下列功能的優點:表單型驗證透過OutlookWebAccess回覆及轉寄在公用資料夾的張貼在前端和後端伺服器之間的整合式驗證不同組合的ExchangeServer2003、Exchange2000Server以及MicrosoftExchangeServer5.
5決定您的使用者可以使用的OutlookWebAccess版本.
下表列出使用者可以存取的OutlookWebAccess版本,根據前端與後端伺服器所安裝的Exchange版本決定.
使用者可以使用的OutlookWebAccess版本前端伺服器後端伺服器OutlookWebAccess版本Exchange5.
5Exchange5.
5Exchange5.
5Exchange5.
5Exchange2000Exchange5.
5Exchange5.
5Exchange2003不支援Exchange2000Exchange5.
5不支援Exchange2000Exchange2000Exchange2000Exchange2000Exchange2003不支援Exchange2003Exchange5.
5不支援Exchange2003Exchange2000Exchange2000Exchange2003Exchange2003Exchange2003ExchangeServer2003版本和Exchange2000Server版本的OutlookWebAccess與ExchangeServer5.
5版本的OutlookWebAccess有很大的不同.
ExchangeServer5.
5版本的OutlookWebAccess使用ActiveServerPages(ASP),與使用CollaborationDataObjects(CDO)1.
2和MAPI的Exchange電腦通訊.
可以在同一時間存取信箱儲存區的用戶端數目,乃是依照Exchange電腦的MAPI連線數目限制.
ExchangeServer2003版本與Exchange2000Server版本的OutlookWebAccess不使用MAPI來存取信箱儲存區,而且他們不使用ASP網頁進行用戶端連線.
用戶端繼續透過超文字傳輸通訊協定(HTTP)來連線到WebAccess元件.
不過,提供OutlookWebAccess元件服務的InternetInformationServices(IIS)伺服器,使用MicrosoftExchangeStore服務來提供對使用者郵件功能的存取.
IIS接收OutlookWebAccess用戶端的要求,作為在Web用戶端與Exchange2003Server或Exchange2000Server之間郵件流量的代理.
如果伺服器包含Exchange2003資料庫,OutlookWebAccess使用高速通道來存取信箱儲存區.
如果伺服器是一個前端伺服器,OutlookWebAccess將使用HTTP傳送要求到後端伺服器.
前端和後端拓撲概觀這個主題中的圖,說明前端與後端伺服器架構的常見實作.
下圖說明一個簡單的Exchange前端和後端拓樸.
沒有進階防火牆的Exchange前端與後端伺服器架構下圖說明在網際網路與Exchange前端伺服器之間使用進階防火牆的建議案例,例如MicrosoftInternetSecurityandAcceleration(ISA)ServerwithServicePack1(SP1)與FeaturePack1.
建議的Exchange前端和後端伺服器架構前端與後端拓撲的優點透過網際網路提供員工電子郵件存取,且具有多部伺服器的組織,應該使用前端與後端伺服器拓撲.
另外,在內部網路中使用MicrosoftOfficeOutlookWebAccess、POP、IMAP與RPCoverHTTP的組織,也可因為前端與後端拓撲而受惠.
單一命名空間前端與後端伺服器架構的主要優點是可以顯示單一且一致的命名空間.
您可以定義讓使用者可存取到他們信箱的單一命名空間(例如,OutlookWebAccess的https://mail).
如果沒有前端伺服器,則每個使用者必須知道儲存他們信箱的伺服器名稱.
這會增加管理的複雜度並影響彈性,因為每次當您的組織成長或變更,以及移動某些或全部的信箱到其他伺服器時,都必須通知使用者.
使用單一命名空間,即使您新增或移除伺服器或是在伺服器之間移動信箱時,使用者仍可以使用相同的URL、POP和IMAP用戶端組態.
此外,建立單一命名空間可以確保HTTPS、POP或IMAP存取仍可隨著您組織成長而延展.
最後,因為用戶端使用SSL連線到相同的伺服器且使用相同命名空間,單一命名空間可以減少SSL加密所需的伺服器認證數目.
卸載SSL加密與解密從網際網路存取Exchange伺服器的用戶端,例如MicrosoftOfficeOutlook2003或OutlookWebAccess,應該使用安全通訊端層(SSL)連線到Exchange伺服器以避免流量遭攔截.
不過,處理SSL流量可能是伺服器的重大負擔.
前端與後端架構可以讓前端來處理SSL加密,釋放後端Exchange伺服器的處理器效能,以提升整體電子郵件效能.
另外可以使用SSL加速卡或卸載SSL加密到進階防火牆以提升效能(例如ISA2000withServicePack1與FeaturePack1).
安全性您可以在設定網際網路流量僅能連到前端的網際網路防火牆之上或之後,放置前端伺服器作為單一存取點.
因為前端伺服器並未儲存使用者資訊,所以為組織提供額外的安全性層級.
此外,前端伺服器在以代理方式傳送要求之前,會先驗證要求,所以可以保護後端伺服器免受拒絕服務攻擊.
改進的公用資料夾存取和功能前端Exchange伺服器可以提高存取公用資料夾的穩定性,因為前端伺服器知道後端伺服器的狀態,並可以使用多重轉介以存取公用資料夾的資料.
這包括系統資料,例如行事曆的空閒/忙碌資訊.
此外,在ExchangeServer2003中,前端Exchange伺服器讓您的使用者可以使用OutlookWebAccess來回覆或轉寄在公用資料夾的張貼.
沒有前端伺服器,則只能讀取公用資料夾的張貼.
增強IMAP存取公用資料夾的功能IMAP通訊協定規格允許伺服器轉介用戶端到其他伺服器.
如果在特定伺服器儲存的公用資料夾並未包含要求的內容,而用戶端必須轉介到其他伺服器,Exchange可支援使用轉介功能.
不過,用戶端必須支援IMAP轉介,但大多數的用戶端不支援轉介.
(UniversityofWashingtonPineclientandtoolkit是一個支援轉介的用戶端範例).
當一個非啟用轉介的IMAP用戶端透過前端伺服器連線時,用戶端可以存取整個公用資料夾階層,而前端伺服器本身會自動處理任何轉介.
對用戶端而言,轉介是透明的.
如需有關非啟用轉介IMAP用戶端的詳細資訊,請參閱要求建議(RFC)2221與RFC2193.
支援多種通訊協定前端和後端架構支援RPCoverHTTP、HTTP、POP及IMAP.
雖然在前端或後端伺服器上安裝SMTP沒有多大差異,您仍可在前端伺服器安裝SMTP.
附註:前端伺服器不會以代理方式傳送MAPI遠端程序呼叫(RPC)通訊協定(由非RPCoverHTTP的Outlook所使用).
Outlook的內建支援可以處理信箱在伺服器之間移動,或是伺服器中沒有可使用內容的情況.
前端和後端拓撲運作方式雖然前端伺服器的一般功能是代表用戶端電腦,代理傳送要求至後端伺服器,其實際功能取決於正在執行的通訊協定和動作.
本節討論瞭解前端及後端拓撲如何運作的必要Windows和MicrosoftExchangeServer元件.
請確定您瞭解這些元件如何在前端和後端拓撲運作,並評估修改是否會影響您的組織.
本節也說明前端和後端伺服器支援各種用戶端通訊協定的方式.
與網際網路資訊服務整合Exchange在ActiveDirectory目錄服務儲存組態資訊,而網際網路資訊服務(IIS)在Metabase儲存組態資訊.
Metabase是本機組態資料庫,由IIS所支援的通訊協定共用.
Exchange系統服務員服務定期透過Exchange系統管理員複寫在ActiveDirectory當中所做的相關組態變更到Metabase.
您可以從Metabase更新服務(MSExchangeMU)尋找事件檢視器中的項目,以得知組態複寫的時間.
若要檢視MSExchangeMU事件,請在伺服器的內容中,於[診斷記錄]索引標籤,將MSExchangeMU記錄層級設定為[最小]或更大.
周邊網路中的遠端程序呼叫如果您決定在周邊網路放置您的Exchange前端伺服器,請注意遠端程序呼叫(RPC)用於存取ActiveDirectory.
附註:建議您在周邊網路中使用進階防火牆伺服器(如ISAServer),而不是前端伺服器.
如需詳細資訊,請參閱.
網際網路資訊服務(IIS)使用遠端程序呼叫來驗證在前端伺服器的用戶端.
DSAccess依存性DSAccess是一個共用的Exchange伺服器元件,用於存取與儲存在快取中的目錄資訊.
根據如ActiveDirectory站台組態與ActiveDirectory伺服器可用性的準則,DSAccess會動態偵測其他Exchange元件應連絡的目錄伺服器.
Exchange前端伺服器使用DSAccess來決定哪個伺服器包含特定使用者的信箱、使用者物件存在的簡易郵件傳送通訊協定(SMTP)位址,以及包含公用資料夾儲存區的伺服器等等.
DSAccess使用輕量型目錄存取通訊協定(LDAP)進行大多數的作業.
不過,DSAccess仍使用RPC來呼叫每個發現網域控制站與通用類別目錄伺服器的NetLogon服務.
如果您將前端伺服器放在周邊網路,而且希望限制周邊網路與企業網路之間的RPC流量只能使用特定服務,則來自DSAccess的NetLogonRPC連線到網域控制站與通用類別目錄伺服器可能會失敗.
如果發生這種狀況,DSAccess會判斷RPC連線只是被封鎖,而伺服器仍然可以使用.
但是,DSAccess還是會繼續傳送NetLogonRPC,而這可能會影響效能.
如果要停止DSAccess繼續檢查NetLogonRPC,您可以建立一個登錄機碼.
如需有關最佳化周邊網路DSAccess的詳細資訊,請參閱.
前端伺服器上的系統服務員依照預設值,當在前端伺服器執行Exchange系統服務員時,不再需要RPC.
使用RPC的系統服務員元件已經不再載入到前端伺服器中;因此,當您指定伺服器作為前端伺服器時這些元件便停用.
下列清單簡要說明這些元件:DSProxyDSProxy服務轉介MAPI用戶端(例如MicrosoftOfficeOutlook2002)到通用類別目錄伺服器以查閱全域通訊清單.
DSProxy也允許使用舊版Outlook的MAPI用戶端存取ActiveDirectory.
前端伺服器不再執行DSProxy;因此,前端伺服器無法再決定哪個後端伺服器包含MAPI用戶端的信箱.
如此一來,您無法將MAPI用戶端指向前端伺服器,來決定使用者的後端伺服器,然後將要求路由到適當的伺服器.
附註:若要在前端伺服器啟用DSProxy以傳送MAPI用戶端要求,請如Microsoft知識庫文章319175(英文)所述,安裝Exchange2000ServerServicePack3(SP3)並建立登錄機碼.
請注意,若要接收這些轉介,用戶端必須具有RPC存取到前端伺服器.
此外,前端伺服器必須具有RPC存取到網域控制站.
收件者更新服務收件者更新服務更新目錄中的收件者,以符合通訊清單或收件者Proxy原則.
前端伺服器不再執行收件者更新服務,所以請確定您任何前端伺服器沒有指定要執行收件者更新服務.
若要這麼做,請在[Exchange系統管理員]的[收件者]下,檢查每個收件者更新服務內容,並確保在[Exchange伺服器]欄位沒有前端伺服器.
產生離線通訊錄(OABGen)OABGen建立離線通訊錄.
沒有OABGen服務,前端伺服器不再產生離線通訊錄.
群組輪詢系統服務員使用輪詢群組,以確保本機電腦維持DomainExchangeServers群組的成員身分.
系統服務員會輪詢DomainExchangeServers群組,並在本機電腦不再是成員時,將本機電腦新增回群組.
前端伺服器不再執行這個功能.
信箱管理根據在收件者原則中定義的設定,信箱管理服務啟動及停止信箱清理程序.
前端伺服器已不再執行信箱管理.
空閒/忙碌資料資訊(Madfb.
dll)空閒/忙碌資料資訊服務管理使用者排程.
前端伺服器已不再執行這個服務.
支援POP和IMAP用戶端當您使用前端伺服器時,主控信箱的伺服器主機名稱將會對使用者隱藏.
用戶端電腦連線到與前端伺服器共用的一個主機名稱.
如此一來,在伺服器之間移動使用者對使用者而言是透明的,而且不需要重新設定用戶端電腦.
登入時,POP或IMAP用戶端會傳送登入要求到前端伺服器,其中包含要存取的信箱名稱.
前端伺服器會驗證使用者,並使用ActiveDirectory來決定包含使用者信箱的後端伺服器.
前端伺服器會以代理方式傳送登入要求到適當的後端伺服器.
後端伺服器再將登入作業的結果傳回到前端伺服器,然後再將作業結果傳回給用戶端.
後續POP或IMAP命令也是以相似方式處理.
附註:SMTP必須可以使用,以允許POP和IMAP用戶端提交郵件.
您可以在前端伺服器安裝SMTP或設定另外的SMTP伺服器.
透過前端伺服器的SMTP,處理電子郵件提交的運作方式,和在其他執行Exchange的伺服器上相同.
如需關於如何在前端伺服器設定SMTP的詳細資訊,請參閱.
POP和IMAP用戶端的驗證POP和IMAP電子郵件用戶端以純文字傳送使用者和密碼資訊.
如果前端伺服器可以從網際網路存取,您應該設定SSL,讓使用者驗證資訊及資料不會以純文字方式透過網際網路傳送.
IMAP存取公用資料夾當一個非啟用轉介的IMAP用戶端連線到後端伺服器時,它僅可以存取在使用者主伺服器中具有複本的公用資料夾.
如果要存取在其他伺服器具有複本的公用資料夾,IMAP用戶端必須是可啟用轉介的.
啟用轉介的用戶端會發出特殊命令到IMAP伺服器,以建立用戶端可以使用的公用資料夾清單.
當用戶端電腦要求的公用資料夾不具有本機複本,伺服器將以轉介URL回應用戶端要求,其中包含公用資料夾的伺服器名稱.
啟用轉介的IMAP用戶端電腦稍後會建立新連線到該伺服器,以擷取適當的資訊.
但是,在前端與後端拓撲中,前端伺服器將作為啟用轉介的用戶端,所以連線到前端伺服器的IMAP用戶端不需要支援轉介;前端伺服器將為它們處理轉介.
它將直接對應非啟用轉介用戶端的要求到其轉介的對應對象,讓非啟用轉介的用戶端可以使用整個公用資料清單.
當前端伺服器接收來自後端伺服器的轉介回應時,則不會將這個回應回傳至用戶端.
相反地,前端伺服器將為用戶端遵循轉介,並連線到具有資料之適當的後端伺服器.
後端伺服器會回應要求的項目,而前端伺服器會轉送回給用戶端.
針對POP與IMAP用戶端執行SMTPPOP和IMAP通訊協定只用於接收郵件;您必須在前端伺服器設定SMTP,讓POP和IMAP用戶端可以提交郵件.
您不須在Exchange前端伺服器上執行SMTP.
但是,您可以使用其他伺服器作為專用的SMTP閘道.
重要事項:如果要在前端伺服器執行SMTP並加以啟用以接受輸入郵件(您網域的郵件),您必須在前端伺服器裝載信箱儲存區.
此信箱儲存區不應包含任何信箱.
因為任何未傳遞報告(NDR)必須透過信箱儲存區路由以進行格式化,所以您必須在前端伺服器裝載信箱儲存區.
如果要設定SMTP使POP和IMAP用戶端可以提交郵件到外部網域,您必須允許轉送.
根據預設,Exchange僅允許從已驗證用戶端而來的轉送.
建議您保留預設.
像是MicrosoftOutlookExpress6.
0與MicrosoftOfficeOutlook2003,以及之前版本的OutlookExpress與Outlook的用戶端,在傳輸層安全性(TLS)加密之外支援SMTP驗證.
您不應允許下列任一種方式的轉送:您不應允許匿名轉送至所有IP位址;如果您的前端伺服器是連線到網際網路,這樣做將使網際網路上的任何人都可使用您的伺服器傳送郵件.
您不應允許來自特定用戶端IP位址的轉送.
即使您非常熟悉傳送郵件用戶端的所在子網路,網際網路環境的仍不容易判斷此類特定的IP位址組.
附註:如果您想讓前端伺服器來當作公司與網際網路之間的Bridgehead伺服器,建議位在網際網路並接收您網域郵件的伺服器,需具有掃描輸入郵件是否夾帶病毒的能力.
附註:如需詳細資訊,請參閱Exchange技術手冊中的(ExchangeServer2003傳輸及路由手冊).
支援HTTP存取不管是由瀏覽器或特定用戶端產生,來自用戶端電腦的HTTP要求會傳送至前端伺服器.
前端伺服器使用ActiveDirectory來決定要將要求以代理方式傳送到哪個後端伺服器.
在決定適當的後端伺服器之後,前端伺服器轉送要求到後端伺服器.
除了特定的標頭資訊指出要求是從前端傳送過來,要求與原本來自用戶端的要求幾乎相同.
特別的是,符合前端伺服器名稱與接收要求主機名稱(即主機名稱或在瀏覽器中使用者輸入的網域全名)的HTTP主機標頭保留不變.
前端伺服器使用後端伺服器的主機名稱(例如,backend1)連絡後端伺服器,但是在要求中的HTTP標頭,前端伺服器傳送用戶端使用的主機標頭,例如www.
adatum.
com.
主機標頭設定可以確保適當的後端Exchange虛擬伺服器處理要求.
如需在後端伺服器設定虛擬伺服器的相關資訊,請參閱設定後端伺服器.
對於HTTP要求,前端伺服器永遠透過TCP通訊埠80(預設HTTP通訊埠)連絡後端伺服器,不管用戶端連絡前端伺服器是透過通訊埠80或443(SSL通訊埠).
這表示:在Exchange前端伺服器的HTTP虛擬伺服器僅可以接聽通訊埠80(HTTP)或443(HTTPS).
附註:Exchange前端伺服器上的HTTP虛擬伺服器只能使用通訊埠80和443,不能使用其他通訊埠.
雖然用戶端應該使用SSL加密與前端伺服器通訊,在前端和後端伺服器之間不能使用SSL加密.
HTTP虛擬伺服器與其他伺服器不同的地方在於,前端與後端拓撲中不支援的通訊埠號碼.
