Исходная статья опубликована во вторник, 13 декабря 2011 г.

Многие из вас уже видели статьи, в которых обсуждались политики адресной книги, размещение изменений и мастер гибридной конфигурации, но в глубине души я знаю, что все вы надеялись на то, что мы перейдем к самой ожидаемой возможности, которую мы решили включить в Exchange 2010 SP2.

Что вы говорите?  Да, я знаю, в своей статье на сайте Windows IT Pro Тони сказал, что "новые возможности в SP2 вряд ли вызовут много суеты" и что в SP2 не так много новых возможностей (по-моему, его точными словами были "относительная малочисленность").

Что ж, я скажу прямо. В Exchange 2010 SP2 есть одна уникальная возможность, которую часто не упоминают. Пришло время обсудить автоматическое перенаправление между сайтами для Outlook Web App (OWA).

Определения

Во-первых, рассмотрим некоторые определения.

  • Сайт Active Directory для выхода в Интернет. Сайт Active Directory, который содержит сервер клиентского доступа (CAS) с заполненным внешним URL-адресом ExternalURL для связанной службы (такой как OWA). Обычно это основной центр обработки данных или сайт, на котором развертывается Exchange 2010.
  • Региональный сайт Active Directory для выхода в Интернет. Сайт Active Directory, который содержит CAS с заполненным внешним URL-адресом ExternalURLдля связанной службы (такой как OWA).
  • Сайт Active Directory не для выхода в Интернет. Сайт Active Directory, который содержит CAS без заполненного внешнего URL-адреса ExternalURLдля связанной службы.
  • Прямое соединение. Процесс, при котором сервер CAS создает сеанс удаленного вызова процедуры (RPC)на сервере почтовых ящиков, на котором размещены данные почтовых ящиков.
  • Прокси.Процесс, при котором сервер CAS на сайте Active Directory для выхода в Интернет является посредником для входящих запросов для сервера CAS на сайте Active Directory не для выхода в Интернет (который расположен на том же сайте, что и сервер почтовых ящиков, к которому осуществляется доступ).
  • Перенаправление.Процесс, при котором сервер CAS для выхода в Интернет на одном сайте Active Directory перенаправляет конечного пользователя на другой сервер CAS для выхода в Интернет, размещенный на том же сайте, что и сервер почтовых ящиков, к которому осуществляется доступ.
  • Автоматическое перенаправление.Процесс, при котором CAS выдает запрос для автоматического перенаправления в браузер пользователя, сообщая браузеру о необходимости установки подключения по указанному URL-адресу.
  • Перенаправление единого входа (SSO). Процесс, при котором CAS выдает запрос для автоматического перенаправления в браузер пользователя, сообщая браузеру о необходимости отправить запрос и учетные данные проверки подлинности на конечный сервер CAS, чтобы обеспечить удобный вход для пользователей.

Процесс соединения OWA

Чтобы понять различные сценарии прокси и перенаправления, важно уяснить механизм того, что происходит при проверке подлинности пользователя на сервере CAS для доступа к OWA, как это происходит в Exchange 2010 до SP2:

  1. пользователь получает доступ к OWA URL в браузере;
  2. пользователь вводит учетные данные;
  3. CAS проверяет подлинность пользователя и получает следующую информацию с помощью запроса обнаружения служб:
    1. версия почтового ящика пользователя;
    2. расположение почтового ящика пользователя (сайт Active Directory), если оно известно.
  4. CAS собирает дополнительные сведения на основе информации о почтовых ящиках, чтобы выполнить правильную операцию:
    1. Если почтовый ящик размещен в Exchange 2010 и является локальным, CAS выполняет прямое соединение.
    2. Если почтовый ящик размещен в Exchange 2007 и является локальным, CAS получает ExternalURL сервера CAS Exchange 2007 (если этот параметр не определен, будет использоваться внутренний URL-адрес InternalURL) и выполняет автоматическое перенаправление.
    3. Если почтовый ящик размещен в Exchange 2003, CAS получает Exchange2003URLи выполняет автоматическое перенаправление.
    4. Если почтовый ящик не локальный, CAS получает конечный ExternalURL (если он определен) и выполняет перенаправление или функции посредника, если параметры ExternalURL OWA не определены на конечном сайте Active Directory.

Типы перенаправления SP1 OWA

В Exchange 2010 SP1 мы кое-что поменяли, что привело к появлению следующих трех типов перенаправления для OWA в локальном продукте:

  • ручное перенаправление;
  • временное ручное перенаправление;
  • старое автоматическое перенаправление;

Ручное перенаправление

Ручное перенаправление позволяет клиентам не передавать весь трафик из центрального расположения в прокси-режиме, если есть сервер CAS, который ближе к почтовому ящику пользователя.

