Artigo original publicado na terça-feira, 13 de dezembro de 2011

Até agora, muitos de vocês viram os artigos que discutiram as Políticas do Catálogo de Endereços, alterações na hospedagem e o Assistente de Configuração Híbrida, mas no fundo eu sei que todos estavam esperando uma discussão sobre o recurso mais procurado que decidimos incluir no Exchange 2010 SP2.

Qual é esse recurso, você está perguntando...  Sim, eu sei, Tony disse que "é provável que os novos recursos do SP2 irão causar um grande agito" e que não existem tantos recursos novos assim no SP2 (acredito que as palavras dele foram "escassez relativa") no seu anúncio sobre o SP2 artigo no Windows IT Pro.

Bem, estou aqui para esclarecer tudo. Existe um recurso fantástico no Exchange 2010 SP2 que frequentemente não é mencionado. Isso mesmo. Chegou a hora de discutir o redirecionamento silencioso entre os sites para o Outlook Web App!

Definições

Primeiro, vamos ver as definições para ficarmos todos na mesma página.

  • Site do Active Directory voltado para a Internet Um site do Active Directory que contém um CAS que possui um ExternalURL preenchido para o serviço associado (como OWA). Normalmente, esse é o principal datacenter/site em que o Exchange 2010 é implantado.
  • Site do Active Directory voltado para a Internet regional Um site do Active Directory que contém CAS que possuem um ExternalURL preenchido para o serviço associado (como OWA).
  • Site do Active Directory não voltado para a Internet Um site do Active Directory que contém CAS que não possuem um ExternalURL preenchido para o serviço associado.
  • Conexão Direta O processo em que o CAS estabelece uma sessão de RPC com um servidor da caixa postal que hospeda os dados da caixa postal.
  • Proxy O processo em que um CAS tem um site do Active Directory voltado para a Internet e serve como proxy das solicitações recebidas por um CAS em um site que não seja voltado para a Internet (localizado no mesmo site que o servidor da caixa postal que está sendo acessado).
  • Redirecionamento O processo em que um CAS voltado para a Internet em um site do Active Directory redireciona o usuário final para outro CAS voltado para a Internet, que reside no mesmo site que o servidor da caixa postal que está sendo acessado.
  • Redirecionamento silencioso O processo pelo qual o CAS emite um redirecionamento silencioso de volta ao navegador do usuário, indicando que ele estabeleça uma conexão com o URL especificado.
  • Redirecionamento do Logon Único (SSO) O processo em que o CAS emite um redirecionamento silencioso de volta ao navegador do usuário, indicando para enviar as credenciais de solicitação e autenticação a um CAS de destino para que a experiência de logon seja perfeita.

Processo de conexão do OWA

A fim de entender os diversos cenários de proxy e redirecionamento, é importante compreender a mecânica por detrás do que acontece quando um usuário autentica contra um CAS para acessar o OWA, como acontece hoje com o Exchange 2010 pré-SP2:

  1. O usuário acessa um URL do OWA usando o navegador da Web.
  2. O usuário insere as credenciais.
  3. O CAS autentica o usuário e recupera as seguintes informações através da solicitação de descoberta do serviço:
    1. Versão da caixa postal do usuário
    2. Localização da caixa postal do usuário (site do Active Directory), se conhecida
  4. O CAS coleta informações adicionais com base nos dados da caixa postal, para que possa realizar a operação correta:
    1. Se a caixa postal for do Exchange 2010 e local, o CAS executa a conexão direta.
    2. Se a caixa postal for do Exchange 2007 e local, o CAS recupera o ExternalURL de um CAS do Exchange 2007 (se não foi definido, ele usará o InternalURL) e faz um redirecionamento silencioso.
    3. Se a caixa postal for do Exchange 2003, o CAS recupera o Exchange2003URL e faz o redirecionamento silencioso.
    4. Se a caixa postal não for local, o CAS recupera o ExternalURL e faz o redirecionamento ou proxy se nenhum OWA ExternalURL estiver definido no site de destino do Active Directory.

Tipos de redirecionamento do OWA

No Exchange 2010 SP1, fizemos pequenas modificações que resultaram em três tipos de experiência no redirecionamento para o OWA, no produto local:

  • Redirecionamento manual
  • Redirecionamento manual temporário
  • Redirecionamento silencioso de legado

Redirecionamento manual

O redirecionamento manual permite que os clientes não precisem afunilar e fazer o proxy de todo o tráfego a partir de um local central, onde existe um CAS mais próximo da caixa postal do usuário.