例如,如果後端伺服器具有一個接聽通訊埠8080的HTTP虛擬伺服器,只有在用戶端直接指向後端伺服器(例如,http://backend1:8080/data)的情形下,用戶端才可以存取該後端伺服器.
連接到前端伺服器的用戶端不能存取此資料.
通常後端伺服器會處理來自前端的HTTP要求,然後回應透過前端伺服器送回用戶端,不經任何修改.
用戶端看不到這整個過程,用戶端僅與前端伺服器互動.
用戶端不知道內部如何處理要求.
尋找使用者信箱若要提供透過HTTP存取信箱資料夾,您必須在指向信箱的Exchange前端與後端伺服器中都建立虛擬目錄.
附註:使用者信箱不能儲存在前端伺服器上.
當您安裝Exchange時,在預設虛擬伺服器中將建立名為Exchange的虛擬目錄.
這個目錄指向Exchange組織的預設SMTP網域.
當您透過Exchange系統管理員在前端伺服器設定其他虛擬目錄時,可以選取SMTP網域名稱.
在Exchange2000ServerSP3與ExchangeServer2003中,連接到該虛擬伺服器的使用者,必須在相同網域ActiveDirectory的物件上,在其SMTPProxy位址清單內具有電子郵件地址.
在ExchangeServer2003SP1中,使用者可以在URL指定SMTP位址以覆寫SMTP網域(明確登入),或只使用隱含登入.
如需相關資訊,請參閱本主題稍後的.
在選取SMTP網域的對話方塊中,網域清單是所有具有收件者原則網域的清單.
因此,您可能在清單中看到重複的項目;您選擇哪一個不是很重要.
當前端伺服器偵測到傳送至信箱儲存區中位置的要求(根據虛擬伺服器或目錄的設定),會使用輕量型目錄存取通訊協定(LDAP)連絡在網域中的ActiveDirectory通用類別目錄伺服器,並決定哪個後端伺服器包含使用者的信箱.
登入OutlookWebAccess使用者可以使用隱含或明確登入來登入OutlookWebAccess.
隱含登入如果前端伺服器設定為驗證使用者,使用者可以從要求中省略使用者名稱,並將瀏覽器指向其信箱虛擬目錄,以存取其信箱.
一般URL是https:///exchange/.
驗證使用者之後,將使用驗證資訊查閱在ActiveDirectory中使用者相關的信箱,以及信箱所在的後端伺服器.
將以使用者名稱更新URL並傳送至正確的後端伺服器.
這稱為隱含登入.
隱含登入只是用來登入OutlookWebAccess;特殊HTTP用戶端通常不使用隱含登入.
Exchange2000ServerSP3及ExchangeServer2003隱含登入使用HTTP虛擬目錄中指定的SMTP網域來識別使用者.
因此,連接到該虛擬伺服器的使用者,必須在相同網域ActiveDirectory的物件上,在其SMTPProxy位址清單內具有電子郵件地址.
ExchangeServer2003SP1隱含登入不再完全依賴指定的SMTP網域.
所有使用者資訊都可以從其登入中擷取.
使用者可以使用任何信箱Exchange虛擬目錄來存取他們的電子郵件.
明確登入使用者可以使用幾個URL來連接至OutlookWebAccess.
一般URL是https:///exchange//.
使用這個URL存取OutlookWebAccess稱之為明確登入.
如果前端伺服器並未設定為驗證使用者時(如需有關驗證的詳細資訊,請參閱HTTP的驗證機制),或是當使用者正嘗試存取不是自己的但卻能夠存取的信箱時(例如委派使用者),必須使用明確登入.
Exchange2000ServerSP3及ExchangeServer2003當前端伺服器從用戶端收到明確登入要求,會從URL擷取使用者名稱,並和虛擬目錄或虛擬伺服器關聯的SMTP網域名稱組合,以建構完整的SMTP位址.
前端伺服器將在ActiveDirectory中查閱這個位址,並決定哪一個後端伺服器具有與位址相關的信箱.
然後前端伺服器將轉送要求到後端伺服器,後端伺服器會處理要求並透過前端伺服器送回用戶端.
ExchangeServer2003SP1使用者可以選擇在URL本身中指定SMTP位址,以覆寫信箱虛擬目錄中設定的SMTP網域.
例如https:///exchange/username@domain.
com.
如果未指定任何SMTP網域,將使用來自虛擬目錄的SMTP網域.
您可以不允許特定使用者的HTTP通訊協定傳輸,以避免這些使用者存取OutlookWebAccess.
若要變更使用者在ActiveDirectory使用者及電腦中的通訊協定設定,請使用在使用者內容中的[Exchange進階]索引標籤.
簡化OutlookWebAccess的URL使用者通常會要求使用較簡單的URL以存取信箱.
如需簡化OutlookWebAccess的URL的詳細指示,請參閱如何簡化OutlookWebAccessURL.
啟用「變更密碼」功能如果您使用OutlookWebAccess,可以啟用在IIS中的「變更密碼」功能,以達成下列目的:密碼到期時提醒使用者.
讓使用者使用在OutlookWebAccess中的[選項]按鈕來變更他們的密碼.
請記住,如果要使用「變更密碼」功能,您必須同時在用戶端與前端伺服器之間使用SSL以在傳輸時保護密碼.
此外,您必須在前端伺服器和後端伺服器上,建立名為IISAdmPwd的虛擬目錄以處理「變更密碼」要求.
附註:後端伺服器上唯一需要SSL的時機,是當您想讓使用者能直接連接至後端伺服器的時候.
但是請記住,前端伺服器無法使用SSL連接到後端伺服器.
因此,如果您需要在後端伺服器使用SSL,請確定不需在下列目錄使用SSL,以便讓前端伺服器仍可以連接到這些目錄:Exchange、Public、ExchWeb、Exadmin以及任何信箱或公用資料夾虛擬根.
如需有關如何設定「變更密碼」功能的相關資訊,請參閱Microsoft知識庫文章327134.
如需如何設定SSL的相關資訊,請參閱協助維護通訊的安全:用戶端到前端伺服器.
尋找公用資料夾就像您必須設定信箱的虛擬目錄,對於每個使用HTTP透過前端伺服器存取的公用資料夾樹狀目錄,您也必須設定它們的虛擬目錄.
安裝Exchange時,在預設ExchangeHTTP虛擬伺服器之下將建立名為public的虛擬目錄,以允許存取預設(可使用MAPI存取)公用資料夾樹狀目錄.
當您建立其他公用資料夾樹狀目錄(例如為了提供應用程式服務),您必須也在Exchange系統管理員中建立虛擬目錄,以開放HTTP存取這些樹狀目錄.
在每個提供公用資料夾樹狀目錄服務的前端伺服器上,以及所有後端伺服器上,都必須存在相同的虛擬目錄.
當存取預設(或可用MAPI存取)公用資料夾樹狀目錄時,以及當存取通用公用資料夾時(亦稱為應用程式頂層階層架構[TLH]或非MAPITLH),在公用資料夾樹狀目錄中處理URL的要求方式不同.
在這兩種情況中,存取公用資料夾的目的有兩個:可用性如果資料存放於Exchange組織中某處的Exchange2000Server或ExchangeServer2003公用資料夾,而且可透過HTTP存取,則使用者就可以存取.
一致性只要伺服器可以使用而且使用者已經通過驗證,同一個公用資料夾伺服器將對該使用者提出的每個要求提供服務.
對於通過驗證的使用者,確保他們連接至相同的公用資料夾伺服器表示在每次他們透過前端伺服器存取公用資料夾樹狀目錄時,都會看到相同的資料(包括儲存在個別伺服器上,不會在公用資料夾伺服器間複寫的已讀取與未讀取郵件狀態).
對於保留工作階段狀態的伺服器應用程式,例如某些使用ActiveServerPages(ASP)開發的應用程式,使用者可以永遠連接到相同後端伺服器是非常重要的.
公用資料夾轉介在Exchange,您可以根據每個資料夾的不同設定公用資料夾複寫.
在組織中,所有Exchange公用資料夾伺服器的實際公用資料夾樹狀目錄階層都可以使用,但是每個資料夾的內容並不一定.
此資訊並不是儲存在ActiveDirectory,而是以公用資料夾儲存區中每個資料夾的內容保存.
所以,當前端伺服器選取的後端伺服器並未包含用戶端要求的資料夾內容時,即需要特別處理.
下圖說明公用資料夾轉介如何透過前端伺服器移動.
透過前端伺服器進行公用資料夾轉介1.
HTTP用戶端對前端伺服器驗證,並要求/public/PublicFolder2.
2.
前端伺服器對ActiveDirectory驗證使用者身分,並要求使用者的預設公用資料夾儲存區的位置.
3.
ActiveDirectory通知前端伺服器,使用者的預設公用資料夾儲存區是在Server1.
4.
前端伺服器將用戶端要求傳送到Server1.
5.
Server1告訴前端伺服器它並沒有/public/PublicFolder2的內容,但是Server2與Server3有.
6.
前端伺服器對含有該內容的伺服器清單(在這個案例是Server2與Server3)執行雜湊演算法.
這個案例中,最後的雜湊結果是Server2,所以前端伺服器將要求轉送到Server2.
附註:雜湊演算法套用一個指定數字(在這個案例是使用者的安全性權杖)並使用它來產生清單中的一個位置,讓清單中所有可能的輸入平均分佈.
7.
Server2傳回/public/PublicFolder2的內容到前端伺服器,它再將內容傳送至HTTP用戶端.
預設(MAPI)公用資料夾樹狀目錄當用戶端存取OutlookWebAccess的預設公用資料夾樹狀目錄時,程式嘗試維護與MAPI用戶端(如Outlook)的同位檢查.
每一個信箱儲存區都會與儲存在組織中某處的特定公用資料夾關聯(有時位於與信箱儲存區相同的伺服器,有時位於專用的公用資料夾伺服器).
與使用者信箱儲存區關聯的公用資料夾儲存區,就是在Outlook中顯示公用資料夾階層(樹狀目錄)的公用資料夾儲存區.
當使用者透過HTTP在預設公用資料夾樹狀目錄中要求公用資料夾時,前端伺服器將驗證使用者,並在ActiveDirectory中查閱使用者,以查看哪個公用儲存區與該使用者信箱儲存區關聯.
前端伺服器然後將要求轉送到使用者的公用資料夾伺服器.
請注意,如果前端伺服器不是設定為驗證使用者,對公用資料夾的要求將無法進行負載平衡.
通用公用資料夾樹狀目錄預設公用資料夾樹狀目錄伺服器因為其MAPI繼承性,故與信箱儲存區具有關聯;通用公用資料夾樹狀目錄不具有這類的關聯.
如此一來,在通用公用資料夾樹狀目錄中要求資料夾的處理方式與在預設公用資料夾樹狀目錄中要求資料夾的處理方式稍微不同.
當用戶端提出要求存取通用公用資料夾樹狀目錄,前端伺服器先連絡ActiveDirectory來尋找組織中所有正在執行Exchange2000Server或ExchangeServer2003的伺服器清單,這些伺服器具有用戶端正嘗試存取的特定通用公用資料夾樹狀目錄的複本.
附註:ExchangeServer5.
5不能使用通用公用資料夾樹狀目錄.
然後前端伺服器利用使用者的驗證權杖,對伺服器清單進行雜湊演算,來確保:在所有可以使用的伺服器中,可以對使用者進行負載平衡.
不管使用的HTTP用戶端為何,個別使用者要求永遠由相同後端伺服器處理.
附註:如果您新增或移除後端伺服器,會變更雜湊演算法的輸出,從那時起,使用者可能重新導向至不同的伺服器.
如需相關資訊,請參閱本主題稍後的.
請特別注意,這也適用於MAPI.
當後端伺服器上沒有所需內容時當後端伺服器收到一個沒有複本的公用資料夾要求,此時前端與後端拓撲有特殊的處理方式.
除了通用公用資料夾樹狀目錄中的資料夾之外,預設公用資料夾儲存區中的資料夾也會發生此處理方式.
當後端伺服器收到這種要求,會傳回具有要求資料夾內容的伺服器清單.
前端伺服器不會將此資訊傳回用戶端,而是再次對伺服器清單執行相同的雜湊演算法,以確保進行負載平衡以及一致性的檢視.
因此,對於使用部分公用資料夾樹狀目錄複本的組織,前端伺服器可能必須執行兩個HTTP要求以滿足用戶端的單一要求.
然而在處理用戶端要求的時候,前端伺服器會快取哪一個伺服器具有內容的相關資訊,以避免在未來存取相同資料夾中的資料時,產生額外要求.
前端伺服器保留的快取可以大幅降低傳送到ActiveDirectory和後端伺服器的查詢數目,不論是公用或私人資料夾存取.
快取資訊在十分鐘後會過期,並在偵測到伺服器設定變更時也會重設.
附註:因為Exchange5.
5伺服器不支援必要的HTTPWebDAV延伸,所以不能選取.
後端伺服器停機如果後端伺服器進行維護而停機,或是無法透過HTTP存取,則前端伺服器無法連接到後端伺服器.
前端伺服器會標示該伺服器「無法使用」10分鐘,如果有其他可用的伺服器,會將到其他伺服器;如果沒有其他伺服器,則要求會失敗.
在後端伺服器無法使用的時候,前端伺服器自動重新導向要求到其他伺服器.
因此,後端伺服器回到工作環境後,可能長達10分鐘都無法透過前端伺服器存取,因為前端伺服器仍將該後端伺服器標示為無法使用.
這個程序大幅增加公用資料夾存取的可靠性.
前端伺服器會嘗試向多個後端伺服器擷取資料,而直接連接至後端伺服器的使用者則不會.
新增或移除後端伺服器雜湊演算法的目標是負載平衡;但是,演算法的條件之一為使用者在伺服器間的分佈情形,取決於伺服器的數量.
所以,如果因為新增或移除伺服器,而造成提供公用資料夾內容服務的伺服器清單變更,雜湊演算法的結果可能導向使用者到新的伺服器,以備未來的要求.
通常,當伺服器處理使用者要求變更的時候,使用者不會發覺任何實質改變,除了以下狀況:使用者可能會注意到已讀取或未閱讀郵件的狀態已重設.
如果使用者在轉換期間使用會保留工作階段狀態的Web架構應用程式(在通用公用資料夾樹狀目錄中執行),則使用者可能需要重新啟動其應用程式工作階段.
因此,建議系統管理員在新增或移除資料夾內容到公用資料夾伺服器之前通知使用者.
在高層次,雜湊演算法以下列方式運作:兩個後端伺服器(編號1和2)保有公用資料夾的內容.
然後,如果六個不同使用者(A、B、C、D、E及F)嘗試存取這個資料夾中的資料,前端伺服器會分配其要求到兩部伺服器上,如下所示:使用者A、B和C從1號伺服器取得資料.
使用者D、E和F從2號伺服器取得資料.
附註:此負載平衡是看不見的—使用者不知道是哪一部後端伺服器實際處理要求.
然後加入另一部伺服器(3號伺服器),而且資料夾的內容也複寫到這部伺服器.
現在使用者如下分佈:使用者A和B從1號伺服器取得資料.
使用者C和D從2號伺服器取得資料.
使用者E和F從3號伺服器取得資料.
在此範例中,使用者A、B和D並未變更伺服器,但使用者C、E和F已經變更.
如何簡化OutlookWebAccessURL使用者通常會要求使用較簡單OutlookWebAccess的URL存取信箱.
此程序會設定傳送要求至Web伺服器(http://server/)的根目錄,以重新導向Exchange虛擬目錄.
例如,對https://mail/的要求將會導向到https://mail/exchange/,然後觸發隱含登入.
開始之前執行這個主題中的程序之前,務必先閱讀《ExchangeServer2003與Exchange2000Server前端及後端伺服器拓撲手冊》中的.
若要順利完成這個主題中的程序,請確認下列項目:前端伺服器已啟用驗證功能.
程序簡化OutlookWebAccess的URL1.
使用[網際網路資訊服務管理員],開啟[預設的網站]的內容.
2.
按一下[主目錄]索引標籤,然後選取[某個URL位址的重新導向].
3.
在[導向到]中輸入/,然後按一下[所輸入的URL下方的目錄].
例如,若要將https://mail/要求重新導向至https://mail/exchange,您要在[導向到]中輸入/exchange.
如果要使用者使用SSL存取伺服器,您可以將用戶端要求重新導向到https://mail/.
如果要求使用者使用SSL,請在[導向到]內輸入https://mail/,然後按一下[所輸入的URL下方的目錄].
這個設定明確指定伺服器的名稱.
因此,如果將用戶端要求重新導向到https://mail,則用戶端必須可解析mail這個名稱.
附註:使用者仍必須輸入包括使用者名稱在內的完整URL,才能存取收件匣以外的其他信箱或資料夾的內容.
相關資訊如需在前端伺服器啟用驗證(亦稱為隱含登入)的相關資訊,請參閱《ExchangeServer2003與Exchange2000Server前端及後端伺服器拓撲手冊》中的.
HTTP的驗證機制前端伺服器以兩種方式處理驗證:一是前端伺服器本身驗證使用者(使用基本或表單型驗證),或是以匿名方式轉送要求到後端伺服器.
任一種方式,後端伺服器都會執行驗證.
附註:當前端伺服器位在周邊網路,而且不能使用遠端程序呼叫時,前端伺服器必須進行匿名驗證.
這不是建議案例,因為前端伺服器無法封鎖使用者存取.
如需通過驗證的詳細資訊,請參閱本主題稍後的.
重要事項:強烈建議您使用雙重驗證,也就是同時在前端和後端伺服器設定驗證使用者.
如需詳細資訊,請參閱本主題稍後的.
雙重驗證根據預設,前端與後端伺服器會使用雙重驗證.
在雙重驗證中,前端和後端伺服器會同時設定為驗證使用者.
您應該設定前端伺服器盡可能執行驗證.
如果您無法在前端伺服器啟用驗證,則隱含登入無法執行,而且無法負載平衡公用資料夾的要求.
不論驗證是如何設定,您都可以使用明確登入來取得存取.
附註:Exchange依賴IIS來驗證HTTP要求.
IIS使用RPC到目錄伺服器來執行驗證.
如果在前端伺服器和目錄伺服器之間不允許RPC,則您必須使用通過驗證.