Ручное перенаправление выполняется, когда CAS должен перенаправить запрос OWA в инфраструктуру CAS Exchange 2007 или Exchange 2010, расположенную на другом сайте Active Directory. Как было указано ранее, для выполнения ручного перенаправления у конечного виртуального каталога OWA должен быть ExternalURL. Пользователи увидят следующее сообщение о ручном перенаправлении и ExternalURL сервера CAS на другом сайте Active Directory:

1 
Рис. 1. Ручное перенаправление, когда почтовый ящик расположен на другом сайте Active Directory

 

Временное ручное перенаправление

В SP1 мы добавили другой тип перенаправления для OWA — временное ручное перенаправление. Этот тип используется в двух ситуациях:

  1. Во время активации центра обработки данных существует вероятность того, что в браузере пользователя кэширована неправильная запись DNS, указывающая на инфраструктуру CAS на сайте Active Directory, на котором уже не размещается почтовый ящик. В результате CAS выдаст запрос для ручного перенаправления на правильный сайт Active Directory, но при этом перенаправление выполняется на тот же URL-адрес, который в данный момент применяет пользователь. Чтобы избежать эффекта пинг-понга, когда пользователь не может получить доступ к своей почте, CAS заметит, когда передается такой же файл cookie сеанса, и проверит, есть ли у CAS значение FailbackURL для виртуального каталога OWA. Если значение FailbackURL задано, CAS выдает страницу временного ручного перенаправления, указывая ссылку на FailbackURL. Если значение FailbackURL не задано, CAS выдает страницу с ошибкой, на которой пользователя просят закрыть все сеансы браузера и повторить попытку.

    3
    Рис. 2. Временное ручное перенаправление при активации центра обработки данных

  2. Второй сценарий: CAS выдает страницу временного ручного перенаправления, когда обнаруживает, что сайт локального сервера CAS совпадает со значением RpcClientAccessServer базы данных почтовых ящиков, но база данных на самом деле размещена на другом сайте Active Directory, поэтому CAS выдаст запрос временного перенаправления с параметром ExternalURL сервера CAS на сайте, на котором размещена подключенная база данных.

    2
    Рис. 3. Временное ручное перенаправление при подключении почтового ящика к другому сайту Active Directory

Старое автоматическое перенаправление

Для Outlook Web Access сервер CAS Exchange 2010 не поддерживает отображение данных почтовых ящиков старых версий Exchange. CAS для Exchange 2010 выполняет один из четырех сценариев в зависимости от конечной версии и расположения почтового ящика.

  • Если почтовый ящик Exchange 2007 размещен на том же сайте Active Directory, что и CAS2010, CAS2010 автоматически перенаправляет сеанс серверу CAS для Exchange 2007.
  • Если почтовый ящик Exchange 2007 размещен на другом сайте Active Directory для выхода в Интернет, CAS2010 вручную перенаправляет пользователя на сервер CAS для Exchange 2007.
  • Если почтовый ящик Exchange 2007 размещен на другом сайте Active Directory не для выхода в Интернет, CAS2010 передаст соединение в прокси-режиме серверу CAS для Exchange 2007.
  • Если почтовый ящик расположен на сервере Exchange 2003, CAS2010 автоматически перенаправляет сеанс на предварительно указанный URL-адрес.

Как указано выше, старое автоматическое перенаправление используется только для событий перенаправления на одном сайте между CAS для Exchange 2010 и старой инфраструктурой. При выполнении старого автоматического перенаправления CAS2010 выдает запрос для автоматического перенаправления в браузер пользователя, сообщая браузеру о необходимости установки подключения к старой инфраструктуре по CAS2007/FE2003. Для успешного перенаправления к старой инфраструктуре необходимо настроить следующие параметры.

  • Для перенаправления почтовых ящиков Exchange 2003 для виртуального каталога Exchange 2010 OWA должно быть указано значение Exchange2003URL.
  • Для перенаправления в Exchange 2007 CAS у конечного виртуального каталога Exchange 2007 OWA должен быть параметр ExternalURL.

Старое автоматическое перенаправление также позволяет использовать единый вход при применении проверки подлинности на основе форм (FBA) в исходном и конечном виртуальном каталоге OWA, отправляя браузеру скрытую форму FBA с заполненными полями. Эта форма содержит те же сведения, которые пользователь изначально отправил на страницу CAS2010 FBA (имя пользователя, пароль, открытый или закрытый селектор), а также перенаправление на конечный путь Exchange и строку подключения. Сразу после загрузки этой формы, она передается по конечному URL-адресу. В результате автоматически выполняется проверка подлинности пользователей, после чего они могут получить доступ к почтовому ящику.

Что не так с ручным перенаправлением?

На первый взгляд можно подумать, что ручное перенаправление — это здорово, и в какой-то мере вы будете правы. Это прекрасная возможность для ИТ-организации, позволяющая управлять тем, где пользователи получают доступ к данным (таким образом принуждая пользователей применять правильные сетевые ссылки). Но в реальности это удобно не для всех пользователей. Если пользователь применяет неправильный URL-адрес OWA, пользователь выполняет следующие действия.

