概览: | |
| |
几年前,在线通信是最基本的通信方式。人们通过 POP3 和 SMTP 发送电子邮件。一切都那么简单。当然,一切也需要改变。今天,组织需要为员工提供
足够的灵活性,使他们可以自由选择工作的时间和方式,同时这一切也必须是安全的。Microsoft? Exchange Server 2007 有几项针对这些需求的内置功能,其中包括 Microsoft Office Outlook? Web Access (OWA) 和统一消息功能。让我们来一起研究 Exchange Server 2007 的这两个关键组件,了解它们如何超越了先前的版本来为今天的企业创建功能更为强大的通信平台。
OWA 从 5.5 版本开始成为 Exchange 的一部分。坦白地说,它最初的几版有些笨拙。它们解决了通过 Web 浏览器访问 Exchange 邮箱的问题,但这都是在没有充分利用 Outlook 所提供的各种功能的情况下实现的。
随着 Exchange Server 2003 所附带 OWA 的改进,事情对于最终用户而言开始有所好转。基于浏览器的体验比以往要自然得多,基本就像是在使用客户端程序。Exchange Server 2007 中的 OWA 又更进了一步,它是抛开以前版本完全重新编写出来的,从而充分利用了其他最新的技术创新,例如 RPC over HTTP 和 ASP.NET 2.0。
举个例子,我们来看一下 OWA 是如何完成呈现的。先前版本的 OWA 在存储过程中通过邮箱服务器呈现。这样会给邮箱服务器增加额外的负担,可能造成系统速度下降。相比之下,Outlook Web Access 2007 则通过 ASP.NET 在客户端访问服务器 (CAS) 上呈现数据。这样就使邮箱服务器从页面处理工作中解脱出来,从而提高了性能。
此外,前端所执行的工作也发生了改变。在先前版本的 Exchange 中,OWA HTTP 请求会通过代理转到相应的邮箱服务器。而 Exchange Server 2007 通过 RPC 直接从相应的邮箱服务器提取数据,从而减少了与 OWA 相关的通信量。在某种程度上说,也正因为有了这个过程,您才可以在位于企业虚拟专用网络 (VPN) 连接之外的客户端上使用 Outlook。然后通过 OWA 呈现邮箱信息。Exchange Server 2007 也可以代理 OWA 请求,但它并不是将其直接发送到邮箱服务器,而是转发给其他 CAS 服务器。
图 1 显示了 Exchange Server 2007 上 OWA 的体系结构。
图 1 OWA 如何访问 Exchange Server 资源 (单击该图像获得较小视图)
重建后的 Exchange Server 2007 体系结构中包含一些用于管理 OWA 的扩展选项。您可以使用 Exchange 管理控制台或使用 Exchange 管理外壳。配置设置存储在几个位置。
通过 Exchange 管理控制台可以访问大多数可能的配置设置,例如使用分段实现的启用或禁用功能、附件拦截、身份验证、以及日历、任务列表和拼写检查等访问功能。在 Exchange 管理控制台中能完成的工作也都可以通过 Exchange 管理外壳任务来完成。
此外,通过 Exchange 管理外壳还可以创建和删除 OWA 的新虚拟目录。您还可以对基于用户的分段设置进行更好的控制以及更改默认语言设置等等。
Windows 注册表是表单式身份验证超时值的默认存储位置(这些设置无法通过 Exchange 管理控制台或 Exchange 管理外壳获得)。通过 Active Directory? 可以访问特定于 OWA 的设置,例如附件拦截和分段。IIS 元数据库中包含可影响 IIS 行为的所有设置(身份验证、GZIP)。web.config 用于保存 ASP.NET 设置,例如控制 OWA 附件上传的“maxuploadsize”。
OWA 提供了几种服务器端身份验证选项。安装后,安全功能默认采用基于表单的身份验证。但您可以根据组织需求在必要时通过几种方法进行改进。IIS 将根据 Active Directory 执行身份验证,以确保通过验证的用户拥有相应的域权限。您还可以使用基本身份验证、数字身份验证、RSA SecurID 甚至智能卡登录等方式来访问电子邮件。
OWA 最强的安全性级别是 Windows 集成身份验证,它将 Kerberos 和 NTLM 完美结合。事实上,Outlook Web Access 2007 Web 部件访问和 Active Directory 站点之间的 CAS 代理都要求采用 Windows 集成身份验证方式。它还为用户通过 Intranet 访问 OWA 提供了一点额外的好处,即实现了 Windows 客户端身份验证的单点登录。这样,如果您已经是受信用户,就无需再登录 OWA。
如果您使用默认的表单式身份验证,OWA 会在一段时间的不活动状态后自动超时。根据用户在登录期间出现相应提示时所选择的机器类型(公用或专用),超时时间会有所不同,可能是 15 分钟(公用机器),也可能达到 8 小时(专用计算机)。用户对于公用或专用机器所做的选择非常重要,因为其他安全性设置也可以因此项设置而异。例如,您可以在公共机器上拦截附件,也可以更改身份验证超时值。基于表单的身份验证过程基本分为四个步骤(如图 2 所示)。