如需如何啟用通過驗證以及潛在風險的詳細資訊,請參閱本主題稍後的.
通過驗證在通過驗證中,前端伺服器設定為匿名驗證,所以不要求使用者提供授權標頭.
前端伺服器轉寄使用者的要求到後端伺服器,以要求使用者驗證.
後端伺服器的要求驗證和使用者的回應,都會透過前端伺服器路由,保持不變.
附註:當您使用通過驗證,匿名HTTP要求將直接傳送至驗證它們的後端伺服器.
您應該只有在絕對必要時才使用通過驗證.
建議策略是將進階防火牆放置在周邊網路中,並且將前端伺服器放置在內部防火牆後–這樣至內部網路有完整的RPC存取.
如果您想將前端伺服器放置在周邊網路,允許RPC比允許匿名要求連線到後端伺服器來的更安全,因為通過驗證允許來自任何來源、有效或無效的要求傳送至您的後端伺服器.
如需詳細資訊,請參閱.
使用通過驗證時,前端伺服器無法負載平衡公用資料夾的要求,因為它並沒有執行雜湊演算法所需要的驗證權杖.
此外,隱含登入無法運作.
使用者必須輸入包括他們的使用者名稱的完整URL才能登入.
驗證方法根據您正在使用的Exchange版本,前端與後端伺服器架構有許多驗證方法.
此外,相對於前端與後端伺服器之間的驗證,在用戶端與前端伺服器之間的驗證有不同的選項.
下節描述兩個驗證方法.
用戶端到前端伺服器驗證附註:前端伺服器不支援整合式Windows驗證(其中包含NTLM和Kerberos驗證)或HTTP1.
1摘要式驗證.
基本驗證基本驗證是由HTTP規格所定義的簡單驗證機制,在將使用者名稱與密碼傳送到伺服器之前,基本驗證會進行簡單的編碼.
為能在前端與後端拓撲中達到真實的密碼安全性,您應該在用戶端與前端伺服器之間使用SSL加密.
附註:Exchange2000Server與ExchangeServer2003支援基本驗證.
基本驗證不支援單一登入.
單一登入為使用者登入到執行Windows的電腦中,將對網域驗證使用者,然後使用者可以存取網域中的所有資源與應用程式,而不需要重新輸入他們的認證.
如果正在存取的伺服器已經啟用整合式Windows驗證,MicrosoftInternetExplorer4.
0版及更新的版本,會允許在Web應用程式中使用單一登入,包括OutlookWebAccess.
因為前端伺服器不支援整合式Windows驗證,所以當使用者存取HTTP應用程式時,即使他們已經使用Windows來登入,前端伺服器會永遠提示他們進行驗證,所以他們必須重新輸入認證.
但是,使用者只需要在每個瀏覽器工作階段中輸入一次認證,因為在瀏覽器處理程序中已經快取他們的認證.
重要事項:當使用資訊站時,請注意如果您沒有關閉瀏覽器並結束工作階段之間的瀏覽器處理程序,快取認證可能帶來安全風險.
發生這個風險是因為下一個使用者在存取資訊站時,快取中仍保留使用者的認證.
若要在資訊站使用OutlookWebAccess,請確定在工作階段之間,您已經關閉瀏覽器並結束瀏覽器處理程序.
否則,請考慮使用結合雙因素驗證的協力廠商產品,這類產品要求使用者必須提出實體權杖與密碼才能在資訊站使用OutlookWebAccess.
表單型驗證附註:表單型驗證僅支援ExchangeServer2003.
不過您可以在前端使用Exchange2003Server,在後端使用Exchange2000Server以利用表單型驗證的優點.
當使用者已完成初始登入,表單型驗證使用Cookie來識別使用者.
追蹤這個Cookie的使用可以讓Exchange將非作用中的工作階段設定為逾時.
然而,初始的使用者名稱與密碼仍會以純文字傳送(相似於基本驗證).
所以表單型驗證必須結合SSL加密一起使用.
如需關於設定表單型驗證的詳細資訊,請參閱在當中的一節.
前端到後端驗證前端伺服器必須連同Web要求,一起傳送使用者認證到後端伺服器,讓後端伺服器可以存取資料.
整合式驗證Exchange2003前端伺服器會使用Kerberos驗證來保護在前端和後端伺服器之間的使用者憑證.
如果Kerberos驗證失敗,會記錄警告事件,而且前端會嘗試以NTLM代替.
如果NTLM失敗,會記錄錯誤並使用基本驗證.
如果要允許前端可以使用整合式驗證,後端虛擬伺服器應該設定為允許整合式驗證(已是預設).
附註:Exchange2003與Exchange2000後端伺服器都支援來自Exchange2003前端伺服器的整合式驗證.
基本驗證前端會以代理方式傳送基本驗證認證到後端伺服器.
為保護這個資訊,強烈建議您在前端與後端伺服器之間使用IPSec.
附註:Exchange2000和Exchange2003前端伺服器支援前端和後端伺服器之間的基本驗證.
使用者登入資訊根據預設,對前端伺服器驗證使用者時,使用者必須以下列格式輸入使用者名稱:domain\username.
您可以設定前端伺服器假設預設網域,如此一來,使用者就不必記得他們的網域.
驗證的其他選項是設定使用者的使用者主要名稱(UPN).
通常使用者的UPN設定為與其電子郵件地址相同.
這可讓使用者輸入其UPN或電子郵件地址作為其使用者名稱.
如需詳細資訊,請參閱.
Exchange前端和後端拓撲的遠端程序呼叫(RPC)DSAccess已不再使用RPC來執行ActiveDirectory服務探索,然而它會使用RPC進行其他工作.
若要停用此功能,請參閱.
不過,IIS仍使用RPC來驗證在前端伺服器的要求.
因此,如果您在前端伺服器啟用驗證(我們強烈建議您這麼做),它必須能夠使用RPC.
建議的案例是讓前端在內部防火牆後面,這樣的話,不管怎樣這應都不是問題.
然而,如果您必須將前端伺服器放在周邊網路中,您必須開啟特定RPC連接埠.
如需有關在內部網路防火牆開啟RPC連接埠的詳細資訊,請參閱.
將Exchange前端伺服器放置於缺乏RPC存取的周邊網路中導致的遺失功能重要事項:本節適用於如果您在周邊網路放置Exchange前端伺服器,而且不允許RPC流量穿越內部防火牆.
具有周邊網路的公司,通常會限制周邊網路可以流向企業內部網路的流量類型.
如果RPC不能存取ActiveDirectory伺服器,前端伺服器將無法驗證用戶端.
因此,需要在前端伺服器驗證的功能(例如,隱含登入和公用資料夾樹狀目錄負載平衡)將無法運作.
可以存取公用資料夾,但前端伺服器無法將要求進行負載平衡,因為前端伺服器無法判定使用者的身份.
沒有使用者驗證的權杖,前端伺服器無法執行負載平衡雜湊演算法.
如此一來,公用資料夾的所有匿名要求都會路由傳送到相同的後端伺服器.
附註:我們建議您在周邊網路中使用進階防火牆伺服器(如ISAServer)而不是前端伺服器.
如需詳細資訊,請參閱.
附註:IMAP與POP用戶端需要SMTP以傳送電子郵件訊息.
如果您不允許RPC流量穿過內部防火牆,將無法在前端伺服器上執行SMTP來支援IMAP和POP用戶端,因為當RPC流量被阻擋時,MSExchangeIS便不會在前端伺服器上執行.
然而您可以設定另外一台伺服器執行IMAP和POP用戶端的SMTP功能.
如果不允許在周邊網路與內部公司網路之間開啟RPC連接埠,您必須使用通過驗證.
如果使用通過驗證,前端伺服器將以匿名方式傳送要求到後端,然後在後端伺服器執行驗證.
部署前端和後端拓撲時的考量當部署前端和後端拓撲,您必須考量幾個因素,包括預期負載、硬體需求、系統管理負荷、負載平衡和安全性.
下列各節會對上述因素提供更詳細的說明.
請勿叢集前端伺服器叢集Exchange前端伺服器並無法提供任何效能優勢.
前端伺服器是沒有狀態的,所以讓兩台個別的伺服器共用連線(或進行網路負載平衡)會比叢集它們,有更好的效能.
建議的伺服器設定及比率伺服器設定取決於許多因素,包括每部後端伺服器的使用者數目、使用的通訊協定,以及系統預期負載.
特定伺服器機型的設定應該諮詢硬體廠商或顧問.
通常,每四部後端伺服器配置一部前端伺服器是合理的.
然而,這個數字是建議的最低比率,而不是規定.
前端伺服器不需要大型或特別快速的磁碟儲存裝置,但應該有快速CPU與大量的記憶體.
除非您選擇啟用SMTP,否則不需要備份前端伺服器的磁碟,因為SMTP認可佇列的郵件到本機磁碟.
對於POP、IMAP和HTTP,磁碟上沒有儲存使用者資料.
如需有關前端與後端伺服器硬體需求的詳細資訊,請參閱下列技術文件:(Exchange2000前端伺服器與SMTP閘道硬體延展性指南)(Exchange2000Server後端信箱延展性)負載平衡在公司或主控的環境中,您可能希望將前端伺服器負載平衡.
Windows透過網路負載平衡(NLB)提供負載平衡.
或者,可以使用其他負載平衡機制,包括硬體負載平衡解決方案.
WindowsNLB的運作是叢集兩個或多個伺服器,這些伺服器以單一IP位址代表NLB叢集.
每個電腦會收到傳輸至其本身唯一IP位址以及共用IP位址的流量.
根據用戶端IP位址、連接埠與其他資訊,每個NLB叢集成員將執行雜湊演算法,以對應傳入用戶端到其中一個成員.
當封包到達,所有伺服器或主機將執行相同的雜湊演算法,而輸出則是其中一個主機.
該主機將回應封包.
除非NLB叢集的主機數目變更,否則對應不會變更.
NLB叢集中的每個伺服器設定必須相同,否則根據用戶端路由目的的伺服器不同,用戶端可能會遭遇不同行為.
附註:NLB沒有狀態監視;例如如果前端伺服器上WorldWideWebPublishing服務目前並未執行,NLB會一直傳送要求到那個伺服器.
您可以在前端伺服器執行MicrosoftApplicationCenter2000,以設定NLB並監視負載平衡伺服器的狀況(不過,您無法透過ApplicationCenter管理Exchange資源或複寫Exchange設定資訊).
如需有關ApplicationCenter的詳細資訊,請參閱MicrosoftApplicationCenter網站.
雖然並非必要,您應該確保每個使用者,在工作階段期間永遠是傳送到相同的前端伺服器.
這使用保持在前端伺服器上的安全通訊端層(SSL)信號交換快取及連線狀態資訊.
此外,對於表單型驗證這是必要的,因為只有發出Cookie的前端伺服器可以解密.
在NLB,這稱為「用戶端關係」.
許多硬體解決方案也具有此功能.
附註:進階防火牆伺服器可能影響NLB叢集您的前端伺服器的能力,尤其是如果它們遮罩連入用戶端的IP位址.
如需詳細資訊,請參閱產品文件或連絡您的製造商取得詳細資訊.
減少虛擬伺服器建立在某些情況下,減少在後端伺服器建立虛擬伺服器的數目是非常重要的.
除非您完全瞭解HTTP虛擬伺服器如何運作,否則不應該減少虛擬伺服器的數目.
您有兩個方法可以減少建立的虛擬伺服器.
分析每個後端伺服器的使用者和資料,來判斷使用者以後是否會被導引至該特定伺服器.
如果後端伺服器僅包含adatum.
com的信箱,該後端伺服器就不需要具有contoso.
com的虛擬伺服器.
然而如果來自contoso.
com的使用者稍後新增至該後端伺服器,則系統管理員可能需要為contoso.
com建立一個虛擬伺服器.
同樣地,您只需要為您的使用者必須存取的資源建立虛擬目錄.
在沒有公用儲存區的伺服器,則不需要公用虛擬目錄.
在前端與後端拓撲使用防火牆如果您的網路可以連線到網際網路,我們強烈建議您使用軟體或硬體防火牆解決方案.
防火牆使用連接埠篩選、IP篩選與應用程式篩選(在進階防火牆解決方案中)以控制網路流量.
有幾種選項可以整合防火牆到前端與後端拓撲中;說明這些選項.
一般而言,建議在您的拓撲中使用進階防火牆伺服器(如需使用進階防火牆的更多資訊,請參閱).
連接埠篩選最低限度來說,任何您用來保護伺服器免於網際網路攻擊的防火牆都必須使用連接埠篩選.
連接埠篩選僅允許存取傳送到特定連接埠的資訊,以限制穿越防火牆的網路流量類型.
例如,您可以開啟TCP/IP連接埠443以設定面對網際網路的防火牆只接受HTTPS流量.
下列兩個小節說明關於TCP/IP連線的兩個重要概念:來源連接埠與目的連接埠,以及TCP/IP連線的方向.
來源連接埠與目的連接埠當電腦A開啟TCP/IP連線到電腦B,會使用兩個連接埠:來源連接埠(在A電腦)與目的連接埠(在B電腦).
在電腦中初始化連線的網路堆疊通常隨機選取一個來源連接埠.
目的連接埠是指定服務所接聽的連接埠(例如,HTTPS為連接埠443).
在本手冊中,任何說明特定服務所使用的連接埠指的是目的連接埠.
TCP連線的方向當您開啟防火牆連接埠,大部分的防火牆要求您必須指定連線的方向.
例如,如果要允許前端伺服器連向後端伺服器,您必須為HTTP流量開啟連接埠80.
但是,後端伺服器從不初始化連到前端伺服器的新TCP/IP連線;它們只回應由前端初始化的要求.
因此在您的防火牆,您只需要啟用允許來自前端到後端的HTTP連接埠80連線.
在本手冊中,這樣的連線稱為「輸入」(換句話說,連線是輸入到公司網路).
IP篩選許多防火牆解決方案也支援IP篩選.
IP篩選讓您可以限制穿越防火牆到特定伺服器的流量,以加強防火牆的可靠性.
例如,在周邊網路中,您可能想要設定DSAccess使用特定網域控制站與通用類別目錄伺服器,然後再使用IP篩選來確保前端伺服器只能連線到那些網域控制站及通用類別目錄伺服器.
應用程式篩選進階防火牆(如ISAServer),可以在應用程式通訊協定層級提供進階檢查.
此檢查可讓防火牆執行某些功能,如篩選RPC介面及驗證HTTP要求語法.
在您的拓撲中使用進階防火牆的主要原因是,應用程式篩選可以提供最大的安全性.
協助維護通訊的安全:用戶端到前端伺服器為了確保用戶端與前端伺服器之間資料傳輸的安全性,強烈建議您在前端伺服器上啟用(SSL).
此外,為了隨時確保使用者資料的安全性,您應將前端伺服器設定為需要SSL(此選項可在SSL組態中設定).
在使用基本驗證時,請務必使用SSL防止使用者密碼遭網路封包攔截,以保障網路傳輸的安全.
附註:如果您未在用戶端及前端伺服器之間使用SSL,將無法確保傳輸至前端伺服器之資料的安全性.
所以強烈建議您將前端伺服器設定為需要SSL.
建議您向許多第三方憑證授權單位(CA)購買憑證,以取得SSL憑證.
之所以建議您採取此種方式,是因為大多數的瀏覽器已經都信任許多憑證授權單位.
或者,您可以使用MicrosoftCertificateServer安裝自己的憑證授權單位.
雖然安裝自己的憑證授權單位較便宜,但是瀏覽器將不信任您的憑證,而且使用者會收到警告訊息,指出此憑證不受信任.
如需詳細資訊,請參閱Microsoft知識庫文件320291(XCON:為Exchange2000ServerOutlookWebAccess開啟SSL).
在前端和後端拓撲中設定SSL當使用前端伺服器時,您不需要在後端伺服器上設定SSL,因為前端伺服器不支援使用SSL來與後端伺服器通訊.
您可以在後端伺服器上設定SSL,以供用戶端直接存取使用.
當使用HTTP來存取資料,後端伺服器需要產生絕對URL,如使用者收件匣中的郵件URL清單.
如果在用戶端與前端伺服器之間使用SSL,後端伺服器必須知道這一點,讓它可以用HTTPS格式化URL而不是HTTP.
如果在前端伺服器完成SSL解密,前端伺服器知道已使用SSL,並藉由在所有要求中傳送「Front-End-Https:on」到後端伺服器的方式,通知後端伺服器這個狀況.
如果在用戶端與卸載SSL解密的前端伺服器之間有另外的伺服器,前端伺服器將不知道原始要求使用SSL.
在這個情況,伺服器必須可以傳送「Front-End-Https:on」標頭到前端伺服器,然後前端伺服器再將其傳到後端伺服器.
ISAServer支援這個方式.
如需啟用這個功能的詳細資訊,請參閱Microsoft知識庫文件307347(在ISAServer後的安全OWA發佈可能需要自訂HTTP標頭).
另一種方法是,您可以在SSL解密伺服器與前端伺服器之間設定SSL.
不過,如果您新增該另外的伺服器以卸載SSL加密與解密的額外流量,這個方法勝過該目的.
此方法仍可以讓個別伺服器篩選流量.
SSL加速卡設定與關閉SSL連線可能造成效能降低,所以您可以考慮新增SSL加速卡到您的前端與後端拓撲.
SSL加速卡通常是兩個形式:您可以放置在每個前端伺服器上的SSL加速網路卡.
您可以放置在用戶端與前端伺服器之間的個別裝置或電腦.
這個形式的範例之一為MicrosoftInternetSecurityandAccelerationServer2000FeaturePack1ServicePack1(ISA).
類似這類的範例支援新增OutlookWebAccess的「Front-End-Https:On」標頭.
附註:如需更多有關針對OutlookWebAccess設定ISAServer的詳細資訊,請參閱Microsoft知識庫文件307347(在ISAServer後的安全OWA發佈可能需要自訂HTTP標頭).
加速卡通常直接在前端伺服器使用,而它們可以卸載加密及解密負荷.
這可以增加每個連線的輸送量,並降低每個伺服器上軟體必須執行的工作量.
外部加速裝置放置在用戶端與前端伺服器之間.
