「深入 Exchange 2013」03 内部vs外部

43tfwed

这一章我们来讲内部访问与外部访问。

CAS是干嘛的，还不就是为了给企业网络里的内部用户，或者是给穿过防火墙连接进来的外部用户提供服务的。一些组织可能对内部和外部用户的访问都不设限制，也有一部分组织限制了外部用户的连接。也就是说，这些部署了Exchange的组织，都有这样一个可以灵活控制内/外访问的需求。

内部vs外部最主要的不同点就是客户端以哪种URL连接，并且用哪种验证方法进行身份验证。在CAS上这些设置是独立于每一种协议的，比方说当前我要查看某前端上OutlookAnyWhere的内部与外部设置，那么我输入以下命令即可查看：

如图中返回的信息，是安装完成之后的默认设置。从中我们可以看到，内部和外部客户端使用了不同的验证方法，并且默认的是没有配置外部主机名。对比一下Get-WebServicesVirtualDirectory命令。

注意这里，内部与外部URL就拥有不同的值，虚拟目录的验证方法也变成了一组验证方法，而并非上面的一种。为什么会有这些不一样呢？

外部与内部URL

Autodiscover会在Outlook Anywhere设置、OutlookWebApp、EWS、EAS以及其他的虚拟目录里向客户端发布外部与内部的URL。然后由客户端决定用哪些URL来进行连接，客户端必须通过它对自身网络位置的了解，或者干脆就按顺序尝试这两个URL，这了两种办法来进行判断。

Exchange 2013默认将这些服务的内部URL设置成服务器名加上这些虚拟目录的路径，比如说EWS的就是https://CAS01.contoso.com/EWS/Exchange.asmx。默认情况下外部URL是空白的，如果你需要允许外部用户访问，则需要手动配置该URL。

外部与内部验证方法

随着你设置好了外部与内部的URL，Exchange会自动的生成一些受客户端终结点支持的身份验证方法设置。这些设置得仔细考虑清楚再下手修改，不然会出现一些比较蛋疼而且影响范围广的问题，比如Outlook或者OWA一直要求重复验证。

注意：在Exchange 2013 RTM和Exchange 2013 CU1版本中，如果用户的连接从一个面向外部的CAS被重定向到另一个CAS上的时候，有可能会出现再次验证的提示框。但是在Exchange 2013 CU2中，用户针对OWA的验证身份信息已经可以被重复发送了，所以在上面的场景里，用户只用登陆一次即可。

当然，也有一些场景下你必须更改这些验证方法，那就是在多版本混合部署环境中。比方说，在一个已有的Exchange 2007或是2010场景里，加进来一台Exchange 2013的CAS，你首先得做设置，把所有的CAS流量全部丢到Exchange 2013的CAS上，因为它能够进行重定向和代理这些流量到旧版本的服务器上；要达到这个目的，你就得在环境里所有的（任何版本）CAS服务器上，为所有的客户端使用Basic验证，为所有的虚拟目录加上NTML验证。Basic验证是所有基于HTTP协议的通用方法，所以得在EWS、EAS和Autodiscover上加上这个。

注意：如果你对Exchange 2013 CAS上的虚拟目录进行了一些改动，或是误操作了一些东西，微软专门准备了一篇大师级的文档，包括了这些虚拟目录的默认权限设置与默认的Url设置：http://technet.microsoft.com/en-us/library/gg247612(v=exchg.150).aspx .

管理虚拟目录设置

在一台刚刚装好的全角色Exchange 2013服务器上，默认存在7个虚拟目录：

Autodiscover,ECP,EWS,EAS,OAB,Outlook Web App,以及Windows PowerShell。有两种方法可以对这些虚拟目录的身份验证方法与Url设置进行修改。

第一：使用Cmdlet，例如Set-EcpVirtualDirectory,Set-OabVirtualDirectory等等。

第二：使用EAC，如下图，在服务器 - 虚拟目录的设置里。双击你要修改的虚拟目录名称即可打开属性窗口进行修改。

需要注意的是，每一个虚拟目录都有一些自己特定的设置，比如OWA和ECP的身份验证里头都有FBA验证方法，而其他的没有。

下图所示的设置，即通过输入一个统一的外部访问域名，一次性配置好所有的虚拟目录的外部URL。

OK，内部和外部访问就讲到这里，还有一些东西我们会放到讲Autodiscover的时候再说。下一章我们聊聊CAS的负载均衡，与客户端关联性。