客户端将未加密的请求发送给服务器。
服务器将加密的 cookie 发送回客户端。
服务器不断丢弃和创建新的加密密钥,并将三个最新的密钥保存在内存中。
如果客户端在发送请求时所使用的加密密钥已经过时但仍在内存中,则会收到以最新密钥加密的新 cookie。
—或者—
如果客户端在发送请求时所使用的过时加密密钥已被丢弃并且已经超时,则必须重新登录。
msExchQueryBaseDN 是用来限制某些用户只能看到 OWA 一小部分地址簿的一种机制。msExchQueryBaseDN 会在 Active Directory 用户对象上被加以标记,指向某个“地址列表”(AL) 或“组织单位”(OU)。此 AL 将用作用户的“全局地址列表”(GAL),用户所看见的 GAL 仅包括此 OU 中的用户帐户。可使用 LDAP 设置 msExchQueryBaseDN。
Exchange Server 2007 中 Outlook Web Access 的核心是 CAS,而该 CAS 模型已经有了进一步的发展,最大程度地提供了与运行早期版本 Exchange 的服务器的互操作性。为了确保这种互操作性,务必首先部署或升级 CAS 服务器,然后再升级其相关的邮箱服务器。
可以使用 CAS 角色的 Exchange 2007 服务器连接到 Exchange 2000 和 Exchange 2003 服务器上的邮箱。站点部分升级后,RPC over HTTP 和 Exchange ActiveSync? 都会继续工作。如果通过 /exchange、/public 或 /exchweb 虚拟目录进行访问,OWA 和 WebDAV 也会有效地工作。您还可以在 Exchange Server 2007 上为这些早期版本创建自定义的 OWA 虚拟目录。
Exchange Server 2007 中的 Outlook Web Access 比之从前已经有了长足的进步,但如果与 Internet Security 和 Acceleration (ISA) Server 2006 配合使用,则无异于锦上添花。
ISA Server 2006 是集成的边缘安全网关。它既能帮助您保护站点免受来自 Internet 的威胁,同时也提供对应用程序和数据的安全远程访问。这也是 OWA 的目标,因此这两个功能的配合使用将实现所有计算思想中最为神奇的一个:协同(有关 ISA Server 的背景信息,请参阅 microsoft.com/isaserver/2006)。
ISA Server 2006 为饱受折磨的 Exchange 管理员带来几点好处。举个例子,“Web 发布负载平衡”(WPLB) 功能允许您使用 HTTP cookie 来平衡负载。即使客户端 IP 发生改变,也可以确保客户机/服务器关系。ISA Server 2006 还提供 GZIP 压缩和解压缩功能,允许您分析通信量或从 Web 服务器卸载压缩任务。使用 ISA Server 2004 时,您必须进行以下选择:将 HTTP 压缩与 OWA 配合使用,或者将基于表单的身份验证与 ISA Server 配合使用。幸运的是,ISA Server 2006 同时支持这两种选择。
此外,还可以通过 ISA Server 执行 OWA 链接转换。如果有人在 OWA 电子邮件中放入了一个 Intranet 链接,ISA Server 可以将其转换为正确的 Internet 链接。这项功能是相当有用的,但必须记住要将 Intranet 链接发布到正在发布 OWA 的 ISA 阵列。
或许最重要的是,ISA Server 2006 执行预身份验证,来帮助在外围保护网络的安全。预身份验证旨在确保恶意的 HTTP 通信流不会到达服务器。如果被引向 CAS 的通信流事实上是有效的,ISA Server 会允许其从外围网络进入域中(外围服务器在 Intranet 域之外,负责拦截不应进入域中的通信流。CAS 不应部署在外围域中,而需要部署在 Intranet 域中,这样才能访问 Active Directory 用户帐户)。
Outlook Web Access 2007 提供了一些用于改进监视和故障排除工作的新工具。监视任务会自动运行于 CAS 服务器上,用于测试每个邮箱服务器的连通性以及 OWA 登录。Exchange Server 2007 还提供了更为详细的“事件日志”消息和“性能计数器”。
Exchange 最佳实践分析工具(请参阅 microsoft.com/technet/technetmag/issues/2006/01/TuneUpExchange 中的内容)有了进一步的改进,它可以在 OWA 配置不当的情况下发送相关警告和错误消息来提醒管理员。您还可以通过 LogParser 工具从 IIS 生成 OWA 使用情况报告(microsoft.com/technet/technetmag/issues/2006/10/LogParser 上 2006 年 10 月刊中有这方面的介绍)。
OWA 解决的是移动业务需求,而统一消息功能将不同形式的消息合并到一个统一的位置(因此而得名)。现在,电子邮件业务依赖于 Exchange Server。而语音业务(电话呼叫、语音邮件)则通过电话服务器来提供。收电子邮件要在桌面上,接听语音邮件则要通过电话。我甚至还没用过传真消息呢!