來自用戶端的流量會在加速裝置上解密,並以未加密方式傳送到前端伺服器.
同樣地,來自前端伺服器流量將以未加密方式傳送到加速裝置,然後再加密傳輸給用戶端.
當考慮要使用哪種類型的SSL加速卡,最重要的因素是考慮您拓撲中前端伺服器的數目.
如果您前端伺服器的數目不多,請為每一個前端伺服器新增SSL加速卡,這是簡單且經濟的方式卸載SSL負擔.
由於在前端伺服器完成SSL解密,不需要額外設定OutlookWebAccess的「Front-End-Https:On」標頭.
對於眾多的前端伺服器,額外加速卡的成本,和每個伺服器儲存與設定SSL憑證的管理成本最終總不符經濟效益.
在此情況下,個別SSL加速裝置可能是您拓撲更經濟的選項,因為不論多少個前端伺服器,它僅需要設定一次.
這些裝置的成本通常比加速卡高,所以請斟酌您的拓撲,決定要使用哪個選項.
請記住對於OutlookWebAccess,外部SSL裝置必須能夠以「Front-End-Https:on」標頭通知前端伺服器使用SSL.
SSL卸載如果在用戶端與卸載SSL解密的前端伺服器之間有另外的伺服器,前端伺服器將不知道原始要求是使用SSL建立.
在這個情況,伺服器必須可以傳送「Front-End-Https:on」標頭到前端伺服器,然後前端伺服器再將其傳到後端伺服器.
如果您的SSL卸載伺服器不支援新增自訂標題,您可以在前端伺服器安裝網際網路伺服器應用程式發展介面(ISAPI)以新增此標題.
如需相關資訊,請參閱Microsoft知識庫文章327800(英文).
另一種方法是,您可以在SSL解密伺服器與前端伺服器之間設定SSL.
不過,如果您新增該另外的伺服器以卸載SSL加密與解密的額外流量,這個方法勝過該目的.
此方法仍可以讓個別伺服器篩選流量.
個別SSL加速裝置可能是您拓撲更經濟的選項,因為不論多少個前端伺服器,它僅需要設定一次.
這些裝置的成本通常比加速卡高,所以請斟酌您的拓撲,決定要使用哪個選項.
請記住對於OutlookWebAccess,外部SSL裝置必須能夠以「Front-End-Https:on」標頭通知前端伺服器使用SSL.
表單型驗證如果您搭配SSL卸載使用表單型驗證,您必須設定Exchange前端伺服器,才能處理這個案例.
如需詳細的指示,請參閱.
使用SSL卸載時如何啟用表單型驗證如果您是在安全通訊端階層(SSL)卸載的情況下使用表單型驗證,則必須設定Exchange伺服器前端伺服器來處理這種狀況.
開始之前這個主題包含關於編輯登錄的資訊.
注意:編輯登錄錯誤可能會導致嚴重的問題,使您必須重新安裝作業系統.
編輯登錄錯誤所造成的問題可能無法解決.
請在編輯登錄之前,備份任何重要的資料.
程序若要在使用SSL卸載時啟用表單型驗證1.
啟動[登錄編輯程式].
2.
找到下列登錄機碼:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeWeb\OWA3.
在[編輯]功能表中,指向[新增],再按一下[DWORD值].
4.
在詳細資料窗格中,將新值命名為[SSLOffloaded].
5.
按一下[SSLOffloaded]DWORD值,然後再按一下[修改].
6.
在[編輯DWORD值]的[底數]之下,按一下[十進位].
7.
請在[數值資料]方塊中,輸入值[1].
8.
按一下[確定].
附註:您必須重新啟動W3SVC服務,這些變更才會生效.
如需詳細資訊如需詳細資訊,請參閱:部署前端和後端拓撲時的考量《ExchangeServer2003用戶端存取手冊》中的.
維護通訊安全:前端到其他伺服器前端伺服器以及與前端伺服器通訊的所有伺服器(例如後端伺服器、網域控制站和通用類別目錄伺服器)之間的HTTP、POP和IMAP通訊並未加密.
當前端和後端伺服器位在受信任的實體或交換網路時,並不需要擔心這種問題.
但是,如果前端和後端伺服器位在不同的子網路上,網路流量可能會通過不安全的網路區域.
當前端和後端伺服器之間的實際距離較長時,安全性的風險就會提高.
在此情況下,建議您要將此傳輸加密,以保護密碼和資料的安全.
IP安全性(IPSec)Windows支援IPSec,此網際網路標準允許伺服器加密任何IP流量,但使用廣播或多點傳播IP位址的資料傳輸除外.
一般來說,您通常會使用IPSec來加密HTTP流量;但是,您也可以使用IPSec來加密所有流量.
您可以使用IPSec進行下列作業:設定兩部執行Windows的伺服器要求信任的網路存取.
交換防止被修改的資料(在每個封包上使用密碼總和檢查碼).
為IP層上兩個伺服器之間的所有流量進行加密.
在前端與後端拓撲中,您可以使用IPSec來加密前端與後端伺服器之間的流量(否則將不會進行加密).
IPSec通訊協定使用IPSec保護資料的方法取決於使用哪一個通訊協定:驗證標頭(AH)或封裝安全承載(ESP).
使用AH,封包不會加密;AH將新增總和檢查碼到IP封包.
AH保證封包來自預期的主機,未經過假冒,也未在傳輸過程中修改.
AH使用IPprotocol51.
ESP(使用IP通訊協定50),加密IP封包整個內容.
這兩種形式的IPSec提供可靠且信任的通訊通道,攻擊者無法輕易在其中插入資料或將其中斷.
IPSec加密會影響前端及後端伺服器的效能;但是影響的程度取決於使用的加密類型.
IPSec原則您應該在後端伺服器上設定IPSec,讓它們當收到IPSec通訊要求時可以適當回應.
不過,後端伺服器不應該要求所有來自用戶端的通訊都使用IPSec加密.
依照預設值,Windows安裝三個IPSec原則.
為後端伺服器選取「用戶端(僅回應)」原則.
在後端伺服器上如果已啟用此原則,則前端伺服器可使用IPSec與後端伺服器進行安全通訊,而同時其他用戶端(包含舊版的MAPI用戶端,例如MicrosoftOfficeOutlook2002)與伺服器可以與後端伺服器通訊,而不需要使用IPSec.
IPSec搭配防火牆和篩選路由器當在前端和後端伺服器之間使用防火牆或篩選路由器時,篩選器必須允許IPSec通過.
附註:如果在周邊網路與企業網路之間有網路位址轉譯(NAT)伺服器,則IPSec無法運作.
當使用IPSec,請依下列方式設定連接埠:HTTP(TCP連接埠80)HTTP(TCP連接埠80)已不再需要且應該封鎖.
其他通訊協定連接埠如果您使用IPSec來加密所有流量,您不需要其他通訊協定連接埠(除了可能需要Kerberos).
500/UDP在500/UDP開啟IPSec交涉連接埠,這是必要的.
500/UDP是網際網路金鑰交換(IKE)標準指派的知名連接埠,於RFC2409當中定義.
此標準使用UDP而不是TCP/IP,來避免依賴TCP/IP連線的安全性弱點.
IKE為交涉資料封包提供增強的安全性.
它將建立並維護IPSec連線,名為安全性關聯.
IP通訊協定50或51根據您正在使用的通訊協定,允許IP通訊協定50(AH)或IP通訊協定51(ESP).
UDP連接埠88和TCP連接埠88Kerberos流量使用UDP/TCP通訊協定來源與目的連接埠88.
Kerberos本身是安全性通訊協定,所以在MicrosoftWindows2000Server當中,IPSec篩選器並未包含Kerberos,即使篩選器包含IPSec連接埠.
因此,如果您在Windows2000Server使用IPSec,您仍需要開啟UDP連接埠88和TCP連接埠88.
或者,您可以藉由設定NoDefaultExempt登錄機碼,以強制將Kerberos包含在IPSec篩選器中.
依照預設值,WindowsServer2003中IPSec篩選器將會包含Kerberos.
如果Kerberos包含在IPSec加密中,您將無法使用Kerberos來驗證IPSec工作階段本身.
您需要使用憑證或預先共用金鑰如需設定IPSec搭配防火牆的詳細資訊,請參閱Microsoft知識庫文件233256(如何允許IPSec流量通過防火牆).
如需關於IPSec與Kerberos的詳細資訊,請參閱Microsoft知識庫文件810207(IPSec預設豁免已於WindowsServer2003中移除).
在周邊網路,您可能希望加強IPSec的安全性,但也不要因為安全原因而犧牲篩選流量的能力.
在此情況下,您可以設定前端伺服器到內部防火牆的IPSec通道,然後設定另一通道,由內部防火牆連線到後端伺服器.
這個方法可以保護網路的資訊,同時讓您在流量到達您的內部網路之前,使用篩選或入侵偵測軟體或技術.
附註:在應用程式(在這個案例是Exchange)將要求傳給Windows以傳送到伺服器之後,進行IPSec加密.
所以就Exchange而言,要求是透過HTTP使用TCP/IP連接埠80傳送.
不過,在流量離開伺服器之前便會被攔截(如果已設定ESP則可能被加密),再透過不同的通道傳送(IP通訊協定50或51).
因此,加密對於每個伺服器執行的Exchange應用程式而言是透明的,所以從未使用連接埠80的資料對這些應用程式不是問題.
ServicePack:升級前端及後端伺服器當發行新的ServicePack,升級前端伺服器是非常簡單的程序.
這比升級後端伺服器簡單,因為前端伺服器沒有儲存使用者資料.
只要有多個前端伺服器,將一個伺服器離線並不表示使用者服務必須中斷.
如果您有多個負載平衡的前端伺服器,您可以從負載平衡叢集移除想要升級的前端伺服器,將其升級,然後再新增至負載平衡叢集,而且不會中斷使用者的服務.
OutlookWebAccess的升級考量如果您的組織部署OutlookWebAccess,您應該在升級任何後端伺服器之前,升級組織中每個前端伺服器.
這是因為OutlookWebAccess的建置方式.
就較高層次,OutlookWebAccess的資料由兩個部份組成:範本和控制項.
範本是表單類的項目(電子郵件訊息、行事曆項目和其他形式).
控制項是檔案類的項目,如DHTML行為、JScript檔案、樣式表及儲存在IIS虛擬目錄/exchweb的影像.
當使用者透過前端伺服器存取OutlookWebAccess,範本實際來自後端伺服器,而控制項來自前端伺服器.
範本來自後端是基於效能考量.
控制項來自前端,因為沒有機制可將對於不在Exchange儲存區的資料需求,從前端伺服器代理傳送至後端伺服器.
如果前端與後端伺服器執行相同版本與ServicePack的Exchange,這便不是問題.
如果執行不同版本的ServicePack將會發生問題.
如果在後端伺服器的範本參照前端伺服器的控制項,且前端伺服器執行舊版ServicePack,則後端伺服器參照的控制項可能不存在.
如此一來,對於信箱是在已升級後端伺服器的使用者,OutlookWebAccess將無法運作.
反向情況並沒有相同的問題.
如果您先升級前端伺服器,使用者將看到來自後端伺服器的範本.
這些範本參考舊版的控制項,它仍存在於前端伺服器,因為檔案已經區分版本而且並未在升級中移除.
若要解決此問題,建議您在升級任何後端伺服器之前,先升級所有前端伺服器.
此外,在進行升級前,請先確定必要的服務都在執行中.
若要執行Exchange安裝,您必須安裝並啟用(不一定要啟動)網路新聞傳送通訊協定(NNTP)、SMTP、W3SVC以及IISAdmin.
如果停用MSExchangeMTA、IMAP4、POP3和MSExchangeIS服務,安裝程式仍會執行;不過,在啟動之後安裝程式會啟用這些服務.
完成安裝後,您可以停用不必要的服務.
部署前端和後端拓撲的案例本主題討論在Exchange前端及後端部署拓撲的常見案例.
案例可以廣泛地分成內部網路和外部網路案例,內部網路案例著重在效能和延展性,而外部網路案例著重在安全性.
在每個案例中,討論下列主題:案例案例是什麼,套用案例的時機設定指示用一般說法說明設定案例的方式(本手冊後續部分涵蓋特定組態指示).
討論這個案例有何特殊它如何運作進行這個案例的決策時,需要哪些其他資訊問題這個案例的警告或限制.
下列四個案例都需要防火牆.
您可以使用軟體或硬體解決方案作為防火牆.
連接埠篩選是防火牆的最低需求,以保護伺服器免於來自網際網路的攻擊.
周邊網路中的進階防火牆下圖說明進階防火牆案例,在這個案例中,您將進階防火牆伺服器放置在周邊網路之內,在網際網路防火牆和內部防火牆之間.
前端與後端伺服器放置在內部防火牆之後相同的網路.
這是建議的拓撲,原因是:藉由隔離入侵者與其他網路,以提供安全性.
提供應用程式通訊協定篩選.
在將要求以代理方式傳送到內部網路之前,會先執行其他驗證.
附註:另一種將進階防火牆伺服器放置在周邊網路內(位在其他的網際網路防火牆之後)的方法是,進階防火牆伺服器本身可以作為網際網路防火牆.
在進階防火牆後面的Exchange前端伺服器案例公司將進階防火牆(如ISAServer)放置在個別的兩個防火牆之間.
基於下列優點,公司決定設定此進階防火牆拓撲:藉由防止未經授權存取、檢查流量以及警告網路管理員可能的攻擊,進階防火牆可以提供額外網路安全性.
進階防火牆讓您可以使用連接埠篩選及IP篩選來控制流量.
進階防火牆允許您依照以下方式限制存取:使用者及群組、應用程式類型,每日某段時間、內容類型和目的地組.
設定指示如需設定的詳細指示,請參閱.
如需ISAServer的詳細資訊,包括產品資訊與技術資源,請參閱ISAServer網站.
討論ISAServer包含兩種類型的規則:伺服器發佈規則這些規則在接收埠檢查傳入要求,並可以套用至任何通訊協定.
如果允許傳入要求,通訊協定規則將從接收埠將其轉送到內部IP位址.
網頁發佈規則這些規則僅適用於HTTP或HTTPS(80/443)要求.
您可以設定網頁發佈規則根據以下類型篩選傳入的要求:服務類型、連接埠、來源電腦名稱和目的電腦名稱.
您也可以設定僅允許特定伺服器或拒絕高風險伺服器.
如果您支援HTTP用戶端,請建立網頁發佈規則來處理HTTP或HTTPS流量.
如果您支援POP或IMAP用戶端,請建立伺服器發佈規則來處理這些通訊協定.
與周邊網路案例不同,除非您設定ISAServer來驗證要求,在周邊網路的ISA伺服器不一定要成為成員伺服器.
通常,如果您已在前端伺服器設定驗證,您不須設定ISAServer來驗證使用者.
不過,如果您想要限制僅接受來自特定使者的傳入要求,您必須建立指定使用者的網頁發佈規則,並在ISAServer啟用驗證.
在此情況下,ISA伺服器必須是Windows網域的成員.
此外,ISAServer不會委派使用者的認證到後端伺服器.
因此,雖然ISAServer可以驗證使用者並限制網路存取,使用者無法為OutlookWebAccess進行預先驗證.
問題在進階防火牆案例,不需要RPC存取到內部網路.
這通常是優點,因為內部防火牆可以開啟較少的連接埠,然而不管開啟連接埠的數量多少,潛在的安全性漏洞仍存在.
若要避免此安全性風險,請確定每個開啟的連接埠已設定適當的篩選器.
在進階防火牆案例中,您可以利用下列兩種方式之一設定SSL:僅在用戶端和ISA伺服器之間.
在用戶端和ISA伺服器之間,以及ISA伺服器與前端伺服器之間.
如果客戶原則規定周邊網路的電子郵件流量必須加密,通常使用第二個選項.
在ISAServer從用戶端接收SSL要求之後,它會結束工作階段,並重新以新的認證開啟新的SSL工作階段以連絡前端伺服器.
每個憑證的名稱很重要.
傳入要求的憑證名稱必須符合使用者在URL當中輸入的名稱.
此外,在傳到前端伺服器要求中的憑證名稱必須符合前端伺服器的名稱或IP位址.
若要設定ISAServer的SSL,請使用網頁發佈規則伺服器中的[橋接]索引標籤以導向SSL流量.
如果您主控多個網域並想使用SSL,您必須設定每個網域的接聽程式與不同的IP位址.
這是因為憑證必須命名,讓它們符合目的地名稱或IP位址.
如何在周邊網路中有進階防火牆的環境下設定前端與後端拓撲您可以建立具備進階防火牆的前端與後端拓撲.
下圖說明具備進階防火牆的前端與後端案例.
在這個案例中,您將進階防火牆伺服器放置在周邊網路之內,而且在網際網路防火牆和內部防火牆之間.
您將前端與後端伺服器放置在內部防火牆之後相同的網路中.
在進階防火牆後面的Exchange前端伺服器開始之前在您執行這個主題的程序之前,請務必先閱讀下列事項:部署前端和後端拓撲的案例結合使用ISAServer2000與ExchangeServer2003程序若要在周邊網路中有進階防火牆的環境下設定前端與後端拓撲1.
如果在進階防火牆之前有防火牆或是連接埠篩選器,請予以設定為允許用戶端通訊協定與連接埠輸入:443(SSLHTTP)、993(SSLPOP3)、995(SSLIMAP4)以及其他需要的輸入連接埠(例如SMTP流量可能也會經過這個防火牆).
防火牆應該限制只能對指定的進階防火牆伺服器進行存取.
2.
(選擇性)如果您在進階防火牆與內部網路之間使用內部網路防火牆,請設定內部網路防火牆以開啟特定連接埠,來支援從進階防火牆伺服器流入的必要網路流量(例如MicrosoftInternetSecurityandAcceleration(ISA)Server)傳送到內部網路.
這可能是進階防火牆以代理方式傳送的任何用戶端通訊協定.
連接埠443或80(端視進階防火牆是否卸載SSL加密)、993與995.
此外,根據進階防火牆的其他工作與設定,內部防火牆必須允許存取任何進階防火牆伺服器所需要的其他通訊協定.
這可能包括驗證、網域名稱系統(DNS)和ActiveDirectory存取.
完整的清單取決於每個企業實作的安全與功能平衡點.