Os redirecionamentos manuais são realizados quando o CAS deve redirecionar uma solicitação do OWA para a infraestrutura do Exchange 2007 ou 2010 que esteja localizada em um site diferente do Active Directory. Como mencionado previamente, para que o redirecionamento manual seja executado, o diretório virtual de destino do OWA deve ter um ExternalURL. O seu usuário verá a seguinte mensagem de redirecionamento manual e o ExternalURL do CAS no outro site do Active Directory:

1 
Figura 1: Redirecionamento manual quando a caixa postal e está localizada em outro site do Active Directory.

 

Redirecionamento manual temporário

No SP1, adicionamos outro tipo de redirecionamento para o OWA, conhecido como Redirecionamento manual temporário. Existem dois cenários em que ele entra em cena:

  1. Durante um evento de switchback de ativação do datacenter, existe a possibilidade de que o navegador da Web do usuário ainda tenha a entrada de DNS incorreta no cache e portanto esteja apontando para a infraestrutura do CAS em um site do Active Directory que não hospeda mais a caixa postal. Como resultado, o CAS irá emitir um redirecionamento manual para o site correto do Active Directory, mas o redirecionamento é para o mesmo URL que o usuário está utilizando atualmente. Para impedir um efeito de pingue-pongue onde o usuário não pode acessar seu email, o CAS irá detectar se o mesmo cookie de sessão está sendo retornado, e nesse caso, verificará se o CAS de destino tem um valor FailbackURL para o diretório virtual do OWA. Se um FailbackURL for especificado, o CAS emite uma página de redirecionamento manual temporário fornecendo o link do FailbackURL. Se um FailbackURL não for especificado, o CAS emite uma página de erro pedindo ao usuário para fechar todas as sessões do navegador e tentar novamente.

    3
    Figura 2: Redirecionamento manual temporário no switchback da ativação do datacenter

  2. O segundo cenário é quando o CAS emite uma página de redirecionamento manual temporário ao detectar que o site do CAS local corresponde ao valor RpcClientAccessServer do banco de dados da caixa postal, mas na verdade o banco de dados está montado em um site diferente do Active Directory, portanto o CAS emite um redirecionamento temporário com o ExternalURL no site que hospeda o banco de dados montado.

    2
    Figura 3: Redirecionamento manual temporário quando a caixa postal está montada em outro site do Active Directory

Redirecionamento silencioso de legado

Para o Outlook Web App, o CAS do Exchange 2010 não suporta os dados de renderização da caixa postal a partir de versões de legado do Exchange. O CAS do Exchange 2010 executa um de quatro cenários, dependendo da versão e/ou localização da caixa postal de destino:

  • Se a caixa postal do Exchange 2007 está no mesmo site do Active Directory que o CAS2010, o CAS2010 redireciona a sessão silenciosamente para o CAS do Exchange 2007.
  • Se a caixa postal do Exchange 2007 está em outro site do Active Directory voltado para a Internet, o CAS2010 redireciona o usuário manualmente para o CAS do Exchange 2007.
  • Se a caixa postal do Exchange 2007 está em um site do Active Directory não voltado para a Internet, o CAS2010 serve como proxy da conexão para o CAS do Exchange 2007.
  • Se a caixa postal está em um servidor do Exchange 2003, o CAS2010 redireciona a sessão silenciosamente para um URL pré-definido.

Como indicado acima, o redirecionamento silencioso de legado é usado apenas para eventos de redirecionamento no mesmo site, entre o CAS do Exchange 2010 e a infraestrutura de legado. Ao realizar esse tipo de redirecionamento, o CAS2010 emite um redirecionamento silencioso de volta ao navegador, indicando para estabelecer uma conexão à infraestrutura CAS2007/FE2003 de legado. Para redirecionar com sucesso a infraestrutura de legado, é necessário configurar o seguinte:

  • Para redirecionar caixas postais do Exchange 2003, o diretório virtual do Exchange 2010 OWA deve ter o Exchange2003URL preenchido.
  • Para redirecionar para um CAS do Exchange 2007, o diretório virtual de destino do Exchange 2007 OWA deve ter o ExternalURL.

O redirecionamento silencioso de legado também pode fornecer uma experiência de logon único quando a Autenticação Baseada em Formulários (FBA) é usada nos diretórios virtuais do OWA de origem e destino, emitindo de volta para o navegador da web um formulário de FBA oculto com os campos preenchidos. Esse formulário oculto contém a mesma informação como se o usuário tivesse enviado originalmente a página do FBA do CAS2010 (nome de usuário, senha, seletor público/privado) e também um redirecionamento ao caminho e às sequência de caracteres de consulta específicos do Exchange de destino. Assim que esse formulário for carregado, ele é imediatamente enviado para o URL de destino. O resultado é que o usuário é autenticado automaticamente e pode acessar os dados da caixa postal.

O que há de errado no redirecionamento manual?