  1. Пользователь вводит в браузере неправильный URL-адрес.
  2. Пользователь вводит учетные данные и проходит проверку подлинности на CAS (неправильный сайт).
  3. CAS (неправильный сайт) выполняет обнаружение служб и определяет, что может перенаправить пользователя на правильный сервер CAS.
  4. CAS (неправильный сайт) отображает пользователю страницу со ссылкой на CAS (правильный сайт).
  5. Пользователь переходит по ссылке для доступа к OWA с правильного сайта.
  6. Пользователь вводит учетные данные и проходит проверку подлинности на CAS (правильный сайт).

При этом процессе пользователю сообщают, что применялся неправильный URL-адрес и требуется ввести учетные данные еще раз (это не очень удобно).

Автоматическое перенаправление между сайтами в Exchange 2010 SP2

Чтобы устранить такое неудобство (кстати, Грег называет это более плохими словами), мы представили четвертый тип перенаправления для OWA в Exchange 2010 SP2, который называют автоматическим перенаправлением между сайтами. Как следует из названия, при этом типе выполняется автоматическое перенаправление только для запросов, направленных серверу CAS, расположенному на другом сайте Active Directory (в той же организации Exchange) с ExternalURL для OWA.

Новый параметр, CrossSiteRedirectType, был создан для поддержки автоматического перенаправления между сайтами. Он доступен в командлете Set-OWAVirtualDirectory и поддерживает два значения Manual (ручное) и Silent (автоматическое). Автоматическое перенаправление между сайтами по умолчанию отключено (значение по умолчанию — Manual), т. е. при выполнении ручного перенаправления между CAS на разных сайтах Active Directory этот процесс будет продолжен после развертывания SP2.

Если нужно включить автоматическое перенаправление между сайтами, задайте для CrossSiteRedirectType значение Silent для виртуальных каталогов OWA на сервере CAS для выхода в Интернет:

Set-OWAVirtualDirectory -Identity "Contoso\owa (Default Web site)" -CrossSiteRedirectType Silent

Мы изменили процесс подключения OWA для поддержки автоматического перенаправления между сайтами. CAS выполняет следующие действия во время обнаружения служб:

  1. оценка версии почтовых ящиков (Exchange 2007 или Exchange 2010);
  2. проверка расположения почтового ящика;
  3. получение ExternalURL конечного сервера CAS;
  4. получение типа перенаправления на исходном CAS;
    1. если CrossSiteRedirectType=Manual, выдается запрос ручного перенаправления;
    2. если CrossSiteRedirectType=Silent, выдается запрос автоматического перенаправления;
      1. Если у исходного и конечного сервера CAS включена проверка подлинности на основе форм (FBA), исходный CAS отправляет скрытую форму браузеру с учетными данными пользователя и параметрами FBA, а также URL-адрес перенаправления.
      2. Если проверка подлинности FBA не включена на исходном и конечном сервере, исходный сервер CAS просто выдает запрос перенаправления 302.

Все правильно, при автоматическом перенаправлении между сайтами может использоваться SSO, если исходные и конечные виртуальные каталоги OWA используют проверку подлинности на основе форм. Клиенты, развертывающие OWA внутренне, также могут обеспечить единый вход, если виртуальный каталог OWA использует встроенную проверку подлинности Windows, а пространства имен OWA добавляются в зону безопасности "Местная интрасеть" (Local Intranet).

Когда единый вход (SSO) невозможен?

Есть несколько ситуаций, при которых SSO невозможен при перенаправлении между сайтами Active Directory:

  1. вы используете обычную проверку подлинности в исходных и конечных виртуальных каталогах OWA;
  2. вы используете различные параметры проверки подлинностив исходных и конечных виртуальных каталогах OWA;
  3. вы используете двухфакторную проверку подлинностив исходных и конечных виртуальных каталогах OWA;
  4. вы используете решение предварительной проверки подлинности(такое как Microsoft Threat Management Gateway 2010), которое применяет различные веб-прослушиватели для исходного и конечного пространства имен OWA;
  5. когда локальный CAS выдает запрос временного перенаправления на другой CAS на другом сайте Active Directory.

Помните, что в то время, как единый вход невозможен в этих сценариях, перенаправление 302 (что мы называем автоматическим перенаправлением) все равно будет выполняться.

Автоматическое перенаправление между сайтами смягчает недовольство пользователей, связанное с необходимостью перехода по ссылке для доступа к правильной инфраструктуре OWA, и может даже устранить необходимость вводить учетные данные во второй раз. Надеюсь, что те из вас, кто до сих пор использовали ручное перенаправление OWA, включат автоматическое перенаправление между сайтами при развертывании Exchange 2010 SP2.

Росс Смит IV (Ross Smith IV)
старший руководитель программы
программа улучшения качества программного обеспечения Exchange

Это локализованная запись блога. Исходная статья находится по адресу OWA Cross-Site Silent Redirection in Exchange 2010 SP2