3.
設定進階防火牆.
下列是在前端與後端拓撲中部署ISAServer時,所要遵循的一般指導方針.
(如需如何設定ISAServer的詳細資訊,請參閱ISAServer產品文件).
a.
設定SSL的接聽程式.
b.
建立包含ISAServer外部IP位址的目的地組.
網頁發佈規則將使用這個目的地組.
c.
建立重新導向要求至內部前端伺服器的網頁發佈規則.
d.
為外寄流量建立通訊協定規則,以在ISAServer中開啟連接埠.
4.
針對MicrosoftOfficeOutlookWebAccess設定ISAServer.
(如需如何針對OutlookWebAccess設定ISAServer的相關資訊,請參閱Microsoft知識庫文章-307347(英文).
)防火牆後的前端伺服器下圖說明如果前端伺服器在防火牆後面,前端與後端拓撲的案例.
簡單的Exchange防火牆拓撲案例為達到安全性要求,並能夠從網際網路存取OutlookWebAccess、POP或IMAP,公司想要將Exchange系統放置在公司防火牆後面.
設定指示如需詳細的設定指示,請參閱如何在防火牆背後設定前端伺服器的前端和後端拓撲.
討論因為整個組態都位在防火牆內部,所以Exchange不需要任何特別組態.
在要求透過防火牆到前端伺服器之後,前端伺服器會傳回回應,且沒有變更任何組態.
強烈建議使用IP位址篩選來限制穿越防火牆的要求只能到執行Exchange的前端伺服器(或伺服器),並封鎖透過防火牆的要求到組織中的其他伺服器.
如何在防火牆背後設定前端伺服器的前端和後端拓撲您可以利用防火牆背後的前端伺服器建立前端與後端拓樸.
下圖說明在防火牆背後具有前端伺服器的前端與後端案例.
簡單的Exchange防火牆拓樸開始之前在您執行這個主題的程序之前,請務必先閱讀下列事項:部署前端和後端拓撲的案例結合使用ISAServer2000與ExchangeServer2003程序利用防火牆背後的前端伺服器建立前端與後端拓樸1.
在企業中設定標準Exchange前端與後端環境.
如需標準Exchange前端與後端環境的詳細資訊,請參閱.
如需如何指定前端伺服器的詳細資訊,請參閱.
2.
設定前端伺服器與網際網路之間的防火牆.
如需如何設定網際網路防火牆以結合使用執行Exchange前端伺服器的詳細資訊,請參閱.
具有防火牆的Web伺服陣列下圖說明Web伺服陣列案例.
在Web伺服陣列中的前端及後端拓撲案例某公司對200,000位使用者部署OutlookWebAccess.
目標是建立一個讓使用者可以連線到其信箱的單一命名空間(如https://mail).
此外,基於效能考量,公司想要避免在前端伺服器產生瓶頸或是單點失敗,所以他們想要藉由使用網路負載平衡(NLB)在多個前端伺服器分散負載.
這個案例就稱為「Web伺服陣列」.
附註:雖然這是唯一描述NLB的案例,您可以在本手冊描述的任何案例中,在前端伺服器使用NLB以分散負載.
設定指示如需詳細的設定指示,請參閱.
討論如需設定網路負載平衡的相關資訊,請參閱Windows線上文件.
在前端伺服器設定Exchange不需要任何特殊步驟.
問題如先前所述,您使用的負載平衡解決方案,可以確保每個使用者在工作階段期間,永遠傳送到相同的前端伺服器.
如何利用防火牆後面的Web伺服陣列設定前端與後端拓撲您可以利用防火牆後面的Web伺服陣列建立前端與後端拓撲.
下圖說明如果Web伺服陣列在防火牆後面,前端與後端的案例.
在這個案例中,您將前端伺服器的負載分散在多個前端伺服器.
您將多個前端伺服器放置在防火牆之後.
在Web伺服陣列中的前端及後端拓撲開始之前在您執行這個主題的程序之前,請務必先閱讀下列事項:部署前端和後端拓撲的案例結合使用ISAServer2000與ExchangeServer2003程序利用防火牆後面的Web伺服陣列建立前端與後端拓撲1.
在相同的樹系中,設定伺服器群組作為後端伺服器.
2.
在伺服器之間分散使用者.
3.
設定另一個伺服器群組作為前端伺服器,並在所有這些伺服器上設定網路負載平衡.
周邊網路中的前端伺服器下圖說明在周邊網路的Exchange前端伺服器.
在周邊網路的Exchange前端伺服器案例在本圖中,企業將前端伺服器放置在兩個分隔的防火牆之間.
第一個防火牆隔開前端伺服器與網際網路,並只允許傳送至該前端伺服器的要求.
第二個防火牆隔開前端伺服器與內部網路.
存在於兩個防火牆之間的系統,一般稱為周邊網路(也稱為DMZ、非軍事區和遮蔽式子網路).
周邊網路設定可以提供更高的安全性,因為如果前端伺服器被洩漏,在入侵者與其他網路之間仍有一層屏障.
附註:將前端伺服器放置在周邊網路內,是一種在周邊網路內部署前端與後端拓樸的方法.
不過,在第一個案例中已經說明建議的方法,.
這個方法是將前端與後端伺服器放置在內部網路之內,並在周邊網路中放置進階防火牆(例如ISAServer).
進階防火牆可以在將要求以代理方式傳送至內部網路之前,提供應用程式通訊協定篩選並執行額外的驗證.
設定指示如需詳細的設定指示,請參閱.
討論通常已經部署並強制使用周邊網路的公司,會限制內部防火牆中啟用的網路連接埠,以限制內部防火牆可以通過的網路流量類型.
不過,前端伺服器需要特定連接埠以完成操作.
問題某些已經部署其他服務使用周邊網路拓樸的公司,會限制位在周邊網路的電腦不得與公司內部網路的伺服器進行初始化連線.
這個組態不支援執行Exchange的前端伺服器,因為它必須初始化連線.
此外,前端伺服器與後端伺服器必須同屬相同的Windows樹系成員.
有些公司不允許在周邊網路中存有成員伺服器;對於這些公司,在周邊網路部署前端伺服器,不在選項中.
建議您在內部防火牆定位或鎖定之前,先完成設定前端伺服器的動作.
設定在Exchange系統管理員中的前端伺服器設定,系統服務員(MSExchangeSA)服務必須正在執行,這樣才能讓設定資訊複寫至Metabase.
MSExchangeSA服務需要RPC存取後端伺服器,而且RPC通常不允許透過周邊網路中的內部防火牆.
在Exchange2000ServerSP2的DSAccess元件已經重新設計,以針對RPC流量不能透過內部防火牆的周邊網路提供較佳的支援.
然而,在前端伺服器有兩個您應該設定的額外登陸機碼,以停用NetLogon與目錄存取Ping:NetLogonDSAccess使用RPC的NetLogon服務,連線到ActiveDirectory伺服器以檢查可用磁碟空間、時間同步和複寫參與狀況.
如果您不允許RPC流量透過內部防火牆,則應在前端伺服器建立DisableNetlogonCheck機碼以停止NetLogon檢查.
目錄存取Ping依照預設值,目錄存取使用網際網路控制訊息通訊協定(ICMP)來偵測每個伺服器以決定伺服器是否可以使用.
不過,在一個執行Exchange的伺服器與網域控制站之間沒有ICMP連線的周邊網路中,目錄存取判定每個網域控制站都無法使用.
目錄存取捨棄舊拓樸並執行新拓樸探索,會影響伺服器效能.
若要避免這些效能問題,請建立LDAP(WLDAP)的Windows實作之LdapKeepAliveSecs登錄機碼,以關閉在前端伺服器的目錄存取Ping.
如需如何設定這些登陸機碼的詳細資訊,請參閱.
如何在周邊網路中有前端伺服器的環境下設定前端和後端拓撲您可以在周邊網路中有前端伺服器的環境下設定前端和後端拓撲.
下圖說明在周邊網路具有前端伺服器的前端與後端案例.
在這個案例中,您將前端伺服器放置在網際網路防火牆與內部防火牆之間.
在周邊網路的Exchange前端伺服器開始之前在您執行這個主題的程序之前,請務必先閱讀下列事項:部署前端和後端拓撲的案例結合使用ISAServer2000與ExchangeServer2003程序在周邊網路中有前端伺服器的環境下設定前端和後端拓撲1.
為這個環境中的防火牆設定外部(網際網路)防火牆,限制僅能存取必要的連接埠以及指定的前端伺服器.
2.
設定內部(內部網路)防火牆,讓特定連接埠開啟,以支援驗證、DNS及ActiveDirectory存取.
完整的清單取決於每個企業選擇的安全與功能平衡點.
如需詳細資訊如需如何設定網際網路與內部網路防火牆的詳細資訊,請參閱.
設定Exchange前端伺服器在將前端伺服器設定為前端伺服器之前,它只是普通的Exchange伺服器.
前端伺服器不可主控任何使用者或公用資料夾.
前端伺服器必須與後端伺服器同屬相同Exchange組織的成員(也就是相同Windows樹系的成員).
如需如何指定Exchange伺服器為前端伺服器的詳細指示,請參閱.
如何指派前端伺服器前端伺服器是從用戶端接受要求,並代理用戶端將要求送到適當後端伺服器進行處理的Exchange伺服器.
開始之前若要順利完成這個主題中的程序,請確認下列項目:您要指定作為前端伺服器的伺服器,會是與後端伺服器相同之MicrosoftWindows樹系的成員.
您要指定作為前端伺服器的伺服器,會是與後端伺服器相同之Exchange組織的成員.
程序指定前端伺服器1.
在組織中安裝將執行ExchangeServer的伺服器.
附註:若使用Exchange2000Server,則僅能將EnterpriseEdition的伺服器設定為前端伺服器.
在ExchangeServer2003中,StandardEdition與EnterpriseEdition均可設定為前端伺服器.
2.
使用[Exchange系統管理員]移至伺服器物件,在伺服器物件上按一下滑鼠右鍵,再按[內容].
3.
選取[此為前端伺服器],然後關閉該頁面.
4.
若要開始使用前端伺服器,執行下列其中一個動作:重新啟動電腦.
停止後,重新啟動HTTP、POP3與IMAP4服務.
5.
現在已完成預設Exchange虛擬目錄的設定.
但是,建議您也設定SSL.
如需如何設定SSL以供POP3、IMAP4與SMTP使用的詳細指示,請參閱《ExchangeServer2003andExchange2000ServerFront-EndandBack-EndServerTopologyGuide》中的.
如需如何設定SSL以供HTTP使用的詳細指示,請參閱《ExchangeServer2003andExchange2000ServerFront-EndandBack-EndServerTopologyGuide》中的.
相關資訊如需相關資訊,請參閱:《ExchangeServer2003andExchange2000ServerFront-EndandBack-EndServerTopologyGuide》中的《ExchangeServer2003andExchange2000ServerFront-EndandBack-EndServerTopologyGuide》中的ExchangeServer2003ClientAccessGuide建立HTTP虛擬伺服器當您建立虛擬伺服器時,必須使用Exchange系統管理員,而不是網際網路資訊服務管理員.
當您在Exchange系統管理員中建立虛擬伺服器時,不需要簡化URL;在您建立指向信箱的虛擬伺服器並設定主機標題時,使用者可以輸入http:///,而不需輸入/exchange.
如需如何建立HTTP虛擬伺服器的詳細指示,請參閱.
您可以將IP位址欄位保留為[全未指定](預設),或限制為指派給伺服器的特定IP位址.
如果您知道將使用SSL以連線到此前端伺服器,則可能想要設定虛擬伺服器的特定IP位址.
如何建立虛擬伺服器使用這個程序來建立虛擬伺服器.
程序建立虛擬伺服器1.
在[Exchange系統管理員]、前端伺服器的[HTTP通訊協定]容器中,用滑鼠右鍵按一下[HTTP],然後選取[新增虛擬伺服器].
附註:對於名稱,建議您使用類似下列格式的名稱"adatum.
com(front-end)".
新虛擬伺服器的一致性命名,可以確保每個虛擬伺服器的用途並輕易決定相關的網域.
虛擬伺服器的名稱只用於識別用途,並不會影響其操作.
2.
按一下[信箱]或[公用資料夾],再按一下[修改],然後執行下列其中一個動作:如果虛擬伺服器指向信箱,請選取網域.
附註:[選取SMTP網域]中的網域清單是從Exchange組織的收件者原則之SMTP位址的網域中提取,如果相同的網域中,您具有一個以上的收件者原則,則會在對話方塊中看到重複的項目.
您選擇哪一個並不重要.
如果虛擬伺服器指向公用資料夾,請選擇適當的公用資料夾做為這個虛擬伺服器的根公用資料夾.
3.
按一下[進階],然後新增主機標頭,用戶端將使用這個主機標頭來定義所有名稱,與這個前端伺服器連絡.
附註:如果前端伺服器同時在內部與外部使用,建議您同時列出主機名稱及完整網域名稱.
設定驗證強烈建議您使用雙重驗證,也就是同時在前端和後端伺服器設定驗證使用者.
依照預設值,前端伺服器設定為執行雙重驗證.
然而,如果您有不允許RPC穿越內部網路防火牆的鎖定周邊網路,使前端伺服器無法驗證使用者,則可以使用通過驗證.
附註:當您使用通過驗證,匿名HTTP要求將直接傳送至驗證它們的後端伺服器.
您應該只在前端伺服器無法驗證使用者時,才使用通過驗證.
如需詳細資訊,請參閱.
如需如何在前端伺服器設定驗證的詳細資訊,請參閱.
如何設定前端伺服器上的驗證您可以設定您的前端伺服器為雙重驗證或通過驗證.
在雙重驗證中,前端和後端伺服器會同時設定為驗證使用者.
如果您有不允許RPC穿越內部網路防火牆的鎖定周邊網路,因而前端伺服器無法驗證使用者,則可使用通過驗證.
開始之前如果要順利完成這個主題中的程序,請確認下列項目:您應該只在前端伺服器無法驗證使用者時,才使用通過驗證.
您已經閱讀.
程序在前端伺服器設定驗證1.
按一下[開始],並依序指向[所有程式]及[MicrosoftExchange]後,再按一下[系統管理員].
2.
請移至[Exchange]或[公用]虛擬目錄.
3.
在[Exchange]或[公用]虛擬目錄上按一下滑鼠右鍵,然後按一下[內容].
4.
按一下[存取]索引標籤,然後按一下[驗證].
5.
執行下列其中一項動作:如果要設定前端伺服器驗證使用者(如雙重驗證),請選取[基本驗證]核取方塊.
如果要設定通過驗證,請選取[匿名存取]核取方塊,並清除[基本驗證]核取方塊.
設定前端伺服器以假設預設網域您可以設定前端伺服器假設預設網域,如此一來,使用者就不必記得他們的網域.
完成複寫後,使用者可以只使用其使用者名稱及密碼登入;不需要網域.
如需設定前端伺服器假設預設網域的詳細指示,請參閱.
設定ExchangeServer2003的表單型驗證對於ExchangeServer2003,您可以啟用MicrosoftOfficeOutlookWebAccess用戶端的新表單型驗證功能.
重要事項:在Exchange2003前端伺服器與後端伺服器架構中,您必須啟用前端伺服器的表單型驗證.
表單型驗證允許系統管理員在經過特定的閒置時間後,登出使用者.
ExchangeServer2003使用下列資訊來判斷使用者活動用戶端和伺服器間的互動視為活動.
例如,如果使用者開啟、傳送或儲存項目;切換資料夾或模組,或重新整理檢視或Web瀏覽器視窗,這就視為是活動.
如果使用者在OutlookWebAccess項目中輸入文字,則不視為是活動.
例如,如果使用者在約會、會議要求、張貼、連絡人、工作或其他項目中輸入,這不視為是活動.
附註:OutlookWebAccess高階版本有特殊代碼,所以在郵件內文輸入被視為是活動.
重要事項:在您啟用表單型驗證之前,必須在伺服器上啟用安全通訊端層(SSL).
重要事項:ExchangeServer2003表單型驗證,不允許您在IIS中設定預設網域設定為非\的預設網域設定值.
這個限制是要支援使用統一主要名稱(UPN)格式的使用者登入.
如果變更預設網域設定,Exchange系統管理員會重設伺服器的預設網域設定到\.
您可以自訂IIS中OutlookWebAccess虛擬目錄的Logon.
asp網頁來變更這個行為,以指定您的網域或是加入網域名稱清單.
附註:如果您自訂IIS當中OutlookWebAccess虛擬目錄的Logon.
asp網頁,在您升級或重新安裝ExchangeServer2003時,變更可能被覆寫.
如需設定表單型驗證的詳細指示,請參閱.
如何設定前端伺服器以假設預設網域您可以設定前端伺服器假設預設網域,讓使用者不必記住他們的網域.
開始之前在您執行本主題內的程序之前,請務必先詳讀.
程序設定前端伺服器以假設預設網域1.
啟動前端伺服器上的[Exchange系統管理員].
按一下[開始],並依序指向[所有程式]及[MicrosoftExchange]後,再按一下[系統管理員].
2.
在[Exchweb]虛擬目錄上按一下滑鼠右鍵,然後按一下[內容].
3.
按一下[存取]索引標籤,然後按一下[驗證].
4.
請選取[基本驗證]核取方塊,並在[預設網域]方塊中輸入網域.
5.
為[公用]虛擬目錄重複此程序.
附註:確定系統服務員服務正在執行,讓設定從目錄複寫到IISMetabase(您也可以重新啟動Exchange系統服務員以強制複寫).
如何設定ExchangeServer2003的表單型驗證對於MicrosoftExchangeServer2003,您可以為MicrosoftOfficeOutlookWebAccess用戶端啟用表單型驗證功能.
表單型驗證允許系統管理員在經過特定的閒置時間後登出使用者.
開始之前若要順利完成這個主題中的程序,請確認下列項目:您已經在前端伺服器上啟用安全通訊端層(SSL)程序若要設定ExchangeServer2003的表單型驗證1.
在前端伺服器的[Exchange系統管理員]中,如果已啟用系統管理群組請展開[系統管理群組],展開[伺服器],然後再展開您要啟用表單型驗證的前端伺服器.
2.
