Exchange Server 2013 高可用部署系列（五）外网访问和证书配置

remington_young

　　Exchange Server 2013默认部署好后不需要任何配置就可以进行内部收发邮件，但要进行外部访问和收发外网邮件，需要进行一系列的配置，本篇博文来介绍外网访问和证书配置：
　　一、外部DNS配置：
　　A记录：  mail.contoso.com（Web访问），autodiscover.contoso.com（自动发现）
　　MX记录：contoso.com   —> 目标主机：mail.contoso.com
　　二、端口发布：
　　需要发布以下端口： 143, 443, 993,995, 25, 587
　　三、创建发送连接器：
　　详情请见系列二博文后半部分的内容，这里不再赘述：
　　http://blog.csdn.net/xiezuoyong/article/details/22727189
　　四、配置外部访问地址：
　　1、登陆后台管理ECP界面，选择“服务器 —>虚拟目录”，选择每台服务器的owa目录，如下图所示：

　　2、点击编辑进入以下界面，填写OWA虚拟目录的外部URL：https://mail.contoso.com/owa

　　3、提示：更改OWA的同时需要对后台管理ECP进行更改！

　　4、选择ECP，双击进入编辑界面，

　　5、填写ECP虚拟目录中的外部URL：https://mail.contoso.com/ecp

　　6、同样在另一台前端Mail2.contoso.com上分别编辑OWA和ECP虚拟目录的外部URL，
　　7、OWA的外部URL：https://mail.contoso.com/owa，

　　8、ECP的外部URL：https://mail.contoso.com/ecp，

　　五、开启outlook anywhere
　　1、在服务器界面，选中一台服务器，点击编辑，如下图：
　　2、在“outlook anywhere”选项卡中，填写外部主机名：mail.contoso.com，身份验证方法为：“基本”，如下图：

　　3、同样选中另一台服务器，点击编辑，如下图：

　　4、在“outlook anywhere”选项卡中，填写外部主机名：mail.contoso.com，身份验证方法为：“基本”，如下图：

　　5、为outlook anywhere配置IIS身份验证。在任意一台前端服务器上打开EMS，执行以下命令：
　　Set-OutlookAnywhere"<Client Access server name>\RPC (Default Web Site)"-IISAuthenticationMethods Basic, Ntlm, Negotiate
　　其中"Client Access server name"为你的前端服务器名称，这里两台前端分别是：EX、Mail2，如下图：

　　六、配置证书：
　　第一步，在ECP界面生成证书请求文件：
　　1、在“服务器 —>证书”界面，选择一台服务器，点击“+”来添加证书申请，如下图：

　　2、默认下一步，

　　3、填写证书的友好名称，如下图：

　　4、默认下一步，

　　5、选择存储证书的服务器，如下图：

　　6、填写外部访问（从Internet访问时）的域名为：mail.contoso.com，自动发现为默认的：autodiscover.contoso.com，
　　POP或IMAP只填主机名（不加后缀）：mail，可以添加多个，用“，”号隔开，如下图：

　　7、在以下界面，添加所有在内外网要用到的域名或主机名，如果有多域名或二级域名，在这里都要添加，如下图：

　　8、填写组织信息，如下图：

　　9、填写证书请求保存的共享路径，这里选择mail2上的cert共享文件夹下，如下图：
　　注：如无法保存，请赋予共享文件夹的"everyone"读写权限。

　　10、证书申请完成，状态为“搁置的请求”，如下图：

　　第二步，向CA证书服务器申请证书并获取证书文件：
　　1、在mail2服务器上，登陆到CA证书服务器的申请证书界面：http://adds.contoso.com/certsrv，如下图：

　　2、进入证书服务页面，点击“申请证书”，如下图：

　　3、选择“高级证书申请”，如下图：

　　4、选择“使用base64编辑的CMC...”，如下图：

　　5、用“记事本”打开共享文件夹下创建的证书请求文件，复制全部内容，如下图：

　　6、将证书请求文件的内容粘贴到以下申请文本框中，并选择证书模板为：“Web服务器”，再点击“提交”，如下图：

　　7、证书已颁发！选择“下载证书”，保存证书文件到共享文件夹中，如下图：

　　8、颁发的证书如下所示：

　　第三步，在ECP界面中导入已颁发的证书文件：
　　1、打开ECP证书界面，选中申请的证书，点击右下角状态下的“完成”，如下图：

　　2、输入已颁发的证书路径，点击“确定”，如下图：

　　3、完成搁置的请求，此时证书状态为：“有效”，如下图所示：

　　4、完成证书后默认所分配的服务只有：IMAP，POP，还需要分配其它服务，点击“编辑”，如下图：

　　5、勾选“SMTP”和“IIS”，这两项为必须，其它“UM”和“UM呼叫路由器”为统一消息配置所需，以后有机会再介绍，这里不勾选，然后点击“保存”，如下图：

　　6、替换旧有默认的证书，选择“是”，如下图：

　　7、已分配服务如下：IMAP、POP、IIS、SMTP，到此证书配置已全部完成！

　　本篇博文实现了外网Web访问和邮件收发，并且证书已经配置，只要把CA中的根证书导入到各个客户端的“受信任的根证书颁发机构”中，及可实现认证访问！
　　另外，若要配置各客户端登陆Exchange 2013，请参照“Exchange”栏目下的其他关于客户端配置Exchange2013邮箱帐号的博文！
　　本系列到此结束，以后有时间再写Exchange 2013运维系列。