À primeira vista, você poderia pensar "ei, o redirecionamento manual é excelente, Microsoft" e até certo ponto está correto. É um ótimo recurso para a organização de TI, para controlar onde os usuários acessam seus dados (e assim forçá-los a utilizar os links de rede corretos). Mas na realidade, a experiência não é ideal para o usuário final. No cenário em que o usuário usa o URL do OWA errado, ele executa as ações a seguir:

  1. Usuário insere no navegador da Web o URL errado.
  2. O usuário insere as credenciais e autentica contra o CAS (site errado).
  3. O CAS (site errado) executa a descoberta do serviço e determina que pode redirecionar o usuário para o CAS correto.
  4. O CAS (site errado) fornece ao usuário uma página que contém um link para o CAS (site correto).
  5. O usuário clica no link para acessar o OWA do site correto.
  6. O usuário insere credenciais e autentica contra o CAS (site correto).

É dito ao usuário que ele usou o URL errado e deve inserir suas credenciais duas vezes – uma experiência insatisfatória no redirecionamento manual.

Redirecionamento silencioso entre sites no Exchange 2010 SP2

Para remover essa experiência insatisfatória (Greg se refere a ela como uma experiência péssima, a propósito), fornecemos uma quarta experiência de redirecionamento para o OWA no Exchange 2010 SP2, conhecida como Redirecionamento silencioso entre sites. Como o nome implica, esse redirecionamento somente executa o redirecionamento silencioso para solicitações destinadas ao CAS localizado em outro site do Active Directory (dentro da mesma organização do Exchange) que tenha um ExternalURL do OWA.

Um novo parâmetro foi criado para suportar o Redirecionamento silencioso entre sites, o CrossSiteRedirectType. Esse parâmetro está disponível no cmdlet Set-OWAVirtualDirectory e suporta dois valores, Manual e Silencioso. Esse redirecionamento é desativado por padrão (o valor padrão é Manual), significando que se atualmente você executar o redirecionamento manual entre CAS em sites diferentes do Active Directory, isso continuará depois de implantar o SP2.

Se você deseja ativar o Redirecionamento silencioso entre sites, configure o CrossSiteRedirectType como Silencioso nos diretórios virtuais do OWA no CAS voltado para a Internet:

Set-OWAVirtualDirectory -Identity "Contoso\owa (Default Web site)" -CrossSiteRedirectType Silent

Atualizamos o processo de conexão do OWA para suportar o Redirecionamento silencioso entre sites. O CAS executa as seguintes etapas durante a descoberta do serviço:

  1. Avalia a versão da caixa postal (Exchange 2007 ou Exchange 2010).
  2. Verifica o local da caixa postal.
  3. Obtém o ExternalURL do CAS de destino.
  4. Obtém o tipo de redirecionamento no CAS de origem.
    1. Se CrossSiteRedirectType=Manual, emitimos um redirecionamento manual.
    2. Se CrossSiteRedirectType=Silent, emitimos um redirecionamento silencioso.
      1. Se o CAS de origem e destino tem a FBA ativada, o CAS de origem emite um formulário oculto de volta ao navegador, que contém as credenciais do usuário e as configurações de FBA junto com o URL de redirecionamento.
      2. Se o FBA não estiver ativado na origem e no destino, o CAS de origem simplesmente emite um redirecionamento 302.

É isso mesmo: Redirecionamento silencioso entre sites pode ser uma experiência de SSO quando os diretórios virtuais de origem e destino do OWA utilizam a Autenticação Baseada em Formulários. Os clientes que apenas implantaram o OWA internamente também podem ter uma experiência de SSO quando o mecanismo de autenticação do diretório virtual do OWA é a Autênticação Integrada de Windows, e os espaços para nomes do OWA são adicionados à zona de segurança "Intranet local".

Onde eu não posso obter uma experiência de SSO?

Existem alguns cenários em que você não pode obter uma experiência de SSO ao redirecionar entre sites do Active Directory:

  1. Você utiliza a Autenticação Básica nos diretórios virtuais do OWA de origem e destino.
  2. Você utiliza configurações diferentes de autenticação nos diretórios virtuais do OWA de origem e destino.
  3. Você utiliza solução de autenticação de dois fatores nos diretórios virtuais do OWA de origem e destino.
  4. Você utiliza uma solução pré-autenticação (como o Microsoft Threat Management Gateway 2010) que utiliza diferentes ouvintes da Web para os espaços para nomes do OWA de origem e destino.
  5. Quando o CAS local emite um redirecionamento temporário para outro CAS no site do Active Directory.

Lembre-se de que embora a experiência SSO possa não estar disponível para esses cenários, um redirecionamento 302 (que chamamos de silencioso) ainda irá ocorrer.

O Redirecionamento silencioso entre sites reduz a insatisfação do usuário final, por ter que clicar em um link para obter a infraestrutura correta do OWA, e na verdade pode remover a necessidade de inserir as credenciais uma segunda vez. Para aqueles que têm usado o redirecionamento manual do OWA até agora, espero que vocês ativem o Redirecionamento silencioso entre sites e depois de implantarem o Exchange 2010 SP2!

Ross Smith IV
Gerente principal do programa
Experiência do cliente Exchange

Este é um post de um blog localizado. Encontre o artigo original em OWA Cross-Site Silent Redirection in Exchange 2010 SP2