展開[通訊協定],展開[HTTP],在[Exchange虛擬伺服器]上按一下滑鼠右鍵,然後選取[內容].
3.
選取[設定]索引標籤,然後選取[啟用表單型驗證]核取方塊.
4.
在[壓縮]下拉式功能表中,請選擇要使用的壓縮層級([高]、[低]、[無]).
附註:我們建議您不要在單一伺服器環境啟用壓縮.
在單一伺服器環境啟用壓縮將造成伺服器額外負荷.
5.
按一下[確定].
6.
如果您收到必須重新啟動IIS服務的訊息,請按一下[確定],然後重新啟動Microsoft網際網路資訊服務(IIS).
允許使用電子郵件地址作為登入使用者名稱驗證的其他選項是設定使用者的使用者主要名稱(UPN).
這可讓使用者輸入其電子郵件地址作為其使用者名稱.
您必須在每一個使用UPN驗證的前端與後端伺服器上,設定所有的虛擬伺服器與所有虛擬目錄.
在您完成設定所有前端與後端伺服器內容中的UPN之後,使用者可以使用user@domain.
com作為他們的使用者名稱.
此外,使用者仍可以使用domain\username登入.
如需有關如何允許使用電子郵件地址作為登入使用者名稱的詳細指示,請參閱.
如何允許使用電子郵件地址作為登入使用者名稱您可以設定ExchangeServer2003,讓使用者可以使用他們的電子郵件地址作為登入使用者名稱.
這也稱為設定使用者的使用者主要名稱(UPN).
當您在將使用UPN進行驗證的虛擬伺服器中完成UPN設定之後,使用者可以使用user@example.
com作為其使用者名稱以進行驗證.
開始之前在執行這個主題中的程序之前,請考慮下列事項:您必須在每一個使用者以UPN驗證存取的前端及後端伺服器上,於所有虛擬伺服器與虛擬目錄中執行此程序.
程序若要允許使用電子郵件地址作為登入使用者名稱1.
按一下[開始],並依序指向[所有程式]及[MicrosoftExchange]後,再按一下[系統管理員].
2.
在[Exchange系統管理員]中,如果啟用系統管理群組,請展開[系統管理群組],再展開[伺服器],然後展開您想要設定使用電子郵件地址做為登入使用者名稱的伺服器.
3.
展開[通訊協定],展開[HTTP],展開您想要設定的虛擬目錄,然後再選取[內容].
4.
選取[存取]索引標籤,然後按一下[驗證].
5.
請在[預設網域]方塊中,輸入反斜線(\).
停用不必要的服務在前端伺服器並非需要所有Exchange服務,其取決於要顯示的通訊協定以及是否要在初始安裝後進行變更.
如果要停止並停用服務,請在MicrosoftManagement(MMC)使用[服務嵌入式管理單元].
下表顯示需要的Exchange服務—請停止與停用所有其他Exchange服務.
用戶端存取需要的Exchange服務用戶端存取方法需要的服務註解HTTP(OutlookWebAccess、WebDAV、ExchangeActiveSync)WorldWideWebPublishingService(W3SVC)應該也要啟用Exchange系統服務員.
允許管理及IISMetabase更新POP3MicrosoftExchangePOP3(POP3Svc)應該也要啟用Exchange系統服務員.
允許管理及IISMetabase更新.
IMAP4MicrosoftExchangeIMAP4(IMAP4Svc)應該也要啟用Exchange系統服務員.
允許管理及IISMetabase更新SMTP簡易郵件傳送通訊協定(SMTPSVC)、MicrosoftExchange系統服務員(MSExchangeSA)、MicrosoftExchangeInformationStore(MSExchangeIS)SMTP使用ExchangeInformationStore進行DSN格式化.
如果伺服器正在執行SMTP,則也應該執行MicrosoftExchangeRoutingService(RESVC)一般來說,應該在前端伺服器執行系統服務員.
雖然不需要某些通訊協定,但是某些工作只有在執行系統服務員時才會發生.
同時,根據前端伺服器所執行的角色,可能也需要額外的服務,例如,如果伺服器正在執行WMIAutomation,則MicrosoftExchangeManagement服務必須也正在執行.
附註:在升級的時候,必須啟用伺服器上的NNTP;不過,如果您不提供NNTP給您的使用者,也可將其停用.
URLSCan與IIS鎖定精靈在網際網路上公開您的伺服器之前,您必須關閉所有不需要的功能與服務以保護IIS.
在Windows2003Server中,除非伺服器另有要求,許多IIS功能已經停用.
在MicrosoftWindows2000Server中,請下載並執行IIS鎖定精靈.
如需有關安裝與使用IIS鎖定精靈的詳細資訊,請參閱Microsoft知識庫文章325864(英文).
IIS鎖定工具(版本2.
1)可在下列網址取得:http://go.
microsoft.
com/fwlink/linkid=12281.
附註:為最大化您的Exchange伺服器的安全性,請在套用IIS鎖定精靈之前與之後,套用所有必要的更新.
更新可以確保伺服器受到保護,防禦已知的安全性漏洞.
根據您正在執行的伺服器軟體類型,IIS鎖定精靈可以幫助您停用不必要的IIS5.
0功能與服務.
為針對攻擊者提供多層的防護,IIS鎖定精靈也包含URLScan,它會在IIS接收HTTP要求時予以分析,並拒絕任何可疑的要求.
IIS鎖定精靈也包含Exchange的組態範本,以關閉不想要的功能和服務.
如果要使用此組態範本,請執行IIS鎖定精靈,選取Exchange範本,然後變更或接受預設的組態選項.
如果想要在WindowsServer2003上執行URLScan,請個別下載它.
超出IIS6.
0所提供的那些URLScan功能之清單,可在http://go.
microsoft.
com/fwlink/linkid=24490上找到.
URLScan應用程式安裝在以下資料夾://system32/inetsrv/urlscan.
URLScan必須正確設定,才能與Exchange伺服器一同使用.
如需如何設定URLScan與ExchangeServer共同使用的完整資訊,請參閱下列Microsoft知識庫文章:若為Exchange2000Server,請參閱Microsoft知識庫文章309677(英文).
若為ExchangeServer2003,請參閱Microsoft知識庫文章823175(英文).
本節包含關於為何需要特定URLScan設定的進一步資訊.
除非您在Urlscan.
ini檔案設定下列設定,否則在執行精靈之後,會遭遇OutlookWebAccess功能的問題:AllowDotInPath請確定這個設定設為「1」以存取OutlookWebAccess,且舊版的瀏覽器可以使用OutlookWebAccess.
FileExtensions根據預設,.
htr檔案是停用的.
如果已停用此檔案類型,則無法使用OutlookWebAccess變更密碼功能.
DenyUrlSequences在[DenyUrlSequences]區段,明確封鎖的程序可能潛在影響OutlookWebAccess的存取.
任何包含下列字元順序的郵件項目主旨或郵件資料夾名稱將被拒絕存取:句點(.
)雙句點(.
.
)句點和正斜線(.
/)反斜線(\)百分比符號(%)連字號(&)當URLScan啟動,如果在存取OutlookWebAccess的要求時發生其他問題,請檢查UrlScan.
log檔案中被拒絕要求的清單.
中斷與刪除公用及信箱儲存區如果您在前端伺服器不是使用SMTP,請中斷連線然後刪除私人和公用資訊儲存區.
如果您在前端伺服器使用SMTP,則需要裝載信箱儲存區,因為SMTP服務需要裝載信箱儲存區來執行轉換.
不過,此裝載信箱儲存區不應包含任何信箱.
前端伺服器不應裝載公用資料夾儲存區.
如需詳細資訊,請參閱.
除非已經至少定義一個儲存群組,否則MicrosoftExchangeInformationStore服務(MSExchangeIS)不會啟動.
如果MSExchangeIS服務必須保留執行,請在刪除私人及公用儲存區之後,不要刪除前端伺服器上的儲存群組.
附註:在Exchange2000Server中,如果MSExchangeIS服務並未執行,您將無法使用網際網路資訊服務管理員(ISM)進行組態變更.
如果您必須使用ISM進行組態變更(例如,設定SSL加密),請確定在您移除信箱及公用資料夾儲存區之前,已經完成這些步驟.
這已不再適用於ExchangeServer2003.
設定網路負載平衡您可能希望對前端伺服器負載平衡.
請不要使用Windows叢集服務來負載平衡前端伺服器,因為並沒有在前端伺服器儲存資料;每個前端基本上是彼此的副本,所以容錯移轉作用不大.
使用網路負載平衡將用戶端要求平均分散在多個前端伺服器.
如需詳細資訊,請參閱.
設定安全通訊端層設定POP、IMAP及SMTP的SSL與設定HTTP的SSL步驟不同.
如需設定POP3、IMAP4與SMTP的SSL的詳細指示,請參閱.
如需設定HTTP的SSL的詳細指示,請參閱.
如何為POP3、IMAP4和SMTP設定SSL您可以設定Exchange伺服器虛擬伺服器使用安全通訊端層(SSL).
程序若要為POP3、IMAP4和SMTP設定SSL1.
請在[Exchange系統管理員]中,在虛擬伺服器上按一下滑鼠右鍵,再按一下[內容].
2.
按一下[存取]索引標籤,然後按一下[憑證].
3.
請依照精靈的指示,使用線上說明的準則來要求及安裝SSL憑證.
如何為HTTP設定SSL您可以設定ExchangeHTTP虛擬伺服器以使用SSL.
程序為HTTP設定SSL1.
在[網際網路服務管理員]中,對於預設ExchangeHTTP虛擬伺服器,用滑鼠右鍵按一下[預設網站],然後按一下[內容].
2.
按一下[目錄安全設定]索引標籤,然後選取[伺服器憑證].
3.
依照精靈的指示,使用(InternetInformationServices6.
0產品文件)做為參考,然後要求與安裝SSL憑證.
對於每個虛擬伺服器或網站,HTTPSSL為個別設定,所以如果您在Exchange系統管理建立額外的HTTP虛擬伺服器,則必須為每個伺服器或網站設定SSL,因為它們會在網際網路資訊服務管理員中進行轉介.
如需詳細資訊如需關於使用InternetInformationServices6.
0的詳細資訊,請參閱(InternetInformationServices6.
0產品文件).
在前端伺服器設定SMTP前端伺服器必須可以使用SMTP,以允許POP和IMAP用戶端提交電子郵件訊息.
您可以在前端伺服器安裝SMTP或設定另外的SMTP伺服器.
如果要在前端伺服器安裝SMTP,請設定內部及外部網域的SMTP,如以下兩節所述.
內部網域的郵件對於接收來自網際網路輸入郵件的前端伺服器,前端伺服器必須知道它應該接收郵件的網域.
為每個網域新增收件者原則,會告知所有在Exchange組織中的伺服器接收這些網域的郵件.
此外,您必須啟用網際網路中其他SMTP伺服器的匿名存取,以順利路由郵件到您的組織(這是預設設定).
外部網域的郵件依照預設組態,任何提交到您伺服器以及傳送到外部網域的SMTP郵件會被拒絕.
這是因為所有匿名存取的轉送已經關閉(但是,已驗證的使用者仍可以傳送電子郵件到外部網域).
嘗試以匿名方式提交電子郵件到外部網域的使用者會收到錯誤,例如「5505.
7.
1無法轉送suzan@adatum.
com」.
用戶端必須設定為使用SMTP驗證.
附註:雖然您可以允許匿名存取的轉送,但是不建議而且也不會有此要求.
允許未驗證轉送,會讓網際網路上的任何人都可使用您的伺服器來傳送電子郵件.
如果您選擇您的使用者從網際網路提交郵件需要的SMTP驗證,則需要純文字或基本驗證的SSL,讓企業使用者名稱與密碼不會以未經加密的方式傳送出去.
在SMTP虛擬伺服器的[內容]中,設定基本驗證的SSL:在[存取]索引標籤中,按一下[驗證],然後選取[必須使用TLS加密].
如需SMTP的詳細資訊,請參閱(ExchangeServer2003傳輸及路由手冊).
為周邊網路設定DSAccess在Exchange2000ServerSP2的DSAccess元件已經重新設計,以針對RPC流量不能透過內部防火牆的周邊網路提供較佳的支援.
然而,為避免效能問題,在前端伺服器有兩個您應該設定的額外登陸機碼,以停用NetLogon與目錄存取Ping.
此外,您可以設定DSAccess,讓您的前端伺服器連絡特定的網域控制站與通用類別目錄伺服器.
下列章節說明如何設定這些設定.
附註:本節包含編輯登錄的相關資訊.
編輯登錄錯誤可能會導致嚴重的問題,使您必須重新安裝作業系統.
編輯登錄錯誤所造成的問題可能無法解決.
請在編輯登錄之前,備份任何重要的資料.
附註:使用[登錄編輯程式]錯誤可能會導致嚴重問題,使您必須重新安裝作業系統.
Microsoft無法保證可以解決因使用[登錄編輯程式]錯誤而導致的問題.
使用[登錄編輯程式]需自行承擔一切風險.
如需編輯登錄的相關資訊,請檢視[登錄編輯程式](regedit.
exe)的說明主題或regedt32.
exe中的與說明主題.
請注意,您應該在編輯登錄前將其備份.
如果您正在執行MicrosoftWindowsNTServer或Windows2000Server,則應該同時更新您的緊急修復磁片(ERD).
停用NetLogon檢查DSAccess使用RPC的NetLogon服務,連線到ActiveDirectory伺服器以檢查可用磁碟空間、時間同步和複寫參與狀況.
如果您不允許RPC流量透過內部防火牆,則應在前端伺服器建立DisableNetlogonCheck登錄機碼以停止NetLogon檢查.
如需如何停用NetLogon檢查的詳細指示,請參閱.
停用目錄存取Ping在周邊網路中,您必須在前端伺服器建立登錄機碼以避免目錄存取Ping網域控制站.
如需如何停用目錄存取Ping的詳細指示,請參閱.
指定網域控制站與通用類別目錄伺服器在周邊網路中,您可能想要設定DSAccess使用特定網域控制站與通用類別目錄伺服器,然後再使用IP篩選來確保前端伺服器只能連線到那些網域控制站及通用類別目錄伺服器.
若要指定網域控制站及通用類別目錄伺服器,請使用在[內容]對話方塊中的[目錄存取]索引標籤.
在[目錄存取]索引標籤指定伺服器,以在登錄中設定機碼.
[目錄存取]索引標籤在舊版的Exchange無法使用;如果您先前已經設定登錄機碼以指定網域控制站及通用類別目錄伺服器,這些登錄機碼仍可以運作.
如何停用前端伺服器上的NetLogon檢查DSAccess使用RPC的NetLogon服務,連線到ActiveDirectory伺服器以檢查可用磁碟空間、時間同步和複寫參與狀況.
此程序說明如何停用NetLogon檢查.
開始之前這個主題包含關於編輯登錄的資訊.
注意:編輯登錄錯誤可能會導致嚴重的問題,使您必須重新安裝作業系統.
編輯登錄錯誤所造成的問題可能無法解決.
請在編輯登錄之前,備份任何重要的資料.
程序停用NetLogon檢查1.
啟動[登錄編輯程式](regedit).
2.
在登錄檔中找到下列機碼並加以選取:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeDSAccess\3.
在[編輯]功能表上按一下[新增值],然後新增下列登錄值:值名稱:DisableNetlogonCheck資料類型:REG_DWORD值資料:1如何停用目錄存取Ping此程序說明如何停用DSAccessPing網域控制站的功能.
開始之前這個主題包含關於編輯登錄的資訊.
注意:編輯登錄錯誤可能會導致嚴重的問題,使您必須重新安裝作業系統.
編輯登錄錯誤所造成的問題可能無法解決.
請在編輯登錄之前,備份任何重要的資料.
程序停用目錄存取Ping1.
啟動[登錄編輯程式](Regedit.
exe).
2.
在登錄檔中找到下列機碼並加以選取:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeDSAccess\3.
在[編輯]功能表上按一下[新增值],然後新增下列登錄值:數值名稱:LdapKeepAliveSecs資料類型:REG_DWORD數值資料:0主控多個網域在最簡單的拓撲,您不需要設定前端伺服器超過其做為前端伺服器的功能.
但是,如果您主控多個網域、組織、或公用資料夾樹狀目錄,您可能需要建立額外虛擬伺服器或目錄.
在ExchangeServer2003SP1之前,對於每一個您主控的網域,您必須擁有唯一的虛擬伺服器或目錄,讓在那些網域具有電子郵件的使用者可以登入適當的虛擬伺服器或目錄.
當主控額外網域時,您可以使用兩個方法設定HTTP虛擬伺服器:方法一:建立額外虛擬伺服器方法二:建立額外虛擬目錄在下列方法,您預設的Exchange網域是microsoft.
com,而且您主控adatum.
com的信箱以及contoso.
com的公用資料夾.
這個方法說明如何為這些主控的公司設定您的前端和後端伺服器.
附註:在ExchangeServer2003ServicePack1,您不再需要為不同SMTP網域來建立其他虛擬伺服器和虛擬目錄.
不過,可能有其他後勤或美學理由需要使用多重虛擬目錄和虛擬伺服器.
如需OutlookWebAccess登入與SMTP網域的詳細資訊,請參閱的.
方法一:建立額外虛擬伺服器在這個方法,您為您主控的每個網域建立虛擬伺服器.
例如,您在每個正在執行Exchange的伺服器上有三個HTTP虛擬伺服器:一是預設的Exchange虛擬伺服器,一個是adatum.
com信箱的虛擬伺服器,而一個是contoso.
com公用資料夾樹狀目錄的虛擬伺服器.
這個方法在決定每個網域可使用的資源時,具有最大的彈性.
每個HTTP虛擬伺服器必須具有唯一的IP位址、主機標題及通訊埠組合.
主機標頭是您網站的DNS名稱.
舉例來說,如果使用者在瀏覽器輸入http://www.
contoso.
com/example以存取您的網站,則主機標頭是www.
contoso.
com.
透過指定虛擬伺服器的主機標頭,您可以使用相同連接埠與IP位址組合來主控多個網站,因為主機標頭確保唯一性.
不過,如果您嘗試建立的虛擬伺服器具有與另一台伺服器這些設定的相同組合,則新虛擬伺服器將不會啟動.