通过 Exchange Server 2007 的统一消息功能,组织可以将电子邮件、语音和传真数据传送到一个收件箱中,用户则通过 Outlook 和 OWA 访问这里的所有信息。统一消息功能也会将消息传递到另一个方向:用户可以通过 Outlook Voice Access 来以电话方式访问语音邮件、电子邮件、联系人和日历。
对系统管理员而言,统一消息功能将 Exchange 和电话基础结构结合起来,提供了一个存储解决方案、一个目录和一个传输,从而简化了消息的处理工作。而且由于每个人只需要一个邮箱,总体复杂性程度有所下降。
最好的一点是什么呢?这可以通过现有服务器来实现。了解了 Exchange Server 2007 和电话技术后,您的学习曲线就会相当平坦。统一消息的各项功能与 Exchange 相集成,您将使用相同的安全模型和相同的收件箱。您甚至可以通过 OWA 访问语音邮件和传真。
图 3 显示在安装了统一消息服务器角色后 Exchange Server 2007 中统一消息的体系结构。仔细看一下(以后可能会有测验),然后我们来详细探讨统一消息体系结构。
图 3 统一消息功能将语音、传真和电子邮件通信整合在一起 (单击该图像获得较小视图)
在企业中设置统一消息功能时,需要了解许多基本的要素。Exchange Server 中包含代表电话硬件的对象。随后可以在 Exchange Server 环境中定义这些对象的关系。Exchange Server 统一消息系统对象包括“UM 服务器”、“UM 拨号计划”、“UM IP 网关”和“UM 查寻组”,此外还有“UM 邮箱策略”和“UM 自动助理”。下面让我们看一看每个对象如何来证明其存在的价值。
“UM 服务器”对象创建于装有 UM 服务器角色的 Active Directory 中。通过它,管理员可以控制 Exchange Server 2007 统一消息部署的设置和属性。“UM 拨号计划”是统一消息功能中的基本管理单元,表示分机号的内部使用方法。“拨号计划”中的所有用户只需拔打分机号即可与所有其他人联系。如果要与其他位置结合在一起,双方通常都要有自己的“拨号计划”。
“UM IP 网关”对象代表物理的 IP 电话 (VoIP) 网关或启用了“会话初始协议”(SIP) 的 IP 专用分组交换机 (PBX)。统一消息服务器可以从 IP/VoIP 网关设备接收呼叫。“UM 查寻组”将“IP 网关”与“UM 拨号计划”链接在一起。在 PBX 配置一个“查寻组”后,就会在 Active Directory 中创建一个“UM 查寻组”来代表它。可以配置“查寻组”来提供跨 IP 网关的负载平衡。这些网关进而又可以通过将一个“UM 查寻组”与多个网关相关联来提供负载平衡。“UM 邮箱策略”类似于语音邮件分级服务,其中包括一个“拨号计划”和若干用来为用户和组设置运行策略的属性。
“UM 自动助理”可以与一个“UM 拨号计划”相关联。它可以通过定制来执行多种任务,例如针对不同日期和时间定制的提示记录和定义任务。“自动助理”的作用范围可以通过地址列表来划定。
图 4 显示了这六个统一消息对象是如何相互配合工作的。
图 4 统一消息电话对象的交互作用 (单击该图像获得较小视图)
用户有了 Exchange Server 2007 邮箱后,管理员必须针对统一消息功能来启用它。为此,管理员必须在“拨号计划”中将邮箱与一个“UM 邮箱策略”和一个分机号相关联。此外,还必须将 PBX 配置为在出现 RNA(响铃,无应答)时将呼叫路由到统一消息服务。PBX 首先会将呼叫路由到用户的分机。如果发生 RNA 情况,则再将呼叫路由到 VoIP 网关,然后路由到统一消息服务器。
统一消息具有可伸缩性。您可以根据业务需要添加任意多个电路交换式 PBX 通道和 UM 服务器。使用 VoIP 网关时,基于 IP 的呼叫会被传送给 Exchange 统一消息服务。由于这对于许多企业来说是全新的功能,因此您应当进行全面的网络分析,以确保 IP 网络有足够的带宽来同时处理数据和语音。
通常,Exchange Server 2007 统一消息服务器可以处理 50 到 200 个并发 IP 呼叫,以及最多 200 个传入的语音和传真呼叫(默认情况下设置为 100)。如果您需要更大的处理能力,或者想要提高容错能力,可以扩建额外的统一消息服务器。
至此您已经找到了答案!Exchange Server 2007 提供两个功能:Outlook Web Access 和统一消息,这两个功能共同为组织带来了巨大的利益。Outlook Web Access 可以让您从任何地方安全地访问电子邮件,而统一消息功能允许用户访问最终都将进入 Exchange 2007 邮箱的电子邮件、语音邮件、传真消息和其他邮箱数据。
Joshua Trupin 是 MSDN 杂志和 TechNet 杂志的执行编辑。他为 MSJ、MIND、MSDN 杂志和 TechNet 杂志撰写了许多文章。另外他还编写了《Hoop Stats:The Basketball Abstract》一书。
摘自 December 2006 期刊 TechNet Magazine.
要饭二维码