當其他虛擬伺服器已經設定而工作階段非加密,用戶端要求會路由到正確的虛擬伺服器,如下所示:1.
用戶端會連線到前端伺服器.
2.
伺服器收到其中包含IP位址、要求的連接埠和主機標頭的封包.
3.
伺服器使用此資訊來尋找適當的虛擬伺服器以處理要求.
當使用者的要求路由到正確的虛擬伺服器,便無法保證使用者將能夠順利存取OutlookWebAccess.
若要登入虛擬伺服器,使用者也必須在與虛擬伺服器關聯的SMTP網域中,具有電子郵件地址.
每個指向信箱的虛擬伺服器與每個虛擬目錄都與特定SMTP網域關聯.
所以,當您建立指向信箱的其他虛擬伺服器,您必須設定虛擬伺服器與適當的網域關聯(Exchange安裝程式將預設的ExchangeHTTP虛擬伺服器與預設Exchange網域設定關聯;無法變更此預設).
在使用者的要求傳送到正確的虛擬伺服器之後,程序繼續,如下所示:1.
虛擬伺服器利用使用者的驗證認證在ActiveDirectory中查閱使用者.
2.
如果在與這個虛擬伺服器關聯的SMTP網域中,使用者也具有電子郵件地址,則虛擬伺服器便允許存取.
否則,虛擬伺服器拒絕存取.
附註:只有在前端伺服器啟用驗證的情況下,使用驗證認證來查閱使用者的SMTPProxy位址才會運作.
如果未啟用驗證,伺服器使用在URL當中指定的別名(因為透過前端伺服器使用通過驗證存取OutlookWebAccess,需要使用者以http://server/exchange/user格式輸入明確登入).
然後,為形成Proxy位址,伺服器結合別名與虛擬伺服器內容上的SMTP網域.
附註:使用SSL時,主機標頭包含在封包的加密部份;在非加密部份僅能使用IP位址及連接埠.
為決定用於解密資料的SSL認證,伺服器必須能利用唯一的IP位址和連接埠組合,來決定適當的虛擬伺服器.
因此,當使用SSL時(例如當在網際網路部署前端伺服器時),IP位址必須明確與適當的虛擬伺服器設定關聯.
在您建立額外虛擬伺服器之後,您必須在該虛擬伺服器之下建立Exchange和Public虛擬目錄.
如需如何建立虛擬目錄的詳細指示,請參閱.
附註:若要為您的使用者啟用變更密碼功能,您必須在前端的所有虛擬伺服器中啟用功能.
每個虛擬伺服器必須包含名為IISAdmPwd的虛擬目錄.
方法二:建立額外虛擬目錄第二種設定多重主控網域的方法是新增每個網域的虛擬目錄.
為了存取信箱儲存區,您必須在虛擬目錄的內容中指定網域.
對於存取公用儲存區,您必須指定根公用資料夾.
對於您第一個主控的公司adatum.
com,請在預設ExchangeHTTP虛擬伺服器之下新增虛擬目錄,並命名為唯一可識別主控公司的名稱,例如Adatum.
在虛擬目錄的內容,按一下[修改],然後選取adatum.
com作為SMTP網域,就像您為虛擬伺服器所做一樣.
來自adatum.
com的使用者現在可以連線到http://mail.
microsoft.
com/adatum/以存取他們的信箱.
新增Contoso另一個虛擬目錄,這一次選取[公用資料夾]並指定Contoso的公用資料夾根目錄.
來自contoso.
com的使用者現在可以連線到http://mail.
microsoft.
com/contoso/以存取他們的公用資料夾.
這個方法的優點是使用SSL.
SSL憑證針對特定主機或網域名稱發出—在這個案例是mail.
microsoft.
com.
當您具有不同網域名稱的多重虛擬伺服器時(例如,mail.
microsoft.
com和mail.
adatum.
com),您需要為每個網域申請一個SSL憑證,而那要花錢.
因為在第二個方法,用戶端透過單一網域—http://mail.
microsoft.
com—存取他們的資料,您可以節省憑證的的成本,只需要在每個虛擬伺服器設定SSL.
如需如何建立新虛擬伺服器的詳細指示,請參閱.
如果您主控多個網域,如同在第一個新增虛擬伺服器方法中所述,在每個網域建立虛擬伺服器,建議您使用標準虛擬目錄名稱—信箱存取用Exchange(請確定再次指定網域)與公用資料夾存取用public.
不要在任何額外虛擬伺服器中建立exadmin虛擬目錄;這僅供系統管理員使用,而且前端伺服器不會以代理方式傳送.
如何在ExchangeServer2003的HTTP虛擬伺服器之下新增虛擬目錄此主題說明如何在ExchangeServer2003的HTTP虛擬伺服器之下新增虛擬目錄.
程序在ExchangeServer2003的HTTP虛擬伺服器之下新增虛擬目錄1.
啟動[Exchange系統管理員]:按一下[開始],並依序指向[所有程式]及[MicrosoftExchange]後,再按一下[系統管理員].
2.
在[Exchange系統管理員]中,如果啟用系統管理群組,請展開[系統管理群組],再展開[伺服器],然後展開您想要設定使用電子郵件地址做為登入使用者名稱的伺服器.
3.
展開[通訊協定],再展開[HTTP],用滑鼠右鍵按一下HTTP虛擬伺服器,再按一下[新增],然後按一下[虛擬目錄].
4.
命名虛擬目錄.
Notes:您使用的名稱很重要,因為這是用戶端必須在其瀏覽器中輸入的項目(例如,http://mail.
microsoft.
com/virtualdirectoryname).
請勿在目錄名稱中使用下列字元順序,因為IIS會封鎖它們:-句點(.
)-雙句點(.
.
)-句點和正斜線(.
/)-反斜線(\)-百分比符號(%)-連字號(&)5.
用滑鼠右鍵按一下您剛建立的虛擬目錄,然後按一下[內容].
指定目錄是用於信箱存取或是公用儲存區的存取.
如果目錄是用於存取信箱儲存區,則必須指定SMTP網域.
如果虛擬目錄是用於公用資料夾儲存區的存取,請選擇適當的公用資料夾做為這個虛擬目錄的根公用資料夾.
如需詳細資訊如需詳細資訊,請參閱.
如何建立虛擬目錄使用這個程序來建立虛擬目錄.
程序若要建立虛擬目錄1.
在Exchange系統管理員中,請用滑鼠右鍵按一下HTTP虛擬伺服器,按一下[新增],然後按一下[虛擬目錄].
2.
命名虛擬目錄.
附註:您使用的名稱很重要,因為這是用戶端必須在其瀏覽器中輸入的項目(例如,http://mail.
microsoft.
com/virtualdirectoryname).
請勿在目錄名稱中使用下列字元順序,因為IIS會封鎖它們:-句點(.
)-雙句點(.
.
)-句點和正斜線(.
/)-反斜線(\)-百分比符號(%)-連字號(&)3.
請用滑鼠右鍵按一下您剛建立的虛擬目錄,然後按一下[內容].
指定目錄是用於信箱存取或是公用儲存區的存取.
如果目錄是用於存取信箱儲存區,則必須指定SMTP網域.
如果虛擬目錄是用於公用資料夾儲存區的存取,請選擇適當的公用資料夾做為這個虛擬目錄的根公用資料夾.
設定後端伺服器在每個樹系基礎上,Exchange的組態儲存在ActiveDirectory目錄伺服器中,這表示所有前端及後端伺服器必須位在相同的樹系.
如果需要,且不會影響前端與後端組態的行為,可以直接存取後端伺服器.
如果您在任何前端伺服器中沒有設定任何額外的虛擬伺服器或目錄,則不需要在後端伺服器上進行此設定.
然而,如果您在任何前端伺服器中建立額外的虛擬伺服器或目錄,則必須在後端伺服器中新增對應的虛擬伺服器和目錄.
特定後端伺服器的組態步驟,取決於後端伺服器是否是位在叢集上.
下列步驟描述非叢集後端伺服器的組態.
有關設定叢集後端伺服器的詳細資訊,請參閱技術文件(部署MicrosoftExchange2000Server叢集).
附註:當後端伺服器已經叢集時,您無法使用實際實體叢集電腦的名稱存取叢集HTTP虛擬目錄.
您必須使用虛擬群組名稱.
在後端伺服器上設定驗證依照預設值,在後端的HTTP虛擬伺服器設定為允許基本驗證及整合式Windows驗證.
您應該使用此預設的設定.
基本驗證以經編碼(不加密)格式在網路上傳遞使用者名稱及密碼.
整合式Windows驗證是指更安全的驗證機制套件(例如NTLM和Kerberos),不是以純文字透過網路傳送密碼.
當前端HTTP虛擬伺服器驗證要求時,將要求使用者提供驗證資訊.
使用者將驗證資訊傳送到前端伺服器,前端伺服器會驗證使用者,然後將資訊傳遞到後端伺服器.
後端伺服器會再次驗證使用者,但不需再次要求使用者提供驗證資訊.
Exchange2000前端伺服器對於HTTP存取,會使用基本驗證到後端伺服器Exchange2003前端伺服器對於HTTP存取,會使用整合式驗證到後端伺服器只有InternetExplorer支援直接對後端伺服器使用整合式Windows驗證.
在後端伺服器建立及設定HTTP虛擬伺服器在中,討論主控多個網域時,有兩個方法可以設定前端與後端拓撲:第一個方法是為每個主控的網域設定虛擬伺服器.
第二個方法是為每個主控的網域設定虛擬目錄.
根據您選擇的方法,後端組態會有一些不同.
此外,如果您因為其他原因在前端伺服器建立額外的虛擬伺服器(例如,為了主控Web應用程式),則必須在任何Web應用程式可能存在的後端伺服器中新增相同設定的虛擬伺服器.
方法一:設定額外的虛擬伺服器如果您選擇要為每個額外網域(在每個額外網域底下的Exchange虛擬目錄)建立額外虛擬伺服器,則必須在後端伺服器建立對應的虛擬伺服器.
這個步驟與設定前端伺服器的步驟稍微不一樣.
如需在後端伺服器設定額外虛擬伺服器的詳細指示,請參閱.
方法二:建立額外的虛擬目錄如果您選擇要為每個額外網域(在預設網域之下)建立額外虛擬伺服器,請設定虛擬目錄結構以符合前端伺服器的虛擬目錄結構.
對於前端伺服器,請確定已為與信箱儲存區關聯之虛擬目錄,指定適當的SMTP網域.
因為IIS會將其封鎖,所以目錄名稱不能包含下列字元順序:-句點(.
)-雙句點(.
.
)-句點和正斜線(.
/)-反斜線(\)-百分比(%)-連字號(&)如何在後端伺服器設定額外的虛擬伺服器如果您在Exchange前端伺服器建立額外的虛擬伺服器,則必須在後端伺服器新增同樣設定的虛擬伺服器.
此程序說明如何在後端伺服器設定額外的虛擬伺服器.
開始之前在執行這個主題中的程序之前,您必須在前端伺服器建立額外的虛擬伺服器.
如需在您的前端伺服器設定虛擬伺服器的詳細資訊,請參閱.
程序在後端伺服器設定額外的虛擬伺服器1.
啟動[Exchange系統管理員]:按一下[開始],並依序指向[所有程式]及[MicrosoftExchange]後,再按一下[系統管理員].
2.
在[Exchange系統管理員],如果啟用系統管理群組,請展開[系統管理群組],再展開[伺服器],然後展開您想要設定使用電子郵件地址做為登入使用者名稱的伺服器.
3.
展開[通訊協定],用滑鼠右鍵按一下[HTTP],按一下[新增],然後選取[HTTP虛擬伺服器].
4.
在[內容]對話方塊,輸入虛擬伺服器的名稱.
給予虛擬伺服器一致的命名,例如「adatum.
com(後端)」.
5.
在[Exchange路徑]底下,按一下[修改],從清單中選取適當的網域(在這個案例是adatum.
com),然後按一下[確定].
6.
按一下[進階],然後新增適當的主機名稱(在這個例子是mail.
adatum.
com).
用戶端瀏覽器存取前端伺服器所使用的位址,其由前端伺服器轉送到後端伺服器,所以後端伺服器必須知道用戶端,每個可能連線到前端伺服器所使用的名稱(例如http://mail、http://mail.
adatum.
com等等).
附註:在後端伺服器,TCP連接埠必須是80.
不論用戶端和前端伺服器使用哪個連接埠,所有前端和後端伺服器間的HTTP通訊都是透過TCP連接埠80.
您可以在預設設定保留SSL連接埠.
設定防火牆本節討論如何設定防火牆結合Exchange前端和後端拓撲使用.
下列主題提供這些環境中的前端伺服器額外的設定資訊.
設定網際網路防火牆設定內部網路防火牆設定網際網路防火牆在網際網路案例中,防火牆通常放置在公司網路與網際網路之間.
此防火牆控制網際網路中的電腦與公司網路中的電腦,兩者之間可以流通的連線.
當設定此防火牆時,重點是要考慮流量的方向.
如需關於連接埠方向的詳細討論內容,請參閱中的.
您必須設定防火牆以允許要求可以傳送到特定IP位址,以及透過特定TCP/IP連接埠傳送.
下表列出不同服務所需的連接埠.
這些連接埠是輸入流量專屬(從網際網路到前端伺服器).
必須在網際網路防火牆中開啟的連接埠目的連接埠號碼/傳輸通訊協定443/TCP輸入HTTPS(SSL安全HTTP)993/TCP輸入SSL安全IMAP995/TCP輸入SSL安全POP25/TCP輸入SMTP附註:在這個表格中,「輸入」表示您應該設定防火牆允許外面的電腦(在這個情況是網際網路)可以初始化連線到前端伺服器.
前端伺服器永遠不需要初始化連線到網際網路中的電腦;前端伺服器只回應由網際網路中的電腦所初始化的連線.
設定ISAServer如果您使用ISAServer,您必須依照以下動作設定.
(這些是一般指導方針.
如需關於如何設定ISAServer的詳細資訊,請參閱ISAServer產品文件).
1.
設定SSL的接聽程式.
2.
建立包含ISA伺服器外部IP位址的目的地組.
網頁發佈規則將使用這個目的地組.
3.
建立將要求重新導向至內部前端伺服器的網頁發佈規則4.
為外寄流量建立通訊協定規則,以在ISAServer中開啟連接埠.
5.
針對OutlookWebAccess設定ISAServer.
如需更多有關針對OutlookWebAccess設定ISAServer的資訊,請參閱Microsoft知識庫文件307347:(在ISAServer後的安全OWA發佈可能需要自訂HTTP標頭).
設定內部網路防火牆本主題討論您使用外部與內部防火牆之周邊網路的使用.
下列章節說明如何設定您的周邊網路、內部網路防火牆和ISA伺服器以讓Exchange正常運作.
SP2中的新功能隨著MicrosoftExchangeServer2003ServicePack2(SP2)的推出,Microsoft導入直接發送技術,讓ExchangeActiveSync可以在郵件到達伺服器時,立刻傳送電子郵件訊息到行動裝置.
使用直接發送技術,每當後端伺服器收到要傳輸到行動裝置的電子郵件或資料時,即會傳送UDP通知到前端伺服器.
此傳輸需要防火牆開啟UDP連接埠2883,讓後端伺服器可以單向傳輸到前端伺服器.
如需關於部署直接發送技術與其對防火牆組態影響的詳細資訊,請參閱下列Exchange伺服器網誌文件:(直接發送只是離開的活動訊號).
附註:每個網誌的內容及其URL如有變更,恕不另行通知.
在周邊網路的進階防火牆伺服器當您的進階防火牆伺服器(例如,ISA)並非也是您的內部網路防火牆(在進階防火前與前端伺服器之間有另外的防火牆),則必須在內部網路防火牆開啟所需的通訊協定連接埠以允許進階防火牆伺服器轉送要求.
允許進階防火牆伺服器轉送要求所需的通訊協定連接埠目的連接埠號碼/傳輸通訊協定443/TCP輸入或80/TCP輸入HTTPS(SSL安全HTTP)或HTTP,依據進階防火牆(例如ISA)是否卸載SSL解密993/TCP輸入SSL安全IMAP995/TCP輸入SSL安全POP25/TCP輸入SMTP如果進階防火牆執行如驗證使用者此類工作,可能需要額外的連接埠.
請參閱您的進階防火牆文件以取得詳細資訊.
附註:其他防火牆廠商可能會建議您針對IP分散,對其個別產品進行其他組態設定.
在周邊網路的前端伺服器如果放置在周邊網路,前端伺服器必須可以初始化連線到後端伺服器與ActiveDirectory目錄服務伺服器.
因此,您必須設定內部防火牆的規則,允許來自周邊網路的輸入連接埠80流量至公司網路.
這個規則不允許來自公司網路的輸出連接埠80流量傳送到前端伺服器.
所有連接埠的討論,指的是從周邊網路伺服器中攜帶流量到後端伺服器的輸入連接埠.
附註:較佳的部署方法是前端伺服器與後端伺服器位在內部網路,然後使用進階防火牆作為周邊網路.
如果您有特定的需求,只需要遵循這個小節的說明,將Exchange前端伺服器放置在周邊網路.
基本通訊協定在每個案例中,所有支援的通訊協定連接埠必須在內部防火牆開啟.
SSL連接埠不需要開啟,因為在前端伺服器與後端伺服器之間的通訊未使用SSL.
下表列出內部防火牆所需的連接埠.
這些連接埠是特定於輸入流量(從前端伺服器到後端伺服器).
內部防火牆所需的通訊協定連接埠連接埠號碼/傳輸通訊協定80/TCP輸入HTTP143/TCP輸入IMAP110/TCP輸入POP25/TCP輸入691/TCPSMTP連結狀態演算法路由附註:在這個表格中,「輸入」表示應該要設定的防火牆,以允許周邊網路的電腦(例如進階防火牆伺服器),初始化連線到公司網路的前端伺服器.
前端伺服器永遠不需要初始化連線到周邊網路中的電腦.
前端伺服器只會回應由周邊網路電腦初始化的連線.
ActiveDirectory通訊如果要與ActiveDirectory通訊,Exchange前端伺服器需要將LDAP連接埠設定為開啟.
同時需要TCP與UDP:在前端伺服器的Windows會傳送389/UDPLDAP要求到網域控制站來檢查其是否可供使用;在那之後,LDAP傳輸會使用TCP.
同時也會使用WindowsKerberos驗證;因此,Kerberos連接埠也必須開啟.
Kerberos也需要TCP與UDP:Windows依照預設使用UDP/88,但當資料大於UDP封包的最大限制時,則使用TCP.
下表列出與ActiveDirectory和Kerberos通訊所需的連接埠.
與ActiveDirectory和Kerberos通訊所需的連接埠連接埠號碼/傳輸通訊協定389/TCPLDAP到目錄服務389/UDP3268/TCPLDAP到通用類別目錄伺服器88/TCPKerberos驗證88/UDP在防火牆中,可以開啟兩組選用的連接埠.
是否開啟這些連接埠需依照公司原則決定.
每個決定都必須考量在區域安全性、管理的方便性和功能性之間的權衡.
網域名稱服務(DNS)前端伺服器必須存取DNS伺服器以正確查閱伺服器名稱(例如,將伺服器名稱轉換為IP位址).
下表列出存取時所需的連接埠.
如果您不想開啟這些連接埠,則必須在前端伺服器安裝DNS伺服器,並對於其所可能連絡的所有伺服器,輸入適當的名稱與IP對應.
此外,因為前端必須能找到網域控制站,所以必須設定所有的ActiveDirectorySRV記錄.
如果您選擇安裝DNS伺服器,當組織變更時,請記得將這些對應保持在最新狀態.
存取DNS伺服器所需的連接埠連接埠號碼/傳輸通訊協定53/TCPDNS查閱53/UDP附註:大部分服務使用UDP查閱DNS,只有在查詢大於最大封包大小時,才使用TCP.
但是,ExchangeSMTP服務會根據預設使用TCP查閱DNS.
如需詳細資訊,請參閱Microsoft知識庫文件263237(XCON:Windows2000與Exchange2000SMTP使用TCPDNS查詢).
IPSec下表列出允許IPSec流量穿越內部網路防火牆的需求.
您只需要啟用適用於您設定通訊協定的連接埠;例如,如果您選擇使用ESP,只需要允許IP通訊協定50穿越防火牆.
IPSec必要的連接埠連接埠號碼/傳輸通訊協定IP通訊協定51驗證標頭(AH)IP通訊協定50封裝安全承載(ESP)500/UDP網際網路金鑰交換(IKE)88/TCPKerberos88/UDP遠端程序呼叫(RPC)DSAccess已不再使用RPC來執行ActiveDirectory服務探索.
不過,因為您的前端伺服器設定為驗證要求,IIS仍必須使用RPC存取ActiveDirectory以驗證要求.
因此,您必須開啟在下方「驗證所需的RPC連接埠」表格中所列的RPC連接埠.
停止RPC流量如果您有不允許RPC穿越內部網路防火牆的鎖定周邊網路,因而前端伺服器無法驗證使用者,則可能不被允許開啟在下方「驗證所需的RPC連接埠」表格中所列的RPC連接埠.
.
沒有這些RPC連接埠,前端伺服器無法執行驗證.
您可以設定前端伺服器允許匿名存取,但應該瞭解這樣做的風險.
如需詳細資訊,請參閱.
除了停止所有RPC流量外,建議您開啟一個連接埠(如下節所述),以限制RPC流量.
限制RPC流量如果您想要使用的功能需要RPC,例如驗證或隱含登入,但不希望開啟超過1024以上的大範圍連接埠,您可以設定網域控制站及通用類別目錄伺服器,針對所有RPC流量使用單一已知連接埠.
如需如何限制RPC流量的詳細資訊,請參閱Microsoft知識庫文件224196(限制ActiveDirectory覆寫流量至特定連接埠).
如果要驗證用戶端,在任何前端伺服器可能使用RPC連絡的伺服器中,例如通用類別目錄伺服器,必須設定登入機碼(如上述知識庫文件描述並如下所示).
設定下列登錄機碼到特定連接埠,例如1600:HKEY_LOCAL_MACHINE\CurrentControlSet\Services\NTDS\Parameters登錄值:TCP/IP連接埠值類型:REG_DWORD值資料:(可用的連接埠)在周邊網路與您內部網路之間的防火牆中,只需要開啟兩個RPC通訊的連接埠—RPCportmapper(135)與您指定的連接埠(連接埠1600,如下表所列示).
前端伺服器先嘗試使用RPC經由連接埠135連絡後端伺服器,而後端伺服器會以其實際上使用的RPC連接埠回應.
附註:Exchange系統管理員使用RPC來管理Exchange伺服器.
建議您不要在前端伺服器使用Exchange系統管理員來管理後端伺服器,因為這需要設定來自前端的RPC存取連線到每個後端伺服器.
相反地,您應該從Exchange用戶端電腦使用Exchange系統管理員,或使用後端伺服器來管理後端伺服器.
您仍可以在前端伺服器上使用Exchange系統管理員來管理前端伺服器本身.
驗證所需的RPC連接埠連接埠號碼/傳輸通訊協定135/TCPRPC連接埠端點對應程式1024+/TCP或1600/TCP隨機服務連接埠(範例)如果限制,則是特定的RPC服務連接埠前端及後端拓撲檢查清單下列檢查清單摘要設定前端伺服器、後端伺服器及防火牆的必要步驟.
附註:下列程序包含編輯您的登錄資訊.
使用[登錄編輯程式]錯誤可能會導致嚴重問題,使您必須重新安裝作業系統.
Microsoft無法保證可以解決因使用[登錄編輯程式]錯誤而導致的問題.
使用[登錄編輯程式]需自行承擔一切風險.
如需編輯登錄的相關資訊,請檢視[登錄編輯程式](Regedit.
exe)的說明主題或Regedt32.
exe中的與說明主題.
請注意,您應該在編輯登錄前將其備份.
您也應該更新您的緊急修復磁片(ERD).
附註:下列表格以表格與檢查清單格式呈現前端和後端拓樸的工作.
設定前端伺服器工作步驟1.
安裝Exchange伺服器:在前端伺服器上安裝Exchange伺服器.
步驟2.
根據需要,在前端伺服器設定HTTP虛擬伺服器或目錄,以存取信箱與公用儲存區:對於其他虛擬伺服器,請指定SMTP網域、IP位址和主機標頭或連接埠.
保留[基本驗證]核取方塊為選取.
對於其他公用儲存區的虛擬目錄,請指定適當的公用儲存區根目錄.
對於其他信箱儲存區的虛擬目錄,請指定SMTP網域.
步驟3.
停用不必要的服務:停止通訊協定不需要使用的任何服務.
步驟4.
如果需要,請卸載與刪除儲存區:如果您現在沒有執行SMTP,請卸載及刪除所有信箱儲存區.
如果您正在執行SMTP,請保留信箱儲存區裝載,但需確定信箱儲存區不包含任何信箱.
如果您在公用資料夾收到大量的外部電子郵件,則可以裝載公用儲存區,這會改進郵件傳遞到公用資料夾的速度.
步驟5.
如果需要,設定前端伺服器負載平衡:在所有前端伺服器安裝負載平衡.
(建議)啟用用戶端相關性.
步驟6.
設定SSL(建議):選項1:在前端伺服器設定SSL.
選項2:在用戶端與前端伺服器之間設定伺服器以卸載SSL解密.
步驟7.
如果您使用周邊網路:附註:我們建議您在周邊網路中使用進階防火牆伺服器(如ISAServer)而不是前端伺服器.
如需詳細資訊,請參閱.
建立DisableNetlogonCheck登錄機碼並將REG_DWORD值設為1.
建立LdapKeepAliveSecs登錄機碼並將REG_DWORD值設為0.
如果要限制前端伺服器只能連絡特定網域控制站或通用類別目錄伺服器,請在前端伺服器的[Exchange系統管理員]中指定.
步驟8.
如果您使用周邊網路,而且不希望RPC透過內部網路防火牆:附註:如果您在前端伺服器停用驗證,則表示您允許匿名要求直接傳送到後端伺服器.
在前端伺服器停用驗證.
步驟9.
如果需要,在前端伺服器上建立IPSec原則.
設定後端伺服器工作1.
建立與設定HTTP虛擬伺服器或目錄以符合前端:2.
對於其他虛擬伺服器,根據需要設定主機標頭及IP位址.
TCP連接埠必須留在80.
確定已同時選取[基本驗證]和[整合式Windows驗證]核取方塊.
3.
對於其他公用資料夾儲存區的虛擬目錄,請指定適當的公用資料夾儲存區根目錄,以符合在前端伺服器所設定的根目錄.
4.
對於其他信箱儲存區的虛擬目錄,請指定SMTP網域.
設定防火牆工作步驟1.
設定網際網路防火牆(在網際網路和前端伺服器之間):在網際網路防火牆開啟郵件通訊協定的TCP連接埠:HTTPS為443啟用SSL的IMAP為993啟用SSL的POP為995SMTP為25(包括TLS)步驟2.
(續)如果使用ISAServer,請依下列方式設定:設定SSL的接聽程式.
建立包含ISA伺服器外部IP位址的目的地組.
網頁發佈規則將使用這個目的地組.
建立重新導向要求至內部前端伺服器的網頁發佈規則.
為外寄流量建立通訊協定規則,以在ISAServer中開啟連接埠.
針對OutlookWebAccess設定ISA伺服器(如需關於針對OutlookWebAccess設定ISA伺服器的詳細資訊,請參閱Microsoft知識庫文件307347(在ISAServer後的安全OWA發佈可能需要自訂HTTP標頭).
步驟3.
如果在周邊網路使用前端伺服器,請設定內部網路防火牆:針對您正在使用的通訊協定,在內部網路防火牆開啟TCP連接埠:HTTP為80IMAP為143POP為110SMTP為25LinkStateAlgorithm路由通訊協定為691針對ActiveDirectory通訊開啟連接埠:針對LDAP到目錄服務為TCP連接埠389LDAP到目錄服務為UDP連接埠389LDAP到通用類別目錄伺服器為TCP連接埠3268Kerberos驗證為TCP連接埠88Kerberos驗證為UDP連接埠88開啟存取DNS伺服器所需的連接埠:TCP連接埠53UDP連接埠53開啟RPC通訊的適當連接埠:TCP連接埠135-RPC端點對應程式TCP連接埠1024+-隨機RPC服務連接埠(選擇性)若要限制RPC透過內部網路防火牆,請編輯內部網路伺服器的登錄,以指定RPC流量傳送到特定非隨機的連接埠.
然後,開啟內部防火牆的適當連接埠:TCP連接埠135–RPC端點對應程式TCP連接埠1600(範例)–RPC服務連接埠如果您在前端和後端之間使用IPSec,請開啟適當的連接埠.
如果您設定的原則只使用AH,則不需要允許ESP,反之亦然.
UDP連接埠500–IKEIP通訊協定51–AHIP通訊協定50–ESPUDP連接埠88和TCP連接埠88–Kerberos前端與後端拓撲疑難排解在前端與後端架構中發生的問題,通常是因為在伺服器或網路路由器中錯誤的設定,造成網路流量無法從前端伺服器傳送到正確的後端伺服器.
在所有案例中,事件日誌項目可能協助疑難排解特定問題.
當您在前端與後端拓撲中疑難排解已經報告或觀察到的問題,請逐步執行以下動作查看是否適用於您的問題.
疑難排解工具當在前端和後端拓撲中疑難排解問題時,下列工具可以幫助您.
網路監視器使用網路監視器以監視流量,並判斷前端伺服器與其他伺服器之間的狀況.
設定一個連線到前端伺服器的用戶端,並監視在前端伺服器與內部伺服器之間的流量.
如果並未使用SSL,您也可以使用網路監視器來監視用戶端與前端伺服器之間的流量.
事件檢視器檢查在前端與後端伺服器,以及其他相關伺服器(DNS、通用類別目錄及其他伺服器)的事件日誌.
可能有一些項目指出問題所在.
RPCPing若要測試前端伺服器與通用類別目錄或後端伺服器之間的RPC連線狀況,請使用Rpings.
exe工具.
它位在ExchangeCD的support目錄.
Telnet利用telnet.
exe,嘗試使用郵件通訊協定使用的連接埠,直接連線到使用者的後端伺服器.
舉例來說,如果當您連線到前端伺服器時OutlookWebAccess無法執行,請嘗試從前端伺服器使用Telnet連線到後端伺服器上的連接埠80.
一般疑難排解步驟請確定在前端和後端伺服器上已經啟動所有適當的服務.
如果適用的話,這包括WorldWideWebPublishing服務與SMTP服務之外的所有Exchange相關服務.
如果您具有周邊網路,請確定在內部防火牆上已經開啟適當的連接埠,如所述.
請確定前端伺服器可以成功連線到通用類別目錄伺服器及DNS伺服器.
當前端伺服器位在周邊網路中時,這一點尤其重要.
從前端伺服器使用Telnet連線到內部網路伺服器中適當的連接埠—389、3268、53及其他連接埠.
附註:WindowsTelnet使用TCP/IP而無法連線到UDP連接埠.
如果您無法在任何通訊協定中使用主機名稱,從前端伺服器連線到後端伺服器,請嘗試使用IP位址.
如果這樣可行,請檢查您可連線到前端伺服器使用的DNS伺服器.
同時也請確認在DNS中該名稱與IP對應是正確的.
如果前端伺服器是利用登錄中的網域控制站及通用類別目錄伺服器清單設定,請確定前端可以如登錄項目中所指定的一般,正確的連線到每一個這些伺服器.
請確定每個虛擬伺服器的IP位址和主機標頭組合是唯一的.
如果您有前端伺服器的負載平衡解決方案,請確定可以從用戶端電腦連線到共用的IP.
系統管理:如果您要使用Exchange系統管理員,請確定系統服務員服務正在執行.
同時請記得在刪除前端伺服器的儲存區之後,您將無法使用網際網路服務管理員.
如果使用者抱怨公用資料夾中的讀取和未讀取郵件狀態不穩定,請考慮下列問題:是否新增或移除後端公用資料夾伺服器在前端是否啟用驗證任何提供資料夾服務的後端已經停機登入失敗如果您的使用者在登入POP、IMAP或OutlookWebAccess時發生問題,請考慮下列常見問題:使用者輸入的使用者名稱格式是否正確—domain\username,username@domain.
com,username如果已經設定UPN或預設網域,而且使用者已經輸入正確格式的使用者名稱,請檢查在Exchange系統管理員中,所有虛擬伺服器與虛擬目錄的預設網域設定都是正確的.
請確認在網際網路服務管理員中是相同的設定.
如果網域在Exchange系統管理員中是正確的,但是在網際網路服務管理員中不正確,則很有可能從Exchange系統管理員複寫設定到網際網路服務管理員時發生問題.
請嘗試重新啟動MSExchangeSA服務以修正此問題.
請驗證HTTP虛擬伺服器的主機標頭完全符合連線到伺服器的用戶端瀏覽器所使用的主機標頭.
請驗證主機標頭是正確的,而且在後端與前端虛擬伺服器和目錄中,沒有打字錯誤.
如果您為了多個網域設定多個虛擬伺服器,請確定SMTP網域設定正確.
請確定在使用者正在存取的虛擬伺服器中,已經設定使用者嘗試登入所使用的電子郵件地址網域.
疑難排解OutlookWebAccess如需疑難排解OutlookWebAccessforExchange2000Server的詳細資訊,請參閱(在MicrosoftExchange2000Server中疑難排解OutlookWebAccess).
Copyright本文件中包含的資訊代表MicrosoftCorporation對於在發佈日期所討論之問題目前的觀點.
因為Microsoft必須回應變動的市場狀況,所以它不應該解譯為Microsoft一方的承諾,而且Microsoft無法保證在發佈日期之後所呈現的任何資訊都是精確無誤.
這份白皮書僅供參考用途.
MICROSOFT對這份文件載明之資訊以外之一切明示、默示或法定之擔保不負責.
遵守所有適用的著作權法是使用者的責任.
在不限制任何依著作權本得享有之權利,未經MicrosoftCorporation書面許可,貴用戶不得為任何目的使用任何形式或方法(電子形式、機械形式、影印、記錄或其他方式)複製或傳送本文件的任何部份,也不得將本文件的任何部份儲存或放入檢索系統(aretrievalsystem).
Microsoft可能擁有本文件所提及內容中所含之專利權、專利優先權、商標、著作權,或其他智慧財產權.
除非Microsoft書面授權合約所明示規定者外,提供本文件並不授予貴用戶上述專利權、商標、著作權或其他智慧財產權.
除非另有說明,此處所描述之範例公司、組織、產品、網域名稱、電子郵件地址、商標圖樣、人員、地點及事件均屬虛構.
並非影射任何真實的公司、組織、產品、網域名稱、電子郵件地址、商標圖樣、人員、地點及事件.
Virtono是一家成立于2014年的国外VPS主机商,提供VPS和服务器租用等产品,商家支持PayPal、信用卡、支付宝等国内外付款方式,可选数据中心共7个:罗马尼亚2个,美国3个(圣何塞、达拉斯、迈阿密),英国和德国各1个。目前,商家针对美国圣何塞机房VPS提供75折优惠码,同时,下单后在LET回复订单号还能获得双倍内存的升级。下面以圣何塞为例,分享几款VPS主机配置信息。Cloud VPSC...
云雀云(larkyun)当前主要运作国内线路的机器,最大提供1Gbps服务器,有云服务器(VDS)、也有独立服务器,对接国内、国外的效果都是相当靠谱的。此外,还有台湾hinet线路的动态云服务器和静态云服务器。当前,larkyun对广州移动二期正在搞优惠促销!官方网站:https://larkyun.top付款方式:支付宝、微信、USDT广移二期开售8折折扣码:56NZVE0YZN (试用于常州联...
轻云互联成立于2018年的国人商家,广州轻云互联网络科技有限公司旗下品牌,主要从事VPS、虚拟主机等云计算产品业务,适合建站、新手上车的值得选择,香港三网直连(电信CN2GIA联通移动CN2直连);美国圣何塞(回程三网CN2GIA)线路,所有产品均采用KVM虚拟技术架构,高效售后保障,稳定多年,高性能可用,网络优质,为您的业务保驾护航。活动规则:用户购买任意全区域云服务器月付以上享受免费更换IP服...